Académique Documents
Professionnel Documents
Culture Documents
So Paulo
2011
GIULIANO GIOVA
So Paulo
2011
GIULIANO GIOVA
So Paulo
2010
DEDICATRIA
Ao Professor Doutor Pedro Luis Prspero Sanchez, por me ter acolhido, orientado,
doutrinado e mostrado os fundamentos para desenvolvimento deste trabalho.
Digital systems have become ubiquitous, there are nearly a billion computers
connected to Internet, and essential for human activities. This leads to the increase of
the number of legal cases whose solution depends on the forensic examination of
electronic devices. The investigation of unlawful acts is almost always made on site:
bailiffs and experts witness collect suspect computers and take them to specialized
laboratories maintained by the governments (criminology institutes), universities or
even by expert witnesses. Experts appointed by judges and, if eligible,
representatives of the defendants and plaintiffs, conducts technical examinations
based on forensic methods and tools. The result of this work is submitted to the
Judge as an expert witness report whose quality has severe social repercussions as
a matter of conviction and decision in the trial proceedings. This quality is under
serious threat due to demand greater than available resources and due to growing
complexity. Few centers of study have resources and enough technical skill enough
to overcome these challenges, and those centers are often distant from users:
thousands of courts and police stations throughout Brazil. It is really necessary the
academic community engagement to bring solutions to those new social demands by
means of latest scientific findings. One of the most promising technologies in this
area is an Internet remotely accessible laboratory, using so called WebLab
technology, in Brazil developed mainly by the Fapesp project KyaTera. This
dissertation explores and contextualizes these themes and makes a preliminary
analysis about an alternative which, depending on future complementary studies,
may offer to legal professionals and especially to experts and technical assistants
remote access to specialized laboratories for the examination of electronic
digital systems, providing a tool to society that makes forensic exams more reliable.
Figura 17. Equipamento forense Solo 4: lab server e interface de dispositivo .......... 69
Figura 22. Lab server, discos suspeitos e disco para evidencias (centro) ................ 71
Figura 24. WebLab Server com visualizao remota da tela do Solo 4 .................... 74
Figura 25. Perito acessa WebLab Server e manipula o Lab Server .......................... 75
Figura 26. Delegado acessa WebLab Server e fiscaliza o Lab Server ...................... 75
Figura 27. Juiz acessa WebLab Serve e fiscaliza Lab Server ................................... 76
Figura 31. Detalhe dos dados lidos nos discos e fiscalizados remotamente ............. 78
Figura 36. Perito reconfigura Solo 4 para captura do segundo disco ........................ 80
Figura 40. Perito comanda conferncia do hash da imagem do segundo disco ....... 81
Figura 41. Perito comanda transferncia das imagens para WebLab Server ........... 82
Figura 42. Delegado fiscaliza transferncia das imagens para WebLab Server ....... 82
Figura 43. Perito verifica imagem forense recebida no WebLab Server ................... 82
Figura 45. Perito cria mquina virtual no WebLab Server para o processo judicial... 83
Figura 46. Delegado fiscaliza criao da mquina virtual para o processo ............... 83
Figura 47. Juiz fiscaliza criao da mquina virtual para o processo ........................ 83
Figura 48. Perito organiza evidncias em maquina virtual no WebLab Server ......... 84
Figura 49. Perito ativa software forense Autopsy no WebLab Server ....................... 84
Figura 50. Perito cria o caso e carrega evidncias no WebLab Server ..................... 85
Figura 51. Perito examina evidncias no WebLab Server ......................................... 85
Figura 57. Estrutura de metadados sugerida para WebLab Forense ...................... 103
Figura 63. WebLab do MIT visualizado e comandado pelo autor a partir do Brasil. 109
Figura 74. Sistema porttil para coleta de dados em telefones celulares ............... 120
Figura 76. Receptor mvel para monitoramento de espectro de radiofrequncia ... 121
Figura 77. Diagrama da artificialidade e espaos.................................................... 123
Figura 89. Palestra Black Hack sobre uso de Focused Ion Beam para quebra da
segurana................................................................................................................ 131
Figura 90. Imagens sobre uso de alta tecnologia para quebra de segurana ......... 132
LISTA DE QUADROS
1 INTRODUO ............................................................................................... 16
1.1 CONTEXTO.............................................................................................................................. 16
1.6 ESTRUTURA............................................................................................................................ 26
1 INTRODUO
A par dos benefcios fundamentais trazidos pelo intenso uso das tecnologias da
informao e das comunicaes (TIC), cresce a quantidade de conflitos de
interesses onde dispositivos digitais tm papel relevante, seja como objeto direto da
disputa, seja como elemento indireto de prova.
1.1 CONTEXTO
Isso faz com que uma busca por palavras-chave como cocana ou pedofilia em
um computador pessoal, at recentemente procuradas simplesmente no formato
texto entre documentos eletrnicos armazenados no disco rgido, atualmente tenham
que ser procuradas tambm segundo o padro Unicode, que contempla desde
nosso idioma at ideogramas orientais, ou como fonemas ocultos dentro de arquivos
multimdia ou pacotes VoIP.
18
Cumpre observar tambm que esses dados e sistemas cada vez mais ultrapassam
os limites geogrficos do dispositivo local para integrar-se, distribuir-se e serem
processados em redes locais, metropolitanas ou mundiais, tornado mais complexas
sua localizao, preservao e anlise.
Porm, essa apreenso traz graves prejuzos aos proprietrios e usurios, pois
impede que prossigam com suas atividades dependentes dos computadores,
celulares e outros dispositivos digitais apreendidos. Alm disso, ao perderem o
acesso fsico aos seus equipamentos torna-se mais difcil que eles possam
encontrar evidncias e contraprovas eventualmente existentes, prejudicando sua
defesa no processo.
