Conceitos de forense computacional

Apresentação
Computação forense é a ciência aplicada para atuar em crimes cibernéticos, ou seja, crimes digitais
que acontecem por meio de dispositivos pessoais ou corporativos conectados na web. A aplicação
de técnicas e ferramentas forenses tem como objetivo localizar, recolher e examinar dispositivos
utilizados para realização de crimes digitais, mantendo as suas configurações originais e permitindo
a análise e a coleta de evidências que possam comprovar os crimes.

Nesta Unidade de Aprendizagem, você vai aprender como os peritos realizam o isolamento, a
coleta e a preservação de vestígios de um crime digital, como são realizados os exames na
computação forense e como se definem a defesa cibernética e os documentos processuais.

Bons estudos.

Ao final desta Unidade de Aprendizagem, você deve apresentar os seguintes aprendizados:

• Reconhecer os aspectos de isolamento, coleta e preservação do processo forense

computacional.
• Identificar os exames realizados na computação forense e os documentos processuais.
• Definir defesa cibernética e documentos processuais.
 Desafio
Com o grande avanço tecnológico, milhares de e-mails são enviados e recebidos ao redor do mundo
em um único dia. Nesse meio de comunicação tão conhecido, ocorrem muitos crimes cibernéticos,
como pornografia infantil, roubo de dados, crimes contra honra, ameaças anônimas, vazamento de
dados confidenciais, entre outros.

Imagine que José da Silva recebeu um e-mail com informações que ele classificou como uma
ameaça anônima. Apesar de não conhecer o remetente, José afirma que o e-mail era direcionado a
ele. Com o objetivo de não deixar o crime impune e se proteger, José acionou o seu advogado e a
Polícia Civil, registrando um boletim de ocorrência.

Considere que você é o perito criminal, responsável por buscar provas, analisar e examinar se
realmente houve a ocorrência de crimes digitais. Sendo assim, recomende como a situação deveria
ser abordada e quais dados são necessários para gerar evidências nesse caso.
 Infográfico
O ambiente digital não é um ambiente fácil para coleta, exame e análise de vestígios de crimes.
Além disso, também não é fácil gerar provas de qualidade que sejam base de ações judiciais devido
à sua extensão e ao alcance dos dados, assim como à delimitação das fronteiras.

A qualidade das provas obtidas em uma investigação forense determinará o andamento de ações
legais e a correta punição de criminosos cibernéticos.

No Infográfico a seguir, você vai ver mais informações de como gerar uma prova de crime digital de
qualidade e a diferença entre os conceitos de vestígio, indício e evidência.
Aponte a câmera para o
código e acesse o link do
conteúdo ou clique no
código para acessar.
 Conteúdo do livro
Os crimes cibernéticos acontecem todos os dias ao redor do mundo, na mesma velocidade em que
as pessoas transacionam na rede mundial de computadores. Entretanto a investigação e a
comprovação de crimes no ambiente digital não ocorrem na mesma velocidade. Coletar, analisar e
comprovar crimes cibernéticos é uma tarefa árdua. Criar evidências digitais para fins jurídicos ou
comerciais requer um profissional habilitado: o analista ou o perito forense, detentor de
conhecimentos técnicos e de legislação, assim como de uma boa conduta ética.

O perito criminal deverá seguir à risca um bom modelo de análise forense, dentro das seguintes
fases:
- Coleta: preservando as fontes de dados.
- Exame: recuperando e catalogando os dados obtidos dentro da linha de investigação.
- Análise: transformando os dados coletados e examinados em evidências.
- Resultado: gerando as provas que evidenciam os crimes digitais.

No capítulo Conceitos de forense computacional, da obra Ética e legislação, você vai ver os
conceitos para reconhecer os aspectos de isolamento e de coleta e preservação do processo de
forense computacional. Também vai aprender a identificar os exames realizados na computação
forense e definir defesa cibernética e documentos processuais.

Boa leitura.
ÉTICA E
LEGISLAÇÃO

Patrícia Carolina Kozciak

Conceitos de forense
computacional
Objetivos de aprendizagem
Ao final deste texto, você deve apresentar os seguintes aprendizados:

„„ Reconhecer os aspectos de isolamento, coleta e preservação do pro-

cesso de forense computacional.
„„ Identificar os exames realizados na computação forense e os docu-
mentos processuais.
„„ Definir defesa cibernética e documentos processuais.

Introdução
Neste capítulo, você vai estudar os principais conceitos de forense com-
putacional. Esse é um ramo da ciência forense aplicada ao mundo digital,
no qual as evidências dos crimes são encontradas em computadores,
redes de computadores, sites e aparelhos de tecnologia móvel, como
smartphones. A ciência forense digital existe há mais de 40 anos, entre-
tanto vem evoluindo constantemente. Ela cresce à medida que aumenta
o volume de crimes digitais, como furto de dados, pedofilia, fraudes e
perfis falsos.
Apesar da falsa percepção de impunidade no ambiente digital,
os crimes deixam vestígios. Como você vai ver, os métodos de investiga-
ção para os crimes digitais incluem técnicas e conhecimentos específicos,
permitindo a comprovação dos delitos. Ao longo do capítulo, você vai
conhecer os conceitos de isolamento, coleta e preservação. Além disso,
você vai estudar os exames realizados na computação forense, a defesa
cibernética e os documentos processuais envolvidos.
2 Conceitos de forense computacional

