i UNIVERSIDADE DE BRAS?LIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA EL?TRICA METODOLOGIA E ARQUITETURA PARA SISTEMATIZA??O DO PROCESSO INVESTIGAT?RIO DE AN?LISE DA INFORMA??O DIGITAL LEVI ROBERTO COSTA ORIENTADOR: H?LVIO PEREIRA PEIXOTO DISSERTA??O DE MESTRADO EM ENGENHARIA EL?TRICA ?REA DE CONCENTRA??O INFORM?TICA FORENSE E SEGURAN?A DA INFORMA??O PUBLICA??O: PPGENE.DM - 109/2012 BRAS?LIA / DF: FEVEREIRO/2012 ii UNIVERSIDADE DE BRAS?LIA FACULDADE DE TECNOLOGIA DEPARTAMENTO DE ENGENHARIA EL?TRICA METODOLOGIA E ARQUITETURA PARA SISTEMATIZA??O DO PROCESSO INVESTIGAT?RIO DE AN?LISE DA INFORMA??O DIGITAL LEVI ROBERTO COSTA DISSERTA??O DE MESTRADO PROFISSIONALIZANTE SUBMETIDA AO DEPARTAMENTO DE ENGENHARIA EL?TRICA DA FACULDADE DE TECNOLOGIA DA UNIVERSIDADE DE BRAS?LIA, COMO PARTE DOS REQUISITOS NECESS?RIOS PARA A OBTEN??O DO GRAU DE MESTRE. APROVADA POR: H?lvio Pereira Peixoto, Doutor, DITEC/DPF (Orientador) Fl?vio Elias Gomes de Deus, Doutor, ENE/UNB (Examinador Interno) Rodrigo Bonifacio de Almeida, Doutor, CIC/UNB (Examinador Externo) DATA: BRAS?LIA/DF, 14 DE FEVEREIRO DE 2012. iii FICHA CATALOGR?FICA COSTA, LEVI ROBERTO Metodologia e Arquitetura para Sistematiza??o do Processo Investigat?rio de An?lise da Informa??o Digital [Distrito Federal] 2012. xv, 102p., 297 mm (ENE/FT/UnB, Mestre, Engenharia El?trica, 2012). Disserta??o de Mestrado ? Universidade de Bras?lia, Faculdade de Tecnologia. Departamento de Engenharia El?trica. Palavras-chave: forense computacional; investiga??o digital; documentos eletr?nicos; automatiza??o. I. ENE/FT/UnB. II. T?tulo (S?rie) REFER?NCIA BIBLIOGR?FICA COSTA, L. R. (2012). Metodologia e Arquitetura para Sistematiza??o do Processo Investigat?rio de An?lise da Informa??o Digital. Disserta??o de Mestrado em Engenharia El?trica, Publica??o PPGENE.DM - 109/2012, Departamento de Engenharia El?trica, Universidade de Bras?lia, Bras?lia, DF, 102p. CESS?O DE DIREITOS NOME DO AUTOR: Levi Roberto Costa T?TULO DA DISSERTA??O: Metodologia e Arquitetura para Sistematiza??o do Processo Investigat?rio de An?lise da Informa??o Digital. GRAU: Mestre ANO: 2012 ? concedida ? Universidade de Bras?lia permiss?o para reproduzir c?pias desta Disserta??o de Mestrado e para emprestar ou vender tais c?pias somente para prop?sitos acad?micos e cient?ficos. Do mesmo modo, a Universidade de Bras?lia tem permiss?o para divulgar este documento em biblioteca virtual, em formato que permita o acesso via redes de comunica??o e a reprodu??o de c?pias, desde que protegida a integridade do conte?do dessas c?pias e proibido o acesso a partes isoladas desse conte?do. O autor reserva outros direitos de publica??o e nenhuma parte deste documento pode ser reproduzida sem a autoriza??o por escrito do autor. Levi Roberto Costa Av. Vice-Presidente Jos? Alencar, 1500, bloco 7, apto 1501, Barra da Tijuca, CEP 22775 033 ? Rio de Janeiro ? RJ ? Brasil iv ? minha esposa Suzana. Amor, n?o poderia descrever a mo??o que me toma ao registrar estas palavras. Sem a sua ajuda, eu n?o teria alcan?ado tal objetivo. A meus filhos L?via, Lucas e Luana. ?Pra frente. Juntos!?. Eram estas as palavras de incentivo proferidas por meu pai sempre que eu completava um est?gio acad?mico ou profissional. Ao dedicar este trabalho a voc?s, meus filhos, eu n?o encontro outra forma de demonstrar meu compromisso sen?o repetindo estas mesmas palavras: ?Pra frente. Juntos!?. A meus pais Dermeval e Leny e a meus irm?os Suerli, Jorge, Solange, Sonia, Selma e Ubiratan. Eu os amo profundamente. Todos os momentos que vivemos juntos s?o um privil?gio concedido por Deus. Amados pais, eu sigo o caminho da dignidade, da luta e da f? que sempre buscaram ensinar-me. Amados irm?os, juntos, a vida pode nos vergar, mas jamais romper? a resist?ncia que a uni?o familiar nos conferiu. v AGRADECIMENTOS A Deus. A meu grande amigo e orientador, Dr. H?lvio Pereira Peixoto, pelo constante apoio, incentivo, paci?ncia e dedica??o essenciais para o desenvolvimento deste trabalho. Sua sabedoria e ampla vis?o foram importantes motiva??es durante essa jornada. A meu mestre e irm?o, Jorge Roberto Costa, pelas primeiras tutelas e por todas as demais em todos os est?gios da minha vida profissional e pessoal. N?o h? como expressar toda a gratid?o e a admira??o que sinto. Aos Peritos Criminais Federais Luiz Eduardo Marinho Gusm?o, Georger Rommel Ferreira de Ara?jo, Osvaldo Dalben Junior e Daniel Pacheco Politano. Presentes da vida! Suas sugest?es foram importantes para este trabalho. Obrigado por tudo. Ao fiel amigo e companheiro insepar?vel, F?bio In?cio da Silva, Tenente-Coronel da Pol?cia Militar do Estado do Rio de Janeiro, por todo apoio, amizade e incentivo para o desenvolvimento deste trabalho. Aos colegas e professores do curso de Mestrado por tudo que passamos juntos. Aos Peritos Criminais Federais do grupo de peritos em inform?tica do Setor T?cnico- Cient?fico da Superintend?ncia de Pol?cia Federal nos Estado do Rio de Janeiro. Especialmente, ao PCF Jonathas da Silva Ferreira, Engenheiro da Computa??o e Bacharel em Direito, pelas in?meras li??es no campo do Direito e da Per?cia Criminal. Aos Delegados de Pol?cia Federal Welder Oliveira de Almeida e Lucimar Sobral Neto por acreditarem nesta proposta e por serem os primeiros a adot?-la em investiga??es policiais. Ao Perito Criminal Federal Marcos Aur?lio Silva de Oliveira, um pioneiro da ?an?lise remota de dados?, por todos os exemplos. Ao Perito Criminal Federal Nicolau Tolentino Bogoevich Neto, ?in memoriam?. Companheiro, voc? tinha raz?o! Eu deveria ter seguido os seus conselhos. Aos Peritos Criminais Federais Andr? Morum e Rog?rio Dourado, por acreditarem na proposta e defend?-la nos Setores T?cnico-Cient?ficos em que atuam. Aos Peritos Criminais Federais, Cl?nio Guimar?es Belluco e Jo?o Pinto Rosa, Diretor T?cnico-Cient?fico substituto e Diretor do Instituto Nacional de Criminal?stica substituto, respectivamente, pelo incentivo e apoio. Ao Superintendente de Pol?cia Federal no Estado do Par?, Manoel Fernando Abaddi, pelo incentivo e autoriza??o para minha participa??o no curso de Mestrado. vi Aos Peritos Criminais Federais Jos? Osmar Campos da Silva e Jorge Cley de Oliveira Rosa, ex-chefes em substitui??o do Setor T?cnico-Cient?fico da Superintend?ncia de Pol?cia Federal no Estado do Par?, pelas li??es no campo da criminal?stica e pela amizade. Aos Peritos Criminais Federais Patr?cia Maria Souza da Costa, Ricardo Hamid Saikali e Luis Carlos de Almeida Serpa, respectivamente, chefa do Setor T?cnico-Cient?fico da Superintend?ncia de Pol?cia Federal no Estado do Rio de Janeiro, chefe do N?cleo de Criminal?stica e chefe substituto do N?cleo de Criminal?stica, pelo apoio recebido desde que cheguei ao Estado do Rio de Janeiro. Ao Departamento de Pol?cia Federal, por interm?dio do Diretor T?cnico-Cient?fico, Paulo Roberto Fagundes, e ? Universidade de Bras?lia, por desenvolverem e apoiarem o projeto do Mestrado Profissional em Engenharia El?trica com ?nfase em Inform?tica Forense e Seguran?a da Informa??o, no ?mbito do qual esta pesquisa foi desenvolvida, e ao Minist?rio da Justi?a, por fornecer os recursos financeiros necess?rios ao curso de Mestrado, por meio do Programa Nacional de Seguran?a P?blica com Cidadania ? PRONASCI. Agrade?o, especialmente, ? minha amada esposa Suzana Brandt e a meus filhos L?via, Lucas e Luana. Foram muitos os dias que passamos distantes durante esse projeto e muitas horas que deixamos de aproveitar para que eu pudesse superar os desafios e concluir este trabalho. vii RESUMO METODOLOGIA E ARQUITETURA PARA SISTEMATIZA??O DO PROCESSO INVESTIGAT?RIO DE AN?LISE DA INFORMA??O DIGITAL Autor: Levi Roberto Costa Orientador: H?lvio Pereira Peixoto Programa de P?s-gradua??o em Engenharia El?trica Bras?lia, fevereiro de 2012 Esta pesquisa prop?e um instrumental que integra investigadores e peritos em torno da investiga??o digital, em conformidade com a segrega??o de pap?is, atribui??es e responsabilidades existentes na pol?cia judici?ria brasileira. Ela apresenta uma metodologia e uma arquitetura para um ferramental forense especializado, que por um lado observam a investiga??o digital como esp?cie do g?nero investiga??o policial, enquanto que, por outro, observam a investiga??o digital como esp?cie do g?nero pericia criminal. Integrando-as em um mesmo processo de busca da prova de um crime. Desta abordagem resulta, de forma isenta e harmoniosa, tanto a prova documental, quanto a prova pericial. Cada qual estabelecida segundo suas pr?prias regras, exig?ncias e particularidades. A solu??o proposta permite lidar de maneira ?gil com grandes volumes de dados e/ou dispositivos de armazenamento de dados computacionais, utilizando-se de uma infraestrutura de componentes computacionais aut?nomos e inteligentes, bases de dados, rede de comunica??o, hardwares e pessoas para prover efici?ncia na apura??o de delitos. Para avaliar suas potencialidades, o instrumental foi posto em pr?tica em investiga??es reais e de grande porte conduzidas pelo Departamento de Pol?cia Federal. Os resultados obtidos demonstraram redu??o no tempo m?dio de disponibiliza??o de dados digitais ao apurat?rio e permitiram que as an?lises investigat?rias permeassem a investiga??o policial criminal, possibilitando a explora??o profunda do material computacional apreendido. Embora os resultados alcan?ados possam ser considerados promissores, h? potencial para alcan?ar resultados ainda melhores. viii ABSTRACT METHODOLOGY AND ARCHITECTURE FOR SYSTEMATIZING THE INVESTIGATION OF DIGITAL INFORMATION Author: Levi Roberto Costa Supervisor: H?lvio Pereira Peixoto Programa de P?s-gradua??o em Engenharia El?trica Bras?lia, February of 2012 Taking into consideration the responsibilities and the necessary segregation of investigators and forensic experts duties in the Brazilian judicial system, this work proposes a novel methodology and architecture for the whole digital investigation process. The proposed solution integrates in a single process the digital investigation process and the forensic investigation process. The harmonic integration of the criminal and forensic investigations, respecting their rules and particularities, creates a unique context where the documental and forensic evidences can be found, selected and later presented at a court of law. Through a variety of simple, intelligent and autonomous computational components, connected through a network of computer and investigators/forensic experts, the proposed method and architecture can synergistically and effectively handle great volume of digital evidence retrieved from a variety of storage devices. As a proof of concept, the method and the corresponding architecture were implemented in a prototype and tested on large data sets of real criminal investigations at the Brazilian Federal Police. The early results demonstrate a significant reduction at the processing time required to make the digital evidence available for analysis, allowing criminal investigators early access to the evidence and most important, a thorough and deeper search on the seized materials. Although one could consider the prototype?s performance a significant improvement over traditional methods, the potential results could be much more significant with a more robust computational infrastructure. ix SUM?RIO 1. INTRODU??O ........................................................................................................... 1 1.1. PROBLEMA TRATADO ................................................................................... 2 1.2. HIP?TESE DE PESQUISA ................................................................................ 4 1.3. JUSTIFICATIVA E RELEV?NCIA ................................................................. 4 1.4. OBJETIVOS ........................................................................................................ 5 1.5. RESULTADOS ESPERADOS ........................................................................... 5 1.6. M?TODO DE TRABALHO ............................................................................... 6 1.7. ORGANIZA??O DA DISSERTA??O ............................................................ 7 2. REVIS?O DE CONCEITOS ..................................................................................... 8 2.1. PERSECU??O PENAL ..................................................................................... 8 2.2. PROVA NO DIREITO PENAL BRASILEIRO .............................................. 10 2.2.1. Busca e Apreens?o ..................................................................................... 12 2.2.2. Prova Documental ..................................................................................... 14 2.2.3. Prova Pericial ............................................................................................. 16 2.3. CRIME INFORM?TICO ................................................................................. 17 2.4. INVESTIGA??O POLICIAL CRIMINAL ................................................... 21 2.4.1. An?lise da Informa??o .............................................................................. 22 2.5. PER?CIA CRIMINAL ...................................................................................... 23 2.6. CONSIDERA??ES .......................................................................................... 24 3. TRABALHOS RELACIONADOS .......................................................................... 28 3.1. MODELOS DE PROCESSOS FORENSES .................................................... 28 3.1.1. Pollitt ? 1995 ............................................................................................... 28 3.1.2. Palmer ? 2001 ............................................................................................. 29 3.1.3. Reith, Carr e Gunsch ? 2002 .................................................................... 30 3.1.4. Carrier e Spafford ? 2003 ......................................................................... 31 3.1.5. Ciardhu?in ? 2004 ..................................................................................... 33 3.1.6. Beebe e Clark ? 2004 ................................................................................. 34 3.1.7. Kent, Chevalier, Grance e Dang ? 2006 .................................................. 36 3.1.8. Kohn, Eloff e Olivier ? 2006 ..................................................................... 36 3.1.9. Aspectos Relacionados ao Emprego dos Modelos .................................. 37 x 3.2. FERRAMENTAS FORENSES ........................................................................ 37 3.2.1. Aspectos Relacionados ao Emprego das Ferramentas ........................... 39 3.2.2. Uma Nova Gera??o de Ferramentas ........................................................ 39 3.3. CONSIDERA??ES .......................................................................................... 40 4. PROPOSTA DO TRABALHO ................................................................................ 42 4.1. METODOLOGIA PROPOSTA ....................................................................... 42 4.1.1. Vis?o Geral ................................................................................................. 44 4.1.2. Segmento Planejamento ............................................................................ 46 4.1.3. Segmento Apresenta??o de Dados ........................................................... 46 4.1.3.1. Fase de Extra??o de Dados ................................................................ 47 4.1.3.2. Fase de Descoberta de Dados ............................................................ 49 4.1.4. Segmento de Investiga??o ......................................................................... 51 4.1.4.1. Fase de An?lise e Cotejo .................................................................... 51 4.1.5. Segmento de Exames Periciais.................................................................. 56 4.1.5.1. Fase de Exame Especializado ............................................................ 56 4.1.6. Aspectos relacionados ? metodologia proposta ...................................... 58 4.2. ARQUITETURA PARA O INSTRUMENTAL ESPECIALIZADO ............ 59 4.2.1. O Componente Aquisitor de c?pias Forenses ......................................... 61 4.2.2. O Componente Concentrador .................................................................. 63 4.2.3. O Componente Aut?nomo Extrator de Documentos Eletr?nicos ......... 64 4.2.4. O Componente Aut?nomo Montador ...................................................... 64 4.2.5. O Componente de Gerenciamento de Investiga??es .............................. 65 4.2.6. O Componente de Minera??o de Dados .................................................. 66 4.2.7. O Componente Vinculador ....................................................................... 67 4.2.8. O Componente Reconhecedor .................................................................. 69 4.2.9. O Componente Reposit?rio de Arquivos ................................................. 69 4.2.10. O Componente Reposit?rio Central ........................................................ 70 4.2.11. O Componente de An?lise Investigat?ria da Informa??o ...................... 70 4.2.12. Aspectos Relacionados ? Arquitetura Proposta ..................................... 72 4.3. CONSIDERA??ES .......................................................................................... 74 5. PROVA DE CONCEITOS ....................................................................................... 75 5.1. PROT?TIPO ..................................................................................................... 75 5.1.1. Componentes Aut?nomos Aquisitor e Concentrador ............................ 75 5.1.2. Componente Aut?nomo Extrator ............................................................ 77 5.1.3. Componente Aut?nomo Montador .......................................................... 77 xi 5.1.4. Componente An?lise Investigat?ria da Informa??o ............................... 78 5.1.4.1. Buscas textuais .................................................................................... 78 5.1.3.2. Simulador de sistema de arquivos .................................................... 80 5.1.3.3. Analisador de figuras e fotografias digitais ............................................ 81 5.1.3.4. Demais Componentes ............................................................................... 82 5.2. TESTES EM CASOS REAIS ............................................................................ 82 5.2.1. Disponibiliza??o de dados ao apurat?rio ................................................ 83 5.2.1.1. Opera??es policiais conduzidas na Bahia ......................................... 85 5.2.1.2. Opera??es policiais conduzidas no Par? .......................................... 86 5.2.1.3. Efici?ncia Produtiva Alcan?ada ........................................................ 88 5.2.1.4. Consumo de Espa?o de Disco ............................................................ 89 5.2.1.5. Aspectos Relacionados ? Efici?ncia Alcan?ada ............................... 91 5.2.1.6. Expansibilidade e Versatilidade da Solu??o .................................... 92 5.2.2. An?lise investigat?ria da informa??o ...................................................... 94 5.3. CONSIDERA??ES .......................................................................................... 96 6. CONCLUS?ES .......................................................................................................... 97 6.1. PRINCIPAIS CONTRIBUI??ES ................................................................... 97 6.2. CONSIDERA??ES FINAIS ............................................................................ 98 6.3. TRABALHOS FUTUROS ................................................................................ 98 xii LISTA DE TABELAS Tabela 4.1 - Prepara??o ....................................................................................................... 48 Tabela 4.2 - Aquisi??o ......................................................................................................... 48 Tabela 4.3 - Extra??o ........................................................................................................... 49 Tabela 4.4 - Montagem do Reposit?rio ............................................................................... 49 Tabela 4.5 - Reconhecimento por padr?es .......................................................................... 50 Tabela 4.6 - Reconhecimento de v?nculos ........................................................................... 51 Tabela 4.7 - Reconhecimento de arquivos........................................................................... 51 Tabela 4.8 - Elaborar premissas .......................................................................................... 52 Tabela 4.9 - Elaborar hip?teses ........................................................................................... 53 Tabela 4.10 - Definir estrat?gia de buscas ........................................................................... 53 Tabela 4.11 - Obter Documentos ......................................................................................... 54 Tabela 4.12 - Reunir os documentos ................................................................................... 54 Tabela 4.13 - Analisar (hip?teses, premissas e documentos) .............................................. 55 Tabela 4.14 - Elaborar relat?rios ......................................................................................... 55 Tabela 4.15 - Coleta............................................................................................................. 57 Tabela 4.16 - Exame ............................................................................................................ 57 Tabela 4.17 - Formaliza??o ................................................................................................. 58 Tabela 5.1 - Estimativa linear da capacidade de processamento (2 aquisitores) ................. 76 Tabela 5.2 - Indicadores oficiais de complexidade (adaptado de DITEC/DPF, 2011). ...... 84 Tabela 5.3 - Comparativo de esfor?o para extra??o e disponibiliza??o de documentos (Bahia). ................................................................................................................................ 86 Tabela 5.4 - Comparativo de esfor?o para extra??o e disponibiliza??o de dados (Par?). ... 87 Tabela 5.5 ? Consumo de espa?o em disco ......................................................................... 89 xiii LISTA DE FIGURAS Figura 1.1 - Processo Original x Diferenciado ...................................................................... 2 Figura 2.1 - Processo de an?lise (adaptado de DPF, 2009). ................................................ 22 Figura 3.1 ? Modelo forense computacional (adaptado de Pollitt, 1995). .......................... 28 Figura 3.2 - Modelo forense computacional (adaptado de Palmer, 2001). ......................... 29 Figura 3.3 - Modelo forense computacional (adaptado de Reith, Carr e Gunsch, 2002). ... 30 Figura 3.4 - Modelo forense computacional (adaptado de Carrier e Spafford, 2003). ........ 31 Figura 3.5 - Modelo forense computacional (adaptado de Ciardhu?in, 2004). ................... 33 Figura 3.6 - Modelo forense computacional (adaptado de Beebe e Clark, 2004). .............. 35 Figura 3.7 ? Modelo Forense Computacional (adaptado de Kent, Chevalier, Grance e Dang, 2006). ........................................................................................................................ 36 Figura 3.8 ? Modelo Forense Computacional (adaptado de Kohn, Eloff e Olivier, 2006). 37 Figura 4.1 ? Modelo Proposto ............................................................................................. 46 Figura 4.2 ? Apresenta??o de dados ao apurat?rio .............................................................. 47 Figura 4.3 - Descoberta de Dados ....................................................................................... 50 Figura 4.4 - An?lise da informa??o ..................................................................................... 52 Figura 4.5 - Fase de exames especializados ........................................................................ 