De outro lado, os crticos dessa separao alegam que a percia criminal inclui-se no
conceito de Polcia Judiciria, no podendo de ela ser dissociada, cabendo apenas
autonomia para o cargo, mas no do rgo.
Nas decises sobre qualquer modelo hierrquico e funcional que possa ser adotado
para custodiar e examinar evidncias digitais, preciso ter presente que essas
21
O Brasil conta com mais de cinco mil municpios, neles havendo aproximadamente
2.500 comarcas judiciais, ou seja, apenas metade dos municpios possui acesso
local aos servios judicirios, o restante precisa recorrer aos servios prestados em
algum municpio prximo ou por juzes itinerantes (INSTITUTO BRASILEIRO DE
GEOGRAFIA E ESTATSTICA, 2008).
Assumindo-se como premissa que existam pelo menos dois peritos judiciais em
tecnologia da informao nas comarcas menores e mais do que isso nas comarcas
maiores, resulta a estimativa informal de que devam existir cerca de 5 ou 6 mil
peritos judiciais em TI efetivamente ativos no pas.
Os altos custos dos softwares forenses mais completos e atualizados1 podem ainda
tentar alguns peritos a utilizar ferramentas inadequadas ou at mesmo cpias
contrafeitas, tornando venal esse procedimento, o que seria absolutamente
inadmissvel na produo de provas forenses, fragilizando todo o sistema.
1
Licenas individuais de programas forenses em tecnologia da informao custam geralmente entre
2 e 20 mil reais, licenas corporativas podem alcanar valores na ordem de um milho de reais ou
mais. O cenrio agrava-se se for considerado que quase sempre os softwares so especializados, ou
seja, o mesmo produto no eficaz, por exemplo, tanto para discos rgidos de computador como para
telefones mveis celulares, implicando na aquisio de licenas para diversos softwares.
22
Mais ainda, a natureza dos novos sistemas impe s partes envolvidas nos
processos judiciais e prpria sociedade fiscalizar o tratamento dados s evidncias
digitais e como elas so preservadas, examinadas e consideradas no julgamento
das aes judiciais.
1.4 DELIMITAO
O objeto deste estudo situa-se na regio multidisciplinar situada entre reas distintas
e muito abrangentes da Engenharia Eletrnica, da Tecnologia da Informao, do
Direito e das Cincias Sociais.
1.5 MTODO
Foi realizada uma pesquisa descritiva preliminar sobre o cenrio dos dispositivos
digitais baseados nas tecnologias da informao e das comunicaes, focando tanto
sua disseminao na moderna sociedade da informao, em nvel mundial e
nacional, quanto nos principais problemas de segurana apontados no pas.
Assim, o presente trabalho trouxe subsdios para a definio preliminar do que seria
um WebLab Forense voltado ao exame de sistemas eletrnicos digitais. Possibilitou,
tambm, a realizao de um experimento restrito a um componente, a ttulo de prova
26
Esse experimento certamente tem severas limitaes tcnicas que no puderam ser
superadas em decorrncia da grande amplitude do tema e das fortes limitaes de
tempo e recursos, conforme dito inicialmente, mas foi considerado apto enquanto
uma avaliao preliminar da proposta e para apoiar a definio de possveis estudos
futuros, mais abrangentes e profundos. Os resultados obtidos foram registrados e
so apresentados nos prximos captulos, para subsidiar debates acadmicos e
novos estudos que possam melhor avaliar ou at mesmo estender a soluo
proposta.
1.6 ESTRUTURA
Nos ltimos anos, esse movimento ressentiu a recente crise econmica mundial,
mas mesmo assim a utilizao das tecnologias da informao e das comunicaes
continuou a crescer intensamente em nvel mundial (GARTNER, 2009).
Outro artigo apresentado pelo CETIC mostra elevado nvel de concentrao das
empresas prestadoras de servios de banda larga nos municpios brasileiros. Os
servios so prestados por mais de uma operadora em 184 municpios brasileiros
(83 milhes de pessoas), por uma nica operadora em 2.235 municpios (63 milhes
de pessoas) e ainda no h efetivo atendimento nos demais 3.145 municpios
(CGI.BR, 2009, p. 56).
Esse plano passa a considerar o acesso em banda larga como uma infraestrutura
essencial, nos moldes dos outros servios essenciais como eletricidade, gua e
esgoto (CGI.BR, 2009, p. 71).
Na Figura 7, as colunas Total Brasil mostram que em 2009 cerca de 35% dos
usurios da internet declaram ter encontrado problemas de segurana durante o uso
da internet, contra 28% em 2008, portanto um crescimento de 7 pontos percentuais
em apenas um ano (CGI.BR, 2009, p. 150).
34
No mbito trabalhista, a pesquisa revela que em 2008 cerca de 66% das empresas
brasileiras adotavam medidas que restringiam o acesso dos empregados a
determinadas pginas da Internet. As principais restries registradas so 62% a
sites pornogrficos, 48% a sites de relacionamento e 30% a e-mails pessoais,
indicando a existncia de zonas de conflito entre empregados e empregadores
(CGI.BR, 2009, p. 207).
A Figura 8 mostra que em 2009, 63% das empresas declararam terem tido
problemas com vrus, um aumento de 8 pontos percentuais em relao a 2008, e
cerca de 53% das empresas relataram problemas com cavalos de tria (trojans), um
aumento de 5 pontos desde 2008 (CGI.BR, 2009, p. 363).
Nesse modelo, a eficcia da prova ser tanto maior, quanto mais clara, ampla e
firmemente fizer surgir no esprito do juiz a crena de posse da verdade. Como a
certeza do juiz um estado subjetivo do esprito, que pode no corresponder
verdade objetiva, a busca da verdade judicial objetiva deve sempre valer-se do
raciocnio, da reflexo intelectual (MALATESTA, p. 27):
nos autos, devendo decidir com base nos elementos existentes no processo,
avaliados segundo critrios crticos e racionais (CINTRA; DINAMARCO;
GRINOVER, p. 68).
