Instituto de Ciências Exatas Departamento de Ciência da

Propaganda
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e Comunicações
MOISÉS DA SILVA RODRIGUES
Proposta Preliminar de Sistematização da Perícia Forense Computacional para o
Exército Brasileiro
Brasília
2011
Moisés da Silva Rodrigues
Proposta Preliminar de Sistematização da Perícia Forense Computacional para o
Exército Brasileiro
Brasília
2011
Moisés da Silva Rodrigues
Proposta Preliminar de Sistematização da Perícia Forense
Computacional para o Exército Brasileiro
Monografia
apresentada
ao
Departamento
de
da
Ciência
Computação da Universidade de Brasília
como requisito parcial para a obtenção
do título de Especialista em Ciência da
Computação: Gestão da Segurança da
Informação e Comunicações.
Orientador: Prof. Tutor José Ricardo Souza Camelo, M.e.
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
Dezembro de 2011
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Moisés da Silva Rodrigues. Qualquer parte desta publicação
pode ser reproduzida, desde que citada a fonte.
Rodrigues, Moisés da Silva
Proposta Preliminar de Sistematização da Perícia Forense
Computacional para o Exército Brasileiro/Moisés da Silva Rodrigues . –
Brasília: O autor, 2011. 102 p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto
de Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Perícia Forense Computacional. 2. Segurança da Informação e
Comunicações. 3. Tratamento de Incidentes. I. Título.
CDU 004.056
Errata
Dedicatória
À Deus, a quem devo tudo o que tenho e que sou, e à minha esposa,
companheira incansável, compreensiva e que sempre me apoia em todos os
momentos.
Agradecimentos
Meus sinceros agradecimentos ao TC José Ricardo Souza Camelo, pela
pronta orientação e pela paciência. Agradeço, também pela motivação e por ter
resgatado minhas esperanças frente às dificuldades encontradas
Agradeço, também, a minha esposa Patrícia e meu filho Lucas, pelo sincero
apoio, dedicação e compreensão, além das horas sem minha presença
Por fim, agradeço aos amigos que, com conselhos sábios e presença de
espírito, me auxiliaram a vencer mais uma etapa da jornada.
Lista de Quadros
Quadro 1: distribuição dos requisitos entre os documentos pesquisados.................37
Quadro 2: Plano de treinamento em perícia forense computacional..........................80
Sumário
Errata.............................................................................................................................3
Dedicatória.....................................................................................................................5
Agradecimentos.............................................................................................................6
Lista de Quadros...........................................................................................................7
Sumário.........................................................................................................................8
Resumo.......................................................................................................................12
Abstract........................................................................................................................13
1 Delimitação do Problema.........................................................................................14
1.1 Introdução..........................................................................................................14
1.2 Formulação do Problema..................................................................................18
1.3 Declaração de Objetivos e Escopo...................................................................19
1.4 Justificativas do Estudo.....................................................................................21
2 Revisão Documental e da Literatura........................................................................22
2.1 A Perícia Forense Computacional.....................................................................22
2.2 Entidades Vinculadas à Perícia Forense Computacional.................................28
2.3 Desafios Relacionados à Perícia Forense Computacional...............................29
3 Metodologia..............................................................................................................32
4 Resultados................................................................................................................39
4.1 Organizações de Perícia Forense Computacional............................................40
4.1.1 Scientific Working Group on Digital Evidence (SWGDE)...........................40
4.1.2I nternational Organization on Computer Evidence (IOCE).........................43
4.1.3 International Association of Computer Investigative Specialists (IACIS)....45
4.1.4 SANS Institute.............................................................................................45
4.1.5 ABEAT.........................................................................................................45
4.2 Organizações Governamentais.........................................................................47
4.2.1 FBI...............................................................................................................47
4.2.2 California Task Force on Forensic Services...............................................47
4.2.3 Polícia Federal Brasileira............................................................................49
4.2.4 Marinha e Aeronáutica................................................................................50
4.3 Associação Brasileira de Normas Técnicas (ABNT).........................................50
4.3.1 NBR ISO/IEC 17025:2005..........................................................................51
4.3.2 NBR ISO/IEC 27002:2005..........................................................................52
4.3.3 NBR ISO/IEC 27005:2008..........................................................................52
4.4 Legislação Brasileira..........................................................................................54
4.4.1 Constituição Federal...................................................................................55
4.4.2 Código de Processo Penal.........................................................................55
4.4.3 Código de Processo Penal Militar...............................................................56
4.5 Gabinete de Segurança Institucional da Presidência da República.................57
4.6 Exército Brasileiro..............................................................................................58
4.6.1 G 10-51.......................................................................................................58
4.6.2 IG 20-19......................................................................................................59
4.6.3 IG 10-11.......................................................................................................60
4.6.4 IR 13-09.......................................................................................................61
4.6.5 IR 13-10.......................................................................................................62
4.6.6 IR 13-15.......................................................................................................62
4.6.7 IR 20-26.......................................................................................................63
4.6.8 NORTI.........................................................................................................64
4.6.9 GESOFT......................................................................................................64
4.6.10 Plano de Migração para Software Livre....................................................65
4.6.11 DSIC/SisTEx..............................................................................................65
4.7 Outras Fontes....................................................................................................67
4.7.1 Computer Forensic Education....................................................................67
4.7.2 Public Forensic Laboratory budgets...........................................................68
4.7.3 CEGSIC.......................................................................................................69
4.7.4 Mestrado em Perícia Forense Computacional da UnB..............................70
5 Discussão e Proposta..............................................................................................72
5.1 Discussão..........................................................................................................73
5.1.1 Estabelecer o conceito de perícia forense computacional no escopo do
Exército................................................................................................................73
5.1.2 Definir a missão da estrutura......................................................................75
5.1.3 Com base na missão, definir os serviços que serão prestados.................75
5.1.4 Definir o modelo organizacional da estrutura de perícia forense
computacional......................................................................................................76
5.1.5 Definir as organizações envolvidas na estrutura........................................78
5.1.6 Definir a interface com a estrutura de tratamento de incidentes de rede já
existente...............................................................................................................79
5.1.7 Definir o perfil dos peritos e a política de capacitação para a(s) equipe(s)
..............................................................................................................................80
5.1.8 Definir o tamanho das equipes e o regime de trabalho..............................82
5.1.9 Definir a necessidade do estabelecimento de normas em cada
organização que regulem a perícia forense computacional em complemento à
política de segurança da informação do Exército................................................83
5.1.10 Definir responsabilidades por solicitações e autoridades a quem a
estrutura deve se reportar....................................................................................84
5.1.11 Delinear o processo para o serviço de perícia forense computacional....85
5.1.12 Estabelecer critérios para a priorização de solicitações...........................86
5.1.13 Definir prazos para a conclusão de perícias.............................................86
5.1.14 Definir a classificação sigilosa dos assuntos............................................88
5.1.15 Definir parâmetros de qualidade para os serviços...................................89
5.1.16 Estabelecer métricas para verificação da qualidade................................89
5.2 Proposta.............................................................................................................90
5.2.1 Conceito de perícia forense computacional para o Exército......................90
5.2.2 Missão da estrutura.....................................................................................90
5.2.3 Serviços prestados......................................................................................90
5.2.4 Modelo organizacional................................................................................91
5.2.5 Organizações envolvidas na estrutura.......................................................91
5.2.6 Interface com a estrutura de tratamento de incidentes de rede.................91
5.2.7 Perfil dos peritos e política de capacitação................................................91
5.2.8 Equipes e regime de trabalho.....................................................................92
5.2.9 Estrutura normativa.....................................................................................92
5.2.10 Responsabilidades....................................................................................92
5.2.11 Processo de Perícia Forense Computacional...........................................93
5.2.12 Critérios Para a Priorização de Solicitações.............................................93
5.2.13 Prazos.......................................................................................................93
5.2.14 Classificação Sigilosa dos Assuntos.........................................................93
5.2.15 Parâmetros de Qualidade.........................................................................93
5.2.16 Métricas.....................................................................................................94
6 Conclusões e Trabalhos Futuros..............................................................................95
Referências e Fontes Consultadas.............................................................................97
Resumo
O presente trabalho se constitui em uma pesquisa bibliográfica, documental e
normativa voltada à reunião de subsídios suficientes para a composição de uma
proposta de estrutura para a realização de perícias forenses computacionais no
âmbito do Exército Brasileiro. Visando atingir atingir o objetivo proposto, foram
analisadas recomendações de organizações relevantes ligadas à perícia forense
computacional, modelos de estruturas adotados por organizações governamentais
engajadas na realização da perícia, além dos padrões estabelecidos pela
Associação Brasileira de Normas Técnicas. Foram considerados, ainda, os preceitos
da legislação Brasileira, bem como a realidade normativa da Administração Pública
Federal e, mais especificamente, do Exército Brasileiro, de modo a alcançar a maior
completude, abordando desde a missão da estrutura até o perfil dos peritos,
passando pela estrutura de gerenciamento de laboratórios.
Abstract
The present work constitutes a bibliographical, normative and documentary
research, focused on meeting enough subsidies for the composition of a proposal for
the structure for performing computer forensics in the Brazilian Army. In order to
achieve the proposed objective, we analyzed relevant recommendation of
organizations related to computer forensics, models of structures adopted by
government organizations engaged in the performing the activity, as well as the
standards established by the Brazilian Association of Technical Standards. We
considered also the dictates of Brazilian laws, rules of the Federal Public
Administration and, more specifically, of the Brazilian Army, in order to get the most
completeness, covering from the mission of the structure to the profile of the experts,
through the management structure of laboratories.
14
1 Delimitação do Problema
1.1 Introdução
Possuindo diversos sinônimos e podendo ser utilizada em variados contextos,
a perícia forense computacional é realizada desde os anos 80, segundo Daniel
(2011, p14). O aumento do uso da computação no ciclo da informação trouxe
consigo o crescimento dos incidentes de segurança computacionais, demandando
uma necessidade de análise de diferentes meios de tecnologia da informação na
busca de vestígios digitais.
Dificilmente um invasor conseguirá acessar uma rede de computadores, ou
alguém irá cometer um crime utilizando meios digitais, sem deixar quaisquer rastros.
Tal afirmação se apoia no Princípio de Locard, que afirma “que quando um indivíduo
entra em contato com um objeto ou outro indivíduo, sempre deixa vestígio desse
contato” (CHISUN E TURVEY, 2000 apud CALAZANS E CALAZANS, 2005, p5). Na
busca desses vestígios é que se baseia a perícia forense computacional,
semelhantemente aos demais ramos da perícia.
Com o crescimento da dependência dos recursos computacionais por parte
dos sistemas de informação, foi elevada a importância da discussão acerca da
dificuldade da garantia da segurança da informação em ambientes computacionais.
O ciclo da informação, composto, conforme Exército Brasileiro (2009), pela sua
criação, transmissão, manipulação, armazenamento e destruição, pode ser afetado
em diversas dimensões, de forma que as ameaças, por maior atenção que recebam,
nunca podem ser plenamente previstas, sendo possível apenas tratar os incidentes
de segurança que, porventura, ocorram, buscando-se encontrar indícios que
15
permitam reproduzir a sequência das ações desenvolvidas ou dados que auxiliem na
atribuição de responsabilidades.
Vacca (2005), definindo formalmente a perícia forense computacional, afirma
que ela consiste no processo de, metodicamente, examinar mídias computacionais
na busca por evidências. Todavia, verifica-se a busca por evidências não se
restringe apenas às mídias, podendo ser encontradas até mesmo em redes de
computadores, conforme a definição do primeiro Digital Forensic Research
Workshop (CARRIER, 2003):
“Use of scientifically proven techniques to collect, fuse
identify, examine, correlate, analyze and document digital
evidence
from
multiple,
actively
processing
and
transmitting digital sources for the purpose of uncovering
facts related to the planned intent, or measured success
of unauthorized activities meant to disrupt, corrupt, and or
compromise system components as well as providing
information to assist in response to or recovery from these
activities.”
Dessa forma, em um contexto em que a garantia dos atributos da segurança
da informação, disponibilidade, integridade, confidencialidade e autenticidade, é uma
tarefa cada vez mais difícil, até mesmo inalcançável em sua plenitude, Cook (2010)
define o tratamento de um incidente de segurança computacional como a resposta
executada por uma pessoa ou organização ao incidente propriamente dito, o que
inclui a preparação para a resposta, a identificação do incidente, sua contenção,
recuperação e análise, de modo a corrigir as vulnerabilidades que foram exploradas,
para que o mesmo não se repita de forma semelhante. Tal abordagem permite
verificar uma convergência de objetivos entre a atividade de tratamento de
incidentes e a de perícia computacional, tornando-as afins.
Antagonicamente, verifica-se que o tratamento de um incidente de segurança
tem como um de seus principais objetivos o restabelecimento pleno do serviço
afetado, o que se contrapõe à meticulosidade requerida pela perícia, uma vez que
esta visa, entre outros aspectos, a validade das evidências coletadas diante de um
possível processo legal. Neste ponto, cabe destacar que tais processos não se
16
restringem apenas à esfera criminal, mas alcança a esfera disciplinar, cível e a
administrativa.
Ao abordar o relacionamento da perícia com a lei, constata-se que ela
permeia diversas disciplinas da segurança da informação, desde a verificação
quanto à conformidade com políticas organizacionais de segurança, o que inclui o
controle de acesso, até a gerência de riscos e a modelagem de sistemas, entre
outras.
Desde o ano de 2009, é possível observar um maior engajamento do Exército
Brasileiro em atividades diretamente vinculadas à segurança da informação, em
especial à segurança computacional, fruto, entre outros fatores, de sua
responsabilidade pela coordenação de um dos três setores estratégicos da defesa
nacional, segundo Brasil (2008b), a saber, o setor cibernético, tarefa da qual foi
encarregado pelo Ministério da Defesa, conforme Brasil (2009d). Tais ações, se
contextualizadas, seguem uma tendência mundial de investimentos no setor
cibernético voltados para a garantia da segurança nacional. No referido trabalho de
coordenação, diversas etapas já foram vencidas, entre elas, o estabelecimento de
uma infraestrutura institucional de tratamento de incidentes de segurança
computacional, seguindo o modelo proposto por Da Silva (2010).
A infraestrutura de tratamento de incidentes de rede do Exército (ITIREx),
segundo Brasil (2010b), apoia-se no Sistema de Telemática do Exército (SisTEx) e
tem como missão proporcionar as bases física e lógica para a operação dos
sistemas de Informática e Comunicações de interesse do Sistema de Comando e
Controle do Exército (SC2Ex), além de realizar a manutenção dos sistemas em
produção.
Quanto à composição, de acordo com Brasil (2010b), integram o SisTEx o
Centro Integrado de Telemática do Exército (CITEx), órgão principal do Sistema, e
suas 12 organizações subordinadas, os Centros de Telemática de Área (CTA) e os
Centros de Telemática (CT), que trabalham em proveito, respectivamente, dos
Comandos Militares de Área e das Regiões Militares. A fim de prestar tal apoio, os
CTA e CT encontram-se distribuídos por todo país, conforme Brasil (1998), sendo
conhecidos como se segue: 1º CTA (Porto Alegre - RS), 2º CTA (Rio de Janeiro RJ), 3º CTA (São Paulo - SP), 4º CTA (Manaus - AM), 5º CTA (Recife - PE), 6º CTA
17
(Campo Grande MS), 7º CTA (Brasília DF), 11º CT (Curitiba PR), 21º CT (Belo
Horizonte MG), 41º CT (Belém PA), 51º CT (Salvador BA) e 52º CT (Fortaleza CE) .
Um dos projetos da criação do Setor Cibernético no Exército, a implantação
da Segurança Cibernética, prevê como um de seus produtos o estabelecimento da
estrutura para a realização de perícias forenses computacionais, aproveitando a
ITIREx, já existente desde 2010, conforme Brasil (2010b). Nessa abordagem,
aspectos relevantes relacionados ao tema merecem análise, não segundo os
aspectos técnicos, mas considerando-se os aspectos gerenciais e os custos
associados. Dessa forma, destaca-se como relevantes para estudo, dentre outros, a
viabilidade do aproveitamento dos investimentos aplicados na formação de recursos
humanos para a ITIREx e o custo associado à implantação unitária dos laboratórios
de perícia computacional, face a demanda de requisições e a diversidade de
equipamentos passíveis de serem periciados.
Brasil apud Carvalho (2011) define a Defesa Cibernética da seguinte forma:
“conjunto de ações defensivas, exploratórias e ofensivas,
no contexto de um planejamento militar, realizadas no
espaço cibernético, com as finalidades de proteger os
nossos sistemas de informação, obter dados para a
produção de conhecimento de inteligência e causar
prejuízos aos sistemas de informação do oponente ”.
A despeito da recente abordagem acerca desse tema, Segurança da
Informação e Comunicações bem como outros conceitos associados não são
novidade no Exército, afirmação que se comprova pela existência de diversas
normas abordando o tema, algumas das quais serão abordadas durante o presente
trabalho.
Contudo, especial atenção deve ser dedicada à Brasil (2010b), um dos
produtos do projeto de implantação da segurança cibernética, que tem como um de
seus anexos as Normas para Realização de Perícia Forense Computacional no
Sistema de Telemática do Exército (NRPFC/SisTEx), com a finalidade estabelecer as
diretrizes para o planejamento e a execução do serviço de perícia forense
computacional no âmbito do SisTEx.
Pelo exposto, se a perícia forense computacional for seccionada em duas
partes, a saber, estrutura e processo, verifica-se que esta última já se encontra em
18
fase de consolidação, uma vez que está documentada, ainda que em alto nível, e
parcialmente implementada. A estrutura, todavia, carece de uma apreciação mais
detalhada, uma vez que diversos aspectos ainda não foram discutidos, como a
formação de profissionais e os serviços a serem prestados, por exemplo.
A despeito da existência das supracitadas normas, verifica-se que alguns
aspectos ainda não foram completamente esgotados na discussão do tema, uma
vez que faz-se necessário o adequado conhecimento da legislação para que a
perícia no âmbito do Exército não extrapole os limites previstos. Cita-se, como
exemplo, a descoberta, durante a realização de uma perícia, de indícios de crimes
cuja investigação extrapole a competência Exército, como os casos de pedofilia. A
investigação de tais crimes é de responsabilidade exclusiva da Polícia Federal,
constituindo crime, inclusive, assegurar os meios ou serviços para o armazenamento
das fotografias, cenas ou imagens dessa natureza, segundo Brasil (1990). Dessa
forma, questiona-se qual seria o procedimento mais adequado: interromper a perícia
em andamento e informar à Polícia Federal ou concluir os trabalhos realizando a
notificação posteriormente?
1.2 Formulação do Problema
Diante do contexto exposto, no qual o Exército Brasileiro protagoniza a
coordenação da Defesa Cibernética, estabelecendo uma infraestrutura de
tratamento de incidentes de redes e propondo-se a realizar perícias forenses
computacionais,
algumas
questões
sobre
o
assunto
merecem
destaque,
principalmente no que se refere ao relacionamento entre essas duas atividades:
•
De que forma a perícia forense computacional deve ser encarada, enquanto
processo, no âmbito do Exército, como uma atividade independente ou como
parte do processo de tratamento de incidentes?
•
Como preservar os artefatos, dados gerados pelo invasor durante o
comprometimento de um sistema, para a realização de perícias frente à
necessidade do restabelecimento dos serviços afetados no espaço de tempo
mais curto possível?
Acerca dos laboratórios, ou seja, a infraestrutura física e lógica destinada à
atividade no Exército, questiona-se qual deve ser o melhor modelo a ser adotado, se
19
regionais, com composições e características semelhantes, ou especializados,
realizando tipos específicos de perícia, face à gama de diferentes tecnologias e
equipamentos passíveis de perícia.
Com relação à estrutura de perícia, no que concerne aos recursos humanos,
questiona-se qual deve ser o perfil do profissional responsável pela execução de
perícias forenses, ou seja, a formação considerada adequada. Ainda, qual deve ser
a composição mínima de uma equipe de execução de perícia forense computacional
para atender aos requisitos legais e à demanda de trabalho prevista para a
instituição?
1.3 Declaração de Objetivos e Escopo
Para atender aos questionamentos expostos no tópico anterior, a presente
monografia baseou-se em uma pesquisa documental, tomando como referência a
literatura nacional e mundial, abrangendo, além de artigos e livros, normas e
padrões de instituições reconhecidamente operantes na área, a legislação brasileira,
além da legislação normativa da Administração Pública Federal, convergindo para as
normas e instruções do Exército Brasileiro, instituição foco deste trabalho, visando,
como objetivo principal, à proposição de uma estrutura de perícia forense
computacional adequada aos objetivos da organização, frente ao seu projeto de
implantação da Defesa Cibernética.
Para alcançar o objetivo proposto, foram propostos os seguintes objetivos
específicos:
•
revisar a literatura nacional e mundial especializada na área de perícia
forense computacional, abrangendo desde os procedimentos executados no
processo de realização da perícia propriamente dita até os modelos de
estrutura laboratorial aplicados em organizações governamentais voltadas
para a perícia;
•
revisar a legislação brasileira, no que se refere à execução de perícias
forenses; e
•
revisar a documentação normativa da Administração Pública Federal e do
Exército Brasileiro, relacionada à segurança da informação, ao tratamento de
incidentes e à realização de auditorias e perícias.
20
•
verificar a estrutura de perícia de organizações afins, do Brasil e do mundo,
visando ao levantamento de vantagens e desvantagens relacionada às
estruturas adotadas.
•
analisar a estrutura organizacional do Exército Brasileiro, com foco nos
aspectos que se relacionam à perícia forense computacional.
