Forense

5,792 views
5,662 views

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,792
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
418
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Forense

  1. 1. UNIFOR – Julho de 2009 Instrutor.: Claudemir Queiroz Curso de Perícia Forense Computacional
  2. 2. Com o se r á n osso cu r so? Aulas teóricas importante para o embasamento na criação de Periciais importante para o embasamento na criação de Laudos Laudos Periciais Aulas práticas utilizando de ferramentas forense computacional resolvendo casos fictícios Aulas de segunda a sexta 18:00 – 22:00hs Fr e qu ê n cia m ín im a pa r a a pr ova çã o n o cu r so 7 5 % Prova no último dia (dupla) Prova no último dia (dupla) provavelmente dia 25(sábado) de 8 às 12hs Aprovação na prova receberá o certificado de Perito Forense Computacional
  3. 3. Instrutor (quem sou?) # Bacharel em Ciência da Computação pela Faculdade Lourenço Filho; # Security Officer do Grupo Café Santa Clara; # Perito Forense Computacional; # Professor Universitário; # Mestrando pelo MPCOMP/UECE – linha de pesquisa em Computação Forense; # Presidente da Associação dos Peritos em Computação Forense do Estado do Ceará (APCF-CE).
  4. 4. Qu e m sã o os fu t u r os Pe r it os For e n se Com pu t a cion a l? O que fazem na vida profissional
  5. 5. Lit e r a t u r a s Re com e n dé ve is
  6. 6. A Forense Computacional é uma ciência científica. Colocar aqui os livros disponíveis no mercado
  7. 7. O que iremos Estudar nesse Curso.
  8. 8. I n t r odu çã o e Con ce it os Antecedentes da forense computacional O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico O qu e é for e n se e for e n se com pu t a cion a l e on de se a plica m O que é ciência forense O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is Requisitos de uma evidência Requisitos de uma evidência O qu e é in ve st iga çã o for e n se O que prova pericial O que éé prova pericial O qu e é in ve st iga çã o com pu t a cion a l O que é cadeia de custódia Fonte Fon t e de e vidê n cia s e pr ova s ( M e ios / I m a ge m / Evidê n cia evidências provas Meios magem Evidência Volátil) O que é e como se comportar em uma cena de um crime O qu e é e com o se com por t a r e m u m a ce n a de u m cr im e
  9. 9. Pr oce dim e n t os I n ve st iga t ivos e fon t e da s pr ova s Como se preservar as evidências e suas respectivas provas Or de m de pr e se r va çã o de e vidê n cia s Erros em procedimentos investigativos Requisitos investigativos Princípios e processos forenses Forense em sistemas operacionais e sistemas de arquivos Forense em resposta a incidentes
  10. 10. M e t odologia For e n se Investigação em pessoas e testemunhos Investigação em pessoas e testemunhos Investigação no local do crime Investigação das evidências e provas Enfoques da investigação da investigação Como se concluir uma investigação Cuidados na recepção da evidência Integridade de evidências e provas Geração de HASH Geração de imagens imagens Coleta de evidências em ambientes “vivos” e sistemas estáticos Procedimentos para Cadeia de custódia Análise de dados dados Palavras chave Linha de tempo Recuperação de dados Eva sã o for e n se ( cr ipt ogr a fia , de st r u içã o física e e st e ga n ogr a fia )
  11. 11. Fe r r a m e n t a s e e qu ipa m e n t os for e n se s Solu çõe s e m soft w a r e e h a r dw a r e gr a t u it a s e com e r cia is sã o apresentadas em sala e m sa la de a u la , in clu in do H e lix , fe r r a m e n t a s Sysin t e r n a ls, aula, incluindo Helix, ferramentas Sysinternals, Winhex entre outros. Re fe r ê n cia s e docu m e n t os dispon íve is de for e n se com pu t a cion a l que apóiam o processo investigativo.
  12. 12. D e se n volvim e n t o da An á lise For e n se É a pr e se n t a do u m ca so, on de e vidê n cia s sã o ofe r e cida s pa r a execução de uma analise forense com as ferramentas disponíveis em sala de aula.
  13. 13. Ela bor a çã o do la u do pe r icia l Importância do laudo pericial Importância do laudo pericial Cuidados na preparação do laudo Itens de um laudo pericial de um laudo pericial
  14. 14. Est u do de Ca sos – D e sve n da n do Ca sos Fict ícios Acesso indevido. Acesso indevido. Ameaça por e- mail. Ace sso a sit e s por n ogr á ficos( pe dofilia ) . Acesso a sites pornográficos( pedofilia) Roubo de informações privilegiadas com dispositivos removíveis.
  15. 15. I n t r odu çã o e Con ce it os
  16. 16. An t e ce de n t e s da for e n se com pu t a cion a l Ciência Forense: dividida em diversas disciplinas, que atua em conjunto com o investigador na busca pela verdade. American Academy of Forensics Sciences – http:www.aafs.org/ Pathology Biology Examination of the Dead Geology Living Cases Psychiatry Toxicology Questioned Documents Anthropology Criminalistics Odontology Jurisprudence Engeneering Computer Forensics
  17. 17. An t e ce de n t e s da for e n se com pu t a cion a l • Escreveu The Washing Away Of 1248 Wrongs, talvez o primeiro livro sobre forensics da história. Hsi Duan Yu • Trabalha na identificação de causas de morte, diferenciando assassinato Século 18 de suicídio. Antonie Louis 1813 • Considerado o pai da Toxicologia Forense, publicou o primeiro estudo sobre como detectar venenos. Mathieu Orfila
  18. 18. An t e ce de n t e s da for e n se com pu t a cion a l • Primeiro estudo sobre impressão 1822 Digital. Francis Galton • Pressa por envenenar seu marido com arsênico. Este foi o primeiro 1840 caso do uso de técnicas forenses no tribunal Madame Lafarge 1850 • A polícia americana e francesa iniciaram a utilização de “mug shots”.
