Forense Computacional: Aspectos Legais e Padronizao

Clio Cardoso Guimares

Instituto de Computao - UNICAMP CP 6176 - 13083-970 Campinas - SP celio@ic.unicamp.br

Flvio de Souza Oliveira1

Instituto de Computao - UNICAMP 13083-970 Campinas - SP flavio.oliveira@ic.unicamp.br

Marcelo Abdalla dos Reis2

Instituto de Computao - UNICAMP 13083-970 Campinas - SP marcelo.reis@ic.unicamp.br

Paulo Lcio de Geus

Instituto de Computao - UNICAMP CP 6176 - 13083-970 Campinas - SP paulo@ic.unicamp.br

Resumo Com o advento da computao e o surgimento da Internet tornaram-se possveis vrios tipos de crimes eletrnicos, o que vem obrigando as agncias legais a se prepararem para investigar casos que envolvam a computao. Contudo, em grande parte dos casos, os delitos so transjuridicionais, aumentando assim, a necessidade de intercmbio e impulsionando a padronizao no tratamento de evidncias digitais.

1. Introduo
A forense computacional um campo de pesquisa relativamente novo no mundo e est desenvolvendo-se principalmente pela necessidade das instituies legais atuarem no combate aos crimes eletrnicos. No Brasil conta-se ainda com poucos pesquisadores na rea e existem poucas normas estabelecidas, o que gera um grande nmero de possibilidades de pesquisa. A eliminao de fronteiras oferecida pela Internet gerou um grande problema para as instituies de combate ao crime, uma vez que facilitou em muito a ocorrncia de crimes eletrnicos onde a vtima e o criminoso encontram-se em pases distintos. Criou-se assim a obrigatoriedade de troca de informaes e evidncias eletrnicas entre as agncias, contudo, por se tratar de uma necessidade muito recente, ainda no se conta com padres internacionais para o tratamento desse tipo de evidncia, dessa forma o valor jurdico de uma prova eletrnica manipulada sem padres devidamente pr-estabelecidos poderia ser contestvel. Este trabalho um survey que aborda basicamente o problema da padronizao da anlise forense computacional, bem como algumas implicaes legais ligadas sua prtica. O objetivo fornecer ao leitor um pano-

1. 2.

Financiado pela BOSCH Financiado pela FAPESP

rama do atual estgio do debate, e apresentar as principais entidades ligadas ao assunto. Existe contudo a preocupao de apresentar a cincia forense para aqueles que no esto familiarizados com ela, como se pode constatar na seo 2.

2. Forense Computacional
A Forense Computacional foi criada com o objetivo de suprir as necessidades das instituies legais no que se refere manipulao das novas formas de evidncias eletrnicas. Ela a cincia que estuda a aquisio, preservao, recuperao e anlise de dados que esto em formato eletrnico e armazenados em algum tipo de mdia computacional [3]. Gathering and analyzing data in a manner as free from distortion or bias as possible to reconstruct data or what has happened in the past on a system. Dan Farmer e Wietse Venema [2] Ao contrrio das outras disciplinas forenses, que produzem resultados interpretativos, a forense computacional pode produzir informaes diretas, que por sua vez, podem ser decisivas em um dado caso [3]. Isso pode ser notado no exemplo muito simples que se segue: no caso de um assassinato, o legista verifica que h traos de pele em baixo das unhas da vtima, isso interpretado como um indcio de que houve luta antes da consumao do crime, contudo no passa de uma interpretao. J no caso de uma percia em uma mquina suspeita podem ser conseguidos arquivos incriminadores como dirios e agendas. O problema de resolver um mistrio computacional nem sempre fcil, existe a necessidade de no se observar o sistema como um usurio comum e sim como um detetive que examina a cena de um crime [2]. Felizmente os programadores levam alguma vantagem neste assunto, pois muitas das habilidades necessrias para se procurar um erro em um cdigo fonte, so tambm necessrias para uma anlise forense, tais como: raciocnio lgico, entendimento das relaes de causa e efeito em sistemas computacionais e talvez a mais importante, ter uma mente aberta.[2] Uma percia em um computador suspeito de invaso ou mesmo um computador apreendido em alguma batida policial envolve uma srie de conhecimentos tcnicos e a utilizao de ferramentas adequadas para anlise. Existe a necessidade de se conhecer mincias do sistema operacional para que se tenha uma noo global de todos os efeitos das aes do perito [7]. Quanto necessidade de se utilizar ferramentas especficas para anlise, esta decorre da obrigatoriedade de no se perturbar o sistema que est sendo analisado, perturbaes essas que podem ser traduzidas como mudanas nos tempos de acesso aos arquivos (MAC times) por exemplo, anulando assim uma das mais poderosas formas de se reconstituir o que aconteceu na mquina em um passado prximo. Ferramentas convencionais no tm a preocupao de manter a integridade dos tempos de acesso.

