Módulo 02 — Forense Digital

Forense Digital: da Coleta ao Laudo

Um arquivo digital pode ser copiado bilhões de vezes sem perder aparência. O que o distingue de uma cópia adulterada não está na imagem que você vê, mas nos dados que você não vê: hashes, metadados, assinaturas e registros de custódia. Este módulo aprofunda as ferramentas técnicas que tornam uma evidência digital confiável em juízo.

O que é forense digital

Forense digital é a disciplina que aplica o método científico à coleta, preservação, análise e apresentação de evidências em suportes eletrônicos. O objeto pode ser um smartphone apreendido, um e-mail corporativo, um PDF suspeito ou um link de phishing. O que une todos esses casos é o mesmo ciclo de trabalho.

As cinco fases do exame forense

  • Identificação: delimitar quais dispositivos e arquivos são relevantes para a investigação. Um perito que coleta tudo indiscriminadamente perde tempo e cria risco de contaminação cruzada entre casos.
  • Aquisição: obter uma cópia forense do material sem alterar o original. Em discos rígidos isso significa cópia bit-a-bit com write-blocker; em arquivos digitais significa calcular o hash antes de qualquer processamento.
  • Preservação: garantir que a cópia obtida permaneça íntegra durante toda a investigação. O hash calculado na aquisição é o padrão de referência para qualquer verificação futura.
  • Análise: examinar o conteúdo com ferramentas e métodos documentados. Aqui entram extração de metadados, análise de consistência de pixels, verificação de assinaturas digitais e confronto de registros.
  • Laudo: registrar o método, os achados e as conclusões em documento técnico reprodutível. Qualquer outro perito, partindo da mesma cópia forense, deve conseguir repetir o exame e conferir os resultados.

Por que cada fase importa

A ordem não é burocracia: é proteção técnica. Um arquivo aberto de forma imprudente antes da aquisição tem seus metadados de acesso alterados. Uma análise feita sem registro de método não pode ser conferida em contraditório. Um laudo que pula etapas pode ser impugnado mesmo que a conclusão esteja correta.

No mundo digital, o perito lida com vestígios que mudam sozinhos com o tempo: logs que expiram, plataformas que apagam dados automaticamente, arquivos que acumulam alterações de sistema cada vez que são abertos. Reconhecer essa fragilidade é o primeiro passo para agir antes que o vestígio se perca.

As 5 fases do exame forense

A ordem não é burocracia: cada fase protege a validade da seguinte.

Fase 01

Identificação

Delimitar quais dispositivos e arquivos são relevantes para a investigação.

No digitalColetar tudo indiscriminadamente cria risco de contaminação cruzada.

Fase 02

Aquisição

Obter uma cópia forense do material sem alterar o original.

No digitalCalcular o hash antes de qualquer processamento.

Fase 03

Preservação

Garantir que a cópia obtida permaneça íntegra durante toda a investigação.

No digitalO hash da aquisição é a referência para qualquer verificação futura.

Fase 04

Análise

Examinar o conteúdo com ferramentas e métodos documentados.

No digitalMetadados, consistência de pixels, assinaturas e confronto de registros.

Fase 05

Laudo

Registrar método, achados e conclusões em documento técnico reprodutível.

No digitalOutro perito, com a mesma cópia, deve chegar ao mesmo resultado.

Hash criptográfico em profundidade

O hash é uma função matemática que transforma qualquer entrada — um tweet de 20 caracteres ou um vídeo de 4 GB — em uma sequência de tamanho fixo. O conteúdo entra; a impressão digital sai. Essa impressão digital é determinística (a mesma entrada sempre produz a mesma saída) e irreversível (não dá para reconstruir o arquivo a partir do hash).

