com demonstração das etapas de uma investigação
SOUSA, F. M. F.1; MARIOTI, M. B.21Acadêmico do curso de Sistemas de Informação no Centro Universitário Luterano de Palmas - CEULP/ULBRA. E-mail: fmacielsousa@gmail.com
2Mestre em Computação Aplicada e Professora dos cursos de Sistemas de Informação, Ciência da Computação e Engenharia de Software do Centro Universitário Luterano de Palmas - CEULP/ULBRA.
RESUMO: Este trabalho apresenta um estudo de caso, para a aplicação de Perícia Forense Computacional, que consiste em um ambiente de teste e a realização de uma perícia sobre um Hard
Disk(HD). É apresentada a aplicação das quatro etapas da Perícia Forense Computacional que são:
preservação, extração, análise e laudo, dentro do laboratório de teste. São descritas as atividades executadas em cada etapa, mostrando como foi a utilização de técnicas e ferramentas para gerar um laudo pericial.
PALAVRAS-CHAVE: Perícia Forense Computacional; HARD DISK; laudo, Computação Forense. INTRODUÇÃO: A Computação Forense é “a ciência que usa técnicas especializadas, para coletar, preservar e analisar os dados digitais de um computador ou computadores suspeitos de serem utilizados em um crime virtual, sendo assim apresentados para a justiça através de um laudo pericial” (Eleutério e Machado apud GONSALVES, AMADIO, et al., 2012, p.02). Essa ciência trata de buscar evidências para a solução de crimes virtuais em que os computadores são os meios utilizados para cometer os crimes, tais como: invasão de privacidade, roubo de dados, fake news; ou são alvos de crimes como, por exemplo, um computador que foi usado para iniciar um ataque em rede. A perícia forense computacional é organizada em quatro etapas principais (Eleutério e Machado apud SOUSA, 2016, p.03): Preservação: tem como objetivo garantir a integridade das informações e equipamentos tecnológicos envolvidos na cena do crime com a utilização de ferramentas e métodos científicos computacionais; Extração: fase que tem o propósito de “identificar e extrair as informações relevantes a partir dos dados coletados utilizando ferramentas e técnicas forenses adequadas” (Sousa, 2016); Análise: tem o intuito de analisar os resultados de exame para gerar respostas úteis para as questões referentes ao contexto que está sendo periciado; Laudo: Nessa etapa, “é redigido o como foi o processo da perícia, o qual deve ter conclusão imparcial, clara e concisa; deve ter exposto os métodos utilizados na perícia, e deve ser de fácil interpretação por uma pessoa comum, de conhecimento médio” (Sousa, 2016). Este trabalho apresenta um estudo de caso de uma perícia em um Hard Disk, demonstrando o processo de perícia forense, descrevendo as técnicas e os resultados de cada fase em um ambiente de teste.
Figura 1 - Fluxo de Trabalho
Primeiramente, foi necessário pesquisar e estudar os conceitos de Perícia Forense Computacional para um entendimento e compreensão das técnicas e ferramentas utilizadas, para definir como elaborar uma Perícia Forense Computacional. Em seguida, foi construído um ambiente de teste, no qual foram definidas ferramentas e técnicas para serem utilizadas na execução da Perícia Forense Computacional. Nessa fase foi criado um laboratório de teste com um computador processador i5, HD de armazenamento de evidência de 500GB, memória RAM 8GB, HD de clone de 500GB e mais um HD periciado de 500GB. Na terceira e última etapa, Perícia Forense Computacional, foram executadas as quatro etapas e suas atividades, seguindo o roteiro da perícia apresentado na figura 2.
Figura 2 - Etapas do processo de computação forense (Fonte: Adaptada de Kent et al apud SOUSA, 2016, p.03)
Para execução de cada etapa foram definidas ferramentas e técnicas que são: Preservação: foram utilizadas duas ferramentas Mounter e Guymager, a primeira para garantir que nenhuma informação armazenada no HD seja modificada, a segunda é para fazer a técnica de clonagem pois as outras etapas irão trabalhar com um clone do HD e não com o próprio HD, assim preservando a integridade do HD; Extração: para essa etapa foi utilizado o Autopsy no qual faz a identificação de todas as imagens existentes dentro do clone do HD. Análise: nessa etapa foram utilizadas as ferramentas Autopsy e Google Earth, primeira ferramenta nos auxilia na extração das imagens, a segunda nos mostra a localização real no mapa de onde as imagens foram criadas. Laudo: redigir as informações sobre as ferramentas e técnicas utilizadas e descrever o resultado de cada etapa e resultado final.
