Perícia Digital, computação forense ou informática forense são exames realizados em prova digital. Prova digital nada mais é que um conjunto de informações armazenadas em uma sequência de bits e consignada em base física eletrônica (pendrive, disco rígido, nuvem). Entretanto, como é muito fácil alterá-la, é necessário identificar e analisar as provas no formato digital, sendo necessário conhecer mais sobre perícia digital. Neste artigo entenda de uma vez por todas tudo o que você precisa saber sobre Perícia Digital!
É comum os processos judiciais terem anexados aos autos provas no formato digital. Exemplos: cópias de mensagens trocada por aplicativos, fotografias, vídeos, áudios e mensagens de e-mail são as mais comuns que encontramos. Veremos abaixo a importância da perícia digital para a garantia da justiça.
Os dispositivos eletrônicos são partes inseparáveis do nosso cotidiano, vivemos numa sociedade completamente voltada à informação. Em razão desse hábito, cada vez mais as pessoas produzem provas no formato digital, muitas vezes sem perceber.
Por conta desta característica, as provas no formato digital são facilmente alteradas, podendo trazer prejuízos financeiros e de reputação. Por exemplo, vejamos a imagem abaixo, de uma capa de jornal alterada:
Outro exemplo a seguir:
Veja que através de software de edição de imagens, fotografias, vídeos e áudios podem ser facilmente editáveis. Isso precisa ser bem avaliado por um perito digital!
Por isso, a prova no formato digital, por ser formada por uma combinação de valores de 1 e 0, conhecidos como bits, traz alguns cuidados especiais e temos sempre que avaliar suas características.
As principais características são: fragilidade, facilidade de cópia, sensibilidade ao tempo de vida e sensibilidade ao tempo de uso.
Perícia digital e vulnerabilidade das provas digitais
Quanto à fragilidade, quando os dispositivos eletrônicos são fornecidos ao perito, estes não podem de maneira nenhuma sofrerem impactos mecânicos ou ser colocados em presença de água.
Dessa forma, é indicado que sejam transportadas em embalagens antiestáticas. A falta de atenção com a fragilidade da prova poderia ocasionar uma adulteração não intencional da evidência coletada.
No que tange à facilidade de cópia, os dispositivos computacionais, como já falamos, trabalham com dados digitais binários, ou seja, as informações são representadas apenas por zeros e uns em uma estrutura conhecida como bits.
Logo, é perfeitamente possível que seja realizada a cópia de um dispositivo para outro, devendo o perito realizar a análise nas cópias, preservando o material original. Uma outra característica é a sensibilidade ao tempo.
Os dispositivos eletrônicos são perecíveis ao tempo. Dessa forma, perícia digital devem ser realizadas o mais rápido possível para que os dados não sejam perdidos. Ademais, existe também uma sensibilidade quanto ao tempo de uso.
Quanto maior o tempo de uso as chances de recuperação das provas digitais diminuem, à medida que o tempo passa.
Para garantir que as provas digitais estejam livres de adulterações, é necessário que sejam utilizados conhecimentos técnicos e metodologias avançadas. Atualmente, a obtenção das provas digitais tornou-se cada vez mais complexa, uma vez que a evolução da tecnologia tem aperfeiçoado os recursos de proteção e anti-forense.
Portanto, fica bem claro para o leitor que todo cuidado é exigido para manusear provas no formato digital, muitas vezes sendo necessário a contratação de um perito digital.
Perícia Digital e a exigência da Cadeia de Custódia
A cadeia de custódia garante que a prova digital esteja íntegra, autêntica e disponível, ou seja, não sofra adulterações capazes de trazer prejuízos financeiros ou de reputação.
A legislação brasileira define, através do Pacote Anticrime em seu artigo 158-A, que a cadeia de custódia É o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte.
A lei é norteada por normas internacionais. A norma técnica ABNT/ISO 27037 trata especificamente de “identificação, coleta, aquisição e preservação de evidência digital”.