Portanto, o juiz no precisa estar adstrito prova pericial, mas deve ser dada
publicidade produo dessa prova e ao papel que essa prova teve na formao do
convencimento judicial, possibilitando sociedade exercer seu poder de fiscalizao.
A apreenso dos equipamentos traz graves prejuzos aos rus porque os impede de
prosseguir nas suas atividades normais, pois pessoas e empresas so cada vez
mais dependentes dos computadores e das comunicaes. Retira-lhes a posse do
material prejudica seus proprietrios tambm quando sua anlise para eventual
contraprova.
2
Peritos oficiais so funcionrios pblicos admitidos como peritos na Polcia Federal ou nas Polcias
Estaduais, geralmente subordinados Polcia Cientfica e atuando em Institutos de Criminalstica.
Atuam em processos criminais.
3
Peritos judiciais so profissionais de nvel superior nomeados pelo Magistrado em funo do seu
saber na rea e por serem de sua confiana. Atuam tipicamente em processos cveis ou trabalhistas.
4
Cpias forenses so idnticas aos originais e essa igualdade pode ser verificada (certificada) a
qualquer momento por meio de mecanismos como o clculo do cdigo hash, O cdigo hash um
cdigo alfanumrico curto, com dezenas de caracteres, gerado por algum mtodo matemtico que
mapeia todos os bits armazenados em um dispositivo digital, tendo esse mtodo propriedades como:
(i) ser unidirecional, isto , impossibilitar a descoberta da informao original a partir do cdigo; (ii)
assegurar que se um nico bit do dispositivo original for alterado, o cdigo hash ser diferente e (iii)
se dois dispositivos digitais apresentarem o mesmo cdigo hash, fica demonstrado que seus
contedos originais tambm so iguais. Se o mtodo for inadequado, pode ocorrer que dois
dispositivos com contedo ligeiramente diferente, ou alterado, apresentem o mesmo cdigo hash,
defeito chamado coliso (GUELFI, 2007, p. 96).
40
5
Acrdo do Tribunal Superior do Trabalho, processo nmero TST-CSJT-360/2007-000-90-.005, de
21 de agosto de 2007.
6
Disponvel em: <http://www.abcperitosoficiais.org.br/ver.asp?id=506>. Acesso em: 30 jul. 2010.
43
Em notcia publicada em 2006 no jornal Folha de So Paulo7 com o ttulo Efeito CSI
multiplica interesse pela profisso de perito criminal, as jornalistas Andrea Murta e
Marina Tamari registram:
7
Disponvel em:
<http://www1.folha.uol.com.br/folha/treinamento/novoemfolha41/te21062006042.shtml>. Acesso em:
30 jul. 2010.
8
Disponvel em: <http://www.nominuto.com/nasemana/conteudo-do-jornal/deficiencia-em-pericias-
tecnicas-compromete-inqueritos-policiais/35540/print/>. Acesso em: 17 ago. 2010.
44
Essa nova realidade est impondo aos juzes a necessidade de familiarizar-se com
os dispositivos baseados em alta tecnologia, de reavaliar continuamente os
procedimentos utilizados para a produo de provas no mundo digital e, ainda mais
importante, manter-se a par do extenso e dinmico leque de produtos e servios
tpicos da sociedade digital.
Cabe ao juiz estar preparado para racionar a respeito dos fatos do mundo virtual,
para isso a melhor abordagem aprimorar seu conhecimento sobre sistemas, os
mesmos princpios e mtodos que suportam seus estudos sobre os sistemas legais
aplicam-se igualmente ao estudo de sistemas tecnolgicos.
Esse contexto pressiona ainda mais os peritos oficiais ou judiciais no apenas pelo
aumento da demanda de exames, mas tambm em funo do aumento de
complexidade tecnolgica, requerendo melhores conhecimentos tcnicos e
ferramentas sofisticadas de anlise pericial que devem produzir laudos plenamente
45
3 LABORATRIOS FORENSES
rigores cientficos. Crticos dessa separao alegam que a percia criminal inclui-se
no conceito de Polcia Judiciria, no podendo dela se dissociar, devendo apenas
haver autonomia de cargo e no de rgo (LEITO, 2008).
Como se viu nos demais captulos desta dissertao, os laboratrios que atuam em
outras reas cientficas so alvos de crticas similares quelas percebidas quanto
aos laboratrios das tecnologias da informao e da comunicao. Paradoxalmente,
em quase todas essas reas, como Medicina, Biologia, Qumica, Engenharia Eltrica
e Fsica, notria a existncia de laboratrios altamente especializados que
apresentam elevada produo cientfica como demonstram os indicadores nacionais
em cincia e tecnologia.
Por isso, ser adotado um modelo simplificado baseado apenas em um disco rgido
de computador pessoal, deixando-se para trabalhos futuros analisar a grade
diversidade de sistemas eletrnicos digitais que um laboratrio dessa natureza
dever examinar. Assim sendo, a presente anlise considera apenas exame de um
disco rgido frente a um hipottico processo judicial com a presena de operadores
do direito e das partes.
Como pode ser visto na Figura 10, nesse modelo o perito interage diretamente com
o disco rgido, contudo as demais pessoas ficam completamente apartada dessa
realidade, tendo apenas uma viso posterior e limitada dos fatos somente por meio
do laudo pericial.
9
Alm do hard block, as melhores prticas recomendam que, em vez de ser examinado diretamente,
o disco original seja copiado, produzindo um disco clone fiel que ser utilizado nos exames enquanto
que o disco original permanece preservado em local seguro. Porm, muitas vezes essas
recomendaes no so seguidas por custo dos equipamentos ou porque demandam tempo de cpia
e espao de armazenamento.
