Tecnologia, evidências digitais e noções de computação forense para Escrivão da Polícia Federal

Fundamentos de evidência digital: o que é e por que exige método

Evidência digital é qualquer informação com valor probatório armazenada, transmitida ou processada por meios eletrônicos. Ela pode estar em dispositivos (computadores, celulares, mídias), em serviços (e-mail, nuvem, redes sociais) e em infraestrutura (roteadores, firewalls, servidores). A característica central é a volatilidade: dados podem ser alterados por simples uso do equipamento, por sincronização automática ou por rotinas do sistema. Por isso, o trabalho do Escrivão deve priorizar preservação, rastreabilidade e documentação técnica suficiente para permitir verificação posterior por peritos e pelo Judiciário.

Principais tipos de artefatos digitais

• Arquivos e pastas: documentos, imagens, vídeos, bancos de dados, arquivos temporários, lixeira.
• Artefatos do sistema operacional: registros de inicialização, contas de usuário, histórico de execução, logs de eventos, arquivos de paginação/hibernação.
• Artefatos de aplicativos: navegadores (histórico, cookies, downloads), mensageria (bases locais), e-mail (PST/OST, webmail), apps bancários (rastros de sessão), VPN.
• Artefatos de rede: logs de roteadores, DHCP, DNS, proxy, firewall, IDS/IPS, registros de conexão.
• Dados em nuvem: backups, sincronizações, histórico de versões, registros de acesso, trilhas de auditoria.
• Dados voláteis: memória RAM, conexões ativas, processos em execução, chaves de criptografia em uso (podem se perder ao desligar).

Logs e metadados: como ler tecnicamente

Logs são registros cronológicos de eventos (acesso, autenticação, falhas, transações). O valor probatório depende de: origem (qual sistema gerou), integridade (se houve alteração), contexto (fuso horário, política de retenção) e correlação (comparar com outros logs).

Metadados são “dados sobre dados”. Exemplos: data/hora de criação/modificação, autor, geolocalização em foto, identificadores de dispositivo, versão de arquivo. Atenção: metadados podem ser alterados por cópia, edição, sincronização ou configurações de relógio. Por isso, descreva sempre a fonte e o método de obtenção.

Preservação: hash, cópia forense e requisitos mínimos de documentação

Hash: conceito e uso prático

Hash é um resumo criptográfico (ex.: SHA-256) calculado a partir de um conteúdo digital. Se o conteúdo mudar, o hash muda. Na prática, o hash serve para demonstrar integridade de um arquivo, imagem forense ou conjunto de dados coletados.

• Quando calcular: ao receber a mídia/arquivo (se possível), após criar a cópia forense, e ao transferir/armazenar em mídia de custódia.
• O que registrar: algoritmo (ex.: SHA-256), valor do hash, data/hora, responsável, ferramenta utilizada e qual item foi hasheado (ex.: “Imagem forense do SSD serial X”).

Cópia forense (imagem) vs. cópia comum

Cópia comum (arrastar/soltar) pode alterar metadados, não captura áreas não alocadas e pode omitir dados apagados. Cópia forense é uma duplicação bit a bit, preferencialmente com bloqueio de escrita (write blocker), preservando estrutura e permitindo análise de dados apagados e espaços não alocados.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

Documentação técnica mínima que deve acompanhar a coleta

• Identificação completa do item: tipo, marca/modelo, número de série/IMEI, capacidade, cor, estado físico, acessórios (carregador, chip, cartão).
• Condições de apreensão: ligado/desligado, tela bloqueada, conectado a rede, presença de criptografia aparente, notificações visíveis (sem explorar conteúdo além do necessário para preservação).
• Local, data/hora e circunstâncias: onde estava, quem indicou, quem entregou, quem presenciou.
• Medidas adotadas para preservação: isolamento de rede, acondicionamento, lacre, armazenamento.
• Registro de hashes e mídias de destino (quando houver imagem/cópia).
• Relação de custódia: quem recebeu, quem transportou, onde ficou guardado e por quanto tempo.

Procedimentos de apreensão de dispositivos: passo a passo prático

Os passos abaixo focam em reduzir risco de alteração remota, perda de dados voláteis e contaminação do vestígio. Ajuste conforme orientação pericial e cenário (flagrante, busca e apreensão, entrega voluntária).

