Informática para Investigador de Polícia Civil: Sistemas, Dados e Noções de Segurança da Informação

Fundamentos práticos de informática no trabalho do Investigador

Informática, no contexto investigativo, é o conjunto de conhecimentos para operar sistemas, compreender como dados são gerados/armazenados/transmitidos e aplicar medidas de segurança para reduzir riscos e preservar a integridade das informações. O foco prático é: (1) operar com segurança equipamentos e contas institucionais; (2) reconhecer sinais de comprometimento (phishing, malware, vazamentos); (3) organizar e preservar dados digitais com rastreabilidade (cadeia de custódia digital); (4) interpretar registros básicos (logs) para apoiar diligências.

Sistemas operacionais (Windows, Linux, Android/iOS): noções essenciais

Sistema operacional (SO) é o software base que gerencia hardware, usuários, permissões, arquivos, rede e execução de programas. Em ambiente institucional, o SO é parte da superfície de ataque: configurações fracas, atualizações pendentes e permissões excessivas aumentam risco de intrusão e vazamento.

Conceitos-chave: usuários, permissões e privilégios

• Conta de usuário: identidade usada para acessar o sistema (login). Pode ser local ou vinculada a domínio/serviço corporativo.
• Privilégios: nível de acesso. Contas administrativas devem ser usadas apenas quando necessário.
• Permissões: regras de leitura/escrita/execução em arquivos e pastas. Permissão inadequada pode expor dados sensíveis.

Passo a passo: boas práticas no computador institucional

• Atualizações: mantenha SO e aplicativos atualizados (patches corrigem falhas exploráveis).
• Bloqueio de tela: ative bloqueio automático e use atalho de bloqueio ao se ausentar.
• Instalação de software: instale apenas o autorizado; evite “utilitários” desconhecidos.
• Dispositivos removíveis: evite pendrives pessoais; prefira mídias institucionais e verifique com antivírus.
• Criptografia: quando disponível, habilite criptografia de disco (protege dados em caso de perda/roubo).
• Separação de uso: não misture contas pessoais com institucionais (e-mail, nuvem, mensageria).

Processos, serviços e inicialização: onde malware costuma agir

Malwares frequentemente persistem por: (1) programas iniciando com o sistema; (2) serviços em segundo plano; (3) extensões de navegador; (4) tarefas agendadas. Sinais comuns: lentidão súbita, pop-ups, consumo anormal de CPU/rede, antivírus desativado, criação de contas desconhecidas.

Redes: conceitos práticos para investigação e segurança

Rede é o meio pelo qual dispositivos trocam dados. Entender endereçamento e registros de conexão ajuda a interpretar eventos, reduzir exposição e dialogar com equipes técnicas.

Elementos básicos

• IP: endereço lógico do dispositivo na rede. Pode ser privado (ex.: 192.168.x.x) ou público (visível na internet).
• MAC: identificador da interface de rede (camada física), útil em redes locais.
• DNS: “agenda” que traduz nomes (ex.: site.gov) para IPs. Ataques podem envolver DNS malicioso.
• Roteador/NAT: compartilha um IP público entre vários dispositivos internos.
• Portas: “canais” de serviços (ex.: 443 HTTPS). Conexões suspeitas podem indicar exfiltração.

Wi‑Fi e redes públicas: riscos e condutas

• Risco: interceptação, pontos de acesso falsos (evil twin), captura de credenciais.
• Conduta: evite redes públicas para atividades sensíveis; se inevitável, use VPN institucional e autenticação forte.
• Compartilhamento: desative compartilhamento de arquivos/impressoras fora do ambiente controlado.

Passo a passo: checklist rápido ao conectar em rede externa

• Confirme o nome da rede com responsável local e evite redes “abertas” com nomes genéricos.
• Verifique se o acesso a sistemas ocorre via HTTPS e canais oficiais.
• Não realize login em serviços críticos se houver alerta de certificado/navegador.
• Ao final, desconecte e “esqueça” a rede no dispositivo.

Armazenamento e dados: como arquivos existem de fato

Dados são gravados em mídias (HDD/SSD, cartões, pendrives) e organizados por sistemas de arquivos. O ponto crítico para investigação é que apagar nem sempre significa destruir: muitas vezes o sistema apenas marca o espaço como disponível, permitindo recuperação até ser sobrescrito.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

Termos essenciais

• Sistema de arquivos: estrutura que organiza pastas/arquivos (ex.: NTFS, exFAT, ext4).
• Metadados: informações sobre o arquivo (datas, autor, dispositivo, geolocalização em fotos, etc.).
• Hash: “impressão digital” do arquivo (ex.: SHA-256) para verificar integridade.
• Compressão: ZIP/RAR reduzem tamanho e podem conter múltiplos arquivos; podem ser protegidos por senha.