  19. 19. An t e ce de n t e s da for e n se com pu t a cion a l • Desenvolveu os princípios de 1858 análises de documentos. Albert Osborne • Primeiras histórias do Sherlock 1887 Holmes Arthur Conan Doyle 1887 • Descoberta dos grupos sanguíneos (A, B AB e O). Leone Lattes
  20. 20. An t e ce de n t e s da for e n se com pu t a cion a l • Desenvolveu os princípios de 1891 análises de documentos. Calvin Goddard • Publicou “Fingerprints”, fornecendo evidências estatísticas para 1892 reconhecimento de impressões digitais . Francis Galton • Fascinado pelo “Problem Princípio Início do Século 20 de Locard . Edmund Locard
  21. 21. An t e ce de n t e s da for e n se com pu t a cion a l 1932 • . FBI criou o primeiro laboratório de serviços forense • Iniciou a utilização de bioquímica 1934 na resolução de crimes . Paul Leland Kirk • Pioneiro no uso de lasers para 1970 localizar impressões digitais . Roland Menzel
  22. 22. An t e ce de n t e s da for e n se com pu t a cion a l • Descobriu que cada pessoa possui um DNA único. Sua 1985 descoberta revolucionou a medicina forense. Alec Jeffreys
  23. 23. An t e ce de n t e s da for e n se com pu t a cion a l
  24. 24. An t e ce de n t e s da for e n se com pu t a cion a l Dias Atuais
  25. 25. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico
  26. 26. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico “Ciê n cia for e n se é destinada a preservar, adquirir, obter e apresentar dados que foram processados eletronicamente e armazenados em dispositivo de computador” D e pa r t a m e n t o de Ju st iça dos Est a dos Un idos da Am é r ica - FBI
  27. 27. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico Obt e n çã o e Cole t a de D a dos; I de n t ifica çã o; Pr e se r va çã o; An á lise ; e Apr e se n t a çã o.
  28. 28. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico Obt e n çã o e Cole t a de D a dos Os procedimentos adotados na coleta de dados devem ser formais, seguindo toda uma metodologia e padrões de como se obter provas para apresentação judicial, como um checkList.
  29. 29. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico I de n t ifica çã o Dentre os vários fatores envolvidos no caso, é extremamente necessário saber separar os fatos dos fatores, que possam vir a influenciar ou não um crime, para estabelecer uma correlação na qual se faz um levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a comunicação eletrônica.
  30. 30. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico Pr e se r va çã o Um Perito Forense Computacional experiente, de acordo com Kerr (2001), terá de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense.
  31. 31. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico An á lise Na concepção de Kerr (2001), a análise será a pesquisa propriamente dita, onde o investigador se detém especificamente nos elementos relevantes ao caso em questão pois todos os filtros de camadas de informação anteriores já foram transpostos. Novamente, deve-se sempre ser um profissional atento e cuidadoso em termos da obtenção da chamada "prova legítima", a qual consiste numa demonstração implacável e inquestionável dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas e trilhas dos segmentos de disco utilizados.
  32. 32. O qu e é e o qu e fa z u m pe r it o e pe r it o for e n se in for m á t ico Apr e se n t a çã o De acordo com Freitas (2006) esta fase é tecnicamente chamada de "substanciação da evidência", pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas. Desta forma, quando se tem a certeza material das evidências, atua se em conjunto com uma das partes acima descritas para a apresentação das mesmas.
  33. 33. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam A Ciência da Perícia Forense Computacional, pode ser aplicada nas esferas particulares e órgãos governamentais.
  34. 34. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam Cla ssifica çã o dos Pe r it os For e n se Com pu t a cion a l Perito Judicial Perito Criminal (cívil ou Federal) Perito Extrajudicial Assistente Técnico.
  35. 35. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam O Perito Judicial Nomeado pelo juíz para cada processo, deve possuir formação e habilidades comprovadas. Não é funcionário público.
  36. 36. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam O Perito Criminal (Cívil ou Federal) São funcionários públicos que trabalham na polícia, mas não são policiais.
  37. 37. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam Perito Extrajudicial; Responsável pela elaboração de laudos técnicos, normalmente utilizados em processos para o que chamam de produção antecipada de provas.
  38. 38. O qu e é for e n se e for e n se com pu t a cion a l e on de se aplicam Assistente Técnico É nomeado pelas partes no processos judiciais para que acompanhem o trabalho do perito judicial.
  39. 39. O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is
  40. 40. O qu e é e com o sã o a s e vidê n cia s e e vidê n cia s digit a is Evidê n cia Do latim evidenti Certeza manifesta Qualidade ou condição do que é evidente Provas Demonstrações
  41. 41. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia
  42. 42. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia “Melhor Evidência” Evidência documentada, geralmente contratos assinados (original), pode ser um email assinado digitalmente. digitalmente.
  43. 43. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia “Evidência Secundária” Testemunho. Testemunho. Cópia de um documento, arquivo de computador. computador.
  44. 44. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia “Evidência Conclusiva” Evidência irrefutável que não pode ser negada. Não requer . corroboração. Uma filmagem caracteriza este tipo de evidência.
  45. 45. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia “Evidência Circunstancial” Pode ser utilizada para deduzir ou assumir a existência de outro fato. Ex: usuário estava logado no momento do incidente.
  46. 46. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia Opinião de um Expert O que chamamos de “visão de um expert”. Não opera opiniões, Mas fatos – relatórios ou laudos fornecidos por especialistas.
