Metodologia Forense para Obtenção de Evidencias

Atualmente, o aumento na capacidade de armazenamento de dados e dos crimes cibernéticos, é muito grande em relação ao número de peritos, dificultando a obtenção de evidências.

“As evidências são peças utilizadas por advogados nos tribunais e cortes do mundo inteiro, mas para que sejam consideradas provas válidas é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática” (PEREIRA et al., 2007, p. 17). Desta forma, as mesmas devem ser preservadas e documentadas.

O propósito do exame forense é a extração de informações de qualquer vestígio relacionado ao caso investigado, que permitam a formulação de conclusões acerca da infração (PINHEIRO, 2007).

Para a aquisição de dados, é importante também, estabelecer padrões. Os padrões metodológicos seguem o princípio de que todas as organizações que lidam com a

investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidencias (PINHEIRO, 2009).

De acordo com Adams (2000, apud Vargas, 2007), atualmente já existem padrões metodológicos bem definidos e desenvolvidos pelo SWGDE (Scientific Working Group on Digital Evidence), que é o representante norte-americano na International Organization on Computer Evidence (IOCE). Tais padrões foram apresentados durante a International Hi- Tech Crime and Forensics Conference (IHCFC), realizada em Londres, de 4 a 7 de outubro de 1999.

Conforme Vargas (2007), esses padrões seguem o princípio de que todas as organizações que lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências.

Ainda afirma que, esse nível de qualidade pode ser atingido através da elaboração de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica internacional.

Para Vacca (2005, tradução nossa), existem cinco propriedades que a evidência deve ter para ser útil:

 aceitável: é a regra básica. A evidência deve ser capaz de ser usada no tribunal ou de outra forma;

 autêntica: a evidência deve estar relacionada ao crime;

 completa: a evidência não deve mostrar só uma perspectiva do incidente;

 confiável: os procedimentos de coleta e da análise não devem deixar dúvida da autenticidade e da veracidade da evidência;

 acreditável: a evidência, que vai ser apresentada deve ser claramente compreensível e acreditável para o júri.

É importante registrar a localização da cena, as condições dos aparelhos eletrônicos que o perito esta analisando e realizar a documentação detalhada do processo, utilizando vídeo, fotografia e anotações para que possam ser transmitidos os detalhes da cena.

Ainda, Vacca (2005, tradução nossa) diz que, quando se coleta e analisa uma evidência, há quatro procedimentos gerais que se deve seguir: identificação, preservação, análise e apresentação da evidência.

2.8.3.1 Obtenção e Coleta de Dados

É onde se inicia a investigação, sendo definidas estratégias para chegar ao resultado esperado, encontrar evidências.

Segundo Vargas (2007), os procedimentos adotados na coleta devem ser formais, seguindo metodologias e padrões de como se obter provas para apresentação judicial, como um checklist, de acordo com as normas internacionais de padronização.

Ainda afirma que (2007; p. 1) na hora da identificação dos dados:

É extremamente necessário saber separar os fatos dos fatores, que possam vir a influenciar ou não um crime, para estabelecer uma correlação na qual se faz um levantamento das ligações relevantes como datas, nomes de pessoas, autarquias, etc, dentre as quais foi estabelecida a comunicação eletrônica.

Deve-se ter conhecimento do sistema que será manipulado, utilizar as ferramentas certas para coletar as evidências, de modo que não sejam tomadas ações precipitadas, garantindo a integridade dos dados.

Buscar por vestígios de um crime em um sistema computacional consiste em uma varredura minuciosa nas informações que estão armazenadas nele. A análise dessas informações passa pelos dispositivos de armazenamento de massa até a memória volátil (REIS & GEUS, 2001, apud CLEMENTE, 2009).

Para Cansian (2000; p. 141/156), “é importante sempre fazer a coleta de dados de acordo com a ordem de maior volatilidade para a de menor, dos elementos mais utilizados”:

 registros de memória periférica, cache;

 memória principal;

 estado da rede, rotas, interfaces;

 processos em execução;

 discos e partições;

 fitas, disquetes e outros meios magnéticos;

Outra forma de obter evidências é remotamente, utilizando outro computador para acessar o equipamento que está sendo analisado.

