4. Cadeia de custódia
Conforme escreve Renato Brasileiro Lima, cadeia de custódia:
[...] consiste, em termos gerais, em um mecanismo garantidor da autenticidade das evidências coletadas e examinadas, assegurando que correspondem ao caso investigado, sem que haja lugar para qualquer tipo de adulteração. Funciona, pois, como a documentação formal de um procedimento destinado a manter e documentar a história cronológica de uma evidência, [...] assegurando, assim, o rastreamento da evidência desde o local do crime até o Tribunal. (LIMA, 2020)
A Lei nº 13.964, de 24 de dezembro de 2019 introduziu, dentre outros, o Art. 158-A a 158-F ao Código de Processo Penal. Estes artigos representaram uma evolução jurídica ao materializar a cadeia de custódia no ordenamento jurídico pátrio, definindo procedimentos para a sua efetivação.
A citada norma considera cadeia de custódia “o conjunto de todos os procedimentos utilizados para manter e documentar a história cronológica do vestígio coletado em locais ou em vítimas de crimes, para rastrear sua posse e manuseio a partir de seu reconhecimento até o descarte.” (BRASIL, 2019)
Estabelece ainda dez etapas de processamento dos vestígios em sentido amplo, com o objetivo de dar maior integridade e confiabilidade à prova digital.
As fases iniciam-se com o Reconhecimento dentre os elementos em uma cena de crime, aqueles que tem potencial para a produção da prova digital; passando pelo Isolamento e preservação dos ambientes imediato, mediato e relacionado ao local de crime, onde se encontram os vestígios; Fixação, que é a descrição dos detalhes verificados no local de crime; a Coleta dos vestígios que serão submetidos à análise periciais; o Acondicionamento e Transporte adequado para os vestígios coletados; o Recebimento dos vestígios com todas as informações inerentes; o Processamento dos vestígios pela perícia produzindo o competente laudo; o Armazenamento adequado do material a ser processado e, por fim, o Descarte que corresponde à liberação do vestígio quando pertinente.
Vai dispor o perito oficial como o responsável preferencial pela coleta dos vestígios, bem como o local de destino (Central de Custódia), define que o local de crime somente pode ser liberado pelo perito e a metodologia para o acondicionamento.
4.1. A cadeia de custódia dos vestígios digitais
Avançando para a cadeia de custódia dos vestígios digitais, o grande desafio se encontra na acomodação e harmonização dos critérios estabelecidos pelo ordenamento jurídico anteriormente exposto às diretrizes técnicas relacionadas aos vestígios provenientes de um crime cibernético.
A materialização da cadeia de custódia dada pela Lei nº 13.964, de 24 de dezembro de 2019, para efeito dos vestígios digitais, demanda uma leitura em conjunto com os padrões nacionais e internacionais correlacionados, como a ABNT ISO/IEC 27037:2013, que vai dar diretrizes para identificação, coleta, aquisição e preservação de evidência digital (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2013) e a RFC 3227/2002 que vai orientar quanto à coleta e arquivamento de evidências emanadas pelo Network Working Group da The Internet Society (THE INTERNET SOCIETY, 2002).
Quanto à ABNT ISO/IEC 27037:2013, Oliveira (2019) enuncia que para que a evidência digital seja válida necessariamente três pilares devem ser observados: Relevância, Confiabilidade e Suficiência. Como Relevância entende-se que a “evidência digital é considerada relevante quando se destina a provar ou refutar um elemento de um caso específico que está sendo investigado”. Como Confiabilidade entende-se com a garantia de que a “evidência digital seja o que pretende ser”. E a Suficiência se relaciona à ideia de “que a evidência digital seja suficiente para permitir que elementos questionados sejam adequadamente examinados ou investigados”.
