Capa do Ebook gratuito Agente da Polícia Federal: Preparação Completa para Atividades Operacionais e Investigativas

Agente da Polícia Federal: Preparação Completa para Atividades Operacionais e Investigativas

Novo curso

12 páginas
Todos os cursos > Concursos > Policia Federal ::

Agente da Polícia Federal: Informática e Ferramentas Digitais no Contexto Policial

Capítulo 5

Tempo estimado de leitura: 15 minutos

+ Exercício

No contexto policial, informática não é apenas “saber usar computador”: envolve compreender como sistemas registram ações, como dados trafegam em redes, como proteger informações sensíveis e como preservar evidências digitais com rastreabilidade e integridade. Este capítulo foca fundamentos cobrados em provas e aplicados em atividades operacionais e investigativas, com ênfase em segurança da informação, criptografia básica, backups, logs, autenticação, armazenamento e formatos, além de boas práticas de manuseio e comunicação.

Sistemas operacionais (SO): fundamentos úteis na prática

Um sistema operacional é o software base que gerencia hardware (CPU, memória, disco, rede) e fornece serviços para aplicativos. Em ambiente policial, entender SO ajuda a interpretar artefatos (arquivos, registros, logs), reconhecer persistência de malware e executar coleta inicial com menor risco de alteração.

Componentes e conceitos essenciais

  • Kernel: núcleo do SO; controla recursos e acesso ao hardware.
  • Processos e serviços: programas em execução; serviços rodam em segundo plano (ex.: servidor web, agente de atualização).
  • Sistema de arquivos: estrutura de pastas/arquivos e metadados (datas, permissões).
  • Permissões: controle de leitura/escrita/execução; contas administrativas têm maior poder e risco.
  • Registro/Configuração: no Windows, o Registro centraliza configurações; em Linux, arquivos em /etc e logs em /var.

Exemplo prático: o que observar em um computador suspeito (sem “mexer” demais)

Objetivo: reduzir alterações e ainda assim obter noções iniciais do estado do sistema.

  • Estado do equipamento: está ligado? bloqueado? conectado à rede? há mídias externas?
  • Usuário logado: sessão aberta pode conter evidências voláteis (mensagens, abas, chaves em memória), mas qualquer interação altera o sistema.
  • Conexões: Wi‑Fi/Ethernet ativos podem permitir destruição remota ou sincronização que altera dados.

Boas práticas: priorize registro fotográfico, anote horários, conexões e telas visíveis; evite navegar, abrir arquivos ou “procurar” conteúdo diretamente no sistema, pois isso altera metadados e pode acionar rotinas de limpeza.

Redes de computadores: como dados trafegam e onde ficam rastros

Rede é o conjunto de dispositivos interconectados que trocam dados por protocolos. Para investigação, redes explicam como um dado saiu/entrou, quais serviços estavam expostos e que registros podem existir (roteador, firewall, servidor, provedor, endpoint).

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Conceitos-chave

  • IP: endereço lógico do dispositivo na rede (IPv4/IPv6).
  • MAC: identificador da interface de rede (camada de enlace); útil em redes locais.
  • Portas: identificam serviços (ex.: 80/HTTP, 443/HTTPS, 22/SSH).
  • DNS: traduz nomes (ex.: exemplo.com) para IP; logs de DNS podem indicar domínios acessados.
  • DHCP: distribui IPs na rede; logs podem vincular IP interno a um dispositivo em um período.
  • NAT: vários dispositivos compartilham um IP público; exige correlação temporal e logs do roteador/provedor.

Modelo mental rápido (camadas)

  • Aplicação: navegador, e-mail, mensageria.
  • Transporte: TCP/UDP (confiabilidade/velocidade).
  • Rede: IP (roteamento).
  • Enlace: Ethernet/Wi‑Fi (MAC).

Passo a passo: leitura de um cenário de conexão suspeita

Cenário: “Um computador interno acessou um domínio recém-criado e depois houve tráfego alto para um IP externo na porta 443”.