Visando à definição do escopo do presente trabalho de monografia, foram
utilizadas como referencial as Instruções Reguladoras Para Utilização da Rede
Mundial de Computadores (Internet) por Organizações Militares e Militares do
Exército (BRASIL, 2001c), as quais afirmam que a instituição é responsável pelos
seguintes domínios:
•
exercito.gov.br: sob responsabilidade do Centro de Comunicação Social do
Exército (CComSEx), destinado a abrigar as páginas eletrônicas criadas e
manutenidas por aquele Centro, o qual é responsável pela gerência e
manutenção
do
sítio
oficial
do
Exército
Brasileiro
na
Internet
(http://www.exercito.gov.br );
•
eb.mil.br: sob responsabilidade do Departamento de Ciência e Tecnologia
(DCT), destinado a abrigar os sítios do Estado-Maior do Exército, dos Órgãos
de Direção Setorial, do Centro de Inteligência do Exército, da Secretaria Geral
do Exército e das demais organizações militares, o que inclui o
relacionamento dessas organizações com a rede corporativa do EB (EBNET),
com exceção dos estabelecimentos de ensino;
•
eb.br: destinado a abrigar os sítios das instituições militares de ensino e
pesquisa, abrangendo os subdomínios:
-
ime.eb.br: Gerenciado pelo Instituto Militar de Engenharia (IME),
subordinado ao DCT; e
-
ensino.eb.br: Gerenciado pelo Departamento de Educação e Cultura do
Exército (DECEx).
Assim, considerando a existência de mais de um domínio sob a
responsabilidade do Exército, faz-se importante definir que o presente trabalho de
pesquisa se restringe apenas ao domínio eb.mil.br e à EBNET.
21
1.4 Justificativas do Estudo
O presente trabalho de desenvolvimento de pesquisa se apresenta adequado
no que concerne aos objetivos do Curso de Especialização em Gestão da
Segurança da Informação e Comunicações, uma vez que se enquadra na linha de
pesquisa de procedimentos e processos de Segurança da Informação e
Comunicações, para o caso específico, procedimentos e processos atinentes ao
Exército Brasileiro, podendo, ainda, ser utilizado como referencial para futuras
implementações em outras organizações da Administração Pública Federal.
Os
projeto
mencionados,
ligados
à
Defesa
Cibernética,
inclue
o
desenvolvimento de doutrina relacionada ao assunto no escopo documental e
estrutural. Dessa forma, este estudo vai ao encontro das necessidades
organizacionais, por apresentar o necessário assessoramento às decisões
estratégicas.
Adicionalmente, diante do cenário mundial de crescimento da quantidade de
incidentes computacionais de segurança e da situação brasileira de carência de
normatização relacionada ao tema, verifica-se que o estudo encontra a necessária
acolhida e plausível justificativa.
22
2 Revisão Documental e da Literatura
Considerando a perícia forense computacional como uma atividade
relativamente recente, em relação a qual ainda há lacunas, foi buscado na literatura
uma base com a maior solidez possível, visando ao embasamento para a fase de
discussão.
A seguir, são apresentados alguns conceitos relacionados à atividade de
perícia forense computacional, seguidos de considerações a respeito de entidades
relevantes a ela relacionadas. Por fim, são apresentados alguns dos principais
desafios relacionados à perícia computacional.
2.1 A Perícia Forense Computacional
Segundo o US-CERT (2008, p1), a perícia forense computacional ainda não é
reconhecida como uma disciplina científica formal, todavia sua relevância é
crescente no relacionamento entre a computação e o direito, por sua utilidade em
processos legais, uma vez que as evidências por ela obtidas podem ter valor de
provas. Outra importante função da perícia computacional diz respeito à garantia da
Segurança da Informação e Comunicações no que concerne ao tratamento de
incidentes de segurança em redes computacionais, podendo-se destacar nesse
contexto duas possibilidades:
•
de forma auxiliar, no desenvolvimento da defesa em profundidade – também
conhecida como defesa em camadas, é definida por McGuiness (2001) como
uma série de mecanismos de segurança dispostos de maneira que, caso um
desses mecanismos falhe diante de um ataque, outro esteja posicionado para
conter o ataque. Perícias forenses computacionais podem esclarecer as
23
circunstâncias
de
um
incidente,
contribuindo
para
a
correção
de
vulnerabilidades que tenham sido exploradas.
•
diretamente, inserida no tratamento de incidentes – o tratamento de
incidentes,
conforme
proposto
por
Da
Silva
(2010)
inclui
diversos
procedimentos, entre eles a preservação de artefatos, que são os
remanescentes de atividade maliciosa, para, entre outras possibilidades, a
realização de perícias forenses computacionais. Nesse contexto, perícias
podem possibilitar a atribuição de responsabilidades pelos ataques que
culminaram no incidente de segurança.
Obviamente, com o crescimento da quantidade dos ataques nos últimos anos,
graças à evolução das técnicas de ataque e da capacidade computacional, entre
outros aspectos, torna-se impossível a atribuição de responsabilidades em todos os
incidentes constatados. Segundo DSCINT (DSCINT apud RIOS, 2009) o número de
ciberataques sofridos pelos sistemas do Departamento de Defesa dos Estados
Unidos da América gira em torno de 250 mil ao ano, quantidade que inviabiliza uma
análise forense para todos os ataques, de forma que apenas alguns ataques
recebem um tratamento do ponto de vista forense, por sua relevância e impacto. Há,
contudo, na história, alguns casos que merecem uma atenção especial, por
envolverem questões de relações internacionais, como a acusação da Estônia, no
ano de 2007, à Rússia pelo ataque à sua infraestrutura digital, além da
responsabilização, por parte da Geórgia, novamente à Rússia, pelas dezenas de
ataques desencadeados contra seus sites governamentais, afetando serviços
públicos, no ano de 2008 (RIOS et al, 2009), considerado por Stiennon (2010, p95) a
primeira ocorrência de guerra cibernética.
Outro importante exemplo da utilização da perícia forense computacional foi o
malware1 stuxnet, notícia do ano de 2010, que foi utilizado como vetor do ataque a
uma usina nuclear do Irã (EUROPEAN UNION COMMITTEE, 2010, p 39). Na
ocasião, potências ocidentais, associadas a Israel foram indicadas como suspeitas
pela ação, que afetou centrífugas de enriquecimento de urânio da usina iraniana. A
análise forense conduziu à conclusão de que o ataque não se dera pela internet,
tendo sido o malware inserido no ambiente computacional da usina por acesso físico
1
Malware: programas especificamente desenvolvidos para executar ações danosas em um
computador (CERT.BR, 2006)
24
a uma das máquinas, provavelmente a uma porta USB, conforme Knapp (2011, p
38)
A realização da perícia computacional não se constitui em uma tarefa trivial
que possa ser realizada sem o devido zelo. Muito pelo contrário, verifica-se que um
dos principais aspectos relacionados à perícia reside no rigor com que a atividade
deve ser executada, demandando adequado conhecimento técnico. Tal execução
envolve um processo que, segundo Kruse e Heiser (2002, p21), inclui a coleta, a
autenticação e a análise das evidências, conforme a Figura 1.
A respeito da perícia computacional, Gondim (2010, p18) afirma:
“A análise forense consiste na revisão detalhada de todos
os dados coletados. Isso inclui revisar arquivos de log,
conFigurações
de
sistema,
arquivos com histórico
mensagens de e-mail
de
relações de
confiança,
acessos em browsers,
e seus anexos, aplicações
instaladas, arquivos gráficos etc. São executadas análise
de software, correlação de timestamps, buscas e
quaisquer outras ações necessárias na investigação. A
análise forense também inclui a execução de tarefas de
mais baixo nível, tais como verificando informações que
foram logicamente deletadas do sistema para determinar
se arquivos deletados, espaço livre e usado contêm
fragmentos de arquivos, ou mesmo arquivos inteiros que
podem ser úteis na investigação”
Dessa forma, face à complexidade de sistemas computacionais em constante
evolução e a diversidade das fontes de evidências, uma considerável gama de
conhecimentos técnicos é exigida ao perito, desde sistemas operacionais até
protocolos de comunicação, além de ferramentas que possibilitem a execução da
perícia.
Mas, o que seriam evidências para a perícia forense computacional? Segundo
Solomon et al (2011, p56), evidências computacionais consistem em arquivos que
podem indicar como um incidente ocorreu. Tais arquivos, quanto ao seu conteúdo,
podem ser executáveis, conter imagens ou, ainda, logs, que nada mais são que
registros de eventos ocorridos no sistema em análise. Solomon et al (2011)
25
enquadra todas as evidências que podem ser apresentadas perante uma corte em
quatro tipos: real, documental, testemunhal e demonstrativa. Evidências reais são as
mais tangíveis e fáceis de entender, podendo ser tocadas ou observadas
diretamente. Já as evidências documentais, como o próprio nome aponta, se
referem a relatórios, impressos ou não, além de arquivos de log, devendo ser
autenticados. O terceiro grande grupo, as evidências testemunhais, é representado
por depoimentos acerca de fatos presenciados, podendo ser verbais ou por escrito.
Por fim, as evidências demostrativas, em geral, servem para auxiliar a compreensão
de outras evidências, que, por sua complexidade e profundidade técnica, não se
apresentem claras o suficiente perante um tribunal de leigos no que concerne aos
aspectos técnicos avaliados. As evidências obtidas por meio das perícias
computacionais geralmente se enquadram nos dois primeiros tipos, o que, todavia,
não exclui a possibilidade de enquadramento nos demais tipos.
Quanto à forma de coleta e análise, a perícia computacional pode ser
classificada em dois tipos: ao vivo e post mortem. De acordo com Carrier (2005,
p13) a análise ao vivo ocorre quando o próprio sistema em análise é utilizado para
localização de evidências, enquanto a post mortem consiste na utilização de
aplicações confiáveis para a execução da tarefa, geralmente ferramentas com
finalidade específica dedicada à perícia forense. Obviamente, a discussão acerca do
que seria a utilização ou não do sistema em análise é muito mais ampla, contudo,
está fora do escopo do presente trabalho, podendo ser analisada em trabalhos de
cunho técnico. No que concerne à confiabilidade das evidências, Carrier (2006)
afirma:
“The only difference between live and dead analysis is the
reliability of the results. The same types of data can be
analyzed using dead and live analysis techniques, but the
live analysis techniques rely on applications that could
have been modified to produce false data.”
Dessa forma, em um primeiro momento, a análise ao vivo deveria ser
completamente desaconselhável para fins forenses. Entretanto, quando se trata de
perícia em sistemas computacionais, deve-se tomar por relevantes as condições do
sistema a ser periciado em diferentes situações, por exemplo, em um contexto de
tratamento de incidente de segurança computacional em que o sistema não pode
26
ser desligado, a volatilidade de algumas fontes de evidências, que podem conter
informações importantes para a elucidação dos fatos em apuração, como a memória
RAM ou o tráfego de rede, que podem se tornar inacessíveis após o desligamento
do sistema, ou, ainda, outros aspectos, como a criptografia, que pode tornar
impossível uma análise post mortem.
No que concerne à formação do perito, dentre os muitos aspectos que podem
ser abordados, deve-se atentar para aqueles relacionados à cadeia de custódia e à
apresentação do laudo pericial. Nessa abordagem, o conhecimento acerca da
legislação que regula o assunto é fundamental para garantir que as informações
obtidas durante a perícia sejam admissíveis e apresentadas de maneira adequada
perante cortes judiciais. Dessa, forma, não é suficiente à formação do perito um
caráter de dedicação exclusiva aos conhecimentos técnico-científicos, sendo
necessária, também, uma abrangência mais ampla, que inclui conhecimentos
relacionados à legislação e outros nuances do direito.
Figura 1: O processo de Perícia Forense Computacional.(Fonte: Guliver, 2010)
Pelo Exposto nos parágrafos anteriores, verifica-se que a formação
especializada do perito forense computacional não se constitui apenas em mera
formalidade, sendo ponto fundamental, uma vez que a manipulação inadequada dos
dados coletados, sem o devido cuidado quanto à formalidade processual, além do
descuido durante todas as fases, pode invalidar a perícia perante uma corte quando
de uma possível utilização em processos judiciais diversos, sejam criminais,
27
disciplinares ou administrativos, entre outros. Tal afirmação conduz a duas
considerações:
1. A perícia forense computacional não pode ser realizada por pessoal não
qualificado; e
2. As equipes de tratamento de incidentes de rede devem, obrigatoriamente
possuir conhecimentos de perícia forense computacional.
Analisando a primeira consideração, tem-se que a perícia forense
computacional envolve um processo complexo, que inclui a coleta, a preservação e
a apresentação das evidências. Conforme afirma US-CERT (2008, p2):
“(...) What are some typical aspects of a computer
forensics investigation? First, those who investigate
computers have to understand the kind of potential
evidence they are looking for in order to structure their
search. Crimes involving a computer can range across the
spectrum of criminal activity, from child pornography to
theft of personal data to destruction of intellectual
property.
Second,
the
investigator
must
pick
the
appropriate tools to use. Files may have been deleted,
damaged, or encrypted, and the investigator must be
familiar with an array of methods and software to prevent
further damage in the recovery process.”
Dessa forma, verifica-se que a atividade de perícia não se resume aos
aspectos técnicos, envolvendo, ainda, procedimentos formais específicos e
requisitos legais, os quais, se negligenciados, podem invalidar todo um trabalho
técnico realizado.
Quanto à segunda consideração, verifica-se que a missão de uma equipe de
tratamento de incidentes de rede, em sua finalidade primeira, consiste no pleno
restabelecimento dos serviços afetados, o que inclui as funções de triagem,
tratamento, divulgação e retroinformação acerca dos incidentes. Considerando as
propriedades da segurança da informação, em especial, a integridade e a
disponibilidade, verifica-se que as atividades das equipes de tratamento são
desenvolvidas numa corrida contra o tempo, conforme a ABNT (2005, p101): “(…) a
28
integridade dos sistemas do negócio e seus controles sejam validados na maior
brevidade”.
Há que se atentar, contudo, que aspectos como a descoberta do invasor do
sistema e a determinação dos passos que foram realizados durante a invasão, os
quais podem ser úteis perante cortes legais, também se constituem em etapas do
tratamento do incidente propriamente dito. Sob essa ótica, verifica-se que são
fundamentais conhecimentos técnicos relacionados à perícia computacional para, no
mínimo, viabilizar a preservação dos artefatos deixados pelo invasor, para posterior
análise por equipes especializadas.
Ainda no contexto de apuração de responsabilidades, há aspectos legais
relacionados à coleta e ao tratamento das evidências que, se negligenciados, podem
trazer implicações graves para a equipe de tratamento de incidentes e para a própria
organização, culminando, inclusive em processos legais contrários. US-CERT (2008,
p3) cita, como exemplo das formalidades que devem ser obedecidas, que é
necessária autorização formal, explicitamente documentada, para a realização do
monitoramento e da coleta de informação relacionada à invasão de um sistema,
havendo, ainda, ramificações legais quanto ao uso de ferramentas para
monitoramento.
Face o exposto, verifica-se que cresce em importância a necessidade da
existência em qualquer organização de uma política de Segurança da Informação e
Comunicações claramente definida, que especifique o que é esperado no tratamento
da informação em nível organizacional e abordando a forma como os incidentes de
segurança serão encarados, incluindo os aspectos concernentes a uma possível
perícia forense computacional.
Uma vez definida a importância da formação do perito apresenta-se o
questionamento sobre como garantir a qualidade da formação do perito
computacional. A resposta que parece mais adequada consiste em basear a
qualificação dos peritos em padrões estabelecidos por entidades reconhecidamente
competentes no que concerne aos conhecimentos requeridos à perícia.
2.2 Entidades Vinculadas à Perícia Forense Computacional
No cenário mundial, as entidades não governamentais mais relevantes
dedicadas à perícia computacional são The International Organization on Computer
29
Evidence (IOCE), The Scientific Working Group on Digital Evidence (SWGDE), The
International Association, of Computer Investigative Specialists (IACIS), The High
Technology Crime Investigation Association (HTCIA) e The International Society of
Forensic Computer Examiners (ISFCE). Essas entidades oferecem em seu rol guias
de boas práticas para o exercício da atividade, além de proporcionarem capacitação
profissional. Algumas delas oferecem, ainda, em seu portfólio, exames de
certificação, para fins de atestado de proficiência de profissionais dedicados à
perícia forense computacional, buscando, dessa forma, o estabelecimento de
padrões mínimos de conhecimentos requeridos ao profissionais de dedicados ao
ramo.
No Brasil, a única entidade que possui expressividade no ramo da perícia
forense computacional é a Associação Brasileira de Especialistas em Alta Tecnologia
(ABEAT), responsável pela organização das conferências internacionais ICCyber –
Conferência Internacional de Perícias em Crimes Cibernéticos e ICoFCS – the
International Conference on Forensic Computer Science.
Apesar de não serem organizações dedicadas especificamente à perícia
forense computacional, merecem destaque, por sua importância em atividades
relacionadas ao assunto, o Centro de Estudos, Resposta e Tratamento de Incidentes
de Segurança no Brasil (CERT.BR) e o Centro de Atendimento a Incidentes de
Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa. Tais entidades têm
contribuído substancialmente não somente para a consolidação da estrutura de
tratamento de incidentes no país, mas também para a formação de uma mentalidade
de preservação de evidências e cooperação com as forças judiciais, o que remete
diretamente à perícia. Adicionalmente, por motivos óbvios, merece citação a Polícia
Federal, que é a signatária da perícia forense computacional no que concerne ao
direito criminal, exceção feita ao direito penal militar, sendo responsável exclusiva
por determinadas investigações, por exemplo, casos de pedofilia.
2.3 Desafios Relacionados à Perícia Forense Computacional
Conforme já mencionado, a perícia computacional não é uma tarefa simples
e, ao contrário de outros ramos da perícia, cuja complexidade se encontra em
patamares estáveis, tem perante si desafios incrementais proporcionado pelos
avanços tecnológicos.
30
O primeiro desafio reside na evolução da tecnologia cloud computing, que
representa uma mudança de paradigma, em que os recursos computacionais, não
mais se encontram fisicamente no ambiente organizacional, estando dispersos pela
internet. Nesse novo modelo, os recursos são compartilhados por clientes distintos,
o que torna mais árdua a investigação forense. Heiser (apud SANTOS, 2010) afirma:
“Serviços de Cloud são especialmente difíceis de
investigar, porque os logs e dados de vários clientes
podem estar localizados conjuntamente e também estar
distribuídos com uma constante mudança no conjunto de
máquinas e data centers.”
Além disso, Santos (2010) afirma que a preservação da integridade das
evidências no ambiente de cloud computing pode ficar comprometida, uma vez que,
ao se compartilhar o ambiente computacional, em alguns casos, torna-se difícil até
mesmo a definição do momento em que um incidente ocorreu.
O
segundo
desafio
se
refere
ao
crescimento
da
capacidade
de
armazenamento dos dispositivos computacionais, que serão objeto de verificação na
busca por evidências. Não é difícil, atualmente, encontrar entre pessoas comuns,
discos rígidos com capacidade de armazenamento superior a 1 terabyte. Assim,
diante do crescimento da quantidade de dados a ser verificada, verifica-se o
crescimento proporcional do tempo necessário à conclusão da perícia, mesmo
lançando mão de equipamentos dedicados, com elevado poder de processamento
computacional, o que, em algumas situações, pode comprometer, ou mesmo
inutilizar, o valor da perícia computacional em processos perante cortes judiciais,
pela impossibilidade da apresentação das evidências coletadas em momento
oportuno.
Por fim, o terceiro desafio abordado é a crescente utilização da criptografia
para a garantia da confidencialidade. Atualmente, há ferramentas que são
praticamente intransponíveis no que se refere à quebra de senhas e acesso a
conteúdo criptografado. No Brasil, o caso recente mais notável foi a apreensão para
análise, em 2008, dos discos rígidos dos computadores do banqueiro Daniel Dantas
pela Polícia Federal. Graças a utilização de ferramenta gratuitas e disponíveis na
internet para criptografia de dados e à inexistência no ordenamento jurídico
brasileiro de dispositivos que pudessem obrigar o réu a revelar os códigos de acesso
31
aos sistemas periciados, mesmo após 2 anos de insistentes trabalhos por parte da
Polícia Federal e do FBI, os dados contidos nos discos rígidos permaneciam
inacessíveis, conforme afirma Globo (2010).
32
3 Metodologia
O Exército Brasileiro, organização à qual está direcionada a pesquisa, a
despeito de ser uma organização pertencente à Administração Pública Federal, se
constitui em uma instituição ímpar, com cultura e regulamentos específicos, com
missão prevista na Constituição Federal.
Face à situação exposta, verificou-se que o trabalho de pesquisa não poderia
estar focado exclusivamente na literatura ou em padrões impostos por normas
técnicas, devendo contemplar também a realidade institucional, na busca da
concepção de uma proposta que pudesse efetivamente ser implementada.
Por esse motivo, considerando o escopo da monografia e a fim de alcançar os
objetivos propostos para o presente trabalho acadêmico, foi planejada a realização
de uma pesquisa baseada documental e normativa voltada para as leis brasileiras e
para o universo relacionado à Administração Pública Federal, em particular, ao
próprio Exército, passando, ainda, pela consulta ao arcabouço literário nacional e
mundial vinculado ao tema.