1) Avaliação inicial e segurança do local

• Identifique rapidamente quantos dispositivos existem (computadores, celulares, mídias, roteadores, DVR, tokens, pendrives).
• Observe e registre o estado: ligado/desligado, aplicativos abertos, cabos conectados, telas com informações relevantes (sem navegar).
• Fotografe o conjunto e conexões (posição de cabos, portas, telas) para permitir reconstituição.

2) Isolamento de rede e prevenção de apagamento remoto

• Celulares e tablets: priorize impedir comunicação (modo avião, remoção de chip, uso de bolsa de Faraday), conforme viabilidade e risco de bloqueio/criptografia. Registre exatamente o que foi feito.
• Computadores: se conectado à rede, registre conexões e avalie com a equipe/perícia a necessidade de isolamento (desconectar cabo de rede/wi-fi). Evite ações que alterem o sistema sem orientação.
• Dispositivos IoT/roteadores: não resetar. Desconectar energia pode apagar logs voláteis; registre estado e, se necessário, apreenda para análise controlada.

3) Decisão crítica: manter ligado ou desligar

Essa decisão depende do risco de perda de dados voláteis versus risco de alteração automática. Em geral:

• Se houver criptografia e o dispositivo estiver desbloqueado, pode ser relevante preservar o estado para extração controlada (com orientação pericial).
• Se houver risco de sincronização/apagamento remoto, o isolamento de rede é prioritário.
• Se não houver suporte técnico no local, a conduta mais segura costuma ser preservar o estado sem manipulação adicional e encaminhar rapidamente para ambiente pericial, registrando tudo.

Como Escrivão, descreva a condição encontrada e as medidas de preservação adotadas, evitando “intervenções exploratórias”.

4) Acondicionamento e lacração

• Use embalagens adequadas (antiestáticas para mídias/HDs; proteção física para telas; bolsa de Faraday quando aplicável).
• Identifique com etiqueta: número do item, descrição, local, data/hora, responsável.
• Lacre inviolável: registre número do lacre e fotografe o lacre aplicado.
• Transporte: minimize exposição a calor, umidade e campos magnéticos (para mídias sensíveis).

5) Registro formal do ato (foco técnico-descritivo)

O registro deve permitir que um terceiro entenda o que foi apreendido e em que condições, sem inferências. Exemplos de detalhes úteis: “notebook conectado a carregador, cabo de rede na porta LAN, tela exibindo área de trabalho com navegador aberto” (sem descrever conteúdo de mensagens se não for necessário para preservação).

Fontes de evidência em crimes cibernéticos: perspectiva prática

Phishing (captura de credenciais e engenharia social)

• Fontes típicas: e-mails (cabeçalhos completos), SMS/WhatsApp com link, páginas falsas (URL), registros de acesso (IP, user-agent), logs de autenticação em serviços, comprovantes de transação, registros bancários.
• Artefatos úteis: cabeçalho “Received” do e-mail, domínio e DNS, certificados TLS, prints com URL visível (preferencialmente com captura técnica/ata notarial quando cabível), histórico do navegador, arquivos baixados.
• Ponto de atenção: preservar a mensagem original (eml/msg) e não apenas print; registrar fuso horário e data/hora do recebimento.

Invasão de dispositivo/sistema (acesso não autorizado)

• Fontes típicas: logs de autenticação (sucesso/falha), eventos de criação de usuário, alteração de permissões, instalação de ferramentas remotas, conexões RDP/SSH/VPN, logs de firewall, EDR/antivírus.
• Artefatos úteis: lista de processos/serviços, tarefas agendadas, chaves de persistência, arquivos recentemente modificados, registros de IP de origem, horários correlacionados.
• Ponto de atenção: relógio do sistema pode estar incorreto; sempre registrar o fuso e, se possível, comparar com fonte confiável (ex.: horário oficial no momento da diligência).

