Da perícia em dispositivos informáticos de armazenamento

Retoma-se aqui a discussão sobre os componentes informáticos de armazenamento de informações, apresentando-se agora os principais ex- ames periciais feitos sobre eles. Contudo, antes de adentrar nesse mérito, insta salientar as principais características desses componentes que ter- minam por abalizar a metodologia utilizada nos exames. Elas são: fragil- idade, facilidade de cópia, e sensibilidade ao tempo de vida e ao tempo de uso (ELEUTÉRIO; MACHADO, 2010, p. 51).

A fragilidade diz respeito à sensibilidade dos componentes ao atrito com outros objetos, colisões e trepidações. Os procedimentos de gravação e leitura promovidos no e pelo disco rígido, bem como nos CDs, DVDs, entre outros, são bastante sensíveis, sendo que abalos podem compromet- er o componente informático fisicamente e, consequentemente, a inform- ação nele guarnecida.

Já a facilidade de cópia se vincula à composição da informação que, como visto anteriormente, é formada por dados informáticos, sendo estes caracterizados como sequências binárias de “0” (ausência de corrente elétrica) e “1” (presença de corrente elétrica). Diante da sua simplicidade e se utilizando de mecanismos de correção de erros60 _(ELEUTÉRIO;

MACHADO, 2010, p. 51), os dados podem ser facilmente copiados de um dispositivo para outro. A fim de preservar o material analisado, os peritos realizam cópias e, sobre elas, realizam os exames periciais.

A sensibilidade ao tempo de vida significa a possibilidade de danos físicos nos dispositivos informáticos de armazenamento, bem como a probabilidade de sua desmagnetização. Por isso que é indicada a realiza- ção de cópias de segurança (backup) das informações presentes nos dis- positivos de armazenamento. Por fim, a sensibilidade ao tempo de uso se vincula à diminuição de possibilidades de recuperação da informação face ao transcurso do tempo. Isso porque uma informação inserida em um dis- positivo de armazenamento pode ser substituída por um novo registro,61

perdendo-se, portanto, no tempo.

A partir das características acima apontadas, possível é a discussão sobre as fases do exame pericial em dispositivos de armazenamento, o que se passa a fazer nos tópicos a seguir.

6.2.2.1 Das fases do exame pericial nos componentes

informáticos de armazenamento de informações

As fases da perícia realizada sobre os componentes informáticos de armazenamento de dados podem variar de acordo com o dispositivo sub- metido a exame. Contudo, analisar-se-á aqui o exame realizado nos dis- positivos de mídia de armazenamento por ser o mais comum na perícia informática. Suas fases são: preservação, extração, análise e formalização.

A preservação visa garantir a integridade das informações presentes nos dispositivos informáticos, de modo que eles não sejam alterados ou excluídos (COSTA, 2003, p. 25). Nesse sentido, deve-se evitar até mesmo ligar um computador que possua instalado um sistema operacional como, por exemplo, o Microsoft Windows ou o Linux, pois sempre que o sistema é iniciado há uma alteração de seus dados, já que são criados arquivos temporários, além da alteração da data do último acesso. As informações

gravadas em mídias como CD e DVD também são vulneráveis, pois podem ser inutilizadas mediante o mau acondicionamento das mídias. Por fim, os dispositivos de armazenamento portáteis como, por exemplo, o pen

drive e o cartão de memória, não devem ser inseridos em qualquer porta

USB. Isso porque os computadores que utilizam o sistema operacional

Microsoft Windows, por exemplo, quando detectam a presença de algum

dispositivo nas portas USB geralmente gravam dados no respectivo com- ponente, comprometendo assim a sua integridade (ELEUTÉRIO; MACHADO, 2010, p. 54). Com o objetivo de evitar a alteração das inform- ações contidas nos dispositivos informáticos, o perito não realiza o exame pericial a partir do dispositivo original, mas, sim, utiliza-se de uma cópia. Logo, através de dois procedimentos, o espelhamento ou a imagem,62_o

perito copia as informações do material a ser periciado, utilizando-as nos exames e preservando, por sua vez, o original.