A ABNT, apesar de ser uma entidade independente, é o órgão brasileiro de normatização técnica que é reconhecido pelo Governo Federal e pelos organismos internacionais do setor de normas.
Portanto, as normas técnicas determinam o procedimento correto para coleta, preservação e custódia da prova digital oriunda de nuvem e demais dispositivos de armazenamentos.
Pode-se afirmar que a cadeia de custódia corresponde à atividade probatória secundária, ou seja, a “prova sobre a coleta da prova”, ou, mais sinteticamente, “a prova da prova”. Ou, ainda, “uma prova de segundo grau ou meta prova”.
Principais provas analisadas pelo perito digital
Primeiro, vamos conhecer alguns típicos casos de provas digitais que habitualmente são apresentadas em processos judiciais e você nem sabia que elas existiam (ou sabia mas nunca se deu conta):
- Documentos de texto, planilhas ou bases de dados;
- Arquivos em formato “.txt”, criados com editores de texto padrão do Windows, ou capturados a partir de algum outro software, eventualmente organizados em algum formato. O WhatsApp, por exemplo, exporta todas as conversas trocadas entre pessoas neste formato;
- O conhecido “print” contendo imagens, telas de websites, telas de softwares, mensagens ou postagens em redes sociais;
- Documentos escaneados (recibos, contratos, contas, cheques, etc.), manuscritos total ou parcialmente, contendo assinaturas, carimbos, etc.;
- Arquivos em formato PDF representando a impressão de todos os documentos acima descritos ou outros, por exemplo: e-mails, extratos bancários (impressos a partir de internet banking), etc.
- Arquivos de áudio, como músicas e gravações ou conversas de whatsapp;
- Arquivos de vídeo gravados ou recebidos através de aplicativos ou redes sociais;
- Imagens em qualquer formato, sejam fotografias, desenhos, esquemáticos produzidos por softwares, etc.;
- Mensagens eletrônicas, como e-mail, torpedos de celular (SMS) etc;
- O conteúdo de conversas telefônicas, gravadas pela operadora mediante ordem judicial, gravadas por gravador externo, gravados por aplicativos espião ou gravadas pelo próprio interlocutor através de aplicativos;
- Postagens nas redes sociais;
- Banco de dados;
- relatórios emitidos pela quebra de sigilo telemático ou telefônico;
- cabeçalhos de e-mails recebidos ou enviados.
Como já falamos ali em cima, é normal que os processos judiciais terem provas digitais.
Exemplos: cópias de mensagens trocada por aplicativos, fotografias, vídeos, áudios, mensagens de e-mail que foram salvas em PDF, prints de conversas em redes sociais ou aplicativos de mensagens e contratos assinados eletronicamente são as mais comuns que encontramos.
O perito digital avalia se as provas são admissíveis?
Antes de mais nada, é necessário entender o que falamos sobre prova digital aceitável. Boa, neste caso, é a prova digital que garante principalmente a cadeia de custódia, o amplo direito de defesa e o contraditório. Aqui entramos novamente no título desse artigo provas digitais o que são e como identificar?
Os termos amplo direito de defesa e contraditório, nas palavras de alguns dos mais importantes escritores brasileiros devem ser compreendidos como:
“O princípio da ampla defesa está positivado no Art. 5º, LV da Constituição Federal (CF), cujo texto legal prevê que “aos litigantes, em processo judicial ou administrativo, e aos acusados em geral, são assegurados o contraditório e ampla defesa, com os meios e recursos a ela inerentes. Conceitualmente, o contraditório seria a comunicação, às partes do processo, acerca de cada ato processual realizado, e a possibilidade de que haja manifestação e confrontação de ideias sempre que houver interesse destas para tanto.