52
Uma das mais importantes evolues nos procedimentos periciais forenses tem sido
a substituio, durante os exames, do disco rgido real por uma cpia desse disco. O
procedimento mais rudimentar consiste em gerar uma cpia forense bit a bit. Mais
modernamente, em lugar da cpia forense gera-se uma imagem forense, isto , um
modelo que representa o disco original, em termos prticos esse modelo
denominado arquivo imagem forense.
O laboratrio forense passa ento a atuar como um laboratrio virtual, pois em vez
de examinar o sistema eletrnico digital original, analisa-se um modelo que o
representa, contendo algum tipo de representao dos dados originais e metadados
que qualificam o dispositivo de origem. Aumentam a transparncia e a segurana
dos procedimentos, pois h superviso da autoridade, gerao da cadeia de
53
Mesmo se h melhoras com relao ao formato anterior, o fato que a maior parte
dos operadores do direito tem poucas condies de fiscalizar ou mesmo contribuir
com as tarefas periciais e as imagens forenses ainda so bastante incompletas pois
so focadas apenas na coleta dos dados, sendo deficientes no controle da cadeia de
custodia.
10
As melhores prticas determinam o clculo do cdigo hash como recurso para verificar a
integridade de uma evidncia digital, contudo esse cdigo no possibilita a verificao do contedo
para fins de contraprova.
54
Outro grupo de solues est nos pacotes forenses mais completos voltados a
exames remotos. Casey e Stanley (2004) avaliaram dois softwares pioneiros nessas
funes: o Encase Enterprise Edition (EEE)11 e o ProDiscovery IR (PDIR)12. Em
ambas as solues, necessrio carregar na memria do computador alvo um
pequeno programa (servlet) que possibilita a comunicao entre ele e o computador
forense. Trata-se de tarefa complexa, pela necessidade de descobrir como instalar o
servlet no computador alvo, o que muitas vezes impe ao investigador a
necessidade de ter privilgios de administrador no computador alvo. Alm disso, os
autores do estudo alertam para o fato do prprio servlet poder ser alterado por
usurios que tenham os conhecimentos suficientes para isso, risco mais relevante se
no houver autoridades fisicamente presentes no local da coleta. Por isso, at o
momento essas solues so consideradas apenas tipicamente corporativas e no
forenses no real sentido da palavra.
Cumpre salientar que um dos maiores desafios tcnicos desses softwares est no
fato de ser parcialmente processados nos sistemas examinados, o que contrasta e
se contrape com a obrigao de gerar a menor interferncia possvel nesses
sistemas, para no comprometer a coleta das evidncias.
11
EnCase Enterprise Edition 4.19a
12
ProDiscover IR 3.5 (PDIR)
56
Outro risco relevante apontado por Casey e Stanley (2004) refere-se segurana da
prpria ferramenta forense, alertando para a gravidade de qualquer perda de
controle sobre o exame remoto possa levar ao uso malicioso desses recursos
poderosos por terceiros mal intencionados. O produto Encase incorpora um mdulo
especfico de segurana, denominado SAFE, que gerencia a segurana do sistema
e a comunicao entre o computador forense e os computadores examinados.
Utiliza uma combinao de chaves pblicas, privadas e de sesso para assegurar
que as comunicaes com os servlet remotos sejam sempre devidamente
autorizadas e criptografadas. Cuida, ainda, da segregao das diversas contas de
usurios que podem usar o sistema para investigaes, havendo controle severo
sobre as regras, isto , sobre o que cada conta pode acessar. Por exemplo, alguns
usurios podem realizar investigaes remotas, visualizando contedo dos arquivos,
enquanto que outros podem apenas coletar evidncias de forma criptografada e
repass-las a investigadores forenses, sem conhecer seu contedo.
4 WEBLAB FORENSE
A interao dos usurios com o WebLab Server deve ser a mais natural possvel e,
preferencialmente, basear-se em simples navegadores Internet, tendo em vista a
necessidade de ampla e fcil utilizao por qualquer pessoa e em qualquer ponto do
pas.
Pelo lado dos laboratrios remotos, deve ser possvel conectar diversos Lab Servers
e cada um deles deve possibilitar a conexo de diversos Device Controllers
atualizveis com facilidade na medida em que so lanados no mercado novos
dispositivos eletrnicos digitais que pode ser submetidos percia tcnica.
64
Os dois prximos itens descrevem a prova de conceito e seus resultados. O item 4.5
- Contribuies e Perspectivas com a Evoluo do Experimento, apresenta as
contribuies deste trabalho para apoiar estudos futuros.
Nesse prottipo experimental e que visa apenas realizar uma prova de conceito13,
foram utilizados tanto produtos tradicionais do mercado forense, assim como
produtos mais recentes e modernos, destacando-se:
13
Tendo em vista as condies de licenciamento dos softwares e equipamento forenses, cumpre
salientar que o presente experimento foi conduzido apenas em ambiente de laboratrio e somente
com o objetivo puramente acadmico de realizar uma prova de conceito sobre o modelo de WebLab
Forense. Portanto, no se trata de qualquer aplicao prtica comercial e nem mesmo de qualquer
engenharia reversa desses produtos. Eventuais aplicaes prticas futuras dependero de
autorizao e licenciamento pelos detentores dos direitos.
65
Esses produtos embutem grande parte das funes necessrias para exames
forenses em dispositivos digitais, motivo pelo qual foram selecionados para integrar
este experimento. H no mercado razovel oferta de outros produtos que cumprem
funes dessa natureza.
Para esta prova de conceito foi adotada a premissa de utilizar apenas componentes
prontos disponveis no mercado, mesmo sabendo-se que a implementao real de
um WebLab Forense possivelmente demandar o desenvolvimento de componentes
personalizados, possivelmente baseado em software livre, alm da aquisio e
integrao de componentes comerciais, de maneira mais profunda e completa.
Para realizar o teste foram utilizados discos rgidos adquiridos como sucata em lojas
de bairro paulistano tradicional no comrcio eletroeletrnico. Trata-se, portanto, de
discos rgidos antigos e usados, descartados como sucatas, mostrados na Figura 15
e na Figura 16.