A norma técnica ora estudada traz os fundamentos e processos para o tratamento da evidência digital. Como fundamentos tem-se:
a) auditabilidade: refere-se à verificação quanto à correta execução do método ou procedimento recomendado;
b) repetibilidade: refere-se ao mesmo resultado em se utilizando o mesmo método ou procedimento;
c) reprodutibilidade: refere-se à condição na qual os mesmos resultados são obtidos utilizando diferentes instrumentos em diferentes condições;
d) justificabilidade: refere-se à justificativa de que o método ou procedimento utilizados foram os mais indicados para o melhor resultado.
Já como processos para o tratamento da evidência digital a ABNT ISO/IEC 27037:2013 apresenta:
a) coleta: processo de recolhimento da evidência no seu local original;
b) aquisição: refere-se à cópia da evidência digital e documentação dos métodos usados e atividades realizadas;
c) preservação: guarda da evidência digital, garantindo a sua integridade.
Oliveira (2019), baseando-se na ABNT ISO/IEC 27037:2013, vai conceituar cadeia de custódia como o documento que identifica a “cronologia de movimento e manuseio da evidência digital”. Recomendando o seu registro a partir da coleta ou aquisição, tendo por objetivo possibilitar a identificação, acesso e a eventual movimentação da evidência digital, devendo conter:
a) código identificador da evidência digital;
b) o registro de acesso à evidência, constando quem, quando e onde foi acessada;
c) o responsável pela checagem da evidência no local de preservação, com a data e hora da operação;
d) alterações inevitáveis à evidência, com a identificação do responsável e a justificativa para a alteração.
Já a RFC 3227/2002, como um padrão internacional, vai especificar as melhores práticas para a aquisição e manejo das evidências digitais e vai apresentar, dentre outros tópicos, os princípios orientadores durante a coleta de provas, o procedimento para a coleta e os procedimentos para o arquivamento das evidências. Este último, interessa ao presente estudo por abordar especialmente a cadeia de custódia das evidências digitais.
Iniciando-se com as Considerações Legais a orientação apresenta cinco características desejáveis da evidência digital. como pode-se verificar em Souza (2018):
a) admissível: deve ser juridicamente válida em conformidade com o ordenamento jurídico aplicável;
b) autêntica: deve haver lastro entre o fato e a evidência digital coletada;
c) completa: deve apresentar o histórico geral do fato;
d) confiável: deve estar livre de máculas desde a sua coleta até a apresentação ao magistrado
e) crível: deve ser facilmente entendida em um tribunal.
Quando trata do arquivamento, a RFC 3227/2002 vai abordar a cadeia de custódia, onde e como arquivar. Sobre a cadeia de custódia, especifica que:
You should be able to clearly describe how the evidence was found, how it was handled and everything that happened to it.
The following need to be documented:
- Where, when, and by whom was the evidence discovered and collected.
- Where, when and by whom was the evidence handled or examined.
- Who had custody of the evidence, during what period. How was it stored.
- When the evidence changed custody, when and how did the transfer occur (include shipping numbers, etc.) (THE INTERNET SOCIETY, 2002).
Em tradução livre, tem-se que o responsável pela evidência digital deve documentar a cadeia de custódia de tal forma que possa descrever inequivocamente como a evidência foi encontrada, como ela foi tratada e tudo que ocorreu com ela no processo, devendo este documento conter onde, quando e por quem a evidência foi identificada e coletada, tratada, examinada e como ela foi armazenada, se e quando foi transferida, com os respectivos identificadores de movimentação.
Feitas estas considerações, pode-se, então, chegar a um conceito de cadeia de custódia como sendo a formalização do procedimento que garante a inviolabilidade do vestígio coletado no local de crime até o seu descarte, dando segurança às partes acerca da confiabilidade da prova produzida a partir dele.
4.2. Elementos certificadores de vestígios digitais coletados de publicações realizadas na Internet
Inicialmente é importante especificar que são diversos os tipos e modalidades de vestígios digitais.