1 Isolamento, coleta e preservação

Com a evolução da internet, as pessoas ao redor do mundo passaram a usar
a maior rede de computadores mundial não apenas para se comunicar, mas
também para realizar tarefas do seu dia a dia. Atualmente, as pessoas fazem
compras on-line em supermercados, farmácias e grandes redes varejistas, além
de realizar diversas transações financeiras pela internet, relativas a serviços
públicos e privados. Tudo isso acontece por meio de computadores pessoais,
corporativos, celulares e tablets. Assim, embora tenha muitos pontos positi-
vos, esse novo comportamento abre uma grande janela para o crime digital,
tornando as pessoas mais vulneráveis.
Os vestígios de um crime são a chave que permite aos peritos criminais
buscar informações que se tornem evidências e, posteriormente, provas ju-
diciais. Nos casos de crimes digitais, o analista ou perito forense é o pro-
fissional responsável pela preservação, pelo levantamento de dados e pela
análise de evidências, por meio do uso de técnicas e ferramentas. Apesar da
vasta quantidade de crimes realizados no ambiente digital, não existem no
mercado muitos profissionais especializados para atuar na área forense. Isso
ocorre principalmente devido à qualificação exigida para a realização dessa
atividade e à necessidade de o profissional forense ter dispositivos similares
aos utilizados pelos criminosos digitais.
Segundo Eleutério e Machado (2011, p. 16), diversos profissionais po-
dem estar envolvidos em um procedimento forense computacional: “peritos
particulares, auditores de sistemas, profissionais de TI e outros. Além disto,
juízes, advogados, delegados, promotores e demais profissionais da área de
Direito”. O analista ou perito forense deve conhecer profundamente as leis e ter
conhecimentos técnicos relativos a sistemas operacionais, redes, programação
e técnicas de coleta e análise de dados.

O perito forense computacional atua em crimes que envolvem internet e tecnologia,

como exploração sexual, fraudes, clonagem de cartões de crédito e rádios piratas.
Ele também executa tarefas que exigem conhecimento tecnológico, como rastrea-
mento de mensagens e ligações. A formação mínima exigida é nível superior.
 Conceitos de forense computacional 3

Apesar de o crime digital ocorrer em um ambiente virtual, ele é um crime

como outro qualquer. Em todos os tipos de crime, parte-se da seguinte pre-
missa: havendo vestígios a serem analisados, o exame pericial é obrigatório.
É o que consta no Código Penal Brasileiro, art. 158: “Quando a infração deixar
vestígios, será indispensável o exame de corpo de delito, direto ou indireto,
não podendo supri-lo a confissão do acusado” (BRASIL, [1940]).
Além dos conhecimentos técnicos, é de suma importância que o pro-
fissional forense tenha uma excelente postura comportamental, realizando
análises isentas e imparciais. Como afirma Tomás (2009), o perito não deve
ter antecedentes que possam levantar suspeitas a respeito do seu caráter e da
sua ética profissional.
Na investigação de crimes computacionais, há a necessidade intrínseca
de busca e apreensão dos equipamentos. Para isso, é fundamental a prévia
emissão de mandados de busca e apreensão pelos órgãos públicos competentes.
Com o mandado em mãos, o perito faz a identificação do local, conduz a ele,
seleciona os equipamentos e os apreende.
Durante todo o procedimento de investigação forense, o manuseio das
informações deve ser realizado dentro de padrões, garantindo que os vestí-
gios criminais sejam preservados para a correta análise. Para que o processo
investigativo se inicie, é necessário:

„„ possuir mídias esterilizadas ou uma nova mídia instalada, evitando

possíveis contaminações;
„„ utilizar ferramentas/softwares para análise forense devidamente
licenciadas;
„„ garantir que nenhuma fonte de dados seja alterada até a chegada do perito
(caso haja alterações no ambiente, isso deve ser reportado no laudo);
„„ fazer toda a análise por meio de imagem ou de disco duplicado, ou seja, o
material original jamais deve ser manipulado (deve permanecer intacto);
„„ caso o equipamento esteja ligado, mantê-lo ligado para evitar possíveis
perdas de dados;
„„ apresentar o resultado do exame pericial de forma clara, elucidativa e
em uma linguagem acessível;
„„ providenciar fotos e filmes do local onde ocorreu o crime, assim como
cópias dos sites, para garantir a coleta de mais detalhes.
4 Conceitos de forense computacional

Conforme Sousa (2016), as boas práticas em procedimentos periciais re-

comendam as fases listadas a seguir.

Coleta
O ambiente que receberá os dados coletados deve ser adequado a parâmetros
que permitam a transferência fidedigna para a posterior análise. A parte de
infraestrutura, como discos, deve estar funcionando corretamente. Em casos
específicos, quando há orçamento suficiente, é possível copiar as informações.
Para isso, podem ser utilizados duplicadores de disco ou soluções de software
específicas para perícia.
Ao final da fase de coleta, o dispositivo para o qual os dados foram co-
piados deve ser devidamente lacrado e armazenado em local apropriado até
a Justiça autorizar o seu descarte ou a sua devolução. Nesse momento, deve ser
preenchido o formulário de cadeia de custódia, com os dados dos equipamentos
apreendidos, como: mídia, marca, modelo, número de série e disco rígido.
A data, a hora e o responsável pelo manuseio e pelo processo forense também
devem ser registrados.
Na Figura 1, a seguir, veja um exemplo de um formulário de cadeia de
custódia. A cadeia de custódia é uma das principais obrigações do perito e é
um documento exigido nas análises forenses computacionais, funcionando
como uma garantia de autenticidade do processo.
 Conceitos de forense computacional 5

Figura 1. Formulário de cadeia de custódia.

Fonte: Reis (2013, documento on-line).

Exame
Essa etapa é considerada a mais trabalhosa da investigação. Isso se deve à
quantidade de dados para análise, que geralmente têm diferentes formatos,
como: arquivos criptografados, áudios, vídeos, imagens, arquivos compacta-
dos, entre outros. Os dados coletados na fase anterior devem ser recuperados
e catalogados, permitindo uma análise científica que não seja posteriormente
questionada.
6 Conceitos de forense computacional

O perito deve realizar uma investigação profunda dos fatos no sistema

operacional, assim como considerar todas as hipóteses possíveis, como buscar
arquivos que já tenham sido eliminados do sistema. Esse procedimento se
chama data carving. De acordo com o National Institute of Standards and
Technology (2014, p. 3, tradução nossa), carving é

o processo de reconstrução de arquivos deletados, de um espaço de armaze-

namento não alocado, ou extração de arquivos embutidos em um contêiner de
arquivos, baseada no conteúdo do arquivo; metadados do sistema de arquivos
devem ser considerados de forma secundária ou completamente ignorados.