  47. 47. O qu e é e com o sã o a s e vidê n cia s digit a is Tipos de Evidê n cia Vestígios (logs) Evidências de segunda mão. Nesta categoria são enquadradas os registros de computador. Considerar Sempre Suficiência Confiabiliade Relevância
  48. 48. At r ibu t os da Evidê n cia
  49. 49. At r ibu t os da Evidê n cia Pr im e ir o Se r Con fiá ve l l. Características que garantem a confiabilidade da evidência coletada.
  50. 50. At r ibu t os da Evidê n cia Se gu n do Se r Su ficie n t e . Capaz de explicar o evento como um todo.
  51. 51. At r ibu t os da Evidê n cia Te r ce ir o Se r Re le va n t e . Possuir relação direta com o caso.
  52. 52. Sobr e a s Evidê n cia O qu e FAZER Anotar e fotografar o setup e as conexões dos equipamentos Permitir a finalização da impressão Gravar o que estiver na tela (print- Ata Notarial) Gravar o número do modem se o telefone estiver conectado Empacotar e selar as evidências.
  53. 53. Sobr e a s Evidê n cia Observe
  54. 54. Sobr e a s Evidê n cia O qu e n ã o FAZER Guardar as mídias próximo a telefone celular ou fontes geradoras de energia Iniciar a investigação imediatamente Fechar programa e desligar o equipamento Deixar suspeitos alterar configurações nas máquinas Mover o equipamento ligado.
  55. 55. Sobr e a s Evidê n cia Algu n s t ipos de Evidê n cia s Arquivos digitais Cookies Fotografias Browser Tattos Email
  56. 56. Sobr e a s Evidê n cia Algu n s t ipos de Evidê n cia s Logs dos servidores Histórico do Browser Cache do Browser Bookmarker Logs de IRC e IM
  57. 57. D ica s Sobr e a s Evidê n cia D ica s r e la cion a da s sobr e Evidê n cia s Quanto maior o nível de identificação, maior será a dificuldade em convencer o juíz Existem diversas “verdades”, tenha mente aberta Não menospreze os detalhes (o perito precisa ser perspicaz) Crie uma visão do todo (filme CSI – os peritos por várias vezes refazem e estudam a cena do crime – simulam. Ex: caso menina Isabela Nardoni) Use analogia para fazer a testemunha entender sobre o que você está falando
  58. 58. O qu e é Pr ova Pe r icia l I n ve st iga çã o Com pu t a cion a l
  59. 59. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l "Perícia é o exame feito em pessoas ou coisas, por profissional portador de conhecimentos técnicos e com a finalidade de obter informações capazes de esclarecer dúvidas quanto a fatos. Daí chamar-se perícia, em alusão à qualificação e aptidão do sujeito a quem tais exames são confiados. Tal é uma prova real, porque incide sobre fontes pasivas, as quais figuram como mero objeto de exame sem participar das atividades de extração de informes"
  60. 60. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Perícia informal. É prevista no artigo 421, § 2º, do CPC: "Quando a natureza do fato o permitir, a perícia poderá consistir apenas na inquirição pelo juiz do perito e dos assistentes, por ocasião da audiência de instrução e julgamento a respeito das coisas que houverem informalmente examinado ou avaliado". A Lei dos Juizados Especiais (Lei 9.099/95) dispõe: "Art. 35 - Quando a prova do fato exigir, o Juiz poderá inquirir técnicos de sua confiança, permitida às partes a apresentação de parecer técnico. Parágrafo único - No curso da audiência, poderá o Juiz, de ofício ou a requerimento das partes, realizar inspeção em pessoas ou coisas, ou determinar que o faça pessoa de sua confiança, que lhe relatará informalmente o verificado".
  61. 61. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l I n cide n t e de e x ibiçã o. O juiz pode determinar a exibição de documento ou coisa que se ache em poder da parte ou de parte ou de terceiro (CPC, arts. 355 e ss), para submissão a exame pericial.
  62. 62. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Qu e sit os su ple m e n t a r e s. São os oferecidos antes da entrega do laudo. Dispõe o artigo 425 do CPC: "Poderão as partes apresentar, durante a diligência, quesitos suplementares. Da juntada dos quesitos aos autos dará o escrivão ciência à parte contrária".
  63. 63. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Qu e sit os com ple m e n t a r e s. São os oferecidos após a entrega do laudo. Visam à prestação de esclarecimentos sobre o laudo apresentado. O artigo 435 do CPC dispõe: "A parte, que desejar esclarecimento do perito e do assistente técnico, requererá ao juiz que mande intimá-lo a comparecer à audiência, formulando desde logo as perguntas, sob forma de quesitos. Parágrafo único - O perito e o assistente técnico só estarão obrigados a prestar os esclarecimentos a que se refere este artigo, quando intimados 5 (cinco) dias antes da audiência.
  64. 64. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l For m u la çã o dos Qu e sit os . os. Exemplo de quesito mal formulado: 1. Que o senhor perito informe tudo o que for possível sobre o computador analisado. Exemplo de quesito bem formulado 2. Que o senhor perito informe se o computador analisado armazena dados relacionados à pornografia infantil. 3. Que o senhor perito informe se o computador analisado armazena fotos relacionadas à pornografia infantil.
  65. 65. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Pr in cípios da An á lise For e n se Com pu t a cion a l
  66. 66. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Pr in cípio da obj e t ivida de O perito deve esclarecer a finalidade dos exames em seu laudo, esclarecendo que a conduta que está em estudo e qual o tipo de informação ele deve procurar. “O ambiente informático é muito diverso, por isso o perito deve restringir o escopo de forma objetiva”. André Caricati – Perito Criminal Federal
  67. 67. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Pr in cípio da Espe cificida de Depois de eleito um tema de trabalho, este tema será o norte do relatório pericial, por isso, o perito não deve tomar ou direcionar ações técnicas que não estejam relacionadas ao tema eleito, ou seja, suas ações e buscas são específicas para que se chegue ao menor conjunto de dados do caso.
