1. CASES
FORENSE DIGITAL
Reunimos neste documento algumas histórias de
sucesso sobre a aplicação da tecnologia e do know-how
da TechBiz Forense Digital em diferentes contextos.
Temos casos que dizem respeito a tecnologias específi-
cas, a demandas por serviços e experiências envolvendo
alguns dos nossos clientes.
2. Por produto
Por serviços profissionais
Por cliente
20 | NetWitness NextGen
16 | Roubo de informações
3 | Ministério Público do Rio de Janeiro 21 | UFED Cellebrite
17 | Violação de políticas internas
5 | Instituto de Criminalística da Bahia 22 | EnCase
18 | Malware na rede
7 | Instituto de Criminalística do Rio de Janeiro 23 | Image MASSter Solo 3
9 | ANP
11 | Secretaria de Justiça e Segurança Pública do Mato Grosso
13 | IBP-Brasil
3. Por cliente
- Ministério Público do Rio de Janeiro
- Instituto de Criminalística da Bahia
- Instituto de Criminalística do Rio de Janeiro
- ANP
- Secretaria de Justiça e Segurança Pública do Mato Grosso
- IBP-Brasil
4. Ministério Público
do Rio de Janeiro
Contexto
Seis grandes crimes – de improbidade administrativa a porno-
grafia infantil – são investigados mensalmente no laboratório
fornecido pela TechBiz Forense Digital ao Ministério Público
do Rio de Janeiro. A tecnologia, antes utilizada para investi-
gar e combater os crimes relacionados a cartéis, hoje atende
a qualquer tipo de demanda do MPRJ, desde fraudes em
licitações, passando por improbidade administrativa, pedo-
filia até homicídios. “O laboratório deu muita celeridade às
investigações do Ministério Público do Rio de Janeiro”, diz o
perito João Bernardo Aversa, da Coordenadoria de Segurança
e Inteligência, Divisão de Evidências Digitais (DEDIT) do MPRJ.
3
5. Ministério Público do Rio de Janeiro
Aplicação
Em situações de busca e apreensão, equipamentos com o Solo 4 e o FRED tornaram-se fundamentais para os peritos realizarem a dupli-
cação das mídias suspeitas, seja em campo ou no próprio laboratório. “Atuamos muito em sistemas críticos, seja em prefeituras ou
empresas, em que o sistema não pode ficar muito tempo fora do ar. Nesses casos fazemos a duplicação no próprio local do incidente.”
Com as evidências prontas para serem analisadas, as funcionalidades das ferramentas forenses como o EnCase, que tratam arquivos
deletados, recuperam dados e buscam por palavras-chaves, são fundamentais para os investigadores. “Muitas vezes precisamos fazer
associações entre indivíduos e determinadas corporações e a busca por palavras-chaves agiliza muito o nosso trabalho”, diz.
Já o FTK permite a análise rápida de um grande volume de dados. “Recentemente, participamos de uma operação que demandou a
análise de muitas informações e pelo processo de indexação e busca rapidamente obtivemos êxito.” Para atender a uma demanda cada
vez maior, o UFED (Universal Forensics Extraction Device), da Cellebrite, agiliza a extração e análise de dados em dispositivos móveis.
Depoimento “Atualmente, qualquer tipo de crime envolve apreensões de computadores. Os profissionais da Divisão
de Evidências Digitais e Tecnologia (DEDIT) tratam os materiais em meio magnético, cujo conteúdo é
estático e inerte, e geram um relatório embasado cientificamente, o que permite uma melhor com-
preensão do conteúdo e confere robustez às alegações do Ministério Público. O que apuramos aqui
serve de indício para muitas outras coisas, abre muitas outras frentes de investigação”
João Bernardo Aversa, da Coordenadoria de Segurança e Inteligência,
Divisão de Evidências Digitais (DEDIT) do MPRJ.
4
6. Instituto de Criminalística
da Bahia
Contexto
Pioneiros na criação do Laboratório de Forense Computacional,
o Instituto de Criminalística Afrânio Peixoto (ICAP), da Bahia,
está sempre se atualizando com as novas tecnologias para
análise e investigação dos crimes digitais. Atualmente, o ICAP
conta com dois UFED para a análise de celulares, dois Image
MASSter Solo 4, bloqueadores de escrita da Tableau, Encase
Forensic e FRED, todos fornecidos pela TechBiz Forense Digital.