Tal conceito abarca os dois elementos que compõe o contraditório: o direito à informação – caracterizado pela ciência, das partes, dos atos processuais praticados – e o direito à participação – caracterizado pela possibilidade de as partes se manifestarem ou impugnarem os atos dos quais elas tomaram conhecimento.”
Fonte: Trilhante.com.br
Deve ficar claro que uma prova digital admissível possui três pilares: autenticidade, integridade e disponibilidade.
- Autenticidade: prova autêntica é aquela que podemos garantir que ela veio de origem específica;
- Integridade: prova íntegra é aquela que não sofreu modificações do seu conteúdo original; e
- Disponibilidade: prova disponível é aquela que pode ser sempre reexaminada.
Para melhorar nosso entendimento, uma boa prova digital nada mais é que uma prova tem valor legal, onde admissibilidade da prova digital foi devidamente atestada por um perito forense digital.
Como já dito, as provas digitais podem ser facilmente manipuladas sem deixar vestígio ou simplesmente deixar de existir em um curto espaço de tempo, impedindo sua coleta ou degradando o fato original, pois muitas vezes, ultrapassam o conhecimento técnico de quem a manipula. Sem exame, essas provas não podem ter seus devidos efeitos.
Como o perito digital examina as provas?
No momento em que uma pericia é determinada, todo o cuidado deve ser tomado, pois além de quesitos bem elaborados, a leitura e conhecimento dos termos técnicos do laudo pericial são vitais para o sucesso.
O fato é que o conhecimento técnico e científico para manipular provas digitais é raríssimo. É que um perito digital precisa ter uma formação em engenharia ou ciências e ainda precisa debruçar sobre livros, fóruns e acompanhar o nascimento de novas tecnologias e aplicações que acontece a todo instante. Por isso, quando o assunto é prova digital, o correto é contratar um perito digital.
Não basta apenas conhecer de maneira leiga, a experiência na aplicação dessas tecnologias é essencial.
Por tudo que já vimos, a perícia digital examina primeiro se a prova é admissível seguindo os princípios abaixo:
Autenticidade, Integridade e Disponibilidade.
Esses três pilares dão a prova digital o certificado de prova tem valor legal, podendo ser utilizada em quaisquer processos judiciais. Para melhorar nosso conhecimento, vamos entender melhor os termos Autenticidade, Integridade e Disponibilidade na ordem mais didática possível:
Princípio da Disponibilidade na perícia digital:
O princípio da disponibilidade, conforme determinado pela ABNT/ISO 27032, determina que a prova sempre estará disponível, de maneira a garantir o contraditório. O contraditório em provas digitais é dar a possibilidade de que o artefato digital seja reexaminado por outros peritos digitais, avaliando se a prova tem valor legal.
O termo valor legal ou admissível, segundo os legisladores brasileiros, em projeto de lei apresentado à Câmara dos Deputados:
“A admissibilidade da prova nato-digital (gerada originalmente em meio eletrônico) ou prova digitalizada na investigação ou no processo judicial fica condicionada, segundo o projeto, à disponibilidade dos metadados e da descrição dos procedimentos para a verificação da autenticidade e da integridade da prova.”
Veja a Fonte aqui!.
Portanto, a admissibilidade da prova digital é garantida através de procedimentos técnicos capazes de avaliar sua autenticidade e sua integridade.
Princípio da Integridade:
“O princípio de integridade refere-se a manutenção das condições iniciais das informações de acordo com a forma que foram produzidas e armazenadas. Ou seja, a informação mantém sua origem e ela não pode ser alterada.”
Este princípio determina as normas para a identificação, coleta, aquisição e preservação de evidências forenses digitais através da ABNT/ISO 27037. Esta norma está focada na manutenção da integridade destas evidências. Sem dúvidas, uma das normas mais relevantes para o perito forense digital.
Essa norma da ISO fala sobre a manutenção das condições iniciais das provas digitais. Mas isso precisa ficar mais claro.
Primeiro, é que para a garantia da integridade, é necessário determinar toda a cadeia de custódia da prova.