Formatos de arquivo mais comuns e cuidados

• Documentos: PDF, DOCX, XLSX. Podem conter metadados e histórico de edição.
• Imagens: JPG/PNG/HEIC. Fotos podem conter EXIF (data, modelo do aparelho, GPS).
• Áudio/Vídeo: MP3, AAC, MP4. Podem carregar tags e dados de criação.
• Mensageria: exportações/backsups podem gerar arquivos JSON, HTML, TXT, DB.
• Logs: TXT/CSV/JSON. Importante preservar em formato original.

Backups e nuvem: disponibilidade sem perder controle

Backup é cópia de segurança para recuperação após falha, perda, ransomware ou erro humano. Nuvem é infraestrutura remota para armazenar/sincronizar dados. Em ambiente institucional, o uso deve seguir política interna: dados sensíveis não devem ser enviados a serviços não autorizados.

Tipos de backup

• Completo: copia tudo. Mais lento e ocupa mais espaço.
• Incremental: copia apenas mudanças desde o último backup (qualquer tipo). Rápido, restauração pode exigir vários conjuntos.
• Diferencial: copia mudanças desde o último backup completo. Equilíbrio entre tempo e restauração.

Regra 3-2-1 (boa prática)

• 3 cópias dos dados
• 2 tipos de mídia diferentes
• 1 cópia fora do ambiente principal (offsite), preferencialmente com criptografia

Passo a passo: rotina segura de backup para material de trabalho

• Defina quais pastas são “fonte oficial” (evite arquivos espalhados em área de trabalho/Downloads).
• Use repositório institucional (servidor/nuvem autorizada) com controle de acesso.
• Ative versionamento quando disponível (protege contra sobrescrita e ransomware).
• Teste restauração periodicamente (backup que não restaura é risco oculto).
• Registre data, responsável e escopo do backup em controle interno.

Autenticação e controle de acesso: identidade, prova e rastreabilidade

Autenticação é o processo de confirmar que alguém é quem diz ser. Autorização é o que essa pessoa pode fazer. Em investigações, falhas de autenticação geram acesso indevido, adulteração e perda de rastreabilidade.

Fatores de autenticação

• Algo que você sabe: senha, PIN.
• Algo que você tem: token, aplicativo autenticador, chave física.
• Algo que você é: biometria.

MFA (autenticação multifator)

MFA reduz drasticamente o impacto de senha vazada. Preferir aplicativo autenticador ou chave física; SMS é melhor que nada, mas é mais vulnerável a golpes (ex.: troca de chip).

Passo a passo: criação e gestão de senhas fortes

• Use frase-senha longa (ex.: 4–6 palavras aleatórias) ou senha com 14+ caracteres.
• Não reutilize senhas entre serviços.
• Use gerenciador de senhas aprovado pela instituição.
• Ative MFA em e-mail, VPN e sistemas críticos.
• Desconfie de solicitações urgentes para “redefinir senha” por link recebido.

Ameaças comuns: phishing, malware e engenharia social

Phishing

Phishing é tentativa de enganar para obter credenciais, induzir pagamento, instalar malware ou coletar dados. Pode chegar por e-mail, SMS, mensageria ou ligação (vishing).

Como identificar sinais práticos de phishing

• Remetente parecido com o oficial (troca de letras, domínios estranhos).
• Urgência/ameaça (“sua conta será bloqueada hoje”).
• Links encurtados ou que não correspondem ao texto.
• Anexos inesperados (principalmente .zip, .rar, .iso, .exe, .js, .docm).
• Pedido de senha, token, código MFA ou dados pessoais.

Passo a passo: verificação segura de link e anexo

• Não clique imediatamente. Passe o mouse sobre o link (quando possível) e confira o domínio.
• Se for serviço institucional, acesse digitando o endereço oficial no navegador.
• Não habilite macros em documentos recebidos sem validação.
• Encaminhe para o canal interno de segurança/TI conforme norma e aguarde orientação.

Malware e ransomware

Malware é software malicioso (trojan, spyware, keylogger). Ransomware criptografa arquivos e exige pagamento. Vetores comuns: anexos, downloads, sites comprometidos, pendrives e credenciais vazadas.