Já a fase de extração é aquela em que se tem a recuperação dos dados armazenados na cópia realizada na fase anterior. A extração é comumente realizada através do procedimento da recuperação de arquivos e da index- ação de dados. No primeiro, deve-se ter em mente que os dispositivos in- formáticos guardam mais informações do que aquelas visíveis ao usuário comum. Assim, um disco rígido, por exemplo, no qual esteja instalado, por exemplo, o sistema operacional Microsoft Windows, possui, para além dos arquivos visíveis aos usuários, arquivos ocultos, temporários, bem como arquivos de sistema possuidores de uma alta complexidade téc- nica. A grande tarefa da recuperação de arquivos é justamente tornar visível a informação que, a priori, tem sua existência desconhecida pelo usuário comum, mas que, nos crimes informáticos, pode ser decisiva na definição de uma absolvição ou condenação. Como exemplo de aplicação da recuperação de arquivos, tem-se a situação em que arquivos são apagados do disco rígido de um computador, sendo que, nessa hipótese,

“o sistema operacional não sobrescreve todo o conteúdo ocupado por esse arquivo no disco com zeros e/ou uns. Ele apenas tem um controle de quais partes do disco rígido estão livres e quais estão ocupadas” (ELEUTÉRIO; MACHADO, 2010, p. 63). Em outros termos, o dado não é apagado, havendo apenas a interpretação do sistema operacional de que o espaço anteriormente ocupado por ele está livre. Desse modo, com téc- nicas adequadas é possível recuperar a informação que o agente crê ter apagado, sendo que quanto antes o procedimento for realizado maiores serão as chances de recuperação dos dados informáticos. Isso, pois, como o sistema operacional percebe o espaço da informação como “disponível”, ele pode a qualquer momento sobrescrever aquele espaço com novos da- dos. Já em relação à indexação de dados, esta se presta a percorrer todos os dados (bits) do dispositivo informático de armazenamento, encon- trando todas “as ocorrências alfanuméricas, organizando-as de forma que sejam acessadas e recuperadas rapidamente” (ELEUTÉRIO; MACHADO, 2010, p. 64). Tem-se aqui uma forma de se acessar com agilidade a in- formação almejada — funciona como uma espécie de localizador das se- quências de letras e números buscadas.63

A terceira fase do exame realizado nos dispositivos de mídia de armazenamento é a análise. Nela é feita o exame das informações obtidas na fase da extração, no intuito de encontrar elementos informáticos (isto é, informações) que possam contribuir na elucidação do ilícito penal. Con- siderando que é grande a capacidade de armazenamento dos dispositivos informáticos, o que poderia tornar inviável um exame pericial (um disco rígido de 100 gigabytes pode conter mais de um milhão de arquivos), na fase da análise o perito se utiliza de algumas ferramentas64_{que atuam}

como filtros, auxiliando-o na identificação dos dados que realmente são de interesse do exame.

A quarta e última fase é a da formalização. Aqui há a elaboração do laudo pericial (art. 160, CPP), contendo as conclusões do perito obtidas na fase anterior. No laudo não devem constar opiniões do perito, mas, sim, a conclusão de suas análises técnicas. Objetivamente, o laudo se estrutura na apresentação dos seguintes itens obrigatórios: (i) preâmbulo – parte de identificação do laudo; (ii) material de análise – descrição do material que será submetido a exame; (iii) objetivo do exame pericial – qual a meta a ser atingida através do laudo; (iv) exames – descrição das fases utilizadas adotadas na realização do exame; (v) conclusão/resposta aos quesitos – parte na qual os peritos apresentam suas conclusões técnicas e respondem aos quesitos (dúvidas) a eles apresentados. Ressalta-se que o laudo peri- cial não vincula o juiz na tomada de suas decisões (art. 182, CPP), po- dendo este, desde que fundamentadamente, aceitá-lo ou rejeitá-lo, no to- do ou em parte.