Ou seja, é preciso garantir que a integridade dos dispositivos digitais e das provas digitais pode ser determinada por meio da cadeia de custódia, através de procedimentos pelos quais os investigadores preservam o local e as provas do crime ou incidente cibernético.
A documentação meticulosa em cada estágio da perícia forense digital é essencial para garantir que as provas sejam admissíveis em juízo.
Perícia digital: Organismos internacionais ressaltam sua importância no mundo atual
A ONU, Organização das Nações Unidas, através de cursos em suas plataformas digitais ensinam sobre como devemos proceder para garantir a manutenção da integridade das provas digitais.
“A prova digital deve ser obtida sem comprometer a integridade dos dados. Isso foi destacado pelo Conselho Nacional de Chefes de Polícia do Reino Unido (NPCC), anteriormente conhecido como Associação de Chefes de Polícia do Reino Unido, como um importante princípio da prática forense digital (Princípio 1: “Nenhuma ação tomada pela Polícia, seus empregados ou seus agentes deve alterar dados que possam ser posteriormente utilizados em juízo”) (Associação dos Chefes de Polícia do Reino Unido, 2012, p. 6). A obtenção de dados sem alterá-los é realizada através da criação de uma cópia do conteúdo do dispositivo digital (um processo conhecido como geração de imagens) mediante um dispositivo (bloqueador de gravação ) projetado para impedir a alteração de dados durante o processo de cópia.
Para determinar se a duplicata é uma cópia exata do original, um valor de hash (ou valor resumo) é estipulado usando cálculos matemáticos; aqui, uma função criptográfica é usada para produzir um valor de hash. Se os valores de hash do original e da cópia corresponderem, o conteúdo da duplicata é exatamente o mesmo que o original. Compreendendo que existem certas “circunstâncias nas quais se considera necessário acessar dados originais [ou seja, durante aquisições dinâmicas]”, o Conselho Nacional de Chefes de Polícia do Reino Unido observa que a pessoa responsável pelo acesso “deve ser competente para fazê-lo e ser capaz de explicar e comprovar a relevância e as implicações de suas ações”
fonte: unodoc.org
Exemplo de prova sem a Cadeia de Custódia:
Vamos a um exemplo:
Suponhamos que alguém junte provas digitais sem a devida preocupação com a integridade ou com a cadeia de custódia. Imaginemos, num caso hipotético que seja a foto abaixo seja apresentada por uma associação de defesa dos animais contra um morador de uma determinada cidade, acusando-o de abandonar quatro gatos:
Entretanto, o advogado desse morador diz que a foto foi montada, e que na verdade são apenas dois gatos, juntando a imagem abaixo:
Veja que, apenas olhando para as fotos acima, o que chamamos de inspeção visual, seria impossível determinar a prova autêntica, sendo necessária recorrer a cadeia de custódia e os resumos criptográficos para avaliar quais seriam exatamente o número de gatos abandonados.
Portanto, dada a fragilidade da prova digital, torna-se necessária garantir a integridade e a disponibilidade da prova para avaliar, por fim, se essas realmente são autênticas.
Princípio da autenticidade:
Quanto ao princípio da autenticidade, utilizaremos os ensinamentos do professor e advogado criminalista Thiago Vieira, postados no site Medium :
“A autenticidade diz respeito à origem da evidência e a sua integridade: o material vem de onde ele se propõe? Ele é o que diz ser? Ele sofreu alguma alteração? A autenticidade, também chamado de “lei da mesmidade”, se traduz, nas palavras de Geraldo Prado no “princípio pelo qual se determina que “o mesmo” que se encontrou na cena [do crime] é o “mesmo” que se está utilizando para tomar a decisão judicial.