69
Figura 15. Primeiro disco para prova Figura 16. Segundo disco para prova
O segundo disco rgido foi conectado entrada Suspect 2 do Solo 4, como mostra
a Figura 19.
Figura 20. Disco mvel para armazenar Figura 21. Conexo do disco de evidncias
evidncias. porta Evidence 1 do Solo 4.
Neste experimento, o equipamento Solo 4 assume dupla funo: (i) como Device
Controller, ao atuar como interface com os dispositivos digitais a examinar; e (ii)
como Lab Server que interage com os Device Controllers e coleta evidncias
repassando-as ao WebLab Server, no conjunto mostrado na Figura 22.
Figura 22. Lab server, discos suspeitos e disco para evidencias (centro)
14
Cmaras marca Cisco e outras marcas comerciais.
73
15
Como visto nesta dissertao, a operao remota foi simulada em rede local.
74
Nesse modelo, o perito o nico usurio que pode manipular teclado e mouse e
realizar transferncia de arquivos.
75
Figura 30. Detalhe da deteco remota de Figura 31. Detalhe dos dados lidos nos discos
discos conectados e fiscalizados remotamente
Na Figura 34, v-se atravs da tela do perito que a coleta foi concluda, com a
gerao de imagem forense e em seguida o perito comanda a verificao do cdigo
hash da imagem gerada.
Em seguida tem incio a gerao da segunda imagem forense, sob comando remoto
do perito (Figura 37) e fiscalizao remota pelo delegado (Figura 38) e pelo juiz
(Figura 39)
81
Tendo concludo a captura remota das imagens forenses dos dois discos suspeitos,
o perito aciona remotamente a transferncia dos arquivos imagens desde o Solo 4
at o WebLab Server (Figura 41), sob a superviso remota do delegado (Figura 42).
82
Figura 41. Perito comanda transferncia das imagens Figura 42. Delegado fiscaliza transferncia das imagens
para WebLab Server para WebLab Server
Figura 43. Perito verifica imagem forense recebida no Figura 44. Juiz fiscaliza a verificao da imagem pelo
WebLab Server perito
Figura 45. Perito cria mquina virtual no WebLab Server para o processo judicial
Figura 46. Delegado fiscaliza criao da mquina Figura 47. Juiz fiscaliza criao da mquina virtual
virtual para o processo para o processo
Como pode ser visto na Figura 48, as evidncias foram transferidas para a mquina
virtual (demora de cerca de 40 minutos, no experimento), criando um ambiente
reservado para os exames do caso especfico. As atividades ainda so
supervisionadas remotamente pelo delegado e pelo juiz.
84
Figura 50. Perito cria o caso e carrega evidncias no Figura 51. Perito examina evidncias no WebLab
WebLab Server Server
Figura 52. Delegado fiscaliza exame feito pelo perito Figura 53. Juiz fiscaliza exame feito pelo perito
O modelo que foi utilizado na prova de conceito, mesmo sendo elementar e carente
de quase todas as funcionalidades afeitas a um WebLab efetivamente operacional,
mostrou-se potencialmente til para permitir a juzes, delegados, advogados e partes
acompanharem remotamente os detalhes dos exames realizados.
Nesse mesmo sentido, verificou-se que deve caber aos WebLabs Forenses o papel
de garantidores centrais da cadeia de custdia, isto , deve haver grande segurana
na gerao, preservao e anlise de logs e demais registros gerados
automaticamente sobre a conexo, captura, armazenamento, cpia, modificao,
distribuio e destruio de qualquer componente. Esses registros demonstraram-se
essenciais para a validade da adoo de laboratrios remotos. No experimento
realizado constatou-se que tanto o software forense Autopsy, quanto o laboratrio
forense Solo 4, geram e mantm logs suas prprias atividades. Porm, ambas no
podem ser consideradas suficientes diante do ambiente mais amplo proporcionado
pelos WebLabs. Alm disso, a interoperao entre diversos componentes
proporcionada pelos WebLabs demanda um nvel ainda maior de logs como
resultado da prpria integrao e interao de ambientes remotos, necessidade a
ser detalhada em futuros estudos e projetos prticos sobre WebLabs Forenses.
Os resultados positivos obtidos sugerem que devem ser realizados trabalhos futuros
para aprofundar essa matria e implementar um WebLab Forense efetivo, contudo
esse esforo se situa alm do presente trabalho, pelo tempo requerido,
complexidade envolvida e recursos necessrios.
Em termos gerais, pode-se dizer que a cadeia de custdia deve ser aplicada tanto
nos locais externos como naqueles internos ao laboratrio pericial. O principal local
externo a cena do crime, onde a cadeia de custdia visa identificao do prprio
local, dos vestgios ali encontrados, dos eventos ocorridos e das pessoas que
interagiram com esse material, culminando com sua coleta e transporte ao
laboratrio pericial.
Outro risco nos procedimentos atuais est em que as peas digitais coletadas no
local dos fatos so transportadas fisicamente at a delegacia de polcia, at a polcia
92
Outra questo refere-se aos chamados depsitos judiciais, onde muitas vezes as
evidncias digitais ficam por meses ou anos, sendo sabido que quase sempre essas
unidades so carentes de recursos mnimos at mesmo para o transporte e
armazenamento adequados de um simples microcomputador, em alguns casos
ficam empilhados, sujeitos a humidade e sem vigilncia efetiva.
Alm disso, os organismos policiais adotam cada vez mais mtodos periciais
forenses com o objetivo de evitar manipulao inadvertida das evidncias e
aprimorar o registro da cadeira de custdia como meio de reduzir a impugnao das
evidncias pelas partes e pela sociedade.
16
Figura 54. Cadeia de custdia atual
16
Diagramas simplificados, em formato livre adaptado pelo autor.
