Modelo Proposto

Um modelo de investigação forense é importante porque fornece uma estrutura de refe- rência para a execução de um trabalho forense computacional, independente de qualquer tecnologia ou ambiente organizacional específico, é útil para a discussão de técnicas e tecnologias para apoiar o trabalho dos pesquisadores. Pode fornecer uma terminologia comum para apoiar a discussão e o compartilhamento de conhecimentos. O modelo pode ser usado para ajudar a desenvolver e aplicar metodologias às novas tecnologias à medida que elas surgem e se tornam objeto de investigações.

O modelo proposto foi concebido após a análise dos modelos anteriormente menciona- dos, ele acrescenta etapas que são necessárias para que se possa, diante de um tribunal, demonstrar que a legislação foi sempre cumprida durante o transcorrer do trabalho fo- rense, desde a autorização da busca e apreensão até a apresentação diante de um tribunal, fazendo uso ao longo das etapas de uma cadeia de custódia bem documentada.

O estudo desses diversos modelos de investigação forense anteriormente mencionados, bem como da legislação, doutrina e jurisprudências brasileiras serviram de alicerce para a propositura deste modelo, ilustrado na Figura 11.

Autorização Busca e Identificação Preservação Colheita Exame Análise Apresentação Investigação Cadeia de Custódia Ações Preliminares Colheita

Figura 11 – Modelo de Investigação de Forense Computacional

A Figura 11 explicita as etapas do modelo proposto, que é descrito abaixo e serve para guiar o procedimento operacional padrão também proposto neste trabalho e descrito integralmente no Apêndice A.

O modelo deve seguir, em regra, uma sequência lógica de etapas, mas nada impede que se for detectado que há necessidade de retornar a uma etapa anterior, esse retorno ocorra de forma excepcional.

Autorização - Após a necessidade de uma investigação ser realizada, alguns ritos de- vem ser seguidos para que a prova eventualmente obtida seja considerada legal e, por conseguinte, admitida em um processo (ver Seção 3). Para que a busca por evidências seja realizada é necessário obter autorização para realizá-la, isso pode ser muito complexo e exigir interação com entidades externas e internas para obter a autorização necessária. O nível de estrutura formal associado à autorização varia consideravelmente, dependendo do tipo de investigação. Dentro de uma empresa privada, um administrador de uma infraestrutura de tecnologia poderia exigir ape- nas uma aprovação verbal simples da administração da empresa para realizar uma investigação detalhada dos sistemas de computador da empresa; no outro extremo, os órgãos responsáveis pela aplicação da lei geralmente precisam uma autorização legal formal, estabelecendo com detalhes precisos o que é permitido em uma inves- tigação (exemplo: mandado judicial de busca e apreensão ver subseção 3.3.3). Há a possibilidade de o perito prescindir de autorização, por se tratar por exemplo de flagrante delito. Nesta fase, deve-se obter a autorização e consignar os dados da autorização dentre os dados do processo que devem ser escritos no documento da cadeia de custódia.

Busca e Identificação - Essa atividade lida com a localização das evidências e a identi- ficação da mesma. No caso mais simples, isso pode envolver encontrar o computador usado por um suspeito e confirmar que é o de interesse dos investigadores. No en- tanto, em ambientes mais complexos, essa atividade pode não ser tão simples, muitas vezes o documento de autorização já discrimina muito especificamente o que é alvo da busca e que deve ser identificado para que sirva como fonte de prova. Mas há casos que podem exigir o rastreamento de computadores por meio de várias redes e, possivelmente, em outros países. Conforme tratado na subseção 3.3.3, muitas das vezes não há clareza do que poderá ser fonte de prova, cabendo a peritos e encar- regados de aplicação da lei a observação de materiais no local do crime que possam servir de fonte de prova. A identificação, que está associada a busca, consiste tam- bém em rotular (sempre que possível) os documentos, equipamentos para que seja formado um vínculo entre estes e uma determinada investigação. Devem-ser apos- tos minimamente no rótulo, etiqueta ou saco lacrado dados básicos da investigação, data, hora e o indivíduo que localizou e identificou para que essas informações sejam juntadas a cadeia de custódia.

Preservação - é uma etapa que apresenta desdobramentos em todas as etapas, trata do gerenciamento dos dados, gestão e geração de cópias forenses, cadeia de custódia e

sincronização de eventos. A preservação é uma etapa da mais alta relevância, nesta etapa o objetivo principal é garantir integridade e/ou condição original da evidência. Colheita - a atividade na qual a organização investigadora toma posse da evidência em uma forma que pode ser preservada e analisada, por ex. imagens de discos rígidos ou apreensão de computadores inteiros. Esta etapa apresenta muitas discussões na literatura por causa de sua importância para o restante da investigação. Erros ou más práticas nesta fase podem tornar a evidência inútil, particularmente em investigações que estão sujeitas a requisitos legais estritos.

Exame - envolverá o uso de um número potencialmente grande de técnicas para en- contrar e interpretar dados significativos. Pode exigir a reconstrução/religação de dados fragmentados, o reparo de dados danificados, tudo de forma a preservar a mes- midade. Dependendo dos resultados das atividades prévias de busca/identificação, preservação e colheita, pode haver volumes muito grandes de dados a serem exa- minados, portanto, são necessárias técnicas automatizadas para auxiliar o trabalho forense computacional.

Análise - baseia-se no exame das evidências, os peritos devem construir uma documenta- ção (prova pericial), cujo nível de detalhamento dependerá do tipo de investigação, da clareza e robustez do que foi encontrado. Pode eventualmente ocorrer retorno a passos anteriores, principalmente à etapa de exame, para que dúvidas na análise possam ser melhor esclarecidas.

Apresentação - a análise deverá ser preparada e apresentada a pessoas que não possuam um conhecimento técnico científico aprofundado. A prova pericial será colocada diante de um juiz, de um júri. Caso se trate de uma investigação interna de uma organização será apresentada aos tomadores de decisão daquela empresa.

Cabe ressaltar, que a cadeia de custódia não consta como uma etapa isolada, ela não só faz parte da etapa “Preservação”, mas também se comunica com todas as outras etapas da investigação, inicia-se nas “Ações Preliminares” (“Autorização” e “Busca e Identificação”) e vai até a “Apresentação”, como está ilustrado na Figura 11. Na Seção 4.8 a cadeia de custódia é vista com maiores detalhes.