  68. 68. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Pr in cípio da Sín t e se O perito deve ter a capacidade de consolidar e demonstrar todo o conjunto de informações coletadas por ele e sua equipe durante o procedimento pericial. “O objetivo pericial não é falar muito, mas sim, falar o necessário e se fazer entender”.
  69. 69. O qu e é pr ova pe r icia l I n ve st iga çã o Com pu t a cion a l Pr in cípio da Ce le r ida de O perito deve priorizar todos os procedimentos técnicos que tenham como função garantir o estado de coisas. Neste caso, o perito lança mão dos conhecimentos da “ordem de volatilidade”, ou seja, ele deve analisar sempre o material mais volátil para o material menos volátil. Principaisobjetivos: Principais objetivos: 1. Garantir a preservação do maior número de dados possível. 2. Quanto maior a abrangência da coleta, maior a qualidade da pesquisa e análise dos dados.
  70. 70. Ca de ia de Cu st ódia
  71. 71. Ca de ia de Cu st ódia Prova onde as evidências estavam em um determinado momento e quem era o responsável por ela durante o curso da perícia.
  72. 72. Ca de ia de Cu st ódia Pe r m it e r e spon de r a s se gu in t e s pe r gu n t a s Quem coletou: Como e quando: Quem tem a posse da evidência? Como esta evidência foi armazenada e protegida? Quem buscou a evidência (manipulou) durante o tempo em que ficou armazenada? Por que?
  73. 73. Ca de ia de Cu st ódia
  74. 74. Fon t e s de Evidê n cia s e Pr ova s
  75. 75. Fon t e s de Evidê n cia s e Pr ova s As evidências e Provas Digitais são extraídos de : Processos Pessoas Computadores (aparelhos eletroeletrônicos) Mídias digitais (cd, dvds, etc)
  76. 76. Com o se com por t a r e m u m a ce n a de u m cr im e
  77. 77. Com o se com por t a r e m u m a ce n a de u m cr im e N ã o e x ist e Cr im e Pe r fe it o . . . Princípio da Troca de Locard Edmund Locard’s Principle of Exchange: quando dois objetos entram em contato, sempre haverá transferência de material de um objeto para o outro.
  78. 78. Se gu r a n ça da Ce n a do Cr im e Ce n a do Cr im e Local onde o crime aconteceu, ponto de início da investigação. Onde se concentram o maior número de evidências físicas. 1. Cena primária: estabelecimento assaltado 2. Cena secundária: carro de transporte da vítima 3. Cena terciária: local onde a pessoa foi assassinada 4. Cena quartenária: local onde o corpo foi deixado
  79. 79. Se gu r a n ça da Ce n a do Cr im e Pr im e ir o pa sso Promover a segurança, proteção e preservação das evidências Normalmente o primeiro contato é feito pelo Incident Response Team.
  80. 80. Se gu r a n ça da Ce n a do Cr im e A ca m in h o da ce n a do cr im e , o qu e le va r : o Evidence Bags o Etiquetas o Lacres o Luvas de algodão o HDs para duplicação o Câmera digital
  81. 81. Se gu r a n ça da Ce n a do Cr im e Pr e pa r a n do o Am bie n t e : o Aproximação com uso de testemunha o Definir um perímetro de segurança adequado o Fotografar o ambiente e equipamento o Verificar se o equipamento analisado é o correto
  82. 82. Pr oce dim e n t os I n ve st iga t ivos
  83. 83. Pr oce dim e n t os I n ve st iga t ivos Investigação Em alguns casos não é conveniente envolver terceiros ou agentes legais Quando os agentes legais devem ser notificados? Notificação obrigatória: 1. Quando envolver a segurança das pessoas 2. Quando envolver a segurança nacional 3. Quando envolver pornografia infantil
  84. 84. Pr oce dim e n t os I n ve st iga t ivos Investigação Passos para a segurança da cena Formulação do Plano Abordagem frente a cena do crime Documentar
  85. 85. Pr oce dim e n t os I n ve st iga t ivos For m u la çã o do Pla n o Antever o que você vai encontrar na cena do crime Identificar os tipos de computadores e mídias envolvidos Tipo de ambiente – escritório ou doméstico Quem estará presente, suspeitos ou vítimas? Que tipo de material para coleta de evidências será necessário? Definição de papeis e responsabilidades
  86. 86. Pr oce dim e n t os I n ve st iga t ivos Abor da ge m Preparar Mandado Considerar a segurança das pessoas envolvidas Tomar nota de tudo (detalhadamente) Remover os suspeitos da área Considerar possibilidade de remover outras pessoas da área
  87. 87. Pr oce dim e n t os I n ve st iga t ivos D ocu m e n t a çã o Iniciar narração dos eventos (gravação) Fotografar a cena Fotografar todos os equipamentos apreendidos Fotografar as telas dos monitores Preservar o layout de computadores, cabos, etiquetas, etc Documentar condições do ambiente (temperatura e etc)
  88. 88. Pr oce dim e n t os I n ve st iga t ivos Pr in cipa is Pa ssos Gerar hash do Hard Disk Criar imagem do Hard Disk Auditoria em arquivos críticos Busca por arquivos modificados no momento do incidente Análise de histórico de acesso à internet Análise em arquivos removidos Análise de logs (firewall, sistemas críticos, outros ativos . . .) Mapear portas abertas (port scan)
  89. 89. M e t odologia For e n se Levantamento de Informações Coleta e tratamento de evidências Análise de resultados (Processo de Análise)
  90. 90. M e t odologia For e n se I n ve st iga çã o e m pe ssoa s e t e st e m u n h os – loca l do cr im e !!! Alguém Viu ! Alguém sabe ! Por que estão protegendo? Como o Perito Forense Computacional deve agir nesse momento?