Fraudes digitais (bancárias, marketplace, identidade)

• Fontes típicas: conversas (chat/e-mail), comprovantes, dados de conta destinatária, logs de acesso do aplicativo, geolocalização, dados de dispositivo (ID, IMEI), registros de entrega (transportadora), anúncios e páginas.
• Artefatos úteis: histórico de transações, tokens de sessão, e-mails de confirmação, registros de alteração cadastral, IPs e dispositivos associados.
• Ponto de atenção: coletar rapidamente dados que expiram (links temporários, anúncios removidos, logs com retenção curta).

Como descrever tecnicamente os fatos em peças: objetividade e verificabilidade

Em ocorrências com componente digital, descreva fatos de forma reprodutível: o que foi observado, onde, quando, por quem, e qual a fonte. Evite termos vagos (“foi hackeado”) sem indicar evidências observáveis (“houve registro de login às 03:14 a partir do IP X, seguido de alteração de senha”).

Modelo de descrição técnica (estrutura prática)

• Evento: o que ocorreu (ex.: “recebimento de e-mail com link”).
• Fonte: onde está o dado (ex.: arquivo .eml, log do servidor, print com URL, extrato bancário).
• Identificadores: IP, e-mail, domínio, hash, IMEI, número de série, ID de transação.
• Temporalidade: data/hora e fuso; se houver divergência, registrar.
• Correlação: como se conecta a outro elemento (ex.: IP do e-mail coincide com IP de acesso ao serviço).

Exemplos de redação técnica (sem juízo conclusivo)

• “Consta no aparelho celular marca X, modelo Y, IMEI Z, a presença do aplicativo de e-mail com mensagem recebida em dd/mm/aaaa às hh:mm (fuso informado no aparelho), contendo hiperlink ‘https://…’. A mensagem foi preservada por exportação em formato .eml, armazenada em mídia identificada como Item 05, com hash SHA-256 registrado.”
• “Segundo logs fornecidos pela empresa, houve tentativas de autenticação com falha para o usuário ‘A’ entre hh:mm e hh:mm, seguidas de autenticação bem-sucedida às hh:mm a partir do IP nnn.nnn.nnn.nnn, com user-agent ‘…’. Os registros foram recebidos em arquivo .csv, identificado e lacrado, com hash calculado.”

Estudos de caso (com fontes de evidência e elaboração de termo de apreensão)

Estudo de caso 1: Phishing com desvio de valores via aplicativo bancário

Cenário: vítima relata que recebeu e-mail simulando instituição financeira, clicou no link e inseriu credenciais. Em seguida, ocorreram transferências não reconhecidas.

Fontes de evidência a identificar:

• E-mail original (com cabeçalhos completos).
• Dispositivo da vítima (celular/computador usado no acesso): histórico do navegador, downloads, SMS, notificações do banco.
• Extratos e comprovantes de transação (IDs, horários).
• Registros do provedor de e-mail (IP de acesso, alterações de segurança).
• Registros do banco (dispositivo associado, IP, geolocalização, método de autenticação).

Passo a passo de preservação no atendimento:

• Solicitar à vítima que não apague mensagens e não reinstale aplicativos.
• Orientar a exportar a mensagem em formato original (quando possível) e preservar anexos.
• Se houver apreensão do dispositivo: isolar rede, acondicionar e lacrar; registrar estado (bloqueado/desbloqueado, nível de bateria, conectividade).
• Requisitar rapidamente logs com retenção curta (e-mail/banco), indicando janelas de tempo.

Estudo de caso 2: Invasão de conta corporativa e exfiltração de dados

Cenário: empresa informa acesso indevido ao e-mail corporativo e envio de mensagens a clientes com boletos falsos.

Fontes de evidência a identificar:

• Logs do provedor de e-mail (logins, IPs, regras de encaminhamento, criação de filtros).
• Mensagens enviadas e regras de caixa postal (ex.: redirecionamento automático).
• Máquinas da equipe financeira (possível malware), servidor de arquivos, EDR/antivírus.
• Registros de DNS/domínios usados no golpe, páginas de hospedagem.

Passo a passo de preservação na diligência:

• Mapear contas afetadas e janela temporal do incidente.
• Preservar logs do provedor e snapshots de configurações (regras, encaminhamentos).
• Apreender estações críticas com registro de conexões e estado (ligado/desligado), evitando “limpeza” prévia.
• Coletar boletos falsos e e-mails correspondentes em formato original.