2.1 Privacidade
Ao se fazer uma anlise forense em uma mquina, sobretudo se ela atua como servidor de servios, tais como email ou arquivos, deve-se tomar uma srie de cuidados a fim de se evitar a invaso da privacidade dos usurios do

sistema. Apesar de serem raras as vezes em que se deve fazer uma busca em todos os arquivos de uma mquina, seja pela natureza do que se est procurando ou por limitaes de processamento, j que um grande servidor pode conter uma capacidade de armazenamento muito grande, o que tornaria proibitiva tal operao. O ideal que se defina um escopo, restringindo ao mximo a rea de atuao da anlise, evitando-se violar a privacidade de inocentes. O problema da violao de privacidade muitas vezes pode ser contornado atravs da instituio de uma poltica de segurana clara e de conhecimento de todos os usurios, que contemple a possibilidade de vistoria em arquivos, e-mails e outros dados pessoais. Tal possibilidade deve ser seguida pela identificao de quem teria o poder para vasculhar os arquivos alheios, das circunstncias em que essa medida pode ser tomada e de como o dono dos arquivos ser notificado. Polticas de segurana que contm tais abordagens so bastante discutidas assim como a instalao de cmeras na sala do caf, ou mesmo na sala onde se concentram os servidores; tais medidas poderiam causar polmica em qualquer empresa. Contudo, deve-se conseguir um consenso na definio dos eventos que podem gerar a quebra do sigilo eletrnico, de forma que esta deve-se tratar de uma medida extrema.

2.2 Implicaes Legais

As evidncias resultantes da anlise forense podem afetar inmeras investigaes dramaticamente, nenhuma nova disciplina forense teve tanto potencial desde o DNA [3]. No Brasil no existem normas especficas que regem a forense computacional, contudo existem normas gerais que abrangem todos os tipos de percia (ditadas no Cdigo de Processo Penal), podendo ser adotadas no mbito computacional, salvo algumas peculiaridades. No caso de uma percia criminal existe a figura do Perito Oficial (dois para cada exame), onde o seu trabalho deve servir para todas as partes interessadas (Polcia, Justia, Ministrio Pblico, Advogados, etc.). Para se fazer percia criminal, o profissional precisa ter nvel universitrio e prestar concurso pblico especfico, podendo existir porm a figura do perito ad hoc para o caso de no existirem peritos oficiais disponveis [1]. Logo quando se descobre uma invaso na rede deve-se imediatamente entrar em contato com as organizaes de resposta a incidentes de segurana e tomar todas as medidas legais cabveis. A responsabilidade do perito no exerccio da sua funo deve ser dividida em duas partes distintas: aquela do ponto de vista legal, onde lhe so exigidas algumas formalidades e parmetros para a sua atuao como perito; e as de ordem tcnica, necessrias para desenvolver satisfatoriamente os exames tcnico-cientficos que lhe so inerentes [1]. O perito deve seguir risca as normas contidas no Cdigo de Processo Penal, dentre elas pode-se destacar duas para exemplificar a sua possvel abordagem computacional: Art. 170. Nas percias de laboratrio, os peritos guardaro material suficiente para a eventualidade de nova percia. Sempre que conveniente, os laudos sero ilustrados com provas fotogrficas, ou microfotogrficas, desenhos ou esquemas.

 sempre possvel fazer cpias assinadas digitalmente das mdias que esto sendo investigadas para que possam ser feitas anlises futuras se necessrio. Na verdade o interessante sempre atuar em cima de cpias, como ser visto na sesso seguinte. Art. 171. Nos crimes cometidos com destruio ou rompimento de obstculo a substrao da coisa, ou por meio de escalada, os peritos, alm de descrever os vestgios, indicaro com que instrumentos, por que meios e em que poca presumem ter sido o fato praticado. Existe a necessidade de se documentar quais as ferramentas de software utilizadas para se fazer a anlise, bem como a possvel identificao de uma linha de tempo, que pode vir a ser conseguida atravs da anlise dos MAC times. Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrnica enquanto no se tem uma padronizao das metodologias de anlise forense.