  91. 91. M e t odologia For e n se At e n çã o se n h or Pe r it o !!! Cada processo de análise forense possui particularidades devido a eventos e tecnologias envolvidas, o que nos leva a ter que reavaliar e definir o melhor método/princípio de trabalho em cada um deles. As informações apresentadas visam demonstrar os principais pontos que uma análise forense computacional deve conter, para que o processo seja válido e possa ser implementado denture de uma organização.
  92. 92. M e t odologia For e n se En foqu e s da in ve st iga çã o O qu e o você qu e r “En con t r a r ?” Lembre-se: Perícia Forense Computacional é uma ciência técnica científica, não mãe Diná !!!
  93. 93. Com o se con clu ir u m a in ve st iga çã o An á lise de Evidê n cia s As evidências coletadas devem ser analisadas e correlacionadas com as hipóteses levantadas. Geração de Relatório Agrupamento de todos os aspectos avaliados e conclusão.
  94. 94. Com o se con clu ir u m a in ve st iga çã o Con t e ú do do Re la t ór io Sumário Executivo Sumário Executivo Objetivos Descrição do Evento Metodologia utilizada Breve descrição das evidências e hipóteses Não Esqueça: Apresentação detalhada das hipóteses. Apresentação das evidências.
  95. 95. Com o se con clu ir u m a in ve st iga çã o Con t e ú do do Re la t ór io Correlação entre evidências e hipóteses. Parecer Final – Conclusão Anexos Entrevistas realizadas Entrevistas realizadas Ativos Analisados
  96. 96. Com o se con clu ir u m a in ve st iga çã o Fe ch a m e n t o Início da Investigação Início da Investigação Requerimentos Contato Inicial Desenvolvimento Identificação Incidente Identificação dodo Incidente Salvaguarda do Ambiente Coleta de Evidências Análises Encerramento Encerramento Laudo Pericial
  97. 97. Com o se con clu ir u m a in ve st iga çã o Con t e ú do do Re la t ór io Correlação entre evidências e hipóteses. Parecer Final – Conclusão Anexos Entrevistas realizadas Entrevistas realizadas Ativos Analisados
  98. 98. I n t e gr ida de de e vidê n cia s e pr ova s Ge r a n do H a sh (garantir a integridade dos dados) Como funciona a geração de Como funciona a geração de hash? hash? C:md5.exe c:evidencia.zip = hash do arquivo evidencia.zip 2496336ae2f2493ab2e26df901fae931
  99. 99. Ge r a n do im a ge n s Cole t a de Evidê n cia s e m a m bie n t e s “vivo” e Sist e m a s Est á t icos
  100. 100. An á lise de D a dos Massa de Dados em Análise Listagem de arquivos; Partições; Lista de Tipos de Arquivos; Arquivos Apagados; Validação de dados em espaço não alocado.
  101. 101. Lin h a de t e m po N e st a fa se t e m os os se gu in t e s Tópicos. • Timeline dos eventos; • Correlação dos eventos; • Causa e efeito dos eventos; • Interpretação dos resultados.
  102. 102. Lin h a de t e m po Após a va lida çã o de t oda s a s in for m a çõe s r e le va n t e s contidas em uma mídia ou dispositivo de armazenamento, é necessário criar um timeline com todos os fatos relevantes durante a realização da perícia. durante a realização da perícia.
  103. 103. Lin h a de t e m po Exemplo de time Line de Eventos Diária Data Hora ID Evento 14/07/2009 10:23 # 01 Logo no sistema 15/07/2009 10:25 # 02 Acesso aos e-mails (conteúdo) 16/07/2009 10:27 # 03 Envio de e-mail (conteúdo) 17/07/2009 10:35 # 04 Acesso aos arquivos (conteúdo)
  104. 104. Re cu pe r a çã o de da dos Ge t D a t a Ba ck
  105. 105. Fe r r a m e n t a s e e qu ipa m e n t os For e n se Com pu t a cion a l
  106. 106. Fe r r a m e n t a s e e qu ipa m e n t os For e n se s
  107. 107. Solu çõe s e m soft w a r e gr a t u it a s e com e r cia is sã o a pr e se n t a da s H é lix
  108. 108. Solu çõe s e m soft w a r e gr a t u it a s e com e r cia is sã o a pr e se n t a da s En Ca se
  109. 109. Solu çõe s e m soft w a r e gr a t u it a s e com e r cia is sã o a pr e se n t a da s W in h e x
  110. 110. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico
  111. 111. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Ca pa I n icia l Obrigatoriamente deve conter as seguintes informações: • Nome do exame realizado. Ex: Autoria e indentificação do emissor de correio eletrônico. • Nome do perito(s) que realizaram o procedimento • Número do IP, Processo ou No. do Laudo • Nome do solicitante do procedimento • Data e local dos exames
  112. 112. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico I n t r odu çã o O perito descreve de forma breve o que é a computação forense e quais seus campos de atuação.
  113. 113. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Br e ve h ist ór ico do ca so O perito relata de forma breve os acontecimentos que motivaram o exame pericial.
  114. 114. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Pr oce dim e n t os Té cn icos O perito “explica” os procedimentos básicos de duplicação e assinatura de cópia forense, descrevendo a sua integridade e a lisura dos exames.
  115. 115. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Te r m o de Com pr om isso le ga l Termo redigido em formato próprio e solene, do compromisso de bem e fielmente cumprir com o encargo aceito.
  116. 116. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Ca de ia de Cu st ódia Muito importante, ela retrata a forma legal de como o perito recebeu o material de exames e como o mesmo o devolveu a Justiça ou a parte interessada.
  117. 117. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Re spost a a os qu e sit os e la bor a dos Serão elaboradas com clareza e fidelidade aos resultados coletados.
  118. 118. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico D in â m ica s dos e ve n t os (time-line) Descrever e registrar o momento em que cada ato do exame foi colocado em prática, a expressão também e empregada para se estudar o comportamento de um determinado evento(s) no decorrer do tempo.