…
Cabe ainda destacar que o princípio da mesmidade contempla a integridade da evidência. mas com esta não se confunde. A integridade diz respeito à imutabilidade da evidência e pode ser aferida através de comparações de resumos matemáticos[13]. Contudo, se não há comprovação da origem das amostras contrapostas, a integridade, por si só, não assegura a autenticidade da evidência.”
Veja que o autor informa que sem a comprovar a origem da prova digital, que é comum aos dias atuais, a garantia de autenticidade pelo apenas pela comparação de código hash não servem para determinar a autenticidade.
Se analisarmos este ensinamento e aquele proposto em projeto de lei no Congresso Nacional, onde o autor da proposta afirma que “… à disponibilidade dos metadados e da descrição dos procedimentos para a verificação da autenticidade e da integridade da prova” exigida, é que temos o trabalho do perito forense digital.
O que é um perito digital?
A perícia forense computacional, também conhecida como computação forense, informática forense ou forense digital, tem ganhado importância para as autoridades policiais e judiciárias, assim como para empresas e organizações.
É que o perito digital utiliza conhecimentos em informática aliados a técnicas de investigação a fim de obter evidências sobre a ocorrência de incidentes de segurança em sistemas computacionais.
A forense computacional propõe métodos científicos para identificar, coletar, preservar, analisar e documentar evidências digitais em dispositivos eletrônicos, conforme já falamos anteriormente.
O objetivo primário do perito digital é determinar a dinâmica, a forma e os autores de atividades ilícitas ligados à área de informática através da identificação e a análise de evidências digitais.
A perícia digital pode ser definida como coletar, preservar e analisar dados de um computador, de um sistema de informática, de uma rede de comunicação ou de dispositivos móveis, de armazenamento e eletrônicos em geral, de forma que tenha validade legal.
O que temos de maneira sucinta é que o perito forense digital fará, a fim de verificar a autenticidade e a integridade das provas devidamente disponibilizadas, a execução de procedimentos determinados pelas normas e leis brasileiras, para aferir através de metadados e outros elementos das provas digitais.
Quanto ao termo metadados:
“Metadados, ou Metainformação, são dados sobre outros dados. Um item de um metadado pode dizer do que se trata aquele dado, geralmente uma informação inteligível por um computador. Os metadados facilitam o entendimento dos relacionamentos e a utilidade das informações dos dados.”
Os metadados são utilizados principalmente pelos programas e softwares para entender como proceder com aquele artefato eletrônico.
Exemplos de metadados importantes nas provas digitais:
Um metadado importante é a extensão do arquivo, informando ao sistema operacional qual software irá interpretá-lo da maneira mais eficiente.
Outro metadado é qual a resolução da câmera que foi utilizada para a produção fotográfica.
Também, um metadado muito utilizado para fins forenses diz sobre a geo-localização da imagem ou do vídeo.
Ainda, a data de criação do arquivo, a data de modificação ou a data da recepção do arquivo naquele dispositivo são pontos cruciais a serem analisados.
Por exemplo, alguns softwares executáveis por linha de comando guardam nos metadados quais foram os comandos utilizados para a geração daquele arquivo. Neste caso, podemos atestar, somente avaliando os metadados, se o áudio foi gerado mediante gravação telefônica ou gerado através de um software para prejudicar alguém.
Também avaliar se o áudio foi gerado por determinado aplicativo, em qual data e através de qual taxa de amostragem. Ou seja a análise de metadados é uma das formas de como como identificar as provas digitais.
Além da análise de metadados, existem inúmeros outros tipos de métodos de análise ou exame pericial capazes de atestar a autenticidade e integridade em provas digitais.
Bom vamos ficando por aqui, a partir de agora vamos escrever uma série de outros artigos que demonstrarão vários métodos, um para cada tipo de formato de arquivo, sempre avaliando se as provas digitais são íntegras e autênticas, e também capazes de determinar a autoria e a veracidade dos fatos alegados.
Até o próximo post,
Eduardo Henrique Alves Amorim, Perito Digital.