Análise
Nessa fase, o perito analisa os dados coletados e examinados nas fases an-
teriores. O objetivo é encontrar evidências que comprovem o crime digital.
A análise pode ser a fase mais demorada de todas as que compõem a
investigação.
Dependendo do número de dados e arquivos envolvidos, é necessário iden-
tificar prioridades e definir o que será analisado. Caso contrário, o processo
de análise pode ser inviável, devido ao tempo que se levará para analisar
todos os documentos.
Para analisar os arquivos criptografados, o perito deve utilizar algum
programa de quebra de senha. Ele também pode fazer buscas na memória
de acesso aleatório (Random Access Memory [RAM]) a fim de localizar as
senhas digitadas. Além disso, existem fontes de consulta como a Biblioteca
Nacional de Referência do Software (RDS), que consiste em assinaturas
digitais de arquivos conhecidos e rastreáveis até sua origem. Esse tipo de
ferramenta facilita o procedimento e pode diminuir o número de arquivos
que deverão ser analisados.

Resultado
Nessa etapa final, o perito redige o laudo pericial, apresentando provas e
evidências, que deverão ser utilizadas nos processos judiciais. O laudo deve
conter todos os detalhes que auxiliem o Judiciário na análise do crime. Ele
deve ser claro e apresentar todas as evidências necessárias.
 Conceitos de forense computacional 7

No Quadro 1, a seguir, veja uma síntese dos procedimentos periciais.

Quadro 1. Ciclo de análise forense

Etapa Procedimento Principais atividades

1 Coleta (mídias) „„ Isolar a área

„„ Coletar as evidências
„„ Garantir a integridade
„„ Identificar equipamentos
„„ Embalar e etiquetar evidências
„„ Preencher o formulário de cadeia de
custódia

2 Exame (dados) „„ Identificar

„„ Extrair
„„ Filtrar
„„ Documentar

3 Análise „„ Identificar pessoas, eventos e locais

(informações) „„ Correlacionar pessoas, eventos e locais
„„ Reconstruir a cena
„„ Documentar

4 Resultados obtidos „„ Redigir laudo

(evidências) „„ Anexar evidências e demais documentos

Fonte: Adaptado de Processo... ([20--]).

2 Exames e documentos processuais

Na etapa de exames, o perito deve definir o modelo ideal de abordagem para
cada tipo de caso, preservando sempre as condições iniciais, que vão garantir
a melhor análise dos vestígios. Nessa etapa, os peritos têm acesso aos equi-
pamentos apreendidos que foram violados ou que aplicaram qualquer tipo
de violação legal. Assim, o objetivo dos profissionais é analisar, identificar e
localizar todos os arquivos, sistemas e aplicativos que podem conter indícios
de crimes.
8 Conceitos de forense computacional

Veja o que Eleutério e Machado (2011, p. 51) destaca a respeito dos mate-
riais questionados, ou seja, dos materiais apreendidos e submetidos a exames
forenses:

Os materiais questionados mais comuns nesse tipo de exame são os discos

rígidos, seguidos pelos CDs e DVDs. No entanto, tais procedimentos devem
ser seguidos para qualquer tipo de equipamento de armazenamento compu-
tacional, incluindo pen drives, cartões de memória, disquetes, blu-rays, entre
outros a serem ainda inventados pelo homem.

Um dos itens mais importantes em uma investigação criminal compu-

tacional é a identificação do IP (Internet Protocol) do criminoso. O IP é
o número atribuído durante o tempo de conexão à internet. Esse número
pertence a determinado acesso durante a conexão na rede de computadores
mundial, porém, após a desconexão, ele é utilizado por outro usuário da internet.
Por esse motivo, o perito precisa identificar a data e o horário da conexão,
além do fuso horário e do provedor. Com base na identificação desses dados,
o perito deve providenciar um mandado judicial para buscar, junto ao provedor,
o responsável pela conexão no dispositivo em que foi cometido o crime.
Para identificar o dispositivo utilizado para o crime, o perito precisa desco-
brir o endereço de controle de acesso à mídia, também chamado de “endereço
MAC” (Media Access Control). Esse número identifica a placa de rede e é
único para cada dispositivo.
Independentemente do dispositivo utilizado para a realização do crime,
durante a fase de exame, o perito deve buscar responder a quatro perguntas:
o quê? Quando? Onde? Como? O exame pode ser realizado em diferentes
tipos de dispositivos, com seus respectivos tipos de análise. A seguir, veja
quais são os principais dispositivos.

Computador
Nesse caso, é necessário analisar toda a estrutura do equipamento, platafor-
mas físicas ou servidores, buscando arquivos, dados e acessos que podem
caracterizar vestígios de crimes digitais. O grande desafio é o acesso aos
computadores utilizados, que podem estar em território nacional ou em outros
países. Também é desafiador identificar os usuários e atentar ao sincronismo
de horário e ao uso de criptografia complexa para manter o anonimato.
 Conceitos de forense computacional 9

O perito deve buscar: mensagens eletrônicas, imagens, planilhas, progra-

mas de computador, rastros de navegação, etc. Os principais tipos de crimes
cometidos por meio desses dispositivos são: compartilhamento de arquivos
de pornografia infantojuvenil, roubo de senhas (malware) e instalação de
programas de roubo de dados bancários.