56 Figura 4.6 - Subfase de exame pericial em inform?tica ...................................................... 57 Figura 4.7 - Arquitetura Proposta ........................................................................................ 60 Figura 4.8 - Componente Aquisitor ..................................................................................... 62 Figura 4.9 - Componente Concentrador .............................................................................. 63 Figura 4.10 - Componente Extrator ..................................................................................... 64 Figura 4.11 - Componente Montador .................................................................................. 65 Figura 4.12 - Componente de Minera??o de Dados. ........................................................... 66 Figura 4.13 - Componente Vinculador ................................................................................ 68 Figura 4.14 - Componente Reconhecedor ........................................................................... 69 Figura 4.15 - Componente Reposit?rio de Arquivos ........................................................... 70 Figura 4.16 - Componente Reposit?rio Central................................................................... 70 Figura 4.17 - Componente de An?lise ................................................................................. 71 Figura 5.1 ? Dois Aquisitores (esquerda) e um Concentrador ............................................ 76 Figura 5.2 ? Extrator ............................................................................................................ 77 Figura 5.3 ? Montador ......................................................................................................... 77 Figura 5.4 - Buscas Textuais ............................................................................................... 79 xiv Figura 5.5 - Funcionalidade de An?lise ............................................................................... 80 Figura 5.6 - Simulador do Sistema de Arquivos ................................................................. 81 Figura 5.7 - Analisador de figuras e fotografias digitais ..................................................... 81 Figura 5.8- Esquema da configura??o posta em pr?tica para prova de conceitos. .............. 82 Figura 5.9 - Comparativo de esfor?o para disponibiliza??o de dados. ................................ 86 Figura 5.10 - Comparativo de esfor?o para disponibiliza??o de dados. .............................. 87 Figura 5.11 - Efici?ncia alcan?ada com o uso da solu??o proposta .................................... 88 Figura 5.12 - Lapso temporal transcorrido .......................................................................... 88 Figura 5.13 ? Propor??o de efici?ncia ................................................................................. 89 Figura 5.14 - Consumo de espa?o em disco ........................................................................ 90 Figura 5.15 - Estimativas de consumo de espa?o ................................................................ 91 Figura 5.16 ? Exemplifica??o de componentes em execu??o simult?nea. .......................... 92 Figura 5.17 ? Exemplo de configura??o que demonstra a expansibilidade e versatilidade da configura??o do ferramental. .......................................................................................... 93 xv LISTA DE S?MBOLOS, NOMENCLATURA E ABREVIA??ES ANP ? Academia Nacional de Pol?cia do Departamento de Pol?cia Federal. DPF ? Departamento de Pol?cia Federal. DITEC ? Diretoria T?cnico-Cient?fica do Departamento de Pol?cia Federal. INC ? Instituto Nacional de Criminal?stica da DITEC/DPF CD ? Compact Disk AsAP ? Ferramenta para automatiza??o da intera??o com o FTK. SARD ? Sistema de acesso remoto de dados. SEPINF ? Setor de Per?cias em Inform?tica do INC/DITEC/DPF . FTK ? Ferramenta comercial de Inform?tica Forense da AccessData. Sleuthkit ? Cole??o de ferramentas de Inform?tica Forense de c?digo aberto. Autopsy ? Interface gr?fica para o Sleuthkit. Foremost ? Ferramentas de Inform?tica Forense de c?digo aberto. Scapel ? Ferramentas de Inform?tica Forense de c?digo aberto. EnCase ? Ferramenta comercial de Inform?tica Forense da Guidance Software. AdLab ? Vers?o de laborat?rio do software FTK NAS ? Network-Attached Storage 1 1. INTRODU??O Adquirir conhecimento oriundo de documentos eletr?nicos1 ganhou grande import?ncia para a atividade policial no contexto da investiga??o criminal (ANP/DPF, 2008). Esta nova modalidade de documento vem substituindo gradualmente os documentos tradicionais2. Na Pol?cia Federal, por exemplo, a cada ano, mais de 6.000 discos r?gidos e computadores s?o apreendidos em investiga??es policiais. O volume de dados contidos nos materiais seria da ordem de 720 terabytes, correspondendo, aproximadamente, a 36 vezes o tamanho da maior biblioteca do mundo (INC/DITEC, 2010) (INC/DITEC, 2011) (INC/DITEC, 2012). Embora esse grande volume de dados possa conter in?meros documentos de vital import?ncia para resolu??o de delitos, os investigadores3 se deparam com obst?culos para livremente obt?-los4, reuni-los5 e analis?-los6 em um processo de an?lise da informa??o7 - tal como fariam no caso de uma caderneta de anota??es ou de um extrato banc?rio (ANP/DPF, 2008). A investiga??o digital ? realizada quase que exclusivamente por peritos criminais, enquanto que os investigadores ? amplos conhecedores de detalhes relevantes sobre alvos e fatos referentes ?s investiga??es ? acabam afastados de dados e informa??es que poderiam ser fundamentais ao apurat?rio. Tal situa??o criou ?bices ? produ??o da prova documental, contribuindo negativamente para elucida??o de um crime. 1 Documentos eletr?nicos s?o representa??es bin?rias apostas em meio digital, produzidas para expressar id?ias, conhecimento, etc. 2 Documentos tradicionais s?o representa??es da escrita, de imagens ou de sons apostos em base material, produzido para expressar id?ias, conhecimento, etc. 3 De forma geral, um grupo composto por diferentes cargos policiais. 4 Granje?-los por meio de diligenciais policiais, utilizando-se de procedimentos minuciosos de busca e identifica??o. 5 Concili?-los em rela??o a determinadas premissas e suposi??es realizadas pelos investigadores no intento de se chegar ? resolu??o de um crime. 6 Analis?-los com base no que se conhece ou que se deseja conhecer em rela??o ao crime investigado. 7 Obten??o, reuni?o e analise s?o etapas do processo de an?lise da informa??o a que s?o submetidos os documentos apreendidos em diligencias policiais (ANP/DPF, 2009). 2 1.1. PROBLEMA TRATADO A natureza digital do documento eletr?nico imp?s certos cuidados para que seja mantido o valor probante da prova dele resultante. Diferente do que ocorre comumente com documentos tradicionais - que podem ser tocados, lidos, analisados facilmente e ter suas altera??es identificadas, por vezes, a olho nu - os documentos eletr?nicos s?o latentes e intang?veis, e suas altera??es podem ser indetect?veis. Sua utiliza??o na lide penal requer a??es, por parte de peritos criminais, que afastem seu car?ter d?bio, e assim possam alcan?ar a confian?a dos magistrados (Pinheiro, 2008). Tais caracter?sticas inerentes aos documentos eletr?nicos contribu?ram, no ?mbito policial, para o surgimento de um processo diferenciado ao processo originalmente utilizado para a an?lise da informa??o tradicional, como aquela aposta em papel, por exemplo. Dando azo a coexistirem dois processos independentes e anacr?nicos para an?lise da informa??o, representados na figura 1.1. Um para trabalhar com documentos tradicionais, conduzido por investigadores e outro para os documentos eletr?nicos, conduzido por peritos criminais. Figura 1.1 - Processo Original x Diferenciado A situa??o atual ? contraproducente e pouco eficiente, sobressaindo que: 1) Os processos original e diferenciado de an?lise da informa??o s?o independentes, pois n?o se intercomunicam obrigatoriamente. Al?m disso, s?o anacr?nicos, uma vez os documentos tradicionais podem ser analisados t?o logo sejam organizadas as equipes de an?lise, enquanto que os documentos 3 eletr?nicos requerem um processamento pr?vio do material computacional arrecadado (ANP/DPF, 2008). Ou seja, enquanto que no processo original os investigadores iniciam as an?lises dos documentos tradicionais t?o logo a equipe de an?lise se organize, no modelo diferenciado, primeiramente, os materiais computacionais apreendidos s?o enviados a peritos criminais. Caber? a estes profissionais apresentarem aos investigadores os documentos eletr?nicos que possuam certas palavras-chave e/ou respondam determinados quesitos (inquiri??es) (ANP/DPF, 2008). Em 2011, o tempo m?dio transcorrido entre uma requisi??o de per?cias e seu completo atendimento era de 157 dias (INC/DITEC, 2012), o que corresponde ao lapso temporal que investigadores necessitar?o aguardar pela conclus?o do processo diferenciado de an?lise da informa??o digital, para s? ent?o conhecerem todos os documentos reunidos pelos peritos criminais; 2) H? situa??es em que informa??es relevantes ? elucida??o do delito encontram-se unicamente no conte?do de arquivos eletr?nicos (ANP/DPF, 2008); 3) Para desempenhar as tarefas de an?lise, algumas vezes, os materiais e os quesitos recebidos pelo perito ser?o o primeiro e ?nico contato que este profissional ter? com o investigat?rio antes de iniciar o trabalho requisitado. Caso os quesitos n?o contemplem com exatid?o as caracter?sticas de apresenta??o dos documentos eletr?nicos relevantes, h? risco de que o trabalho pericial n?o apresente de pronto os elementos necess?rios ? elucida??o do fato ou da conduta investigada; 4) O processo diferenciado de an?lise sujeita a investiga??o policial criminal ao descarte prematuro de dados, fato descrito como um erro grosseiro e irremedi?vel (ANP/DPF, 2009). Tal situa??o ocorre ao serem estabelecidos pelos investigadores os crit?rios para que os peritos criminais apresentem os documentos eletr?nicos ao apurat?rio. Neste momento, como os investigadores n?o ter?o, a priori, acesso aos demais documentos existentes no material apreendido, tamb?m, de forma indireta, foram por eles definidas as regras que desprezar?o os demais documentos. O cen?rio apresentado contrasta, por exemplo, com o norte-americano, em que os policiais que executam a investiga??o analisam, livremente, tanto os documentos 4 tradicionais, quanto os eletr?nicos. Entretanto, a ado??o de modelos de processos e ferramentas concebidas para suportar a investiga??o policial criminal naquele pa?s, ou em qualquer outro, n?o oferecer? solu??o adequada aos problemas mencionados, caso n?o contemplem particularidades da legisla??o p?tria. No Brasil, no que concerne a prova de um crime, o modelo de persecu??o penal vigente atribui pap?is distintos, embora complementares, a investigadores e peritos. Face aos fatores elencados, quais sejam: 1) Lacuna entre investiga??o e per?cia ocasionada pela ado??o de processos distintos, independentes e anacr?nicos, para an?lise da informa??o tradicional e eletr?nica; 2) Ferramentas e modelos de processo de investiga??o de crimes digitais inadequados ? legisla??o brasileira. 3) Crescimento ininterrupto do volume e da capacidade de armazenamento de dados do material a examinar; Configura-se a necessidade de desenvolver uma metodologia, sustentada por uma base te?rica s?lida e materializado em um ferramental especializado, associado a t?cnicas e procedimentos apropriados, para que a pol?cia judici?ria brasileira possa fazer frente aos desafios promovidos pela criminalidade moderna. 1.2. HIP?TESE DE PESQUISA ? poss?vel integrar os trabalhos de investigadores e peritos criminais em torno da aquisi??o da prova digital, cada qual realizando, a partir das mesmas fontes digitais, fra??es distintas da investiga??o digital: a an?lise da informa??o, no caso dos investigadores, e o exame pericial no caso dos peritos criminais? 1.3. JUSTIFICATIVA E RELEV?NCIA Investigar e prover alternativas que promovam melhorias na investiga??o policial criminal ? contribuir para diminui??o da impunidade e para o aumento do efeito dissuas?rio em rela??o ? criminalidade. A exist?ncia de dois processos independentes e anacr?nicos para an?lise da informa??o contribui negativamente para elucida??o de crimes, requerendo aten??o. 5 1.4. OBJETIVOS O objetivo deste trabalho ? integrar investigadores e peritos criminais em torno da investiga??o digital, abolindo o processo diferenciado de an?lise. Para alcan?ar o objetivo prim?rio, foram definidos os objetivos espec?ficos, a saber: 1) Conceber e implementar uma metodologia que nortear? a investiga??o digital, em conformidade com a segrega??o de pap?is, atribui??es e responsabilidades existentes na pol?cia judici?ria brasileira; 2) Projetar e implementar uma arquitetura computacional, voltada ? Inform?tica Forense, que seja capaz de processar grandes volumes de dados. Tendo por finalidade tornar mais ?gil a disponibiliza??o de documentos eletr?nicos ao apurat?rio, eliminando ou minorando o anacronismo entre as an?lises de documentos tradicionais e eletr?nicos; 3) Projetar os meios para tornar poss?vel que investigadores tenham ampla vis?o do caso investigado, e possam submeter ao processo de an?lise investigat?ria, simultaneamente, todo o documental obtido dos diversos materiais arrecadados, evitando conjecturas baseadas em fra??es isoladas do caso. Uma determinada prova de um crime pode estar segmentada em diversos materiais, o que pode ofuscar a vis?o de investigadores caso estes trabalhem em partes isoladas do material arrecadado. 4) Elaborar processos din?micos de buscas textuais (palavra-chave) que operem simultaneamente em todos os documentos de um mesmo caso, a fim de alcan?ar agilidade na localiza??o de documentos relevantes, mesmo em grandes volumes de dados; 5) Permitir a an?lise de documentos eletr?nicos permeando a investiga??o policial criminal, de forma colaborativa e geograficamente distribu?da. 1.5. RESULTADOS ESPERADOS Os principais resultados esperados incluem: 1) Contribuir, no ?mbito do Departamento de Pol?cia Federal, para que se atinja o objetivo estrat?gico, estabelecido pelos administradores da Per?cia Criminal 6 Federal, referente ? produ??o de instrumentos que viabilizem a an?lise e correla??o de um grande volume de dados digitais obtidos em investiga??es criminais (INC/DITEC, 2010) (INC/DITEC, 2011) (INC/DITEC, 2012); 2) Contribuir para amplia??o da efici?ncia investigat?ria da institui??o policial; 3) Resguardar a objetividade do perito, que n?o deve ser exposto ao contexto das premissas e suposi??es da investiga??o; 4) Favorecer a evolu??o do conhecimento em ciclo ? medida que novas informa??es s?o analisadas pela equipe de investiga??o, subsidiando a cogni??o na atividade policial; 5) Contribuir para aumento da efici?ncia na produ??o de provas, para aumento dos ?ndices de elucida??o de crimes e para efetiva aplica??o da justi?a; 6) Contribuir para tornar mais r?pida a devolu??o de materiais apreendidos que se mostrem irrelevantes ao apurat?rio. 1.6. M?TODO DE TRABALHO Para alcan?ar os objetivos propostos foram realizados os passos descritos a seguir: 1) Revis?o da literatura relacionada ? investiga??o policial, ? pericia criminal e ao direito penal, que permitiu identificar os trabalhos relacionados e as poss?veis solu??es para o problema; 2) Para restabelecer a an?lise investigat?ria de documentos tradicionais e eletr?nicos a um ?nico processo de an?lise, foi concebida uma metodologia que nortear? os trabalhos de peritos e investigadores. 3) Para oferecer o suporte a ado??o da metodologia concebida, foi desenvolvida uma arquitetura para um ferramental forense especializado que instrumentar? as tarefas de peritos e investigadores; 4) Com base na arquitetura proposta, foi constru?do um prot?tipo para o ferramental especializado; 5) A metodologia e o ferramental foram ent?o submetidos ? prova de conceitos e avaliados em investiga??es policiais reais. 7 1.7. ORGANIZA??O DA DISSERTA??O Os cap?tulos seguintes desta Disserta??o foram assim organizados: no Cap?tulo 2 est? a fundamenta??o te?rica necess?ria ao desenvolvimento das pesquisas. No Cap?tulo 3 s?o apresentados os instrumentos comumente utilizados na investiga??o digital. No Cap?tulo 4 ? apresentada a proposta do trabalho e, finalmente, nos Cap?tulos 5 e 6 s?o expostos, respectivamente, as provas de conceitos em casos reais e as conclus?es. 8 2. REVIS?O DE CONCEITOS Neste Cap?tulo ? apresentado o fundamento te?rico necess?rio ao desenvolvimento da pesquisa. Como a investiga??o digital pode ser abordada de diferentes pontos de vista8, torna-se indispens?vel enfatizar que este trabalho aborda o tema pelo enfoque policial. Em virtude disso, ? relevante a compreens?o de princ?pios relacionados ? persecu??o penal no Brasil, apresentados na Se??o 2.1; a prova no direito penal, discutida na Se??o 2.2; o crime inform?tico e a investiga??o policial criminal, abordados nos cap?tulos 2.3 e 2.4, respectivamente; a per?cia criminal, abordada na Se??o 2.5. Ao final das revis?es, s?o realizadas considera??es que seguem na Se??o 2.6. 2.1. PERSECU??O PENAL Com o fim de coibir condutas especialmente lesivas, a lei estabelece f?rmulas segundo as quais o poder punitivo do Estado habilita o seu exerc?cio formal. Tais f?rmulas s?o os tipos penais. Atrav?s de um ju?zo de tipicidade, h? a valora??o de uma conduta como t?pica ou at?pica, conforme sua adequa??o, ou n?o, ao tipo penal (Zaffaroni, Batista, Alagia, & Slokar, 2010). Ao ocorrer um fato supostamente delituoso, surge para o Estado um poder-dever de punir. Para fazer valer tal prerrogativa estatal, no entanto, ? necess?ria a persecu??o penal que, no Brasil, ? composta por duas fases: o inqu?rito policial e a a??o penal (T?vora & Antonni, 2009). Ao tomar ci?ncia de uma conduta aparentemente t?pica, a autoridade policial iniciar? a apura??o da infra??o penal formalizando a investiga??o policial criminal por meio de um inqu?rito policial. Nas palavras de Tourinho Filho, o inqu?rito ? ?o conjunto de dilig?ncias realizadas pela Pol?cia Judici?ria para a apura??o de uma infra??o penal e sua autoria, a fim de que o titular da a??o penal, possa ingressar em ju?zo? (Tourinho Filho, 2009). Tendo sido ingressado em ju?zo, tem-se in?cio a a??o penal, conceituada como ?o direito de se pedir ao Estado-Juiz a aplica??o do Direito Penal objetivo. Ou o direito 8 Como avalia??o de incidentes, opera??es militares de guerra cibern?tica, investiga??o de crimes, entre muitas outras aplica??es. Cada qual possuindo contexto pr?prio, caracter?sticas e exig?ncias particulares. 9 de se pedir ao Estado-Juiz uma decis?o sobre um fato penalmente relevante? (Tourinho Filho, 2009). No inqu?rito e na a??o penal, ? necess?ria uma reconstru??o hist?rica dos fatos. Busca- se demonstrar o ocorrido a partir da apresenta??o de provas. Enquanto que as provas apresentadas no inqu?rito policial se destinam ao titular da a??o penal para convenc?-lo se o processo (a??o penal) deve ou n?o ser deflagrado, na a??o penal, o destinat?rio da prova ? o julgador, que formar? seu convencimento quanto ao direito de punir do Estado. Algumas provas s?o de natural entendimento quando sua interpreta??o est? ao dom?nio dos operadores do direito. Outras, no entanto, necessitam de conhecimento espec?fico em determinada ?rea do conhecimento ou da arte para que sejam compreendidas. Nesses casos, ? necess?rio um exame procedido por pessoa que tenha tais conhecimentos ou habilidades: o perito oficial. A Per?cia Criminal atua nas fases pr?- processual e processual, da persecu??o penal. Do exame pericial resulta um documento denominado laudo pericial criminal (Manzano, 2011). Nas palavras de Manzano ?o perito oficial ? aquele investido na fun??o mediante concurso p?blico, promovido pela Pol?cia Judici?ria ? Federal ou Civil -, para atuar nos ?rg?os t?cnicos da chamada pol?cia cient?fica? (Manzano, 2011). Manzano deixou de considerar em sua defini??o os peritos oficiais que atuam em ?rg?os aut?nomos e independentes da Pol?cia Judici?ria. O que ocorre em alguns estados da federa??o, como o estado do Par?, por exemplo. Assim, mais adequada defini??o, salvo melhor ju?zo, seria: o perito oficial ? o agente p?blico investido legalmente com a atribui??o de, em quest?es criminais que dependam de conhecimento especial, examinar vest?gios origin?rios de crime ou dirimir as quest?es de ordem t?cnica, cient?fica ou art?sticas, relevantes ao acertamento do fato e ao deslinde da causa. Segundo a Lei 12030/2009 s?o peritos oficiais o perito criminal, o m?dico-legista e o odontolegista. Destes, apenas o perito criminal lida com os vest?gios na cena de um crime. 10 2.2. PROVA NO DIREITO PENAL BRASILEIRO Provar ? levar ao conhecimento de outro algo que se conhece e que se d? por certo, em rela??o ao que se alega ou se diz (Tourinho Filho, 2009). O conceito de prova, segundo Tourinho Filho seria: ?os elementos produzidos pelas partes ou pelo pr?prio juiz visando a estabelecer, dentro do processo, a exist?ncia de certos fatos? (Tourinho Filho, 2009). Segundo Paulo Rangel, o sistema de aprecia??o das provas adotado no Brasil ? o da livre convic??o motivada ou livre convencimento. Neste sistema, o juiz ? que aprecia as provas existentes nos autos, atribuindo valor a elas, de forma fundamentada. N?o existe, assim, pr?via defini??o de hierarquia entre as provas. Todas as provas oferecidas s?o fundamentalmente importantes para se estabelecer a verdade processual. (Rangel, 2003). Este pesquisador ousa afirma que a prova resultante da aprecia??o de peritos oficiais, embora n?o seja a mais importante das provas, certamente ? a mais confi?vel. Os peritos oficiais s?o chamados a atuar pelas partes ou pelo pr?prio magistrado, emitindo conclus?es objetivas e isentas, sem inten??o de condenar ou absolver, apenas esclarecer a verdade por interm?dio da ci?ncia (Esp?ndula, 2009). Nas palavras de Lu?s Fernando de Moraes Manzano, ?Elemento de prova ou simplesmente prova ? todo dado objetivo que se presta ? confirma??o ou nega??o de uma asser??o a respeito de um fato que interessa a decis?o da causa? (Manzano, 2011). Guilherme de Souza Nucci ensina que (Nucci, 2008): O termo prova origina-se do latim ? probatio ?, que significa ensaio, verifica??o, inspe??o, exame, argumento, raz?o, aprova??o ou confirma??o. Dele deriva o verbo provar ? probare ?, significando ensaiar, verificar, examinar, reconhecer por experi?ncia, aprovar, estar satisfeito com algo, persuadir algu?m a alguma coisa ou demonstrar. 11 Provar, ent?o, ? buscar oferecer os elementos de prova para que o julgador se conven?a, atrav?s de seu racioc?nio, de haver um estado de certeza que o torna convicto da exist?ncia ou inexist?ncia de um fato. Leciona J?lio Fabbrini Mirabete que (Mirabete, 2008): Provar ? produzir um estado de certeza, na consci?ncia e mente do juiz, para sua convic??o, a respeito da exist?ncia ou inexist?ncia de um fato, ou da verdade ou falsidade de uma afirma??o sobre uma situa??o de fato, que se considera de interesse para uma decis?o judicial ou a solu??o de um processo. Sustenta Manzano que ?A finalidade da prova ?, em ?ltima an?lise, o convencimento do juiz acerca da sustentabilidade ou n?o de uma alega??o? (Manzano, 2011). Sobressai por de acordo o que se entende por verdade no processo: a verdade processual. Verdade processual ? aquilo que se demonstra a partir das provas transladadas para os autos do processo. Trata-se, ent?o, de uma verdade, que ir? se estabelecer, no processo, pelo oferecimento de provas, segundo as regras do pr?prio processo (Nucci, 2008). Leciona o professor Nucci que ?A verdade processual emerge durante a lide, podendo corresponder ? realidade ou n?o, embora seja com base nela que o magistrado deve proferir sua decis?o.? (Nucci, 2008). O professor Paulo Rangel leciona sobre verdade processual afirmando que se considera inexistente a verdade n?o demonstrada no rol de provas dos autos do processo (Rangel, 2003): A ado??o do sistema do livre convencimento ? express?o da vontade do legislador, que d? ao juiz liberdade de agir de acordo com as provas que se encontram nos autos, pois, se n?o est?o nos autos, n?o existem no mundo. Ela aduz ainda que (Rangel, 2003): A aprecia??o ? da prova. Portanto, deve haver prova nos autos, seja para condenar, seja para absolver. Segundo ensina Manzano, h? no sistema jur?dico p?trio uma exce??o que, como n?o contraria, complementa os ensinamentos de Paulo Rangel. De acordo com Manzano, no tribunal do j?ri vigora o sistema da ?ntima convic??o, visto serem sigilosas as vota??es, o que tornaria misto o sistema adotado pelo ordenamento jur?dico p?trio (Manzano, 2011). 