94
Sugere-se ainda que os estudos futuros abordem a reviso das normas sobre as
responsabilidades de autoridades, peritos, partes e populao em geral que
interagem com provas digitais em todas as fases dos processos, desde o primeiro
atendimento em cenas de crime at o descarte final da evidncias pela Justia.
O WebLab Forense proposto prev a coleta remota dos vestgios digitais a partir do
local dos fatos, dados esse que sero em seguida transmitidos para a central de
custdia do WebLab.
Assim, cabe aos WebLabs Forenses manter Centros de Custdia de Provas Digitais,
constitudos na forma de repositrios digitais que alimentam as operaes dos
WebLabs, possibilitando seu acesso controlado pelos operadores do Direito e pelas
partes. Considerando a existncia de um perodo de migrao, entende-se que essa
central de custdia digital poder e provavelmente dever conviver com a custdia
97
Nesse sentido, o estudo realizado indica que a anlise de segurana dos WebLabs
forenses tende a apresentar semelhanas com a anlise de risco em um ambiente
cloud, sugerindo-se que essa linha seja melhor avaliada em trabalhos futuros. As
semelhanas de ambos os modelos esto associadas existncia de reas e
funes pblicas, privadas, de comunidade e mistas, de forma que se assemelha ao
modelo de risco previsto pelo NIST para cloud computing, considerando como
crticas nas implementaes prticas as questes de governana, gesto de riscos,
compliance, auditoria, garantia de continuidade, respostas a incidentes, criptografia,
gesto de senhas, identificao de usurios, controle de acesso, segurana da
aplicao e dados, segurana na comunicao, interoperabilidade, alm dos
aspectos sobre segurana presentes na Tecnologia da Informao tradicional.
17
Cloud Security Alliance (https://www.cloudsecurityalliance.org)
98
Sugere-se que essa anlise considere um ambiente internacional, por estarem cada
vez mais prximos os debates sobre tecnologia realizados nos tribunais brasileiros e
aqueles que ocorrem em fruns de outros pases ou mundiais. As questes
tecnolgicas descolam-se continuamente das fronteiras fsicas e jurdicas das
naes, pois os limites geopolticos so continuamente ultrapassados por redes de
telecomunicaes, sistemas operacionais, estruturas de bancos de dados, software
aplicativo e pela internet e seus servios.
Existem ainda entidades civis que promovem em nvel mundial a proteo de direitos
relacionados aos sistemas eletrnicos digitais. A World Intellectual Property
Organization (WIPO) atua nas questes envolvendo patentes e, mais recentemente,
sobre a resoluo mundial de conflitos com nomes de domnios de internet, ambos
envolvendo avaliaes em contextos arbitral ou judicial19.
Essa postura vista nos laboratrios que realizam exames de DNA21, pois aliam s
anlises mdicas os procedimentos tipicamente forenses, como a manuteno de
rigorosa cadeia de custdia sobre as peas analisadas e padres de testes.
18
Interpol. Disponivel em: <http://www.interpol.int>. Acesso em: 04 set. 2010.
19
World Intellectual Property Organization. Disponvel em: <http://www.wipo.int>. Acesso em: 04 set.
2010.
20
Business Software Aliance. Disponvel em: <http://www.bsa.org>. Acesso em: 04 set. 2010.
21
Federal Bureau of Investigations (FBI) Standards for Forensic DNA Testing Labs. Disponvel em:
<http://www.fbi.gov/hq/lab/codis/forensic.htm>. Acesso em: 04 set. 2010.
100
22
Guidance Software. Disponvel em: <http://www.guidancesofttware.com>. Acesso em: 03 jun. 2010
23
Access Data. Disponvel em: <http://www.accessdata.com>. Acesso em: 03 jun. 2010
24
Technology Pathways. Disponvel em: <http://www.techpathways.com>. Acesso em: 29 jul. 2010
25
So distintos os clones forenses, criados pela cpia de dispositivo digital em outro idntico ou
similar, e as imagens forenses que constituem a coleta do contedo de um dispositivo digital
gerando um arquivo denominado imagem, o qual portanto representa todo o contedo do dispositivo
digital original. Estes pargrafos referem-se aos formatos de imagens forenses, no aos clones
forenses.
101
26
Literamente, fluxo de bits.
102
dos procedimentos realizados. Por exemplo, faltam dados como o nmero de srie
do disco rgido copiado.
Adotando uma abordagem similar e partindo dos estudos desta dissertao, sugere-
se que estudos futuros avaliem se os formatos atualmente mais utilizados poderiam
agregar metadados especficos e comuns entre si e, alm disso, adotar recuros para
registro e fiscalizao de eventos em tempo real e remoto, para que possam ser
tratados mais eficazmente em uma rede de WebLabs Forenses.
Assim, sugere-se que os prximos trabalhos definam uma estrutura de dados para
constituir a cadeia de custdia sobre o que foi coletado pela percia, se houveram
transformaes nas evidncias digitais e quais pessoas entraram em contato com
elas. Sugere-se, ainda, que sejam adotados metados mais abrangentes que
constituam, por exemplo, uma trilha de auditoria a qualidade dos dados forenses
coletados, registrando eventuais erros na coleta, e dados para classificar o nvel de
proteo de evidncias digitais, como tentativas de acesso indevido.
27
Os autores denominaram o programa como Advanced Disk Imager.
103
28
Web services ou servios web so solues para integrao de sistemas cujos recursos so
identificados por meio de Uniform Resource Identifier (URI) e definidos com base em documento de
descrio XML, utilizados conforme normas organizadas pelo World Wide Web Consortium (W3C),
disponvel em: <http://www.w3.org/>, e pela Organization for the Advancement of Structured
Information Standards (OASIS), disponvel em: <http://www.oasis-open.org/>. Acesso em: 18 ago.
2010.
