Prática em Análise Forense I

Apresentação e Discussão do
Cenário

Professor: Marcelo Abdalla dos Reis

abdalla.mar@gmail.com

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Sumário
1. Relembrando os Objetivos da Computação Forense
2. Apresentação do Cenário
3. Aspectos Técnico-Jurídicos

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Relembrando…
• Objetivos da Computação Forense:
– Demonstrar através de evidências digitais, coletadas e analisadas com
metodologia científica, a existência de um fato, seus autores e suas
circunstâncias:

• Materialidade = “o que aconteceu”

• Autoria = “quem foi o responsável”

• Dinâmica = “como aconteceu o fato”

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Sumário
1. Relembrando os Objetivos da Computação Forense
2. Apresentação do Cenário
3. Aspectos Técnico-Jurídicos

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Cenário Proposto
O Setor de Segurança da Informação do IPOG
identificou acessos a sites de pornografia
infantojuvenil a partir de um computador do
setor de contabilidade da empresa, bem como a
utilização da porta TCP 6346 (comumente
associada ao programa P2P Shareaza). Diante
das suspeitas, o computador, que é de
propriedade do IPOG, foi isolado até a realização
de perícia forense.
Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.
 Cenário Proposto
Seu escritório de Perícia Digital foi contratado
pelo IPOG para analisar o computador suspeito,
respondendo aos quesitos apresentados, com o
intuito de subsidiar eventual processo
trabalhista de demissão, bem como o
encaminhamento de denúncia para a
instauração de eventual processo criminal pelas
autoridades competentes.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Cenário Proposto
• Material apresentado a exame:

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Cenário Proposto
• Quesitos apresentados:
1) Descreva as características físicas e lógicas do computador encaminhado a
exame.
2) Existem evidências de armazenamento de arquivos relacionados à
pornografia infantojuvenil no computador examinado? Onde estão
localizados os arquivos eventualmente encontrados?
3) É possível determinar se o usuário tinha conhecimento da existência desses
arquivos?
4) Existem evidências de oferta, troca, disponibilização, transmissão,
distribuição, publicação ou divulgação de arquivos relacionados à pornografia
infantojuvenil no computador examinado? Caso positivo, descreva o meio
utilizado e os atores envolvidos.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Cenário Proposto
• Quesitos apresentados (continuação):
5) Existem evidências de produção de material relacionado à pornografia
infantojuvenil no computador examinado? Caso positivo, descreva as
circunstâncias em que o material foi produzido.
6) Outros dados julgados úteis à critério dos Peritos.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Sumário
1. Relembrando os Objetivos da Computação Forense
2. Apresentação do Cenário
3. Aspectos Técnico-Jurídicos

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
QUESITO 2 - Existem evidências de armazenamento de arquivos relacionados
à pornografia infantojuvenil no computador examinado? Onde estão
localizados os arquivos eventualmente encontrados?

ECA - Art. 241-B.

Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra
forma de registro que contenha cena de sexo explícito ou pornográfica
envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829, de 2008)
Pena - reclusão, de 1 (um) a 4 (quatro) anos, e multa. (Incluído pela Lei nº
11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
ECA - Art. 241-B (continuação)
§ 1º A pena é diminuída de 1 (um) a 2/3 (dois terços) se de pequena quantidade o material a que se refere o
caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)
§ 2º Não há crime se a posse ou o armazenamento tem a finalidade de comunicar às autoridades competentes
a ocorrência das condutas descritas nos arts. 240, 241, 241-A e 241-C desta Lei, quando a comunicação for feita
por: (Incluído pela Lei nº 11.829, de 2008)
I - agente público no exercício de suas funções; (Incluído pela Lei nº 11.829, de 2008)
II - membro de entidade, legalmente constituída, que inclua, entre suas finalidades institucionais, o
recebimento, o processamento e o encaminhamento de notícia dos crimes referidos neste parágrafo;
(Incluído pela Lei nº 11.829, de 2008)
III - representante legal e funcionários responsáveis de provedor de acesso ou serviço prestado por meio
de rede de computadores, até o recebimento do material relativo à notícia feita à autoridade policial, ao
Ministério Público ou ao Poder Judiciário. (Incluído pela Lei nº 11.829, de 2008)
§ 3º As pessoas referidas no § 2º deste artigo deverão manter sob sigilo o material ilícito referido. (Incluído
pela Lei nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
ECA - Art. 241-E.
Para efeito dos crimes previstos nesta Lei, a expressão "cena de sexo explícito
ou pornográfica" compreende qualquer situação que envolva criança ou
adolescente em atividades sexuais explícitas, reais ou simuladas, ou exibição
dos órgãos genitais de uma criança ou adolescente para fins primordialmente
sexuais. (Incluído pela Lei nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
ECA - Art. 241-C.
Simular a participação de criança ou adolescente em cena de sexo explícito
ou pornográfica por meio de adulteração, montagem ou modificação de
fotografia, vídeo ou qualquer outra forma de representação visual: (Incluído
pela Lei nº 11.829, de 2008)
Pena - reclusão, de 1 (um) a 3 (três) anos, e multa. (Incluído pela Lei nº
11.829, de 2008)
Parágrafo único. Incorre nas mesmas penas quem vende, expõe à venda,
disponibiliza, distribui, publica ou divulga por qualquer meio, adquire,
possui ou armazena o material produzido na forma do caput deste artigo.
(Incluído pela Lei nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
Materialidade da posse:

• Existência de arquivos contendo cena de sexo explícito ou pornográfica

envolvendo crianças ou adolescentes (ainda que simuladas)
– Arquivos em pastas de armazenamento voluntário (armazenamento doloso/intencional)

– E os arquivos recuperados do espaço não-alocado?