12 Segundo Julio Fabbrini Mirabete, o objeto de prova s?o os fatos, as circunst?ncias, os acontecimentos que devem ser demonstrados no processo. O objeto de prova abranger? ?n?o s? o fato criminoso e sua autoria, como todas as circunst?ncias objetivas e subjetivas que possam influir na responsabilidade penal e na fixa??o da pena ou na imposi??o da medida de seguran?a.? (Mirabete, 2008). As provas s?o obtidas de fontes de prova. Fontes de prova s?o coisas ou pessoas. Segundo Manzano, documentos s?o fontes de prova enquanto fora do processo, passando a elemento de prova uma vez que forem transladados a ele (Manzano, 2011). Do que ensina Nucci se conclui que todas as provas, exceto as que contrariam o ordenamento jur?dico, podem ser produzidas no processo, mesmo aquelas que n?o tenham sido previstas no C?digo do Processo Penal (Nucci, 2008). Quanto ?s provas de origem digital, Patr?cia Peck ressalta que h? fragilidades que devem ser observadas (Pinheiro, 2008). Apesar do alto n?vel de precis?o da computa??o forense, h? uma fragilidade: a coleta das evid?ncias. Coletar de forma err?nea pode tornar il?cita ou inv?lida determinada prova. Tamb?m, ainda, existe a possibilidade de alguma prova il?cita contaminar as demais, teoria da ?rvore dos frutos envenenados, eliminando todas as chances no lit?gio judicial. Patr?cia Peck vai al?m quando afirma que (Pinheiro, 2008): Outro problema enfrentado pelas evid?ncias digitais ? a falta de confian?a dos magistrados nesse tipo de prova. Logo, cabe ao perito retirar este car?ter d?bio da evid?ncia em um laudo pericial claro, e, como inexiste uma hierarquia de provas no Direito brasileiro, caber? ao juiz analisar e medir a import?ncia das evid?ncias. Entre os meios de prova, a busca e apreens?o, a documental e a pericial s?o essencialmente importantes para este trabalho, sem, contudo, abster-se da relev?ncia dos demais. 2.2.1. Busca e Apreens?o A busca e apreens?o decorrem da relativiza??o de direitos individuais (Nucci, 2008). Objetiva permitir que o estado alcance as provas mantidas sob dom?nio de investigados, entre outros fins. 13 Guilherme de Souza Nucci ensina que (Nucci, 2008): busca significa o movimento desencadeado pelos agentes do estado para a investiga??o, descoberta e pesquisa de algo interessante para o processo penal, realizando-se em pessoas e lugares. Quando citando Cleunice A. Valentim Bastos Pitombo, Nucci afirma que a autora conceitua busca como (Nucci, 2008): ato do procedimento persecutivo penal, restritivo de direito individual (inviolabilidade da intimidade, vida privada, domic?lio e da integridade f?sica e moral), consistente em procura, que pode ostentar-se na revista ou no varejamento, conforme a hip?tese: de pessoa (v?tima de crime, suspeito, indiciado, acusado, condenado, testemunha e perito), de semoventes, de coisas (objetos, pap?is e documentos), bem como de vest?gios (rastros, sinais e pistas) da infra??o. Por sua vez, Nucci enfatiza que apreens?o ? medida assecurat?ria que toma algo de algu?m ou de algum lugar, com finalidade de produzir prova ou preservar direitos (Nucci, 2008). Novamente citando Cleunice A. Valentim Bastos Pitombo, Nucci apresenta o conceito de apreens?o como sendo (Nucci, 2008): ato processual penal, subjetivamente complexo, de aposamento, remo??o e guarda de coisas ? objetos, pap?is ou documentos ?, de semoventes e de pessoas, ?do poder de quem as det?m?; tornando-as indispon?veis, ou colocando- as sob cust?dia, enquanto importarem a instru??o criminal ou ao processo. Tanto a busca quanto a apreens?o s?o medidas de natureza jur?dica mista, podendo ser vistas, individualmente, como meios assecurat?rios, meio de prova ou ambos (Nucci, 2008). Por suas palavras, doutrina Nucci: Conforme o caso, a busca pode significar um ato preliminar ? apreens?o de produto do crime, raz?o pela qual se destina a devolu??o ? v?tima. Pode significar, ainda, um meio de prova, quando a autoriza??o ? dada pelo juiz para se proceder a uma per?cia em determinado domic?lio. A apreens?o tem os mesmos ?ngulos. Pode representar a tomada de um bem para acautelar o direito de indeniza??o da parte ofendida, como pode representar a apreens?o da arma do delito para fazer prova. 14 Alessandro Barbosa Di?genes dos Anjos e outros ensinam que, em certas situa??es, os envolvidos com o crime investigado s?o os ?nicos detentores de informa??es acerca dos fatos. Nestas situa??es, obter as informa??es em posse dos envolvidos assume um car?ter relevante ? apura??o do suposto il?cito penal. (ANP/DPF, 2009). Entre as coisas arrecadadas comumente em uma investiga??o policial se encontram os computadores, m?dias computacionais de armazenamento de dados, fotografias, extratos banc?rios, comprovantes de transfer?ncias financeiras, comprovantes de aplica??es e de c?mbio, notas-fiscais, declara??es patrimoniais, agendas de contatos, di?rios pessoais, vest?gios biol?gicos e tudo mais quando possa representar fonte de informa??es ao apurat?rio, requerendo uma an?lise investigat?ria minuciosa realizada com a finalidade de alcan?ar as informa??es necess?rias ? elucida??o do delito. 2.2.2. Prova Documental O professor Guilherme de Souza Nucci apresenta o conceito de documentos como sendo (Nucci, 2008): quaisquer escritos (papel ou de outra base material contendo a representa??o de palavras ou id?ias atrav?s de sinais), instrumentos (documentos pr?-constitu?dos para a forma??o de prova, como recibo, procura??es, termos etc.) e pap?is (de aplica??o residual, vale dizer, exclu?dos os elementos anteriores ? escritos e instrumentos ? cuida-se da base constitu?da de mat?ria fibrosa, de origem vegetal, tratada e destinada ? forma??o de folhas aptas a receber gr?ficos, desenhos). Quanto ? classifica??o, o professor Nucci ensina que documentos podem ser nominativos ou an?nimos. Os nominativos seriam aqueles que possuem indica??o de quem o produziu9. Por sua vez, os an?nimos s?o aqueles que n?o identificam seu produtor. Nucci nos conduz a conhecer que uma fotografia ?retratando determinada situa??o importante para o desfecho de um processo pode ser juntada aos autos, mesmo que n?o se saiba quem a produziu.?. Complementa Nucci que ?Ainda, assim, ? um documento.? (Nucci, 2008). 9 Documentos eletr?nicos assinados digitalmente s?o considerados an?logos aos documentos tradicionais assinados, visto que se pode verificar sua autoria, autenticidade e integridade. 15 Em um arrazoado sobre a import?ncia do documento an?nimo como prova, Nucci assevera que: Logicamente, um escrito an?nimo ter? de ser cuidadosamente avaliado pelo magistrado, visto n?o ter o mesmo valor do documento nominativo. Entretanto, o fato de n?o se saber quem o escreveu n?o o torna in?til, nem lhe retira o aspecto documental de uma id?ia reduzida em base material. Imagine-se algu?m que tenha presenciado um homic?dio e, n?o desejando ser reconhecido, envia carta an?nima ? pol?cia; gra?as a isso, localiza-se o autor, que ampla e espontaneamente confessa seu ato. Torna-se importante fator de prova aquela carta, pois justifica o fato de o Estado-Investiga??o ter chegado a desvendar a autoria da infra??o penal, legitimando-a de alguma forma. N?o se quer absolutamente dar a esse documento an?nimo o mesmo valor que possui o nominativo, pass?vel de confirma??o, mas n?o deixa de ser, no contexto probat?rio, um elemento a mais para a avalia??o judicial. Somente, n?o se deve exclu?-lo do conjunto das provas, visto que il?cito n?o ?. Segundo Nucci, quanto ? valora??o e licitude do documento como efetivo meio de prova, deve-se observar certos requisitos (Nucci, 2008): Para que seja considerado efetivo meio de prova, ensina a doutrina dever ser o documento apresentado, no processo, por inteiro ? sem fragmenta??es que possam comprometer o seu sentido -, livre de defeitos ou v?cios ? sem rasuras, borr?es ou emendas, tornando-o suspeito e intelig?vel ? compreens?vel por quem o visualiza. Enfatizando os avan?os tecnol?gicos, o professor Nucci aduz que o conceito de documento vem sendo amplificado. Segundo ele, vem ocorrendo uma substitui??o da estrutura material tradicional por outras inovadoras que, de forma similar aos documentos tradicionais, permitem a fixa??o de uma base de conhecimento e express?o de pensamentos, id?ias ou manifesta??es de vontade ou pensamento do ser humano. Nucci assevera que ?s?o documentos, portanto: escritos, fotos, fitas de v?deo e som, desenhos, esquemas, gravuras, disquetes, CDs, entre outros? (Nucci, 2008). Nucci tamb?m enfatiza em alus?o as mensagens eletr?nicas que: o e-mail deve ser considerado documento, baseado no crit?rio ampliativo do conceito de documento, abrangendo outras bases suficientes para registrar pensamentos ou outra manifesta??o de vontade, pois est? armazenado dentro de um computador, no disco r?gido. 16 Interpretando os ensinamentos de Nucci, pode-se entender poss?vel estender tais conceitos aos demais documentos eletr?nicos produzidos com o objetivo similar de registrar pensamento ou outras manifesta??es da vontade. Em 1995, observou Pollitt que a caracter?stica intang?vel dos documentos eletr?nicos provocava um conflito de entendimento em um mundo acostumado a lidar com documentos tradicionais. Esse novo tipo de documento fez surgir alguns questionamentos que at? ent?o n?o suscitavam d?vidas (Pollitt, 1995). Quest?es como: O documento realmente existe? De onde ele vem ou como surgiu? O que representa a cadeia bin?ria que o origina? O que garante sua autenticidade? Estaria o documento apresentado ?ntegro? Em 2012, estas quest?es ainda n?o est?o bem claras para os leigos em inform?tica, mesmo que pare?am ?bvias para alguns iniciados em tecnologia. 2.2.3. Prova Pericial Alber? Esp?ndula ensina que a prova pericial ? um meio de prova que exige uma fundamenta??o t?cnica, cient?fica ou art?stica, produzida por perito oficial. Difere nas provas subjetivas uma vez que aquelas despendem de testemunhos e interpreta??es de pessoas, estando sujeitas a erros de relato, falhas de interpreta??o e m?-f? de inten??es que podem distorcer os fatos. (Esp?ndula, 2009). Ensina Luiz Fernando de Moraes Manzano que (Manzano, 2011): A caracter?stica fundamental da per?cia como prova cient?fica, e que a distingue dos demais meios de prova, ? que ela se vale de um princ?pio cient?fico aplicado por meio de t?cnica adequada, cujo conhecimento escapa, via de regra, ao dom?nio dos aplicadores do Direito, mas que ? essencial ao acertamento do fato e ao deslinde da causa. Manzano versa sobre a import?ncia da prova pericial enfatizando que, quando a infra??o deixar vest?gios, a prova da exist?ncia do fato, via de regra, ? pericial. Segundo Manzano, ?h? casos em que a convic??o do juiz se assenta sobremaneira no parecer do pericial, sem que possa neg?-lo, em raz?o de seu vistoso conte?do t?cnico-cient?fico.?. Ele ? ainda mais incisivo quando afirma (Manzano, 2011): Com o desenvolvimento t?cnico e cient?fico, e o advento do processo eletr?nico, a prova pericial ganhou relevo. H? casos em que o acertamento do fato e decis?o da causa ? somente alcan??vel pela prova pericial, o que reveste esse meio de prova de import?ncia crucial na busca da verdade processual. 17 Mazano assevera, citando anota??o de Tornaghi, que o ?acertado seria retirar a per?cia do cap?tulo das provas e situ?-la em lugar aut?nomo, entre esta e a senten?a.? (Manzano, 2011). Quanto ? distin??o entre as provas, ensina Manzano que prova pericial n?o se confunde com a prova documental. ?S?o coisas distintas e submetidas a disciplinas jur?dicas diversas?. Versando sobre documentos ele afirma: ?Este, ali?s, pode tamb?m ser submetido ? per?cia? (Manzano, 2011). Logo, a prova pericial pode resultar de um mesmo documento, tradicional ou eletr?nico, que deu origem a uma prova documental. Em outras palavras, um documento, tradicional ou eletr?nico, oferecido como prova documental difere da prova pericial obtida a partir do mesmo documento. Para exemplificar o afirmado, se anota??es cont?beis do tr?fico de drogas apostas em papel tivessem sido oferecidas como meio de comprova??o de um delito, delas resultariam a prova documental10. Destas mesmas anota??es cont?beis, poder-se-ia tamb?m resultar a prova pericial. Por exemplo, haveria de ser necess?ria a an?lise da integridade destas anota??es quanto a poss?veis adi??es, altera??es, substitui??es ou elimina??es de texto. Haveria, tamb?m, de ser necess?ria a verifica??o de sua autenticidade quanto ao punho escritor que a produziu ou que a subscreveu, al?m do pr?prio exame pericial cont?bil. 2.3. CRIME INFORM?TICO De acordo com Marco A. R. da Costa uma conceitua??o pr?pria para crime inform?tico seria ?toda a a??o t?pica, antijur?dica culp?vel contra ou pela utiliza??o de processamento autom?tico e/ou eletr?nico de dados ou sua transmiss?o.?. Em seus estudos, Costa assevera que ?a natureza dos delitos de inform?tica, a complexidade e, principalmente, a aus?ncia de unanimidade dos doutrinadores, fazem a dificuldade de definir os crimes de inform?tica". Ele enfatiza a import?ncia de se desenvolver o Direito Criminal da Inform?tica. O autor utiliza-se de palavras t?o significativas que uma refer?ncia a seu trabalho n?o dispensar? a apresenta??o de sua pr?pria express?o (Costa, 1997). O Direito Criminal da Inform?tica deve ser desenvolvido com extrema rapidez e seguran?a, de modo a serem sistematizadas normas que atinjam os crimes 10 Considerando que foram atendidas ?s exig?ncias legais que regem este tipo de prova. 18 empiricamente tipificados, que s?o cometidos com o emprego de computadores e sistemas, desenvolvendo prote??o ? privacidade, a instrumentaliza??o da produ??o de provas, inclusive reciclando os conceitos de provas, principalmente aquelas provas t?cnicas. Segundo T?lio Lima Vianna, os crimes inform?ticos s?o classificados por pr?prios, impr?prios, mistos, mediatos ou indiretos (Vianna, 2003). Os crimes inform?ticos pr?prios s?o aqueles que o bem tutelado ? a inviolabilidade de dados ou sistemas computacionais. Os crimes impr?prios s?o aqueles em que computadores s?o utilizados como instrumentos para perpetra??o de delito, sem que, no entanto, o bem tutelado seja a inviolabilidade de dados ou sistemas computacionais. Agregam-se ? conceitua??o de crimes impr?prios, os crimes que empregam o uso de computador como instrumento da perpetra??o do delito e os crimes cujo uso de computador se deu de forma meramente incidental (Couri, 2009), substituindo uma m?quina de escrever, um fac-s?mile, uma pasta de documentos, um bloco de anota??es ou uma agenda. Nas palavras de T?lio Lima Vianna ?a hip?tese cl?ssica de crimes inform?ticos impr?prios s?o os crimes contra a honra ? cal?nia (art. 138 CP), difama??o (art. 139 CP), inj?ria (art. 140 CP) ? cometidos pelo simples envio de um email.? (Vianna, 2003). Por sua vez, os crimes inform?ticos mistos s?o aqueles crimes complexos11 cuja norma busca tutelar, al?m da inviolabilidade da coisa digital, outro bem jur?dico diverso. O autor afirma que ?S?o delitos derivados do acesso n?o autorizado a sistemas computacionais que ganharam status de delitos sui generis dada ? import?ncia do bem jur?dico protegido diverso da inviolabilidade dos dados inform?ticos.? (Vianna, 2003). Finalmente, os crimes inform?ticos mediatos ou indiretos s?o aqueles delitos (delito- fim) n?o inform?ticos que herdam a caracter?stica de outro delito (delito-meio) praticado para que se alcance a consuma??o do delito n?o inform?tico (Vianna, 2003). Se algu?m acessa sem autoriza??o o sistema computacional de um banco e transfere indevidamente dinheiro para sua conta, estar? cometendo dois delitos distintos: o acesso n?o autorizado a sistemas computacionais e o furto; o primeiro, crime inform?tico, o segundo, patrimonial. O acesso n?o autorizado ser? executado como delito-meio para se poder executar o delito-fim que 11 Representa o concurso de mais de um tipo penal. 19 consiste na subtra??o da coisa alheia m?vel. Desta forma, o agente s? ser? punido pelo furto, aplicando-se ao caso o princ?pio da consun??o. O crime-fim ser? classificado como inform?tico mediato ou indireto quando, pela aplica??o do principio da consun??o, um crime-meio inform?tico n?o for punido em raz?o da sua consuma??o. Segundo Huebner e outros, o crime inform?tico poderia ainda ser classificado de outra maneira, (Huebner, Bem, & Bem, 2008): 1) Crime centrado no computador: ? o crime cujo alvo ? o pr?prio computador, um sistema computacional, redes de computadores, dispositivos de armazenamento de dados. Isso pode ser visto como nova classe de crime cometido com o emprego de novas ferramentas; 2) Crimes auxiliados por computador: ? o crime em que o computador foi instrumento para perpetra??o da conduta sem, contudo, ter sido estritamente necess?rio seu uso na pr?tica delitiva. Um novo instrumento utilizado para praticar crimes comuns; 3) Crimes com o envolvimento incidental do computador: ? o crime em que o computador foi utilizado de uma forma incidental ? atividade criminosa em si, armazenando dados ligados ? pr?tica delitiva em substitui??o a outras formas de registro. Como uma planilha de contabiliza??o dos recursos obtidos com a pr?tica criminosa mantidos em computador em substitui??o de outros mantidos em papel. Assevera Couri que ?o crime inform?tico se distingue dos demais ante a peculiar presen?a do computador na pr?tica delitiva?. Segundo ele, o computador pode ser envolvido na pr?tica do delito cumprindo diferentes pap?is (Couri, 2009). Segundo Patr?cia Peck, citando Robson Ferreira, os pap?is do computador no delito seriam na forma de alvo, instrumento da perpetra??o do crime ou at? mesmo um papel meramente incidental na pr?tica delituosa: uma esp?cie de reposit?rio onde a manifesta??o escrita se materializou por interm?dio de documentos eletr?nicos. Tais pap?is dependeriam da maneira como o crime fora praticado, sobretudo, do pr?prio delito em si (Pinheiro, 2008). 20 Os pap?is do computador no delito seriam assim descritos: 1) O computador como alvo do delito ocorre quando o pr?prio equipamento ? o objeto do crime ou quando o sistema computacional, o sistema de arquivos ou um sistema de informa??o, por exemplo, s?o alvos da conduta delituosa (Couri, 2009). Como exemplo de crimes onde o computador ? o alvo da conduta relaciona-se a destrui??o intencional ou modifica??o n?o autorizada de banco de dados (Couri, 2009). 2) O papel do computador como instrumento ocorre quando o equipamento computacional ? utilizado para a perpetra??o de um delito, tal qual uma arma de fogo em um caso de homic?dio (Couri, 2009). Segundo assevera Guilherme de Souza Nucci, os instrumentos da perpetra??o do crime ?s?o os objetos que servem de agente mec?nico para a realiza??o do crime? (Nucci, 2008). Como exemplo de crimes em que o computador ? o instrumento, pode-se relacionar as transfer?ncias de valores n?o autorizadas, atrav?s da internet; assim como o compartilhamento de imagens contendo pornografia infantil. 3) Por fim, um computador ser? incidentalmente envolvido no delito nas vezes em que o equipamento tenha sido um mero contentor dos elementos de informa??o sobre o delito. N?o, propriamente, em um crime inform?tico (Couri, 2009). Por analogia, como se fosse uma pasta de documentos, um caderno de notas, uma gaveta ou um arquivo onde se armazenam contratos ou outros ?pap?is?. Sendo, simplesmente, um contentor daquilo possivelmente ?til ?s investiga??es. Nestes casos, os ?computadores? s?o meros suportes para os elementos de informa??o de natureza digital. Como as mensagens eletr?nicas trocadas entre os part?cipes do delito ou os documentos eletr?nicos que registram informa??es relacionadas ao crime, como as planilhas, as fotografias, as grava??es em v?deos, os contratos etc. Como exemplo de crimes em que o computador pode ser envolvido incidentalmente, pode-se relacionar as fraudes cont?beis, as fraudes previdenci?rias, os roubos, os furtos, as torturas etc. Em suma, qualquer crime em que alguma informa??o que orbita em torno do delito ou mesmo uma informa??o que aponta a exist?ncia do pr?prio crime tenha ficado registrada de alguma forma no computador. 21 Os conceitos apresentados por Couri e Patr?cia Peck est?o em conson?ncia com o que leciona Huebner, que sugeriu uma classifica??o para os crimes inform?ticos, e s?o complementares ao que nos ensinou T?lio Lima Vianna, todos referenciados anteriormente. 2.4. INVESTIGA??O POLICIAL CRIMINAL De acordo com Luiz Fl?vio Gomes e F?bio Scliar, ?Investiga??o ? atividade de busca da verdade acerca de determinado fato, ? esfor?o para conhecimento de determinada coisa que est? oculta? (Gomes & Scliar, 2008). Em uma investiga??o, procura-se tornar evidente o obscuro, preenchendo os vagos de informa??o, elaborando inquiri??es e perseguindo respostas que permitam concluir sob a a??o delituosa tudo quanto seja necess?rio para fundamentar a investiga??o criminal.Tomando por base o que ? ensinado na Academia Nacional de Pol?cia, ?Investigar um crime ?, de fato, fazer perguntas e catalogar respostas, em uma seq??ncia l?gica, buscando reconstituir toda a a??o delituosa e apontar, com seguran?a, a sua autoria.? (ANP/DPF, 2009). De acordo com a professora Maria Carolina Opilhar (Opilhar, 2006), a investiga??o policial poderia ser conceituada como: A investiga??o policia ? atividade de natureza sigilosa exercida por policial ou equipe de policiais determinada por autoridade competente que, utilizando metodologia e t?cnicas pr?prias, visa a obten??o de evid?ncias, ind?cios e provas de materialidade e de autoria do crime. Em outras palavras, Maria Carolina Opilhar leciona que a investiga??o policial criminal tem por objetivo alcan?ar, n?o s? a prova documental ou pericial de um crime, mas tamb?m os ind?cios, que s?o esp?cies de circunstancias que possuam rela??o com o crime, baseando-se em probabilidades, por exemplo - para apontar sua prov?vel autoria e/ou a sua poss?vel din?mica de perpetra??o. De acordo com Adriano M. Barbosa, a investiga??o policial busca informa??es orientadas por indaga??es que, respondidas, conduzem ? elucida??o do delito investigado (Barbosa, 2011) O investigador diante da situa??o que aconteceu; (b) Quem foi o autor do fato; (c) Quando tal fato se deu; (d) Onde ele aconteceu; (e) Por que ele veio ? tona; (f) Como foi o ato criminoso praticado; e (g) Com quais instrumentos o seu autor levou a termo perpetra??o. Para alcan?ar respostas a tais indaga??es, faz do pr?prio fato em apura??o. ? para alcan?ar esse objetivo que as dilig?ncias policiais s?o orientadas, servindo a investiga??o como um dos instru informa??es, conhecimento e intelig?ncia no inqu?rito policial. 2.4.1. An?lise da Informa??o A an?lise da informa??o na investiga??o policial criminal pode ser definida por interm?dio de um ciclo representado na figura 2.1. Figura 2.1 O processo tem por objetivo obter e aportar informa??es e conhecimento na investiga??o policial criminal, utilizando como ve?culos os relat?rios de an?lise apresentados de forma sucessiva e complementar. Os relat?rios de an?lise se destinam tamb?m a apresentar os pontos ainda n?o elucidados pela investiga??o: os ditos ?vazios? de informa??o. Tais pontos obscuros devem ser objeto de novas dilig?ncias que aporte na investiga??o novas informa??es que, depois de cotejadas com o que se conhece, gerem novas conclus?es, e assim por diante, at? que se alcance o esclarecimento dos fatos (relat?rio final) (ANP/DPF, 2009) A an?lise da informa??o n?o se resume a uma simples an?lise isolada de conte?do de documentos, pois ?mesmo o mais simples dos casos demanda um exaustivo trabalho de . Segundo ele: -problema (crime) h? de indagar sobre: (a) O -se necess?rio granjear os detalhes a cerca mentos que aportam dados, - Processo de an?lise (adaptado de DPF, 2009). . 22 a sua m 23 busca, classifica??o e an?lise de informa??es das mais diversas fontes?. (ANP/DPF, 2009). Faz-se indispens?vel analisar e cruzar dados e informa??es para que se possa adquirir o conhecimento necess?rio ? reuni?o de um conjunto robusto de provas que levem a elucida??o do delito. A complexidade dos delitos contempor?neos exige uma ampla integra??o dos meios de prova. Nesta linha, um investigador, agente cognoscente do processo de an?lise da informa??o, necessita reunir dados referentes ao caso em concreto para que - ap?s analis?