104
Nesse mesmo sentido, sugere-se que seja projetado para o WebLab Forense um
sistema de segurana web based que contemple basicamente as funes de
autenticao e autorizao, a primeira consistindo da identificao do usurio e a
segunda na verificao e autorizao para tarefas especficas (GUIMARAES et al.,
2010, p. 3).
Deve ser considerado que j em 1996, a Escola Politcnica inovou seu curso de
controle de processos utilizando uma malha de ajuste de temperatura para uma
planta-piloto multi-propsito com placas de aquisio e sistema supervisrio, onde
os alunos realizavam distrbios e efetuavam ajustes em tempo real.
Figura 61. Monitoramento por cmera digital Figura 62. Tela apresentada ao final do
experimento
WebLidar.
WebLidar. Laboratrio de aplicaes ambientais a laser.
WebLabs de Robtica.
Ambiente educativo para a operao remota de um rob
manipulador. OPF.
Remanufatura flexvel telecomandada baseada em
processamento de imagens. OPF
WebLabs de Medicina.
WebLab para um banco abrangente de imagens mdicas.
Incor
Os principais investigadores, o Prof. Steve Lerman e o Prof. Jess del Alamo tiveram
por objetivo desenvolver laboratrios online que pudessem ser utilizados
remotamente por estudantes, educadores em cincias e engenheiros para realizar
experimentos a qualquer hora e a partir de qualquer lugar, utilizando apenas seus
navegadores internet. Em 2005, o iLab j havia sido utilizado em milhares de
estudos ao redor do mundo.
109
Figura 63. WebLab do MIT visualizado e comandado pelo autor a partir do Brasil.
Essa estrutura do MIT foi concebida para ambientes Microsoft Windows, envolvendo
instalao e ajuste, como mnimo, de um sistema operacional Windows Server
Enterprise, do gerenciador de banco de dados SQL Server e dos ambientes dot Net
e Visual Studio, conforme indica a documentao do MIT sobre o cdigo-fonte do
iLab (DELONG; FELKNOR, 2006).
Dessa maneira, uma das linhas experimentais que pode vir a ser selecionada para
os prximos trabalhos consiste na avaliao de uma integrao multimdia entre, por
exemplo, um equipamento Solo 4 e uma soluo experimental derivada do WebLab
Deusto e voltada a um ambiente forense.
de login (credenciais dos usurios), ncleo dos servidores (uso, acesso), servidores
dos laboratrios (localizados nos laboratrios fsicos e interligados aos servidores
dos experimentos) e servidores dos experimentos (contm a lgica especfica de
cada experimento).
4.5.12 LABVIEW
Dessa maneira, sugere-se que o futuro experimento sobre WebLabs Forenses leve
em considerao a possibilidade de integrao com essa plataforma.
29
Amendments to the Federal Rules of Civil Procedure concerning the discovery of electronically
stored information
117
30
O Solo 4 cumpriu tanto as funes de conexo e captura dos discos rgidos, tpicas do Device
Controller, assim como as funes de gesto das evidncias capturadas e interao com o WebLab
Server, tpicas de um Lab Server. O Solo 4 pode capturar dois discos rgidos ao mesmo tempo e de
forma independente, atuando como dois Devices Controllers.
118
31
Equipamento forense porttil da ICS. Disponvel em: <http://www.icsforensic.com>. Acesso em 21
ago. 2010
32
Duplicadores de disco ICS. Disponvel em: <http://www.ics-iq.com>. Acesso em 21 ago. 2010.
119
33
Storage Teck Tape Robot. Disponvel em: <http://www.sun.com/storage/products.xml>
34
Speech Technology Center, dados disponveis em http://www.speechpro.com
120
35
Equipamento XRY, da Micro Systemation, dados disponveis em http://www.msab.com.
36
Internet Protocol Version 6, definido na RFC 2460, disponvel em http://tools.ietf.org/html/rfc2460.
121
dentro de mveis, bolsos e bolsas, portanto dificilmente podero ser localizados sem
o apoio de meios eletrnicos de busca, diante da sua crescente miniaturizao.
37
Equipamento Rohde 7 Schwarz, especificao disponvel em http://www2.rohde-schwarz.com/en/
123
38
Equipamento FREDC. Disponvel em: <http://www.digitalintelligence.com/products/fredc/>. Acesso
em 29 ago. 2010.
39
FREDC, informao disponvel em http://www.digitalintelligence.com/products/fredc/
40
Digital Intelligence, informao disponvel em http://www.digitalintelligence.com
125
Nos futuros estudos sobre WebLabs Forenses, sugere-se ainda avaliar a integrao
com laboratrios para a quebra tica de senhas e criptografia. Recomenda-se
considerar na anlise desde dispositivos
discretos para acelerar o desempenho do
hardware41, como o dispositivo mostrado na
Figura 80 que pode ser acoplado a
Figura 80. Acelerador de hardware para quebra
de senha computadores, at solues de maior porte
baseadas em redes de processamento colaborativo para quebra legal de senhas.
Os estudos indicam que este um dos principais servios que o WebLab Forense
poder prestar s autoridades e aos peritos em todo o pas, uma vez que dificilmente
haver nas comarcas mais distantes recursos locais computacionalmente suficientes
para essas tarefas. A adoo generalizada de recursos de criptografia para
assegurar privacidade e segurana, tendncia que se mostra adequada na proteo
da sociedade e do indivduo, traz severas dificuldades para exames forenses e
produo das provas determinadas pela Justia.
Nos ltimos dez anos aumentou o uso de softwares para criptografia como o PGP42
e o TrueCrypt43. Inicialmente esses programas eram utilizados para criptografar
apenas alguns arquivos considerados sigilosos pelos usurios. Essa prtica protegia
o arquivo, mas seu contedo ainda podia ser visto mediante acesso forense s
reas de trabalho utilizadas enquanto os textos eram redigidos ou lidos pelo usurio.
41
Acelerador Tableau. Disponvel em: <http://www.tableau.com>.