3. Padronizao na Aquisio de Evidncias

Um antigo problema encontrado pelas instituies legais norte americanas, era a identificao de recursos dentro da organizao que poderiam ser usados para se examinar uma evidncia computacional, uma vez que esses recursos estavam espalhados atravs das agncias. Atualmente parece existir uma tendncia mudana desses exames para o ambiente laboratorial. Em 1995, uma pesquisa conduzida pelo servio secreto norte americano indicou que 48% das agncias tinham laboratrios de forense computacional e que 68% das evidncias encontradas foram encaminhadas a peritos nesses laboratrios e, segundo o mesmo documento, 70% dessas mesmas agncias fizeram seu trabalho sem um manual de procedimentos [4]. Polticas devem ser estabelecidas para a manipulao de uma evidncia computacional e, a partir dessas polticas, desenvolver protocolos e procedimentos. Tais polticas devem refletir os objetivos de toda comunidade cientfica, provendo resultados vlidos e reproduzveis. Contudo, a forense computacional diferente das outras disciplinas forenses, uma vez que no se pode aplicar exatamente o mesmo mtodo a cada caso [3]. Tome como exemplo a anlise feita no DNA recolhido de uma amostra de sangue na cena de um crime, pode-se aplicar exatamente o mesmo protocolo a toda amostra de DNA recebida (elimina-se as impurezas e o reduz sua forma elementar). Quando se tratam de ambientes computacionais no se pode executar o mesmo procedimento em todos os casos, uma vez que se tm sistemas operacionais diferentes, diferentes mdias e diversas aplicaes.[3]

3.1 Principais Entidades

IOCE (International Organization on Computer Evidence): Principal entidade internacional centralizadora dos esforos de padronizao. Ela foi estabelecida em 1995 com o objetivo de facilitar a troca de informaes entre as diversas agncias internacionais, sobre a investigao de crimes envolvendo computadores ou outros assuntos forenses relacionados ao meio eletrnico. A IOCE identifica e discute assuntos de interesse dos seus constituintes, facilitando assim a disseminao da informao e desenvolvendo recomendaes para os membros da organizao. Alm de formular padres para evidncias computacionais, a IOCE desenvolve servios de comunicao entre as agncias e organiza conferncias.

 SWGDE (Scientific Working Group on Digital Evidence): Criado em 1998, ele o representante norte americano nos esforos de padronizao conduzidos pela IOCE. HTCIA (High Technology Crime Investigation Association): Organizao sem fins lucrativos que visa discutir e promover a troca de informaes que possam auxiliar no combate ao crime eletrnico.[9] IACIS (International Association of Computer Investigatibe Specialists): Trata-se de uma associao sem fins lucrativos, composta por voluntrios, com o intuito de atuar no treinamento em forense computacional. SACC (Seo de Apurao de Crimes por Computador): Atua no mbito do Instituto Nacional de Criminalstica/Polcia Federal, a fim de dar suporte tcnico s investigaes conduzidas em circunstncias onde a presena de materiais de informtica constatada.

3.2 Padronizao Internacional

Com o advento da Internet e da consolidao do mundo globalizado, tornaram-se comuns as notcias de crimes transjuridicionais, obrigando as agncias legais de vrios pases definirem mtodos comuns para o tratamento de evidncias eletrnicas. Evidentemente cada nao conta com sua legislao e no seria possvel a definio de normas gerais para todos. A padronizao aqui citada refere-se troca de evidncias entre pases. Atualmente j existem padres definidos e sendo aplicados de forma experimental. Eles foram desenvolvidos pelo SWGDE e apresentados na International Hi-Tech Crime and Forensics Conference (IHCFC), que foi realizada em Londres, de 4 a 7 de outubro de 1999. Os padres desenvolvidos pelo SWGDE seguem um nico princpio, o de que todas as organizaes que lidam com a investigao forense devem manter um alto nvel de qualidade a fim de assegurar a confiana e a exatido das evidncias. Esse nvel de qualidade pode ser atingido atravs da elaborao de SOPs (Standard Operating Procedures), que devem conter os procedimentos para todo tipo de anlise conhecida, e prever a utilizao tcnicas, equipamentos e materiais largamente aceitveis na comunidade cientfica [5].