O que significa "256 bits"

O SHA-256 produz uma saída de 256 bits. Cada bit pode ser 0 ou 1, então o número de hashes possíveis é 2²⁵⁶ — um número com 77 dígitos:

115.792.089.237.316.195.423.570.985.008.687.907.853.269.984.665.640.564.039.457.584.007.913.129.639.936

Para ter noção de escala: estima-se que existam cerca de 10⁸⁰ átomos no universo observável. O número de hashes SHA-256 possíveis é da mesma ordem de grandeza. Encontrar dois arquivos com o mesmo hash SHA-256 por força bruta seria computacionalmente equivalente a enumerar todos os átomos do universo — várias vezes.

Esquema: arquivo → hash

```
Arquivo original (qualquer tamanho)


┌───────────────────────────────┐
│ Função SHA-256 │
│ (compressão em 64 rodadas) │
└───────────────────────────────┘


e3b0c44298fc1c149afb... (64 caracteres hexadecimais, sempre)
```

O efeito avalanche

Uma propriedade fundamental do SHA-256 é que qualquer alteração mínima no arquivo muda radicalmente o hash. Veja um exemplo real:

EntradaHash SHA-256
contrato.pdf originala3f8...d291
contrato.pdf com 1 vírgula alteradaf7c2...b104
contrato.pdf com 1 espaço a mais9e41...77ad

Não existe variação sutil nem mudança proporcional. O hash muda por inteiro, seja qual for o tamanho da alteração. É isso que torna a comparação de hashes a forma mais direta de detectar adulteração.

Comparativo dos algoritmos

AlgoritmoAnoBitsStatus em perícia
MD51992128Colisões demonstradas em 2004. Não usar.
SHA-11995160Colisão prática em 2017 (SHAttered). Evitar.
SHA-2562001256Padrão atual. Nenhuma colisão conhecida.
SHA-32015256+Arquitetura diferente (Keccak). Complementar.

Verificação prática

Qualquer pessoa pode calcular o hash SHA-256 de um arquivo. Uma forma é pelo terminal do computador — uma janela de texto onde se digitam comandos:

certutil -hashfile arquivo.pdf SHA256 (Windows)
sha256sum arquivo.pdf (Linux e macOS)

Se isso parece complicado, é porque é. Terminal é uma interface para usuários técnicos. A boa notícia é que existem plataformas mais amigáveis que fazem o mesmo cálculo com alguns cliques, sem precisar instalar nada. O Guardião Digital do MetaScope é uma delas: você arrasta o arquivo, e ele exibe o hash SHA-256 instantaneamente, já formatado para uso como registro de integridade.

Independentemente de como o hash é calculado, o resultado é sempre uma sequência de 64 caracteres hexadecimais — uma combinação de números de 0 a 9 e letras de a a f. Dois hashes idênticos, gerados em máquinas e momentos diferentes, são evidência técnica de que os arquivos são cópias exatas, bit a bit.

Metadados digitais: EXIF, IPTC e XMP

Todo arquivo digital carrega dois tipos de conteúdo: o que você vê e o que o arquivo sabe sobre si mesmo. Esse segundo tipo são os metadados: dados sobre dados. Em uma fotografia, os metadados registram câmera, lente, data, hora, coordenadas GPS e configurações de exposição. Em um documento, registram autor, software, empresa e histórico de revisões.

Os três padrões

  • EXIF (Exchangeable Image File Format): padrão da indústria fotográfica japonesa (anos 1990), embutido direto no arquivo de imagem. Registra dados técnicos da captura: fabricante e modelo do dispositivo, data e hora do relógio interno, coordenadas GPS quando ativas, exposição, abertura, ISO e resolução.
  • IPTC (International Press Telecommunications Council): criado para o jornalismo. Registra informações editoriais — crédito de autor, legenda, título, palavras-chave e local de cobertura — em bloco separado do EXIF dentro do mesmo arquivo.
  • XMP (Extensible Metadata Platform): padrão aberto da Adobe, baseado em XML. Extensível por qualquer aplicação. Photoshop, Lightroom e Acrobat gravam aqui o histórico de edição, ajustes de cor e identificadores de sessão.