  • 1) Identificar o que é observável: domínio (DNS), IP externo, porta 443 (pode ser HTTPS legítimo ou túnel).
  • 2) Perguntar “onde há logs?”: DNS interno, proxy, firewall, EDR/antivírus, logs do sistema, roteador.
  • 3) Correlacionar por tempo: horário do primeiro acesso ao domínio, início do tráfego alto, usuário logado.
  • 4) Hipóteses: atualização legítima, backup em nuvem, exfiltração, C2 (comando e controle).
  • 5) Próximos passos seguros: isolar rede (se autorizado), preservar logs, coletar artefatos sem alterar o disco (quando possível), acionar perícia conforme protocolo.

Segurança da informação: CIA e controles práticos

Segurança da informação busca proteger dados e serviços. O tripé Confidencialidade, Integridade e Disponibilidade (CIA) orienta decisões e medidas.

Confidencialidade

Garante que apenas pessoas autorizadas acessem dados.

  • Controles: criptografia, controle de acesso, segmentação de rede, classificação da informação.
  • Exemplo: relatório sensível armazenado com criptografia e acesso por perfil; envio apenas por canal seguro.

Integridade

Garante que dados não foram alterados indevidamente.

  • Controles: hashes, assinaturas digitais, trilhas de auditoria, controle de versões.
  • Exemplo: ao coletar um arquivo, calcular hash e registrar para demonstrar que o conteúdo permaneceu idêntico.

Disponibilidade

Garante acesso quando necessário.

  • Controles: redundância, backups, planos de contingência, proteção contra DDoS.
  • Exemplo: manter cópias de segurança e testar restauração para evitar perda de evidências e documentos.

Criptografia básica: o que você precisa saber para interpretar cenários

Criptografia protege dados em trânsito e em repouso. Na prática, você precisa reconhecer quando há criptografia, o que ela garante e quais evidências indiretas podem existir (metadados, chaves, logs de acesso).

Conceitos essenciais

  • Criptografia simétrica: mesma chave para cifrar/decifrar; rápida; usada em disco e sessões.
  • Criptografia assimétrica: par de chaves (pública/privada); usada para troca de chaves e assinaturas.
  • Hash: “impressão digital” do dado; não é criptografia reversível; usado para integridade.
  • Assinatura digital: garante autenticidade e integridade (quem assinou e que não foi alterado).
  • TLS/HTTPS: criptografia de transporte; protege conteúdo, mas ainda pode deixar rastros como domínio (SNI em alguns contextos), IP, horários e volume.

Exemplo prático: hash para integridade de evidência

Ao obter uma cópia de um arquivo (ou imagem forense), calcula-se um hash (ex.: SHA-256) e registra-se. Se o hash bater em verificações futuras, a integridade é demonstrável.

Exemplo conceitual (não operacional): Arquivo A -> SHA-256 = X1...9F  (registrado em termo/relatório)

Observação: o hash deve ser calculado sobre a cópia/artefato preservado, com registro de data/hora, responsável e método, seguindo protocolo institucional.

Backups: tipos, riscos e boas práticas para não perder evidências

Backup é cópia de dados para recuperação. Em investigação, backups podem conter versões anteriores, arquivos apagados e histórico relevante, mas também podem ser sobrescritos por rotinas automáticas.

Tipos comuns

  • Completo: copia tudo; restauração simples; maior custo de armazenamento.
  • Incremental: copia mudanças desde o último backup; restauração exige cadeia.
  • Diferencial: copia mudanças desde o último completo; restauração intermediária.
  • Snapshots: “foto” de estado (comum em virtualização/armazenamento).

Passo a passo: perguntas rápidas ao identificar ambiente com backup

  • 1) Onde está o backup? Local (HD externo/NAS) ou nuvem.
  • 2) Qual a política? Retenção (quantos dias/semanas), criptografia, versionamento.
  • 3) Há risco de sobrescrita iminente? Rotina diária pode apagar versões antigas.
  • 4) Quais registros existem? Logs do software de backup, relatórios de execução, falhas.
  • 5) Preservação: evitar acionar manualmente “rodar backup agora” ou “limpar versões”, pois altera evidências e metadados.

Logs e trilhas de auditoria: como interpretar e correlacionar

Logs são registros de eventos: autenticações, acessos, erros, conexões, execução de serviços. Eles são fundamentais para reconstruir linha do tempo e atribuir ações a contas/dispositivos, mas podem ser incompletos, rotacionados ou adulterados.

