Introdução à perícia Forense Digital

pericia

Fala Pessoal, meu nome é Diego Souza e sou pós-graduado em Engenharia de Software com ênfase em SOA, atualmente trabalho como Analista Forense (Se é que este cargo existe!) e a convite do Djames Suhanko estarei escrevendo alguns artigos voltados à forense digital, o nosso primeiro post é um breve resumo sobre nosso dia-a-dia no trabalho e procuramos expor de maneira sucinta o papel das principais personagens desse ramo de trabalho. Gostaria ainda de lembra-los que caso sintam a necessidade de que detalhemos mais algum assunto é só nos contatar que estaremos à disposição para esclarecer eventuais dúvidas através de respostas e por que não outros posts.

Introdução

Em perícias realizadas em processos judiciais (Cível, Criminal, Trabalhista), caso seja necessário, o d.Juízo (Douto Juízo, a praxe forense tem conferido outros tratamentos: digno juízo, douto juízo, etc.) pode solicitar a produção de provas periciais, no entanto, as vezes não é necessária essa produção de provas periciais pois as partes envolvidas podem apresentar informações técnicas suficientemente comprobatórias.

Partindo do pressuposto que haja a necessidade de perícia ocorrem os seguintes fatos:

O Juiz ou d.Juízo, nomeia um perito (Expert em determinada ciência), este é um profissional altamente qualificado e que tem total domínio do assunto para o qual foi designado para assistir o Juiz.

A nomeação do perito é realizada somente pelo Juiz, e poderá ou não aceitar a incumbência de realizar os trabalhos ao qual foi intimado.
Se o Perito aceitar a missão a qual foi intimado, conforme apresentada no artigo 146 referente aos peritos na Lei no 5.869, de 11 de janeiro de 1973, o “Perito tem o dever de cumprir o ofício, no prazo que lhe assina a lei, empregando toda a sua diligência; pode, todavia, escusar-se do encargo alegando motivo legítimo.”. Conforme Art. 147
Perito é um expert em determinado assunto, logo se entende que é o ser dotado de um excelente conhecimento em determinado assunto, portanto amplamente habilitado para expor a opinião técnica da melhor maneira possível.

Existem peritos em todas as áreas, no entanto, como nosso blog é voltado para tecnologia, e nesse caso mais específico para forense digital, nossos peritos sempre são os mais renomados no que diz respeito à assuntos técnicos.

Quem pode ser um perito?

Depende, se você é especialista em determinado assunto, como é o caso do “Senhor Miagui do Linux” Djames Suhanko, você pode muito bem ser perito em um caso que envolva ou necessite de um especialista nesse assunto. No mais, geralmente esses peritos são Engenheiros, Doutores e Mestres em diversas áreas ligadas a tecnologia.

O mais interessante na perícia envolvendo tecnologia é que existem diversos tipos de exames que podem ser realizadas, essa lista básica que vos apresento abaixo, foi extraída do site “www.manualdepericias.com.br” e conta com alguns dos exames que podem ser realizados por peritos de informática:

• Identificação de componentes faltantes
• Cópias de software
• Perdas de arquivos
• Autenticação bancária
• Manipulação de imagens digitais
• Invasão e desativação de sistemas
• Transferências eletrônicas
• Avaliação de softwares
• Segurança física
• Linguagens de programação
• Sistemas informatizados
• Avaliação de equipamentos
• Conteúdo oculto em disco
• Bloqueio de dados
• Propriedade intelectual

Como funciona um processo onde é necessária a perícia?

Inicialmente, alguém abre ou inicia um processo alegando algum dano, por exemplo, um dos assuntos que listei acima é cópia de software, esta parte alega que outra pessoa estaria utilizando seu sistema de maneira ilícita, sem que ela recebesse pagamento por esta utilização.

Neste caso acima, a autora, em tese, proprietária do software, alega que um réu estaria utilizando seu sistema de forma ilícita.

Para elucidar esse fato, o juízo, determina que haja produção de prova pericial e nomeia um expert para cumprir o mister (trabalho para o qual foi designado).

A partir deste ponto, cada parte do processo poderá nomear assistentes técnicos para auxiliar na perícia que se iniciará (É nessa parte que eu entro!!!).

O assistente técnico tem o papel semelhante ao do perito, no entanto, sua responsabilidade não é a mesma. O assistente técnico é um profissional altamente capacitado, igual ou superior ao perito e tem papel fundamental no que diz respeito à metodologia pericial a ser adotada no cumprimento dos trabalhos periciais.

O assistente técnico tem a responsabilidade de auxiliar o perito a produzir a prova pericial de maneira íntegra, ou seja, sem que haja a violação ou manipulação das evidências analisadas.

Quais documentos são produzidos em uma perícia?