Com uma média de 105 ocorrências trimestrais envolvendo
perícia de computadores, algumas contendo lotes de 30 a 40
máquinas, a celeridade nas investigações é crucial. “A fila é
grande, há uma deficiência de pessoal e não temos mais espaço
para acomodar tantas máquinas”, diz o perito criminal Marcelo
Sampaio, da coordenação de computação forense do Departa-
mento da Polícia Técnica do ICAP.
5
7. Instituto de Criminalística da Bahia
Aplicação
Em uma das investigações realizadas pelo IC da Bahia, envolvendo vazamento de dados, o EnCase foi fundamental para detectar uma
tentativa de descaracterização das evidências. Com o intuito de enganar os investigadores, os autores do ilícito tentaram implantar
provas falsas no material apurado nas máquinas da instituição vítima do vazamento de informações sigilosas.
“Eram pessoas que tinham conhecimento do processo da perícia e fizeram de tudo para descaracterizar a prova. Mesmo assim, consegui-
mos descobrir os responsáveis pelo crime a partir de um exame detalhado de todo material apreendido, que nos revelou, inclusive, a
adulteração da evidência”, diz Sampaio.
O EnCase realizou o trabalho de extração dos dados e a análise do material oriundo de correio eletrônico, salas de bate-papo, planilhas
etc. A ferramenta é capaz de adquirir dados do disco ou da memória RAM, documentos, imagens, e-mail, webmail, artefatos de internet,
histórico da web e cache, reconstruir páginas HTML, sessões de chat, arquivos comprimidos, arquivos de backup ou encriptados, RAIDs,
estações de trabalho e servidores.
Depoimento “Existe uma tendência muito forte do uso de tecnologia não só nos crimes cometidos
por meio de computadores, como também nos crimes do dia a dia, como homicídio e
roubo a banco. Sempre tem um celular ou um computador no local do crime. As
tecnologias de forense digital agilizam muito o nosso trabalho”
Marcelo Sampaio, perito criminal da coordenação de computação forense
do Departamento da Polícia Técnica do ICAP.
6
8. Instituto de Criminalística
do Rio de Janeiro
Contexto
Responsável por atender às demandas por perícia das 131 delegacias do Estado
do Rio de Janeiro – além das delegacias especializadas, como a de Mulheres,
Fazendária, Meio-ambiente e dos Postos de Perícia das regiões Norte, Serrana,
Oceânica e Metropolitana – o Instituto de Criminalística Carlos Éboli (ICCE)
tornou-se cliente da TechBiz Forense Digital em 2009. Na época, quatro peritos
foram capacitados pela empresa para utilizarem os equipamentos do Labo-
ratório de Forense Digital. A TechBiz também prestou consultoria à Polícia Civil
e seguiu-se um período de operação assistida e suporte técnico.
Até a inauguração do laboratório, o instituto não contava com estrutura
específica para a perícia digital e, para buscar informações relevantes, os
peritos tinham que vasculhar os computadores manualmente, abrindo arquivo
por arquivo. "Uma coisa simples às vezes levava 20 ou 30 dias", afirmou o chefe
do serviço de perícia de engenharia do ICCE, Wellington Silva Filho.
7
9. Instituto de Criminalística do Rio de Janeiro
Aplicação
Com tecnologia de ponta – as mesmas utilizadas pelas polícias federal do Brasil e do mundo -, os peritos conseguem, atualmente, proces-
sar e analisar diversas máquinas simultaneamente em busca de informações específicas; fazer cópias de um disco rígido a uma velocidade
média de 3 Gbytes por minuto; emitir, em poucos minutos, um laudo completo sobre um celular apreendido, recuperando até mesmo
dados apagados; fazer varreduras em computadores atrás de imagens pornográficas; entre muitas outras funções.
Depoimento “É importante para a justiça que os laudos tenham consistência técnica. A varredura
dos vestígios digitais deve ser completa. Feita de forma manual os resultados não são
garantidos. Com esses equipamentos, os resultados são precisos e inquestionáveis
juridicamente”
Sérgio da Costa Henriques, diretor do ICCE.
8
10. Agência Nacional do Petróleo,
Gás Natural e Biocombustíveis (ANP)
Contexto
Centro de referência em dados e informações sobre a indústria do
petróleo e gás natural, a Agência Nacional do Petróleo, Gás Natural
e Biocombustíveis (ANP) sabe bem o valor das informações arma-
zenadas em suas máquinas. Por isso, desde 2009, tornou-se usuária
das soluções oferecidas pela TechBiz Forense Digital para sanitizar e
duplicar discos rígidos.
