Perito Criminal - Perícias Tecnológicas

Referem-se a qualquer prática criminal que envolva um computador ou uma rede de computadores.

São práticas criminais que envolve facções tecnológicas.

São vestígios tecnológicos.

Ataque Hackers de invasão em grupos.

Crimes cibernéticos abertos ou crimes exclusivamente cibernéticos.

Crimes cibernéticos fechados ou crimes de indução cibernéticos.

Crimes cibernéticos orientados ou crimes conclusivos cibernéticos.

Crimes cibernéticos indexados ou crimes cibernéticos desanexados.

São aqueles em que o computador não é imprescindível, sendo apenas um meio, ou seja, os crimes poderiam ser praticados da forma “tradicional”, sem o auxílio de recursos computacionais.

Os crimes só podem ser praticados com a utilização de computadores ou recursos tecnológicos.

Os crimes são praticados em locais com infraestrutura de computadores frágil e comprometida.

São aqueles em que o alvo é empresas de grande porte cujo os sites e os sistemas apresentam vulnerabilidades.

Os crimes só podem ser praticados com a utilização de computadores ou recursos tecnológicos.

São aqueles em que utilizam apenas a engenharia social.

São aqueles em que os crimes são praticados por funcionários insatisfeitos com a atual posição dentro da empresa.

São aqueles em que o computador não é imprescindível, sendo apenas um meio, ou seja, os crimes poderiam ser praticados da forma “tradicional”, sem o auxílio de recursos computacionais.

Crimes contra a honra, Ameaça, Pornografia infantil, Estelionato e furto mediante fraude.

Interpretação telemática ilegal, Pornografia infantil por meio de sistema de informática, Corrupção de menores em salas de bate papo e Crimes contra a urna eletrônica.

Crimes de trânsito, local de crime, roubo de obras de arte e contrabando.

Crimes de notas falsas, máquinas de caça níqueis e roubo de animais.

Crimes de trânsito, local de crime, roubo de obras de arte e contrabando.

Crimes de notas falsas, máquinas de caça níqueis e roubo de animais.

Invasão de computador mediante violação de mecanismo de segurança com o fim de obter, adulterar ou excluir dados e informações sem autorização
expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita.

Racismo, Apologia ao crime, Falsa identidade, Concorrência desleal e Tráfico de drogas.

Invasão de computador mediante violação de mecanismo de segurança com o fim de obter, adulterar ou excluir dados e informações sem autorização
expressa ou tácita do titular do dispositivo ou instalar
vulnerabilidades para obter vantagem ilícita.

Racismo, Apologia ao crime, Falsa identidade, Concorrência desleal e Tráfico de drogas.

Crimes contra a honra, Ameaça, Pornografia infantil, Estelionato e furto mediante fraude.

Crimes de notas falsas, máquinas de caça níqueis e roubo de animais.

Interpretação telemática ilegal, Pornografia infantil por meio de sistema de informática, Corrupção de menores em salas de bate papo e Crimes contra a urna eletrônica.

Racismo, Apologia ao crime, Falsa identidade, Concorrência desleal e Tráfico de drogas.

Crimes de notas falsas, máquinas de caça níqueis e roubo de animais.

Adulteração de documentos e Agiotagem.

Perícia Digital

Perícia Criminal

Perícia Forense

Perícia Cibernética

Suspeito, vítima e cena do crime.

Local de crime, vítima e ataque hacker.

Suspeito, infrator e local de crime.

Evidência, teoria e conspiração.

Voláteis

Não voláteis

Exatas

Não exatas

Não voláteis

Voláteis

Não exatos

Exatos

Identificação, Coleta, Exame, Análise e Resultados.

Aperfeiçoamento, diagramação, coleta, exame e finalização.

Identificação, mensuração, exame, confronto e resultados.

Coleta, exame, teste, embasamento teórico e fechamento do laudo.

Identificação

Coleta

Exame

Resultados

Identificação

Coleta

Exame

Resultados

Identificação

Coleta

Exame

Resultados

Coleta

Exame

Análise

Resultados

Identificação

Coleta

Exame

Resultados

Busca e apreensão

Cadeia de custódia

Local de crime

Invasão de privacidade

Preâmbulo, Histórico, Objetivo, Material, Exame, Considerações Técnico Periciais, Conclusão/Resposta aos Quesitos e Anexos.

Preâmbulo, Objetivo, Histórico, Material, Exame, Conclusão/Resposta aos Quesitos, Considerações Técnico Periciais e Anexos.

Cabeçalho, Histórico, Objetivo, Material, Exame, Considerações Técnico Periciais, Conclusão/Resposta aos Quesitos e Anexos.

Cabeçalho, Histórico, Objetivo, Exame, Material, Considerações Técnico Periciais, Conclusão/Resposta aos Quesitos e Desfecho.