Sites
Nesse caso, os peritos analisam sites existentes, avaliando conteúdos, publi-
cações, domínio da internet e endereço IP. Conforme Eleutério e Machado
(2011, p. 20), o exame em sites consiste “principalmente na verificação e cópia
de conteúdo existente na Internet, em sites e servidores remotos dos mais
variados serviços. Além disso, trata-se da investigação do responsável por
um domínio de um site e/ou endereço IP”.
O perito deve: identificar o serviço web, identificar o site hospedeiro,
preservar as evidências, analisar as logs e analisar os aplicativos e serviços
da rede. Os principais tipos de crimes cometidos por meio desses dispositivos
são: ataques a sites, invasões, plágio, phishing (páginas falsas), malware,
pornografia e furto de dados.

Mensagens eletrônicas (e-mails)

A análise de mensagens eletrônicas envolve mensagens transmitidas, reme-
tentes, endereços IP, domínios da internet e conteúdos. Conforme Eleutério e
Machado (2011, p. 20), o exame em e-mails corresponde “basicamente à análise
das propriedades das mensagens eletrônicas, a fim de identificar hora, data,
endereço IP e outras informações do remetente da mensagem”.
Nesses casos, o grande desafio é relativo à disponibilidade de registros
(logs) suficientes. O perito ainda precisa garantir que os horários estejam
sincronizados e lidar com diversos tipos de tecnologias. Em síntese, o perito
deve: identificar a mensagem eletrônica, identificar o ambiente, preservar as
evidências, verificar a origem da mensagem (cabeçalho) e analisar o corpo do
e-mail. Os principais tipos de crimes cometidos por meio desses dispositivos
são: questões trabalhistas, calúnia, difamação, desonra, concorrência desleal,
ameaças anônimas e espionagem.
10 Conceitos de forense computacional

Aparelhos móveis (celulares)

Os aparelhos celulares, devido à sua amplitude tecnológica, já podem ser
comparados a computadores portáteis. Assim, a análise de celulares é similar
à análise realizada em computadores. Ela envolve a análise de mensagens
enviadas, incluindo remetentes, números de telefone, datas, horários e dados
relacionados a chamadas. Os dados analisados dizem respeito a mensagens
enviadas por Short Message Service (SMS) e WhatsApp, por exemplo. Além
disso, o perito deve buscar dados deletados.
Conforme Eleutério e Machado (2011, p. 20), o exame em celulares abrange
“basicamente a extração dos dados desses aparelhos, a fim de recuperar e
formalizar as informações armazenadas em suas memórias (lista de contatos,
ligações, fotos, mensagens etc.), de acordo com a necessidade de cada caso”.
O grande desafio aqui é manter-se atualizado em relação às ferramentas
mobile, que estão em constante modificação. É necessário possuir os equipa-
mentos adequados para a análise (software e hardware) e atentar à diversidade
de funcionalidades existentes. Os principais tipos de crimes cometidos por meio
desses dispositivos são: invasões, espionagem, calúnia, difamação e pornografia.

Redes de computadores
A análise de dados trafegados na rede tem foco no trânsito da informação,
e não no armazenamento, independentemente do dispositivo emissor e do
dispositivo receptor. Nesse caso, é necessário utilizar técnicas e ferramentas
para: reconstrução de sessões, análise de protocolos, manipulação de arquivos,
identificação de origem e destino, identificação de protocolos e dados, além
de recuperação de arquivos capturados no tráfego.
Os grandes desafios são: o acesso aos computadores conectados den-
tro de uma rede, a identificação dos usuários e o sincronismo de horários.
Os principais tipos de crimes cometidos por meio de redes são: invasões,
plágio, pornografia e furto de dados.
 Conceitos de forense computacional 11

Internet das Coisas (IoT)

Essa área é muito recente. Ela tem crescido bastante à medida que os disposi-
tivos conectados à internet (televisão, carros, refrigeradores, etc.) abrem uma
gama de possibilidades de crimes digitais. A investigação forense para tratar
da IoT (do inglês Internet of Things) está sendo desenvolvida para coletar e
analisar evidências nesses dispositivos.
Nesses casos, o desafio é imenso, pois está em jogo uma tecnologia
emergente: não existe um único dispositivo, e sim uma rede hiperconectada.
O perito deve: identificar o dispositivo, preservar as evidências, analisar as
logs e analisar os aplicativos e serviços da rede. Os principais tipos de crimes
cometidos por meio desses dispositivos são: invasões, furto de dados e malware.

Banco de dados
A análise ocorre em dados e metadados armazenados em bancos de dados,
disponibilizados ou não em servidores. O objetivo é identificar a manipulação
de dados armazenados, como possíveis fraudes financeiras e fiscais praticadas
em uma empresa.
Nesses casos, os grandes desafios são a identificação das tabelas, a busca
por dados excluídos e a identificação das transações realizadas. O perito deve:
identificar as bases de dados envolvidas, preservar as evidências e analisar
as logs. Os principais tipos de crimes cometidos por meio desses dispositivos
são: invasões, furto de dados e vazamento de informações.

Algumas considerações
Conforme Freitas (2003), em todos os tipos de dispositivos digitais, a análise
pode ser física e/ou lógica. A seguir, veja como cada uma dessas análises se
caracteriza.

„„ Análise física: tem como objetivo analisar os dados do dispositivo de

armazenamento. Isso ocorre da seguinte forma: pesquisa de sequência,
busca e extração, inclusive de espaço subaproveitado e livre de arqui-
vos. Esse tipo de análise consiste em buscar todas as URLs, e-mails
encontrados e partes inacessíveis do disco.
12 Conceitos de forense computacional

„„ Análise lógica: essa análise é feita arquivo por arquivo. O perito analisa
o conteúdo dos arquivos com o apoio de aplicativos que ajudam nesse
tipo de extração de dados.