  119. 119. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Re gist r os dos pr oce dim e n t os de a n á lise com som a de ve r ifica çã o de . Após os procedimentos, seus resultados devem ser assinados com sistema de soma de verificação para posterior gravação de CD .
  120. 120. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Solicit a çõe s de diligê n cia s e ou in for m a çõe s. Muito comuns nos casos de maior complexidade, em sua maioria são necessárias quando há necessidade de informações junto a provedores, empresas de software, etc para o parecer final .
  121. 121. Apr e se n t a çã o da Est r u t u r a m ín im a do La u do Té cn ico Pa r e ce r Fin a l Conclusões com base nas repostas aos quesitos .
  122. 122. Té cn ica s e pr á t ica s de r e da çã o de La u do Té cn ico
  123. 123. Técnicas e práticas de redação de laudo pericial Partimos do pressuposto da certeza científica, vez que a criminalística faz uso da metodologia de pesquisa e das ciências auxiliares, portanto, as expressões do tipo: ACHAMOS QUE, EU ACHO, NÓS ACHAMOS, ACHO QUE SIM, ACHO QUE NÃO, PODERIA, TALVEZ, SERIA TALVEZ, enfim, todas aquelas que trazem DÚVIDA OU INCERTEZA NÃO PODEM ser empregadas na redação técnica, o que seria uma grande “mão” as estratégias de combate ao laudo produzido e acarreteria prejuízos ao trabalho produzido e a reputação do profissional.
  124. 124. Técnicas e práticas de redação de laudo pericial Ao contrário, o documento pericial deve ser dotado de CERTEZA E OBJETIVIDADE, com a utilização de expressões do tipo: CONSTATAMOS, VERIFICAMOS, CERTIFICAMOS, APONTAMOS, DEMONSTRAMOS, PROVAMOS.
  125. 125. Técnicas e práticas de redação de laudo pericial O perito judicial e Engenheiro da Computação Joaquim Moreira dos Anzóis, em sua obra, “Pericial Judicial”, Editora Universitária de Direito, ano 2006 escreve:
  126. 126. Técnicas e práticas de redação de laudo pericial “Deve, portanto, o perito tomar determinadas cautelas nas respostas aos quesitos, pois são essas respostas que vão orientar o juíz na prolação da setença. Elas devem ser:”
  127. 127. Técnicas e práticas de redação de laudo pericial CLARAS: Evitarpalavras de duplo sentido ou linguagem intrincada e obscura que possa prejudicar a compreensão da matéria envolvida.
  128. 128. Técnicas e práticas de redação de laudo pericial OBJETIVAS: Atenderexclusivamente aquilo que foi perguntado, sem expor opiniões pessoais não alicerçadas em fatos ou sem o competente fundamento técnico.
  129. 129. Técnicas e práticas de redação de laudo pericial PERTINENTES: Ater-se à matéria envolvida na causa, sem tecer considerações sobre fatos estranhos ao assunto, tais como ocorrências passadas ou cogitações futuras não alicerçadas tecnicamente.
  130. 130. Técnicas e práticas de redação de laudo pericial CONCISAS: Evitar a proxilidade, ou seja, a narração extensa de fatores que podem ser resumidos em poucas palavras, sem perder o seu conteúdo. A concisão dá mais força aos vocábulos cujo emprego ciriterioso torna a leitura do laudo menos cansativa e evita dispersão do raciocínio.
  131. 131. M OD ELOS
  132. 132. M OD ELOS MODELO DE INTRODUÇÃO A Computação Forense é ciência auxiliar da criminalística que tem como objetivo esclarecer e investigar de forma científica o ambiente informático quando este foi utilizado para a prática de crimes, tais como: fraudes financeiras, utilização de sistema de correio eletrônico, recuperação de arquivos e/ou partições destruídas pelo criminoso, quebra de senhas em arquivos ou sistemas que contenham informações vitais a investigação policial, enfim, ela se vale de todo um conjunto de conhecimentos da informática para o esclarecimento de autoria e materialidade dos mais diversos tipos de crime.
  133. 133. M OD ELOS MODELO DE BREVE HISTÓRICO DO CASO Foi registrado junto a Delegacia Especializada de Repressão de roubo a Bancos, uma Notícia Crime promovida pela Administradora de Cartões AYZ S/A, a qual dava conta de uma série de prejuízos financeiros sofridos pela instituição devido a ação de fraudadores localizados na Cidade de Faz de Conta, Estado de Felicidade. Conta à peça inicial, que os fraudadores faziam uso de cadastros de clientes do sistema de cartões de crédido do banco, os quais eram adquiridos de forma indevida para manterem contato telefônico com estes e fazê-los crer que se tratava de uma central de relacionamento do sistema VIU E MOSTARDACARD, desta forma, iludiam os clientes, solicitavam produtos e serviços em seus nomes e ainda apropriavam-se de senhas de atendimento utilizadas para operações financeiras pelo telefone, tais como, o pagamento de títulos bancários.
  134. 134. I P – I n qu é r it o Policia l
  135. 135. I P – I n qu é r it o Policia l O inquérito policial é um procedimento policial administrativo, anterior a ação penal (pré-processual) , mantido sob a guarda do Escrivão de Polícia e presidido pelo Delegado de Polícia.
  136. 136. I P – I n qu é r it o Policia l Tem por objetiva fornecer ao órgão da acusação os elementos necessários para formar a suspeita do crime, a justa causa que necessita aquele órgão para propor a ação penal, com os demais elementos probatórios, ele orientará a acusação na colheita de provas que se realizará durante a instrução processual.