9
11. Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP)
Aplicação
Com o Image MASSter IM4008i, da Intelligent Computer Solution, a agência é capaz de copiar simultaneamente até oito drives, a taxas
de transferência que ultrapassam 1,8GB por minuto. Além disso, o hardware é equipado com a opção WipeOut que apaga de forma
acurada todas as informações presentes no HD.
O IM4008i atendeu às necessidades da ANP ao permitir copiar de forma automática diferentes modelos e tamanhos de drives. O hardware
copia e verifica dados entre hard drives IDE, EIDE e Ultra-DMA IDE. A unidade também suporta funcionalidades ATA-6, DCO1, HPA2 e
endereçamento 48-bit.
“Duplicamos discos para preservar as informações ali presentes e precisamos garantir a sanitização em situações de descarte, ao entre-
gar uma máquina nova para o usuário, ou ao usar equipamentos de terceiros, em Rodadas de Licitação, por exemplo, quando alugamos
vários notebooks”, diz Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP.
Depoimento “Antes de utilizar a tecnologia oferecida pela TechBiz Forense Digital, o processo de saniti-
zação era feito via software e apresentava falhas. Ao validar um procedimento feito via
software vimos que a sanitização não tinha sido completa. Queríamos um processo mais
garantido e que fosse quase automático, em que precisássemos apenas inserir os discos”
Roberto Caldeira, gestor do Escritório de Segurança da Informação da ANP.
10
12. Secretaria de Justiça e
Segurança Pública do Mato Grosso
Contexto
Ao adotar as tecnologias de forense digital em suas investi-
gações, a Perícia Oficial e Identificação Técnica da Secretaria
de Justiça e Segurança Pública do Mato Grosso modificou seus
processos internos, passou a armazenar uma cópia do material
apreendido em suas unidades e, com isso, criou um melhor
arquivo de provas. “Houve um incremento de qualidade no
trabalho do perito, que quando feito manualmente arriscava-
se a deixar passar desapercebida alguma evidência”, diz o
perito Zuilton Braz Marcelino.
11
13. Secretaria de Justiça e Segurança Pública do Mato Grosso
Aplicação
Atualmente, a tecnologia fornecida pela TechBiz Forense Digital é utilizada em todos os exames feitos pela Secretaria de Justiça
do Mato Grosso, desde casos de falsificação de papel moeda, passando por denúncias de ameaças, fraudes contra instituições
públicas até pedofilia.
Em um caso de fraude contra a Receita Estadual, uma cópia exata de todo o ambiente de rede suspeito, composto por cinco
máquinas, foi feita in loco. Todas as máquinas foram rapidamente investigadas e não apenas o servidor, o que foi fundamental,
já que o programa que gerava a movimentação financeira fora do sistema de arrecadação – o que permitia a formação de um caixa
dois – estava instalado no disco rígido do administrativo.
Depoimento “A facilidade proporcionada pelas soluções de forense digital nos permitiu ir além e
de forma rápida, sem descuidar dos detalhes, o que muitas vezes pode acontecer
quando não se tem o ferramental adequado e existe a premência do tempo, de ter
quefechar um inquérito em 30 dias”
Zuilton Braz Marcelino, perito criminal da Perícia Oficial e Identificação Técnica da
Secretária de Justiça e Segurança Pública do Mato Grosso
12
14. IBP Brasil
Contexto
Crimes como sequestro de pessoas, fraudes financeiras,
procedimentos indevidos ou mesmo furtos de dados praticados
por funcionários de empresas fazem parte da rotina dos profis-
sionais do Instituto Brasileiro de Peritos em Comércio
Eletrônico e Telemática (IBP Brasil). Afinal, trata-se de um
centro de referência na aplicação de metodologia forense
computacional para a identificação de evidências e esclareci-
mento de ilícitos praticados via meios digitais. A tecnologia
utilizada pelo IBP, encomendada à TechBiz Forense Digital, tem
sido decisiva na resolução dos casos.
13
15. IBP Brasil
Aplicação
O ferramental é útil desde as primeiras etapas do processo investigativo – que consiste em identificar os objetivos, planejar
atividades, alocar recursos e estabelecer linha de custódia –, até a realização de tarefas mais complexas, como a busca em áreas
específicas da estrutura de arquivos e áreas não alocadas. Com essa tecnologia é possível visualizar mensagens, textos e imagens
que comprovam a realização dos ilícitos, mesmo que o suspeito tenha utilizado recursos sofisticados, como esteganografia (textos
ocultos dentro de imagens) ou criptografia.