42
O software PGP fabricado pela PGP Corporation, empresa especializada pioneira em solues
de proteo baseadas em criptografia, recentemente adquirida pela Symantec. Disponvel em:
<http://www.pgp.com>.
43
TrueCrypt, software open-source. Disponvel em: <www.truecrypt.org>.
126
44
Exemplo de produto TPM, fabricado por Infeon Technologies - foto Infineon/CNET
127
gesto das chaves e servios de suporte, tornando o acesso aos dados em exame
forense muito mais complexo.
ao cliente, configurando a
Figura 85. Encriptao de armazenamento remoto
utilizao de recursos
poderosos de criptografia no apenas nos computadores equipados com chips TPM,
mas tambm ao longo das redes de comunicao de dados e armazenamento
remoto, tornando os exames forenses ainda mais complexos.
Nas situaes em que no houver participao dos laboratrios dos fabricantes, por
qualquer razo, resta s autoridades determinar a participao de laboratrios
independentes, imprescindveis porque os sistemas de proteo so cada vez mais
complexos e baseados em recursos de hardware, no mais apenas em software.
Os laboratrios forenses para essas tarefas devem lidar com questes eletrnicas,
como mudanas rpidas na frequncia de operao de circuitos para gerar saltos na
execuo de programas, alteraes rspidas na tenso de alimentao para
provocar decodificaes incorretas e uso de tecnologia de microscopia eletrnica
para obter o bypass dos recursos
de segurana.
45
Zeiss Axiotron
46
Hitachi FB-2200
131
Figura 89. Palestra Black Hack sobre uso de Focused Ion Beam para quebra da segurana
47
Nome real omitido, para evitar a divulgao de prticas indevidas.
48
Omitem-se propositalmente origem e autoria do material apresentado por questes de preservar a
segurana e evitar a divulgao de material que pode ser considerado de segurana. As imagens
foram propositalmente sobrepostas pelo mesmo motivo.
132
Figura 90. Imagens sobre uso de alta tecnologia para quebra de segurana
Ainda com relao aos trabalhos futuros, ser necessria a avaliao das questes
pertinentes tanto ao licenciamento de software dos diversos laboratrios remotos
que podem vir a ser acessados a partir do WebLab Forense, quanto ao
133
O confronto das caractersticas dessa evoluo tecnolgica com o perfil dos conflitos
de interesses usuais na sociedade contempornea reforou a viso de que a adoo
generalizada de dispositivos eletrnicos pela sociedade brasileira est impondo cada
vez mais ao Poder Judicirio a obrigao de decidir os processos judiciais com base
em provas digitais, as quais pela sua prpria natureza so volteis, dispersas,
difceis de coletar, facilmente adulterveis, pouco compreendidas e difceis de
interpretar.
Alm disso, o estudo mostrou que mais ainda nesse ambiente importante que a
deciso do Juiz se baseie em processos racionais de anlise das evidncias, o que
quase sempre depende da opinio de peritos e do exerccio verdadeiro do
contraditrio.
A principal diferena entre os WebLabs das demais reas e o WebLab Forense est
na interao com o ambiente judicial, ou seja, nos requisitos da prova judicial como
elemento confivel de motivao do juiz e em seu debate para se chegar verdade
dos fatos segundo cerimonial prprio de cada ramo do Direito.
Esse grau de confiana tornar-se- maior na medida em que for construda uma
rede de WebLabs Forenses, integrando os laboratrios forenses das principais
universidades e das polcias cientficas. O conceito de rede de WebLabs Forenses
possibilitar tambm a criao de um ndice consolidado de recursos tcnicos
disponveis, assim se algum laboratrio necessitar de um recurso especfico, de rara
disponibilidade, a rede possibilitar localizar esse recurso em outros centros de
referncia e, a depender da sua configurao, poder at mesmo prover sua
utilizao remota por peritos do laboratrio solicitante.
138
Espera-se que o resultado final deste projeto mais amplo traga elementos concretos
para a especificao e construo de WebLabs efetivamente teis e que possam
melhorar a qualidade e a produtividade dos trabalhos periciais realizados em todo o
Brasil.
139
6 CONSIDERAOES FINAIS
O tema WebLabs no mundo cientfico est vivendo apenas a sua fase inicial,
considera-se que essa ser uma das tecnologias que mais se desenvolver nos
prximos anos no meio pericial forense.
REFERNCIAS
GARFINKEL, S., MALAN, D., DUBEC, K., STEVENS, C., & PHAM, C. Advanced
Forensic Format: An Open, Extensible Format for Disk Imaging. In: SECOND
ANNUAL IFIP WG 11.9 INTERNATIONAL CONFERENCE ON DIGITAL FORENSIC,
2006, Orlando (Florida). Anais. Orlando, 2006. p. 17-31. Disponvel em:
<http://www.cs.harvard.edu/malan/publications/aff.pdf>. Acesso em 16 ago. 2010.
GE. USP implementa Projeto WebLab. GE, v. 1, n. 41, 2005. Disponvel em:
<http://www.imakenews.com/gefanucbrazil/e_article000457847.cfm?x=b11,0,w#_ftn2>. Acesso em:
ago. 2010.
HARWARD, J., JABBOUR, I., & MAO, T. T. iLab Interactive Services Overview.
Massachusetts Institute of Technology: 2009. Disponvel em:
<http://ilab.mit.edu/iLabServiceBroker>. Acesso em: 16 ago. 2010.
INTERNET WORLD STATS. Internet Stats and Telecom Market Report. Miniwatts
Marketing Group: 2009. Disponvel em: <http://www.internetworldstats.com>. Acesso
em: 28 jun. 2010.
143
SMITH, N. Intel vPro Technology. Intel Technology Journal, USA, v. 12, n. 04.
Dezembro 2008. Disponvel em: <http://www.intel.com/technology/itj/2008/v12i4/7-
paper/1-abstract.htm>. Acesso em: 30 ago. 2010.