A análise forense exige o uso de algumas ferramentas, como:

„„ software de imagem de disco;

„„ software ou hardware de escrita;
„„ ferramentas de hashing;
„„ software de recuperação;
„„ software de peneira;
„„ software de decodificação de criptografia.

O volume de crimes digitais tem crescido diariamente; percebe-se um

aumento significativo de um ano para outro. Isso demonstra uma mudança
comportamental, ou seja, as vítimas têm denunciado os crimes. Para com-
preender melhor esse contexto, veja o trecho de uma matéria publicada pelo
jornal Correio Braziliense em 4 de agosto de 2019:

Diariamente, são registrados pelo menos 366 crimes cibernéticos em todo o

país. O levantamento mais recente, feito em 2018 pela associação SaferNet
Brasil, em parceria com o Ministério Público Federal (MPF), contabilizou
133.732 queixas de delitos virtuais, como pornografia infantil, conteúdos
de apologia e incitação à violência e crimes contra a vida e violência contra
mulheres ou misoginia e outros. Em comparação ao ano anterior, a quantidade
de ocorrências deu um salto de quase 110% — em 2017, a associação registrou
63.698 denúncias. Um fator que contribui para a ação criminosa, na visão de
especialistas, é o descuido da população quanto à utilização de ferramentas
que protejam os aparelhos celulares das invasões de hackers. Apesar de ser
impossível estar 100% protegido, o mínimo de precaução pode reduzir as
ameaças à privacidade de cada um (FERNANDES, 2019, documento on-line).

Na Figura 2, a seguir, você pode ver um mapa mental (diagrama que repre-
senta, a partir de um tema central, todos os itens envolvidos) que exemplifica
a variedade de elementos implicados em uma análise forense computacional.
A profissão de um perito criminal é muito ampla, envolvendo conhecimentos
técnicos e legais em uma grande variedade de assuntos.
 Conceitos de forense computacional 13

Figura 2. Mapa mental do conhecimento do perito forense computacional.

Fonte: Adaptada de Rios (2012).

3 Defesa cibernética e documentos processuais

A defesa de crimes digitais é um processo complexo pelo fato de a internet
não possuir fronteiras, ou seja, qualquer conteúdo é acessado de qualquer
lugar do mundo. O termo ciberespaço surge pela primeira vez no romance
“Neuromancer”, de William Gibson (CIBERESPAÇO, 2019). O ciberespaço
(ou espaço cibernético) é uma metáfora que descreve o espaço não físico criado
por diversas redes de computadores (a internet), onde as pessoas podem se
comunicar de muitas formas, seja por mensagens, e-mails, salas de bate-papo,
grupos de discussão, aplicativos de mensagens, dentre outros.
14 Conceitos de forense computacional

Esse espaço cibernético proporciona muitos serviços e no seu ambiente

transitam informações sigilosas que estão sujeitas a muitas ameaças, devido
ao seu valor e importância. Neste sentido, Nye Junior (2011) observa que
nos países com a internet mais desenvolvida, além dessa gama de recursos e
soluções, também existe uma forte insegurança para governos, empresas e
todas as pessoas dessas nações.
Conforme Rachel (2009), Silveira (2018) e Caldeira (2011), um bom ponto
a se considerar em crimes cibernéticos é a distinção entre crimes a distância
e crimes plurilocais. Veja:

„„ nos crimes a distância, a ação e a consumação do crime ocorrem em

lugares distintos, um deles fora do território nacional;
„„ nos crimes plurilocais, a ação e a consumação também ocorrem em
lugares diversos, mas ambos no território nacional.

Qualquer medida que envolva outros países depende de acionamentos entre

países para coleta, análise e validação de vestígios de crimes digitais. É o caso,
por exemplo, da abertura de dados por empresas como Facebook, Instagram e
WhatsApp. Existem também conflitos dentro do território nacional, geralmente
relativos à competência de cada foro: o foro do local de onde partiu a ofensa,
o foro de domicílio do ofendido e do infrator e ainda o foro do local onde o
ofendido toma ciência da ofensa.
No Brasil, têm ocorrido evoluções no âmbito legal. A defesa de ataques
cibernéticos ganhou reforço com a aprovação do Decreto nº. 10.222, de
5 de fevereiro de 2020, que estabelece a Estratégia Nacional de Segurança
Cibernética.
O objetivo desse decreto é tornar o Brasil mais próspero e confiável no meio
digital, aumentando a resiliência local para ameaças cibernéticas e fortalecendo
a segurança do País em âmbito internacional. Veja o que o decreto diz a respeito:

Desse modo, estes objetivos estratégicos visam a nortear as ações estratégicas

do País em segurança cibernética, e representam macrodiretrizes basilares
para que o setor público, o setor produtivo e a sociedade possam usufruir
de um espaço cibernético resiliente, confiável, inclusivo e seguro. São os
objetivos estratégicos:
1. Tornar o Brasil mais próspero e confiável no ambiente digital;
2. Aumentar a resiliência brasileira às ameaças cibernéticas; e
3. Fortalecer a atuação brasileira em segurança cibernética no cenário in-
ternacional.
(BRASIL, 2020, documento on-line).
 Conceitos de forense computacional 15

O Decreto nº. 10.222/2020 descreve 10 ações que precisam ser implemen-

tadas (BRASIL, 2020):

1. fortalecer as ações de governança cibernética;

2. estabelecer um modelo centralizado de governança em nível nacional;
3. promover um ambiente participativo e colaborativo entre setor público
e privado;
4. elevar o nível de proteção do governo;
5. elevar a proteção das infraestruturas críticas nacionais;
6. aprimorar o arcabouço legal sobre segurança cibernética;
7. incentivar a concepção de soluções inovadoras em segurança cibernética;
8. ampliar a cooperação internacional do Brasil em segurança cibernética;
9. ampliar a parceria, em segurança cibernética, entre setor público, setor
privado, academia e sociedade;
10. elevar o nível de maturidade da sociedade no que diz respeito à segu-
rança cibernética.