Com o ferramental o IBP já conseguiu desvendar mensagens que haviam sido trocadas entre membros da quadrilha de maneira
cifrada; realizou exame de dados deletados ou perdidos, assim como exame das áreas não mais utilizadas do disco rígido.
Páginas de sites que tinham sido utilizadas no passado para cometer os ilícitos foram rapidamente localizadas e reconstruídas.
Isso proporcionou um elevado valor probante, junto ao judiciário e aos administradores das empresas, devido à coleta de dados
técnicos e à apresentação visual das mesmas telas que os fraudadores tinham à sua frente quando realizaram os atos indevidos.
A cadeia de custódia avalizou os procedimentos realizados, pois os passos do investigador podiam ser reproduzidos caso existisse
qualquer dúvida a respeito das provas periciais ou das conclusões obtidas.
Depoimento “O ferramental comercializado pela TechBiz Forense Digital permite que diversos peritos
examinem em paralelo as mesmas evidências, característica muito relevante quando um
incidente precisa ser investigado em prazos muito curtos ou por equipes multidisciplinares.
A função de linha de tempo mostra graficamente as datas e horários em que houve criação,
alteração ou mesmo eliminação de arquivos. Com isso é possível confrontar rapidamente a
movimentação de milhares de arquivos com as datas e horas alegadas pelos suspeitos, nos
permitindo confirmar se o que dizem é verdade”
14
Giuliano Giova, presidente do IBP Brasil.
17. Roubo de informações
Caso
Suspeita de apropriação indevida de dados e ativos
corporativos por ex-sócios de uma importante
empresa, cliente da TechBiz Forense Digital.
Demanda
Analisar HDs em busca de evidências eletrônicas que
caracterizassem perdas e danos e concorrência
desleal.
Resultado
Em apenas duas semanas, foram levantados dados suficientes para ratificar as suspei-
tas. O laudo fornecido pela TechBiz Forense Digital incluiu registros de e-mails e
chats; a identificação do uso da ferramenta de sanitização SDelete; arquivos apagados
que foram recuperados ou encontrados em áreas não alocadas; e uma linha do tempo
16 com todos os indícios da fraude – do planejamento à execução.
18. Violação de políticas internas
Caso
Denúncia de vazamento de informações confidenciais
de uma grande empresa foram relatadas no documento
“Fraudes de Cartão de Crédito”, produzido pela área
de Prevenção à Fraude Coorporativa.
Demanda
Verificar a existência de irregularidades como desvio
de conduta ou violação de políticas internas, bem
como identificar o responsável e os envolvidos em tais
Resultado
práticas.
A partir da análise do HD de um funcionário suspeito, os profissionais da TechBiz
Forense Digital encontraram os indícios que caracterizaram o vazamento da infor-
mação. Foram recuperados e-mails do funcionário contendo informações confiden-
ciais. Todas as evidências foram entregues ao cliente.
17
19. Malware na rede
Caso
Geração de tráfego incomum na rede de uma organi-
zação, acarretando em sobrecarga de processamento
do firewall.
Demanda
Consultoria para investigar a causa da sobrecarga,
identificar os responsáveis e remediar as máquinas
suspeitas.
Resultado
Durante a investigação, não foi encontrado nenhum indício que justificasse a degra-
dação da performance da rede. O tráfego foi capturado e eventos de NetFlow,
Firewall e IPS foram monitorados. O malware IPZ.EXE foi encontrado e ações de reme-
diação, providenciadas. Foram identificadas diversas tentativas de conexões de rede
18 com origem de IPs internos diretamente ao Firewall.
20. Por produto
- NetWitness NextGen
- UFED Cellebrite
- EnCase
- Image MASSter Solo 3
21. NetWitness
NextGen Caso
Ao utilizar o NetWitness NextGen por seis meses uma importante instituição financeira obteve redução
de mais de US$ 6 milhões em fraudes bancárias on-line. A infraestrutura da solução, composta por
Decoders e Concentrators, permitiu que o time de segurança do banco capturasse e indexasse o tráfego
de rede dentro da área OLB (Online banking).
Simultaneamente, as informações do tráfego em tempo real foram associadas às múltiplas fontes dos
feeds de inteligência contra ameaças do NetWitness Live. Essa abordagem permitiu descobrir imediata-
mente a existência de proxies maliciosos conectados à OLB via SSL. As descobertas foram repassadas ao
departamento antifraude para que as devidas ações de reação fossem providenciadas.