-los, relacionando-os com outros dados conhecidos - possa atribuir a eles algum significado, conferindo-os condi??o de informa??o (ANP/DPF, 2009). Um processo de an?lise da informa??o deve permear a investiga??o policial criminal. Cada conhecimento adquirido pode se constituir em pe?a fundamental para produ??o de novo conhecimento, at? que se alcance a percep??o da materialidade do delito e seja poss?vel identificar a sua autoria e a poss?vel din?mica de perpetra??o (ANP/DPF, 2009). 2.5. PER?CIA CRIMINAL Segundo Adalberto Jos? Q. T. de Camargo Aranha, desembargador aposentado do Tribunal de Justi?a de S?o Paulo, ?A per?cia ? a lanterna que ilumina o caminho do juiz que, por n?o a ter quanto a um determinado fato, est? na escurid?o. A lente que corrige a vis?o que est? deficiente pela falta de um conhecimento especial? (Aranha, 1987). De acordo com Lu?s Fernando de Moraes Manzano (Manzano, 2011): Per?cia ? um meio de prova t?cnica ou cient?fica, que tem por objetivo a obten??o de certo conhecimento relevante para o acertamento do fato (elemento de prova), a partir de procedimento t?cnico realizado sobre pessoa ou coisa (fonte de prova). A conclus?o do t?cnico ou profissional (conclus?o probat?ria) ? expressa num laudo (elemento de prova), que tem por finalidade (finalidade de prova) influir da persuas?o racional do juiz, em seu processo cognitivo de valora??o (valora??o da prova). 24 Entre as defini??es cl?ssicas de per?cia criminal encontra-se o asseverado pelo Dr. C.J.A Mittermaier (Mittermaier, 1997): O doutrinador afirma que Tem lugar o exame de peritos sempre que se apresentarem na causa criminal quest?es importantes, cuja solu??o, para poder convencer o juiz, exija o exame de homens, que tenham conhecimentos e aptid?es t?cnicas e especiais. A per?cia criminal poder? ser autorizada pela autoridade judici?ria ou policial. Ressalvado o exame de corpo de delito, que n?o pode ser denegado quando a infra??o deixar vest?gios, as demais per?cias, se n?o necess?rias ao esclarecimento da verdade, segundo o art. 184 do C?digo de Processo Penal Brasileiro, poder?o ser indeferidas pela autoridade judici?ria ou policial. O C?digo de Processo Penal Brasileiro em seu art. 158 determina que ?quando a infra??o deixar vest?gios, ser? indispens?vel o exame de corpo de delito, direto ou indireto, n?o podendo supri-lo a confiss?o do acusado?. Nestes termos, de sua falta pode resultar a nulidade processual. Contudo, o referido diploma legal n?o estabeleceu um conceito para corpo de delito. Citando H?lio Tornagui, Manzano fez conhecer que (Manzano, 2011): Corpo de delito ? o conjunto de vest?gios materiais deixados pelo crime. A express?o ? de Farin?cio, que distinguia a alma do delito (anima delicti), que ? a mal?cia ou neglig?ncia do agente, e o corpo de delito, que ? a materialidade do crime, aquilo que se v?, ouve, palpa, sente; aquilo que cai sob os sentidos; instrumentos; e o pr?prio crime; marcas, impress?es, pegadas etc. 2.6. CONSIDERA??ES Revisitando o conceito em torno do papel do computador no delito, combinando-o com os art. 158 e 175 do C?digo de Processo Penal Brasileiro, observa-se: 1) Quando o equipamento foi o alvo do delito ? o pr?prio bem tutelado violado, o corpo de delito ? seu exame pericial ser? indispens?vel; 2) Quando o computador foi o instrumento da perpetra??o da conduta delituosa um exame pericial que lhe verifique a efici?ncia para produzir os efeitos observados no delito ser? relevante. No artigo 175, o C?digo de Processo Penal Brasileiro estabelece que ?ser?o sujeitos a exame os instrumentos empregados para a pr?tica da infra??o, a fim de se lhes verificar a natureza e a efici?ncia?. Segundo Nucci, verificar a ?natureza significa estabelecer a esp?cie e a 25 qualidade? do instrumento. Por sua vez, verificar a ?efici?ncia quer dizer a verifica??o de sua for?a ou efic?cia para produzir determinado resultado?. Nucci menciona ser plaus?vel a hip?tese de crime imposs?vel, quanto se constata que a arma, em tese, utilizada para comet?-lo pode ser inapta para este fim. (Nucci, 2008); 3) Quando o computador teve um papel meramente incidental em um crime (armazenando documentos eletr?nicos possivelmente relacionados a um caso em apura??o), tem-se o objetivo inicial de alcan?ar tais documentos eletr?nicos, assegurando sua proced?ncia, autenticidade e integridade, a fim de que posteriormente se proceda ? minuciosa an?lise de conte?do destes documentos, cotejando-os com outras provas (ANP/DPF, 2008); 4) Um computador pode ao mesmo tempo cumprir mais de um papel no delito. Para representar a an?lise da informa??o digital e o estudo de eventos, de rastros deixados por criminosos e dos efeitos ocorridos em um ambiente computacional ou provocados a partir dele, na literatura em ingl?s, ? comum encontrar os termos digital investigation, computer forensics, forensic computer science, al?m de outros. Entretanto, do contexto da apura??o de crimes no Brasil, o conceito que envolve o termo digital investigation ? mais abrangente que os conceitos de per?cia criminal e investiga??o policial criminal, vistos de forma isolada. Segundo Brian Carrier, o conceito de digital investigation seria (Carrier, 2005): A digital investigation is a process where we develop and test hypotheses that answer questions about digital events. This is done using the scientific method where we develop a hypothesis using evidence that we find and then test the hypothesis by looking for additional evidence that shows the hypothesis is impossible. Palmer conceituou forensic computer science da seguinte forma (Palmer, 2001): The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations. 26 Freiling e Schwittay conceituaram computer forensic como (Freiling & Schwittay, 2007): Computer Forensics is a scientific discipline which is concerned with the collection, analysis and interpretation of digital data connected to a computer security incident; it is sometimes also called digital forensics. Since any device, data or other resource subject to a forensic examination may be subsequently used as evidence in a court of law, Computer Forensics puts special emphasis on the correct treatment of potential evidence to prevent it from being altered or tampered with. Em raz?o do que se discutiu neste Cap?tulo acerca de meios de prova, fragilidade da prova digital12, papel do computador no delito, crime inform?tico, busca pela produ??o de provas admiss?veis em ju?zo e segrega??o de pap?is existentes entre investigadores e peritos criminais, o conceito de digital investigation s? ? suficientemente compat?vel com a reuni?o dos conceitos de an?lise da informa??o e pericia criminal. Por conseguinte, requer uma integra??o de esfor?os entre peritos criminais e investigadores na busca pela elucida??o dos fatos investigados. Al?m do mais, no Direito Penal brasileiro, o meio de prova documental n?o se confunde com o meio de prova pericial. Conforme ensinou Manzano, referenciado na Se??o 2.2.3, s?o coisas distintas e submetidas a disciplinas jur?dicas diversas. Conjuntamente, os conceitos apresentados neste cap?tulo e o problema de pesquisa, permitem expor que a forma como atualmente ? desempenhada a an?lise da informa??o digital no Brasil, acarreta: 1. O afastamento dos investigadores de parte do principal insumo de seu trabalho: a informa??o em formato digital. Na medida em que estes n?o explorarem profundamente o material computacional arrecadado, documentos relevantes ao apurat?rio poder?o n?o estar sendo percebidos, prejudicando a efici?ncia da investiga??o policial criminal; 12 Em virtude de n?o serem tang?veis requerem procedimentos para adequada coleta e preserva??o (Pinheiro, 2008). Al?m de meios que assegurem, posteriormente, a sua integridade, autenticidade e proced?ncia para que al?assem a confian?a do magistrado em um processo legal (ANP/DPF, 2008). 27 2. Centraliza??o, no perito criminal, do trabalho de busca e an?lise de documentos eletr?nicos, donde resulta a prova documental, e do trabalho de condu??o de exames periciais, propriamente dito, donde resulta a prova pericial. O Cap?tulo 3 discorre sobre os modelos de processo que foram propostos para a investiga??o digital no contexto da apura??o de crimes, bem como ferramentas utilizadas para esse fim. 28 3. TRABALHOS RELACIONADOS Este Cap?tulo apresenta diversas propostas concebidas para instrumentar as investiga??es que envolvem a aquisi??o de provas de origem digital. Na Se??o 3.1 s?o apresentadas as principais caracter?sticas de diversos modelos de processo utilizados em investiga??es digitais13. Na Se??o 3.2 s?o apresentadas diversas ferramentas empregadas no desempenho deste trabalho. 3.1. MODELOS DE PROCESSOS FORENSES De forma geral, a concep??o de um modelo de processos est? relacionada ao seu emprego. Cada proposta tende a possuir caracter?sticas que atendam certas particularidades ou dirijam certo modo de trabalho. No segmento policial, por exemplo, as exig?ncias legais e outros fatores s?o significativos. 3.1.1. Pollitt ? 1995 Segundo Pollitt, para que os documentos eletr?nicos alcancem admissibilidade em ju?zo, bases s?lidas precisam ser estabelecidas, d?vidas precisam ser dirimidas e devem ser afastadas quaisquer inseguran?as existentes. O pesquisador enfatiza que a cadeia digital que comp?e o documento precisa passar por um processo de aquisi??o e convers?o para s? ent?o dar origem a um formato intelig?vel. Somente depois deste momento ? que um avaliador, ap?s identificar algo possivelmente relacionado ao apurat?rio, julgar? se a informa??o contida no documento identificado ? relevante (Pollitt, 1995). Para alcan?ar os objetivos pretendidos, Pollitt prop?s um framework composto de quatro passos, representado na figura 3.1 (Pollitt, 1995). Figura 3.1 ? Modelo forense computacional (adaptado de Pollitt, 1995). 13 Tradu??o literal do termo em ingl?s digital investigation. 29 O modelo de Pollitt representa as a??es b?sicas em um processo forense e foi estruturado da seguinte forma (Pollitt, 1995): 1) A fase de aquisi??o tem por objetivo alcan?ar as provas digitais, utilizando-se de recursos que devem obedecer ?s regras definidas pela Lei; 2) A fase de identifica??o tem por objetivo converter a cadeia bin?ria que d? origem ao documento para um formato que seja compreens?vel para o leigo; 3) A fase de avalia??o tem por objetivo determinar se a informa??o contida no documento ? relevante; 4) A fase de admiss?o tem por objetivo a apresenta??o da prova. 3.1.2. Palmer ? 2001 De acordo com Palmer, os participantes do First Digital Forensic Research Workshop, confer?ncia ocorrida no ano de 2001, conceberam um modelo de processo gen?rico e aplic?vel a grande parte das investiga??es envolvendo sistemas digitais e redes de computadores (Palmer, 2001). Representado na figura 3.2, o modelo descrito por Palmer ? composto por 7 fases, em que as principais foram denominadas por preserva??o, coleta, exame e an?lise (Palmer, 2001). Figura 3.2 - Modelo forense computacional (adaptado de Palmer, 2001). O modelo foi estruturado da seguinte forma (Palmer, 2001): 1) A fase de identifica??o consiste da detec??o do evento ou crime, monitoramentos de eventos e auditoria de fatos; 30 2) A fase de preserva??o consiste da gest?o do caso, cadeia de cust?dia14, gera??o de imagens forenses; 3) A fase de coleta consiste da obten??o da autoriza??o legal, do uso de t?cnicas de recupera??o, preserva??o, ado??o de software e hardwares apropriados, utiliza??o de m?todos confi?veis, t?cnicas de recupera??o etc.; 4) A fase de exame consiste da preserva??o do material a examinar, na aplica??o de t?cnicas de filtragem e pesquisas, na descoberta de dados ocultos, etc.; 5) A fase de an?lise consiste da busca pela descoberta da prova do evento ou crime; 6) A fase de apresenta??o consiste da documenta??o dos trabalhos e formaliza??o da prova; 7) A fase de decis?o consiste da avalia??o final dos trabalhos investigat?rios. 3.1.3. Reith, Carr e Gunsch ? 2002 Reith, Carr e Gunsch propuseram um modelo, representado na figura 3.3, baseado na proposta descrita por Palmer, em 2001. Os pesquisadores teriam tamb?m utilizado como base de sua proposta um conjunto de regras utilizado pela Pol?cia Federal Americana para tratar a cena de um crime (Reith, Carr, & Gunsch, 2002). Figura 3.3 - Modelo forense computacional (adaptado de Reith, Carr e Gunsch, 2002). Os pesquisadores sugeriram a necessidade de um primeiro passo, que denominaram por "Identifica??o", para classificar o delito ou incidente investigado, argumentando que tal vis?o ? significativa, pois impacta os demais passos dos trabalhos (Reith, Carr, & Gunsch, 2002). O segundo passo envolveria a prepara??o dos trabalhos investigat?rios. Ele aborda as autoriza??es legais para afastar direitos individuais, como mandados de 14 Em s?ntese, a cadeia de cust?dia representa um registro cronol?gico que objetiva documentar os acontecimentos relacionados as evidencias, desde sua coleta at? sua apresenta??o em ju?zo. Visa a idoneidade da prova. 31 busca e apreens?o e autoriza??es para intercepta??es, tenso sido denominado "Prepara??o" (Reith, Carr, & Gunsch, 2002). Ap?s a conclus?o dos passos de identifica??o e prepara??o, d?-se in?cio ao passo de elabora??o de estrat?gias para abordagem. Nesse ponto objetiva-se maximizar a coleta de provas, minimizando os impactos ? v?tima. Na sequencia, tem-se a preserva??o do estado das coisas (local e evid?ncias) e a coleta, sugerindo a orienta??o deste modelo a um trabalho em local de crime. As demais fases s?o a execu??o de exames para identifica??o das evid?ncias, a an?lise das evid?ncias identificadas, apresenta??o das conclus?es dos exames e devolu??o do material examinado aos respectivos propriet?rios. Em rela??o ao passo de an?lise das evid?ncias identificadas, os autores sugerem que talvez sejam necess?rias v?rias itera??es para alcan?ar conclus?es em rela??o aos fatos investigados. Concluem que nesse ponto, outras pessoas poderiam participar dos trabalhos, pois a exig?ncia de uma elevada compet?ncia t?cnica teria sido afastada (Reith, Carr, & Gunsch, 2002). 3.1.4. Carrier e Spafford ? 2003 Adotando por premissa que cada computador no delito ? uma cena do crime em si, o modelo forense proposto por Carrier e Spafford, em 2003, representado na figura 3.4, aplica os conceitos alicer?ados das per?cias em locais de crime para oferecer uma alternativa de abordagem em investiga??es criminais. Os pesquisadores fazem men??o ? teoria de Locard15, afirmando que condutas que se utilizam de computadores deixar?o rastros percept?veis aos investigadores (Carrier & Spafford, 2003). Figura 3.4 - Modelo forense computacional (adaptado de Carrier e Spafford, 2003). 15 Em s?ntese, qualquer pessoa que entre em um local de crime deixa algo novo na cena. E, ao retirar-se, leva algo que l? estava, mesmo que n?o tenha esta inten??o. 32 Por exemplo, numa cena de crime, os cabelos, as fibras de roupas, o sangue, o suor do criminoso etc. s?o frequentemente utilizados por peritos criminais para obter informa??es relevantes ? apura??o do delito. De acordo com os pesquisadores, no caso de computadores, rastros como dados em mem?ria, arquivos tempor?rios, registros de eventos, entre outros, ser?o resultantes da conduta delitiva no ambiente computacional. O modelo proposto por Carrier e Spafford foi estruturado da seguinte forma (Carrier & Spafford, 2003): 1) A fase de prontid?o tem por objetivo alcan?ar uma infraestrutura capaz de suportar a investiga??o. Segundo os autores, tanto as provas de origem digital quanto outras provas podem ser perdidas se n?o forem coletadas adequadamente. 2) A fase de implanta??o tem por objetivo fornecer os meios para que o crime ou incidente seja identificado. Esta fase representa o in?cio da investiga??o, propriamente dita. 3) O objetivo da fase de investiga??o da cena de crime16, incluindo a cena de crime digital17, ? coletar e analisar os vest?gios18 e reconstituir as a??es que aconteceram durante o incidente. 4) A fase de investiga??o da cena de crime digital se inicia quando dispositivos computacionais s?o coletados na cena do crime ou quando comunica??es telem?ticas relacionadas ao delito s?o interceptadas. Esta fase aborda um computador como uma cena do crime onde vest?gios digitais devem ser procurados. Os pesquisadores enfatizam que a condu??o dessa fase deveria ser realizada por algu?m tecnicamente capacitado, especialista em ferramentas e t?cnicas forenses. 16 Em s?ntese, ? todo local onde tenha ocorrido um crime. 17 Em s?ntese, ? um local relativo a computadores ou s?tios de internet, por exemplo, onde tenha ocorrido um crime. 18 Em s?ntese, s?o marcas, sinais de a??es provocadas por algu?m ou sinais de algo que aconteceu. 33 3.1.5. Ciardhu?in ? 2004 O pesquisador Ciardhu?in publicou, no ano de 2004, um modelo composto de 13 fases, conforme representado na figura 3.5 (Ciardhuain, 2004). Figura 3.5 - Modelo forense computacional (adaptado de Ciardhu?in, 2004). O modelo proposto foi estruturado da seguinte forma (Ciardhuain, 2004): 1) A fase de avalia??o da necessidade tem por objetivo alcan?ar a convic??o que a investiga??o ? necess?ria. O pesquisador afirma que esta consci?ncia ? normalmente criada por eventos externos a organiza??o. 2) A fase de autoriza??o tem por objetivo alcan?ar a permiss?o necess?ria ao in?cio dos trabalhos investigat?rios. 3) A fase de planejamento tem por objetivo definir as estrat?gias a serem seguidas para condu??o das investiga??es, que podem sofre influencias internar e externas a organiza??o respons?vel pelas apura??es. De forma externa a organiza??o respons?vel pelas investiga??es, os trabalhos s?o fortemente influenciados por regulamentos e legisla??es. Internamente, s?o influenciados por experi?ncias anteriores, pol?ticas da pr?pria organiza??o. 4) A fase de notifica??o tem por objetivo tornar conhecido que a investiga??o ser? realizada. O autor menciona que esta fase n?o se aplicaria a algumas investiga??es, onde o efeito surpresa ? necess?rio para evitar destrui??o de provas. 34 5) A fase de pesquisa e identifica??o de evid?ncia tem por objetivo a localiza??o de fontes de provas, como o computador utilizado para perpetra??o da pr?tica investigada. 6) A fase de cole??o tem por objetivo alcan?ar os vest?gios de forma que sejam analisados e preservados. Segundo o autor, esta atividade ? de relev?ncia para a investiga??o. Erros ou pr?ticas equivocadas podem comprometer a validade da prova. 7) A fase de transporte tem por objetivo transladar os vest?gios colidos para um local adequado e seguro a realiza??o dos exames. ? importante assegurar que o translado n?o afetar? a integridade da prova. 8) A fase de armazenamento tem por objetivo a guarda dos vest?gios, para os casos em que os exames n?o se iniciem imediatamente. 9) A fase de exame vai envolver a aplica??o de t?cnicas apropriadas para alcan?ar e interpretar a prova. 10) A fase de hip?tese tem por objetivo buscar elementos para demonstrar o que ocorreu, com base nos vest?gios. 11) A fase de apresenta??o tem por objetivo oferecer as conclus?es da investiga??o. 12) A fase de prova / defesa tem por objetivo que os investigadores comprovem a validade de sua hip?tese, defendendo-a de ataques e criticas. Hip?teses que n?o se possa sustentar podem resultar em retrocesso nas investiga??es. 13) A atividade final do modelo ? a dissemina??o de informa??es. Algumas informa??es podem ser disponibilizadas apenas para organiza??o, enquanto outras informa??es podem requerer uma divulga??o mais ampla. 3.1.6. Beebe e Clark ? 2004 Os pesquisadores Beebe e Clark publicaram, no ano de 2004, um modelo composto de fases, subfases, princ?pios e objetivos. O primeiro n?vel do modelo foi organizado em 6 fases, conforme representado na figura 3.6. O trabalho resultou em um modelo forense hier?rquico que observou pontos positivos de outros modelos e os harmonizou com suas 35 pr?prias id?ias, de sorte a simplificar a complexidade de um processo investigat?rio (Beebe & Clark, 2004). Figura 3.6 - Modelo forense computacional (adaptado de Beebe e Clark, 2004). O modelo proposto foi estruturado da seguinte forma (Beebe & Clark, 2004): 1) A fase de prepara??o inclui as medidas tomadas para maximizar a oportunidade de se alcan?ar os vest?gios. 2) A fase de resposta ao incidente tem por objetivo detectar, validar, avaliar e determinar uma estrat?gia de resposta para a suspeita de incidente de seguran?a. 3) A fase de coleta de dados tem por objetivo coletar os vest?gios digitais em conson?ncia com a estrat?gia definida na fase anterior. 4) A fase de an?lise de dados tem por objetivo confirmar ou refutar as alega??es relacionadas ? atividade suspeita. 5) A fase de apresenta??o tem por objetivo comunicar os resultados alcan?ados durante as investiga??es. 6) A fase de encerramento tem por objetivo registrar o encerramento das investiga??es e tomar a??es que preservem o conhecimento adquirido para uso em experi?ncias futuras. 36 3.1.7. Kent, Chevalier, Grance e Dang ? 2006 Os pesquisadores Kent, Chevalier, Grance e Dang propuseram, no ano de 2006, um modelo forense composto de 4 fases (Kent, Chevalier, Grance, & Dang, 2006), conforme representado na figura 3.7. Figura 3.7 ? Modelo Forense Computacional (adaptado de Kent, Chevalier, Grance e Dang, 2006). O modelo proposto foi estruturado da seguinte forma: 1) Na fase de coleta os materiais referentes a um evento espec?fico s?o identificados, rotulados, registrados e recolhidos, preservando-os em rela??o a sua integridade; 2) Na fase de exame as ferramentas forenses e t?cnicas adequadas s?o empregadas para identificar e extrair dados dos materiais coletados; 3) A fase de an?lise envolve a avalia??o dos resultados obtidos na fase de exame para alcan?ar informa??es relacionadas aos fatos e alvos; 4) A fase de relat?rio tem por objetivo explicitar os resultados dos exames. 3.1.8. Kohn, Eloff e Olivier ? 2006 Os pesquisadores Kohn, Eloff e Olivier propuseram, no ano de 2006, um modelo forense composto de 3 est?gio. O modelo estabelece que as atividades forenses estejam atentas aos requisitos legais, para que estabele?am provas v?lidas em ju?zo (Kohn, Eloff, & Oliver, 2006). 37 A figura 3.8 apresenta a ordem em que os est?gios foram estruturados. Figura 3.8 ? Modelo Forense Computacional (adaptado de Kohn, Eloff e Olivier, 2006). O modelo proposto foi organizado da seguinte forma (Kohn, Eloff, & Oliver, 2006): 1) O est?gio de prepara??o da investiga??o deve observar as pol?ticas e os procedimentos a serem empregados em investiga??es, o treinamento de pessoal, o reaproveitamento de experi?ncias anteriores, a defini??o de estrat?gias de abordagem etc.; 2) O est?gio de investiga??o deve considerar recolher computadores envolvidos com os fatos investigados, transportar as provas para um ambiente seguro, examin?-las usando as ferramentas adequadas, analisar o produto do exame para determinar o significado e o valor dos vest?gios encontrados; 3) O est?gio final da investiga??o forense deve incluir uma etapa de apresenta??o dos resultados da investiga??o. 3.1.9. Aspectos Relacionados ao Emprego dos Modelos Os modelos de processo propostos em pa?ses estrangeiros n?o observam a segrega??o de pap?is existentes entre investigadores e peritos criminais, no modelo de persecu??o penal no Brasil. Ao adot?-los, concorre-se para dificultar que seja alcan?ado um maior aprofundamento na an?lise do poss?vel material probat?rio de origem digital, contribuindo para acarretar os problemas apresentados na Se??o 1.1. 3.2. FERRAMENTAS FORENSES Diversas ferramentas s?o comumente utilizadas no campo da investiga??o digital. Algumas delas s?o ferramentas comerciais e outras s?o iniciativas n?o comerciais, fortemente voltadas ? extra??o de evid?ncias de um ambiente computacional. 