RESULTADOS E DISCUSSÃO:O motivo dessa perícia é para elucidar um caso sobre imagens ilícitas que supostamente estão armazenadas no computador (Hard Disk) de um suspeito. Acredita-se que sejam encontradas imagens com pornografia infantil. Portanto foi solicitado que seja feita uma busca por arquivos de imagens que contêm fotos com conteúdo de pornografia infantil e, caso sejam encontradas fotos com esse tipo de conteúdo, que sejam identificadas as localizações de onde as fotos foram feitas. A descoberta da localização é de grande importância, pois, em um outro momento da investigação, os pontos poderão ser averiguados a procura de mais evidências sobre o praticante. Então segue a execução
Figura 3 - Arquivos Imagem Forense
Na fase de Extração foi utilizado o Autopsy para identificação e extração das possíveis fotos ou imagens com conteúdos ilícitos de pornografia infantil. A figura 4, área 1, essas fotos foram pré-selecionadas manualmente pelo o perito, a ferramenta o auxilia a extrair as imagens de forma automatizada do HD clonado, garantindo que as fotos não sejam alteradas durante o processo de extração.
Figura 4 - Arquivos de Evidências
Na fase de Análise, o Autopsy fez uma verificação automática e apresentou informações de localização nas imagens ou fotos resultantes da etapa anterior, gerando um relatório de dois arquivos, com dados de localizações para ser apresentado no mapa, com o auxílio da ferramenta Google Earth, como mostra a figura 5.
Figura 5 - Resultado Análise
Como o resultado esperado para essa perícia era encontrar a localização dos arquivos de imagem que tem conteúdo ilícitos, foi utilizado o Google Earth, que utilizou as informações dos arquivos que foram gerados na fase de análise e gerou um mapa com a marcação da localização das imagens. A Figura 6 apresenta o mapa gerado, com as marcações.
Figura 6- Localização Imagem
Com a identificação da localização das imagens, os peritos poderão realizar o levantamento dos locais nos quais deverão fazer a busca de mais evidências sobre o criminoso. Por exemplo, poderiam fazer uma averiguação indo nos locais que mais se repetem nas fotos. Na Figura 6 pode-se observar que, nessa perícia, quatro imagens têm a mesma localização, indicando que o criminoso produziu mais conteúdos naquela localização e, assim, é interessante fazer uma busca no local.
CONCLUSÃO: Neste trabalho foi realizada e demonstrada uma perícia forense computacional em um HD, apresentando uma situação hipotética em um ambiente de teste. O resultado desse trabalho foi um laudo que apresenta todas as informações da perícia, que mostra todas as etapas que foram realizadas. Para garantir a validade do processo e os resultados apresentados, o laudo segue o modelo de um laudo real. Algumas ações que deveriam ser feitas para solucionar o crime em uma perícia real não foram executada neste trabalho: coletar evidências, já que o único material de evidência usada no trabalho foi o HD do estudo de caso; identificar equipamento, por não existir uma cena de crime com vários equipamentos digitais; embalar evidência por não existir mais de uma evidência para embalar.
REFERÊNCIAS:
GONSALVES, M. et al. PERÍCIA FORENSE COMPUTACIONAL: METODOLOGIAS, TÉCNICAS E FERRAMENTAS. REVISTA CIENTÄFICA ELETRÔNICA DE CIÊNCIAS SOCIAIS APLICADAS DA EDUVALE, p. 17, 2012.
SOUSA, A. G. ETAPAS DO PROCESSO DE COMPUTAÇÃO FORENSE: UMA REVISÃO. ACTA de CIÊNCIA & SAÚDE, jun. 2016.