De maneira geral, a primeira subdivisão que se faz acerca dos vestígios digitais se refere a existência ou não de um suporte físico, sendo que os vestígios digitais com suporte físico não serão alvo do presente artigo.
Aqueles que não dispõem de suporte físico são os que se encontram em provedores de conexão ou serviços, podendo também se considerar sem suporte físico aqueles que são coletados em publicações realizadas na internet, sendo este o foco do presente estudo.
Quando se fala de publicações na internet pode-se estabelecer um rol exemplificativo que inclui publicações em mídias sociais como Facebook, Instagram, Twitter, e-mail e páginas na web.
Assim, tendo-se em mente que o padrão normativo pátrio estabelece dez etapas para o rastreamento do vestígio em sentido amplo e o padrão técnico nacional e internacional dão diretrizes para a validade e o tratamento dos vestígios digitais, cabe então harmonizar os aspectos técnicos e os legais para poder propor os elementos certificadores para fins de cadeia de custódia.
A primeira etapa da cadeia de custódia prevista na Lei nº 13.964, de 24 de dezembro de 2019 é o Reconhecimento que se dá pelo acesso ao conteúdo, quer seja por iniciativa quer seja por acionamento da parte interessada, quando se identifica o eventual cometimento de delitos.
Para os vestígios ordinários as fases de Isolamento, Fixação e Coleta se distinguem, no entanto, ao identificar um delito cometido através de publicação realizada na internet o primeiro passo a ser adotado é a captura do conteúdo publicado, momento em que ocorrem as três fases mencionadas.
Esta captura deve conter a URL da publicação, a data, a hora e o fuso em que ela foi realizada, a identificação do órgão ou do responsável que a realizou e por fim, a sua certificação hash 3, que garantirá que aquele arquivo gerado naquele momento poderá ser checado em quaisquer das fases de um eventual processo judicial, dando segurança às partes de que o conteúdo coletado não foi manipulado.
A prática acima indicada respeita os padrões de validade, os fundamentos e processos para o tratamento definidos pela ABNT ISO/IEC 27037:2013, bem como atendem às considerações legais expostas pela RFC 3227/2002.
Para fins de cadeia de custódia, a partir da fase de Isolamento, registros devem ser mantidos de forma que seja possível identificar a cronologia dos movimentos e manuseios da evidência digital, devendo conter um código identificador único, a identificação do responsável pela coleta/captura, constando a data, hora e fuso desta, o registro do responsável pela checagem do arquivo gerado quando da entrada deste na Central de Custódia (quando houver), bem com as potenciais alterações inevitáveis sofridas pela evidência.
Mais um ponto que distingue os vestígios digitais dos vestígios comuns. Em relação aos vestígios comuns é possível delimitar claramente as fases de Acondicionamento, Transporte e Recebimento. Levando-se em consideração os vestígios digitais sem suporte físico, verifica-se que não é possível embalar o vestígio, transportá-lo de um lugar a outro ou mesmo transferir a posse deste.
Nestes casos o Acondicionamento pode ser entendido como o ato de salvar a captura realizada em algum tipo de mídia, eventualmente transformando-a em vestígio digital com suporte físico, mas o mais comum é a utilização de sistemas baseados na internet para fazer esta transferência entre o responsável pela captura da evidência digital e o responsável pela análise desta. Esta transferência pode ser considerada como o transporte, sendo que neste caso, além da certificação hash, é altamente sugerida a criptografia do arquivo da captura realizada para que no Recebimento tenha-se a certeza que o arquivo esteja íntegro e que somente quem tem a necessidade de conhecer o seu conteúdo tenha a chave para descriptografá-lo.
No Processamento, o profissional responsável pelo tratamento da evidência pode necessitar realizar edições para o melhor entendimento dos aspectos de consumação do crime cibernético investigado, devendo este trabalhar em uma cópia do arquivo original, mantendo o original protegido e devidamente acondicionado. Após a formalização do respectivo laudo ou outro documento lavrado acerca da análise do fato delituoso demandado, os vestígios cibernéticos deverão ser devidamente Armazenados.