Além da consulta documental, informações adicionais foram obtidas por meio
da observação direta e indireta, uma vez que, a despeito da inexistência de uma
estrutura formal estabelecida, há organizações militares que já realizam a perícia
forense computacional dentro do Exército, inserida no contexto do tratamento de
incidentes de segurança. A respeito da existência de fontes de informação não
registradas, Souto (apud DA SILVA, 2010) cita:
“além das fontes de informação registradas fisicamente,
existem, também, as fontes não registradas, presentes
nos canais informais. Assim, é importante destacar que o
33
sistema de comunicação de qualquer área é constituído
por canais formais e informais”.
Dessa forma, a experiência e as observações do próprio pesquisador, na
condição de integrante da estrutura de tratamento de incidentes de segurança do
Exército Brasileiro, foram bastante relevante no que concerne ao estabelecimento
dos pontos que deveriam ser pesquisados e dos tópicos que deveriam constar da
proposta para estrutura de perícia forense computacional, produto final do trabalho
de pesquisa.
Outra fonte relevante de informações para a pesquisa foi a Conferência
Internacional de Perícia em Crimes Cibernéticos (ICCyber), organizada pela
Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT). A participação
na referida conferência possibilitou o estabelecimento de contatos com profissionais
de alto nível vinculados à perícia forense computacional, os quais, entre outras
contribuições, indicaram fontes confiáveis para auxiliar a coleta de dados.
Cabe, também, destacar a carência de fontes relacionadas à estruturação da
perícia forense computacional, tanto no contexto nacional quanto mundial, o que
dificultou sobremaneira a delineação da proposta, uma vez que, para alguns itens,
praticamente não havia fontes para comparação e avaliação.
Quanto à classificação, a presente pesquisa pode ser analisada sob dois
aspectos: quanto à natureza e quanto à forma de abordagem do problema.
Quanto à natureza, por ser destinado especificamente ao contexto do Exército
Brasileiro, o trabalho pode ser classificado como pesquisa aplicada, a qual,
conforme definido por da Silva e Menezes (2005, p20)
“objetiva gerar
conhecimentos para aplicação prática e dirigidos à solução de problemas
específicos.”
Analisando a pesquisa quanto à abordagem do problema, verifica-se que a
presente monografia se enquadra como pesquisa exploratória, uma vez que “visa
proporcionar maior familiaridade com o problema com vistas a torná-lo explícito (…)
Assume, em geral, as formas de Pesquisas Bibliográficas e Estudos de Caso. ”,
conforme descrito por da Silva e Menezes (2005, p20).
Sob o ponto de vista dos procedimentos técnicos, verifica-se que foram
utilizadas a pesquisa bibliográfica e a pesquisa documental, justificados pela
34
necessidade da revisão da literatura e do arcabouço normativo a respeito do assunto
abordado.
Prosseguindo na descrição da metodologia adotada, os procedimentos
realizados foram os seguintes:
•
Revisão da bibliografia relacionada ao tema, não âmbito nacional e
internacional;
•
Identificação e estudo da literatura produzida por entidades, no âmbito
mundial, vinculadas à perícia forense computacional:
− publicações do Scientific Working Group on Digital Evidence (SWGDE);
− publicações de The International Organization on Computer Evidence
(IOCE),
− publicações de The International Association, of Computer Investigative
Specialists (IACIS);
•
Revisão da literatura normativa, no âmbito nacional:
− norma ABNT NBR/ISO 17025;
− norma ABNT NBR/ISO 27002:2005; e
− norma ABNT NBR/ISO 27005:2008;
•
Revisão da legislação brasileira, relacionada ao tema:
− Constituição Federal Brasileira;
− Código de Processo Penal;
− Código de Processo Penal Militar;
•
Revisão do arcabouço normativo no âmbito da Administração Pública Federal:
− Instrução Normativa Nº 1, do Gabinete de Segurança Institucional da
Presidência da República (GSI/PR);
− Norma Complementar Nº 3, do Departamento de Segurança da Informação
e Comunicações do GSI/PR, que trata das diretrizes para elaboração de
política de Segurança da Informação e Comunicações nos órgãos e
entidades da administração pública federal; e
− Norma Complementar Nº 5, do Departamento de Segurança da Informação
e Comunicações do GSI/Pr, que trata da criação de equipes de tratamento
e resposta a incidentes em redes computacionais – ETIR.
•
Revisão do arcabouço normativo no âmbito do Exército Brasileiro:
35
− Instruções Gerais para Salvaguarda de Assuntos Sigilosos – IGSAS (IG 1051), de 26 de janeiro de 2001;
− Instruções Gerais de Segurança da Informação para o Exército Brasileiro
(IG 20-19), de 20 de setembro de 2001;
− Instruções Reguladoras Sobre Auditoria de Segurança de Sistemas de
Informação do Exército Brasileiro - IRASEG (IR 13-09), de 31 de janeiro
de 2007;
− Instruções Reguladoras Sobre Análise de Riscos Para Ambientes de
Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 13-10), de
31 de janeiro de 2007;
− Instruções Reguladoras Sobre Segurança da Informação nas Redes de
Comunicação e de Computadores do Exército Brasileiro - IRESER (IR 1315), de 31 de janeiro de 2007;
− Instruções Reguladoras para Utilização da Rede Mundial de Computadores
(Internet) por Organizações Militares e Militares do Exército (IR 20- 26), de
novembro de 2001;
− Normas para Controle da Utilização dos meios de Tecnologia da Informação
no Exército (NORTI), de 28 de março de 2003;
− Diretriz para Utilização e Gestão de Software no Exército Brasileiro
(GESOFT), de 11 de setembro de 2007;
− Plano de Migração para Software Livre no Exército Brasileiro, versão 2010,
de 30 de abril de 2010;
− Diretriz de Segurança da Informação e Comunicações do Sistema de
Telemática do Exército (DSIC/SisTEx), de 21 de outubro de 2010;
•
Revisão e organização dos dados coletados;
•
Identificação dos aspectos a serem considerados e dos quesitos a serem
respondidos durante a confecção da proposta;
•
Análise dos dados coletados e resposta aos quesitos;
•
Composição da proposta.
Considerando a especificidade da Instituição Exército Brasileiro, com uma
missão diferenciada e sujeita a normas próprias, conforme já mencionado, verificouse a necessidade de propor uma estrutura particular para a realização de perícias
forenses computacionais, adaptada aos nuances organizacionais. Todavia, tal
36
proposta não poderia simplesmente ignorar a experiência de instituições
conceituadas em todo o mundo, dedicadas à perícia computacional, bem como
procedimentos e padrões que tem garantido a consecução de resultados relevantes
na área. Dessa forma, a análise de estruturas de perícia forense existentes foram
consideradas na metodologia do presente trabalho, de maneira que foram
selecionadas para análise considerações do Federal Bureau of Investigation (FBI),
da Polícia Federal e da California Task Force on Forensic Services.
Quanto à seleção de pontos relevantes para a proposta de estrutura de
perícia forense computacional, expõe-se a seguir os critérios que foram utilizados
em cada um dos tópicos analisados:
•
Foram consideradas as recomendações quanto a procedimentos de
organizações internacionais ligadas à perícia forense computacional, uma vez
que, em geral, reúnem em seus quadros instituições com larga experiência no
assunto;
•
Foram escolhidas organizações governamentais de perícia, por já possuírem
estruturas definidas, podendo apresentar resultados sobre vantagens e
desvantagens relacionadas aos modelos adotados.
•
Foram consultados os documentos fornecidos pela Associação Brasileira de
Normas técnicas, responsável pela padronização de procedimentos no âmbito
do Brasil;
•
A legislação brasileira foi analisada em sua plenitude, no que concernia ao
tema, uma vez que o cumprimento de seu conteúdo é mandatório;
•
Os conceitos e recomendações do Gabinete de Segurança Institucional da
Presidência da República foram considerados por serem suas normas
aplicáveis à toda a Administração Pública Federal;
•
As normas do Exército foram revisadas e consideradas, de maneira a garantir
a composição de uma proposta alinhada aos preceitos e objetivos
institucionais;
•
Outras
publicações
foram
consideradas,
por
apresentarem
aspectos
relevantes, que não foram encontrados nas organizações pesquisadas.
Quanto à identificação das respostas aos requisitos, verifica-se que as
mesmas foram encontradas ao longo dos documentos, tendo sido apresentadas de
forma a garantir um raciocínio estruturado.
37
O Quadro 1 apresenta a distribuição dos requisitos entre os documentos
pesquisados.
Documento
Requisito
ABNT NBR/ISO 17025
• Definir parâmetros de qualidade para os serviços
• Definir o modelo organizacional da estrutura de
California Task Force on
Forensic
Services
perícia forense computacional
Force • Definir parâmetros de qualidade para os serviços
Report
• Definir o tamanho das equipes e o regime de
trabalho
• Estabelecer
Computer Forensics
o
conceito
de
perícia
forense
computacional no Exército Brasileiro
• Delinear o processo para o serviço de perícia
forense computacional
• Com base na missão, definir os serviços que serão
Computer
Forensics
Education
prestados
• Definir o perfil dos peritos e a política de
treinamento para a(s) equipe(s)
Computer Security Incident • Definir a interface com a estrutura de tratamento de
Handling
CPP
CPPM
Guidelines for Best Practice
in the Forensic Examination
of Digital Technology
incidentes de rede já existente
• Definir o tamanho das equipes e o regime de
trabalho
• Definir as organizações envolvidas na estrutura
• Definir prazos para a conclusão de perícias
• Definir o modelo organizacional da estrutura de
perícia forense computacional
• Estabelecer
o
conceito
de
perícia
forense
computacional no Exército Brasileiro
DSIC/SisTEx
• Definir a missão da estrutura
• Definir as organizações envolvidas na estrutura
• Definir a interface com a estrutura de tratamento de
incidentes de rede já existente
38
• Definir a necessidade do estabelecimento de
normas em cada organização que regulem a
perícia forense computacional em complemento à
política de segurança da informação do exército
• Definir
responsabilidades
por
solicitações
e
autoridades a quem a estrutura deve se reportar
• Delinear o processo para o serviço de perícia
forense computacional
• Definir prazos para a conclusão de perícias
• Definir o perfil dos peritos e a política de
treinamento para a(s) equipe(s)
• Definir
IG 10-11
responsabilidades
por
solicitações
e
autoridades a quem a estrutura deve se reportar
• Definir prazos para a conclusão de perícias
IG 10-51
• Definir a classificação sigilosa dos assuntos
• Definir a necessidade do estabelecimento de
normas em cada organização que regulem a
IR 13-09
perícia forense computacional em complemento à
política de segurança da informação do exército
• Com base na missão, definir os serviços que serão
Proficiency
Test
Program
Guidelines
prestados
• Definir o perfil dos peritos e a política de
treinamento para a(s) equipe(s)
Recommended
Guidelines • Delinear o processo para o serviço de perícia
for Developing SOPs
Response to the Preliminary
Outline of Draft Forensic
forense computacional
• Definir o perfil dos peritos e a política de
treinamento para a(s) equipe(s)
Reform Legislation
Quadro 1: distribuição dos requisitos entre os documentos pesquisados
39
4 Resultados
Durante a fase de pesquisa, diversas fontes foram consultadas, de maneira a
garantir a maior abrangência possível para a composição da proposta.
O critério inicial para definição da relevância das fontes baseou-se na própria
condição do pesquisador enquanto participante das atividades de perícia forense
computacional no âmbito do Exército.
Além disso, o levantamento das organizações principais organizações no
mundo relacionadas à perícia forense computacional conduziu à descoberta de
novas fontes e padrões relevantes ao estudo realizado.
Sites especializados em análise e perícia digital também foram bastante úteis
para a indicação de autores e organizações relevantes à pesquisa.
Após o levantamento e análise das diversas fontes, nos tópicos seguintes são
apresentados os resultados, agrupados por sua natureza.
No item 4.1 são apresentadas recomendações e padrões propostos por
organizações que, em nível nacional e mundial, são reconhecidas como referenciais
para a perícia computacional.
Em seguida, no item 4.2 são exibidos modelos e dados relevantes de
organizações governamentais que tem a realização da perícia computacional entre
suas atribuições.
Após essa abordagem, no item 4.3 são expostas as considerações das
normas da Associação Brasileira de Normas Técnicas que foram apreciadas e tidas
como relevantes para a confecção da proposta.
No item 4.4 são mostrados os preceitos contidos na legislação Brasileira
julgadas pertinentes para a pesquisa.
40
O item 4.5 contém uma coletânea das informações consideradas úteis, que
foram verificadas nas normas do Gabinete de Segurança Institucional para toda a
Administração Pública Federal.
Após isso, no item 4.6 são expostos os resultados da pesquisa focada na
legislação do Exército Brasileiro, organização a quem se direciona o presente
trabalho.
Por fim, no item 4.7 são apresentadas resultados da pesquisa em outras
fontes, que incluem artigos de pesquisadores, os estudos de casos realizados
durante as disciplinas do Curso de Especialização e Gestão da Segurança da
Informação e Comunicações (CEGSIC) e informações coletadas sobre o curso de
pós graduação strictu sensu realizado na Universidade de Brasília, em parceria com
a Polícia Federal.
4.1 Organizações de Perícia Forense Computacional
4.1.1 Scientific Working Group on Digital Evidence (SWGDE)
O Scientific Working Group on Digital Evidence (SWGDE) é um grupo de
pesquisa norte-americano engajado no campo da análise de evidências digitais e de
multimídia. O SWGDE tem entre seus membros organizações federais, estaduais e
locais, universidades, agências internacionais e agências de definição de padrões,
dos quais pode-se destacar o Federal Bureau of Investigation (FBI), o Department of
Defense (DOD) e o serviço secreto americano.
SWGDE (2010) afirma:
“The forensic SWGs provide a mechanism for the
development and dissemination of consensus-based
guidelines
education,
and
recommendations
certification,
in
training,
the
areas
of
procedural
methodologies, quality assurance and quality control. ”
Dessa forma, pode-se considerar as recomendações e os guias de boas
práticas publicados pelo SWGDE como referência para a perícia forense
computacional.
41
Dentre as principais publicações do SWGDE para o escopo da presente
proposta, pode-se destacar o guia para programas de aplicação de testes de
proficiência (SWGDE, 2006), o guia para o estabelecimento de procedimentos
operacionais padrão para a perícia forense computacional (SWGDE, 2006b) e
recomendações para treinamento de recursos humanos (SWGDE, 2010b).
Quanto à execução da atividade de perícia, SWGDE (2006) defende que seja
realizada apenas por pessoal qualificado, devendo-se, para isso, ser utilizados
exames de proficiência. Para estes testes, propõem-se sua classificação em 4
categorias:
•
forense computacional;
•
áudio forense;
•
análise de vídeo; e
•
análise de imagens.
Tal divisão permite, com relação à proposta de estrutura do presente estudo,
refletir acerca de quais áreas devem ser abordadas na análise pericial
computacional, se apenas em um escopo restrito, incluindo apenas computadores
ou redes computacionais, ou de maneira mais abrangente, abordando áreas como a
análise de vídeo ou de imagens, as quais ainda não foram tratadas quanto às
responsabilidades ou a forma de análise dentro do Exército Brasileiro.
Testes de proficiência, de acordo com SWGDE (2006), podem ser internos ou
externos, devendo, contudo ser baseados nos seguintes parâmetros:
•
específicos para cada disciplina;
•
focados nos processos; e
•
conterem representatividade em itens rotineiramente avaliados.
Quanto à periodicidade da submissão a testes de proficiência, SWGDE (2006)
recomenda que os profissionais que ativamente trabalham com a perícia devem
concluir com sucesso ao menos um teste por ano, dentro de sua área de perícia
específica. Recomenda, também, que a equipe se submeta anualmente a testes
aplicados por organizações externas.
As seguintes contribuições são oferecidas por SWGDE (2006b):
•
afirma, com relação à padronização de procedimentos, que tal ação é
essencial para melhoria da qualidade e garantia da uniformidade dos
processos na realização da perícia, de maneira escrupulosa;
42
•
ressalta que devem existir procedimentos operacionais padrão para cada
procedimento a ser conduzido, os quais devem ser revisados pelo menos
uma vez por ano, arquivando-se versões anteriores para futuras referências;
•
recomenda, quanto ao dados que devem constar nesses procedimentos, que
sejam abordados no documento pelo menos o nome, dados para controle de
versão, a proposta e o escopo, definições e abreviaturas que não são
comumente utilizadas ou que possuem conotação especial no procedimento,
a lista de equipamentos a serem utilizados e os materiais e controles.
SWGDE (2010) aborda os seguintes tópicos:
•
a questão de treinamento de recursos humanos, destacando que devem ser
capacitados tanto os que executam perícias quanto os que supervisionam as
atividades;
•
programas de garantia da qualidade, recomendando que os mesmo sejam
definidos e implementados, de maneira a atestar a validade e a confiabilidade
dos procedimentos; e
•
a busca da educação continuada por meio de cursos, para a manutenção da
proficiência técnica, voltada para a evolução tecnológica, conhecimentos
relacionados à legislação e aquisição de novas habilidades.
Para fins de planejamento de treinamentos, SWGDE (2010) propõe a
seguinte divisão de categorias:
•
conscientização – provisão de conhecimentos básicos sobre evidências
digitais, além de possibilidades e limitações de hardware e software;
•
habilidades e técnicas – desenvolvimento de habilidades para uso
competente de ferramentas específicas;
•
conhecimento de processos – provisão de compreensão sobre os
procedimentos de obtenção de evidências digitais e como aplicá-los nas
diversas situações;
•
desenvolvimento de competências para procedimentos legais – preparação
para o testemunho perante cortes legais e apresentação de resultados da
perícia de forma precisa e confiável;
•
educação continuada – desenvolvimento de habilidades para a adaptação às
evoluções tecnológicas; e
43
•
aplicações e tecnologias específicas – treinamento em subdisciplinas e áreas
especializadas (ex: dispositivos móveis, análise de imagens).
Tal divisão, segundo SWGDE (2010) permite endereçar a capacitação às
funções de gerente, analista, técnico, além dos responsáveis pela resposta inicial a
incidentes, que terão o primeiro contato como as evidências.
Finalmente, SWGDE (2010) destaca que para a garantia da competências e
da proficiência dos peritos, faz-se necessário a definição de um currículo, que
aponte as habilidades e conhecimento que os profissionais devem possuir.
4.1.2 International Organization on Computer Evidence (IOCE)
O IOCE é composto por agências legais que conduzem investigações de
evidências digitais, que tenham a acreditação de seus governos locais ou nacionais.
Segundo IOCE (2011), os objetivos da organização são identificar e discutir
questões de interesse comum, facilitar a disseminação da informação relacionada ao
tema e desenvolver recomendações.
O IOCE, atuando desde 1992, foi responsável pela publicação de algumas
referências para a realização da perícia forense computacional além da estruturação
de equipes para sua execução, como os guias para a realização de perícias, para
treinamento e capacitação de pessoal e para o gerenciamento de laboratórios.
IOCE (2002) divide as atribuições relacionadas à perícia computacional em
papéis, que podem ser acumulados ou não por um indivíduo, que podem se
restringir à simples coleta das evidências em um determinado local até a análise
dessas evidências, incluindo a redação do relatório final, ou, ainda, na operação de
ferramentas com elevado grau de especialização.
A divisão de papéis apresentada por IOCE (2002) pode impactar diretamente
na capacitação do pessoal para a realização de tarefas. Por isso, para garantir o
grau de capacitação dos profissionais, IOCE (2002) recomenda que sejam aplicados
testes de proficiência, considerados fundamentais para um programa de garantia da
qualidade relacionado à perícia computacional.
IOCE (2002b) aborda os aspectos relacionados à formação de peritos, além
das habilidades necessárias ao exercício da perícia forense computacional. Nesse
contexto, destaca-se que a capacitação básica de peritos deve abranger um período
não inferior a 18 meses, o qual pode ser maior, dependendo das habilidades paras
44
as quais se deseja capacitar o profissional. Um ponto relevante a ser destacado é
que, independente do papel a ser desempenhado, toda a equipe deve estar
habilitada para prestar esclarecimentos perante uma corte. IOCE (2002c) aponta,
ainda, como boas técnicas para a capacitação a formação acadêmica, a utilização
de empresas privadas ou a capacitação em ferramentas de mercado.
Com relação à gerência de laboratórios de perícias forenses computacionais,
IOCE (2002c) apresenta dois modelos básicos: centralizado e distribuído. Os fatores
que podem influenciar a opção por um dos modelos são a área geográfica
abrangida, a legislação nacional, o tamanho da agência e fatores econômicos, entre
outros.
Os aspectos abordados por IOCE (2002c) relacionados à pessoal são
seleção, e cuidados com os peritos.
Sobre a seleção, IOCE (2002c) destaca as qualidades desejáveis quando do
recrutamento de pessoal para a função de perito. As qualidades chave destacadas
são atitude investigativa, interesse em perícia forense computacional e treinamento
prévio em tecnologia da informação.
Sobre stress e esgotamento dos peritos, IOCE (2002c) diz que determinadas
perícias podem levar à condição de stress, devido ao tema, por exemplo,
investigações que envolvam pedofilia ou pornografia infantil, ou à quantidade de
trabalho. IOCE (2002c) recomenda, a fim de evitar situações de esgotamento,
rotatividade de funções e monitoração de pessoal, além do uso de treinamentos,
conferências e atividades de desenvolvimento profissional, o que, entre outros
fatores, possibilita alteração de rotina.
IOCE (2002c) aborda a questão de medições de performance, destacando
fatores que podem afetar a produtividade, como o nível de experiência dos
profissionais, fatores qualitativos, por exemplo, treinamento recebido e acúmulo de
encargos administrativos ou o tipo de caso (fraude, homicídio etc). As medições
propostas por IOCE (2002c) incluem HD's e outras mídias de armazenamento,
quantidade de dados processados e número de casos, entre outros.