38 Em rela??o ?s ferramentas concebidas no Departamento de Pol?cia Federal, surgiram iniciativas que objetivam tornar c?lere a an?lise de documentos eletr?nicos e mais eficiente o tratamento de grandes volumes de dados. As mais conhecidas foram denominadas AsAP ? assistente de an?lise pericial e SARD ? sistema de acesso remoto de dados (SEPINF/DITEC, 2011). A primeira iniciativa compreende uma ferramenta que automatiza alguns passos espec?ficos da intera??o do perito criminal com a ferramenta FTK - Forensic Toolkit da AccessData, para alcan?ar maior produtividade no processamento de dispositivos de armazenamento de dados computacionais (SEPINF/DITEC, 2011). A segunda ? um conceito gen?rico. Entende-se ser o provimento de acesso remoto ao conte?do do material computacional apreendido pela equipe de investiga??o. Em rela??o ?s iniciativas n?o comerciais, ? relevante mencionar a exist?ncia das ferramentas denominadas SleuthKit/Autopsy Forensic Browser, Foremost e Scalpel. O SleuthKit ? uma cole??o de ferramentas de linha de comando que permitem investigar o sistema de arquivos de dispositivos de armazenamento de dados computacionais. Por sua vez, a ferramenta Autopsy Forensic Browser ? uma interface gr?fica para o SleuthKit (SleuthKit/Autopsy, 2011). A ferramenta Foremost ? um programa de linha de comando para recuperar arquivos de dispositivos de armazenamento de dados computacionais com base em seus cabe?alhos, rodap?s e estruturas internas (Foremost, 2011). A ferramenta Scapel, assim como o Foremost, ? um programa de linha de comando para recuperar arquivos de dispositivos de armazenamento de dados computacionais com base em seus cabe?alhos, rodap?s e estruturas internas (Scalpel, 2011). No que tange ?s iniciativas comerciais, ? relevante enfatizar a exist?ncia das ferramentas EnCase da Guidance Software, Inc. (EnCase Forensic, 2011) e FTK da AccessData Corp. (Access Data, 2011). Em s?ntese, o FTK ? uma ferramenta que integra um grande numero de funcionalidades aplic?veis ? investiga??o digital, a maior parte delas dedicada a an?lise de dispositivos de armazenamento de dados computacionais. Segundo seus desenvolvedores, ? reconhecida em todo o mundo como o padr?o em software de computa??o forense. As 39 vers?es mais recentes incluem processamento distribu?do, an?lise colaborativa, gerenciamento centralizado de casos e outros recursos projetados com o objetivo de tornar mais ?gil a investiga??o digital. A ferramenta Encase ? descrita por seus idealizadores como uma solu??o forense completa e poderosa, utilizada para analisar uma variedade de dispositivos computacionais. A ferramenta inclui fun??es de aquisi??o de dados, recupera??o de arquivos, pesquisa e an?lise de dados, al?m de outras funcionalidades (EnCase Forensic, 2011). 3.2.1. Aspectos Relacionados ao Emprego das Ferramentas As ferramentas forenses apresentadas carecem de caracter?sticas que as especializem no processo investigat?rio de an?lise da informa??o, abordado no Cap?tulo 2, Se??o 2.4.1. Elas tampouco suportam dimens?es b?sicas e fundamentais ?quele processo de an?lise, como, por exemplo, locais das apreens?es, alvos, equipe respons?vel pela dilig?ncia policial e outros dados relevantes ? cogni??o na atividade policial, principalmente no caso de investiga??es complexas, envolvendo m?ltiplos alvos e a??es perpetradas em diferentes localiza??es, por exemplo. Al?m do mais, corroboram os administradores da Pericia Criminal Federal, que as ferramentas n?o oferecem recursos capazes de trabalhar, de forma eficiente os mais de 6.000 discos r?gidos e computadores arrecadados anualmente em diversas investiga??es policiais (INC/DITEC, 2010) (INC/DITEC, 2011). 3.2.2. Uma Nova Gera??o de Ferramentas Segundo Nicole Beebe, uma nova gera??o de ferramentas forense deve ser capaz de oferecer respostas mais eficientes para os novos desafios da computa??o forense na atualidade. Entre os desafios frequentemente mencionados est?o o tratamento com grandes volumes de dados, as grandes quantidades de m?dias de armazenamento de dados comumente envolvidas em processos investigat?rios e a frequente expans?o da capacidade de armazenamento das m?dias computacionais (Beebe N. L., 2009). Na ?tica de Beebe, uma alternativa para oferecer respostas ao grande volume de dados ? a ado??o de m?todos seletivos de coleta. Outras solu??es sugeridas para tornar mais eficiente o tratamento com grandes volumes de informa??o incluem processamento 40 anal?tico distribu?do, processos de buscas baseados em minera??o de dados, an?lise colaborativa geograficamente distribu?da e classifica??o de arquivos para facilitar o processo de an?lise. A pesquisadora enfatiza ainda que as abordagens computacionais atuais para busca, recupera??o e an?lise isolada de evid?ncias digitais s?o simplistas e fortemente dependentes do esfor?o de um investigador. Ela afirma tamb?m que as novas ferramentas devem prover-se de solu??es mais inteligentes, para melhoria tanto da efici?ncia quanto da efetividade do processo de an?lise, utilizando, por exemplo, algoritmos de minera??o de dados que revelem tend?ncias para dados e informa??es que seriam indetect?veis ou dificilmente percebidas somente por uma an?lise e observa??o humana, fazendo com que investigadores obtenham conhecimentos investigativos sem precedentes (Beebe N. L., 2009). Segundo Simson L. Garfinkel, as ferramentas forenses est?o voltadas ? identifica??o de evid?ncias e deveriam ser repensadas para ajudar em investiga??es. O pesquisador aponta para uma iminente crise no campo da forense computacional e discute a necessidade de torn?-la mais eficiente. Ele prop?e uma nova dire??o do campo das pesquisas forenses computacionais, enfatizando a concep??o de solu??es que adotem arquiteturas modulares, modelos alternativos de an?lise, processamento paralelo e recursos de colabora??o e automatiza??o de processos, entre outros pontos (Garfinkel, 2010). Na vis?o de Daniel Ayers, uma nova gera??o de ferramentas forenses deve prover capacidade de processamento paralelo e distribu?do, automa??o e agendamento de processos. Deve ser constru?da segundo t?cnicas de engenharia de software que observem o problema principal e o decomponham em problemas mais simples, para originar a constru??o de uma solu??o modular com entradas e sa?das claramente definidas (Ayers, 2009). 3.3. CONSIDERA??ES Este Cap?tulo apresentou modelos de processo e ferramentas aplic?veis ? investiga??o digital, pontuando suas limita??es. Tais modelos de processo e ferramentas forenses, mesmo quando desenvolvidos observando requisitos de um ou mais pa?ses, naturalmente podem deixar de observar particularidades existentes em outros. No caso 41 especifico do Brasil, os modelos e as ferramentas possuem limita??es que restringem sua aplica??o na pol?cia judici?ria brasileira, n?o oferecendo uma solu??o adequada ? investiga??o digital no Brasil, causando o afastamento de investigadores do poss?vel material probat?rio ou limitando seu acesso a eles. O Cap?tulo tamb?m abordou os trabalhos de Beebe (Beebe N. L., 2009), Garfinkel (Garfinkel, 2010) e Ayers (Ayers, 2009), acerca de uma nova gera??o de ferramentas forenses. Os referidos pesquisadores influenciaram positivamente este trabalho, ? medida que os seus conceitos lan?aram desafios que foram enfrentados durante os estudos. O Cap?tulo 4 discorre sobre a proposta desta pesquisa, apresentando a metodologia e a arquitetura do ferramental. Ambos concebidos para oferecer resposta ao problema de pesquisa apresentado na Se??o 1.1, do Cap?tulo 1. 42 4. PROPOSTA DO TRABALHO Neste Cap?tulo ? apresentada a proposta desta pesquisa, com foco na sistematiza??o e instrumenta??o dos trabalhos periciais e de an?lise da informa??o digital, para tornar mais ?gil e eficiente a apura??o de crimes. A Se??o 4.1 apresenta a metodologia proposta, enquanto que a Se??o 4.2 descreve a arquitetura para o instrumental especializado. 4.1. METODOLOGIA PROPOSTA As investiga??es policiais criminais contempor?neas se deparam com um grande desafio: desenvolver de forma ?gil o conhecimento que conduza ? elucida??o de crimes, tanto a partir dos elementos de provas e de informa??o tradicionais, quanto a partir das novas e numerosas fontes de informa??o eletr?nica. A natureza din?mica do cometimento de crimes, a ubiquidade de computadores, a estrutura??o das organiza??es criminosas, a transnacionalidade ou interestadualidade do delito tornam esta uma tarefa ainda mais complexa. Antes de propor procedimentos e instrumentos, ? relevante revisar que no Brasil, conforme apresentado no Cap?tulo 3, a investiga??o policial ? um trabalho em equipe, multidisciplinar por natureza, que envolve peritos criminais e investigadores, formalizada pelo inqu?rito policial, uma fase pr?-processual da persecu??o penal. O conceito de crime inform?tico enfatiza tr?s classifica??es: crime centrado no computador, crimes auxiliados por computador, crimes com o envolvimento incidental do computador. Ainda, conceitua-se a investiga??o policial como uma atividade que busca estabelecer a verdade acerca de um fato, num esfor?o para conhecer determinada coisa que est? oculta, oferecendo provas admiss?veis em ju?zo. A metodologia proposta observa os requisitos abaixo: 1) Observar as fronteiras das atribui??es de investigadores e de peritos criminais: criar os meios para que cada qual desempenhe de forma ampla e aut?noma suas atribui??es na investiga??o policial criminal; 2) Viabilizar que documentos tradicionais e eletr?nicos sejam submetidos a um ?nico processo de an?lise da informa??o; 43 3) Observar as exig?ncias legais para admissibilidade em ju?zo da prova digital: prover os meios para que a prova digital seja apresentada, de tal sorte que possam ter verificada sua integridade, autenticidade e proced?ncia; 4) Apresentar, de forma ?gil, os documentos eletr?nicos para viabilizar a realiza??o das investiga??es: para conduzir investiga??es policiais, os investigadores, em certos casos, necessitam de informa??es que est?o sob dom?nio dos pr?prios investigados. Nesses casos, dilig?ncias de busca e apreens?o, devidamente autorizadas pela autoridade competente, s?o realizadas para que investigadores alcancem tais informa??es. No caso de informa??es em formato digital, intang?veis por natureza, contidas nos computadores apreendidos, faz-se necess?rio um procedimento eficaz para apresentar, de forma c?lere ao apurat?rio, os documentos eletr?nicos produzidos pelo usu?rio do computador; 5) Viabilizar a an?lise da informa??o de forma colaborativa e geograficamente distribu?da: a atividade de investiga??o ?, via de regra, um trabalho multidisciplinar realizado em equipe. Investigadores que possuem os conhecimentos necess?rios ? condu??o do processo investigat?rio de an?lise de informa??es muitas vezes est?o geograficamente dispersos. Se, mesmo dispersos puderem colaborar em an?lises, a investiga??o policial ser? favorecida; 6) Viabilizar as an?lises que permeiem a investiga??o: um agente cognoscente depende da disponibilidade de dados e de experi?ncias pr?vias para formar conhecimento. Dados que a princ?pio s?o irrelevantes podem se tornar fundamentais para elucida??o do delito, em outro momento das investiga??es; 7) Evitar o descarte prematuro de dados: descartar dados considerados irrelevantes ? condi??o irremedi?vel, que compromete a forma??o posterior de conhecimento a partir dos dados descartados. Em um momento futuro das investiga??es podem vir a existir a condi??o que permitiria identificar a real relev?ncia da informa??o descartada; 8) Viabilizar a triagem de materiais (identifica??o daqueles ligados ao delito dentre os demais arrecadados): otimizar o uso dos recursos humanos e materiais, minorando o esfor?o da Per?cia pelo aumento da assertiva de quais materiais est?o de fato relacionados ao crime em apura??o; 44 9) Viabilizar a automatiza??o de tarefas periciais e investigat?rias: prover os meios para, por interm?dio do emprego da tecnologia, tornar mais ?geis os trabalhos de peritos criminais e investigadores; 4.1.1. Vis?o Geral O processo foi estruturado em 2 parti??es, 4 segmentos, 4 fases, 2 subfases e 18 atividades, conforme estruturado abaixo: 1) Parti??o: Investigadores a. Segmento: Planejamento ? Atividade: Estrat?gia e Abordagem b. Segmento: Investiga??o i. Fase: An?lise e cotejo ? Atividade: Elaborar premissa ? Atividade: Elaborar hip?teses ? Atividade: Definir estrat?gias ? Atividade: Obter os documentos eletr?nicos (buscas) ? Atividade: Reunir documentos ? Atividade: Analisar (hip?teses, premissas, documentos) ? Atividade: Elaborar relat?rios de an?lise 45 2) Parti??o: Peritos Criminais c. Segmento: Apresenta??o de dados i. Fase: Extra??o de Dados ? Atividade: Prepara??o em observ?ncia aos princ?pios da cadeia de cust?dia ? Atividade: Aquisi??o ? Atividade: Extra??o de documentos eletr?nicos ? Atividade: Montagem dos reposit?rios ii. Fase: Descoberta de Dados ? Atividade: Reconhecimento por padr?es ? Atividade: Reconhecimento de v?nculos ? Atividade: Reconhecimento de artefatos d. Segmento: Exames Periciais i. Fase: Exame Pericial em Inform?tica ou outro ramo do conhecimento cient?fico ? Subfase: Exame pericial em inform?tica a. Atividade: Coleta b. Atividade: Exame c. Atividade: Formaliza??o ? Subfase: Exame pericial em outro ramo do conhecimento cient?fico 46 A figura 4.1 representa o n?vel geral do processo proposto. As parti??es denominadas investigadores e peritos criminais delimitam a atua??o de cada ator. Os segmentos planejamento, apresenta??o de dados, investiga??o e exames periciais delineiam o ponto em que cada ator participa do processo. Figura 4.1 ? Modelo Proposto 4.1.2. Segmento Planejamento O segmento planejamento est? a cargo de investigadores. Ele ? composto da atividade denomina estrat?gia e abordagem. Foi concebido para permitir a coordena??o da investiga??o policial criminal, estabelecendo a forma como ser?o organizados os trabalhos na apura??o de um determinado delito. Alguns crimes podem requerer exclusivamente a an?lise da informa??o contida em documentos eletr?nicos. Outros, exclusivamente a per?cia nos materiais apreendidos. Ainda podem existir aqueles que requeiram as duas a??es. 4.1.3. Segmento Apresenta??o de Dados O segmento apresenta??o de dados est? a cargo de peritos criminais. Foi concebido para apresentar ao apurat?rio os documentos e criar os elementos que permitir?o assegurar verifica??es futuras da integridade, autenticidade e proced?ncia destes documentos eletr?nicos. Em conjunto com a cadeia de cust?dia, s?o fundamentais em contendas relacionadas ? validade da prova digital ou ao rep?dio desta em qualquer das etapas da persecu??o penal. 47 Para que os documentos eletr?nicos possam ser apresentados para os investigadores, ? necess?rio o envio formal do material apreendido a uma unidade de Per?cia Oficial. No primeiro momento a unidade de pericia oficial proceder? a descri??o do material e sua preserva??o, o que permitir? a extra??o segura do conte?do do material apreendido. Para desempenhar essa tarefa os peritos se utilizar?o de conhecimento especializado sobre as fragilidades e os riscos associados ?s evid?ncias digitais, valendo-se dos componentes do ferramental de uso t?pico da fun??o pericial. Este trabalho visa a garantia da cadeia de cust?dia de provas, da proced?ncia, da integridade e da autenticidade dos documentos eletr?nicos repassados ? equipe de investiga??o e ? Justi?a. Num segundo momento, uma fase de descoberta de dados visar? apoiar a identifica??o de documentos possivelmente relevantes ao apurat?rio. Para desempenhar essa tarefa os peritos interagir?o com os componentes (agentes inteligentes) do ferramental. O produto desta fase ? tamb?m disponibilizado para an?lise por investigadores. Este trabalho visa identificar subconjuntos de documentos, utilizando-se de t?cnicas e procedimentos automatizados, especializados em explorar grandes volumes de dados, procurando por arquivos que atendam a certos padr?es, que possuam determinadas estruturas, que apresentem certas caracter?sticas, que possuam relacionamentos sistem?ticos demonstrando poss?veis liga??es entre alvos (v?nculos), entre outros poss?veis. As fases aqui descritas est?o detalhadas nas subse??es que seguem. 4.1.3.1. Fase de Extra??o de Dados A fase de extra??o de dados ? composta por quatro atividades, como apresentado na figura 4.2. Ela apresenta as a??es de alto n?vel sugeridas para a execu??o do trabalho pericial que antecede os trabalhos de an?lise da informa??o. Figura 4.2 ? Apresenta??o de dados ao apurat?rio 48 A fase ? de responsabilidade de peritos criminais, ela estrutura os trabalhos de extra??o e disponibiliza??o de documentos eletr?nicos da seguinte forma: 1) Prepara??o: Objetiva reunir, caracterizar e organizar o processamento dos materiais que ter?o o conte?do extra?do. A tabela 4.1 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.1 - Prepara??o Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Materiais arrecadados ? Requisi??o de disponibiliza??o de dados ? Auto de arrecada??o ? Prioriza??o de alvos ? An?lise minuciosa das caracter?sticas dos materiais ? An?lise da prioriza??o definida ? Caracteriza??o dos materiais ? Mapa de Alvos x Materiais ? Estrat?gias e ordem de prioriza??o para processamento dos materiais arrecadados 2) Aquisi??o: Submeter os materiais aos procedimentos periciais de prote??o e preserva??o para a realiza??o de c?pia forense. A tabela 4.2 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.2 - Aquisi??o Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Materiais arrecadados ? Caracteriza??o dos materiais ? Mapa de Alvos x Materiais ? Estrat?gias e ordem de prioriza??o para processamento dos materiais arrecadados ? Componente Aquisitor ? Imagem forense (c?pia bit-a-bit) 3) Extra??o de documentos eletr?nicos: uma vez conclu?da a c?pia forense de um dos materiais arrecadados, as extra??es poder?o ser iniciadas automaticamente. A tabela 4.3 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. 49 Tabela 4.3 - Extra??o Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Imagem forense ? Caracteriza??o dos materiais ? Mapa de Alvos x Materiais ? Estrat?gias e ordem de prioriza??o para processamento dos materiais arrecadados ? Componente Extrator ? Documentos eletr?nicos (artefatos) ? Caracteriza??o dos documentos eletr?nicos extra?dos (Metadados) 4) Montagem dos reposit?rios: As montagens de reposit?rios poder?o ser executadas automaticamente logo ap?s a conclus?o das extra??es. A tabela 4.4 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.4 - Montagem do Reposit?rio Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Caracteriza??o dos materiais ? Mapa de Alvos x Materiais ? Estrat?gias e ordem de prioriza??o para processamento dos materiais arrecadados ? Documentos eletr?nicos (artefatos) ? Caracteriza??o dos documentos eletr?nicos extra?dos (Metadados) ? Componente montador ? Carga do reposit?rio de arquivos ? Carga do reposit?rio central (metadados) 4.1.3.2. Fase de Descoberta de Dados A fase de descoberta de dados ? composta por tr?s atividades, como apresentado na figura 4.3. Ela apresenta as a??es de alto n?vel sugeridas para a execu??o de trabalhos que auxiliam na identifica??o de dados e informa??es relevantes para a an?lise investigat?ria da informa??o. Tem por objetivo processar grandes volumes de dados e permitir identificar padr?es, v?nculos e documentos que poderiam passar despercebidos pelos investigadores. 50 Figura 4.3 - Descoberta de Dados A fase estrutura os trabalhos de descoberta de dados da seguinte forma: 1) Reconhecimento por padr?es: As an?lises de padr?es s?o concebidas para identificar artefatos que se enquadrem em certas caracter?sticas previamente definidas. Por exemplo: buscar por combina??es de palavras-chave existentes em pontos determinados do artefato para identificar aqueles possivelmente relacionados a declara??es de imposto de renda, balancetes ou balan?os cont?beis. A tabela 4.5 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.5 - Reconhecimento por padr?es Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Documentos eletr?nicos (artefatos) ? Caracteriza??o dos documentos eletr?nicos extra?dos (Metadados) ? Par?metros definidos ? Componente reconhecedor ? Rela??o de arquivos reconhecidos 2) Reconhecimento de v?nculos: O reconhecimento de v?nculos entre alvos (no mesmo caso e entre casos) ? concebido para identificar poss?veis liga??es entre investigados. Por exemplo: uma mensagem eletr?nica trocada entre pessoas, autoria de artefatos, artefatos reconhecidos como relacionados aos fatos investigados que existem id?nticos em computadores de outros alvos. A tabela 4.6 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. 51 Tabela 4.6 - Reconhecimento de v?nculos Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Documentos eletr?nicos (artefatos) ? Caracteriza??o dos documentos eletr?nicos extra?dos (Metadados) ? Caracteriza??o dos materiais ? Mapa de Alvos x Materiais ? Dados conhecidos de alvos ? Dados da investiga??o ? Dados de artefatos relevantes identificados ? Componente Vinculador ? Rela??o de v?nculos descobertos 3) Reconhecimento de arquivos: As an?lises de arquivos s?o concebidas para identificar artefatos previamente conhecidos, id?nticos ou aproximados. Por exemplo: buscar por figuras conhecidas envolvendo crian?as ou adolescentes em condi??es sexuais ou nus. A tabela 4.7 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.7 - Reconhecimento de arquivos Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Documentos eletr?nicos (artefatos) ? Caracteriza??o dos documentos eletr?nicos extra?dos (Metadados) ? Dados de artefatos conhecidos ? Componente reconhecedor ? Rela??o de arquivos reconhecidos 4.1.4. Segmento de Investiga??o O segmento investiga??o est? a cargo de investigadores e foi concebido para conferir os meios que permitir?o a realiza??o da an?lise da informa??o. 4.1.4.1. Fase de An?lise e Cotejo A fase de an?lise e cotejo ? composta por sete atividades, como apresentado na figura 4.4.. Ela apresenta as a??es de alto n?vel sugeridas para a execu??o do trabalho de an?lise da informa??o, acrescido de inova??es para explicitar, dirigir e gerenciar as a??es de an?lise e registro do conhecimento produzido durante a investiga??o policial. 