Não Atentar-se ao fato de que os equipamentos podem conter vestígios físicos que podem ser de interesse ou exigir cuidados de manipulação, tais como impressões digitais, resíduos orgânicos (cabelo, pele, sangue, etc.) ou outros materiais contaminantes.

Não Conferir os itens constantes do expediente e analisar a viabilidade do exame requisitado.
Havendo inconsistência ou inviabilidade, não adotar os procedimentos definidos pelas normas locais.

Estando a mídia de armazenamento computacional instalada em um equipamento não Removê-la.

Estando a mídia de armazenamento computacional instalada em um equipamento:
Removê-la, quando viável; Checar data e horário configurados no BIOS do equipamento e Identificar e individualizar todo o material.

O exame deve ser efetuado sobre a cópia. Somente em caso de inviabilidade de realização de cópia deve o exame ser realizado diretamente na mídia original.

Não Recomenda-se o tipo de duplicação de dados “mídia para arquivo-imagem”, em oposição ao tipo “mídia para mídia”, devido à maior flexibilidade para se analisar diversas mídias simultaneamente e à maior facilidade para se manter a integridade dos dados.

Mesmo as mídias que permitam um exame direto com baixo risco de alteração dos dados, como disquetes, mídias óticas e fitas magnéticas, NÃO devem ter seus dados duplicados, visando a minimizar os riscos de danos materiais causados pela manipulação.

A duplicação pode ser feita de duas formas: por meio de equipamento forense específico para esse fim ou utilizando-se um microcomputador. Neste último caso, é ACEITÁVEL que ocorra qualquer alteração nos dados da mídia original, NÃO é necessário utilizar bloqueadores de escrita por hardware ou software.

NÃO recomenda-se, para este fim, a utilização de mídia não regravável, como CDs ou DVDs, com todas as seções fechadas.

A integridade dos dados contidos na mídia anexa deve ser garantida por meio de utilização de uma “função de hash” (SHA-512). Permite-se, dessa forma, a checagem futura de possíveis alterações dos dados gravados.

A mídia anexa NÃO deve conter um arquivo contendo os hashes de todos os arquivos existentes na mídia. Por sua vez, NÃO tem necessidade do hash desse arquivo ser impresso no corpo do laudo.

Se recomenda a gravação de programas de “cálculo de hash” na mídia anexa gerada, exceto quando objeto dos exames.

A evidência digital deve ser examinada apenas por peritos criminais com treinamento específico para esse propósito.

A evidência digital deve ser examinada por peritos criminais e auxiliares de perícia NÃO sendo necessário treinamento específico para esse propósito.

Não há necessidade de atentar-se para a possibilidade de que mídias não reconhecidas pelos equipamentos de duplicação estejam protegidas por senha de disco.

Não há necessidade de observar a ordem de inicialização no BIOS quando a mídia não puder ser removida do equipamento (mídias soldadas na placa-mãe de notebooks). Nesses casos, a duplicação deve
ser feita utilizando-se o próprio equipamento, através de suas interfaces externas (USB), e a inicialização por meio de um live CD ou equivalente (e não por meio do sistema operacional da mídia original).

Deve-se evitar a inicialização do equipamento estando a mídia original nele instalada.

Não há necessidade de atentar-se para a possibilidade de que dados ininteligíveis podem significar a utilização
de criptografia ou, no caso de existência de mais de um disco no equipamento, o uso de algum tipo de arranjo de discos (RAID, JBOD).

NÃO Observar a ordem de inicialização no BIOS quando a mídia não puder ser removida do equipamento (mídias soldadas na placa-mãe de notebooks). Nesses casos, a duplicação deve ser feita utilizando-se o próprio equipamento, através de suas interfaces externas (USB), e a inicialização por meio de um live CD ou equivalente (e não por meio do sistema operacional
da mídia original).

Não Atentar-se para a possibilidade de que mídias não reconhecidas pelos equipamentos de duplicação estejam protegidas por senha de disco.

Cuidar para que, no processo de duplicação dos dados, os dados da mídia original sejam copiados para a mídia de trabalho, e não o contrário.

NÃO Atentar-se para a possibilidade de que mídias não reconhecidas pelos equipamentos de duplicação estejam protegidas por senha de disco.

Não há necessidade de atentar-se para a possibilidade de que dados ininteligíveis podem significar a utilização
de criptografia ou, no caso de existência de mais de um disco no equipamento, o uso de algum tipo de arranjo de discos (RAID, JBOD).

NÃO deve-se evitar a inicialização do equipamento estando a mídia original nele instalada.

NÃO Atentar para o fato de que os equipamentos podem conter vestígios físicos que podem ser de interesse ou exigir cuidados de manipulação, tais como impressões digitais, resíduos orgânicos (cabelo, pele, sangue, etc.), ou outros materiais contaminantes.