IOCE (2002c) trata também da garantia da qualidade de laboratórios,
destacando que deve ser designada uma pessoa para o gerenciamento da
qualidade. Outro ponto destacado é que deve ser buscada a conformidade dos
laboratórios com normas e padrões de acreditação.
45
4.1.3 International Association of Computer Investigative Specialists (IACIS)
A IACIS, segundo IACIS (2011), é uma associação sem fins lucrativos,
composta por profissionais ligados à aplicação da lei, dedicada à educação no
campo da perícia forense computacional.
Entre as áreas de atuação da IACIS, destacam-se a formação de peritos
profissionais e a coordenação do processo formal do título de certificação Certified
Forensic Computer Examiner (CFCE).
O processo de certificação inclui, obrigatoriamente o treinamento oferecido
pela associação, o que garante a qualidade dos profissionais certificados.
Não foram encontradas publicações da IACIS sobre o objeto do presente
trabalho. Talvez tal fato se deva à finalidade da organização, a qual é dedicada
exclusivamente à formação de peritos forenses computacionais.
4.1.4 SANS Institute
The SANS Institute existe desde 1989, sendo uma organização voltada para
educação
e
pesquisa
relacionada
à
segurança
da
informação.
Diversos
treinamentos são ministrados em todo o mundo pela organização, além do
gerenciamento de programas de certificação e de repositórios confiáveis de
documentos de pesquisa, abordando os mais variados aspectos concernentes à
segurança da informação, incluindo a perícia forense computacional.
Vecchio-Flaim (2001) aborda a questão da composição de equipes de perícia
forense computacional, desaconselhando que as responsabilidades concernentes à
perícia sejam desempenhadas em tempo parcial em uma organização. Os pontos
utilizados na argumentação são a necessidade da imparcialidade do profissional
com relação às operações organizacionais de TI 2 e de independência no que
concerne à cadeia de comando.
4.1.5 ABEAT
A ASSOCIAÇÃO BRASILEIRA DE ESPECIALISTAS EM ALTA TECNOLOGIA
é uma uma entidade técnico-científica que segundo ABEAT (2011) possui os
seguintes objetivos:
2
TI: Tecnologia da Informação
46
•
promover e incentivar a pesquisa e o desenvolvimento científico e
tecnológico, nas suas áreas de atuação;
•
promover e apoiar a conexão de seus associados com a comunidade
científica nacional e internacional, por meio do patrocínio das participações
nos eventos nacionais e/ou internacionais, e outras formas de patrocínio;
•
apoiar e suportar os associados no desenvolvimento de suas pesquisas;
•
apoiar e suportar o desenvolvimento de aplicações práticas das pesquisas e
tecnologias desenvolvidas; e
•
facilitar a rápida transferência dos resultados das pesquisas para a indústria e
órgãos públicos.
A ABEAT é a atual responsável pela organização das conferências
internacionais ICCyber – Conferência Internacional de Perícias em Crimes
Cibernéticos, atualmente em sua 8ª edição, e ICoFCS – The International
Conference on Forensic Computer Science, atualmente em sua 6ª edição. Além
disso, a entidade é responsável também pela produção da revista científica
internacional IJoFCS – The International Journal on Forensic Computer Science.
A ICCyber
é
realizada
desde
2004,
quando
foi
realizada
sob
a
responsabilidade da Polícia Federal. A despeito de ser um evento relevante de
discussão da perícia forense computacional entre organizações públicas e privadas,
nacionais e internacionais relacionadas ao tema, a conferência não apresentou
grandes contribuições ao presente estudo devido à abordagem de estudos de casos,
técnicas e ferramentas, não contemplando a estrutura da perícia forense
propriamente dita.
O IJoFCS poderia servir como uma relevante fonte de dados para a pesquisa,
todavia, verificou-se que seu conteúdo é, essencialmente, voltado para técnicas e
ferramentas utilizadas na perícia forense computacional, não tendo apresentado
contribuição significativa para o estudo da estrutura e dos processos.
47
4.2 Organizações Governamentais
4.2.1 FBI
The Federal Bureau of Investigation é a organização norte americana
responsável pelas ações de polícia na esfera federal, à semelhança do que ocorre
com a Polícia Federal Brasileira.
No que concerne à perícia forense computacional, não foram encontradas
publicações relevantes do FBI que atendessem aos objetivos do presente trabalho.
Apenas foram encontrados alguns artigos de pessoas ligadas à instituição, as quais
não podem ser considerados como posição oficial da organização, podendo ser
abordados como outras fontes.
4.2.2 California Task Force on Forensic Services
California Task Force on Forensic Services foi criada para garantir eficiência e
eficácia na execução dos serviços periciais no Estado da Califórnia, Estados Unidos.
Sua seleção para referência deveu-se à comparação de resultados com outros
estados norte americanos, que coloca o serviço de perícia daquele em posição de
vantagem em relação aos demais.
Com relação ao grau de profissionalismo dos laboratórios de perícias, Lockyer
(2003) aborda os aspectos garantia de qualidade, acreditação de laboratórios,
certificação de profissionais, treinamento e educação.
A garantia da qualidade dos serviços de perícia realizados, segundo Lockyer
(2003, p32) é fundamental para a manutenção da credibilidade de um laboratório. Tal
necessidade requer dos profissionais conhecimento científico, habilidades técnicas,
objetividade e ética.
Segundo Lockyer (2003, p34), acreditação é o processo pelo qual uma
organização se submete à inspeção de um órgão externo, a fim de determinar se
suas
políticas,
procedimentos,
equipe,
instalações
e
produtos
estão
em
conformidade com padrões estabelecidos. A acreditação, de acordo com Lockyer
(2003) tem se tornado uma credencial indispensável para a manutenção da
credibilidade de laboratórios de perícias forenses.
48
A certificação de peritos, segundo Lockyer (2003), inclui exames escritos,
testes de proficiência e requisitos de educação continuada para re-certificação.
Lockyer (2003) afirma que muitos laboratórios não consideram a certificação como
um requisito mandatório, todavia, é crescente o estímulo à busca da mesma pelos
seus peritos, por exemplo, através do financiamento dos custos de certificação.
Quanto à organização, Lockyer (2003) apresenta a California Task Force on
Forensic Services como a composição de laboratórios de perícia forense municipais,
estaduais, federais, particulares, ou ainda, administrados por organizações
específicas. Lockyer (2003) afirma que nenhum desses laboratórios oferece,
isoladamente, todos os serviços de perícia. Tal fato se deve a diversos fatores, como
o custo do oferecimento do serviço, a demanda e a capacitação da equipe.
Outro ponto interessante abordado por Lockyer (2003) é o tempo necessário
à conclusão dos serviços de perícia solicitados. Para requisições de perícia forense
computacional, o tempo médio é de 44,3 dias corridos. Tal indicador, contudo, pode
variar entre laboratórios, dependendo do número de testes realizados em cada um,
do quão equipado é um laboratório e das rotinas e políticas do laboratório.
Com a finalidade de atender situações que necessitem de maior agilidade,
normalmente as requisições são classificadas em urgentes ou de rotina. Segundo
Lockyer (2003), o tempo para atendimento a requisições urgentes, em geral
corresponde a um terço daquele dispendido na solução de requisições de rotina.
Para cada grupo, ainda, é definido um tempo aceitável para a conclusão do serviço.
Enquanto requisições de rotina devem ser concluídas em 90 dias, requisições
urgentes devem ser concluídas em um prazo de 10 dias.
Com relação ao gerenciamento da estrutura de laboratórios, Lockyer (2003)
apresenta alguns aspectos benéficos ou desvantajosos da regionalização de
laboratórios, centralizando um grande número de serviços. Segundo Lockyer (2003),
as vantagens estão vinculadas ao aproveitamento de recursos, na medida que a
ociosidade tenda a ser reduzida, mesmo em casos de serviços que apresentem
baixa demanda. Por outro lado, as principais desvantagens se relacionam à coleta
de evidências e ao testemunho de peritos em processos legais, os quais
apresentarão maiores retardos e outros problemas logísticos decorrentes da
necessidade de grandes deslocamentos. Esse problema pode impactar, até mesmo,
49
na utilidade do laboratório, uma vez que a distância pode se apresentar como fator
desmotivante para a solicitação de perícias.
4.2.3 Polícia Federal Brasileira
A Polícia Federal, segundo Brasil (2011b), foi criada em 1944 e tem por
missão:
“exercer as funções de Polícia Administrativa e Judiciária,
cumprindo
suas
atribuições
legais,
no
Estado
Democrático de Direito, a fim de contribuir para manter a
lei e a ordem, na preservação da segurança pública. ”
Não foram localizados documentos relevantes que servissem ao propósitos
deste trabalho, contudo, algumas informações relacionadas a requisitos e
atribuições dos peritos foram coletadas.
Segundo Brasil (2011c), as atribuições dos peritos criminais federais incluem
atividades técnico-científicas de nível superior de descoberta, defesa, recolhimento e
de exame de vestígios em procedimentos pré-processuais e judiciários.
Para o desempenho das atribuições previstas, Brasil (2011c) impõe aos
peritos forenses computacionais a obrigatoriedade de diploma, devidamente
registrado, de conclusão de curso de graduação de nível superior em Análise de
Sistemas, Ciências da Computação, Engenharia da Computação, Informática,
Tecnologia de Processamento de Dados ou Sistemas de Informação, fornecido por
instituição de ensino superior reconhecida pelo Ministério da Educação.
Brasil (2010c) aborda a formação do perito criminal federal em escola
específica, após aprovação em concurso, formação essa com duração aproximada
de 4 meses.
Por fim, Brasil (2010c) trata de parcerias institucionais e acadêmicas,
voltadas, entre outros pontos, para o desenvolvimento: sistemas, métodos e
padrões. Dessa forma, Brasil (2010c) menciona existência de um curso nível de
mestrado para a educação em Informática Forense, uma parceria entre a Polícia
Federal e a Universidade de Brasília.
No que concerne à capacitação de recursos humanos, merece nota a parceria
existente entre a Policia Federal e a Universidade de Brasília. Por meio da referida
50
parceria, segundo Unb (2011), peritos criminais federais são capacitados em nível de
mestrado,conforme será abordado mais adiante.
4.2.4 Marinha e Aeronáutica
A Estratégia de Defesa Nacional (BRASIL, 2008b) prevê a integração das
Forças Armadas, principalmente com relação às áreas consideradas estratégicas,
entre elas o setor cibernético.
Investimentos consideráveis tem sido realizados, não somente pelo Exército,
mas também pela Marinha e a Aeronáutica na aquisição de equipamentos voltados
para a perícia forense, constatação exemplificada em Brasil (2011d).
Além disso, foi observada a troca de conhecimentos técnicos entre as três
Forças Armadas, com a participação de militares da Marinha e da Aeronáutica em
cursos de capacitação oferecidos aos pessoal do Exército, fato constatado pelo
pesquisador, enquanto o inserido na estrutura de tratamento de incidentes de
segurança do Exército.
Todavia, a despeito dos avanços observados pelo pesquisador na área, não
foi possível obter documentos que pudessem denotar a atual situação da perícia
forense computacional naquelas Forças, os quais poderiam ser úteis ao trabalho de
pesquisa.
4.3 Associação Brasileira de Normas Técnicas (ABNT)
A Associação Brasileira de Normas Técnicas tem como uma de suas
atribuições a normalização, que consiste na definição das “prescrições destinadas à
utilização comum e repetitiva com vistas à obtenção do grau ótimo de ordem em um
dado contexto”. (ABNT, 2011).
Acerca da segurança da informação, a ABNT publicou algumas normas que
regulam o assunto. Apesar das mais conhecidas serem a ISO IEC 27001:2006 e a
27002:2005, existem diversas outras, que abordam o gerenciamento da segurança
da informação, gerenciamento de métricas, gestão de riscos e de auditorias, entre
outros.
A despeito de não tratar especificamente requisitos de qualidade para
laboratórios de perícia, a NBR ISO/IEC 17025:2005 é a norma que mais se aproxima
51
dessa abordagem, uma vez que traduz a norma NBR ISO/IEC 9001 para a realidade
laboratorial, daí a razão para sua análise durante a pesquisa.
No que concerne ao objeto deste projeto, duas normas foram analisadas, por
apresentarem tópicos relevantes, os quais merecem ser abordados: a NBR ISO/IEC
27002:2005 e a NBR ISO/IEC 27005:2008, tratadas a seguir.
4.3.1 NBR ISO/IEC 17025:2005
A NBR ISO/IEC 17025:2005 define os requisitos gerais para competência de
laboratórios e, a despeito de não ser direcionada a laboratórios para a realização de
perícias, apresenta contribuições relevantes no que concerne à qualidade do
gerenciamento, da capacitação e das operações.
Com relação à gerência de pessoal, ABNT (2005) afirma que os laboratórios
devem possuir tanto pessoal gerencial quanto técnico com os recursos necessários
ao desempenho de suas tarefas. Ainda sobre os laboratórios, ABNT (2005) afirma:
“ter meios para assegurar que sua gerência e o seu
pessoal
estejam
livres
de
quaisquer
pressões
e
influências indevidas … que possam afetar adversamente
a qualidade dos seus trabalhos.”
As políticas dos laboratórios, segundo ABNT (2005), devem assegurar a
manutenção da confidencialidade das informações, além de evitar ações que
possam impactar negativamente a confiança em sua competência, imparcialidade,
julgamento ou integridade operacional.
Quanto à garantia da qualidade, ABNT (2005) preconiza que deve haver um
membro do quadro de pessoal formalmente nomeado, com acesso direto ao mais
alto nível gerencial, onde são tomadas as decisões sobre as políticas e/ou recursos
do laboratório
Com
relação
à
conformidade
dos
procedimentos
com
os
padrões
estabelecidos, ABNT (2005) prevê que sejam realizadas auditorias, além de ações
preventivas e corretivas.
Por fim, A respeito da influência das acomodações e condições ambientais
sobre os resultados dos exames periciais, ABNT (2005) afirma:
“O
laboratório
deve
assegurar
que
as
condições
ambientais não invalidem os resultados ou afetem
52
adversamente
a
qualidade
requerida
de
qualquer
medição.”
4.3.2 NBR ISO/IEC 27002:2005
A NBR ISO/IEC 27002:2005, também conhecida como NBR ISO/IEC
17799:2005, tem como objetivo “estabelecer diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização” (ABNT, 2005b).
Um tópico de relevante importância na referida norma é o abordado no item
10.10, que trata de aspectos voltados à auditoria de sistemas, como a definição de
registros (logs) e a sincronização de relógios, aspectos esse que podem,
perfeitamente, servir à atividade de perícia forense computacional, uma vez que
atendem ao objetivo do levantamento das ações que foram realizadas durante o
incidente, possibilitando o estabelecendo, ainda, de uma sequência cronológica para
as ações.
Outro item que merece destaque é o 13.2.3, o qual define diretrizes para a
coleta de evidências:
“Nos casos em que uma ação de acompanhamento
contra uma pessoa ou organização, após um incidente de
segurança da informação, envolver uma ação legal
(criminal ou civil), convém que as evidências sejam
coletadas,
armazenadas
e
apresentadas
em
conformidade com as normas de armazenamento de
evidências
da
jurisdição(ões)
pertinente(s).”
(ABNT,
2005b, p102)
Desta forma, a referida norma aponta para a necessidade da existência de
uma estrutura mínima para a perícia forense computacional, que se encarregará dos
procedimentos necessários à garantia do valor legal das evidências coletadas.
4.3.3 NBR ISO/IEC 27005:2008
A NBR ISO/IEC 27005:2008 trata da gestão de riscos de segurança da
informação e tem como objetivo “facilitar uma implementação satisfatória da
segurança da informação tendo como base a gestão de riscos” (ABNT, 2008b, p4)
53
Analisando uma estrutura de perícia forense computacional sob o ponto de
vista sistêmico, verifica-se que a mesma importância dedicada ao outros sistemas
no que concerne à garantia dos atributos da segurança da informação. Portanto, a
adequada gestão de riscos deve ser um dos pontos privilegiados, de forma a impedir
a exploração de eventuais vulnerabilidades relacionadas ao sistema.
A NBR ISO/IEC 27005:2008 descreve o processo de gestão de riscos
relacionados à segurança da informação e suas atividades, recomendando sempre a
busca de um alinhamento aos nuances da organização enquadrante.
No que se refere a diretrizes de implantação, ABNT (2008b, p10) afirma:
“Convém que os critérios para a avaliação de riscos
sejam desenvolvidos para avaliar os riscos de segurança
da
informação
na
organização,
considerando
os
seguintes itens: o valor estratégico do processo que trata
as informações de negócio, a criticidade dos ativos de
informação envolvidos, os requisitos legais e regulatórios,
bem como as obrigações contratuais, a importância do
ponto
de
vista
operacional
e
dos
negócios,
da
disponibilidade, da confidencialidade e da integridade e
as expectativas e percepções das partes interessadas e
consequências negativas para o valor de mercado (em
especial, no que se refere aos fatores intangíveis desse
valor), a imagem e a reputação”.
Considerando os fins a que uma perícia forense computacional pode atender,
como processos legais e administrativos, com conteúdos, muitas vezes, sigilosos,
entre outros aspectos, verifica-se que os critérios para a avaliação de riscos devem
contemplar o maior rigor possível, de maneira a mitigar incidentes de segurança que
possam comprometer o processo ou as informações a ele relacionadas.
ABNT (2008b) recomenda que os controles para a gestão de riscos sejam
adequadamente
identificados,
de
maneira
a
evitar
custos
e
trabalhos
desnecessários, além de assegurar sua eficácia, suficiência e justificativa de
existência quanto aos objetivos previstos.
Outro ponto relevante abordado na norma é a adequada estimativa de riscos,
a qual possibilitará a determinação dos riscos mais relevantes, que merecerão
54
priorização quanto ao tratamento. Duas metodologias são apresentadas nesse
aspecto: qualitativa e quantitativa. Apesar de menos precisa e, ainda, da
subjetividade, a metodologia qualitativa é apresentada por ABNT (2008, p19) como a
mais indicada em situações em que os dados numéricos sejam insuficientes para
um estimativa quantitativa, como, quando não há dados históricos para avaliação.
Quanto às ações para tratamento de riscos, ABNT (2008b) apresenta as
seguintes possibilidades:
•
reduzir o risco – reduzir a probabilidade, as consequências negativas, ou
ambas, associadas a um risco;
•
reter o risco – aceitar o ônus da perda ou do benefício do ganho associado a
um determinado risco;
•
evitar o risco – não se envolver ou agir de forma a se retirar de uma situação
de risco e;
•
transferir o risco – compartilhar com uma outra entidade o ônus da perda ou
do benefício do ganho associado a um risco.
Por fim, ABNT (2008b) orienta que todas as decisões relacionadas ao
processo
de
gestão
de
riscos
sejam
adequadamente
documentadas
e
periodicamente verificadas quanto ao cumprimento e à eficácia.
4.4 Legislação Brasileira
A legislação brasileira não aborda a perícia forense computacional de forma
particular. De fato, os códigos de processo penal e penal militar apenas abordam a
perícia de forma generalizada, de maneira independente do ramo, o que somente
possibilita uma tentativa de interpretação aplicada ao contexto computacional, de
maneira a possibilitar sua aplicação à perícia forense computacional, ora em estudo.
A respeito da discrepância existente entre o avanço da informática e do
direito, Neto (2005) afirma:
“Destarte, comparando-se o dinâmico desenvolvimento
da informática, verifica-se que o mesmo não acontece
com o Direito que, considerado sob o prisma positivo, isto
é, visto como conjunto de regras escritas evolui
lentamente, gerando por vezes discrepância entre a
55
realidade dos fatos sociais emergentes e o tratamento
jurídico dos mesmos.”
Essa diferença de velocidade na avanço da informática e do direito possibilita
a existência de lacunas, as quais, por vezes, podem inviabilizar as atividades de
perícia forense computacional.
A Constituição Federal de 1988 (BRASIL, 1988), aborda aspectos que podem
impactar os procedimentos da perícia forense computacional, influenciando, entre
outros aspectos, na admissibilidade de evidências.
Um aspecto relevante que deve ser destacado é que os códigos penais tem
data de publicação bastante anterior às primeiras atividades relacionadas à perícia
forense computacional realizadas no âmbito mundial, o que, muitas vezes, impede a
adequação de seu conteúdo à realidade da atividade de perícia forense
computacional.
4.4.1 Constituição Federal
A Constituição Federal, não é tão antiga quanto os códigos penais, datando
de 1988. Desde sua promulgação, diversas emendas constitucionais alteração seu
texto, de maneira a evitar sua caducidade.
Brasil (1988), aborda diversos aspectos relacionados à garantia dos direitos
individuais. O Art 5º trata da inviolabilidade da intimidade, da vida privada, da casa e
das comunicações, entre outros. Dessa forma a atividade de perícia forense
computacional
deve
estar
limitada,
não
exclusivamente,
aos
princípios
constitucionais, não sendo admitidas evidências obtidas em desacordo com a carta
magna. Brasil (1940), em seus Art 153 e 154 tipifica os crimes contra a
inviolabilidade dos segredos, o que alcança, ainda, o sigilo das informações obtidas
durante a execução da perícia.
Pelo exposto, verifica-se a necessidade de capacitação adequada por parte
dos peritos, a fim de que, no exercício de suas atribuições, não venham a incorrer
em falhas que possam prejudicar o processo, ou mesmo em ações ilegais.
4.4.2 Código de Processo Penal
O Código de Processo Penal (BRASIL, 1941) aborda questões diversas
relacionadas à perícia, como a definição da quantidade de peritos necessários à
56
realização da atividade, além dos requisitos necessários aos peritos designados,
apontando para a necessidade de habilitação técnica relacionada à natureza do
exame.