52 Figura 4.4 - An?lise da informa??o O procedimento de an?lise da informa??o digital estrutura as an?lises investigat?rias da seguinte forma: 1) Elaborar premissas: Elaboram-se premissas que orientar?o a investiga??o na busca por documentos que conduzam informa??es relevantes ao apurat?rio. As premissas ir?o antecipar, por dedu??es ou conjeturas, certas caracter?sticas da conduta investigada. Por exemplo: uma proposi??o do tipo ?T?cio participa da intermedia??o fraudulenta de benef?cios previdenci?rios? ou ?T?cio gerencia os ?laranjas? que participam do esquema.? Ir? orientar que se estabele?am hip?teses que permitam encontrar documentos apontando para os fatos investigados. A tabela 4.8 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.8 - Elaborar premissas Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Componente de analisador ? Premissas da investiga??o 2) Elaborar hip?teses: Definem-se hip?teses, poss?veis fatos ou princ?pios que permitam planejar os argumentos de buscas por informa??es. Utilizando-se das hip?teses exemplificadas no passo anterior, as premissas a serem estabelecidas poderiam ser: ?T?cio acessa o s?tio da Previd?ncia para agendar atendimentos para ?M?rcio?, um dos ?laranjas? da fraude?, ?T?cio possui conex?es (v?nculos) com outros alvos 53 investigados, trocou mensagens, participa de contratos etc.?, por exemplo. A tabela 4.9 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.9 - Elaborar hip?teses Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Componente analisador ? Hip?teses da investiga??o 3) Definir estrat?gias de buscas: Definem-se as estrat?gias de buscas a serem utilizadas. Por exemplo: buscas textuais, buscas sem?nticas, buscas em pastas ou buscas por fotografias, figuras ou outros arquivos gr?ficos. A tabela 4.10 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.10 - Definir estrat?gia de buscas Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Hip?teses da investiga??o ? Mapa de Alvos x Materiais ? Componente analisador ? Estrat?gias de buscas definidas 4) Obter documentos: Procedem-se as buscas, utilizando-se das hip?teses, das premissas estabelecidas, dos termos de buscas e das t?cnicas escolhidas. Optando-se pelo uso do recurso de buscas textuais, os termos de pesquisa poderiam conter os seguintes fragmentos de texto: a. O endere?o do s?tio da previd?ncia e dados da p?gina de agendamento. b. Dados de laranjas conhecidos (M?rcio) e endere?o do s?tio da previd?ncia. c. O endere?o de email de alvos. d. Dados conhecidos por interm?dio de escutas telef?nicas ou de oitivas relacionados ao T?cio. 54 e. Dados obtidos de documentos tradicionais j? analisados e considerados relevantes. f. As palavras-chave ?contrato?, ? T?cio? e ?M?rcio?. A tabela 4.11 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.11 - Obter Documentos Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Hip?teses da investiga??o ? Mapa de Alvos x Materiais ? Estrat?gias de buscas definidas ? Componente analisador ? Componente minerador ? Documentos eletr?nicos por analisar 5) Reunir os documentos: Organizam-se as an?lises de conte?dos dos resultados das buscas, estruturam-se as equipes de buscas e distribuem-se os trabalhos de an?lise entre os investigadores, de acordo com a t?cnica ou t?cnicas de busca escolhidas. Iniciam-se as an?lises dos resultados de buscas e/ou de cont?ineres de buscas em pasta ou buscas por fotografias ou outros arquivos em formato gr?fico. Adicionam-se os documentos encontrados aos cont?ineres de hip?teses correspondentes. Documentam- se os conhecimentos adquiridos, retroalimentando o processo de buscas por documentos relevantes. A tabela 4.12 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.12 - Reunir os documentos Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Hip?teses da investiga??o ? Mapa de Alvos x Materiais ? Estrat?gias de buscas definidas ? Documentos eletr?nicos por analisar ? Componente analisador ? Documentos eletr?nicos relevantes ao investigat?rio ? Considera??es do analista acerca do conhecimento adquirido com a an?lise do documento encontrado 55 6) Analisar (hip?teses, premissas e documentos): Analisa-se o conhecimento reunido nos cont?ineres de hip?teses, formando-se as conclus?es poss?veis. A tabela 4.13 relaciona suas principais entradas e sa?das, al?m de relacionar as t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.13 - Analisar (hip?teses, premissas e documentos) Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Hip?teses da investiga??o ? Mapa de Alvos x Materiais ? Documentos eletr?nicos relevantes ao investigat?rio ? Considera??es do analista acerca do conhecimento adquirido com a an?lise do documento encontrado ? Componente analisador ? Conclus?es da investiga??o 7) Elaborar relat?rios: Caso exista um conhecimento formado, elabora-se o relat?rio de an?lise para aportar os resultados do processo investigat?rio de an?lise na investiga??o criminal. Avalia-se se o conhecimento adquirido sugere a elabora??o de novas premissas ou novas hip?teses, retomam-se as an?lises ou concluem-se os trabalhos. Ao final dos trabalhos de an?lise, ou mesmo durante o andamento destes, pode ocorrer necessidade de per?cias em inform?tica ou em outro ramo das ci?ncias forenses, como contabilidade, por exemplo. Caber? aos investigadores formular os quesitos e encaminhar a requisi??o de per?cia para exame espec?fico. A tabela 4.14 relaciona suas principais entradas e sa?das, al?m de relacionar as t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.14 - Elaborar relat?rios Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Dados conhecidos de alvos ? Dados conhecidos da conduta investigada ? Premissas da investiga??o ? Hip?teses da investiga??o ? Mapa de Alvos x Materiais ? Componente analisador ? Relat?rios de an?lise ? Requisi??o de per?cias ? Triagem de materiais 56 ? Documentos eletr?nicos relevantes ao investigat?rio ? Considera??es do analista acerca do conhecimento adquirido com a an?lise de documentos encontrados ? Conclus?es da investiga??o identificados como relacionados ao apurat?rio 4.1.5. Segmento de Exames Periciais O segmento de exames periciais est? a cargo de peritos criminais e foi concebido para atender a formaliza??o da apresenta??o de documentos eletr?nicos ao apurat?rio e a requisi??es de exames periciais elaborados por investigadores durante o andamento da investiga??o policial. 4.1.5.1. Fase de Exame Especializado A fase de exame especializado representa os exames periciais em si. ? relevante acrescentar que, com a ado??o da metodologia proposta, os exames periciais, com base em informa??es e dados de origem digital, podem demandar, em conjunto com outros dados ou isoladamente, a requisi??o de exames periciais em inform?tica ou mesmo em outro ramo do conhecimento cient?fico, como contabilidade, por exemplo. Figura 4.5 - Fase de exames especializados 4.1.5.1.1. A Subfase de Exame Pericial em Inform?tica A subfase de exame pericial em inform?tica compreende o exame de um ou mais materiais arrecadados, visando responder as inquiri??es encaminhadas aos peritos 57 criminais. ? composta por 3 atividades principais e apresenta as a??es de alto n?vel sugeridas para a execu??o do trabalho de exame pericial em inform?tica. Figura 4.6 - Subfase de exame pericial em inform?tica O procedimento de exame pericial em inform?tica estrutura os exames periciais da seguinte forma: 1) Coleta: compreende as a??es de coleta de vest?gios em si. Caso as imagens forenses n?o estejam mais dispon?veis ao perito criminal ou caso este julgue adequado, nova imagem forense do material objeto do exame dever? ser providenciada pelo examinador. A tabela 4.15 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.15 - Coleta Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Materiais por examinar ? Requisi??o de per?cias ? Auto de arrecada??o ? Dados conhecidos da investiga??o ? Componente aquisitor ? Vest?gios coletados ? Imagens Forenses ? Certifica??o de integridade 2) Exame: compreende o estudo minucioso dos vest?gios digitais coletados, a fim de responder as inquiri??es (quesitos) encaminhadas ao perito criminal. Esta subfase pode expandir-se em v?rias atividades de grande complexidade. A tabela 4.16 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.16 - Exame Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Materiais por examinar ? Requisi??o de per?cias ? Auto de arrecada??o ? Imagem forense ? Documentos eletr?nicos ? Ferramentas forenses aplic?veis. ? Conclus?es tecnocient?ficas 58 relevantes ? Dados conhecidos da investiga??o ? Vest?gios coletados 3) Formaliza??o: compreende a elabora??o do documento formal (laudo pericial criminal) que conduz os resultados dos exames periciais. A tabela 4.17 relaciona suas principais entradas e sa?das, al?m das t?cnicas e quais componentes da solu??o (ferramentas) ser?o utilizadas para sua execu??o. Tabela 4.17 - Formaliza??o Principais Entradas Ferramentas e T?cnicas Principais Sa?das ? Materiais por examinar ? Requisi??o de per?cias ? Auto de arrecada??o ? Imagem forense ? Documentos eletr?nicos relevantes ? Dados conhecidos da investiga??o ? Vest?gios coletados ? Conclus?es tecnocient?ficas ? Editores de texto e outras ferramentas aplic?veis ? Laudo Pericial Criminal ? Novas dilig?ncias 4.1.5.1.2. A Subfase de Exame Pericial em Outro Ramo do Conhecimento A subfase de exame pericial em outro ramo do conhecimento cient?fico compreende o exame minucioso com base em informa??es e documentos encontrados nos materiais arrecadados. Visa atender as requisi??es de per?cias de diversos ramos do conhecimento. Pode ser composta de diferentes atividades, dependendo do exame e do ramo em si. Uma abstra??o foi aqui abordada com o objetivo de enfatizar que dados ou informa??es em formato digital podem ser relevantes em exames de outro ramo do conhecimento. Como exemplo, os balancetes cont?veis e raz?es de contas, que podem ser relevantes em per?cias cont?beis; fotografias que podem ser relevantes em per?cias que visem identificar pessoas a partir de t?cnicas de reconhecimentos faciais; grava??es de conversas que podem ser submetidas a procedimentos de identifica??o de locutor etc. 4.1.6. Aspectos relacionados ? metodologia proposta Do ponto de vista de peritos criminais, a metodologia proposta tem dois objetivos. O primeiro ? orientar a extra??o de documentos eletr?nicos existentes no material 59 apreendido, apresentando-os para que sejam analisados por investigadores. O segundo ? orientar a realiza??o de exames periciais requisitados, a fim de alcan?ar a prova pericial. Do ponto de vista de investigadores, a metodologia proposta visa estruturar o processo de an?lise da informa??o19, a partir dos documentos eletr?nicos apresentados por peritos criminais. A concep??o da metodologia se baseou em: 1) No processo de an?lise da informa??o, apresentado na Se??o 2.4.1; 2) Em pontos das propostas descritas por Palmer, em 2001 (Palmer, 2001) e por Kohn, Eloff e Olivier, no ano de 2006 (Kohn, Eloff, & Oliver, 2006), apresentadas na Se??o 3.1; 3) Na experi?ncia do pesquisador no desempenho de suas fun??es de Perito Criminal Federal no Departamento de Pol?cia Federal. 4.2. ARQUITETURA PARA O INSTRUMENTAL ESPECIALIZADO Representado graficamente na figura 4.7, uma arquitetura foi concebida para nortear o desenvolvimento de um ferramental forense especializado, tanto na disponibiliza??o de documentos eletr?nicos ao apurat?rio, quanto no suporte ao processo de an?lise investigat?ria da informa??o, contribuindo para a busca pela excel?ncia na produ??o de provas. 19 O processo de an?lise da informa??o foi conceituado no Cap?tulo 2, Se??o 2.4.1. 60 A proposta pode ser operacionalizada em um ferramental que considere caracter?sticas desej?veis em solu??es para tratar problemas complexos e que envolvam grandes volumes de dados. Em particular, ela orienta o desenvolvimento de procedimentos e ferramentas que empreguem componentes20 com as seguintes caracter?sticas: 1) Decomposi??o do problema a ser resolvido: a an?lise investigat?ria pode ser decomposta em diversas dimens?es (tipos de m?dias, tipos de documentos, locais de arrecada??o, especialidade e skills dos policiais envolvidos, etc.); 2) An?lise investigat?ria colaborativa e geograficamente distribu?da: a an?lise investigat?ria pode ser realizada no contexto da investiga??o criminal, por investigadores organizados em equipe de an?lise, composta, inclusive, por membros geograficamente distribu?dos. 3) Componentes aut?nomos e especializados: visando paralelismo e efici?ncia, um conjunto de componentes (ou agentes) 20 Entenda-se por componentes qualquer agente humano ou constru?do em software, hardware ou uma combina??o deles, com um prop?sito ou conjunto de prop?sitos definidos. Figura 4.7 - Arquitetura Proposta 61 especializados que trabalham sem supervis?o ou depend?ncia dos demais. Componentes podem ser substitu?dos por outros componentes, sem que ocorra impacto ao restante do ferramental. Novos componentes, especializados na busca de informa??es ou no tratamento de diferentes tipos de documentos eletr?nicos, podem ser agregados ao ferramental a qualquer momento sem impactar o trabalho desenvolvido pelos demais. Embora os componentes sejam, em geral, sistemas computacionais, nada impede que a??es sejam realizadas por componentes humanos. Em sendo componentes computacionais, ? poss?vel tamb?m a utiliza??o de diversos tipos de sistemas computacionais (desenvolvidos em diferentes linguagens de programa??o e que executem em diferentes plataformas computacionais), desde que respeitem as regras de interface nos reposit?rios de dados; 4) Intera??o ass?ncrona entre os componentes: por serem aut?nomos e efetuarem intera??es entre si de forma ass?ncrona, n?o existem restri??es na ordem das intera??es entre os componentes, que podem trabalhar paralelamente, cada um em sua capacidade ou velocidade m?xima; 4.2.1. O Componente Aquisitor de c?pias Forenses Representado graficamente na figura 4.8, o componente aquisitor foi projetado para sistematizar e permitir a automatiza??o da cria??o de c?pias forenses. Ele opera de forma aut?noma e ass?ncrona em rela??o aos demais componentes da solu??o. 62 Figura 4.8 - Componente Aquisitor O componente foi concebido para suportar, de uma s? vez, o oferecimento de v?rios suportes (m?ltiplas m?dias alvos da investiga??o) para o processo pericial de preserva??o e produ??o de imagens forenses. Ap?s a alimenta??o dos compartimentos de m?dias e ativado o processo aquisitor, o componente funciona de forma aut?noma, minimizando a interven??o humana para substitui??o de m?dias questionadas, reduzindo per?odos de ociosidade computacional e maximizando a capacidade produtiva da equipe pericial respons?vel pelo processo de verifica??o da integridade das c?pias produzidas. Diversos componentes aquisitores podem trabalhar simultaneamente e de forma ass?ncrona. Quanto maior o n?mero de componentes operando simultaneamente, maior ser? a capacidade produtiva. Por exemplo, um grupo aquisitor composto de dez componentes aquisitores, cada qual com 10 compartimentos de disco, e um componente concentrador s?o capazes de processar at? cem materiais diferentes com m?nima interven??o. A qualquer momento, 10 materiais estar?o sendo processados simultaneamente e independentemente. Uma segunda alternativa de configura??o, por exemplo, est? em dividir o grupo de dez aquisitores, utilizados no exemplo anterior, em 5 grupos compostos, cada um, por 2 aquisitores e 1 componente concentrador. Neste caso, distribui-se a E/S, a carga de transmiss?o de dados e de processamento entre os 5 componentes concentradores, maximizando a produtividade. No processo de aquisi??o, cabe ao Perito Criminal 63 validar e certificar a integridade dos suportes (das m?dias) e das imagens forenses geradas pelo componente aquisitor, fundamentais ? cadeia de cust?dia. O componente extrator, que ser? descrito ? frente, inicia um novo processo de extra??o t?o logo uma nova imagem forense esteja conclu?da e haja disponibilidade computacional no componente para process?-la. Portanto, aquisitores e extratores podem trabalhar paralelamente para aumentar a capacidade produtiva. 4.2.2. O Componente Concentrador Representado graficamente na figura 4.9, o componente concentrador fornece um reposit?rio onde os componentes aquisitores armazenam as c?pias forenses que ser?o posteriormente processadas por componentes extratores, podendo ser um simples servidor de arquivos, um NAS - Network-Attached Storage, um servidor de storage de alto desempenho e alta capacidade etc. Figura 4.9 - Componente Concentrador 64 4.2.3. O Componente Aut?nomo Extrator de Documentos Eletr?nicos Representado graficamente na figura 4.10, o componente extrator trabalha de forma aut?noma e ass?ncrona, extraindo documentos eletr?nicos de imagens forenses armazenadas em um componente concentrador. Para que um componente extrator possa iniciar suas atividades, basta que uma nova imagem forense esteja dispon?vel no concentrador. Figura 4.10 - Componente Extrator Diversos componentes extratores podem trabalhar simultaneamente de forma independente. Quanto maior o n?mero de componentes extratores, maior ser? a capacidade produtiva. Uma vez extra?dos, os documentos eletr?nicos podem ser analisados de imediato pela equipe de investiga??o. Contudo, o ferramental s? ser? capaz de executar buscas textuais ou sem?nticas ap?s o t?rmino de um processo de indexa??o. Pode-se optar por trabalhar com indexa??es parciais, mas a equipe de investiga??o deve estar atenta para o fato de que a capacidade de minerar dados textuais estar? limitada apenas aos documentos conhecidos at? um determinado momento e que as buscas realizadas ficar?o desatualizadas t?o logo novos materiais em processamento passem pelos componentes aquisitores e extratores. A se??o 4.3.6 descreve o componente Minerador. 4.2.4. O Componente Aut?nomo Montador Representado graficamente na figura 4.11, o componente montador trabalha de forma aut?noma e ass?ncrona. Ele disponibiliza os documentos eletr?nicos e demais metadados que ser?o utilizados pelos componentes minerador, reconhecedores e analisador. Para que um componente montador possa iniciar suas atividades, basta que uma extra??o tenha sido conclu?da pelo componente extrator. Diversos componentes montadores podem trabalhar simultaneamente de forma independente. Quanto maior o n?mero de componentes montadores, maior ser? a capacidade produtiva. 65 Figura 4.11 - Componente Montador 4.2.5. O Componente de Gerenciamento de Investiga??es A solu??o proposta organiza investiga??es em casos, que s?o cont?ineres l?gicos que agrupam diversos elementos. Os elementos que comp?em um caso n?o se misturam aos elementos de outro caso. Por exemplo, documentos eletr?nicos de uma investiga??o permanecem isolados de documentos de outra investiga??o. Da mesma forma, investigadores membros de equipe de an?lise de um caso espec?fico n?o possuir?o acesso a elementos de outro caso em que n?o participam como membros de equipe de an?lise. Os principais elementos de um caso s?o: 1) Analista: Investigadores que utilizam o sistema para obter acesso a documentos eletr?nicos extra?dos de materiais arrecadados; 2) Equipe de an?lise: Usu?rios investigadores autorizados a participar do ciclo de an?lise de informa??es de um caso; 3) Metadados: S?o dados que descrevem um determinado documento eletr?nico extra?do de seu suporte, como por exemplo, nome, autor, e datas de cria??o e modifica??o; 4) Artefatos: Representam os documentos eletr?nicos extra?dos de materiais; 5) Premissas: S?o proposi??es que devem ser investigadas para alcan?ar uma conclus?o. Premissas d?o origem aos termos de buscas; 66 6) Termos de buscas: S?o palavras-chave ou conceitos utilizados para procurar artefatos eletr?nicos; 7) Resultados de buscas: S?o cont?ineres l?gicos que organizam os artefatos eletr?nicos resultantes de pesquisas por fragmentos textuais; 8) ?rvore de diret?rios ou estrutura de pasta e subpastas: S?o cont?ineres l?gicos que organizam os documentos eletr?nicos resultantes de suportes; 9) Reposit?rios de arquivos em formato gr?fico: S?o cont?ineres l?gicos que organizam fotografias e outros arquivos gr?ficos, resultantes de suportes; 10) Hip?teses: S?o cont?ineres l?gicos que organizam os documentos eletr?nicos inicialmente considerados relevantes pelos investigadores, a fim de que, posteriormente, as hip?teses formuladas sejam testadas, cotejadas com outras informa??es e dados, e se chegue a conclus?es; 11) Dossi?s: S?o cont?ineres l?gicos que re?nem as diversas hip?teses de um caso. 4.2.6. O Componente de Minera??o de Dados Representado graficamente na figura 4.12, o componente de minera??o de dados funciona de forma independente e ass?ncrona em rela??o ao demais componentes da solu??o. Figura 4.12 - Componente de Minera??o de Dados. 67 A minera??o de dados foi concebida para operar na retaguarda do ferramental e ? composta por tr?s m?dulos: o m?dulo indexador, o m?dulo de buscas por fragmentos de texto e o m?dulo de buscas sem?nticas. Cada um dos m?dulos opera de forma ass?ncrona e independente, um em rela??o ao outro. O m?dulo indexador ? o respons?vel pela indexa??o de conte?do de documentos eletr?nicos e os m?dulos de buscas textuais e sem?nticas s?o respons?veis pelo atendimento ?s requisi??es de buscas solicitadas por interm?dio do componente de an?lise investigat?ria da informa??o. Diversos processos de indexa??o podem trabalhar simultaneamente, de forma independente. Os ?ndices podem ser gerados para todo um caso ou atualizados a cada conjunto de documentos eletr?nicos que aporte no caso (conjunto de documentos origin?rios de um mesmo material arrecadado). Os ?ndices gerados durante o processo de indexa??o s?o armazenados em um banco de dados e s?o utilizados, posteriormente, em minera??es de dados associadas ?s buscas comandadas pelos investigadores. Cada caso possui seu pr?prio conjunto de banco de dados de ?ndices, o que garante que as buscas de um caso n?o apresentem por resposta os documentos de outro caso. O ferramental pode ser estruturado com diversos componentes de minera??o de dados, para aumentar a capacidade de processamento, armazenamento de dados e distribui??o de processos. 4.2.7. O Componente Vinculador Representado graficamente na figura 4.13, o componente vinculador foi concebido para operar de forma independente e ass?ncrona em rela??o ao demais componentes da solu??o. Ele atua na retaguarda do ferramental descobrindo e apontando poss?veis conex?es entre alvos, conex?es estas que poderiam passar despercebidas, ocultas por um grande volume de dados. Assim, a an?lise de v?nculo ?pode ser considerada uma t?cnica de minera??o de dados na qual ? poss?vel estabelecer conex?es entre registros com o prop?sito de desenvolver modelos baseados em padr?es de rela??es.? (Ferro J?nior, 2008). 68 Figura 4.13 - Componente Vinculador O componente pode operar em um modelo complexo, envolvendo m?ltiplos casos, descobrindo e sugerindo a exist?ncia de poss?veis v?nculos entre alvos e investiga??es sem violar o sigilo da informa??o pela divulga??o n?o autorizada de dados ou informa??es. Para descobrir v?nculos o componente trabalha com classes de dados e informa??es predeterminadas ou descobertas com base em dados do caso. Est?o relacionadas a seguir, como exemplo, algumas classes b?sicas de dados: 1) Endere?os de email: S?o dados de endere?amento de arquivos (remetentes ou destinat?rios) utilizados para cruzar informa??es e descobrir conex?es com base em mensagens trocadas entre comunicantes. 2) Alvo: S?o dados de pessoas ou empresas utilizados para cruzar informa??es e descobrir conex?es com base nos dados dos pr?prios alvos. 3) Arquivo: S?o valores referenciais calculados, com base no conte?do de arquivos, utilizados para cruzar informa??es e descobrir conex?es entre pessoas ou empresas investigadas. 4) Metadados de arquivo: S?o dados de arquivos (editor, data de edi??o etc.) utilizados para cruzar informa??es e descobrir conex?es entre pessoas ou empresas investigadas. 69 4.2.8. O Componente Reconhecedor Representado graficamente na figura 4.14, o componente reconhecedor funciona de forma independente e ass?ncrona em rela??o ao demais componentes da solu??o. Ele opera na retaguarda do ferramental e possui por fun??o reconhecer e apontar arquivos que apresentem padr?es conhecidos. Um reconhecimento de arquivos pode ser realizado, por exemplo, a partir de uma an?lise de padr?o do conte?do do pr?prio arquivo, combinando a exist?ncia de palavras- chave em certas posi??es do texto, ou mesmo a partir de um banco de dados com assinaturas de arquivos conhecidos. Diversos componentes reconhecedores podem trabalhar de forma independente. Ampliando-se o n?mero de componentes reconhecedores operando simultaneamente, poder-se-? ampliar a capacidade produtiva da solu??o. 4.2.9. O Componente Reposit?rio de Arquivos Representado graficamente na figura 4.15, o componente reposit?rio de arquivos possui as seguintes fun??es essenciais: 1) Reunir os documentos eletr?nicos extra?dos de materiais arrecadados; 2) Prover um servi?o de comunica??o entre o componente reposit?rio de arquivos e o componente de an?lise. Ele intermedia o acesso restrito aos Figura 4.14 - Componente Reconhecedor 70 documentos eletr?nicos de um caso. Somente investigadores membros da equipe de an?lise devem ter acesso aos documentos. Figura 4.15 - Componente Reposit?rio de Arquivos 4.2.10. O Componente Reposit?rio Central Representado graficamente na figura 4.16, o componente reposit?rio central possui as seguintes fun??es essenciais: 1) Reunir os metadados de documentos eletr?nicos de cada caso; 2) Reunir dados de auditoria de uso do ferramental; 3) Reunir rela??es de documentos eletr?nicos resultantes de buscas por fragmentos textuais ou buscas sem?nticas; 4) Reunir dados de controle do ferramental (usu?rios investigadores, equipes de investiga??o, senhas e privil?gios de acesso, etc.). 4.2.11. O Componente de An?lise Investigat?ria da Informa??o Representado graficamente na figura 4.17, o componente de an?lise investigat?ria de informa??o foi concebido para permitir a integra??o e intera??o entre a per?cia criminal e a investiga??o, minorando assim as diferen?as apontadas no processo de an?lise da informa??o em formato tradicional e digital. Entre outros objetivos, busca-se que investigadores realizem as an?lises de documentos tradicionais e eletr?nicos, de maneira integrada, complementar e simult?nea, para subsidiar a cogni??o, a partir destas fontes de dados, na atividade policial. Figura 4.16 - Componente Reposit?rio Central 71 Figura 4.17 - Componente de An?lise Antes de dar in?cio ao processo de an?lise, os investigadores poder?o preparar e operacionalizar a??es a fim de que possam ter dispon?veis, concomitantemente, os documentos tradicionais arrecadados e todos aqueles em formato digital que puderam ser extra?dos do material computacional apreendido. Desta forma, os documentos necess?rios estar?o ? disposi??o para in?cio do ciclo de an?lises. As an?lises de documentos eletr?nicos ou tradicionais poder?o permear, conjuntamente, a investiga??o criminal pelo tempo necess?rio ? condu??o do apurat?rio. O componente de an?lises foi concebido para ser utilizado por meio de uma interface gr?fica em rede privada. Ele permite a forma??o de equipes de an?lises pela adi??o de investigadores a um caso. Os investigadores trabalhar?o de forma colaborativa, efetuando an?lises de documentos eletr?nicos, mesmo se estiverem geograficamente dispersos, em pr?dios, cidades ou at? estados diferentes. 