3.3 No Brasil
Ainda no existe padronizao em andamento, apenas trabalhos feitos a pedido da polcia federal, trabalhos esses direcionados ao pblico leigo composto por promotores e juizes federais. As anlises forenses so realizadas por instituies externas polcia federal. Seguem abaixo algumas instituies que possivelmente estariam envolvidas em um esforo de padronizao nacional: NBSO (Network Information Center (NIC) - Brazilian Security Office): atua coordenando as aes e provendo informaes para os sites envolvidos em incidentes de segurana. [10] CAIS(Centro de Atendimento a Incidentes de Segurana): tem por misso o registro e acompanhamento de problemas de segurana no backbone e PoPs da RNP, incluindo auxlio identificao de invases e reparo de danos causados por invasores. Cabe, ainda, ao CAIS a disseminao de informaes sobre aes preventivas relativas a segurana de redes.[11] GT-S: grupo de trabalho em segurana do comit gestor da internet brasileira.[11]

4. Concluso
A padronizao internacional ainda est distante de ser alcanada devido ao gargalo legal envolvido, visto que cada pas conta com sua legislao especfica. Alm das dificuldades tcnicas em se conceber padres flexveis que se adaptem s rpidas mudanas tecnolgicas. Em se falando de Brasil, fica clara a atual desorganizao; o Brasil no deve ficar alheio s discusses internacionais, para que no se corra o risco de haver incompatibilidades futuras entre a legislao internacional e os interesses nacionais.

5. Glossrio [1]
criminalstica: cincia que se utiliza do conhecimento de outras cincias para poder realizar o seu mister, qual seja, o de extrair informaes de qualquer vestgio encontrado em local de infrao penal, que propiciem a obteno de concluses acerca deste fato ocorrido, reconstituindo os gestos do agente da infrao e, se possvel, identificando-o. percia cvel: trata dos conflitos judiciais na rea patrimonial e/ou pecunirio. percia criminal: aquela que trata das infraes penais, onde o Estado assume a defesa do cidado em nome da sociedade. perito: denominao dada aquele profissional que realiza os exames necessrios para viabilizar a criminalstica, qual seja, todos os exames que envolvem o universo possvel em cada situao, para chegar a chamada materialidade do delito, tambm chamado de prova material ou cientfica. percia: conjunto de exames realizados no universo da criminalstica.

6. Referncias
[1] ESPINDULA, Alberi; A Funo Pericial do Estado; Percia Criminal - DF; http://www.apcf.org.br; [2] FARMER, Dan; VENEMA, Wietse; Forensic Computer Analysis: An Introduction; Dr. Dobbs Journal; setembro 200; [3] NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A.; Recovering and Examining Computer Forensic Evidence; Forense Science Communications, outubro 2000, Vol. 2 N. 4; Federal Bureau of Investigation; [4] NOBLETT, Michael G.; Report of the Federal Bureau of Investigation on development of forensic tools and examinations for data recovery from computer evidence; Proceedings of the 11th INTERPOL Forensic Sciense Symposium; 1995 [5] SWGDE, Scientific Working Group on Digital Evidence; IOCE, International Organization on Digital Evidence; Digital Evidence: Standards and Priciples; Forense Science Communications, abril 2000, Vol. 2 N. 2; Federal Bureau of Investigation; [6] SWGMAT, Scientific Working Group on Materials Analysis; Trace Evidence Recovery Guidelines; Forense Science Communications, outubro 1999, Vol. 1 N. 3; Federal Bureau of Investigation; [7] http://www.porcupine.org; Website do Dr. Wietse Venema; [8] http://www.fbi.gov [9] http://www.htcia.org [10] http://www. nic.br/nbso.html [11] http://www.cais.rnp.br