Outra iniciativa em andamento é a Lei Geral de Proteção de Dados Pes-

soais (LGPD), Lei nº. 13.709, de 14 de agosto de 2018. Essa lei tem como
objetivo contribuir para a governança da segurança cibernética nacional por
meio de normas e políticas públicas relativas à proteção de dados pessoais
e à privacidade, considerando a coleta, o armazenamento, o tratamento e o
compartilhamento de dados pessoais. A previsão é que a LGPD entre em vigor
no Brasil no dia 16 de agosto de 2020.

A LGPD não substitui o Marco Civil digital, mas reúne ações complementares. O seu
objetivo é atuar em um novo cenário mundial, em que os dados trafegam todos os
dias dentro da imensa rede de computadores, assim como dentro de redes de grandes
corporações, ou ainda por meio de redes sociais.
16 Conceitos de forense computacional

A LGPD tem como base a GDPR europeia: “Seguindo os passos da GDPR

(General Data Protection Regulation), que vale para todos os países da União
Europeia, a LGPD já engatinhava com a criação do Marco Civil da Internet em
2014” (LGPD..., 2019, documento on-line). A LGPD determina que o usuário
tem o direito de acessar seus dados a qualquer momento, conferindo como
eles são tratados e compartilhados. A lei também determina que o usuário
pode atualizar ou corrigir dados incorretos, deletar dados e transferir dados
para outras organizações (públicas ou privadas).
As penalizações previstas pela LGPD consideram multas, bloqueios e
sanções para as empresas que descumprirem ou não se adequarem à nova lei.
Além disso, a LGPD extravasa o território brasileiro. Ela pode ser aplicada a
qualquer empresa, e mesmo as empresas estrangeiras que não têm sede no local
estão sujeitas a sanções. A não aplicação da LGPD pode acarretar multas de
até R$ 50 milhões. Por esse motivo, observa-se uma corrida das organizações
desde 2018, quando a lei foi aprovada, para adaptar seus sistemas e bancos
de dados ao novo cenário, o que cria muitas oportunidades para profissionais
com conhecimento nesse assunto.
Referindo-se às evoluções legais, Souza Junior (2013, p. 32) ressalta o
empenho dos órgãos governamentais:

A Administração Pública Federal apresenta o real empenho e precaução na

criação de um modelo de segurança cibernética para proteção do ciberespaço
e dos serviços e informações nele existentes, assim se adaptando ao cenário
atual de crimes cibernéticos.

É notável que os órgãos governamentais têm atuado de forma mais enfática

em relação aos crimes digitais. Como você viu, tal atuação se dá por meio da
criação e da aprovação de leis e decretos que suportem judicialmente direitos
e deveres no universo digital. Porém, é nítido que a defesa em processos cri-
minais cibernéticos tem um caminho longo a percorrer, seguindo a constante
evolução do mundo digital.
 Conceitos de forense computacional 17

BRASIL. Decreto Nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de

Segurança Cibernética. Brasília: Casa Civil da Presidência da República, 2020. Disponível
em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10222.htm.
Acesso em: 11 abr. 2020.
BRASIL. Ministério da Justiça. Decreto-Lei Nº 2.848, de 7 de dezembro de 1940. Código
Penal. Brasília: Casa Civil da Presidência da República, [1940]. Disponível em: http://www.
planalto.gov.br/ccivil_03/decreto-lei/del2848.htm. Acesso em: 11 abr. 2020.
CALDEIRA, S. Qual a diferença entre crime plurilocal e crime à distância? Sandro Caldeira,
[S. l.], 19 maio 2011. Disponível em: http://www.sandrocaldeira.com/plus/modulos/
noticias/ler.php?cdnoticia=22&cdcategoria=1. Acesso em: 11 abr. 2020.
CIBERESPAÇO. In: GLOSSÁRIO da Sociedade da Informação. Lisboa: Associação para
a Promoção e Desenvolvimento da Sociedade da Informação, 2019. Disponível em:
https://apdsi.pt/glossario/c/ciberespaço. Acesso em: 11 abr. 2020.
ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo:
Novatec, 2011. 200 p.
FERNANDES, A. Crimes virtuais e ataques cibernéticos mais do que dobram em um ano.
Correio Braziliense, Brasília, 4 ago. 2019. Disponível em: https://www.correiobraziliense.
com.br/app/noticia/politica/2019/08/04/interna_politica,775357/crimes-virtuais-e-ata-
ques-ciberneticos-mais-do-que-dobram-em-um-ano.shtml. Acesso em: 11 abr. 2020.
FREITAS, A. R. Perícia forense aplicada à informática. Orientador: Duval Costa. 2003. 58 f.
Trabalho de Conclusão de Curso (Pós-Graduação “Lato Sensu” em Internet Security) –
Instituto Brasileiro de Propriedade Intelectual, São Paulo, 2003. Disponível em: https://
rl.art.br/arquivos/120158.pdf. Acesso em: 11 abr. 2020.
LGPD: O manual para compreender a lei geral de proteção de dados. TOTVS, São Paulo,
26 set. 2019. Disponível em: https://www.totvs.com/blog/negocios/lgpd-o-manual-
-para-compreender-a-lei-geral-de-protecao-de-dados/. Acesso em: 11 abr. 2020.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Forensic File Carving Tool
Specification: Draft Version 1.0 for Public Comment. Gaithesburg: NIST, 2014. 12 p.
Disponível em: https://www.nist.gov/system/files/documents/2017/05/09/fc-req-
-public-draft-01-of-ver-01.pdf. Acesso em: 11 abr. 2020.
NYE JUNIOR, J. S. The future of power. New York: PublicAffairs, 2011. 320 p.
PROCESSO de Investigação. Forense Computacional, [S. l.], [20--]. (Projeto desenvolvido
por alunos da disciplina “Direito e Informática” – DIR410011, ministrada pelo professor
Aires J. Rover para alunos do programa de mestrado em Ciências da Computação da
Universidade Federal de Santa Catarina). Disponível em: https://sites.google.com/a/
cristiantm.com.br/forense/forense-computacional/processo-de-investigacao. Acesso
em: 11 abr. 2020.
18 Conceitos de forense computacional