Com relação à quantidade peritos necessários á execução de uma perícia,
Brasil (1941) prevê que as perícias sejam realizadas por dois peritos, devendo estes
elaborarem laudo pericial.
Quanto às situações de incompatibilidade e impedimento, as quais justificam
a abstenção dos peritos da execução de uma perícia, Brasil (1941) apresenta como
causas de suspeição:
•
possuir vinculação de parentesco com juiz, defensor ou advogado, órgão do
Ministério Público, autoridade policial, auxiliar da justiça ;
•
ser testemunha do fato em apuração
•
ter interesse parcial ou direto no feito.
•
ser credor ou devedor, tutor ou curador, de qualquer das partes; envolvidas no
fato em apuração; e
•
ser sócio, acionista ou administrador de sociedade interessada no processo.
Com relação à nomeação de perito, Brasil (1941) preconiza se tratar de um
encargo obrigatório, o qual não poderá ser recusado, salvo escusa justificada.
Encerrando a abordagem da perícia, Brasil (1941) aponta para a necessidade
da preservação das evidências, dando instruções quanto aos procedimentos para
comprovação da situação em que as mesmas foram encontradas pelo perito.
4.4.3 Código de Processo Penal Militar
O Código de Processo Penal Militar (BRASIL, 1969) se assemelha muito ao
Código de Processo Penal, no que concerne à definição da quantidade de peritos
para a execução da atividade, prazos e à necessidade da comprovação da lisura do
processo de perícia. Alguns aspectos, entretanto, recebem tratamento diferenciado,
como a preferência pelos oficiais na escolha dos peritos, atendida a especialidade,
denotando que a seleção dos peritos não deve prescindir da necessária habilitação,
composta pela capacidade técnico-profissional, cuja ausência pode conduzir à
impugnação do perito.
Outros aspectos considerados relevantes são o caráter obrigatório do encargo
de perito, definido no Art. 49, que não pode ser recusado, salvo no caso de
57
apresentação de justa causa, a qual deve Figurar num rol elencado no próprio
código.
Por fim, o último aspecto considerado relevante a respeito do assunto em
pauta é a definição, no Art 321, do rol de organizações que podem receber as
requisições de perícia:
“A autoridade policial militar e a judiciária poderão
requisitar dos institutos médico-legais, dos laboratórios
oficiais e de quaisquer repartições técnicas, militares ou
civis, as perícias e exames que se tornem necessários ao
processo, bem como, para o mesmo fim, homologar os
que neles tenham sido regularmente realizados. ”
(BRASIL, 1969)
Desse modo, no âmbito do Exército, estão restritas às organizações militares
técnicas, o que reduz significativamente o número de organizações elegíveis.
4.5 Gabinete
de
Segurança
Institucional
da
Presidência
da
República
O Gabinete de Segurança Institucional da Presidência da República, órgão
responsável pela coordenação das atividades de segurança da informação,
conforme a Lei Nº 10.683, de 28 de maio de 2003, atividade exercida pelo seu
Departamento de Segurança da Informação e Comunicações (DSIC), aprovou a
Instrução Normativa Nº 01 (BRASIL, 2008), a qual disciplina a Gestão de Segurança
da Informação e Comunicações na Administração Pública Federal, direta e indireta .
Com relação ao objeto de pesquisa, a estrutura de perícia forense
computacional, a IN 01 atribui aos órgãos e entidades da Administração Pública
Federal a competência para “instituir e implementar equipes de tratamento e
resposta a incidentes em redes computacionais (…) aplicar as ações corretivas e
disciplinares cabíveis nos casos de quebra de segurança.” (BRASIL, 2008, p2).
O DSIC publicou um total de 9 normas complementares à supracitada
instrução normativa a respeito do tema segurança da informação, todas
complementares entre si. A NC 03 (BRASIL, 2009b) trata das diretrizes para a
elaboração de políticas de Segurança da Informação e Comunicações, enquanto a
58
NC 05 (BRASIL, 2009c) trata especificamente da criação de equipes de tratamento
de incidentes em redes computacionais, o que engloba, entre outras atividades, a
realização da perícia forense computacional. Na referida norma, chama a atenção o
comentário acerca da necessidade de formação técnico-profissional dos membros da
equipe, independente do modelo de tratamento de incidentes adotado pela organização
da APF.
4.6 Exército Brasileiro
Desde o ano de 2001, tem sido possível observar o aumento da importância
da segurança da informação no âmbito do Exército Brasileiro. fato que caracteriza tal
afirmação foi a publicação, a partir daquele ano, de diversas normas relacionadas ao
tema, dentre as quais merecem destaque as IG 10-51 (BRASIL, 2001), que abordam
a salvaguarda de assuntos sigilosos, e as IG 20-19 (BRASIL, 2001b), que
normatizam o tema dentro da instituição. Derivadas dessas normas, diversas outras
foram publicadas, regulando atividades como a realização de auditorias de sistema
de informação, a gestão de risco, a gestão de software, bem como a utilização dos
meios de tecnologia da informação.
4.6.1 IG 10-51
As Instruções Gerais para Salvaguarda de Assuntos Sigilosos (BRASIL, 2001)
foram criadas com a finalidade de padronizar procedimentos relacionados à
segurança da informação, mais especificamente, assuntos classificados, no âmbito
do Exército.
No que concerne à classificação de assuntos, Brasil (2001, p5) determina que
devem ser considerados, principalmente, a natureza do seu conteúdo, a
necessidade de segurança e a necessidade de conhecer.
Brasil (2001, p6) classifica os assuntos sigilosos em quatro graus de sigilo:
•
ultra-secretos: os que requeiram excepcionais medidas de segurança e cujo
teor só deva ser do conhecimento de agentes públicos ligados ao seu estudo
e manuseio;
•
secretos: os que requeiram rigorosas medidas de segurança e cujo teor ou
característica possam ser do conhecimento de agentes públicos que, embora
59
sem ligação íntima com seu estudo ou manuseio, sejam autorizados a delas
tomarem conhecimento em razão de sua responsabilidade funcional;
•
confidenciais: aqueles cujo conhecimento e divulgação possam ser
prejudiciais ao interesse do País; e
•
reservados: aqueles que não devam, imediatamente, ser do conhecimento do
público em geral.
Neste ponto, cabe um adendo, mencionando a sanção do PLC 3 Nº 41/2010
(BRASIL, 2010d), que suprime do rol das classificações o grau confidencial.
Contudo, a despeito da sanção do referido PLC ter ocorrido em novembro de 2011,
sua efetividade somente será válida em 2012, 180 dias após a sanção.
Brasil (2001, p10) aborda a necessidade do adequado processo seletivo de
pessoal para o exercício de funções sensíveis. Além disso, são citadas normas
específicas, com um rígido processo para a concessão de credenciais de segurança,
credenciais estas que envolvem a assinatura de termo compromisso de manutenção
de sigilo.
Com relação à segurança das áreas e instalações, Brasil (2001, p18) afirma
que a classificação das áreas sigilosas tem relação direta com o grau de sigilo dos
assuntos nelas tratados. Ainda, áreas de informática deverão ser consideradas
sigilosas, o que restringe seu acesso a pessoal devidamente credenciado.
Outro ponto importante considerado por Brasil (2001, p18) é a proibição da
entrada de pessoas conduzindo máquinas fotográficas, filmadoras ou gravadores.
No que concerne especificamente à informática, Brasil (2001) aborda pontos
relevantes, como a proibição da conexão à internet ou a outras redes com acesso
remoto de computadores que cujo conteúdo seja sigiloso ou sensível.
4.6.2 IG 20-19
As IG 20-19 (BRASIL, 2001b) foram publicadas com a finalidade de orientar o
planejamento e a execução das ações relacionadas à Segurança da Informação no
âmbito do Exército Brasileiro.
Apesar de não apresentar conteúdo específico digno de citação relacionado à
perícia forense computacional, talvez por sua natureza genérica, Brasil (2001b)
3
PLC: Projeto de Lei da Câmara
60
serve como referencial para a produção de diversas outras normas, as quais tratam
desde a segurança de redes até o uso de certificação digital.
4.6.3 IG 10-11
As Instruções Gerais para a Elaboração de Sindicância no Âmbito do Exército
Brasileiro (BRASIL, 2000) têm por finalidade normatizar, padronizar e orientar
procedimentos para a realização de sindicâncias no âmbito da instituição.
Brasil (2000, p3) determina a competência para a instauração de sindicâncias
e, consequentemente, dos demais atos a elas atinentes. Segundo a norma, somente
são competentes para instaurar uma sindicância o Comandante do Exército,
Oficiais-Generais no cargo de comandante, chefe, diretor ou secretário de OM, e o
comandante, chefe ou diretor de OM, independente de posto.
Quanto aos prazos previstos no processo, Brasil (2000, p4) fixa o prazo de 20
dias corridos para a conclusão da sindicância, prorrogáveis por igual período,
mediante solicitação devidamente fundamentada. Deste modo, verifica-se que uma
sindicância não pode ultrapassar 40 dias corridos em sua instrução.
Após a entrega dos autos à autoridade instauradora, esta pode determinar
que sejam realizadas diligências complementares, as quais devem ser cumpridas
em um prazo não superior a 10 dias. Ao findar este último prazo, a autoridade
instauradora deverá dar solução à sindicância.
Brasil (2000, p6) arrola como participante de uma sindicância técnico ou
pessoa habilitada, aquele que for indicado para proceder exame ou dar parecer,
categoria em que pode ser enquadrado o perito forense computacional, diferente do
sindicante, testemunha, denunciante ou ofendido. Dessa forma, o momento em que
o perito deverá ser ouvido no processo, caso necessário, não dever estar associado
a nenhum dos demais participantes que não o técnico.
Por fim, Brasil (2000, p7) determina que a quantidade de testemunhas que
podem ser associadas ao processo por parte do ofendido ou do sindicado está
limitada a três, devendo-se ressaltar, novamente, que o perito não deve estar
enquadrado entre quaisquer tipo de testemunha, mesmo pelo caráter de
imparcialidade de sua tarefa.
61
4.6.4 IR 13-09
As IR 13-09 (BRASIL, 2007) abordam os aspectos relacionados à auditoria de
segurança de sistemas, baseando a atividade na verificação de controles, definidos
abaixo:
“Para
aplicação
destas
Instruções,
devem
ser
considerados como controles todas as formas que
definam limites ou atuem como limitadores de qualquer
ação que influa na confidencialidade, na integridade ou na
disponibilidade das informações de um sistema de
informação.”
Para Veneziano (2010, p7), um sistema de informação pode ser caracterizado
como um conjunto de elementos (ou componentes) inter-relacionados que coletam,
manipulam, armazenam e disseminam dados e informações, de forma local ou
remota, podendo, ainda, fornecer mecanismos de retroalimentação para o processo.
A conformidade da infraestrutura e dos procedimentos periciais com padrões
estabelecidos é ponto fundamental para a garantia de que os resultados produzidos
pelos laboratórios não sejam questionados perante cortes legais em processos
judiciais.
Segundo Brasil (2007) os controles definem limites para as ações de um
sistema e podem ser exemplificados pela documentação normativa e pelos
mecanismos de conFiguração de hardware e software.
Com relação ao rol mínimo de documentos que devem existir para um
sistema de informação, Brasil (2007, p6) preconiza que estejam sempre disponíveis
para consulta: documentação que descreva o sistema de informação, normas de
segurança da informação que regem o sistema de informação, documentos que
regram procedimentos que tenham sido publicadas em BI, normas técnicas ou de
segurança externas que sejam aplicadas no sistema de informação e procedimentos
operacionais básicos referente às ações de utilização e gestão.
Um ponto interessante mencionado por Brasil (2007, p10) é a necessidade de
planos de contingência, elaborados para manter a continuidade do serviço mesmo
em situações de desastre ou violação da segurança. Tais planos, segundo Brasil
(2007, p10), devem ser atualizados com periodicidade estipulada, além de terem sua
aplicação treinada e simulada.
62
O controle e a formação de recursos humanos também é contemplado por
essa norma. Os aspectos mais relevantes considerados são a necessidade do
estabelecimento de normas de conduta para minimizar riscos relacionados à
violações de segurança além da capacitação em diferentes níveis, desde a formação
inicial até a continuada, em treinamentos periódicos de atualização.
4.6.5 IR 13-10
As Instruções Reguladoras 13-10 “têm por finalidade regular as condições
para o emprego de uma metodologia básica de avaliação de risco a ser aplicada nas
OM do Exército Brasileiro, na área de segurança da informação”.(BRASIL, 2007b,
p3), tendo como um de seus objetivos prover um mecanismo na aplicação de
processos de auditoria de segurança da informação.
A utilidade das IR 13-10 para a estrutura de perícia forense computacional se
refere ao levantamento, análise e tratamento dos riscos que possam comprometer
os resultados decorrentes da execução de uma perícia, o que as tornam
fundamentais em um ciclo de aperfeiçoamento contínuo.
4.6.6 IR 13-15
As Instruções Reguladoras Sobre Segurança da Informação nas Redes de
Comunicação e de Computadores do Exército Brasileiro tem por finalidade regular
as condições de segurança da informação a serem satisfeitas pelas redes de
comunicação e de computadores no âmbito do Exército Brasileiro. Entre os objetivos
desta norma está o estabelecimento de regras gerais de segurança em diversas
áreas, entre as quais estão a monitoração e registro de eventos referentes aos
serviços corporativos de rede e a gestão de incidentes de rede.
Brasil (2007c, p16) aborda a questão do registro de eventos (logs), sugerindo
uma lista de eventos considerados relevantes. Além disso, a norma se refere a
auditoria desses registros quanto à sua eficácia, além do sincronismo de relógios
entre as estações de trabalho e um servidor na rede.
No que concerne a verificações de efetividade de medidas de segurança,
Brasil (2007c, p25) define que tais ações podem ter caráter preventivo ou de
investigação, este último para esclarecer as razões de uma violação de segurança.
63
Quanto à violações de segurança, Brasil (2007c, p31), em seu Art 116,
parágrafo 2º afirma:
“Violações consideradas graves, tais como vírus de
computador que causem perda de dados, invasões feitas
por hackers, sabotagem do sistema de informação da
OM, fraudes etc, devem ser imediatamente notificadas ao
CITEx para fins de resposta ao incidente de segurança
surgido.”
Tal afirmação atribui ao CITEx e a suas unidades subordinadas a tarefa pelo
tratamento de incidentes de segurança, o que inclui ações relacionadas à perícia
forense computacional.
Independente de responsabilidade pelo tratamento de incidentes, Brasil
(2007c, p32) determina que, na execução da tarefa, sejam priorizados a preservação
de evidências, a continuidade de serviços e a recuperação da operação em
condição de normalidade.
4.6.7 IR 20-26
As
Instruções
Reguladoras
Para
Utilização
da
Rede
Mundial
de
Computadores (INTERNET) por Organizações Militares e Militares do Exército têm
por finalidade regular as condições de acesso e utilização dos recursos da Internet
em proveito da Instituição.
Brasil (2001c, p3) define os domínios para acesso das organizações militares
à internet, a saber: exercito.gov.br, eb.mil.br e eb.br. Além disso, estabelece a
finalidade de cada um dos domínios elencados, bem como as responsabilidade pela
gerência dos mesmos.
Quanto à realização de auditorias, ou mesmo de perícias forenses
computacionais, Brasil (2001c, p8) regula que logs de eventos devem ser buscados
na utilização da internet por parte das Organizações Militares. Além disso, a norma
restringe a utilização de criptografia aos recursos homologados pelo Departamento
de Ciência e Tecnologia.
64
4.6.8 NORTI
As Normas para o Controle da Utilização dos Meios de Tecnologia da
Informação no Exército (BRASIL, 2003) regulam o disposto no Regulamento
Disciplinar do Exército (BRASIL, 2002) no que diz respeito a procedimentos do
militar ou do servidor civil, do Exército Brasileiro, no desempenho de suas funções,
em particular, ao utilizar recursos de TI, de propriedade do Exército, colocados sob a
sua responsabilidade.
Entre os pontos mais relevantes, Brasil (2003) define o que é considerado
matéria ilícita para a instituição, além de regular os aspectos relacionados à vistoria
de recursos de TI, os quais estão intimamente à perícia forense computacional.
Por fim, quanto à verificação de mensagens de e-mail, Brasil (2003) é
explicito:
“O conteúdo das mensagens de correio eletrônico, sob
domínio do Exército Brasileiro, não deverá ser violado,
salvo
mediante
ordem
judicial.
Após
obtida
esta
autorização, o(s) usuário(s) deverá(ão) ser cientificado(s)
da vistoria, antecipadamente, por escrito.”
4.6.9 GESOFT
A Diretriz Para Utilização e Gestão de Software no Brasil (BRASIL, 2007d)
tem por finalidade proporcionar conhecimentos essenciais relativos a uma boa
administração
dos
programas
de
computador
(softwares)
para
uso
nas
Organizações Militares.
O aspecto mais relevante apresentado por Brasil (2007d) diz respeito à
priorização da adoção de padrões abertos, cujo conceito consiste em “Programa de
computador sobre o qual se dispõe de alguma liberdade, por exemplo,
conhecimento e disponibilidade de modificação do código-fonte, possibilidade de
realizar um número ilimitado de cópias, dentre outras.”. Mais ainda, o software livre é
considerado um recurso estratégico para a implantação do governo eletrônico.
Outro aspecto relevante apresentado por Brasil (2007d, p11) se refere ao
processo de homologação de software, por meio do qual um programa de
65
computador é considerado plenamente aplicável às atividades peculiares do
Exército.
4.6.10 Plano de Migração para Software Livre
O Plano de Migração para Software Livre, versão 2010 (BRASIL, 2010) tem
como objetivo definir as atividades desenvolvidas durante o processo de transição
para plataforma de Software Livre na infraestrutura de tecnologia da informação do
Exército Brasileiro.
Segundo Brasil (2010, p24), a despeito da vigência do plano de migração, não
está descartado o uso de softwares não padronizados pela instituição, quando
necessário, devendo, contudo, serem tais softwares submetidos a processo de
homologação junto ao Departamento de Ciência e Tecnologia.
4.6.11 DSIC/SisTEx
A Diretriz de Segurança da Informação e Comunicações do Sistema de
Telemática do Exército (BRASIL, 2010), juntamente com seus anexos, é o
documento mais relevante no que se refere à gerência e execução da perícia
forense computacional no âmbito do Exército Brasileiro e tem como objetivo
assegurar a integridade, a autenticidade, a confidencialidade e a disponibilidade das
informações armazenadas, em circulação ou em processamento nas redes
corporativas, e a implantar e garantir a confiabilidade e a continuidade do Sistema
de Telemática do Exército.
Brasil (2010b) define a infraestrutura de tratamento de incidentes de redes
(ITIREX), baseada no Centro Integrado de Telemática do Exército, nos Centros de
Telemática de Área (CTA) e Centros de Telemática, como responsável,
exclusivamente, pelo tratamento de incidentes no domínio eb.mil.br.
A composição da ITIREX consiste em um Centro de Coordenação para
Tratamento de Incidentes de Rede, localizado no CITEX, e em 12 Seções de
Tratamento de Incidentes de Rede (STIR), localizadas nos CTA e CT. Em setembro
de 2011, as STIR receberam a denominação de Seções de Segurança, sendo
compostas por 3 Subseções: Subseção de Tratamento de Intrusão, Subseção de
Segurança Gerencial e Subseção de Segurança Operacional.
66
No que concerne à capacitação de recursos humanos, Brasil (2010b, p38)
preconiza que todos os membros da ITIREX devem possuir a seguinte formação:
•
ter realizado o curso Segurança da Informação para Equipe Técnica (ISTS),
constante do programa de cursos do Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurança no Brasil (CERT.BR);
•
ter realizado o curso Fundamentos de Tratamento de Incidentes (FIH),
constante do programa de cursos do CERT.BR;
•
ter realizado o curso Tratamento de Incidentes Avançado para Equipe Técnica
(AIH), constante do programa de cursos do CERT.BR;
•
possuir a certificação Profissional Certificado em Segurança de Sistemas de
Informação
(CISSP),
controlada
pela
Sociedade
Internacional
para
Certificação em Segurança de Sistemas de Informação (ISC2);
•
ter realizado o curso de Perícia Forense Computacional;
•
ter realizado o Estágio de Inteligência e Contra-inteligência; e
•
ter realizado curso avançado de testes de penetração.
Brasil (2010b, p40) arrola entre as diversas missões atribuídas às Seções de
Segurança a preservação dos relatórios e dos artefatos dos incidentes que forem
por ela tratados, além da própria realização de perícias forenses computacionais. A
preservação de artefatos é elencada, inclusive, entre os procedimentos adotados no
processo de tratamento de incidentes de rede.
Tratando especificamente da perícia forense computacional, Brasil (2010b),
em seu anexo H, aborda o assunto no âmbito do Sistema de Telemática do Exército,
ressaltando que aquele sistema é responsável pelo apoio de tecnologia da
informação à maioria das organizações militares, as quais estão sob o domínio
eb.mil.br.
Segundo Brasil (2010b, p58) a perícia forense computacional pode ser
solicitada em três situações:
•
determinada pela autoridade policial militar ou pela judiciária;
•
requerida por qualquer das partes envolvidas em processo legal; ou
•
solicitada por encarregado de IPM, ou sindicante.