  137. 137. M ode lo I P – I n qu é r it o Policia l Aos vinte e dois dias do mês janeiro ao ano de dois mil e nove (2009) nesta cidade de Faz de Conta, Estado de mentinrinha, onde presente se achava na sede da Delegacia Especializada de Falsificações e Defraudações da Polícia Civil do Estado de Mentirinha, o Bola Joao das Contas, Delegado de Polícia, o qual nomeou esse signatário como PERITO ADHOC para este ato especificamente com o objetivo de se produzir a prova técnica pericial de natureza definitiva . Tendo aceitado a presente incumbência, passo a qualificar- me e prestar o devido compromisso legal. CLAUDEMIR DA COSTA QUEIROZ, brasileiro, casado, analista de segurança da informação, perito extra-judicial, filho de Fulano de Tal e Fulana de Tal, Portador da RG 123456 SSP-CE, expedida em 22 de abril de 1990, domiciliado a Rua da Beleza, número 234, bloco A, Apto 890, bairro de Fantasia, Cidade de Faz de Conta, CEP 000000, local aonde recebo intimações , podendo ainda ser localizado pelos telefones 55-876533 ou pelo correio eletrônico claudemirqueiroz@gmail.com; Declaro sob as penas da lei penal que possuo curso de nível superior em ciência da computação, Mestrando profissional em Computação Forense, que atuo como analista de segurança da informação na Empresa XPTO12, atuo como professor universitário ministrando disciplinas em segurança da informação, atuo ministrando curso de extensão em Perícia Forense Computacional com ênfase em crimes eletrônicos. Passo a prestar o devido compromisso legal de bem e fielmente cumprir com o encargo de perito a mim ora delegado, onde me comprometo a proceder comforme a legislação penal e processual penal vigente; Passo agora a examinar, fotografar, relatar e reduzir a termo escrito tudo o que a mim foi perguntado pelo senhor Delegado em forma de quesitos, informando ainda outros fatos que sejam relevantes ao feito.
  138. 138. M ode lo de Pa r e ce r Fin a l e m I P Verifica-se pelo conjunto de dados (informações) colhidos nos computadores apreendidos que há farta quantidade de números e cadastros de cartões de crédito, boletos bancários emitidos, dados sobre compras e pagamentos por boletos bancários que configuram a posse e utilização dos mesmos de forma indevida pela pessoa do indiciado João das Contas, havendo robusta materialidade (conjunto de informações) e autoria determinada dos crimes investigados neste IP.
  139. 139. M ode lo de Te r m o de En ce r r a m e n t o Nada mais havendo a ser analisado ou descrito, passo a encerrar o presente laudo técnico, que fora produzido em duas (02) vias de igual teor e forma, contendo ambas 73 (setenta e três) páginas, no que lavro o presente termo de encerramento que foi por mim perito relator digitado e assinado, e pelo perito revisor apenas assinado. N om e ( s) e a ssin a t u r a ( s) do( s) pe r it o( s)
  140. 140. M ECAN I SM OS D E PERSUASÃO
  141. 141. MECANISMOS DE PERSUASÃO Ducrot D u cr ot formula três leis do discurso
  142. 142. MECANISMOS DE PERSUASÃO 1 a . D a in for m a t ivida de – a. Da informatividade “o falante deve dizer ao ouvinte o que supõe que o ouvinte desconheça”. No caso do perito falando ao juiz, deve-se ater às normas técnicas e ao conhecimento da matéria técnica, sem ingressar no terreno jurídico, o qual se pressupõe que o juiz conheça.
  143. 143. MECANISMOS DE PERSUASÃO 2 a . D a e x a u st ivida de – a. Da exaustividade “o locutor deve dar as informações mais fortes que tiver sobre o tema em questão”. O perito deve fornecer ao juíz o maior número de informações possível; ser conciso, e não ser lacônico. Ser lacônico é sonegar informações.
  144. 144. MECANISMOS DE PERSUASÃO 3 a . O u so de lít ot e s – a. uso lítotes Consiste em desenvolver sobretudo o tratamento dos implícitos da linguagem, pressupostos e subentendidos. Ao pressupor um conteúdo, o enunciador determina sua aceitação como condição de manutenção do diálogo. Por exemplo, pressupor as normas como de aceitação tácita para que o discurso tenha prosseguimento. A lítote consiste em deixar alguma coisa vaga para que o interlocutor interprete, assumindo assim a responsabilidade pelo que foi dito, ou pelo que deixou de ser dito, livrando o enunciador da responsabilidade do dizer.
  145. 145. D EM ON STRAÇÃO E ARGUM EN TAÇÃO
  146. 146. D EM ON STRAÇÃO E ARGUM EN TAÇÃO A demonstração liga-se à experiência e à dedução lógica e utiliza provas analíticas. A argumentação emprega provas dialéticas e diz respeito ao verossímil, ao plausível, ao provável, escapando das certezas do cálculo lógico.
  147. 147. D EM ON STRAÇÃO E ARGUM EN TAÇÃO O perito não precisa esforçar-se muito para demonstrar que dois mais dois são quatro, verdade tida como universal. A im por t â n cia de su a a r gu m e n t a çã o a u m e n t a obvia m e n t e , n a m e dida e m qu e t e m qu e de m on st r a r pa r a o j u íz a sse r çõe s qu e de pe n de m de opin iõe s. Nesse ponto, sua opinião deve estar muito bem alicerçada em fatos e fundamentos e a linguagem precisa ser apurada, sempre levando em conta as características da linguagem do juiz.
  148. 148. O AUD I TÓRI O D O PERI TO É O JUI Z
  149. 149. O AUDITÓRIO DO PERITO É O JUIZ Existem Ex ist e m dois tipos de auditório: auditório: Auditório particular Auditório universal
  150. 150. O AUDITÓRIO DO PERITO É O JUIZ O O Auditório Universal É “constituído pela humanidade toda ou ao menos por todos os homens adultos e normais”
  151. 151. O AUDITÓRIO DO PERITO É O JUIZ O O Auditório Particular É formado apenas pelo locutor ao qual o locutor se dirige.