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
QUESITO 3 - É possível determinar se o usuário tinha conhecimento da
existência desses arquivos?

ECA - Art. 241-B.

Adquirir, possuir ou armazenar, por qualquer meio, fotografia, vídeo ou outra
forma de registro que contenha cena de sexo explícito ou pornográfica
envolvendo criança ou adolescente:

CONDUTA DOLOSA: o usuário tem que querer guardar os arquivos de

pornografia infantojuvenil

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
Materialidade do conhecimento da existência (“posse dolosa”):

• Conhecimento da existência e do conteúdo desses arquivos (artefatos do

SO)
– Arquivos em pastas de armazenamento voluntário (armazenamento doloso/intencional)
– Links para arquivos recentemente acessados (pasta Recent)
– Chaves do Windows Registry para arquivos recentemente acessados (MRU)
– Arquivos de thumbnails mostrando a visualização de pastas em modo de exibição de
miniaturas
– Registros no histórico de navegação contendo buscas relacionadas a pornografia
infantojuvenil

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
QUESITO 4 - Existem evidências de oferta, troca, disponibilização,
transmissão, distribuição, publicação ou divulgação de arquivos relacionados
à pornografia infantojuvenil no computador examinado? Caso positivo,
descreva o meio utilizado e os atores envolvidos?

ECA - Art. 241-A.

Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por
qualquer meio, inclusive por meio de sistema de informática ou telemático,
fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou
pornográfica envolvendo criança ou adolescente: (Incluído pela Lei nº 11.829,
de 2008)
Pena - reclusão, de 3 (três) a 6 (seis) anos, e multa. (Incluído pela Lei nº
11.829, de 2008)
Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.
 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
ECA - Art. 241-A (continuação)
§ 1º Nas mesmas penas incorre quem: (Incluído pela Lei nº 11.829, de 2008)
I - assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o
caput deste artigo; (Incluído pela Lei nº 11.829, de 2008)
II - assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de
que trata o caput deste artigo.(Incluído pela Lei nº 11.829, de 2008)
§ 2º As condutas tipificadas nos incisos I e II do § 1º deste artigo são puníveis quando o responsável legal pela
prestação do serviço, oficialmente notificado, deixa de desabilitar o acesso ao conteúdo ilícito de que trata o
caput deste artigo. (Incluído pela Lei nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
Materialidade da oferta, troca, disponibilização, transmissão,
distribuição, publicação ou divulgação:

• Essencialmente envolve algum meio de comunicação digital:

– Analisar mailboxes e mensagens de email
– Analisar aplicativos de chat como Skype, Telegram, WhatsApp e Facebook Messenger
– Analisar programas P2P como eMule, Shareaza e Ares
– Analisar os registros históricos e cache de navegação web

• É imperativo encontrar os arquivos de pornografia infantojuvenil que

foram disponibilizados/transmitidos?
– E se os logs de disponibilização/transmissão guardarem os hashes criptográficos desses
arquivos e eu identificar esses hashes numa bases de hashes de pornografia infantil?

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
QUESITO 5 - Existem evidências de produção de material relacionado à
pornografia infantojuvenil no computador examinado? Caso positivo,
descreva as circunstâncias em que o material foi produzido.

ECA - Art. 240.

Produzir, reproduzir, dirigir, fotografar, filmar ou registrar, por qualquer meio,
cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente:
(Redação dada pela Lei nº 11.829, de 2008)
Pena - reclusão, de 4 (quatro) a 8 (oito) anos, e multa. (Redação dada pela Lei
nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
ECA - Art. 240 (continuação)
§ 1º Incorre nas mesmas penas quem agencia, facilita, recruta, coage, ou de qualquer modo intermedeia a
participação de criança ou adolescente nas cenas referidas no caput deste artigo, ou ainda quem com esses
contracena. (Redação dada pela Lei nº 11.829, de 2008)
§ 2º Aumenta-se a pena de 1/3 (um terço) se o agente comete o crime: (Redação dada pela Lei nº 11.829, de
2008)
I - no exercício de cargo ou função pública ou a pretexto de exercê-la; (Redação dada pela Lei nº 11.829,
de 2008)
II - prevalecendo-se de relações domésticas, de coabitação ou de hospitalidade; ou (Redação dada pela Lei
nº 11.829, de 2008)
III - prevalecendo-se de relações de parentesco consanguíneo ou afim até o terceiro grau, ou por adoção,
de tutor, curador, preceptor, empregador da vítima ou de quem, a qualquer outro título, tenha autoridade
sobre ela, ou com seu consentimento. (Incluído pela Lei nº 11.829, de 2008)

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 Aspectos Técnico-Jurídicos
Quesitos x Legislação x Materialidade
Materialidade da produção:

• Envolve a análise da cena e dos metadados dos arquivos de pornografia

infantojuvenil encontrados:
– Normalmente os arquivos produzidos não são encontrados em bases de hashes de
pornografia infantil (arquivos “inéditos”)
– Cenas normalmente com aspecto amador
– A exposição da criança ou adolescente pode ser explícita ou bastante sutil (closes
intencionais em partes íntimas, por exemplo)
– Observar nas imagens as pessoas e o cenário, atentando para suas características
individualizadoras (marcas, tatuagens, móveis, objetos, cores, etc)
– Metadados no cabeçalho EXIF de imagens JPG podem trazer informações do
equipamento de captura e dados de georreferenciamento. Podem ser usados para
comparar com artefatos de imagens lícitas encontradas.

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.

 DÚVIDAS

Prof. Marcelo Abdalla dos Reis – Todos os direitos reservados.