NÃO Conferir os itens constantes do expediente e analisar a viabilidade do exame requisitado.
Havendo inconsistência ou inviabilidade, adotar os procedimentos definidos pelas normas locais.

Preferencialmente remover o cartão SIM, caso esteja presente no equipamento.

NÃO Verificar se a bateria está carregada.

Deve-se iniciar a extração com a retirada do cartão SIM. Quando possível, realizar a sua clonagem com alguma ferramenta que, no processo, desabilite as funções de comunicação com a rede de telefonia, reinserindo a cópia do cartão SIM no equipamento portátil. Na
impossibilidade de tal ação, utilizar sala protegida contra sinais de telefonia, equipamento
bloqueador de sinais ou invólucro de bloqueio de sinais.

NÃO há necessidade de realizar o exame no cartão SIM original utilizando equipamento forense apropriado.

A conexão entre o equipamento computacional portátil e o equipamento forense de extração de dados pode ser feita apenas por transmissão sem fio.

A extração de dados pode ser realizada apenas de forma lógica, não há como realizar a física.

A extração de dados pode ser realizada de forma lógica ou física, dependendo do equipamento de extração forense utilizado e do modelo do equipamento computacional portátil em análise.

Caso o equipamento possua alguma mídia de armazenamento computacional removível nele inserida, o exame desta mídia NÃO deverá seguir o procedimento Operacional Padrão
específico.

Caso o equipamento computacional portátil esteja protegido por senha, e não sendo possível reavê-la diretamente com o proprietário ou com a autoridade requisitante, NÃO se deve tentar o desbloqueio pelo equipamento forense ou utilizando senha padrão do fabricante do equipamento.

Utilizando equipamento forense apropriado, verificar se o cartão SIM está protegido por senha (PIN/PUK). Caso positivo, e não sendo possível reavê-la diretamente com o proprietário ou com a autoridade requisitante, NÂO tentar o desbloqueio por meio do equipamento forense
ou utilizando a senha padrão da operadora.

A extração manual deve ser realizada somente como última alternativa e somente quando houver informações pertinentes ao motivo pericial, haja vista o risco de alteração acidental dos dados, a possibilidade de erro humano, o grande tempo despendido no processo e a impossibilidade de recuperação dos dados apagados.

Ligar o equipamento com alguma interface de comunicação habilitada (por exemplo: USB, IrDA, Bluetooth, WiFi e GSM/GPRS NÃO vai resultar em alteração dos dados contidos em sua memória.

A evidência digital deve ser examinada apenas por peritos criminais com treinamento específico para esse propósito. No caso de órgãos de perícia que tenham auxiliares de perícia, a manipulação de evidências por parte destes NÃO há necessidade de serem supervisionados por peritos criminais.

Alguns equipamentos computacionais portáteis não possuem, de forma alguma, modo de conexão padrão com outros equipamentos ou ferramentas forenses de extração de dados.
Neste caso, NÂO há necessidade de verificar se o equipamento tem a função de backup ou cópia de dados em cartão de memória ou cartão SIM. Excepcionalmente, caso o equipamento não tenha função de backup ou cópia de dados, pode-se fotografar o conteúdo, restringindo-se a informações
específicas e pertinentes ao motivo pericial.

NÃO informar-se previamente a respeito do tipo de delito investigado e das peculiaridades do local a ser examinado.

NÃO providenciar o isolamento do local para evitar que pessoas estranhas à equipe de perícia criminal tenham acesso físico aos equipamentos de informática presentes no local.

Realizar um levantamento do ambiente computacional, fotografando-o, se necessário. Tratando-se de empresa ou órgão público, recomenda-se solicitar o auxílio do responsável pela área de informática.

NÃO atentar-se que os equipamentos podem conter vestígios físicos que podem ser de interesse ou exigir cuidados de manipulação, tais como impressões digitais, resíduos orgânicos (cabelo, pele, sangue, etc.) ou outros materiais contaminantes.

O exame live é recomendado se a máquina suspeita estiver ligada e for de interesse pericial, por exemplo, o conteúdo da memória principal ou as listas dos processos em execução e dos arquivos sendo compartilhados, ou ainda se foram constatados:
Documentos abertos, Conversações online, Armazenamento remoto de dados e Criptografia de dados.

Havendo programas em execução, telas abertas ou compartilhamentos ativos, NÃO deve-se registrar imagens de telas e/ou operar o sistema para extração dos arquivos ou geração de relatórios.

O dump da memória principal não é uma técnica eficaz a ser realizado quando houver interesse em seus dados
voláteis, por exemplo, quando suspeitar-se de uso de criptografia.

Em computadores do tipo servidor, NÃO sugere-se requisitar o auxílio do responsável pela área de informática para a extração dos dados relevantes, não se deve evitar a apreensão desses equipamentos.