  152. 152. O AUDITÓRIO DO PERITO É O JUIZ . . . Ca da cu lt u r a , ca da cla sse socia l, ca da in divídu o t e m su a pr ópr ia con ce pçã o de a u dit ór io u n ive r sa l e pa r t icu la r e , a pa r t ir de la , fa z va r ir a r a “a r gu m e n t a çã o” .
  153. 153. O AUDITÓRIO DO PERITO É O JUIZ A retórica mais eficaz é aquela que emprega apenas provas lógicas (demonstração). A argumentação apresentada ao auditório particular procura persuadir o ouvinte a realizar uma ação imediata ou futura, desenrolando-se essencialmente no plano prático.
  154. 154. O AUDITÓRIO DO PERITO É O JUIZ A distinção de convencer e persuadir depende, portanto, do auditório representado pela enunciação. São as relações perito/juíz que vão definir o tipo de discurso a ser utilizado para persuasão do magistrado.
  155. 155. O EM PREGO D A I LUSTRAÇÃO
  156. 156. O EM PREGO D A I LUSTRAÇÃO O perito forense pode u sa r m e t á for a s para enfatizar o que está dizendo. Por exemplo: “Pescar em águas turvas” e “buscar a prova onde não se pode enxergá-la, é procurar inventar o que não existe”.
  157. 157. O EM PREGO D A I LUSTRAÇÃO Pode ser usada também a m e t on ím ia , que é a designação de um objeto por palavra designativa d’outro objeto que tem com o primeiro uma relação. Exemplo: causa e efeito (trabalho, por hora); continente e conteúdo (copo, por bebida)
  158. 158. TRAÇOS REVELAD ORES D E I N TEN ÇÃO
  159. 159. Traços Reveladores de Intenção O perito, quando elabora o arrazoado de seu laudo, na quando elabora o arrazoado de seu na qualidade de sujeito da enunciação, está condicionado às normas de perícia e aos conhecimentos específicos que adquiriu para exercer a função de perito. O juíz, ao interpretar o parecer técnico do assistente , tem sempre presente característica do assistente técnico e sendo o seu receptor interpretante procura escoimar do parecer técnico tudo quanto reduza tendenciosidade ou ideologia própria do interesse da parte que o contratou.
  160. 160. PROD UÇÃO D O D I SCURSO ( la u do)
  161. 161. PROD UÇÃO D O D I SCURSO ( la u do) EXÓRD I O apresentação do tema ou da tese a ser desenvolvida. Deve ser leve, incisivo, provocar uma mudança de comportamento no destinatário, de forma a tirá-lo de uma posição ou passividade e predispô-lo a ouvir ou ler o discurso.
  162. 162. PROD UÇÃO D O D I SCURSO ( la u do) N ARRAÇÃO Narrativa dos fatos que vão motivar o aparecimento da tese apresentada. Eles devem ser apresentados de forma a justificar uma ação que será exercida no sentido de dar resposta a esses fatos que clamam por uma solução ou por uma conclusão.
  163. 163. PROD UÇÃO D O D I SCURSO ( la u do) CON FI RM AÇÃO Exposição da tese para solucionar os problemas apresentados, ou concluir baseado nela.
  164. 164. PROD UÇÃO D O D I SCURSO ( la u do) PERORAÇÃO Encerramento do discurso em final das conclusões apresentadas, colocando um final mediante uma frase de fecho conclamando o destinatário a aceitar a tese exposta.
  165. 165. PROD UÇÃO D O D I SCURSO ( la u do) LEM BRES - SE BRES- No ato de nomeação do perito, o juíz surge como destinador manipulador do experto, solicitando-lhe um obj e t o de va lor que é a conclusão do laudo: a pr ova pe r icia l. Para atingir esse obj e t o de va lor , o perito tem que primeiro estar capacitado, qualificado para realizar esse tipo de trabalho.
  166. 166. O PERI TO É O GUARD I ÃO D A VERD AD E !!! “VERI TAS ASSEVERARE”
  167. 167. OBRI GAD O !!!
  168. 168. Bibliografia FREITAS, Andrey Rodrigues de. Perícia Forense Aplicada a Informática: ambiente Microsoft. 1. ed. Rio de Janeiro: Brasport, 2006. NG, Reynaldo. Forense Computacional Corporativa. 1. ed. Rio de Janeiro: Brasport, 2007. PEIXOTO, Mário César Pintaudi. Criando um CSIRT: Computer Security Incident Response Team e entendendo seus desafios. 1. ed. Rio de Janeiro: Brasport, 2008. FIGUEIREDO, Jorge Ramos. Computação forense: apostila. Fortaleza: Faculdade Evolução, 2008. RAMOS, Fábio F. Forense Computacional: apostila. Fortaleza: Axur Academy, 2006. MANDIA, Kevin; PROSISE, Chris; PEPE, Matt. Incident Response & Computer Forensics. New York: McGraw-Hill/Osborne, 2003. DAN, Farmer; VENEMA, Wietse. Perícia Forense Computacional Teoria e Prática. São Paulo: Pearson , 2005.
  169. 169. Bibliografia EMILIO, Tissato Nakamura. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2007. PINHEIRO, Patrícia Peck. Direito Digital. 3. ed. São Paulo: Saraiva, 2009. JOSÉ, Fiker. Linguagem do Laudo Pericial: técnicas de comunicação e persuasão. 1. ed. São Paulo: Leud, 2005. ROVINSK, Sonia Liane Reichert. Fundamentos da Perícia Psicológica Forense. 2. ed. São Paulo: Vetor, 2007. LAU, Marcelo. Treinamento em Forense Computacional. São Paulo, 2008.
  170. 170. This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasing Win2PDF.

×