Conduta imediata diante de suspeita de infecção

• Desconecte da rede (Wi‑Fi/cabo) para reduzir propagação.
• Não tente “limpar” por conta própria se houver risco de apagar evidências.
• Comunique TI/segurança da informação e registre horário, sintomas e ações realizadas.
• Preserve telas/alertas (foto ou captura conforme política) e anote mensagens exibidas.

Proteção de dados no uso diário: práticas que evitam incidentes

Classificação e minimização

Trate dados sensíveis com acesso mínimo necessário. Evite copiar bases completas para dispositivos locais quando bastaria um recorte. Menos cópias = menos pontos de vazamento.

Compartilhamento seguro

• Prefira links com controle de acesso e expiração, em vez de anexos em massa.
• Evite encaminhar documentos para e-mails pessoais.
• Use criptografia quando exigido (arquivo criptografado + envio de senha por canal separado).

Cuidados com impressão e descarte

• Retire impressões imediatamente e evite deixar documentos em bandejas.
• Descarte conforme norma (fragmentação/reciclagem segura quando aplicável).

Organização de evidências digitais: estrutura, integridade e rastreabilidade

Evidência digital é qualquer informação com potencial probatório em formato digital (arquivos, mensagens exportadas, imagens, logs, registros de acesso). O objetivo é manter integridade, contexto e rastreabilidade.

Estrutura recomendada de pastas (exemplo prático)

CASO_2026_00123/  01_ORIGINAIS_IMUTAVEIS/  02_TRABALHO_COPIAS/  03_EXPORTACOES/  04_LOGS/  05_RELATORIOS_E_NOTAS/  06_HASHES_E_CONTROLES/

• Originais imutáveis: arquivos como recebidos/coletados, sem edição.
• Cópias de trabalho: para análise, conversões e recortes.
• Hashes e controles: arquivo de verificação (hashes), planilha de controle, datas e responsáveis.

Passo a passo: preservação de integridade com hash (conceito operacional)

• Ao receber um arquivo, gere um hash (ex.: SHA-256) e registre em controle interno.
• Armazene o original em local com permissão restrita (somente leitura quando possível).
• Faça uma cópia para trabalho e gere hash também, para comparar quando necessário.
• Se precisar converter formato (ex.: vídeo), mantenha o original e documente a conversão.

Metadados: risco de exposição e risco de perda de contexto

Metadados podem ajudar (data/hora, GPS, dispositivo) e podem vazar informações (autor, caminho de rede, localização). Ao compartilhar externamente, avalie se metadados devem ser preservados (para prova) ou removidos (para proteção), sempre conforme orientação institucional e finalidade.

Passo a passo: cuidados práticos com metadados

• Evite abrir e “salvar por cima” o arquivo original (isso altera datas e metadados).
• Ao produzir relatórios, use cópias e registre a origem do arquivo analisado.
• Ao exportar imagens para compartilhamento interno, avalie se o EXIF deve ser mantido.
• Não renomeie arquivos de forma que destrua o vínculo com a origem; use padrão de nomenclatura e registre equivalências.

Logs básicos: leitura e interpretação aplicada

Logs são registros de eventos: acessos, falhas, conexões, alterações e execução de serviços. Eles ajudam a responder: o que ocorreu, quando, em qual conta e de onde.

Campos comuns em logs

• Timestamp: data/hora do evento (atenção a fuso horário e horário de verão).
• Usuário/conta: quem executou a ação.
• Origem: IP, hostname, dispositivo.
• Ação/resultado: login sucesso/falha, arquivo acessado, permissão negada.

Exemplo de log (didático) e como interpretar

2026-01-10T22:14:03Z AUTH FAIL user=joao.silva ip=203.0.113.45 method=password 2026-01-10T22:14:11Z AUTH FAIL user=joao.silva ip=203.0.113.45 method=password 2026-01-10T22:14:25Z AUTH OK   user=joao.silva ip=203.0.113.45 method=password 2026-01-10T22:16:02Z FILE READ path=/dados/relatorios/rel_2025.pdf user=joao.silva ip=203.0.113.45

• Há múltiplas falhas seguidas de sucesso no mesmo IP: pode indicar tentativa de adivinhação de senha ou senha vazada testada.
• O IP é público: acesso pode ter ocorrido fora da rede interna (verificar VPN, geolocalização aproximada, política de acesso remoto).
• Após autenticar, houve leitura de arquivo sensível: correlacionar com necessidade funcional e horário.