Bom, tirando os documentos produzidos pelos advogados (Inicial, Contestação, Réplica, entre outros…), existem os documentos de cunho técnico que é o que de fato nos interessam, estes documentos são:

• Documento de nomeação de profissional que será o assistente técnico;
• Documento contendo Quesitos a serem respondidos pelo perito de forma que se obtenha a verdade e elucidação da prática ou não do ilícito.
• Laudo Pericial;
• Manifestação Técnica sobre Laudo Pericial; e
• Em últimos casos Esclarecimentos Pericias e manifestação sobre o mesmo

bannerHubJur

Software Forense

Antes de adentrar este assunto, é importante ressalvar que uma boa ferramenta forense é aquela que não modifica o dado analisado. Outra informação importante é que, não adianta você possuir um “Bugatti Veyron” e não saber guiar, ou seja, não é preciso adquirir softwares caríssimos se você não tem inteligência para explorar todos os recursos que ela oferece, além do mais não existe ferramenta tão boa quanto seu cérebro então use-o.

Qualquer ferramenta que lhe traga informação válida pode ser usada como ferramenta forense, outras ferramentas podem não ser excepcionais, mas são consagradas. Alguns softwares oferecem muitos recursos e módulos, sendo bastante custoso e pouco intuitivo. Não basta que um recurso esteja disponível para que ele seja útil. O software deve prover à expertise necessária, tendo intrinsecamente a inteligência necessária para processar (ou extrair) dados automaticamente. Ou ainda, prover a capacidade de processo guiado, pois um perito ou assistente técnico é primeiramente humano, e bem sabemos que “errar é humano”.

Infelizmente eu digo que não há esse tal software intuitivo. O que existe necessita de prévio conhecimento e em algumas vezes, treinamento, além de possuir limitações.

Hardware Forense (integro do antigo post por Djames Suhanko)

Alguns poucos são reconhecidos como hardware forense, mas os comumente utilizados no mercado são extremamente simples, inclusive os utilizados pela polícia federal, civil e empresas particulares de perícia.

Como quero passar uma visão neutra e sem fantasias, não poderei citar o nome de nenhum hardware, mas vou citar características.
Imagine uma placa-mãe em uma caixa de metal para entrar com 1 ou 2 dispositivos de origem para 1 ou 2 dispositivos de destino. Um exemplo, 2 HDs SATA de origem e 2 HDs SATA de destino.

A cópia forense consiste na cópia de mais baixo nível possível, que é a cópia bloco a bloco do dispositivo de armazenamento, seja ele qual for. Essa placa-mãe com portas para entrada e saída associada a um monitor de toque já bastam para compor um hardware forense. Não existe necessidade de processamento, nem de muita memória, então qualquer hardware com processador e memória onboard já basta, pois não haverá gargalo, sendo a limitação do barramento baseada na velocidade do dispositivo de armazenamento.

A parte fundamental desse recurso de coleta de evidências é a interface com o usuário e, por incrível que pareça, a ferramenta utilizada (apesar de o sistema não ser Linux em alguns desses hardwares) é o dd do Linux.

Tudo o que um perito precisa para fazer análise forense pode ser encontrado com ou sem custo no mundo Linux, mas algumas ferramentas são “grifes” e contra grifes é difícil argumentar. De qualquer modo, nos posts sobre perícia vou citar ferramentas grátis, opensouce e pagas. Das pagas, apresentarei hardwares compostos para atividades especialistas que montei para perícia, assim como hardwares que estou desenvolvendo em parceria com um engenheiro hacker.

Também estou desenvolvendo (inicialmente estou desenvolvendo só, mas pretendo compor equipe) uma suite forense para diversas atividades, tão (ou mais) intuitiva do que a interface do Phantom. Para os que não cnheceram, o Phantom (IBM Developer Works) é um sistema de clonagem com última versão congelada em 1.7, nos moldes dos sistemas embedded, com interface gráfica em Qt Embedded e a iso completa do sistema com 17MB. Então, logo teremos um novo sistema especialista para forense, com tamanho e tempo de boot reduzidos, sendo uma ferramenta portável e que não maculará a evidência tratada.

Se você também tem paixão por forense, acompanhe os próximos posts relacionados!

Bom inicialmente é isso, se você gosta do assunto e quer contribuir com sugestões, críticas (Construtivas), dar sua opinião…Seja bem vindo!

Por: Diego Souza

Se gostou, não deixe de compartilhar; dê seu like no video e inscreva-se no nosso canal Do bit Ao Byte Brasil no YouTube.

Prefere seguir-nos pelo facebook? Basta curtir aqui.

Prefere twitter? @DobitAoByte.

Próximo post a caminho!

Comments

comments

Djames Suhanko

Djames Suhanko é Perito Forense Digital. Já atuou com deployer em sistemas de missão critica em diversos países pelo mundão. Programador Shell, Python, C, C++ e Qt, tendo contato com embarcados ( ora profissionalmente, ora por lazer ) desde 2009.

Deixe uma resposta