Este é um ponto que ainda demanda discussões e acertos institucionais visto que a norma prevê a criação, nos Institutos de Criminalística, das Centrais de Custódia. Após a criação destas centrais, torna-se claro o procedimento para evidências ordinárias e mesmo para as digitais com suporte físico, no entanto, para aquelas evidências digitais sem suporte físico, que estão tramitando em sistemas baseados na internet ou armazenamento em nuvem restam questionamentos sobre qual o procedimento adequado, porém é possível indicar um caminho no qual a referida central tenha um servidor de armazenamento de evidências digitais, assim como as estruturas físicas para o armazenamento das evidências de crimes comuns.
A Lei nº 13.964, de 24 de dezembro de 2019 vai estabelecer ainda uma última fase, o Descarte, após liberação do vestígio, respeitando a legislação vigente e após autorização judicial. Consiste esta fase na eliminação do arquivo correspondente ao vestígio digital em análise, sendo este procedimento dependente do sistema utilizado para o seu armazenamento nos servidores do órgão responsável pela investigação, quer seja no setor investigativo ou Central de Custódia.
5. Conclusão
O presente artigo teve por escopo entender e harmonizar as questões legais, doutrinárias e técnicas associadas aos vestígios digitais coletados de publicações realizadas na internet para fins de cadeia de custódia da prova, propondo-se a delimitar minimamente os seus elementos certificadores.
Fato é que quando o técnico ou o perito captura uma evidência digital em uma publicação na internet, faz a sua certificação hash, criptografa o arquivo ou o servidor de armazenamento utilizado pelo órgão ao qual está vinculado, preserva o arquivo trabalhando em uma cópia e este arquivo é disponibilizado às partes quando do processo judicial, tendo sido os procedimentos devida e cronologicamente registrados no documento que materializa a cadeia de custódia, pode-se afirmar que, tanto as fases determinadas pela Lei nº 13.964, de 24 de dezembro de 2019, quanto os fundamentos para o tratamento das evidências digitais expostos pela ABNT ISO/IEC 27037:2013, bem como as considerações legais expostas pela RFC 3227/2002 estarão presentes.
Caso haja no órgão Central de Custódia, o seu responsável, antes de admitir o arquivo relativo ao vestígio digital, deve conferir-lhe a certificação hash e após, realizar o respectivo registro no documento que materializa a cadeia de custódia, salvando-o no servidor daquela repartição que deve ser criptografado.
Assim, foi possível delimitar os elementos certificadores de vestígios digitais coletados de publicações realizadas na internet para fins de cadeia de custódia da prova como sendo:
a) captura da publicação contendo a URL4 da publicação, a data, a hora e o fuso em que ela foi realizada, a identificação do órgão ou do responsável pela sua realização e a sua certificação hash;
b) o armazenamento nos servidores do órgão responsável pela investigação ou na sua Central de Custódia criptografando o arquivo ou o próprio servidor;
c) registro cronológico de todas as fases, desde reconhecimento até o eventual descarte, constando data, hora, fuso e responsável por cada movimentação ou manuseio da evidência.
A operacionalização destes elementos dependerá intimamente da infraestrutura de TI do órgão responsável pela instituição, não sendo foco do presente artigo abordar esta importante parte da garantia da cadeia de custódia dos vestígios digitais.
Por fim, espera-se que o presente artigo seja um guia para a investigação tanto dos crimes cibernéticos abertos quanto dos exclusivamente cibernéticos, ou eventualmente como técnica acessória à investigação de crimes ordinários, visto que na atualidade a maioria deles, em alguma das fases interna ou externa tocará, inevitavelmente, a esfera cibernética deixando evidências que podem se tornar provas técnicas fundamentais para a definição de autoria e materialidade.