Forense Digital:Produzindo Provas Legais
- Escrito por Rodrigo Segura Silva
- Publicado em Prevenção a Fraudes
- Lido 8120 vezes
- tamanho da fonte diminuir o tamanho da fonte aumentar o tamanho da fonte
- Imprimir
Introdução A Forense Digital
É uma área de pesquisa relativamente nova são poucos os trabalhos sobre esse assunto no Brasil, entretanto é crescente a necessidade de desenvolvimento nesse sentido, haja vista que a utilização de computadores em atividades criminosas serem cada vez mais comum.
Por se tratar de uma necessidade muito recente, ainda não se conta com padrões internacionais para o tratamento desse tipo de evidência, dessa forma o valor jurídico de uma prova eletrônica manipulada sem padrões devidamente pré-estabelecidos poderia ser contestável. Este trabalho é um estudo, que tem a finalidade de apresentar boas práticas de investigação digital para coletar, preservar e analisar evidências na reposta a incidentes de segurança que produzam provas que tenham valor legal incontestável.
Da Prova Segundo a advogada e professora Camilla do Vale Jimene à “prova”: “Tem por finalidade a formação da convicção de alguém quanto à existência ou não dos fatos alegados e tem por destinatário um terceiro, ou terceiros, ou o próprio agente da demonstração.
Trata-se do instrumento processual, assim designado, para permitir que o julgador forme o convencimento sobre os fatos que envolvem a relação jurídica de direito material, objeto da atuação jurisdicional. Regem a prova os seguintes princípios constitucionais: da ampla defesa, previsto no artigo 5º, LV da Carta Magna: “aos litigantes, em processo judicial ou administrativo, e aos acusados em geral são assegurados o contraditório e a ampla defesa”; da proibição da prova obtida ilicitamente, previsto no artigo 5º,LVI, da Constituição Federal:”são inadmissíveis, no processo, as provas obtidas por meios ilícitos” e; da proporcionalidade, que tempera o principio da proibição da prova ilícita. Importante ressaltar que é imprescindível que a prova tenha sido obtida por meios lícitos, que é justamente o princípio contido no inc. LVI 5º, da Constituição Federal. Como exemplo disso, podemos citar uma empresa que foi vitima de fraude por um funcionário interno,e optou por levar o caso para esfera penal, contudo, no conjunto comprobatório apresentado contra o acusado, contém dados recuperados de um dispositivo de armazenamento portátil particular do funcionário que foram coletados sem previa autorização judicial.
Desenvolvimento Também conhecida como Forense Computacional, pode ser definida como a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional A ocorrência mais comum no caso seria calúnia, difamação e injúria através do e-mail, roubo de informação confidências, remoção de arquivos, pedofilia, fraudes e tráfico de drogas via internet. 3.1. Objetivo da Forense Computacional: Aplicar métodos científicos e sistemáticos, buscando extrair e analisar tipos de dados de diferentes dispositivos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato. 3.2. A forense computacional é empregada:
• Para fins legais (ex: Investigar casos de espionagem industrial);
• Em ações disciplinares internas (ex: uso indevido de recursos da instituição) Para serem consideradas provas válidas, é muito importante que o perito realize o processo de investigação de maneira cuidadosa e sistemática. Deve preservar a integridade das evidências e gerar documentação detalhada.
4. Boas Práticas Forense - Etapas da Investigação:
imagem_segura
Figura 1 Fases de um processo de Investigação
4.1 Coleta de Dados: Possíveis fontes de dados:
• Computadores Pessoais
• Dispositivos de Armazenamento em Rede:
• CDs, DVDs;
• Máquina Fotográfica, relógio com comunicação via USB, etc;
Os Dados também podem estar armazenados em locais fora dos domínios físicos da cena investigada. Ex Provedores de Internet, Servidores FTP (Fiel Transfer Protocol) e servidores Corporativos.
Nesses Casos, a coleta dos dados somente será possível mediante ordem judicial. A cópia de dados envolve a utilização de ferramentas adequadas para duplicação dos dados, pois é de vital importância que seja garantida a preservação da integridade das evidências coletadas, pois caso isso não ocorra, as evidências poderão ser invalidadas como provas perante a justiça.
A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algorítmo hash. Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um documento (Cadeia de Custodia).
Deve ser feito cópia lógica (Backup) do material a ser analisado, no mínimo duas cópias, uma para ser realizada coleta dos dados pertinentes a investigação e a outra copia deve ser guardada em um cofre, caso haja a necessidade de novas análises. Durante a coleta de dados é muito importante manter a integridade dos atributos de tempo mtime (modification time), atime (acess time) e ctime (creation time) – MAC times. Mactime: permite que a partir das informações contidas nos metadados dos arquivos e diretórios, uma visão cronológica dos acontecimentos seja mostrada.
4.2. Exame de Dados: A finalidade desta etapa do processo é filtrar e extrair somente as informações relevantes à investigação. Ex: O arquivo de Log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação. Após a restauração da cópia dos dados, o perito deve fazer uma avaliação dos dados encontrados:
• Arquivos que haviam sido removidos e foram recuperados;
• Arquivos Ocultos;
• Fragmentos de arquivos encontrados nas áreas não alocadas;
• Fragmentos de arquivos encontrados em setores alocados, porém não utilizados
4.3. Análise das Informações:
Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. A finalidade desta análise é identificar pessoas, locais e eventos; determinar como esses elementos estão inter-relacionados. Normalmente e necessário correlacionar informações de várias fontes de dados.