Fontes comuns de logs

  • Sistema operacional: eventos de login, criação de processos, falhas, drivers.
  • Aplicações: navegador, e-mail, mensageria corporativa, banco de dados.
  • Rede: firewall, proxy, IDS/IPS, roteador, servidor DNS/DHCP.
  • Segurança: EDR/antivírus, SIEM (centralização).

Boas práticas de leitura

  • Correlacione por tempo: sincronização de horário (NTP) influencia confiabilidade; note fuso e horário de verão.
  • Entenda o “quem”: usuário, conta de serviço, máquina, IP, token.
  • Entenda o “o quê”: evento (login, falha, acesso a arquivo, conexão externa).
  • Procure lacunas: rotação, apagamento, períodos sem registro podem ser indício de falha ou ação intencional.

Exercício: interpretação de mini-log

[10:14:03] LOGIN_FAIL user=joao ip=10.0.0.25 reason=bad_password
[10:14:20] LOGIN_FAIL user=joao ip=10.0.0.25 reason=bad_password
[10:15:02] LOGIN_OK   user=joao ip=10.0.0.25 method=password
[10:16:10] NEW_DEVICE user=joao device=unknown-browser fingerprint=XYZ
[10:18:55] DATA_EXPORT user=joao size=2.3GB destination=external
  • Perguntas: (a) Há tentativa de força bruta? (b) O “NEW_DEVICE” é compatível com rotina do usuário? (c) O volume exportado é usual? (d) Que outros logs você buscaria (proxy, DLP, firewall, endpoint)?

Autenticação e controle de acesso: senhas, MFA e privilégios

Autenticação confirma identidade; autorização define o que pode ser feito. Falhas aqui são causa comum de incidentes (credenciais vazadas, reutilização de senha, ausência de MFA, privilégios excessivos).

Métodos de autenticação

  • Algo que você sabe: senha/PIN (vulnerável a phishing e reutilização).
  • Algo que você tem: token/app autenticador/chave física.
  • Algo que você é: biometria (atenção a privacidade e falsos positivos/negativos).

Boas práticas aplicáveis

  • MFA para acessos sensíveis e remotos.
  • Privilégio mínimo: usar conta comum no dia a dia; elevar privilégio apenas quando necessário.
  • Gestão de credenciais: evitar compartilhamento; registrar contas de serviço; revogar acessos ao desligar usuários.

Exercício: identificar risco em um cenário

Cenário: “Equipe usa a mesma senha para uma conta administrativa em vários computadores e não há MFA”.

  • Riscos: comprometimento em um ponto vira comprometimento em todos; difícil atribuição; alta chance de vazamento.
  • Medidas: contas individuais, MFA, rotação, cofre de senhas, registro de auditoria.

Armazenamento e formatos de arquivo: noções que impactam evidências

Entender como dados são armazenados ajuda a evitar perda de informação e a interpretar artefatos (metadados, versões, compressão, containers).

Conceitos de armazenamento

  • HDD vs SSD: SSD pode executar rotinas de limpeza (TRIM) que dificultam recuperação de apagados; isso influencia urgência e método de preservação.
  • Partições e volumes: um disco pode ter múltiplos volumes; dados podem estar em partições ocultas.
  • Sistemas de arquivos: NTFS, exFAT, ext4 etc.; cada um registra metadados de forma diferente.
  • Metadados: datas (criação/modificação/acesso), proprietário, permissões; podem mudar com cópia/abertura.

Formatos e containers comuns

  • Documentos: PDF, DOCX (podem conter metadados como autor, software, revisões).
  • Imagens: JPEG/PNG; JPEG pode conter EXIF (data, modelo do aparelho, GPS quando presente).
  • Áudio/vídeo: MP3/MP4; metadados e timestamps variam.
  • Compactados: ZIP/RAR/7z; podem ter senha e registrar lista de arquivos e datas internas.
  • Disco/Imagem: formatos de imagem forense (conceito) preservam estrutura e permitem ver espaço não alocado.

Exercício: risco de “abrir para ver”

Você recebe um pendrive com um arquivo “relatorio.docx”.