Estudo de caso 3: Fraude em marketplace com uso de identidade e chip telefônico

Cenário: vítima teve conta invadida, anúncios publicados e compradores direcionados a pagamento externo.

Fontes de evidência a identificar:

• Logs do marketplace (IP, dispositivo, alterações de cadastro).
• Conversas com compradores (IDs de chat, timestamps).
• Linhas telefônicas usadas (dados cadastrais, ERBs, registros de chamadas quando cabível).
• Dispositivos apreendidos do suspeito: celulares, chips, comprovantes, apps de banco, e-mails.

Modelo prático: termo de apreensão detalhado (foco em evidência digital)

Use o modelo como checklist de campos técnicos. Ajuste ao formulário institucional e ao caso concreto.

TERMO DE APREENSÃO (EVIDÊNCIA DIGITAL) – MODELO DE PREENCHIMENTO TÉCNICO

1. IDENTIFICAÇÃO DO ATO
- Data e hora da apreensão: __/__/____ às __:__ (fuso: ____)
- Local: (endereço completo e referência)
- Autoridade/Equipe: (nomes, matrículas, unidade)
- Testemunhas/Presentes: (qualificação)

2. CONTEXTO OBJETIVO
- Circunstância: (cumprimento de mandado/entrega voluntária/flagrante)
- Localização do item no ambiente: (ex.: “sobre a mesa do escritório, conectado ao carregador”)

3. DESCRIÇÃO INDIVIDUALIZADA DOS ITENS (UM BLOCO POR ITEM)
Item 01:
- Tipo: (smartphone/notebook/HD externo/pendrive/roteador)
- Marca/Modelo: __________
- Cor/Características: __________
- Identificadores:
  - Nº de série: __________
  - IMEI (se aplicável): __________
  - ICCID do chip (se aplicável): __________
  - Capacidade (armazenamento): __________
- Estado no momento da apreensão:
  - Ligado/desligado: __________
  - Tela bloqueada/desbloqueada: __________
  - Conectividade observada (Wi‑Fi/dados/cabo): __________
  - Notificações/Aplicativos visíveis (sem navegação): __________
- Acessórios apreendidos com o item: (carregador, cabos, cartões)

4. MEDIDAS DE PRESERVAÇÃO ADOTADAS
- Isolamento de rede: (modo avião/remoção de chip/bolsa Faraday/desconexão de cabo) – descrever exatamente
- Acondicionamento: (antiestático/proteção física)
- Lacre: nº __________ (foto do lacre: sim/não)

5. CÓPIA/IMAGEM FORENSE E INTEGRIDADE (SE REALIZADA)
- Tipo de aquisição: (imagem bit a bit/cópia lógica)
- Ferramenta/Procedimento: __________
- Mídia de destino: (tipo, capacidade, nº de série)
- Hash:
  - Algoritmo: (ex.: SHA-256)
  - Valor: __________
  - Data/hora do cálculo: __/__/____ __:__
  - Responsável: __________

6. CADEIA DE CUSTÓDIA (REGISTRO DE MOVIMENTAÇÃO)
- Recebido por: __________ (data/hora)
- Armazenado em: __________ (local seguro)
- Transferências: (quem/para quem/data/hora/motivo)

7. OBSERVAÇÕES
- Condições físicas do item, danos, particularidades, divergências de horário, etc.

Assinaturas: (autoridade, escrivão, testemunhas, responsável pela guarda)

Checklist rápido de fontes de evidência por categoria (para orientar diligências)

• Identidade digital: e-mails, números, IDs de usuário, dispositivos associados, tokens, 2FA.
• Temporalidade: timestamps em logs, mensagens, transações; fuso horário e relógio do sistema.
• Localização e rede: IP público, IP interno, MAC, SSID, ERB (quando aplicável), geotags.
• Conteúdo: mensagens, anexos, arquivos, histórico de navegação, downloads.
• Persistência e execução: programas instalados, serviços, tarefas agendadas, extensões de navegador.
• Transações: IDs, comprovantes, chaves, contas destinatárias, trilhas de auditoria.