RACHEL, A. R. O que se entende por crime à distância? Jusbrasil, Salvador, 25 set. 2009.
Disponível em: https://lfg.jusbrasil.com.br/noticias/1912334/o-que-se-entende-por-
-crime-a-distancia-andrea-russar-rachel. Acesso em: 11 abr. 2020.
REIS, F. M. Forense computacional: técnicas para preservação de evidências em coleta
e análise de artefatos. Orientadora: Ana Cristina Azevedo Pontes de Carvalho. 2013.
Monografia (Aperfeiçoamento/Especialização em Computação Forense) – Universidade
Presbiteriana Mackenzie, São Paulo, 2013. Disponível em: https://monografias.brasi-
lescola.uol.com.br/computacao/forense-computacional-tecnicas-para-preservacao-
-evidencias-coleta-analise-artefatos.htm. Acesso em: 11 abr. 2020.
RIOS, A. Brainstorming para Estudos Forenses. Estudos Forenses – Site de Estudo de
Computação Forense, [S. l.], 7 maio 2012. Disponível em: https://4en6br.wordpress.
com/2012/05/07/brainstorming-para-estudos-forenses/. Acesso em: 11 abr. 2020.
SILVEIRA, W. P. Como se define o local do crime nos crimes plurilocais e nos crimes à
distância? Jusbrasil, Salvador, 16 abr. 2018. Disponível em: https://wesl.jusbrasil.com.br/
artigos/566936270/como-se-define-o-local-do-crime-nos-crimes-plurilocais-e-nos-
-crimes-a-distancia. Acesso em: 11 abr. 2020.
SOUSA, A. G. Etapas do processo de computação forense: uma revisão. Acta de Ciências
e Saúde, Taguatinga, v. 5, n. 2, p. 99–111, 2016. Disponível em: http://www2.ls.edu.br/
actacs/index.php/ACTA/article/view/138. Acesso em: 11 abr. 2020.
SOUZA JUNIOR, A. F. Segurança Cibernética: Política Brasileira e a Experiência Internacio-
nal. Orientador: Rosalvo Ermes Streit. 2013. 120 f. Dissertação (Mestrado em Gestão do
Conhecimento e Tecnologia da Informação) – Universidade Católica de Brasília, Brasília,
2013. Disponível em: https://bdtd.ucb.br:8443/jspui/bitstream/123456789/1417/1/
Alcyon%20Ferreira%20de%20Souza%20Junior.pdf. Acesso em: 11 abr. 2020.
TOMÁS, E. M. C. Crimes informáticos: legislação brasileira e técnicas de forense computa-
cional aplicadas à essa modalidade de crime. Orientador: Mauro Cesar Sobrinho. 2009.
42 f. Monografia (Especialização em Gestão e segurança em redes de computadores)
– Centro Universitário Euro-Americano, Brasília, 2009. Disponível em: https://artigos.
etc.br/crimes-informaticos-legislacao-brasileira-e-tecnicas-de-forense-computacional-
-aplicadas-a-essa-modalidade-de-crime.html. Acesso em: 11 abr. 2020.

Leituras recomendadas
LOPES, P. A. Forense Digital – Perícia Forense Computacional. Pentest e Forense Digital/
Computação Forense, Caxias do Sul, 11 jun. 2016. Disponível em: https://periciacompu-
tacional.com/pericia-forense-computacional-2/. Acesso em: 11 abr. 2020.
SILVA, H. B. Perícia forense computacional em dispositivos móveis. Orientador: Fábio
Eder Cardoso. 2015. 80 f. Trabalho de Conclusão de Curso (Tecnologia em Análise e
Desenvolvimento de Sistemas) – Instituto Municipal de Ensino Superior de Assis, Assis,
2015. Disponível em: https://cepein.femanet.com.br/BDigital/arqTccs/1211321025.pdf.
Acesso em: 11 abr. 2020.
 Conceitos de forense computacional 19

Os links para sites da web fornecidos neste capítulo foram todos testados, e seu fun-
cionamento foi comprovado no momento da publicação do material. No entanto, a
rede é extremamente dinâmica; suas páginas estão constantemente mudando de
local e conteúdo. Assim, os editores declaram não ter qualquer responsabilidade
sobre qualidade, precisão ou integralidade das informações referidas em tais links.
 Dica do professor
Com o crescente volume de crimes cibernéticos, o profissional forense computacional é cada vez
mais requisitado. O perito criminal vem ganhando muito espaço devido à mudança da forma como
a sociedade está interagindo e se relacionando pela Internet e pelas redes sociais.

Na Dica do Professor, você vai aprender um pouco mais sobre a profissão do perito forense digital.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.
 Exercícios

1) Computação forense, também conhecida como ciência forense computacional, é um ramo

da ciência forense digital pertencente às evidências encontradas em computadores e em
mídias de armazenamento digital.

Considerando esse contexto, qual afirmativa está correta?

A) O volume de crimes digitais tem crescido vertiginosamente. Dentro desse cenário, observa-se
que, para realização de análises forenses computacionais, existem muitos profissionais
forenses no mercado.

B) O analista ou perito forense deve conhecer apenas algumas técnicas profundamente, como
sistemas operacionais, redes, programação e coleta e análise de dados.

C) A ciência forense está evoluindo à medida que os crimes digitais ocorrem nos diversos tipos e
dispositivos computacionais. Assim, todo procedimento forense fica apenas a cargo do perito
forense.