  • O que pode acontecer ao abrir? Alteração de metadados (último acesso), execução de macros maliciosas, sincronização automática com nuvem, criação de arquivos temporários.
  • Alternativa segura: registrar o item, evitar execução direta, encaminhar para ambiente controlado e procedimentos de preservação.

Preservação de evidências digitais: boas práticas de manuseio, registro e integridade

Evidência digital é frágil: pode ser alterada por simples acesso, por sincronização automática, por criptografia ou por ações remotas. O objetivo é preservar integridade e rastreabilidade (quem fez o quê, quando e como), reduzindo contaminação.

Princípios práticos

  • Minimizar alterações: evite interagir com o sistema além do necessário.
  • Documentar tudo: fotos, horários, estado do dispositivo, conexões, telas, números de série.
  • Isolar quando apropriado: prevenir acesso remoto/sincronização (com cuidado para não perder evidência volátil, quando relevante).
  • Manter cadeia de custódia: registro contínuo de posse e transferência.
  • Integridade por hash: quando aplicável, registrar hashes de cópias/imagens e verificar em etapas.

Passo a passo: checklist de preservação inicial (alto nível)

  • 1) Segurança do local: garantir controle do ambiente e evitar manipulação por terceiros.
  • 2) Registro: fotografar dispositivo, cabos, telas, rede, mídias conectadas; anotar data/hora.
  • 3) Estado do equipamento: ligado/desligado, bloqueado/desbloqueado, conectado à rede.
  • 4) Risco de alteração remota: identificar conectividade e serviços de sincronização visíveis.
  • 5) Acondicionamento: embalar e identificar corretamente mídias e dispositivos; evitar danos eletrostáticos e físicos.
  • 6) Encaminhamento: seguir fluxo institucional para aquisição forense e análise em ambiente controlado.

Cuidados específicos com comunicações e dispositivos móveis

  • Mensageria: mensagens podem ter criptografia ponta a ponta; metadados e backups podem existir; capturas de tela são frágeis e devem ser contextualizadas.
  • Sincronização: apps podem apagar/alterar conteúdo ao reconectar; modo avião pode reduzir alterações, mas avalie impacto em evidência volátil e políticas aplicáveis.
  • Notificações: podem revelar conteúdo sem desbloqueio; registre visualmente quando pertinente, evitando interação.

Engenharia social e ameaças comuns: identificação e resposta inicial

Muitos incidentes começam com manipulação humana (engenharia social). O agente deve reconhecer sinais, orientar condutas seguras e preservar evidências do incidente (e-mails, cabeçalhos, URLs, logs).

Ameaças frequentes

  • Phishing: e-mail/mensagem que induz a clicar em link ou fornecer credenciais.
  • Spear phishing: phishing direcionado com dados reais para aumentar credibilidade.
  • Vishing: golpe por ligação/voz.
  • Smishing: golpe por SMS.
  • Malware/Ransomware: software malicioso que rouba dados ou cifra arquivos.
  • Credential stuffing: uso de senhas vazadas em outros serviços.

Sinais de alerta em mensagens

  • Urgência e ameaça: “sua conta será bloqueada em 30 minutos”.
  • Pedido de segredo: “não avise ninguém”.
  • Links mascarados: texto parece legítimo, URL real é diferente.
  • Anexos inesperados: principalmente com macros ou extensões duplas.
  • Remetente parecido: domínio com pequenas alterações (ex.: “policiafederai” em vez de “policiafederal”).

Exercícios: identifique a ameaça

Exercício 1: Você recebe e-mail “Atualize sua senha agora” com link encurtado e anexo “instrucoes.html”. Quais sinais de alerta existem e o que preservar?

  • Identificação: provável phishing com tentativa de captura de credenciais.
  • Preservar: e-mail original, cabeçalhos completos, URL (sem clicar), hash do anexo se coletado em ambiente controlado, logs de acesso se houve clique.

Exercício 2: Um colega relata ligação “da TI” pedindo código do autenticador para “validar acesso”.

  • Identificação: engenharia social para burlar MFA (MFA fatigue/OTP capture).
  • Conduta: não fornecer códigos; validar por canal oficial; registrar número, horário, conteúdo; reportar incidente.