Ex: Um indivíduo rouba a credencial de acesso e senha de um colega de trabalho, para acessar um sistema de gestão empresarial e utiliza essa credencial para faturar aparelhos celulares com desconto de 100% do valor do custo da Nota Fiscal, isso foi realizado em quantidade significativo, que gerou grande perda financeira para a empresa. É possível identificar por meio de análise dos eventos registrados nos arquivos de log o endereço IP, data e hora de onde foi originada a transação. Após a identificação do IP, é possível saber onde está localizada a máquina e correlacionar com os arquivos do banco de dados CFTV, as imagens da data e horário que foi realizada a transação, para identificar quem foi o indivíduo que estava utilizando a máquina no momento que ocorreu os eventos de fraude.
4.4. Resultados:
A interpretação dos resultados obtidos é a etapa final conclusiva da investigação. O perito elabora um laudo pericial que deve ser escrito de forma clara e concisa, listando todas as evidências localizadas e analisadas. O Laudo deve apresentar uma conclusão imparcial e final a respeito da investigação, para que o laudo torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: Finalidade da Investigação Autor do Laudo Resumo do incidente Relação de evidências analisadas e seus detalhes Conclusão Anexos Glossário (ou rodapés) Metodologia Técnicas Softwares e Equipamento empregados
5. Privacidade
Ao se fazer uma análise forense em uma máquina, sobretudo se ela atua como servidor de serviços, tais como e-mail ou arquivos deve-se tomar uma série de cuidados a fim de se evitar a invasão da privacidade dos usuários do sistema. O problema da violação de privacidade muitas vezes pode ser contornado através da instituição de uma política de segurança clara e de conhecimento de todos os usuários, que contemple a possibilidade de vistoria em arquivos, e-mails e outros dados pessoais. Tal possibilidade deve ser seguida pela identificação de quem teria o poder para vasculhar os arquivos alheios, das circunstâncias em que essa medida pode ser tomada e de como o dono dos arquivos será notificado. Análise de dados e sistemas deve ocorrer somente com autorização dos responsáveis ou ordem judicial. Deve-se restringir a área da busca para não violar a privacidade de inocentes.
6. Aspectos Legais No Brasil
Não existem normas específicas que regem a forense computacional, contudo existem normas gerais que abrangem todos os tipos de perícia (ditadas no Código de Processo Penal), podendo ser adotadas no âmbito computacional, salvo algumas peculiaridades. No caso de uma pericia criminal existe a figura de um Perito Oficial (dois para cada exame), onde seu trabalho deve servir para todas as partes interessadas (Polícia, Justiça, Ministério Público, Advogados, etc.). A responsabilidade do Perito no exercício da sua função deve ser dividida em duas partes distintas: aquele do ponto de vista legal, onde lhe são exigidas algumas formalidades e parâmetros para a sua atuação como perito e as de ordem técnica, necessárias para desenvolver satisfatoriamente os exames técnico-científicos que lhe são inerentes[1] O Perito deve seguir a risca as normas contidas no Código de Processo Penal, dentre elas pode-se destacar duas para exemplificar a sua possível abordagem computacional:
• Art. 170. Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas.
• Art. 171. Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado. É de vital importância que se documente quais as ferramentas de software utilizadas para se fazer a análise, bem como a possível identificação de uma linha de tempo, que pode vir a ser conseguida através da análise dos MAC times. Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrônica enquanto não se tem uma padronização das metodologias de análise forense.
7. Conclusão
O surgimento de legislações e padrões a serem aplicados (Brasil), referente a forense Digital tornariam menor a chance de laudos serem inutilizados por falta de experiência dos peritos, pois a qualidade técnica da análise forense é muito importante para comprovação dos fatos denunciados. A manipulação indevida das evidências em qualquer uma das etapas da investigação pode comprometer todo trabalho, pois dará margem para dúvidas na arbitragem, o que certamente tornara a prova contestável. Enquanto não há legislação específica para perícia forense no Brasil, o emprego das melhores práticas de análise forense será determinante na conclusão do caso.
REFERENCIAS [1] http://www.apcf.org.br [2]http://imasters.uol.com.br/artigo/6225/forense/pericia_forense_computacional [3] PECK, Patrícia; Direito Digital, Editora Saraiva, 3º Edição, 2009. [4] JIMENE, Camilla do Vale; O Valor Probatório do Documento Eletrônico, Editora Sicurezza, 1º Edição, 2010.
Rodrigo Segura Silva
MBA em Gestão de Riscos – Fraudes Empresárias, pela FAPI, Superior em Administração de RH, com experiência em Prevenção de Perdas e Fraudes, Investigação de Incidentes de Segurança, Investigação de Fraude Interna e Externa, com trabalhos em empresas do segmento de Telecomunicações e Financeiras nas Aréas de Prevenção e Investigação de Fraudes, Detecção de Fraudes e Inteligência Anti-Fraude. Atualmente é Analista de Segurança, atuando na prevenção de perdas e gestão de riscos na Segurança Patrimonial