72 O componente de an?lise se utiliza do componente de minera??o de dados para alcan?ar a capacidade de efetuar buscas avan?adas por palavras-chave combinadas com outros crit?rios (como combina??o l?gica e tipologia de artefatos). As buscas s?o realizadas, ao mesmo tempo, em todos os documentos eletr?nicos extra?dos de todos os materiais arrecadados, e assim confere agilidade ? identifica??o de documentos relevantes, maximizando a gera??o de conhecimento no apurat?rio. Durante as an?lises os investigadores poder?o relacionar seus achados em cont?ineres l?gicos de hip?teses, fazendo anota??es que visem explicitar e compartilhar o conhecimento adquirido entre os membros de sua equipe de investiga??o. Dessa forma, o conhecimento t?cito dos investigadores se transforma em conhecimento expl?cito do ?rg?o policial, permitindo que novos investigadores possam estudar detidamente o atual est?gio das an?lises investigat?rias e, desta maneira, sejam integrados ? equipe de investiga??o com rapidez e efici?ncia. A qualquer tempo durante as an?lises investigat?rias ou ao seu final, poder-se-? requisitar periciais criminais em raz?o das necessidades da persecu??o penal. A per?cia requisitada pode ser de qualquer dos ramos do conhecimento cient?fico, como contabilidade, inform?tica, engenharia civil, engenharia el?trica etc. 4.2.12. Aspectos Relacionados ? Arquitetura Proposta A arquitetura proposta se prop?e a orientar o preenchimento de uma lacuna deixada pelas ferramentas forenses no trato com a investiga??o digital, no Brasil, bem como introduzir um novo paradigma no desenvolvimento de ferramentas aplicadas ? investiga??o policial criminal. Seus principais recursos s?o: 1) Distribui??o de processos: processos podem ser distribu?dos por in?meros componentes. Isto ?, a solu??o pode trabalhar com diversos componentes dos tipos aquisitores, concentradores, extratores etc., de forma aut?noma e simult?nea, para maximizar a capacidade produtiva da solu??o; 2) An?lise colaborativa e geograficamente distribu?da permeando a investiga??o criminal: an?lises podem ser realizadas por diversos investigadores simultaneamente, mesmo se estiverem geograficamente 73 dispersos, entre diferentes delegacias, cidades, estados etc. Os documentos eletr?nicos permanecem dispon?veis para os analistas durante todo o ciclo da investiga??o policial, at? sua conclus?o; 3) Composi??o de for?a tarefas de an?lise entre institui??es: as equipes de investiga??o n?o precisam estar compostas exclusivamente por investigadores do ?rg?o policial. Outros profissionais, de outras institui??es, podem trabalhar em conjunto com os investigadores policiais, compondo uma for?a tarefa. 4) Exporta??o e distribui??o de caso para an?lise externa ? institui??o policial: ap?s a gera??o de um caso, compreendendo a aquisi??o de imagens forenses e a extra??o de documentos eletr?nicos, o componente de an?lise pode ser enviado para an?lise externa pelo Minist?rio P?blico, Judici?rio ou outra institui??o, como a Receita Federal ou o Instituto Nacional do Seguro Social; 5) An?lise simult?nea de m?ltiplos materiais: o componente de an?lise trabalha, simultaneamente, com os diversos materiais arrecadados durante a investiga??o, dispensando que os trabalhos de an?lise tenham que ser realizados material por material ou em pequenos grupos de materiais. 6) Arquitetura modular: decomposi??o de um problema complexo em parte mais simples - com entradas e sa?das claramente definidas; 7) Gerenciamento centralizado de casos: embora v?rios investigadores possam trabalhar de forma colaborativa durante as an?lises investigat?rias, o gerenciamento do caso estar? centralizado; 8) Compartimenta??o sigilosa: os dados de uma investiga??o s?o restritos ? equipe da investiga??o; 9) Automatiza??o de tarefas: minimiza??o da interven??o humana em tarefas pass?veis de mecaniza??o/automa??o; 10) Agendamento de processos: defini??o de processamentos em retaguarda, como indexa??o, an?lises de v?nculos ou reconhecimento de padr?es, por exemplo; 74 11) Disponibiliza??o seletiva e ?gil de dados para viabilizar a realiza??o das investiga??es: extra??o e disponibiliza??o de documentos tipicamente produzidos por usu?rios de um sistema computacional; 12) Processos de buscas baseados em minera??o de dados: processos que revelem tend?ncias para dados e informa??es que seriam indetect?veis ou dificilmente percebidas somente por uma an?lise e observa??o humana; 13) Classifica??o de arquivos para facilitar o processo de an?lise: estrutura??o de classes de arquivos, como documentos, planilhas, figuras etc. O ferramental resultante, em raz?o de sua caracter?stica modular, poder? ser operacionalizado com tantos componentes quanto o apropriado para alcan?ar a efici?ncia necess?ria, dispondo ou n?o de um computador dedicado a cada componente. Este ? um dos pontos fortes da arquitetura que lhe confere expansibilidade e versatilidade. 4.3. CONSIDERA??ES A metodologia e arquitetura proposta permitem uma clara separa??o do que seja o trabalho de investigadores e peritos criminais na investiga??o digital, observando as peculiaridades da pol?cia judici?ria brasileira. Juntas contribuem para que seja atingido, de forma mais c?lere, o objetivo que justificou a arrecada??o de equipamentos computacionais: a forma??o do conhecimento sobre um fato investigado, a instru??o da investiga??o criminal correspondente e a aquisi??o de provas, documentais e/ou periciais. Este Cap?tulo descreveu o instrumental proposto para concretizar os objetivos desta disserta??o. O Cap?tulo 5 apresenta os testes realizados em casos reais, bem como seus resultados. 75 5. PROVA DE CONCEITOS Neste Cap?tulo ? apresentado um prot?tipo desenvolvido com base na arquitetura proposta para o instrumental especializado. A metodologia proposta e o prot?tipo desenvolvido foram submetidos a teste em investiga??es policiais reais, visando verificar as potencialidades da solu??o e provar os conceitos apresentados nesta pesquisa. A Se??o 5.1 apresenta um prot?tipo do ferramental proposto, enquanto que na Se??o 5.2 s?o apresentados testes em casos reais. Por fim, s?o realizadas considera??es que seguem na Se??o 5.3. 5.1. PROT?TIPO O escopo de desenvolvimento do prot?tipo compreendeu os componentes descritos na arquitetura, exceto os componentes de reconhecimento, vincula??o e a busca sem?ntica do componente de minera??o de dados. O ferramental resultante foi denominado Uira?u21. 5.1.1. Componentes Aut?nomos Aquisitor e Concentrador Em s?ntese, o componente aquisitor automatiza a cria??o de c?pias forenses de dispositivos de armazenamento de dados. Para armazenar tais c?pias, um componente concentrador ? utilizado, interconectado diretamente ao componente aquisitor, conforme descrito no Cap?tulo 4. Representado pela figura 5.1, um conjunto compreendendo dois prot?tipos aquisitores e um concentrador foi capaz de, simultaneamente, realizar e armazenar 2 c?pias forenses22, a uma velocidade de processamento de at? 2 gigabytes por minuto, com uma 21 O Uira?u ? o nome ind?gena de uma grande ave de rapina, que impressiona por sua velocidade de voo, ferocidade e grande for?a. Tamb?m conhecida por Ave de Crista, Gavi?o-real ou, ainda, Harpia. A ave ? capaz de ca?ar macacos, pregui?as e outros animais de porte m?dios. Tal fabulosa ave est? na lista de animais em extin??o. Seu nome foi escolhido para batizar o prot?tipo, provas dos conceitos apresentados neste trabalho, em raz?o do local onde esta pesquisa foi iniciada: O estado do Par?, na regi?o Amaz?nica brasileira. 22 Os primeiros prot?tipos dos componentes aquisitor e concentrador trabalham com discos r?gidos, em virtude deste tipo de dispositivo possuir maior signific?ncia em rela??o ao volume de documentos eletr?nicos que armazenam. autonomia que compreende o processamento discos r?gidos23 por ciclo de trabalho Figura 5.1 ? A tabela 5.1 apresenta a capacidade de processamento estimada para o conjunto de prot?tipos aquisitores e concentrador aut?noma do componente de aquisi??o, a capacidade de armazenamento dos discos r?gidos alvos do processo de c?pia forense, mesmo quando variando entre 240 e 500GB, n?o comprometeriam a capacidade produtiva 24 horas24. Tabela 5.1 - Estimativa linear da capacidade de processamento ( Disco R?gido (gigabyte) Produ??o de c?pias por ciclo Dura??o do processamento dispositivo (minutos) 120 10 240 10 320 10 400 10 500 10 23 Um componente de aquisi??o ( capaz de alcan?ar capacidade produtiva bem superi 24 Considerando um pleno funcionamento , sem interven??es humanas, . Dois Aquisitores (esquerda) e um Concentrador . Observa-se que, em raz?o da caracter?stica da solu??o de aquisi??o em um per?odo de 2 aquisitores) de um Dura??o total do ciclo de processamento (horas) Qtde. de interven??es durante ?s 8h do expediente de trabalho Capacidade produtiva de c?pias /dia 60 5 2 20 120 10 1 10 160 14 1 10 200 17 1 10 250 21 1 10 hardware) constru?do especificamente para est? fun??o poderia ser or e maior autonomia de processamento. dos materiais submetidos aos aquisitores. 76 de at? 10 Capacidade produtiva de c?pias / semana 100 50 50 50 50 77 5.1.2. Componente Aut?nomo Extrator Em s?ntese, o componente extrator opera automaticamente a extra??o de documentos eletr?nicos para as c?pias forenses que encontrar dispon?veis no componente concentrador, conforme descrito no Cap?tulo 4. A figura 5.2 exemplifica o componente em execu??o. Figura 5.2 ? Extrator 5.1.3. Componente Aut?nomo Montador Em s?ntese, o componente montador opera automaticamente a montagem dos reposit?rios para os documentos eletr?nicos extra?dos de c?pias forenses, conforme descrito no Cap?tulo 4. A figura 5.3 exemplifica o componente em execu??o. Figura 5.3 ? Montador 78 5.1.4. Componente An?lise Investigat?ria da Informa??o Em s?ntese, o componente de an?lise investigat?ria da informa??o, disponibilizado atrav?s de uma interface gr?fica em rede privada, permite que investigadores geograficamente dispersos, em cidades ou at? estados diferentes, trabalhem de forma colaborativa, no mesmo caso, buscando e avaliando o conte?do de documentos eletr?nicos. As principais funcionalidades deste componente s?o: buscas textuais, analisador de arquivos, simulador de sistema de arquivo, analisador de figuras, documentos digitalizados e fotografias digitais. 5.1.4.1. Buscas textuais Em s?ntese, a funcionalidade de buscas textuais, representada na figura 5.4, opera simultaneamente em todos os documentos de um caso, utilizando-se de recursos providos pelos componentes mineradores e reposit?rios. Juntos, os componentes disponibilizam um servi?o de busca que permite pesquisas em grandes volumes de dados25, utilizando-se de crit?rios definidos pelos investigadores. O resultado de cada pesquisa ? persistido e permanece armazenado no instrumental por tempo indeterminado, compondo um conjunto de cont?ineres de buscas. Tais cont?ineres s?o compartilhados entre investigadores para que possam ter seus itens analisados de forma minuciosa, possibilitando a explora??o profunda do material probat?rio. Um cont?iner de busca possui diversas dimens?es que categorizam seus itens. Como, por exemplo: 1) Equipe: corresponde a identifica??o das equipes policiais que arrecadaram cada material; 2) Item: corresponde a identifica??o dos itens arrecadados; 3) Alvo: corresponde a identifica??o do alvo da busca e apreens?o; 25 O buscador Google da Google Inc., por exemplo, disponibiliza um servi?o an?logo que visa auxiliar na pesquisa de conte?dos na internet. 79 4) Arrecada??o: corresponde a identifica??o do local das dilig?ncias policiais; 5) Categoria do documento: email, planilha, figura etc.; 6) Tipo do documento: docx, pptx, etc. Figura 5.4 - Buscas Textuais Cada documento eletr?nico que comp?e um cont?iner de busca pode ser examinado sem que as fontes possam ser alteradas pelos examinadores. A figura 5.5 apresenta a interface de an?lise. 80 Figura 5.5 - Funcionalidade de An?lise 5.1.3.2. Simulador de sistema de arquivos A funcionalidade de simula??o de sistema de arquivos, apresentada na figura 5.6, permite aos investigadores uma vis?o simulada do ambiente computacional onde residem os documentos eletr?nicos obtidos pelo componente de extra??o. Tais documentos podem ser analisados de forma colaborativa geograficamente distribu?da como se os investigadores estivem utilizando o ambiente computacional analisado. 81 5.1.3.3. Analisador de figuras e fotografias digitais A funcionalidade de an?lise de figuras e fotografias digitais, apresentada na figura 5.7, permite explorar os arquivos em formato gr?fico, utilizando-se de uma matriz de exibi??o configur?vel (linhas/colunas e filtros de exibi??o). Figura 5.6 - Simulador do Sistema de Arquivos Figura 5.7 - Analisador de figuras e fotografias digitais 82 5.1.3.4. Demais Componentes Os componentes de gerenciamento de investiga??es, reposit?rio de arquivos, reposit?rio central e minerador de dados, como descrito no Cap?tulo 4, operam na retaguarda do ferramental interagindo com os componentes montador e an?lise investigat?ria da informa??o. O prot?tipo do componente minerador de dados suporta diversos formatos de arquivos comumente produzidos por usu?rio. E, ainda, pode ser estendido, com relativa facilidade, para trabalhar com novos formatos de arquivos. 5.2. TESTES EM CASOS REAIS Visando por a prova os conceitos concebidos na pesquisa e verificar as potencialidades da solu??o desenvolvida, o ferramental e a metodologia foram utilizados em investiga??es policiais reais e de grande porte, em duas Superintend?ncias de Pol?cia Federal, nos estados da Bahia e do Par?. Embora as configura??es dos hardwares utilizados naquelas Superintend?ncias de Pol?cia Federal sejam diferentes, a implementa??o da arquitetura ? id?ntica, contando com 3 equipamentos para operacionalizar a solu??o, estruturada com uma ?nica inst?ncia de cada componente. A figura 5.8 apresenta o esquema posto em pr?tica, uma abordagem minimalista dos recursos da arquitetura proposta. Figura 5.8- Esquema da configura??o posta em pr?tica para prova de conceitos. 83 5.2.1. Disponibiliza??o de dados ao apurat?rio Definida a estrat?gia e abordagem dos trabalhos investigat?rios, etapa da metodologia correspondente ao segmento planejamento, descrito na Se??o 4.1.2, os materiais arrecadados foram enviados a peritos criminais para que disponibilizassem os documentos eletr?nicos, que seriam, posteriormente, explorados durante o processo de an?lise da informa??o. Para disponibilizar os documentos fez-se uso da fase de extra??o de dados, do segmento de apresenta??o de dados da metodologia proposta, descrito na Se??o 4.1.3.1. A etapa, prevista como atribui??o de peritos criminais, serviu tamb?m para prover26 meios27 que tem por objetivo afastar quaisquer d?vidas que o magistrado, futuramente, possa ter, acerca da integridade e proced?ncia de provas de origem eletr?nica. Foram utilizados, tamb?m, os componentes aquisitor, concentrador, extrator e montador do ferramental forense especializado28, visando automatizar certas fra??es dos trabalhos de peritos criminais. Os documentos eletr?nicos extra?dos dos materiais processados foram disponibilizados para an?lise pelos investigadores a cada disco r?gido processado. Mesmo antes de concluir todas as extra??es de documentos, os investigadores j? puderam ter acesso ao conte?do dos materiais j? processados. O caso, no entanto, s? estaria completo ap?s o processamento de todos os materiais. Objetivando avaliar os resultados alcan?ados, os seguintes indicadores foram utilizados: 1) O tempo m?dio despendido para conclus?o de Laudos que disponibilizam documentos eletr?nicos ao apurat?rio: Para chegar a esse indicador conhecesse que, durante o ano de 2011, foram produzidos 9.13029 Laudos, e que 180 peritos da ?rea de Inform?tica Forense estiveram em atividade neste per?odo (INC/DITEC, 2012). O que resulta em uma produ??o m?dia anual de 51 laudos por perito, cerca de 4 por 26 Desde que tenha sido resguardada a manuten??o adequada da cadeia de cust?dia, desde o momento de coleta das poss?veis fontes de prova at? que sejam trabalhadas pelo perito criminal. 27 Por interm?dio de documento t?cnico-cient?fico, por exemplo. 28 Em raz?o do natural aperfei?oamento do instrumental, evolu??es de componentes e da metodologia ocorreram entre as opera??es policiais, objetivando maximizar o resultado final da pesquisa. 29 Est?o agrupados nesta totaliza??o, tantos os Laudos de apresenta??o de dados, quanto os demais, como aqueles referentes ? pedofilia, fraudes banc?rias e outros. 84 m?s. Implicando que a cada 7 dias, aproximadamente, o exame de um disco r?gido teria sido conclu?do; 2) O lapso temporal m?dio necess?rio ? completa conclus?o de uma requisi??o de per?cias em inform?tica: 157 dias30 (INC/DITEC, 2012). Tem-se, tamb?m, que a Diretoria T?cnico-Cient?fica do Departamento de Policia Federal publicou a Instru??o de Servi?o 008/2011-DITEC, de 23 de novembro de 2011, onde preestabeleceu indicadores de complexidade. Segundo os Administradores da Criminal?stica Federal ?O indicador de ?Complexidade? das requisi??es corresponde ao tempo estimado, em dias corridos, para a realiza??o dos exames e a elabora??o do documento t?cnico-cient?fico? (DITEC/DPF, 2011). A tabela 5.2 apresenta tais indicadores. Tabela 5.2 - Indicadores oficiais de complexidade (adaptado de DITEC/DPF, 2011). N?vel do indicador de complexidade Tempo estimado para realiza??o dos exames e confec??o do laudo (em dias) N?vel I t ? 0,5 N?vel II 0,5 < t ? 3 N?vel III 3 < t ? 7 N?vel IV 7 < t ? 14 N?vel V 14 < t ? 28 N?vel VI 28 < t ? 60 N?vel VII t > 60 Cotejando tais indicadores com a dura??o m?dia calculada para as per?cias em Inform?tica Forense ? isto ?, 7 dias ?, poder-se-ia inferir que o n?vel III, exposto na tabela 5.2, apresenta compatibilidade com o lapso temporal necess?rio a conclus?o deste tipo de exame pericial. Entretanto, como os dados calculados s?o aproximados ser?o utilizados para as aferi??es de desempenho: 1) O intervalo final referente ao n?vel III dos indicadores. Ou seja, 7 dias. 2) O intervalo final referente ao n?vel II dos indicadores. Ou seja, 3 dias. 3) O intervalo final referente ao n?vel I dos indicadores. Ou seja, 0,5 dia. O que representa, por exemplo, um lapso temporal comumente associado a exames preliminares de droga, em raz?o de sua simplicidade, alcan?ada 30 Influi no c?lculo deste lapso temporal, o tempo em que a requisi??o aguardar? por atendimento em raz?o de poss?vel indisponibilidade do efetivo pericial, que pode estar atendendo a outra requisi??o ou cumprindo miss?o policial, por exemplo. 85 em virtude de padroniza??es de m?todos e utiliza??o de reagentes previamente concebidos e preparados. Os comparativos apresentados nas pr?ximas Se??es levam em considera??o as seguintes premissas: 1) Os c?lculos de esfor?o foram realizados com base na estimativa de produ??o de um ?nico perito criminal, trabalhando com as ferramentas e os m?todos em uso da institui??o policial; 2) Somente um perito criminal foi respons?vel por trabalhar com a metodologia e o ferramental proposto. Ressalte-se que os nomes de investigados e opera??es policiais n?o ser?o mencionados em raz?o da preserva??o do sigilo das investiga??es. 5.2.1.1. Opera??es policiais conduzidas na Bahia No Estado da Bahia foram conduzidas tr?s investiga??es policiais que utilizaram a metodologia e o instrumental especializado concebido nesta pesquisa. O resultado de cada teste segue conforme relacionado: 1) Na opera??o A, que investigou o desvio de verba p?blica, 258 discos r?gidos arrecadados, totalizando aproximadamente 35 terabytes, tiveram o conte?do disponibilizado pelo instrumental em 60 dias. 2) Na opera??o B, que investigou a explora??o de jogos de azar, 50 discos r?gidos arrecadados, totalizando aproximadamente 10 terabytes, tiveram o conte?do disponibilizado pelo instrumental em 24 dias. 3) Na opera??o C, que tamb?m investigou a explora??o de jogos de azar, 32 discos r?gidos arrecadados, totalizando aproximadamente 5 terabytes, tiveram o conte?do disponibilizado pelo instrumental em 9 dias. Com base nos indicadores apresentado na tabela 5.2 e nos resultados alcan?ados como o uso do instrumental, ? apresentado, na tabela 5.3, um comparativo de esfor?o para extra??o e disponibiliza??o de documentos eletr?nicos. Tabela 5.3 - Comparativo de esfor?o para extra??o e disponibiliza??o de documentos (Bahia). Opera??o Dimens?o (terabytes) Discos r?gidos (qtde) estimado A 35 258 B 10 50 C 5 32 A figura 5.9 demonstra graficamente o comparativo apresentado na tabela 5.3. Figura 5.9 - Comparativo de esfor?o para disponibiliza??o de dados. 5.2.1.2. Opera??es policiais conduzidas no Par? No Estado do Par? foram conduzidas tr?s investiga??es policiais que utilizaram a metodologia e o instrumental especializado concebido nesta pesquisa. O resultado de cada teste segue conforme relacionado: 1) Na opera??o D, que investigou o desvio de verba p?blica, 3 discos r?gidos arrecadados, totalizando aproximadamente 0,3 terabytes, tiveram o conte?do disponibilizado pelo instrumental em 1 dia. 0 200 400 600 800 1000 1200 1400 1600 1800 2000 Opera??o A 60129 774 1806 Esfor?o N?vel I (dias) Esfor?o estimado N?vel II (dias) Esfor?o estimado N?vel III (dias) Esfor?o realizado (dias) Propor??o do esfor?o estimado n?vel I Propor??o do esfor?o estimado 129 774 1806 60 46,51% 7,75% 25 150 350 24 96,00% 16,00% 16 96 224 9 56,25% 9,38% Opera??o B Opera??o C 24 925 16 150 96 350 224 Esfor?o realizado (dias) Esfor?o estimado N?vel I (dias) Esfor?o estimado N?vel II (dias) Esfor?o estimado N?vel III (dias) 86 n?vel II Propor??o do esfor?o estimado n?vel III 3,32% 6,86% 4,02% 2) Na opera??o E, que investigou crime previdenci?rio, 41 discos r?gidos arrecadados, totalizando aproximadamente 8 terabytes, tiveram conte?do disponibilizado pelo instrumental em 27 dias. 3) Na opera??o F, que investigou o desvio de verba p?blica, 57 discos r?gidos arrecadados, totalizando aproximadamente 4 terabytes, tiveram o conte?do disponibilizado pelo instrumental em 12 dias. Com base nos indicadores apresentado na tabela 5.2 e nos resultados alcan?ados como o uso do instrumental, ? apresentado, na tabela 5.4, um comparativo de esfor?o para extra??o e disponibiliza??o de documentos eletr?nicos. Tabela 5.4 - Comparativo de esfor?o para extra??o e disponibiliza??o de dados (Par?). Opera??o Dimens?o (terabytes) Discos r?gidos (qtde) Esfor?o estimado n?vel I para um (dias) D 0,3 3 E 8 41 F 4 57 A figura 5.10 demonstra graficamente o comparativo apresentado na tabela 5.4. Figura 5.10 - Comparativo de esfor?o para disponibiliza??o de dados. 0 50 100 150 200 250 300 350 400 Opera??o D 1 1,5 9 21 PCF Esfor?o estimado n?vel II para um PCF (dias) Esfor?o estimado n?vel III para um PCF (dias) Esfor?o realizado com o instrumental por um PCF (dias) Propor??o do esfor?o realizado em rela??o ao n?vel I Propor??o do esfor?o realizado em rela??o ao n?vel II 1,5 9 10,5 1 66,67% 20,5 123 143,5 27 131,71% 28,5 171 199,5 12 42,11% Opera??o E Opera??o F 27 1220,5 28,5 123 171 287 399 Esfor?o realizado (dias) Esfor?o estimado N?vel I (dias) Esfor?o estimado N?vel II (dias) Esfor?o estimado N?vel III (dias) 87 o Propor??o do esfor?o realizado em rela??o ao n?vel III 11,11% 9,52% 21,95% 18,82% 7,02% 6,02% 5.2.1.3. Efici?ncia Produtiva Alcan?ada A figura 5.11 apresenta a efici?ncia alcan?ada em cada uma das 6 opera??es conduzidas com uso da solu??o proposta. Figura 5.11 Nas opera??es conduzidas com a solu??o proposta, as disponibiliza??es de dados aos apurat?rios foram conclu?das em um intervalo temporal inferior a 15 representado na figura 5.12. Figura Mesmo a opera??o A, que arrecadou o maior n?mero de materiais e contabilizou o maior volume de dados (257 m?dias e 37 terabytes), durou 60 dias, tendo sido conclu?da 0,00 1,00 2,00 3,00 4,00 5,00 Opera??o A Opera??o B 4,30 0 20 40 60 80 100 120 140 160 Opera??o A Opera??o B 60 - Efici?ncia alcan?ada com o uso da solu??o proposta 7 dias. Conforme 5.12 - Lapso temporal transcorrido Opera??o C Opera??o D Opera??o E Opera??o F 2,08 3,56 3,00 1,52 4,75 Opera??o C Opera??o D Opera??o E Opera??o F 24 9 1 27 12 88 Lapso temporal m?dio de conclus?o de requisi??es de Per?cia em Inform?tica (INC/DITEC, 2012) 157 em 38% do tempo m?dio necess?rio ao completo atendimento de requisi??o de per?cias em inform?tica. A figura 5.13 apresenta um comparativo entre o tempo m?dio consumido pela solu??o para completar as disponibiliza??es de documentos ao apurat?rio necess?rio ao completo atendimento de requisi??o de per?cias em inform?tica, no ano 2011. 