Quanto aos requisitos do profissional responsável pela realização de perícias
forenses computacionais, Brasil (2010b, p59) preconiza que deva deve ser militar de
67
carreira do Exército, possuidor de curso superior, preferencialmente na área de
Tecnologia da Informação, além de ter conhecimentos comprovados na área de
forense computacional. Além disso, são apresentados como fatores que inabilitam
um militar para realizar uma perícia:
•
a nomeação prévia para a realização de outra perícia em condição de
concomitância;
•
o envolvimento no fato em apuração;
•
relacionamento matrimonial ou de parentesco com pessoa envolvida no fato
em apuração;
•
participação no fato que originou a sindicância ou a instauração do Inquérito
Policial Militar (IPM) que motivou a solicitação de perícia; ou
•
ser testemunha da sindicância, IPM ou processo judicial que motivou a
solicitação da perícia.
Quanto ao prazos previstos, Brasil (2010b, p59) prevê que a perícia deva ser
concluída em 30 dias, prorrogáveis por igual período. Brasil (2010b) prevê, ainda,
que em casos excepcionais, o perito poderá requerer a prorrogação por prazo
superior ao estabelecido por padrão.
No que concerne à salvaguarda de assuntos sigilosos, Brasil (2010b) afirma
que sempre deve ser atribuída classificação sigilosa aos autos da perícia, a qual
deve ser, no mínimo, reservada.
Por fim, Brasil (2010b) aborda os cuidados a serem tomados na cadeia de
custódia, registro de quem teve acesso às provas, mantendo uma lista detalhada
dos indivíduos que tiveram algum material apreendido sob seu poder, desde a
apreensão até a devolução, de maneira a garantir a lisura do processo de perícia
forense computacional, evitando, dessa forma, o risco de perda da validade do laudo
pericial.
4.7 Outras Fontes
4.7.1 Computer Forensic Education
Esse artigo foi selecionado como referência por ter sido produzido por
profissionais tanto do meio acadêmico quanto de forças legais, garantindo pontos de
68
vista diversificados, e ter sido publicado pela IEEE Computer Society, organização
que, segundo IEEE (2011) tem por missão buscar o avanço da teoria, da prática e da
aplicação da ciência da computação.
O foco do material se concentrou nos esforços necessários para o
desenvolvimento de um programa que garantisse o rápido crescimento do ramo da
perícia forense computacional, indo ao encontro do proposto no presente trabalho.
Yasinsac et al (2003) apresenta quatro grupos que podem ter algum interesse
na perícia forense computacional: forças voltadas para a aplicação da lei, peritos e
outros profissionais ligados diretamente à perícia e organizações acadêmicas, cada
grupo, com seus próprios interesses com relação ao tema. Com base nesses
grupos, Yasinsac et al (2003) apresenta uma abordagem para o desenvolvimento de
um competências, que podem ser desenvolvidas pela própria estrutura de perícia
forense computacional. As competências propostas são:
•
Técnico – papel voltado exclusivamente para a obtenção de evidências em
computadores e redes, devendo compreender tanto os aspectos relacionados
a hardware quanto software.
•
Desenvolvedor de políticas – gerente ou administrador responsável pelo
estabelecimento de políticas que impactarão nas atividade de perícia.
•
Profissional – possui todos os conhecimentos do técnico, possuindo
habilidades adicionais, como procedimentos legais e outros conhecimentos
advindos de uma sólida formação e experiência.
•
Pesquisador – pessoa dedicada à educação relacionada à perícia nas
escolas de formação.
4.7.2 Public Forensic Laboratory budgets
Esse artigo, apesar de não representar a posição oficial do FBI, foi
disponibilizado como material de pesquisa disponibilizado por aquela organização,
apresentando importantes considerações acerca das dificuldades de gerenciamento
de laboratórios de perícia forense. A contribuição que o material traz ao presente
trabalho reside na análise de estruturas organizacionais adotadas em laboratórios
públicos norte americanos, que poderiam ser reproduzidas em outros sistemas.
Quanto à estrutura, Koussiafes (2004) apresenta três possibilidades:
laboratórios sob o controle de organizações voltadas para a garantia da lei e da
69
ordem, laboratórios reunidos sob a direção de uma agência independente da
estrutura legal existente e laboratórios com dedicação parcial à perícia, podendo
exercer outras atividades relacionadas à pesquisa.
Quanto à primeira categoria de laboratórios, Koussiafes (2004) afirma que a
visibilidade dos trabalhos é reduzida, devido a sua subordinação a outra
organização. Todavia, tal estruturação apresenta a vantagem do relacionamento
aproximado com as forças de garantia da lei e da ordem, o que pode proporcionar
maior agilidade em determinadas situações.
Uma estrutura laboratorial independente, segundo Koussiafes (2004), garante
maior status, porém traz consigo o ônus da competição por recursos.
Por fim, laboratórios periciais em tempo parcial, possibilita a provisão de
outros serviços agregados, podendo ser utilizados em rotinas de análises
reguladoras, como auditorias.
Koussiafes (2004) aborda ainda a consolidação de serviços em poucos
laboratórios. A principal vantagem apresentada é a possível redução de custos.
Koussiafes (2004), todavia, ressalta que a questão logística deve ser analisada com
o devido cuidado. Isso porque uma grande gama de serviços pode resultar em
menos recursos para determinados setores, impactando na qualidade dos serviços.
Além, disso, deve-se considerar a possível necessidade de deslocamentos para
testemunhos por parte dos peritos, que, se não for custeada pelos solicitantes, pode
elevar os custos consideravelmente.
Por fim, Koussiafes (2004) considera a terceirização de serviços de perícia
como uma possibilidade viável, destacando, contudo, que devem ser apreciadas
questões relacionadas ao sigilo e à segurança das evidências e dos resultados das
análises.
4.7.3 CEGSIC
As disciplinas do Curso de Especialização em Gestão da Segurança da
informação e Comunicações, coordenado pela UnB, apresentaram a proposta de
realização de estudos de caso, na qual os pesquisadores utilizavam suas próprias
organizações como objeto de estudo.
A utilidade do método adotado para condução das disciplinas pode ser
constatada sob os seguintes aspectos:
70
•
realizar pesquisas na própria instituição de trabalho possibilitou enxergar a
organização sob uma ótica diferenciada, levando ao levantamento de
questionamentos que, até então, não eram observados;
•
a realização dos estudos de caso permitiram maior aproximação com técnicas
de coleta e análise de dados, as quais foram extremamente relevantes para o
presente trabalho de pesquisa.
Ademais, a despeito da opção pela não adoção do modelo de estudo de caso,
verifica-se que a própria opção pelo presente trabalho foi influenciada por aquele
modelo, uma vez que a escolha pelo tema foi fruto de constatações durante a fase
de realização das disciplinas.
4.7.4 Mestrado em Perícia Forense Computacional da UnB 4
O mestrado profissional em engenharia elétrica, área de concentração em
informática forense e segurança da informação é oferecido pela UnB em parceria
com a Polícia Federal, desde o ano de 2009, segundo Unb (2011).
Quanto ao público atendido, o corpo discente se restringe a membros das
Polícias Federal e Civil que atuem na área específica do curso.
Quanto aos objetivos do curso, Unb (2011) apresenta os seguintes:
•
capacitar Peritos Criminais dos Institutos de Criminalística/Polícias TécnicoCientíficas em âmbito Federal e Estadual, no que diz respeito ao
conhecimento em Informática Forense em suas diversas particularidades
(conteúdo, doutrinas, procedimentos e técnicas);
•
incentivar pesquisas e trabalhos de excelência na área de Informática
Forense, possibilitando a criação de soluções para problemas encontrados na
atualidade pelos diversos corpos periciais e criando oportunidades de
integração dos Peritos Criminais de todos os Estados com diversas
comunidades acadêmicas nacionais e internacionais; e
•
criar ambiente propício para a integração dos diversos corpos periciais dos
Estados, permitindo assim uma divulgação e uniformização do conhecimento,
de procedimentos e das melhores técnicas e práticas,além de possibilitar a
troca de experiências entre esses corpos, o que é de extrema valia na busca
4
UnB: Universidade de Brasília
71
por um corpo pericial de referência nos Estados, no Brasil e também
mundialmente.
Abordando a operacionalização do curso, as disciplinas do curso são
ministradas no campus da Universidade de Brasília – UnB no Distrito Federal, em
encontros de uma semana a cada mês, o que permite a capacitação de profissionais
lotados em unidades da Polícia Federal distribuídas por todos o país.
Por fim, no concerne aos conhecimentos envolvidos nos curso, as seguintes
áreas são abordadas durante o curso:
•
fundamentos e métodos da computação (aplicado a sistemas de arquivos,
complexidade de algoritmos e bancos de dados);
•
criptografia e segurança de dados;
•
redes de computadores;
•
tópicos em ciências forense (metodologia científica e criminalística);
•
tópicos em tecnologias da informação (aplicado a recuperação e análise de
dados e a engenharia reversa);
•
arquitetura de computadores digitais (tópicos em hardware e tecnologias
emergentes); e
•
sistemas operacionais.
Pelo exposto, verifica-se que os conhecimento abordados nesse curso de
mestrado são voltados para os aspectos técnicos, metodológicos e científicos, não
sendo consideradas, de maneira geral, questões relacionadas à estrutura de perícia
forense computacional.
72
5 Discussão e Proposta
Buscando apresentar a proposta de forma estruturada, os quesitos foram
ordenados em um encadeamento lógico, de maneira a abordar desde a definição de
conceitos elementares, como a missão da estrutura, até a consideração de
parâmetros e métricas para a avaliação dos serviços prestados.
Quanto a pertinência dos itens selecionados para discussão e composição da
proposta, ressalta-se que a perícia forense computacional já é realizada atualmente
no âmbito do Exército Brasileiro, o que permite realizar uma análise contextualizada
Além disso, invoca-se a condição de pesquisador participante, inserido na
estrutura de tratamento de incidentes de segurança, inclusive realizando o serviço
de perícia forense computacional
Com base nos pontos acima é proposta a discussão de tópicos considerados
relevantes sob os seguintes critérios:
•
conceitos básicos como o conceito de perícia forense computacional para o
Exército e a missão da estrutura são fundamentais para nortear todo o
trabalho a ser realizado;
•
o estabelecimento dos serviços a serem prestados possibilita a delimitação do
que é ou não encargo da estrutura, evitando interpretações ambíguas;
•
determinar quem estará envolvido na estrutura impacta em diversos fatores,
como a destinação de recursos financeiros e humanos, além de nortear os
potenciais clientes, permitindo-lhes saber a quem devem direcionar suas
solicitações;
•
uma vez que já existe uma estrutura de tratamento de incidentes de
segurança estabelecida, a qual, em princípio, também reúne condições de
73
realizar a perícia forense computacional, deve-se definir a interface entre as
estruturas;
•
questões relacionadas ao perfil dos peritos, sua capacitação, além da
composição das equipes são fundamentais, uma vez que podem determinar a
eficácia da estrutura;
•
aspectos normativos são necessários para a regulação do serviço no âmbito
da Força;
•
questões relativas à salvaguarda das informações abordadas durante as
perícias devem ser abordadas, a fim evitar possíveis problemas decorrentes
da não observância do sigilo necessário à atividade; e
•
a efetividade e a qualidade do serviço somente podem ser garantidas
mediante um adequado processo de medição, baseado em parâmetros
previamente estabelecidos.
Desta forma, com base nos dados coletados, são discutidos a seguir os
pontos relevantes relacionados aos quesitos propostos.
5.1 Discussão
5.1.1 Estabelecer o conceito de perícia forense computacional no escopo do
Exército
A respeito da perícia forense computacional, US-CERT (2008) afirma
“We define computer forensics as the discipline that
combines elements of law and computer science to collect
and analyze data from computer systems, networks,
wireless communications, and storage devices in a way
that is admissible as evidence in a court of law. ”
Nesta definição, US-CERT ressalta dois pontos relevantes:
•
a perícia forense computacional deve estar voltada aos aspectos legais e à
ciência da computação; e
•
a perícia está voltada, em última análise, apenas à obtenção de provas que
sejam admissíveis perante cortes legais.
74
O Departamento de Defesa norte Americano, segundo Vacca (2005, p36)
considera a perícia forense computacional exclusivamente como ferramenta auxiliar
para o tratamento de ataques cibernéticos, buscando determinar os responsáveis
pela origem dos ataques, o que é uma abordagem restritiva.
SWGDE (2006), por outro lado, aborda o tratamento de evidências digitais de
forma mais abrangente, propondo análises não apenas computacionais, mas
também de áudio, vídeo e imagens. Tal abordagem poderia incluir exames dos mais
diversos, como transcrições e degravações.
Brasil (2010b) apresenta a seguinte definição para a perícia forense
computacional:
“conjunto
de
métodos
científicos
para
aquisição,
preservação, coleta, validação, restauração, identificação,
análise, interpretação, documentação e apresentação de
evidências digitais, quer sejam componentes físicos ou
dados
que
foram
eletronicamente
processados
e
armazenados em mídias computacionais;”
Este último conceito faz menção às atividades da perícia, sem, contudo,
abordar os aspectos legais a ela relacionados.
Para a presente proposta, será adotado um conceito misto das definições
propostas por US-CERT (2008) e Brasil (2010b). Dessa forma, será possível
restringir o escopo da perícia forense computacional exclusivamente a atividades
ligadas à ciência da computação, sem, contudo, fazer distinção quanto à finalidade,
permitindo sua utilização tanto para o tratamento de incidentes de rede quanto para
esclarecimentos em processos legais, como sindicâncias e inquéritos policiais
militares, entre outros.
Pelo exposto, para os fins desta proposta, a perícia forense computacional
consiste no conjunto de métodos da ciência da computação, combinados com
elementos legais, para a aquisição, preservação, coleta, validação, restauração,
identificação, análise, interpretação, documentação e apresentação de evidências
digitais, quer sejam componentes físicos ou dados que foram eletronicamente
processados e armazenados em mídias computacionais, de forma que, caso
necessário, tais evidências sejam admissíveis perante cortes legais.
75
5.1.2 Definir a missão da estrutura
O próprio conceito de perícia forense computacional adotado conduz à
missão fundamental, o que é esperado da estrutura com relação à execução da
perícia forense computacional, voltada ao atendimento das demandas no âmbito do
Exército. Todavia, tarefas adicionais relacionadas à auditoria, à educação para a
criação de uma mentalidade de segurança da informação, entre outras, poderiam
ser adicionadas.
Dessa forma, para a fase inicial, as missões podem ser consideradas de
maneira a:
•
atender às demandas decorrentes do processo de tratamento de incidentes;
•
atender às demandas de perícia para a solução de processos internos da
instituição, como sindicâncias;
•
atender às demandas de perícia de processos relacionados a crimes militares
que envolvam o Exército; e
•
auxiliar na capacitação de novos profissionais para a comporem os quadros
de peritos.
Nesse contexto, exclui-se do escopo da missão da estrutura o apoio à
solução de processos que não envolvam diretamente o Exército ou seus integrantes.
Pelo exposto, a missão da estrutura de perícia forense computacional do
Exército pode ser anunciada da seguinte forma:
“Realizar o serviço de perícia forense computacional no âmbito do Exército,
em apoio aos processos criminais e administrativos ligados à Força Terrestre, bem
como apoiar a formação de profissionais para a prática da perícia forense no âmbito
do Exército.”
5.1.3 Com base na missão, definir os serviços que serão prestados
SWGDE (2006) divide a análise de evidências digitais em quatro categorias:
forense computacional, áudio forense, análise de vídeo e análise de imagens. Dessa
forma, verifica-se a análise de evidências é muito mais abrangente que a perícia
forense computacional. Para os fins desta proposta, uma vez que aumento do
escopo de serviços poderia impactar na formação de recursos humanos e nos
76
custos de manutenção de laboratórios, os serviços prestados pela estrutura estarão
restritos à forense computacional.
A missão proposta inclui também o apoio à capacitação de peritos. Yasinsac
et al (2003) apresenta os grupos que podem ter algum interesse na perícia forense
computacional, associando-os a papéis. Dessa forma, o apoio à capacitação,
envolveria questões ligadas a técnicas, procedimentos e legislação aplicada à
perícia, entre outras.
Considerando a missão de executar o serviço de perícia propriamente dito e
apoiar a educação para a perícia forense computacional, os serviços propostos são
listados a seguir:
•
execução de perícias forenses computacionais no âmbito do Exército
Brasileiro;
•
prestação de testemunho junto à cortes legais em processos ligados ao
Exército Brasileiro; e
•
suporte à capacitação de peritos para o Exército Brasileiro, auxiliando a
formação nas Escolas Militares, em disciplinas relacionadas à perícia forense
computacional.
5.1.4 Definir o modelo organizacional da estrutura de perícia forense
computacional
Segundo as informações apresentadas em Brasil (2011), se forem
consideradas as Delegacias do Serviço Militar e os Tiros de Guerra, o Exército
Brasileiro possui cerca de 1200 quartéis, os quais abrigam, segundo Record (2010)
um número de militares em torno de 200 mil homens, distribuídos em todo o território
nacional.
Ao comparar estruturas centralizadas com distribuídas, IOCE (2002) afirma
que estruturas descentralizadas requerem um programa de gerência central
fortalecido.
Considerando os principais fatores apresentados por IOCE (2002) que podem
influenciar a opção por um modelo de gerência de laboratórios, a saber, a área
geográfica abrangida, a legislação nacional, o tamanho da agência e fatores
econômicos e na tentativa de analisar modelos organizacionais candidados para a
estruturas de perícia forense computacional, três possibilidades são consideradas:
77
•
adoção de um único laboratório para atender toda a instituição;
•
adoção de laboratórios regionalizados, com capacidade (teórica) para atender
a todas as demandas, no que concerne às especialidades de serviços; e
•
adoção de uma estrutura de laboratórios distribuídos pelo país, cada um com
uma especialidade distinta, voltado ao atendimento das demandas de toda a
instituição, dentro de sua área específica.
Lockyer (2003), ao abordar os modelos organizacionais para laboratórios,
indica que a perícia forense computacional não se resume à análise de evidências,
abrangendo a coleta de evidências, segundo procedimentos adequados, visando à
sua preservação e, na outra ponta, a possível necessidade do testemunho do perito
perante tribunais.
Outro aspecto relevante a ser considerado é o gerenciamento dos custos do
laboratório, que inclui a aquisição de equipamentos adequados à execução da
perícia. Nessa abordagem, Jones (2008, p209) afirma que um laboratório somente
será completo se tiver acesso a todos os recursos, além do pessoal possuir os
conhecimentos e capacidades específicos.
Sob esse ponto de visto, talvez a opção mais interessante seja reduzir o
escopo de especialidades endereçadas por cada laboratório a abranger diversas
áreas, sem, contudo, possuir a capacitação e as ferramentas necessárias.
Considerando os pontos acima tratados, a estrutura sugerida seria a seguinte:
•
Estrutura baseada em um modelo hierárquico, para fortalecer a gerência;
•
Laboratórios com funcionalidades básicas semelhantes, atendendo de forma
regional, de maneira a otimizar a utilização de recursos, no que concerne a
atividade de coleta de evidências e prestação de testemunho pelos peritos
perante tribunais;
•
Levantamento de áreas específicas para as quais os custos são deveras
elevados e cuja demanda não compense a adoção de equipamentos de
forma generalizada para toda a estrutura. Para tais áreas, deve-se eleger
laboratórios específicos para oferecerem o serviço a todo o Exército.
78
5.1.5 Definir as organizações envolvidas na estrutura
Brasil (1969) restringe o universo de organizações militares candidatas à
hospedagem da estrutura da perícia forense computacional àquelas que podem ser
classificadas como repartições técnicas.
O projeto de segurança cibernética, implementou, como um de seus produtos,
a infraestrutura de tratamento de incidentes de rede (ITIREX), conforme o proposto
por Da Silva (2010), baseada na estrutura existente no Sistema de Telemática do
Exército.
Com relação à constituição da ITIREX, Brasil (2010b, p37) expõe:
“A ITIREx é constituída pelo Centro de Coordenação para
Tratamento
de
Incidentes
de
Rede
(CCTIR/EB),
localizado no Centro Integrado de Telemática do Exército
(CITEx), pelas Seções de Tratamento de Incidentes de
Rede (STIR) localizadas nos Centros de Telemática de
Área (CTA), nos Centros de Telemática (CT) e no CITEx,
e demais Equipes de Tratamento de Incidentes de Rede
(ETIR).”
Desta forma, as STIR são o principal braço de execução da ITIREX,
possuindo atribuições diversas relacionadas ao tratamento de incidentes de redes,
entre elas a realização de perícias forenses computacionais.
Brasil
(1969),
com
relação
à
obrigatoriedade
da
comprovação
de
conhecimentos técnicos pelos peritos, afirma:
“Os peritos e os intérpretes poderão ser, pelas partes,
arguidos de suspeitos ou impedidos; e os primeiros por
elas impugnados, se não preencherem os requisitos de
capacidade técnico-profissional para as perícias...”
Desta forma, as organizações candidatas à composição da estrutura de
perícia forense computacional devem ser aquelas que reúnam, preferencialmente, a
maior quantidade de profissionais habilitados à realização deste tipo de perícia.
No que concerne à distribuição de organizações militares voltadas para a TI,
Brasil (2011) apresenta o Departamento de Ciência e Tecnologia e suas
organizações subordinadas como concentradores do pessoal técnico especializado,
apto, segundo a legislação, à execução de perícias forenses computacionais. Nesta
79
linha, o SisTEx representa o elemento daquele Departamento mais indicado para
compor a estrutura de perícia forense computacional, face sua distribuição pelo
território nacional e características de prestação de apoio à grande maioria das
organizações militares do Exército.