Resultado
Foi constatado pela equipe de fraudes que quase 80% das transações em questão eram fraudulentas e não foram descobertas
anteriormente pelos controles de segurança pré-existentes. Para evitar que os trojans solicitassem do usuário campos adicio-
nais ao tradicional username/password – como número de cartão de crédito, senhas, datas de expiração e códigos de
segurança do cartão (CVV2) –, mais uma vez o NetWitness foi utilizado. Mais especificamente, a habilidade inerente da ferra-
menta de realizar decriptação SSL para monitorar sessões OLB na camada da aplicação e procurar por esses possíveis campos
adicionais.
Sites de phishing geralmente redirecionam os visitantes ao site legítimo do banco depois de coletar as credenciais que
desejam. O NetWitness NextGen foi utilizado pelo cliente para minimizar o risco de exposição ao identificar referências HTTP
em portais OLB e revelar atividades de phishing antes que o cliente as notificasse. A ferramenta foi crucial para oferecer
20
indicações oportunas e alertas em contas comprometidas de clientes e atividades bancárias fraudulentas em geral.
22. UFED
Cellebrite Caso
A prefeitura de Cali, na Colômbia, adotou o UFED Touch Ultimate, da Cellebrite, para extrair provas
legais de praticamente todos os tipos de celulares, smartphones, tablets e demais equipamentos
móveis, mesmo que os dados tenham sido previamente apagados antes de iniciada e investigação.
Com a utilização da solução, o órgão de investigação Seccional de Investigacíón Criminal de Cali (SIJIN),
conseguiu incriminar – e prender – 24 suspeitos de crimes graves, contra os quais não havia outras
evidências, exceto os vestígios digitais, relevados pela tecnologia Cellebrite em seus aparelhos móveis.
Em uma operação antiterror, o UFED foi crucial para que a polícia colombiana, que já havia capturado
um suspeito, provasse o seu envolvimento direto com a explosão de uma bomba defronte a chefatura
de polícia de Cali, ocorrida em 2008.
Resultado
Através do UFED, a polícia conseguiu reconstituir uma grande quantidade de mensagens, informações e comandos de teclado
que haviam sido empregados junto ao celular do suspeito e que já tinham sido deletados. Com isto, foi possível provar que
aquele aparelho específico não só se comunicou com os de outros suspeitos, como foi usado – ele próprio – para detonar os
explosivos a distância.
21
23. EnCase Caso
Um cliente suspeitou que uma intrusão havia ocorrido em um servidor web localizado em sua rede DMZ.
A princípio foi utilizado o EnCase Forensic para investigar a demanda, mas devido à sua natureza manual
os investigadores focaram em apenas 30 dos 2.000 servidores da empresa.
Resultado
Após três semanas de trabalho, o EnCase Forensic não identificou a intrusão nas máquinas analisadas. Em duas semanas, o
EnCase Enterprise, que analisou automaticamente todos os 2.000 servidores da empresa, permitiu entender como os hackers
tiveram acesso à rede, o que eles fizeram e o número de máquinas comprometidas.
22
24. Image MASSter
Solo 3
Caso
A partir da denúncia sobre lavagem de dinheiro, formação de quadrilha e crime contra a ordem tribu-
tária, os peritos do Instituto de Criminalística Carlos Éboli (ICCE) do Rio de Janeiro apreenderam 23 das
47 máquinas encontradas no escritório de um estabelecimento comercial. Segundo as informações da
Secretaria Estadual da Fazenda, o estabelecimento estaria operando em nome de outras empresas, com
menor faturamento do que o esperado, em uma manobra para participar de um sistema de tributação
mais vantajosa e pagar menos impostos.
Resultado
Com o Solo 3 em mãos – equipamento da Intelligent Computer Solutions, vendido no Brasil pela TechBiz Forense Digital – os
peritos do ICCE fizeram duas cópias perfeitas dos 23 Discos Rígidos a serem investigados, encaminhando uma das duplicações
ao advogado da parte acusada. Até dois HD foram “clonados” simultaneamente, a uma velocidade de até 3GB/min.
*O Image MASSter Solo 3 foi substituído pelo Image MASSter Solo 4
23
25. www.forensedigital.com.br
Brasília | DF 61 3468-8600
São Paulo | SP 11 3525-7568
Rio de Janeiro | RJ 21 3436-7568
Minas Gerais | MG 31 3211-1800