Há, também, casos em que os dados adquiridos estão fora do local físico da

investigação, como por exemplo, provedores de internet ou servidores cooperativos. Nessa situação, um mandato judicial é necessário para a realização da obtenção das informações (PEREIRA et al., 2007).

2.8.3.2 Preservação

Será necessária a utilização de ferramentas apropriadas e de confiança do perito para que as evidências coletadas sejam preservadas o mais próximo possível do seu estado original. Qualquer tipo de alteração ou manipulação de uma evidência, esta perde o seu valor, sendo descartada pelo perito.

Um perito Forense Computacional experiente, de acordo com Kerr (2001, apud Vargas, 2007; p. 1):

Terá de ter certeza de que uma evidência extraída deverá ser adequadamente manuseada e protegida para se assegurar de que nenhuma evidência seja danificada, destruída ou mesmo comprometida pelos maus procedimentos usados na investigação e que nenhum vírus ou código malicioso seja introduzido em um computador durante a análise forense.

Com isso, Freitas (2006; p. 8/10), lista alguns exemplos de procedimentos para a preservação dos dados:

 “Inicialmente, devem-se criar imagens do sistema investigado, para que as potenciais provas possam ser posteriormente analisadas”;

 “Se o caso necessitar de uma análise ao vivo, salvar as evidências em dispositivos e bloqueá-los contra regravação”;

 “Todas as evidências deverão ser lacradas em sacos e etiquetadas”;

 “A etiqueta deverá conter um número para a identificação das evidências, o número do caso, a data e o horário em que a evidência foi coletada e o nome da pessoa que a está levando para a custódia, além do nome de quem coletou essas evidências”;

 “Etiquetar todos os cabos e componentes do computador, para que, depois, possam ser montados corretamente quando chegar ao laboratório”;

 “Os HDs deverão ser armazenados em sacos antiestática, para evitar danos e, também, para que os dados não sejam corrompidos”;

 “Durante o transporte das provas, tomar cuidado com líquidos, umidade, impacto, sujeira, calor excessivo, eletricidade e estática”;

 “Quando já tiverem sido transportadas, as evidências deverão ser armazenadas e trancadas para evitar a adulteração até o momento em que poderão ser examinadas e analisadas”;

 “Todas as mudanças feitas durante essa fase deverão ser documentadas e justificadas (cadeia de custódia)”.

Na cadeia de custódia, é informado onde as evidências estavam em certo momento e quem era o responsável por elas durante a perícia (Freitas, 2006).

As provas digitais devem ser manuseadas com cuidado para preservar a integridade do dispositivo físico, bem como os dados que ele contém. “Algumas evidências requerem coleta especial, embalagem, transporte e técnicas. Os dados podem ser danificados ou alterados por campos eletromagnéticos como os gerados pela eletricidade estática, ímãs, transmissores de rádio e outros dispositivos.” (U.S. Departament of Justice, 2001, p. 21, tradução nossa). Seguindo estas precauções citadas, os incidentes tendem a diminuir, e a preservação dos dados executada de forma correta.

2.8.3.3 Análise

A análise forense computacional necessita de diversas ferramentas que ajudarão o investigador a coletar, documentar, preservar e processar as informações coletadas no sistema investigativo (HOLPERIN et al. 2007).

Na concepção de Kerr (2001, apud Vargas, 2007), a análise será a pesquisa propriamente dita, onde o investigador se detém especificamente nos elementos relevantes ao caso em questão, pois todos os filtros de camadas de informação anteriores já foram transpostos.

Deve-se sempre ser um profissional atento e cuidadoso em termos da obtenção da chamada “prova legítima”, a qual consiste numa demonstração implacável e inquestionável dos rastros e elementos da comunicação entre as partes envolvidas e seu teor, além das datas e trilhas dos segmentos de disco utilizados (KERR 2001, apud Vargas, 2007).

“Essa etapa de análise das informações, muitas vezes, ocorre paralelo à etapa de exame, pois, conforme as evidências vão sendo identificadas e extraídas dos dados, o perito tem condições de efetuar um cruzamento e correlacionamento entre as mesmas” (PEREIRA et al., 2007, p. 28).

Para Reis (2003), após a coleta dos dados e informações relevantes, são examinadas, cuidadosamente, cada uma das evidências para que sejam definidos resultados e conclusões sobre a investigação.