Considerando
a
demanda
de
requisições
de
perícia,
o
custo
de
aparelhamento de laboratórios e os benefícios decorrentes da proximidade
geográfica, a despeito da divisão de domínios prevista em Brasil (2001c), é sugerida
a utilização das organizações do SisTEx para comporem a estrutura de perícia
forense computacional da instituição.
Os Centros de Telemática de Área e os Centros de Telemática, de uma forma
geral, possuem as mesmas atribuições funcionais, contudo, o efetivo de pessoal
previsto para um CT é cerca de 50% do previsto para um CTA. Desta forma,
considerando a organização proposta no item anterior, todos as Organizações
Militares do SisTEx teriam o mesmo aparelhamento e missão base, voltado ao
atendimento das demandas regionais. Áreas específicas de conhecimento, como,
por exemplo, perícias em dispositivos móveis, as quais, no momento, não possuem
demanda elevada, poderiam ser de distribuídas entre os CTA.
Dentro de cada CTA e CT, as Seção de Segurança se apresenta como
principal candidata para compor a estrutura de perícia, uma vez que já reúne
pessoal capacitado para tal, além de ter a execução de perícias como uma de suas
atribuições previstas em Brasil (2010b).
Para fins de enquadramento funcional, a Subseção de Segurança
Operacional ficaria responsável pelo serviço, o qual, todavia, poderia ser realizado,
caso necessário, por todos os demais integrantes da Seção de Segurança, uma vez
que possuem igual habilitação.
5.1.6 Definir a interface com a estrutura de tratamento de incidentes de rede já
existente
A infraestrutura de tratamento de incidentes de rede do Exército Brasileiro,
conforme descrita em Brasil (2010b), não se restringe ao Sistema de Telemática do
Exército (SisTEx), uma vez que este somente como sua responsabilidade o domínio
eb.mil.br. Para os demais domínios do Exército, a saber, exercito.gov.br e eb.br, são
previstas equipes próprias para o tratamento de incidentes.
80
Por suas características de pessoal e missão, as Seções de Segurança dos
Centros de Telemática de Área e Centros de Telemática foram apontadas na
presente proposta como responsáveis pelo serviço de execução de perícias
forenses computacionais no âmbito do Exército.
Com relação à coleta de evidências durante o tratamento de incidentes, NIST
(2008) recomenda:
“Evidence should be collected according to procedures
that meet all applicable laws and regulations, developed
from previous discussions with legal staff and appropriate
law enforcement agencies, so that it should be admissible
in court”
Desta forma, é mandatório que as equipes de tratamento de incidentes de
segurança possuam sólidos conhecimentos de perícia forense computacional, a fim
de garantir o adequado processo de coleta de evidências.
De acordo com Brasil (2010b), todos os membros das Seções de Segurança,
na qual se apoiará tanto a estruturas de tratamento de incidentes quanto a de perícia
forense computacional devem possuir formação para a execução de perícias. Desta
forma, resta apenas capacitar o pessoal das equipes de tratamento de incidentes
responsáveis pelos domínios exercito.gov.br e eb.br. Tal capacitação pode se
restringir à coleta e preservação de evidências, uma vez que as demais fases serão
executadas dentro da própria estrutura de perícia forense computacional.
5.1.7 Definir o perfil dos peritos e a política de capacitação para a(s) equipe(s)
A execução da perícia forense computacional exige habilidades específicas,
além de conhecimentos técnicos básicos.
Com relação à capacitação, SWGDE (2010) destaca que todos devem ser
capacitados, tanto os que executam perícias quanto os que supervisionam as
atividades.
Yasinsac et al (2003) propõe um plano de treinamento, o qual é apresentado
no Quadro 2.
Papel
Técnico
Perícia
Educação
Treinamento
em • Introdução à ciência forense
• Introdução
à
ciência
• Treinamento
da
computacionais
em
redes
81
computação
• básico
• Introdução ao hardware de
computadores
• Introdução
para
aquisição
de
dados de computadores
• básico para recuperação e
a
sistemas
duplicação de dados
operacionais
• Introdução à legislação
Desenvolvedor • Gerenciamento de informação • Pesquisas ou seminários em
de Políticas
• ciência forense
segurança
• segurança da informação
questões legais e técnicas de
• gestão de conhecimento
perícia
informação,
forense
computacional
• arquitetura empresarial
Perito
da
• Todos os itens do Técnico em • Todos os itens do Técnico em
profissional
Perícias
Perícias
• Curso avançado em sistemas • conhecimentos avançados em
de
informação,
redes
e
recuperação de dados,
arquitetura de computadores, • treinamento para testemunho
leis e procedimentos legais
Pesquisador
• Educação
em
nível
em tribunais
de
mestrado e doutorado, com
experiência
em
perícia
computacional
Quadro 2: Plano de treinamento em perícia forense computacional.
Quanto à aplicação de Testes de proficiência, deve-se considerar os
parâmetros recomendados por SWGDE (2006):
•
específicos para cada disciplina;
•
focados nos processos;
•
conterem representatividade em itens rotineiramente avaliados.
Recomenda-se que testes de proficiência sejam aplicados pelo menos 1 vez
ao ano, conforme proposto por SWGDE (2006).
A educação continuada, conforme recomendada por SWGDE (2010) deve ser
buscada para a manutenção da proficiência técnica voltada para a evolução
tecnológica, conhecimentos relacionados à legislação e aquisição de novas
82
habilidades. Cross (2008) recomenda para isso a leitura de informação relacionada
ao assunto disponível em sites governamentais, a participação em seminários e
conferências e a membresia em associações voltadas para a perícia computacional
e combate a crimes eletrônicos.
Quanto ao nível de escolaridade, buscando atender aos requisitos previstos
na legislação, parece razoável adotar o mesmo critério proposto por Brasil (2010b),
que obrigatoriedade de diploma, devidamente registrado, de conclusão de curso de
graduação de nível superior, preferencialmente na área de Tecnologia da
Informação. Brasil (2010b), contudo, não segue a preferência do Código de
Processo Penal Militar por Oficiais. A única restrição quanto a esse aspecto é que os
militares sejam de carreira.
Finalmente, SWGDE (2010) destaca que para a garantia da competências e
da proficiência dos peritos, faz-se necessário a definição de um currículo, que
aponte as habilidades e conhecimento que os profissionais devem possuir.
Pelo exposto, é proposto o seguinte programa de treinamento:
•
treinamento em legislação aplicada à perícia forense;
•
treinamento em técnicas de perícia forense computacional;
•
treinamento em ferramentas de perícia forense computacional;
•
obtenção da certificação CHFI – Computer Hacking Forensic Investigator, que
agrega, ao mesmo tempo, conhecimentos de perícia forense e de tratamento
de incidentes, própria ao escopo da presente proposta; e
•
Participação regular em congressos e seminários.
5.1.8 Definir o tamanho das equipes e o regime de trabalho
Lockyer (2003) apresenta os resultados da pesquisa realizada junto aos
laboratórios governamentais do Estado da Califórnia. Dos 986 peritos existentes,
apenas 3 atuavam em perícia forense computacional.
Com relação à quantidade peritos necessários á execução de uma perícia,
Brasil (1941) prevê que as perícias sejam realizadas por dois peritos, devendo estes
elaborarem laudo pericial.
Devem, ainda, ser consideradas as situações de incompatibilidade e
impedimento, previstas nos Códigos de Processo Penal e Penal Militar, que podem
demandar outros profissionais para substituir o perito impedido.
83
Considerando que a estrutura de perícia proposta atenderá exclusivamente
ao Exército, sendo as requisições regionalizadas, propõe-se que cada laboratório
possua 2 peritos, os quais podem, eventualmente, ser substituídos por outro
membro da equipe de segurança.
Quanto ao regime de trabalho, o trabalho de perícia é realizado mediante
demanda, analisado caso a caso. Portanto, não será objeto da presente proposta a
definição de um regime de trabalho específico.
5.1.9 Definir
a necessidade
organização
que
do estabelecimento
regulem
a
perícia
de
forense
normas
em
computacional
cada
em
complemento à política de segurança da informação do Exército
O Exército Brasileiro possui diversas normas que regulam aspectos referentes
à segurança da informação no âmbito da instituição. Algumas, contudo, estão
restritas a segmentos específicos, por razões de competência da autoridade
responsável pela publicação, não alcançando a instituição como um todo.
Brasil (2007) afirma que para qualquer sistema de informação devem haver
documentos para regular procedimentos. Considerando a própria estrutura de
perícia computacional sob o ponto de vista sistêmico, verifica-se a obrigatoriedade
do estabelecimento de normas que alcancem toda o Exército.
Brasil (2010b) apresenta normas específicas referentes à perícia forense
computacional, que tratam desde requisições de perícias até a conclusão do
processo, em complemento àquelas já existentes no Exército. Tais normas, todavia,
se limitam ao Sistema de Telemática do Exército, não obrigatoriedade de
cumprimento pelas organizações militares excluídas desse sistema.
A despeito da atuação das organizações do SisTEx junto às organizações
apoiadas, não são raras as situações em que incidentes não são adequadamente
tratados, o que incluiria, em alguns casos, a perícia computacional, por falta de
contato com os CTA e CT. Tal fato se deve, muitas vezes à inexistência de normas
institucionais que abordem o tema de maneira incisiva.
Considerando a completude das normas de perícia contidas em Brasil
(2010b), uma vez que trata de aspectos técnicos e legais, tomando a legislação
brasileira como referência, verifica-se a necessidade de sua propagação para todo o
84
Exército Brasileiro, para cumprimento e providências, não se restringindo apenas ao
Sistema de Telemática do Exército.
5.1.10 Definir responsabilidades por solicitações e autoridades a quem a
estrutura deve se reportar
Brasil (2010b) trata da requisição de perícias forense computacionais,
indicando a obrigatoriedade de um processo formal ao qual a requisição deve estar
vinculada. Quanto à competência para a requisição, três categorias de autoridades
são consideradas competentes para requisitar o serviço:
•
autoridade policial militar ou judiciária;
•
partes envolvidas em processo legal; e
•
encarregado de IPM, ou sindicante.
Brasil (2000, p3) restringe a competência para a instauração de sindicâncias
ao Comandante do Exército, Oficiais-Generais no cargo de comandante, chefe,
diretor ou secretário de OM, e ao comandante, chefe ou diretor de OM.
Exceto por se tratar de um ato administrativo, a autoridade responsável pela
instauração de uma sindicância se assemelha à Figura do juiz, uma vez que terá a
atribuição de julgar um fato com base em elementos obtidos durante a instrução.
Dessa forma, não parece absurdo elencar o instaurador de uma sindicância como
competente para requisitar perícias forenses computacionais.
Pelo exposto, a lista completa de autoridades competentes para requisitarem
o serviço de perícia está disposta a seguir:
•
autoridade policial militar ou judiciária;
•
instaurador de sindicâncias;
•
partes envolvidas em processo legal; e
•
encarregado de IPM, ou sindicante.
Considerando que a estrutura de perícia estará baseada nas organizações do
Sistema de Telemática do Exército, verifica-se que os chefes dessas organizações é
que receberão as requisições, cabendo a eles a definição dos peritos responsáveis
pela execução, exceto em situações em que o juiz diretamente indicar os peritos.
Considerando aspectos relacionados à segurança da informação, como o acesso a
informação apenas por aqueles que tem a necessidade de conhecê-la, o perito, uma
85
vez designado, deve se reportar diretamente ao Chefe de seu respectivo Centro de
Telemática, exceto se houver determinação contrária.
Cabe, contudo, ressaltar que o chefe não poderá interferir nos trabalhos de
perícia forense computacional, de forma a não comprometer a imparcialidade, o
julgamento e a integridade operacional dos trabalhos.
5.1.11 Delinear o processo para o serviço de perícia forense computacional
SWGDE (2006b) afirma que procedimentos padronizados são essenciais para
a melhoria da qualidade e garantia da uniformidade dos processos na realização da
perícia, de maneira escrupulosa.
A definição apresentada por US-CERT (2008) sobre o processo de perícia
forense computacional o apresenta como a composição dos procedimentos de
coleta, análise e apresentação de evidências. United States (2004) acrescenta a
essa lista uma fase prévia de avaliação da evidência, útil para a determinação do
cursos das ações.
Brasil (2010b) apresenta uma divisão mais detalhada do processo de perícia
forense computacional, a qual, para os fins do presente trabalho, apresenta a
vantagem de permitir a segregação de funções, além de já estar sendo aplicada no
Sistema de Telemática do Exército.
Após o exposto, tem-se que o processo de perícia forense computacional é
composto pelos seguintes procedimentos:
•
análise de ambiente;
•
coleta de evidências;
•
armazenamento e transporte de evidências;
•
exame e análise em laboratório; e
•
formulação do laudo pericial.
O início do processo de perícia é marcado pela ciência do perito de sua
nomeação e dos questionamentos a serem respondidos no laudo pericial. Uma vez
ciente, o perito se deslocará ao local da ocorrência, onde deverá assegurar que
pessoas não autorizadas adentrem ao cenário de perícia, além de proteger as
evidências digitais, de modo que não sejam alteradas, forjadas ou destruídas.
Podem ocorrer casos em que os peritos não terão acesso ao local da
ocorrência, recebendo o material para perícia diretamente. Nesse caso, especial
86
atenção deve ser dedicada à documentação da cadeia de custódia, lista detalhada
dos indivíduos que tiveram algum material apreendido sob seu poder, desde a
apreensão até a devolução, que deverá integrar os resultados da perícia.
Após essa fase, seguem-se os procedimentos para a coleta de evidências,
em que o perito deve tomar todas as precauções para não alterar a mídia de prova,
além do transporte e armazenamento das evidências de forma segura, de maneira a
evitar circunstâncias que possam danificá-las.
Na fase de exame e análise, ferramentas serão utilizadas para extrair
informações relevantes, de maneira a responder os quesitos recebidos na requisição
da perícia.
Por fim, o perito deverá formular um laudo pericial, que além de responder os
quesitos solicitados, deverá conter todas as ações executadas no processo.
5.1.12 Estabelecer critérios para a priorização de solicitações
Independente do tamanho da estrutura de um laboratório sempre haverá o
risco da quantidade de requisições ser superior ao pessoal disponível. Desta forma,
faz-se necessário estabelecer critérios que possibilitem a priorização nessas
situações.
Considerando-se que o prazo proposto, em princípio, atende a todas as
situações, propõe-se a priorização de solicitações, se não pelo critério básico de
ordem de chegada, pela importância do processo atendido.
Dessa forma, considerando-se que as implicações de processos criminais
tendem a ser maiores que as de processos administrativos, recomenda-se que estas
tenham menor prioridade que aquelas.
5.1.13 Definir prazos para a conclusão de perícias
O Código de Processo Penal Militar não condiciona a entrega do laudo
pericial a um prazo pré-estabelecido, garantindo autonomia à autoridade policial ou
judiciária, seguindo o princípio da razoabilidade.
Brasil (2010b) define o prazo de 30 dias para a conclusão da perícia,
prorrogável por igual período. Brasil (2010b) acena, ainda para a possibilidade da
concessão de prazo superior, em casos excepcionais.
87
A abordagem mais restritiva é a do Código de Processo Penal, sobre a qual,
cabe uma análise pertinente relacionada à antiguidade da legislação. O Código de
Processo Penal não faz distinção entre os diversos tipos de perícia, limitando o
prazo de maneira uniforme a 10 dias, salvo em casos excepcionais, a requerimento
dos peritos.
Segundo Lockyer (2003), o tempo médio para a conclusão de uma perícia
forense computacional em Laboratórios da Califórnia é de cerca de 45 dias.
Comparando-se com o preconizado no Código de Processo Penal, verifica-se que o
cumprimento do prazo previsto naquele código, se mostra inexequível. Todavia,
verifica-se que não se encontra em desacordo com o previsto nas demais normas.
Grande parcela das perícias forenses computacionais tem como fonte
evidências discos rígidos e outras mídias de armazenamento, os quais, atualmente,
podem conter terabytes de dados armazenados, quantidade em ininterrupto
crescimento, os quais consumirão considerável quantidade de tempo dedicado
exclusivamente a tarefas para viabilização da pesquisa, como a indexação de
dados, por exemplo. Mohay et al (2003, p 320) menciona um relatório do FBI que
afirma que o volume de dados tratados em uma única investigação de fraude,
envolvendo uma rede de grandes companhias, excedeu 120 Terabytes, equivalente
ao volume total de dados tratados pela organização no ano de 2001.
Uma outra abordagem válida seria a análise dos prazos previstos para os
processos atendidos pelas perícias forense computacionais, Inquéritos Policiais
Militares e Sindicâncias.
O Código de Processo Penal Militar prevê para a conclusão de um Inquérito
Policial Militar o prazo de 20 dias, caso o indiciado esteja preso, ou 40 dias, caso o
mesmo se encontre em liberdade. Caso não estejam concluídos exames ou perícias
já iniciados, ou haja necessidade de diligência, indispensáveis à elucidação , o prazo
poderá ser prorrogado por mais 20 dias. Desta forma, verifica-se um Inquérito
Policial Militar não poderá ultrapassar os 60 dias, sendo as diligências não
concluídas remetidas posteriormente ao juiz para juntada ao processo.
Com relação à sindicância, Brasil (2000, p4) fixa o prazo para conclusão em
40 dias, já incluída a prorrogação. Existe, ainda, um prazo para o cumprimento de
diligências complementares, que podem ser determinadas pela autoridade
instauradora em 5 dias, posterior à conclusão da sindicância, que não pode
88
ultrapassar 10 dias. Deste modo, verifica-se que, somando-se todos os prazos
previstos entre a instauração de uma sindicância e o início do prazo para sua
solução, podem decorrer, no máximo, 55 dias.
Analisando os prazos dos processos acima, verifica-se que, em princípio, o
prazo de 30 dias, prorrogável por igual período, atende a praticamente todos os
casos, mesmo porque a missão prevista para a estrutura restringe o escopo ao
Exército Brasileiro, praticamente se limitando aos crimes militares.
5.1.14 Definir a classificação sigilosa dos assuntos
Conforme já citado, ABNT (2005) preconiza que as políticas dos laboratórios
assegurem a manutenção da confidencialidade das informações, além de evitar
ações que possam impactar negativamente a confiança em sua competência,
imparcialidade, julgamento ou integridade operacional.
Brasil (2001, p6) classifica os assuntos sigilosos em quatro graus de sigilo:
•
ultra-secretos;
•
secretos;
•
confidenciais;
•
reservados;
Brasil (2010b) define como mandatória a atribuição de classificação sigilosa
aos autos da perícia, a qual deve ser, no mínimo, reservada, ou seja, que não
devam, imediatamente, ser do conhecimento do público em geral.
Considerando a natureza da atividade de perícia, verifica-se como adequada
a classificação apresentada por Brasil (2010b).
Com relação à segurança das áreas e instalações, Brasil (2001, p18) afirma
que a classificação das áreas sigilosas tem relação direta com o grau de sigilo dos
assuntos nelas tratados. Dessa forma, considerando a natureza das atividade
executadas, verifica-se que, os laboratórios de perícia forense computacional
também devem receber classificação sigilosa, com atribuição mínima reservada.
Pelo
exposto, verifica-se
que
a
divulgação de
quaisquer assuntos
relacionados a perícias forenses computacionais fica vedado. Em situações que
despertem interesse jornalístico, não cabe à estrutura de perícia qualquer interação
com a imprensa, sendo esta a atribuição do Centro de Comunicação Social do
Exército, caso necessário.
89
5.1.15 Definir parâmetros de qualidade para os serviços
A definição de parâmetros de qualidade deve estar ligada à missão prevista e
é fundamental para a credibilidade da estrutura de perícia forense computacional.
Quanto à conformidade com padrões estabelecidos, ABNT (2005) prevê a
realização de auditorias, além de ações preventivas e corretivas. Essas auditorias
poderiam estar ligadas a um processo de acreditação, o qual, de acordo com
Lockyer (2003), é fundamental para a manutenção da credibilidade, uma vez que
atesta conformidade com padrões de qualidade. A acreditação não necessita ser
atestada por um órgãos externos ao Exército, podendo o próprio CITEx realizar tal
tarefa.
Exemplos de parâmetros para a estrutura em questão são:
•
capacitação de recursos humanos;
•
instalações e equipamentos;
•
perícias; e
•
outros serviços.
5.1.16 Estabelecer métricas para verificação da qualidade
Uma vez definidos os parâmetros de qualidade, faz-se necessário estabelecer
as métricas que permitirão mensurar quantitativamente a estrutura, fornecendo
subsídios às decisões dos altos escalões. A seguir são apresentados exemplos de
métricas que podem ser adotadas pela estruturas de perícia forense computacional:
•
capacitação de recursos humanos:
─ número de cursos contratados;
─ número de profissionais certificados;
─ participação em eventos;
─ número de artigos publicado a respeito de técnicas e ferramentas.
•
Instalações:
─ número de máquinas do laboratório;
─ nível dos equipamentos;
─ idade dos equipamentos.
•
Perícias:
─ tempo médio de execução de perícias;
90
─ tempo máximo entre perícias;
─ número de perícias realizadas;
─ número de testemunhos em tribunais;
─ número de perícias invalidadas;
─ relação entre quantidade de dados e tempo para conclusão da perícia.
•
outros serviços:
─ número de participação em cursos de formação;
─ número de palestras ministradas.
5.2 Proposta
Uma vez concluída a discussão dos itens considerados relevantes, é
enunciada a seguir, de forma explícita, a proposta de estrutura para perícia forense
computacional no âmbito do Exército Brasileiro.