D) As evidências dos crimes podem ser localizadas em diversos tipos de dispositivos

computacionais. Um desafio para o perito é a análise física feita arquivo por arquivo,
necessitando da análise do conteúdo dos arquivos.

E) O cenário de impunidade no ambiente digital tem mudado, com métodos de investigação

para os crimes digitais utilizando técnicas e conhecimentos específicos, o que permite a
investigação e comprovação desses crimes.

2) Parte-se do princípio de que, havendo vestígios a serem analisados, o exame pericial deve
ser obrigatório. Conforme consta no Código Penal brasileiro, em seu artigo 158, todo
vestígio de crime deverá ser investigado. Nesse contexto, assinale a opção correta.

A) Todas as análises forenses devem contar com técnicas e ferramentas licenciadas para simular
o ambiente igual ao cenário onde foi realizado o crime.

B) Para garantir a correta preservação das fontes, caso ocorram alterações nas fontes, a perícia
deverá ser paralisada.

C) Caso o equipamento esteja ligado, o ideal é mantê-lo desligado para evitar possíveis perdas
de dados.
D) Em caso de não possibilidade de aquisição de novos equipamentos, a esterilização das mídias
deve ser realizada para evitar contaminação.

E) Fotos, filmes e cópias dos sites não são considerados dados originais, são apenas fatos
ilustrativos para auxiliar na investigação.

3) As boas práticas em procedimentos periciais recomendam, além de técnicas e ferramentas,

profissionais treinados e preparados para a realização da análise forense.

O trabalho de investigação ocorre seguindo quatro etapas. Sobre elas, marque a alternativa
correta.

A) Na etapa de exame, o isolamento da área é de suma importância para garantir que os dados
fiquem intactos.

B) Na fase de coleta, a identificação das pessoas permitirá desenhar o raciocínio lógico de como
o crime foi realizado.

C) A análise é a fase mais trabalhosa entre todas as etapas de investigação, devido ao alto
volume de dados que deverá ser analisado.

D) Na fase de análise, os dados recuperados e catalogados permitem uma avaliação cientifica

que não seja posteriormente questionada.

E) Na fase de análise, nem todos os dados levantados poderão ser analisados devido ao grande
volume de informações.

4) Durante o exame dos dispositivos, o perito deverá definir o modelo ideal de abordagem para
cada tipo de caso, preservando sempre as condições iniciais, que garantirão a melhor análise
dos vestígios.

Sobre os diferentes tipos de dispositivos em um crime digital, qual afirmativa está correta?

A) Um dos itens mais importantes em uma investigação criminal computacional é a identificação

do IP (Internet protocol) do criminoso. Esse número identifica a placa de rede e o número
único de cada dispositivo.

B) Nos casos de crimes que envolvem e-mails, o grande desafio é acessar computadores
utilizados que podem estar em território nacional ou em outros países. É necessário localizar
remetentes, endereço IP, domínio da Internet e conteúdo.
C) No caso de redes de computadores, o exame ocorre nos dados trafegados na rede, com foco
no trânsito da informação e no armazenamento, independentemente do dispositivo emissor e
receptor.

D) A análise forense para tratar a Internet das Coisas (IdC) já está totalmente desenvolvida, e
conta com ferramentas para coletar, examinar, analisar e evidenciar os crimes realizados
nesses dispositivos.

E) A análise ocorre em dados e metadados que devem estar armazenados em banco de dados,
disponibilizados em servidores, com o objetivo de identificar a manipulação de dados
armazenados, como possíveis fraudes financeiras e fiscais.

5) A dificuldade em investigar, comprovar e julgar crimes cibernéticos ocorre pela

complexidade da falta de fronteira digital, uma vez que qualquer conteúdo é acessado de
qualquer lugar no mundo. Nesse contexto, várias iniciativas podem ser observadas no Brasil
e em todo o mundo, como aprovação de leis e marcos civis que visam a tornar o ambiente
digital mais seguro e também garantir a devida punição para crimes computacionais.

Nesse contexto, qual afirmativa está correta?

A) Em crimes a distância, a ação e consumação correm em lugares diversos, mas ambos no

território nacional.

B) Em crimes plurilocais, a ação e consumação ocorrem em lugares distintos, sendo um deles

fora do território nacional.

C) No Brasil, a LGPD (Lei n.o 13.709/2018), que tem como objetivo apoiar a prevenção e
punição de crimes, prevê multas de até R$ 30 milhões de reais.

D) Entre as ações previstas no Decreto n.o 10.222/2020, uma delas é ampliar a cooperação
internacional do Brasil em segurança cibernética.

E) A GDPR (General Data Protection Regulation), uma lei local, tem como objetivo contribuir para
a governança da segurança cibernética nacional.
 Na prática
O uso do celular vai muito além da telefonia. Hoje o celular é, com certeza, um computador remoto,
pelo qual são realizadas diversas transações ao longo do dia. Talvez, o recurso de telefonia seja o
menor deles.

Neste Na Prática, você vai conhecer um caso real em que os usuários de ferramentas como
Whatsapp e Telegram sofreram ataques e tiveram suas conversas vazadas. Você vai ver como esse
crime foi investigado e o que aconteceu com os criminosos envolvidos.

Conteúdo interativo disponível na plataforma de ensino!

 Saiba +
Para ampliar o seu conhecimento a respeito desse assunto, veja abaixo as sugestões do professor:

Conheça as principais ferramentas utilizadas na investigação

forense computacional
Leia uma descrição interessante sobre quais crimes necessitam de investigação forense
computacional, por que ela é importante e quais são as principais ferramentas utilizadas nesses
casos.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.

Como ser um perito criminal: saiba quais são os requisitos

Confira mais informações sobre os pré-requisitos para se tornar um perito criminal, a descrição das
atividades e como é o dia a dia desses profissionais.

Aponte a câmera para o código e acesse o link do conteúdo ou clique no código para acessar.