Resumindo, em um processo de análise, deve-se procurar por parâmetros que identifiquem os dados como evidências, para que as mesmas venham se tornar uma prova criminal.

Analisar as evidências permite que seja descoberta uma série de informações e exige certo cuidado, pois o perito se utiliza de técnicas e informações relevantes de mídias ou da rede, e nem sempre os dados analisados têm nomes ou formatos explícitos de que é uma prova contra o suspeito.

Contudo, uma forma de atrelar uma pessoa a um dado seria através dos eventos que ficam registrados nos arquivos de log ou IP de onde foi originada a requisição um acesso não autorizado pelo servidor, tornando-se provas contra o invasor.

“Essa é uma fase que além de consumir muito tempo, esta muito suscetível a equívocos, pois depende muito da experiência e do conhecimento dos peritos, já que são poucas as ferramentas que realizam esse tipo de análise com precisão” (CASEY, 2006, tradução nossa).

2.8.3.4 Apresentação

“Após a realização da coleta e da análise das evidências encontradas, são apresentados os fatos, procedimentos e os resultados obtidos. Isso é feito através de um laudo pericial, que é um relatório específico sobre a investigação” (FREITAS 2006; p. 34).

De acordo com Freitas (2006, apud Vargas, 2007) esta fase é tecnicamente chamada de “substanciação da evidência”, pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas.

O investigador precisa estar perfeitamente sintonizado com os objetivos de cada etapa metodológica apresentadas acima para poder minimizar o tempo e a quantidade de dados que deve desde obter até apresentar, maximizando sua eficiência e eficácia (FREITAS, 2006, apud Vargas, 2007).

É importante que a conclusão apresentada no relatório seja imparcial e final, de forma a não favorecer alguma decisão. Por esta razão, a etapa de apresentação é a fase conclusiva da investigação. (PEREIRA et al., 2007).

“Devemos ter em mente também que cada procedimento realizado (ou conclusão aferida) pode ser questionado, e a documentação será a fonte de informação para responder tais questões” (NG, 2007).

2.8.3.4.1 Conteúdo do Laudo

Um laudo pericial é um parecer técnico que se destina a estabelecer sempre que possível, uma certeza a respeito de determinados fatos e de seus efeitos, que exige conhecimentos técnicos e científicos.

Para Kent et al. (2006, tradução nossa), o conteúdo do laudo pericial torna-se um documento de fácil interpretação e, para isso, deve ser organizado em seções:

 finalidade da investigação: explicar claramente os objetivos do laudo;

 autor(es) do relatório: listar todos os autores e coautores do relatório, incluindo suas especialidades e responsabilidades, durante a investigação;

 resumo do incidente: síntese explicando o incidente investigado e suas consequências;

 relação de evidências: relacionar e descrever todos objetos, onde se encontram, estado, como, quando e por quem elas foram adquiridas no decorrer das investigações;

 detalhes: fornecer uma descrição detalhada de quais evidências foram analisadas, quais os métodos utilizados e quais as conclusões alcançadas, descrevendo os procedimentos e as técnicas adotados, durante a investigação;

 conclusão: os resultados da investigação devem ser somente descritos, citando especificamente as evidências que comprovem as conclusões. A conclusão deve ser clara e não oferecer dupla interpretação;

 anexos: todas as documentações devem ser anexadas, ao final do laudo, tais como: diagramas da rede, formulários descritivos dos procedimentos utilizados, formulário de cadeia de custódia e informações gerais sobre as tecnologias envolvidas na investigação;

 glossário: adicionar um glossário dos termos utilizados no laudo, que poderá esclarecer muitas dúvidas que possam surgir durante a leitura do juiz e/ou dos jurados.

Segundo Vargas (2006):

Trabalhando em conjunto com a justiça, o relatório adapta as evidências para um formato jurídico na abordagem do caso investigado. Depois da elaboração de um laudo que contenha detalhadamente todo o processo realizado na análise forense, incluindo cada uma das etapas, e que seja bem estruturado e com as afirmações provadas, o material pode ser apresentado ao juiz e aos advogados.

Portanto, o laudo pericial é parte do processo, que deverá ser interpretada e avaliada pelo Juiz ou Tribunal.