Exercício 3: Em uma estação, arquivos ganharam extensão desconhecida e há nota exigindo pagamento.

  • Identificação: indício de ransomware.
  • Ações iniciais seguras: isolar da rede conforme protocolo, preservar nota/arquivos de amostra, registrar horários e mensagens, acionar resposta a incidentes e perícia; evitar “tentar descriptografar” com ferramentas aleatórias no próprio equipamento.

Interpretação de cenários de incidentes: raciocínio estruturado

Interpretar incidentes exige separar fatos observáveis de hipóteses e decidir ações que preservem evidências e reduzam danos.

Estrutura de análise (prática)

  • Fatos: o que foi visto (alerta do EDR, log, e-mail, comportamento do sistema).
  • Escopo: quais máquinas/contas/serviços podem estar afetados.
  • Impacto: dados sensíveis? indisponibilidade? possível exfiltração?
  • Persistência: há sinais de acesso contínuo (novos usuários, tarefas agendadas, serviços)?
  • Preservação: quais logs e artefatos podem expirar/rotacionar primeiro.

Exercício guiado: incidente com credenciais e acesso remoto

Cenário: “Conta de usuário teve login às 03:12 de IP externo. Às 03:15 houve criação de regra de encaminhamento de e-mail e às 03:20 download de grande volume”.

  • 1) Fatos: login fora de horário, IP externo, alteração de configuração de e-mail, download volumoso.
  • 2) Hipóteses: credencial comprometida; ausência de MFA; sessão sequestrada.
  • 3) Evidências a buscar: logs do provedor de e-mail (login, regras, IP, user-agent), logs de VPN, alertas de segurança, histórico de alterações, registros de MFA.
  • 4) Medidas de contenção (conceituais): revogar sessões, reset de senha, habilitar MFA, bloquear IPs, preservar logs antes de rotação.
  • 5) Preservação: exportar registros e manter cadeia de custódia; registrar horários e responsáveis.

Cuidados em comunicações e troca de arquivos no contexto policial

Comunicações operacionais e investigativas exigem disciplina: reduzir vazamento, evitar contaminação de evidências e prevenir exploração por adversários.

Boas práticas objetivas

  • Separação de ambientes: evitar misturar contas pessoais e institucionais; cuidado com dispositivos não gerenciados.
  • Verificação de destinatário: atenção a homônimos e listas automáticas; confirmar antes de enviar anexos sensíveis.
  • Criptografia em trânsito: preferir canais com proteção adequada; evitar Wi‑Fi público para tráfego sensível.
  • Compartilhamento mínimo: enviar apenas o necessário; aplicar classificação e controle de acesso.
  • Higiene de anexos: evitar documentos com metadados desnecessários; quando aplicável, gerar cópias destinadas a compartilhamento com revisão de conteúdo e metadados conforme procedimento.

Exercício: escolha do canal

Você precisa enviar um arquivo sensível para outro setor. Opções: e-mail pessoal, mensageria comum, e-mail institucional com controle de acesso, ou mídia física sem identificação.

  • Resposta esperada: priorizar canal institucional com controles (autenticação, auditoria, criptografia e políticas). Evitar canais pessoais e mídias sem rastreabilidade.
  • Justificativa: reduz risco de vazamento e melhora auditabilidade (logs e controle de acesso).

Agora responda o exercício sobre o conteúdo:

Ao lidar com um computador suspeito ainda conectado à rede, qual conduta inicial melhor preserva a integridade e a rastreabilidade de possíveis evidências digitais?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A preservação exige minimizar alterações no sistema e documentar o estado (fotos, horários, conexões e telas). Interagir (abrir arquivos/rodar rotinas) pode alterar metadados, acionar limpezas ou sincronizações. Isolar a rede pode ser necessário para evitar alterações remotas, seguindo protocolo.

Próximo capitúlo

Agente da Polícia Federal: Raciocínio Lógico e Resolução de Problemas Operacionais

Arrow Right Icon
Aprenda Policia Federal

AprendaPolicia Federal

Materiais gratuitos preparatórios específicos para o concurso público de Polícia Federal. Aprenda com vídeo aulas e materiais escritos, online e de graça.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store