Forense Computacional: a ciência da investigação eletrônica - Por Luis Fernando Rocha

Ao mesmo tempo em que os serviços on-line facilitaram a vida do cidadão, as ameaças e os riscos também foram transferidos e adaptados do meio físico para o meio tecnológico. Diante deste novo cenário, foi criado o conceito de Forense Computacional. No documento Forense Computacional: Aspectos Legais e Padronização, elaborado por quatro especialistas do Instituto de Computação da Unicamp (Célio Cardoso, Flávio Oliveira, Marcelo Abdalla e Paulo Lício), este conceito é descrito como "a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional". Assim, o advento dos meios eletrônicos trouxe uma série de modificações para a profissão de perito criminal. "A grande mudança, na verdade, é a necessidade de conhecimentos profundos de Tecnologia da Informação, espírito de pesquisa, curiosidade investigativa, conhecimento dos seres humanos e atualização constante de novas tecnologias (hardware e software)", diz Ricardo Theil, perito digital e diretor-presidente do IPDI (Instituto de Peritos em Tecnologias Digitais e Telecomunicações). Segundo Claudemir Santos, perito criminal e professor de Processamento de Dados da Academia de Polícia Civil do Estado de São Paulo, essas modificações incluem também a facilidade da divulgação de técnicas criminosas. "Criou-se mais um meio para preocupar a Justiça com questões como pedofilia, fraudes no sistema financeiro, e até tráfico de drogas. Contudo, engana-se quem acha que não estamos prontos para o contra-ataque", alerta. Campos de atuação Primeiro é preciso entender em que áreas dos processos - cível e penal - um perito estará apto a atuar. Em ações penais, o Código Penal exige que o perito criminal seja um servidor público concursado, salvo exceções. "Antes de começar a atuar, o profissional passará por um curso de formação na Academia de Polícia", revela Claudemir Santos. Há também casos poucos freqüentes, em que uma região não conta com peritos oficiais habilitados para realização de uma perícia criminal. Assim, a legislação permite que as autoridades envolvidas no processo recorram à figura de um perito ad hoc. Já nos casos de ações julgadas em âmbito cível, o Código Cível permite que o juiz indique um servidor do Estado ou um especialista de confiança, que tenha formação comprovada em determinada área técnica. A lei prevê ainda que as partes envolvidas no processo também poderão contratar assistentes técnicos para elaboração de perícias forenses. Nesses casos, o intuito é comprovar argumentos expostos durante o julgamento do caso ou ação. Habilidades e ferramentas necessárias Inicialmente, Ricardo Theil diz que é importante adquirir tanto conhecimentos teóricos como práticos na área de hardware e software. O especialista cita também outras características fundamentais. "É preciso ter espírito de pesquisa e dedicação. Conhecimentos jurídicos são sempre interessantes, porém não essenciais. Vale lembrar um preceito jurídico e constitucional: toda prova é aceita e válida, desde que obtida de forma lícita e/ou legal. Não podemos invadir sistemas e computadores para obter indícios, provas ou qualquer informação, pois sua validade jurídica será nula", ressalta. Tanto Claudemir quanto Ricardo são uníssonos em afirmar que antes do uso de quaisquer ferramentas (hardware e software), o perito realizará um melhor trabalho identificando o cenário a ser analisado. "Após esse entendimento, é possível planejar e executar as ações necessárias", explica Theil. "A perícia não faz espionagem, analisa provas. Desta forma, as melhores ferramentas consistem no conhecimento dos protocolos de comunicações em redes e do funcionamento dos sistemas operacionais", completa Claudemir Santos. No Instituto de Peritos em Tecnologias Digitais e Telecomunicações, diz Theil, os especialistas utilizam algumas ferramentas, como dumpers, debugers, analisadores de HD, drive lock, analisadores de pacotes, ferramentas de clonagem, microscópio eletrônico, sistema operacional preparado para propósito Forense, analisadores de log, scanner etc. "O Encase, por exemplo, é uma ferramenta usada no Núcleo de Informática em São Paulo que vem dando bons resultados", acrescenta Claudemir. Aspectos legais no levantamento de evidências Em termos jurídicos, o advogado Renato Opice Blum recomenda que o trabalho de perícia siga três conceitos principais: autenticidade, integridade e licitude da evidência. "A preservação é fundamental. Se feita de forma adequada, restringe a impugnação. Em alguns casos, recomenda-se prova pericial judicial, rápida, de forma liminar e sob o crivo do Judiciário, o que dará mais substância e segurança. Tudo com acompanhamento do perito contratado, chamado de Assistente Técnico, na forma legal. Normalmente os Magistrados concedem a medida em horas, o que possibilita a verificação quase que em tempo real", explica. Há de se ressaltar que o Brasil ainda não conta com uma norma específica regendo essa ciência. Assim, os especialistas explicam que é fundamental que o perito entenda dois artigos descritos no Código de Processo Penal ("Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral"), evitando que as evidências coletadas sejam consideradas ilegais: - Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas"; e - Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a substração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". Definidos os preceitos legais envolvendo a profissão, Ricardo Theil enumera algumas das etapas técnicas mais importantes no levantamento de evidências. "O perito deverá preservar todos os dispositivos, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash para comprovação da integridade dos dados e, quando necessário, elaborar uma ata notarial", diz. Recomendações Segundo Ricardo Theil, a preservação dos logs de todo(s) o(s) equipamento(s) envolvidos na investigação é fundamental. "De preferência, sem desligar os mesmos e não utilizá-los, visto que o simples ato de ligar e desligar um computador gera gravação, subscrição e/ou modificação de dados, causando eventualmente a perda de dados importantes ou mesmo vitais para uma perfeita, rápida e fácil investigação", explica. Já Claudemir Santos diz que é importante que as empresas mantenham uma política de segurança fundamentada e documentada. "Não existe uma apuração sem provas, pois é preciso uma prática de segurança e não um papel fornecido às vésperas do boletim de ocorrência. É necessário mostrar a justiça que existe por parte da empresa uma política de segurança e por isso um delito foi detectado e não uma resposta a um incidente isolado. O que vemos em diversos incidentes no mundo são provas casuísticas (de última hora) que precisam ser avaliadas com cautela e normalmente não são bem vistas por um policial experiente", diz. Para finalizar, Theil cita a importância da adoção da certificação digital nessa área. "Ressaltamos que o mercado brasileiro já disponibiliza um meio que, em nosso entender, proporciona garantias como confidencialidade (criptografia), integridade e plena validade jurídica a todos os atos praticados neste novo mundo digital, que é a Assinatura e Certificado Digital", orienta.