5.2.1 Conceito de perícia forense computacional para o Exército
Conjunto de métodos da ciência da computação, combinados com elementos
legais, para a aquisição, preservação, coleta, validação, restauração, identificação,
análise, interpretação, documentação e apresentação de evidências digitais, quer
sejam componentes físicos ou dados que foram eletronicamente processados e
armazenados em mídias computacionais, de forma que, caso necessário, tais
evidências sejam admissíveis perante cortes legais.
5.2.2 Missão da estrutura
Realizar o serviço de perícia forense computacional no âmbito do Exército,
em apoio aos processos criminais e administrativos ligados à Força Terrestre, bem
como apoiar a formação de profissionais para a prática da perícia forense no âmbito
do Exército.
5.2.3 Serviços prestados
•
execução de perícias forenses computacionais no âmbito do Exército
Brasileiro;
91
•
prestação de testemunho junto à cortes legais em processos ligados ao
Exército Brasileiro; e
•
suporte à capacitação de peritos para o Exército Brasileiro, auxiliando a
formação nas Escolas Militares, em disciplinas relacionadas à perícia forense
computacional.
5.2.4 Modelo organizacional
•
Estrutura baseada em um modelo hierárquico, para fortalecer a gerência;
•
Laboratórios com funcionalidades básicas semelhantes, atendendo de forma
regional, de maneira a otimizar a utilização de recursos, no que concerne a
atividade de coleta de evidências e prestação de testemunho pelos peritos
perante tribunais;
•
Levantamento de áreas específicas para as quais os custos são deveras
elevados e cuja demanda não compense a adoção de equipamentos de
forma generalizada para toda a estrutura. Para tais áreas, deve-se eleger
laboratórios específicos para oferecerem o serviço a todo o Exército.
5.2.5 Organizações envolvidas na estrutura
•
CITEx: órgão de coordenação;
•
CTA e CT: órgãos de execução;
•
laboratórios inseridos nas Seções de Segurança dos órgão de execução.
5.2.6 Interface com a estrutura de tratamento de incidentes de rede
Considerando que ambas estarão inseridas no Sistema de Telemática do
Exército, as Seções de Segurança serão o elo de integração, cabendo ao CITEx
realizar a ligação entre as equipes de tratamento de incidentes externas à ITIREx e
a estrutura de perícia forense computacional.
5.2.7 Perfil dos peritos e política de capacitação
O requisitos fundamental para o perito é possuir diploma, devidamente
registrado, de conclusão de curso de graduação de nível superior, preferencialmente
na área de Tecnologia da Informação.
92
Quanto a capacitação é sugerido o seguinte programa de treinamento:
•
treinamento em legislação aplicada à perícia forense;
•
treinamento em técnicas de perícia forense computacional;
•
treinamento em ferramentas de perícia forense computacional;
•
obtenção da certificação CHFI – Computer Hacking Forensic Investigator, que
agrega, ao mesmo tempo, conhecimentos de perícia forense e de tratamento
de incidentes, própria ao escopo da presente proposta; e
•
Participação regular em congressos e seminários.
5.2.8 Equipes e regime de trabalho
As equipes devem ser formadas por duas pessoas, devendo as perícias
serem realizadas em dupla. Os membros da equipe podem ser substituídos por
outros integrantes das Seções de Seguranças em caso de existência de causa de
impedimento.
Quanto ao regime, não é necessário regime de trabalho diferenciado nem
dedicação exclusiva dos profissionais à perícia forense computacional.
5.2.9 Estrutura normativa
Propõe-se a adoção da Diretriz de Segurança da Informação e Comunicações
do Sistema de Telemática do Exército para toda a Instituição, uma vez que já aborda
o tema de forma satisfatória.
5.2.10 Responsabilidades
Propõe-se
como
competentes
para
solicitarem
computacionais as seguintes autoridades:
são consideradas competentes para requisitar o serviço:
•
autoridade policial militar ou judiciária;
•
autoridade que instaurou sindicância;
•
partes envolvidas em processo legal; e
•
encarregado de IPM, ou sindicante.
perícias
forense
93
Uma vez designado, o perito deve se reportar diretamente à autoridade que o
designou, ressaltando-se que ela não poderá interferir nos trabalhos, de forma a não
comprometer a imparcialidade, o julgamento e a integridade operacional da perícia.
5.2.11 Processo de Perícia Forense Computacional
O processo de perícia forense computacional deve ser composto pelos
seguintes procedimentos:
•
análise de ambiente;
•
coleta de evidências;
•
armazenamento e transporte de evidências;
•
exame e análise em laboratório; e
•
formulação do laudo pericial.
5.2.12 Critérios Para a Priorização de Solicitações
A realização de perícias deve-se obedecer a seguinte prioridade:
•
solicitações que tramitem na Justiça Militar;
•
solicitações vinculadas a inquéritos policiais militares;
•
demais solicitações
5.2.13 Prazos
As perícias deverão ser realizadas em um prazo de 30 dias corridos,
prorrogáveis por igual período, mediante solicitação fundamentada.
5.2.14 Classificação Sigilosa dos Assuntos
A todas as perícias deve ser atribuída a classificação sigilosa, no mínimo
reservada.
5.2.15 Parâmetros de Qualidade
São propostos os seguintes parâmetros:
•
capacitação de recursos humanos;
•
instalações e equipamentos;
•
perícias; e
94
•
outros serviços.
5.2.16 Métricas
Com base nos parâmetros acima, são propostas as seguintes métricas:
•
capacitação de recursos humanos:
─ número de cursos contratados;
─ número de profissionais certificados;
─ participação em eventos;
─ número de artigos publicado a respeito de técnicas e ferramentas.
•
Instalações:
─ número de máquinas do laboratório;
─ nível dos equipamentos;
─ idade dos equipamentos.
•
Perícias:
─ tempo médio de execução de perícias;
─ tempo máximo entre perícias;
─ número de perícias realizadas;
─ número de testemunhos em tribunais;
─ número de perícias invalidadas;
─ relação entre quantidade de dados e tempo para conclusão da perícia.
•
outros serviços:
─ número de participação em cursos de formação;
─ número de palestras ministradas.
95
6 Conclusões e Trabalhos Futuros
O presente trabalho propunha a realização de uma pesquisa bibliográfica,
documental e normativa acerca da perícia forense computacional.
Quanto ao questionamento acerca do relacionamento da perícia forense
computacional com o tratamento de incidentes, verifica-se que foi respondido
quando da apresentação da proposta de estabelecimento da estrutura de perícia na
atual estrutura de tratamento de incidentes.
A formação de recursos humanos também foi abordada por meio de estudos
originados no meio acadêmico e de organizações ligadas ao exercício da perícia
forense computacional, de maneira que tornou-se possível propor um plano para a
capacitação e a formação continuada de profissionais para o exercício da perícia
forense computacional.
Quanto ao objetivo específico de revisar a literatura nacional e mundial
especializada na área de perícia forense computacional, verifica-se que foi
alcançado por meio do levantamento e estudo de significativo número de livros,
artigos e relatórios, relacionados ao tema.
Quanto ao objetivo específico de revisar a legislação brasileira, aplicada à
execução perícia forense, verifica-se que foi alcançado por meio da análise da
Constituição Federal, dos Códigos de Processo Penal e Penal Militar, além de outras
leis e decretos relacionado ao assunto.
Quanto ao objetivo específico de revisar a documentação normativa da
Administração Pública Federal e do Exército Brasileiro, relacionada à segurança da
informação, ao tratamento de incidentes e à realização de auditorias e perícias,
verifica-se que foi alcançado por meio da análise das Instruções Normativas e
Normas Complementares do Gabinete de Segurança Institucional da Presidência da
96
República, além das diversas Instruções Gerais, Instruções Reguladoras e Diretrizes
do Exército Brasileiro.
O único óbice à conclusão da proposta foi a dificuldade encontrada na coleta
de informações sobre estruturas de organizações de perícia, a fim de levantar
vantagens e desvantagens relacionadas aos modelos adotadas. Tanto O FBI quanto
a Polícia Federal não apresentavam documentação relevante, que possibilitasse a
extração de dados significativos. Para contornar o problema, foram buscados
subsídios em organizações menos relevantes, além de trabalhos do meio
acadêmico.
Quanto ao objetivo principal de proposição de uma estrutura de perícia
forense computacional adequada aos objetivos da organização, frente ao seu projeto
de implantação da Defesa Cibernética, verifica-se que foi alcançado por meio da
análise de modelos adotados em outras organizações, bem como de estudos do
meio acadêmico.
Não foram encontrados muitos trabalhos relevantes acerca de alguns temas
pesquisados, podendo ser alvo de trabalhos futuros:
•
Análises específicas sobre laboratórios de perícia forense computacional;
•
A formação do profissional nas escolas militares para a execução da perícia
forense computacional;
•
Ferramentas para a gestão de laboratórios de perícia;
•
Estudos de parâmetros e métricas de qualidade para a realização de perícias,
de maneira a definir métricas e parâmetros mais representativos.
Devido ao foco do trabalho estar no estabelecimento de uma estrutura, não
foram abordados de maneira aprofundada o processo nem as diversas técnicas para
a realização da perícia forense computacional, os quais também podem ser alvo de
trabalhos futuros assim como o estudo da viabilidade da análise ao vivo de sistemas.
A presente proposta, a despeito de ter sido direcionada ao Exército Brasileiro,
abordando algumas normas específicas da realidade da instituição, pode ser
adaptada para utilização por outras organizações, com distribuição, devendo ser
respeitadas questões relacionadas ao tamanho da organização e à distribuição pelo
território nacional, entre outros aspectos.
97
Referências e Fontes Consultadas
ABEAT
–
ASSOCIAÇÃO
BRASILEIRA
DE
ESPECIALISTAS
EM
ALTA
TECNOLOGIA. Site oficial da organização. Consultado em 2 de dezembro de
2011.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização.
Disponível em http://www.abnt.org.br/m3.asp?cod_pagina=931. 2011.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Requisitos gerais
para competência de laboratórios de ensaio e calibração. NBR ISO/IEC
17025:2005.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da
Informação – Técnicas de Segurança – Código de Prática para a Gestão da
Segurança da Informação. NBR ISO/IEC 27002:2005.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da
Informação – Técnicas de Segurança – Gestão de riscos de segurança da
informação. 2008.
BRASIL. Decreto-Lei Nº 3.689, de 3 de outubro de 1941: Código de Processo Penal.
BRASIL. Decreto-lei Nº 1002, de 21 de outubro de 1969: Código de Processo Penal
Militar.
BRASIL. Constituição da República Federativa do Brasil, promulgada em 05 de
outubro de 1988.
BRASIL. Lei Nº 8069, de 13 de julho de 1990, alterada pela Lei Nº 11829, de 25 de
novembro de 2008, Art. 241: Estatuto da Criança e do Adolescente.
BRASIL. Portaria Nº 131, do Ministro do Exército, de 13 de março de 1998.
BRASIL. Exército Brasileiro. Instruções Gerais para a Elaboração de Sindicância no
Âmbito do Exército Brasileiro (IG 10-11), de 26 de abril de 2000.
98
BRASIL. Exército Brasileiro. Instruções Gerais para Salvaguarda de Assuntos
Sigilosos (IG 10-51), de 10 de janeiro de 2001.
BRASIL. Exército Brasileiro. Instruções Gerais para Segurança da Informação para o
Exército Brasileiro (IG 20-19), de 20 de setembro de 2001.
BRASIL. Exército Brasileiro. Instruções Instruções Reguladoras para Utilização da
Rede Mundial de Computadores (Internet) por Organizações Militares e
Militares do Exército (IR 20-26), de 12 de novembro de 2001.
BRASIL. Exército Brasileiro. Regulamento Disciplinar do Exército (R-4), de 26 de
agosto de 2002.
BRASIL. Exército Brasileiro. Normas para o Controle da Utilização dos Meios de
Tecnologia da Informação no Exército (NORTI), de 28 de março de 2003.
BRASIL. Exército Brasileiro. Instruções Reguladoras Sobre Auditoria de Segurança
de Sistemas de Informação do Exército Brasileiro - IRASEG (IR 13-09), de 31
de janeiro de 2007.
BRASIL. Exército Brasileiro. Instruções Reguladoras Sobre Análise de Riscos Para
Ambientes de Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 1310), de 31 de janeiro de 2007.
BRASIL. Exército
Brasileiro. Instruções Reguladoras Sobre
Segurança
da
Informação nas Redes de Comunicação e de Computadores do Exército
Brasileiro, de 31 de janeiro de 2007.
BRASIL. Exército Brasileiro. Diretriz para Utilização e Gestão de Software no
Exército Brasileiro. 2007.
BRASIL. Gabinete de Segurança Institucional da Presidência da República.
Instrução Normativa Nº 1 – Disciplina a Gestão de Segurança da Informação e
Comunicações na Administração Pública Federal, direta e indireta, e dá outras
providências. 2008.
BRASIL. Decreto no 6.703, de 18 de dezembro de 2008: Estratégia de Defesa
Nacional.
BRASIL. Exército Brasileiro. Manual de Campanha Contrainteligência (C 30-3), de
24 de abril de 2009.
BRASIL. Gabinete de Segurança Institucional da Presidência da República.
Departamento de Segurança da Informação e Comunicações. Norma
Complementar Nº 3 - Diretrizes Para Elaboração de Política de Segurança da
99
Informação e Comunicações Nos Órgãos e Entidades da Administração Pública
Federal. 2009.
BRASIL. Gabinete de Segurança Institucional da Presidência da República.
Departamento de Segurança da Informação e Comunicações. Norma
Complementar Nº 5 - Criação De Equipes De Tratamento e Resposta a
Incidentes em Redes Computacionais – ETIR. 2009.
BRASIL. Ministério da Defesa. Diretriz ministerial Nº 014/2009 de 9 de novembro de
2009
BRASIL. Exército Brasileiro. Plano de Migração para Software Livre no Exército
Brasileiro, de 29 de março de 2010.
BRASIL. Exército Brasileiro. Centro Integrado de Telemática do Exército. Diretriz de
Segurança da Informação e Comunicações do Sistema de Telemática do
Exército, de 21 de outubro de 2010.
BRASIL. Polícia Federal. Apresentação sobre a Polícia Federal no II Encontro
Nacional de Química Forense da USP. 2010.
BRASIL. Senado Federal. Projeto de Lei da Câmara Nº 41, de 2010: Regula o
acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do
art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8112, de 11
de dezembro de 1990; revoga a Lei 11111, de 5 de maio de 2005, e dispositivos
da Lei 8159, de 8 de janeiro de 1991; e dá outras providências.
BRASIL.
Exército
Brasileiro.
Sítio
web
da
organização,
disponível
em
www.exercito.gov.br. 2011.
BRASIL.
Polícia
Federal.
Carta
de
Serviços,
disponível
em
http://www.dpf.gov.br/institucional. 2011.
BRASIL.
Polícia
Federal.
Sítio
web
da
organização,
disponível
em
http://www.dpf.gov.br. 2011.
BRASIL. Marinha do Brasil. Diretoria de Comunicações e Tecnologia da Informaç da
Marinha. Ata de Registro de Preços Nº 015/2010, de 12 de novembro de 2010.
CALAZANS R., Carlos Henrique; CALAZANS, Sandra Maria Pereira Benone.
Ciência Forense: das Origens à Ciência Forense Computacional. 2005.
CARRIER, BRIAN. Defining Digital Forensic Examination and Analysis Tools Using
Abstraction Layers. International Journal of Digital Evidence Winter 2003,
Volume 1, Issue 4.
100
CARRIER, BRIAN. Fyle Systems Forensic Analysis. Adisson Wesley Professional.
2005.
CARRIER, BRIAN. Risks of Live Digital Forensic Analysis. Communications of
Association for Computing Machinery, Vol 49 nº 2. 2006.
CERT.BR
–
CENTRO
DE
ESTUDOS,
RESPOSTA E TRATAMENTO
DE
INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para
Internet. Versão 3.1. 2006.
COOK,
CHAD.
An
Introduction
to
Incident
Handling.
disponível
em
http://www.symantec.com/connect/articles/introduction-incident-handling. 2010
CROSS, MICHAEL; SHINDER, DEBRA LITTLEJOHN. Scene of The Cybercrime. 2nd
Ed. Elsevier Inc. 2008.
DA SILVA, EDNA L.; MENEZES, ESTERA M. Metodologia da Pesquisa e Elaboração
de Dissertação.4ª ed. Florianópolis, SC, Brasil: Laboratório de Ensino a
Distância da UFSC, 2001.
DA SILVA, HUGO SAISSE MENTZINGEN. Proposta de Estrutura de Tratamento de
Incidentes de Rede para o Exército Brasileiro. Monografia apresentada como
requisito para a conclusão do Curso de Especialização em Gestão da
Segurança da Informação e Comunicações da Universidade de Brasília. Jul
2010.
DANIEL, LARRY; DANIEL, LARS. Digital Forensics for Legal Professionals:
Understanding Digital Evidence. Elsevier Inc. 2011.
EUROPEAN UNION COMMITTEE. House of Lords - European Union Committee:
The EU Internal Strategy. 17th Report of Session 2010-12.
FREITAS, ANDREY RODRIGUES DE. Perícia Forense Aplicada à Informática:
Ambiente Microsoft. Brasport. 2006
GLOBO. Reportagem extraída de http://g1.globo.com/politica/noticia/2010/06/nemfbi-consegue-decifrar-arquivos-de-daniel-dantas-diz-jornal.html. 2010.
GONDIM, JOÃO JOSÉ COSTA. Tratamento de Incidentes de Segurança.
Desenvolvido em atendimento ao plano de trabalho do Programa de Formação
de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de
Segurança da Informação e Comunicações – CEGSIC 2009-2011. 2010.
GULIVER, ÁLVARO. Gestão em Segurança da Informação, disponível em
http://gesinf.blogspot.com/2010/09/o-ciclo-da-pericia-computacional.html. 2010.
101
KOUSSIAFES, PERRY MICHAEL. Public Forensic Laboratory Budget Issues.
Publicado em The Forensic Science Communications. July 2004.
IACIS – THE INTERNATIONAL ASSOCIATION OF COMPUTER INVESTIGATIVE
SPECIALISTS. Sítio web da associação, disponível em http://www.iacis.com.
2011.
IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE.
Guidelines for Best Practice in the Forensic Examination of Digital Technology.
2002.
IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE.
Training, and Knowledge, Skills and Abilities. 2002.
IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE.
Laboratory Management. 2002.
IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Sítio
web da organização, disponível em http://www.ioce.org/. 2011
JONES, ANDREW; VALLI, CRAIG. Building a Digital Forensic Laboratory:
Establishing and mantaining a Succesfull facility. Elsevier Inc. 2008
KNAPP, ERIC D. Industrial Network Security: Securing Critical Infrastructure
Networks for Smart Grid, SCADA, and Other Industrial Control Systems.
Elsevier Inc. 2011.
LOCKYER, BILL. California Task Force on Forensic Services Force Report. 2003.
MCGUINESS ,TODD. Defense In Depth , version 1.2E. SANS Institute. 2001.
MOHAI, GEORGE; ANDERSON, ALISON; COLLIE, BYRON; DE VEL, OLIVIER;
MCKEMMISH, RODNEY. Computer and Intrusion Forensics. Artech House Inc.
2003.
NETO, JOÃO ARAÚJO MONTEIRO; DA SILVA, FRANCISCA JORDÂNIA FREITAS.
Os Crimes Eletrônicos No Ordenamento Jurídico Brasileiro. Publicado nos
Anais do XVIII Congresso Nacional do CONPEDI. 2009.
NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Computer
Security Incident Handling: Recommendations of the National Institute of
Standards and Technology. 2008.
RECORD. Correio do Povo. Reportagem “Dia do Soldado é centrado na proteção da
Amazônia”. 26 de agosto de 2010.
RIOS, MARIA JOSÉ; DE MAGALHÃES, SÉRGIO TENREIRO; SANTOS LEONEL;
102
JAHANKHANI, HAMID. The Georgia's Ciberwar. Global Security, Safety, and
Sustainability: 5th International Conference, ICGS3 2009, London, UK,
September 1-2, 2009.
SOLOMON, MICHAEL G.; K, Rudolph; Tittel, Ed; Broom, Neil; Barret, Diane.
Computer forensics JumpStart. 2nd Ed. Wiley Publishing Inc. 2011.
STIENNON, RICHARD. Surviving cyberwar, Government Institutes. 2010.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Proficiency
Test Program Guidelines v1.1. 2006.
SWGDE
–
SCIENTIFIC
WORKING
GROUP
ON
DIGITAL
EVIDENCE.
Recommended Guidelines for Developing SOPs, v1.0. 2006.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Response to
the Preliminary Outline of Draft Forensic Reform Legislation. 2010.
SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Guidelines &
Recommendations for Training in Digital & Multimedia Evidence. 2010.
UNB – UNIVERSIDADE DE BRASÍLIA.
Site do Departamento de Engenharia
Elétrica, disponível em http://www.ene.unb.br. Consultado em 6 de dezembro
de 2011.
UNITED STATES. Department of Justice. Forensic Examination of Digital Evidence:
A Guide for Law Enforcement . 2004.
US-CERT. How the FBI investigates Computer Crime. 2004.
US-CERT. Computer Forensics. 2008.
VACCA, JOHN R. Computer forensics: computer crime scene investigation, Volume
1, 2nd Ed. Massachussets, EUA. 2005.
VECCHIO-FLAIM CHRISTINE. Developing a Computer Forensics Team. SANS
Institute. 2001.
YASINSAC, ALEC; ERBACHER, ROBERT F.; MARKS , DONALD G.; POLLITT ,
MARK M.; SOMMER , PETER M. Computer Forensics Education. Publicado
por the IEEE Computer Society . 2003.
Download