5.2.1.4. Consumo de Espa?o de Disco A arquitetura proposta utiliza a estrat?gia de extrair, do material arrecadado, documentos comumente produzidos por usu?rio tabela 5.5 apresenta o espa?o em disco reunir os documentos de cada opera??o policial. A tabela 5.5 apresenta dados de opera??es conduzidas na Bahia e no Par?. Tabela Opera??o Discos r?gidos (qtde) A 258 B 50 C 32 D 3 E 41 F 57 31 Considerando o tempo consumido em cada uma das seis opera??es onde a solu??o foi utilizada. 32 Somat?rio das capacidades dos discos r?gidos arrecadados. 33Espa?o consumido no reposit?rio de artefatos para armazenar os documentos eletr?nicos extra?dos dos materiais arrecadados em cada opera??o policial. 0 50 100 150 200 31 e o tempo m?dio Figura 5.13 ? Propor??o de efici?ncia e disponibiliz?-los em reposit?rios. A efetivamente consumido pelo ferramental 5.5 ? Consumo de espa?o em disco Dimens?o32 (terabytes) Espa?o efetivamente consumido no ferramental33 (terabytes) 35 0,1133 10 0,0234 5 0,0313 0,3 0,0008 8 0,0645 4 0,0156 157 22 Lapso temporal m?dio para conclus?o de requisi??es de Per?cia em Inform?tica (INC/DITEC, 2012) Lapso temporal m?dio para conclus?o das disponibiliza??es de dados, com base nos testes realizados com a solu??o proposta 89 de para Propor??o 0,32% 0,23% 0,63% 0,28% 0,81% 0,39% A figura 5.14 demonstra graficamente o comparativo apresentado na tabela 5.5. O reduzido consumo de espa?o em disco alcan?ado pela solu??o favorece que se possa gerenciar um grande n?mero de opera??es policiais de grande porte simultaneamente. Esta caracter?stica tamb?m favorece que a an?lise da informa??o possa permear a investiga??o policial criminal, respeitando sem impor ao ciclo de produ??o do conhecimento limites que n?o sejam inerentes ? pr?pria investiga??o. A an?lise da informa??o permeando a investiga??o ? um dos requisitos apresentados no Capitulo 2 de revis?o conceitual, especificamente, 2.4.1, que aborda a an?lise da informa??o na investiga??o policial criminal. Fazendo uma extrapola??o dos resultados obtidos nos teste realizados na Bahia, se existissem 20 opera??es policiais rigorosamente iguais ? opera??o A, sendo conduzidas simultaneamente na institui??o, por interm?dio da solu??o proposta, seriam necess?rios, aproximadamente, 2,4 terabytes de espa?o em disco para acomodar os documentos extra?dos de todas elas. Por outro lado, se esse mesmo cen?rio fosse suportado por uma solu??o baseada em acesso direto as c?pias forenses do material arrecadado, como o FTK ADLab, por exemplo, seria necess?rio uma configura??o computacional com, aproximadamente, 700 terabytes de es 0 5 10 15 20 25 30 35 Opera??o A Opera??o B 35 10 0,11 Somat?rio das capacidades dos discos r?gidos arrecadados (terabytes) Espa?o consumido por cada opera??o policial, durante os testes (terabytes) Figura 5.14 - Consumo de espa?o em disco -se o tempo de cogni??o na atividade policial, pa?o em disco. Opera??o C Opera??o D Opera??o E Opera??o F 5 0,3 8 4 0,02 0,03 0,001 0,06 90 na Se??o 0,02 Embora, na vis?o deste pesquisador, a ferramenta concebida na pesquisa e a ferramenta FTK ADLab sejam ferramentas forenses de classe distintas um comparativo de consumo de espa?o entre elas. Figura O reduzido consumo de espa?o em disco, confirmado pelos testes realizados, ? especialmente relevante, ? medida que demonstra ser poss?vel reunir uma base hist?rica das opera??es, de forma a permitir por em pr?tica os componentes mais avan?ados de minera??o de dados do instrumental: o componente reconhecedor e o componente vinculador, descritos na Se??o 4.1.3.2. Revisitando os conceitos apresentados no cap?tulo 3, Se??o 3.2.1, Nicole Beebe assevera que uma ferramenta com potencial de minerar dados seria capaz de permitir aos investigadores alcan?arem n?veis de informa??o sem precedentes 2009). 5.2.1.5. Aspectos Relacionados ? Efici?ncia Alcan?ada A estrat?gia modular permite que cada componente especialista cuide de uma fra??o do problema denominado disponibiliza??o de documentos eletr?nicos. Cada m?dulo ou componente opera simultaneamente em rela??o aos demais, desde que tenha tarefa por 34 Em s?ntese, a primeira ? o prot?tipo de uma ferramenta especialista, ta documentos eletr?nicos, quanto no suporte ao processo de an?lise investigat?ria da informa??o, que inaugura uma nova classe de ferramentas forense voltadas a ajudar em investiga??es. Enquanto que, a segunda, ? uma ferramenta forense orientada ? tradicional identifica??o de evid?ncias digitais, estendida por uma funcionalidade gr?fica que permite acesso colaborativo aos arquivos existentes em uma ou mais m?dias, em que pese a import?ncia da referida ferramenta nos processos em 0 100 200 300 400 500 600 700 34, a figura 5.15 apresenta 5.15 - Estimativas de consumo de espa?o nto na disponibiliza??o ?gil de pregados em outros pa?ses. Solu??o proposta FTK ADLab 2,4 700 91 (Beebe N. L., 92 cumprir. Para que d? in?cio a uma nova tarefa, n?o requer interven??o humana, o faz de forma autom?tica e ass?ncrona uns em rela??o aos outros. Ou seja, enquanto uma m?dia esta sendo submetida ao processo de c?pia forense, por exemplo, outra sofre extra??o, outra est? em fase de montagem de dados, assim por diante. A arquitetura da solu??o tamb?m a confere habilidade para lidar com grandes quantidades de m?dias. A capacidade de automa??o da solu??o permite que, em um mesmo momento, lotes de m?dias sejam oferecidos a processamento aos componentes aquisitores. Quanto maior o n?mero de m?dias processando simultaneamente, maior ser? a efici?ncia final, desde que, tamb?m, os demais componentes sejam dimensionados para atender ao volume de trabalho produzido. Em outras palavras, os componentes da solu??o trabalham de forma modular, simult?nea, aut?noma e ass?ncrona uns em rela??o aos outros. O que representa um dos pontos fortes da proposta. Em virtude de sua arquitetura, o prot?tipo alcan?ou a capacidade produtiva apresentada na Se??o 5.2.1.3. A figura 5.16 exemplifica didaticamente os componentes em funcionamento. Figura 5.16 ? Exemplifica??o de componentes em execu??o simult?nea. 5.2.1.6. Expansibilidade e Versatilidade da Solu??o A expansibilidade ? outro ponto forte da solu??o proposta. O ferramental, concebido com base na arquitetura, est? preparado para expandir sua capacidade produtiva - com a 93 adi??o de novas inst?ncias de componentes, operacionalizadas ou n?o em novos hardwares - para suportar um aumento de carga quando um maior poder de processamento for necess?rio. Por exemplo, a operacionaliza??o exemplificada pela figura 5.17 seria capaz de expandir a efici?ncia alcan?ada por aquela apresentada na figura 5.8, que representou o esquema da configura??o posta em pr?tica para prova de conceitos. O modelo expandido ? capaz de suportar o oferecimento simult?neo de at? 40 discos r?gidos. Tal modelo de opera??o ? tamb?m vers?til a ponto de permitir a desativa??o, tempor?ria ou definitiva, de componentes e/ou de hardware, mantendo-se operacional35. Figura 5.17 ? Exemplo de configura??o que demonstra a expansibilidade e versatilidade da configura??o do ferramental. 35 Desde que, pelo menos, uma inst?ncia de cada componente permane?a ativa, em um mesmo conjunto produtivo. 94 5.2.2. An?lise investigat?ria da informa??o Para analisar os documentos eletr?nicos fez-se uso da fase de an?lise e cotejo, do segmento de investiga??o da metodologia proposta, descrito na Se??o 4.1.4.1. A etapa, prevista como atribui??o de investigadores, serviu para instru??o da investiga??o policial criminal. Por interm?dio do uso do componente de an?lise, os investigadores puderam definir a estrat?gia de explora??o do poss?vel material probat?rio, organizando a atua??o da equipe de investigadores. Por exemplo, a estrat?gia de organiza??o dos trabalhos de an?lise pode levar em considera??o os alvos investigados por cada policial ou mesmo suas especializa??es. Tal organiza??o pode maximizar as chances de alcan?ar dados relevantes ao apurat?rio. Uma vez organizados os trabalhos de an?lise, os investigadores exploraram os documentos eletr?nicos submetendo buscas por palavras-chave, por exemplo, com base nas hip?teses investigat?rias. As buscas tiveram como escopo simultaneamente todos os documentos disponibilizados na fase de extra??o de dados da metodologia proposta. A abordagem permitiu trabalhar eficientemente com grandes volumes de dados, funcionando a semelhan?a das ferramentas de buscas comumente utilizadas na internet. Com a diferen?a de que os hits permanecem dispon?veis por tempo indeterminado, organizados em cont?ineres de buscas, a fim de que sejam avaliados profundamente e de forma colaborativa pela equipe de investiga??o. A an?lise colaborativa e geograficamente distribu?da permitiu que investigadores em salas, unidades policiais ou estados diferentes, por exemplo - compusessem uma mesma equipe de investiga??o, maximizando a for?a de an?lise. Depois de avaliados, os documentos considerados relevantes pelos investigadores puderam ser adicionados a cont?ineres l?gicos, que representaram as hip?teses da investiga??o. Os cont?ineres l?gicos s?o compartilhados entre os investigadores de uma mesma equipe de an?lise. Todos puderam contribuir com a adi??o de outros documentos, posteriormente identificados durante o ciclo do processo de an?lise da informa??o. A eles tamb?m foi possibilitado registrar anota??es que sustentassem teses, conjecturas, conclus?es e outros dados que julgassem relevantes, retroalimentando a investiga??o. 95 Em s?ntese, os cont?ineres de hip?tese serviram para reunir e compartilhar o conhecimento entre os membros de uma equipe de investiga??o, fomentando a cogni??o na atividade policial. Deles resultaram os relat?rios de an?lise. Em raz?o do curso das investiga??es, per?cias em diferentes ?reas do conhecimento foram requisitadas. Por exemplo, para verificar rastros que indicassem elabora??o ou edi??o de determinados documentos em certos computadores36, apontando ind?cios de autoria ou coautoria. Por suas palavras, durante os testes, o delegado de policia federal Welder Almeida assim se referiu a experi?ncia com a solu??o proposta (Almeida, 2010): Uma singela explana??o acerca do sistema informatizado UIRA?U se faz necess?ria, raz?o pela qual H? QUE SE COLACIONAR ao Feito o documento de apresenta??o desse novel instrumento de trabalho, um verdadeiro turning point, uma verdadeira quebra de paradigma em termos de investiga??es policiais que envolvam apreens?es de m?dias computacionais e suas respectivas an?lises (e nos dias atuais isso quase sempre ocorre ? ? o quod plerumque accidit); Acerca do n?vel de profundidade da explora??o do poss?vel material probat?rio, o delegado enfatizou (Almeida, 2010): Disponibilizado tal universo de arquivos pessoais por meio de aplicativo na intranet do DPF, obteve-se um mecanismo de busca automatizado (qual verdadeiro Google otimizado), cujas pesquisas, por parte dos investigadores que conhecem a fundo o caso concreto (e n?o dos peritos criminais, que conhecem a fundo as t?cnicas inerentes ?s suas especialidades); esses investigadores passaram, ent?o, a realizar consultas, valendo-se de palavras-chave com relev?ncia (no mais das vezes grande, alguma vezes pequena), tantas vezes quanto uma razo?vel dura??o do processo (algo constitucionalmente previsto) poderia permitir, e com isso se pode afirmar que as m?dias computacionais foram vasculhadas a fundo, por meio de diversos crit?rios de pesquisa, e isso, certamente, ? algo que d? muita seguran?a ao d. Magistrado Federal para decidir acerca do conjunto probat?rio amealhado com a apreens?o de m?dias computacionais; 36 Verificando a exist?ncia de diferentes vers?es de um mesmo documento, em recurso de recupera??o provido pelo ambiente computacional utilizado, por exemplo. 96 5.3. CONSIDERA??ES Embora os resultados alcan?ados tenham sido promissores, h? potencial para alcan?ar resultados muito melhores se for utilizada, de forma plena, a capacidade da solu??o proposta. Justifica enfatizar que os resultados positivos ora apresentados foram obtidos atrav?s de uma prova de conceitos. H? espa?o para melhorias, algumas delas elencadas na Se??o 6.3, que podem proporcionar resultados ainda mais positivos. ? valido acrescentar, extrapolando os objetivos da pesquisa, que os recursos de an?lise disponibilizados aos investigadores, para utiliza??o durante a fase inquisitorial da persecu??o penal, podem ser franqueados ao titular da a??o penal. Posteriormente, durante a fase processual, podem ser ainda estendidos ao magistrado e, tamb?m, a parte r? - em raz?o do direito ao Contradit?rio e ? Ampla Defesa prevista pela legisla??o p?tria37. Pode-se alcan?ar tal funcionalidade uma vez que o componente de an?lise e os demais que trabalham na retaguarda da solu??o podem ser operacionalizados por interm?dio de ambiente computacional virtual38 e receber a exporta??o de todos os documentos que comp?em um determinado caso. Uma vez criado, o ambiente computacional virtual pode ser utilizado facilmente. O resumido consumo de espa?o em disco necess?rio ? solu??o contribui positivamente para tornar poss?vel tal versatilidade operacional. Por exemplo, a opera??o A, conduzida na Bahia, acomodar-se-ia em um ambiente virtual de 150 gigabytes de tamanho total. Este Cap?tulo trouxe os resultados da aplica??o da prova de conceitos da metodologia e da arquitetura propostas aplicadas a casos reais. O Cap?tulo 6 apresenta as conclus?es desta pesquisa e prop?e trabalhos futuros. 37 O Princ?pio do Contradit?rio e da Ampla Defesa ? assegurado pelo artigo 5?, inciso LV da Constitui??o Federal. 38 Simula??o de um computador implementado atrav?s de software, que executa programas tal qual um computador real. 97 6. CONCLUS?ES Neste Cap?tulo s?o apresentadas as conclus?es da pesquisa. A Se??o 6.1 apresenta as principais contribui??es, enquanto que na Se??o 6.2 s?o apresentadas as considera??es finais. Por fim, s?o relacionados trabalhos futuros, que seguem na Se??o 6.3. 6.1. PRINCIPAIS CONTRIBUI??ES A principal contribui??o do presente trabalho ? que, diferentemente dos trabalhos apresentados anteriormente ou das solu??es comerciais focadas sempre na ferramenta disponibilizada aos investigadores e peritos, o foco desta disserta??o ? uma metodologia e uma arquitetura que oferece os seguintes principais benef?cios: 1) Tornar mais ?gil a disponibiliza??o de documentos eletr?nicos ao apurat?rio; 2) Viabilizar e otimizar o trabalho de investiga??o a partir de dados em formato digital; 3) Resguardar a objetividade do perito, que n?o deve ser exposto ao contexto das hip?teses da investiga??o; 4) Viabilizar a an?lise de dados colaborativa e geograficamente distribu?da, permeando a investiga??o policial criminal; 5) Favorecer a evolu??o do conhecimento em ciclo ? medida que novas informa??es s?o analisadas pela equipe de investiga??o; 6) Tratar o grande volume de dados digitais sem exclus?o de informa??o julgada irrelevante, visto que em outro momento das investiga??es essa informa??o pode vir a ser importante; 7) Viabilizar a constru??o de mecanismos automatizados de minera??o de dados que auxiliem na identifica??o de dados relevantes a investiga??o policial criminal. Com base neste trabalho, um artigo cient?fico foi submetido ? ICoFCS 2011 (The Sixth International Conference on Forensic Computer Science), tendo sido publicado nos 98 anais dessa confer?ncia e apresentado no VIII Confer?ncia Internacional de Per?cias em Crimes Cibern?ticos (ICCyber 2011). 6.2. CONSIDERA??ES FINAIS Neste trabalho foram concebidas uma metodologia e uma arquitetura para sistematizar a an?lise investigat?ria da informa??o digital. Os resultados alcan?ados em investiga??es policiais reais confirmaram a hip?tese de pesquisa, mostrando ser poss?vel integrar os trabalhos de investigadores e peritos criminais em torno da investiga??o digital. A metodologia e a arquitetura proposta demonstraram efici?ncia e os resultados pr?ticos alcan?ados mostram efic?cia. Cada qual estabelecida segundo suas pr?prias regras, exig?ncias e particularidades, as provas resultantes do modo de trabalho proposto podem possuir: ? Um car?ter de prova documental - quando transmitem ideias e pensamentos, por exemplo, apostos em um suporte digital; ? Um car?ter de prova pericial ? quando, por exemplo, apresentem os efeitos de condutas, por interm?dio da t?cnica, da ci?ncia ou da arte. Em virtude da ado??o desta proposta, a an?lise da informa??o poder? ser amplamente realizada no contexto da investiga??o, abolindo o m?todo diferenciado de an?lise, podendo ser t?o minuciosas e extensas quanto for exigido, em raz?o das caracter?sticas do fato e da conduta em apura??o. 6.3. TRABALHOS FUTUROS H? diversas possibilidades para trabalhos futuros. Eis algumas: 1) Permitir que o componente de an?lise investigat?ria interaja, simultaneamente, com v?rios componentes de minera??o de dados, cada qual contendo uma fra??o dos documentos eletr?nicos de interesse, correspondendo a um particionamento do caso numa determinada perspectiva da investiga??o. Essa evolu??o ser? ?til nas opera??es deflagradas em ?mbito nacional, com dilig?ncias em v?rios estados e 99 com trabalhos periciais de extra??o de dados realizados no pr?prio estado em que o material foi arrecadado. 2) Operacionalizar os m?dulos de reconhecimento de padr?es e descoberta e apresenta??o de v?nculos. Essa evolu??o ser? ?til para ampliar a aquisi??o de conhecimento e intelig?ncia na investiga??o criminal. Tais recursos trar?o melhoria na efici?ncia e na efetividade do processo de an?lise, utilizando-se de algoritmos de minera??o de dados para revelar conex?es, dados e informa??es que seriam indetect?veis ou dificilmente percebidas somente por uma an?lise e observa??o humana; 3) Evoluir o componente de aquisi??o especializado em disco r?gido e conceber aquisitores para outros tipos de m?dia. 100 REFER?NCIAS BIBLIOGR?FICAS Access Data. (2011). Fonte: Access Data Corp. FTK 3.x: Dispon?vel em: . Acessado em julho/2011. Almeida, D. W. (2010). Documento Oficial que comp?e Inqu?rito Policial em curso. Bel?m do Par?, PA. ANP/DPF. (2009). Investiga??o policial criminal. Bras?lia: Academia Nacional de Pol?cia. ANP/DPF. (2008). Manual de Gest?o de Planejamento Operacional. Bras?lia-DF: Academia Nacional de Pol?cia. Aranha, A. Q. (1987). Da Prova no Processo Penal. Saraiva. Ayers, D. (2009). A second generation computer forensic analysis system. digital investigation . Barbosa, A. M. (24 de 02 de 2011). Ciclo do Esfor?o Investigativo criminal - CEIC. Acesso em outubro/2011, dispon?vel em www.jurisway.org.br: http://www.jurisway.org.br/v2/dhall.asp?id_dh=5481 Beebe, N. L. (2009). Digital Forensics Research: The Good, the Bad, and the Unaddressed. San Antonio, Texas, Estados Unidos da Am?rica. Beebe, N. L., & Clark, J. G. (2004). A Hierarchical, Objective-based Framework for the Digital Investigations Process. Carrier, B. (2005). File System Forensic Analysis, Addison Wesley, ISBN: 0-321- 26817-2. Carrier, B., & Spafford, E. H. (2003). Getting Physical with the Digital Investigation Process. International Journal of Digital Evidence . Ciardhuain, S. O. (2004). An Extended Model of Cybercrime Investigations. . International Journal of Digital . Costa, M. A. (1997). Crimes de Inform?tica. Jus Navigandi , Dispon?vel em: . Acesso em: junho/2011. Couri, G. F. (2009). Crimes pela Internet. Escola da Magistratura do Estado do Rio de Janeiro - Revista da EMERJ , p. Dispon?vel em : Acessado em: junho/2010. DITEC/DPF. (9 de Dezembro de 2011). Instru??o de Servi?o 008/2011-DITEC, de 23 de novembro de 2011. Boletim de servi?o 235. EnCase Forensic. (2011). Fonte: Dispon?vel em: < http://www.guidancesoftware.com>. Acessado em julho/2011. Esp?ndula, A. (2009). Sistema Judici?rio, Sistema de Seguran?a P?blica/Policial e Sistema Pericial. Acessado em julho/2011, dispon?vel em http://www.espindula.com.br: http://www.espindula.com.br/conteudo.php?id=7 101 Ferro J?nior, C. M. (2008). Intelig?ncia Organizacional: Identifica??o das bases doutrin?rias para a investiga??o criminal. Acessado em setembro/2011, dispon?vel em http://www.conteudojuridico.com.br/?artigos&ver=2.21050 Foremost. (2011). Fonte: foremost: Disponivel em: , Acessado em dezembro/2011 Freiling, F. C., & Schwittay, B. (2007). A Common Process Model for Incident Response and Computer Forensics. Garfinkel, S. L. (2010). Digital forensics research: The next 10 years . Digital investigation 7 , S64 - S73 Disponivel em: < http:// www.dfrws.org/2010/proceedings/2010-308.pdf> Acessado em seembro/2011. Gomes, L. F., & Scliar, F. (2008). Investiga??o preliminar, pol?cia judici?ria e autonomia. LFG, S?o Paulo , p. Dispon?vel em: < http://www.lfg.com.br/public_html/article.php?story=20081020154145672>. Acesso em:7 dez. 2010. Huebner, E., Bem, D., & Bem, O. (2008). Computer forensics - past, present and future. Journal of Information Science and Technology. INC/DITEC. (2010). Relat?rio Estat?stico das Atividade do Sistema Nacional de Crimilal?stica. Bras?lia. DF: Departamento de Pol?cia Federal - Diretoria T?cnico Cient?fica. INC/DITEC. (2011). Relat?rio Estat?stico das Atividade do Sistema Nacional de Crimilal?stica. Bras?lia. DF: Departamento de Pol?cia Federal - Diretoria T?cnico Cient?fica. INC/DITEC. (2012). Relat?rio Estat?stico das Atividade do Sistema Nacional de Crimilal?stica. Bras?lia. DF: Departamento de Pol?cia Federal - Diretoria T?cnico Cient?fica. Kent, K., Chevalier, S., Grance, T., & Dang, H. (2006). Guide to Integrating Forensic Techniques into Incident Response , NIST Special Publication 800-86. Gaithersburg: National Institute of Standards and Technology. Kohn, M., Eloff, J., & Oliver, M. (2006). Framework for a Digital Forenisc Investigation. Proceedings of Information Security South Africa (ISSA). Manzano, L. F. (2011). Prova Pericial: Admissibilidade e Assun??o da Prova Cient?fica e T?cnica no Processo Brasileiro. S?o Paulo: Atlas. Mirabete, J. F. (2008). Processo Penal. 18? ed. S?o Paulo: Atlas. Mittermaier, C. (1997). Tratado da Prova em Mat?ria Criminal. 2? ed. Tradu??o de Herbert W?tzel Heinrich. Campinas: Bookseller. Nucci, G. d. (2008). Manual de Processo Penal e Execu??o Penal 5? ed. rev., atual. e ampl. 2 tir. S?o Paulo: Revista dos Tribunais. Opilhar, M. C. (2006). Criminal?stica e Investiga??o : livro did?tico / Maria Carolina Milani. UNISULVIRTUAL - Universidade do Sul de Santa Catarina . Palho?a, Santa Catarina pp. 49-89. 102 Palmer, G. (2001). A Road map for Digital Forensic Research. Utica, New York: Dispon?vel em , Acessado em: outubro/2011. Pinheiro, P. P. (2008). Direito Digital 2 ed. S?o Paulo: Saraiva. Pollitt, M. (1995). Computer Forensics: an Approach to Evidence in Cyberspace. Proceeding of the National Information Systems Security Conference. 487-491. Baltimore, MD. Rangel, P. (2003). Direito Processual Penal. Rio de Janeiro: LUMEN JURIS. Reith, M., Carr, C., & Gunsch, G. (2002). An Examination of Digital Forensic Models International. Fonte: Dispon?vel em: , Acessado em outubro/2011. Scalpel. (2011). Fonte: http://www.digitalforensicssolutions.com: Disponivel em: , Acessado em: dezembro/2011 SEPINF/DITEC. (2011). ? Servi?o de Per?cias em inform?tica. Ferramentas de An?lise Pericial. Dispon?vel em: Acessado em julho/2011. SleuthKit/Autopsy. (2011). Fonte: sleuthkit.org: Disponivel em: , Acessado em: dezembro/2011. T?vora, N., & Antonni, R. (2009). Curso de Direito Processual Penal. 3. ed. Salvador: Podivm. Tourinho Filho, F. d. (2009). Processo penal. S?o Paulo: Saraiva: Saraiva. Vianna, T. L. (2003). Fundamentos de Direito Penal Inform?tico. Rio de Janeiro: Forense. Zaffaroni, E. R., Batista, N., Alagia, A., & Slokar, A. (2010). Direito Penal Brasileiro: segundo volume ? Teoria do Delito: introdu??o hist?rica e metodol?gica, a??o e tipicidade. Rio de Janeiro: Revan.