Passo a passo: triagem rápida de logs para identificar anomalias

• Filtre por conta e intervalo de tempo do evento suspeito.
• Conte falhas de login e verifique padrão (muitas falhas em curto período).
• Compare IPs/locais habituais vs. incomuns (mudança abrupta).
• Correlacione com eventos próximos: redefinição de senha, alteração de MFA, download em massa.
• Registre achados com timestamp e preserve o arquivo de log original.

Exercícios aplicados (com gabarito)

Exercício 1: identificar phishing

Você recebe e-mail com assunto “Atualização obrigatória de senha”. O remetente é suporte@inst1tucional.com e o link aponta para http://inst1tucional.com-login.seguro.ru/atualizar. Cite três sinais de risco e a conduta correta.

Gabarito (referência): domínio suspeito e não institucional; uso de HTTP; urgência/engenharia social; conduta: não clicar, acessar portal oficial digitando endereço, reportar ao canal interno.

Exercício 2: organização de evidências digitais

Você recebeu um ZIP com documentos e imagens. Descreva como armazenar o arquivo recebido, como criar cópia de trabalho e como registrar integridade.

Gabarito (referência): guardar ZIP em “Originais imutáveis”; gerar hash e registrar; copiar para “Cópias de trabalho”; analisar/extração na cópia; manter registro de hashes e alterações.

Exercício 3: metadados em imagem

Uma foto enviada por mensageria pode conter data/hora e GPS. Explique dois riscos de compartilhar a imagem sem cuidado e duas medidas preventivas.

Gabarito (referência): riscos: expor localização de equipe/unidade; expor dispositivo/rotina; medidas: compartilhar via canal controlado; remover/gerenciar metadados quando apropriado; usar cópia e preservar original para prova.

Exercício 4: interpretação de log

No log abaixo, aponte o evento mais suspeito e uma hipótese plausível.

2026-01-12T01:02:10Z AUTH FAIL user=maria ip=198.51.100.9 2026-01-12T01:02:12Z AUTH FAIL user=maria ip=198.51.100.9 2026-01-12T01:02:14Z AUTH FAIL user=maria ip=198.51.100.9 2026-01-12T01:02:16Z AUTH FAIL user=maria ip=198.51.100.9 2026-01-12T01:02:18Z AUTH FAIL user=maria ip=198.51.100.9

Gabarito (referência): várias falhas em sequência no mesmo IP em curto intervalo; hipótese: tentativa de força bruta/credential stuffing; conduta: bloquear/alertar, exigir MFA, verificar origem do IP e outros alvos.

Questões no padrão de concursos (com gabarito)

1) (Segurança) Autenticação multifator (MFA) é:

• A) Uso de duas senhas diferentes no mesmo sistema.
• B) Uso de ao menos dois fatores distintos (conhecimento, posse, inerência) para autenticar.
• C) Uso de biometria como único método de acesso.
• D) Uso de VPN para acessar a rede interna.

Gabarito: B

2) (Redes) DNS tem como função principal:

• A) Criptografar o tráfego de rede.
• B) Traduzir nomes de domínio em endereços IP.
• C) Bloquear malwares automaticamente.
• D) Realizar backup de arquivos na nuvem.

Gabarito: B

3) (Armazenamento) Sobre metadados, assinale a alternativa correta:

• A) Metadados não existem em imagens.
• B) Metadados são sempre removidos ao copiar um arquivo.
• C) Metadados podem conter informações como data/hora, autor e geolocalização, dependendo do formato.
• D) Metadados são iguais ao hash do arquivo.

Gabarito: C

4) (Backups) A regra 3-2-1 recomenda:

• A) 3 senhas, 2 usuários e 1 administrador.
• B) 3 cópias, 2 mídias diferentes e 1 cópia fora do ambiente principal.
• C) 3 antivírus, 2 firewalls e 1 VPN.
• D) 3 arquivos ZIP, 2 PDFs e 1 DOCX.

Gabarito: B

5) (Phishing) É um indicativo típico de phishing:

• A) Mensagem com linguagem neutra e sem links.
• B) Link que aponta para domínio diferente do serviço alegado e pedido de urgência.
• C) E-mail enviado por colega conhecido, sem anexos.
• D) Site com HTTPS, portanto sempre legítimo.

Gabarito: B

6) (Logs) Em uma triagem de logs, um padrão que pode indicar ataque de força bruta é:

• A) Um único login bem-sucedido no horário comercial.
• B) Muitas falhas de autenticação em curto intervalo, para a mesma conta ou várias contas.
• C) Acesso a um arquivo local por usuário autorizado.
• D) Atualização automática do sistema operacional.

Gabarito: B