Exemplo real: metadados de uma foto tirada com smartphone

A tabela abaixo mostra os campos extraídos de uma foto .jpg capturada com um iPhone 14 e enviada diretamente (sem passar por rede social):

Campo EXIFValor
MakeApple
ModeliPhone 14
Software16.5
DateTime2024:03:15 14:32:07
DateTimeOriginal2024:03:15 14:32:07
GPSLatitude21°13'45.6" S
GPSLongitude44°59'18.3" W
GPSAltitude912 m
ExposureTime1/120 s
FNumberf/1.8
ISO64
FocalLength5.7 mm
ColorSpacesRGB
PixelXDimension4032
PixelYDimension3024

Esses 15 campos contam uma história completa: quem tirou (dispositivo), quando (timestamp duplo: DateTime e DateTimeOriginal), onde (GPS com altitude) e como (configurações ópticas). Em uma perícia, cada um pode ser confrontado com outras fontes — registros de operadora, logs de aplicativo, câmeras de segurança próximas.

O que a ausência de metadados significa

Plataformas como Instagram e WhatsApp removem metadados automaticamente ao receber e recompartilhar imagens. Isso acontece por política de privacidade, não por adulteração. Por isso, ausência de EXIF em imagem baixada de rede social é esperada e não é, por si só, indício de manipulação.

O que importa em forense é a consistência interna: metadados que deveriam existir dado o dispositivo e o contexto declarados, mas que estão ausentes ou contraditórios.

```
Cenário suspeito:
Foto diz ser de iPhone 14, enviada por WhatsApp direto
→ Esperado: sem EXIF (WhatsApp remove)
→ OK.

Cenário a investigar:
Foto diz ser original do iPhone 14, sem passar por app
→ Esperado: EXIF completo
→ EXIF ausente: por quê?

Inconsistência objetiva:
DateTime EXIF: 2021:08:10
Contexto declarado: foto de evento de março de 2024
→ Divergência de 2,5 anos. Evidência técnica.
```

Esses dados de geolocalização extraídos do EXIF são a base de ferramentas especializadas de reconstrução de cena de crime. O [Locus — Dinâmica Pericial](https://www.investigacaoforense.com/aplicacoes/locus) é uma delas: recebe fotos georreferenciadas, lê as coordenadas GPS de cada arquivo e gera trilhas animadas sobre imagens de satélite, com relatório exportável que funciona sem conexão. Todo o processamento ocorre no navegador, sem envio de fotos ao servidor.

Assinaturas e certificados digitais

Uma assinatura digital não é uma imagem de rubrica aplicada a um PDF. É uma operação matemática que vincula um conteúdo específico a uma identidade verificável. Para entender o que ela prova, é preciso entender a infraestrutura que a suporta.

PKI e ICP-Brasil

PKI (Public Key Infrastructure) é o conjunto de tecnologias, políticas e entidades que gerenciam pares de chaves criptográficas e certificados digitais. No Brasil, a infraestrutura oficial é a ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira), estabelecida pela MP 2.200-2/2001 e gerida pelo Instituto Nacional de Tecnologia da Informação (ITI). O certificado digital ICP-Brasil tem presunção de validade jurídica equivalente à assinatura manuscrita com firma reconhecida.

O padrão X.509

Certificados digitais seguem o padrão X.509, definido pela ITU-T. O certificado vincula uma chave pública a uma identidade (nome, CPF, CNPJ ou domínio) e é assinado por uma Autoridade Certificadora (AC) confiável. O navegador, o sistema operacional ou o software de assinatura verifica a cadeia de confiança: do certificado do signatário até a raiz da hierarquia ICP-Brasil.

O que uma assinatura digital prova

  • Autenticidade: o signatário é quem diz ser, porque só ele tem a chave privada correspondente ao certificado.
  • Integridade: o documento não foi alterado depois da assinatura. A assinatura é calculada sobre o hash do conteúdo, e qualquer alteração invalida a verificação.
  • Não-repúdio: o signatário não pode negar ter assinado, pois a operação exige a chave privada que só ele detém.

O que uma assinatura digital não prova

Uma assinatura válida não prova que o conteúdo é verdadeiro, que o signatário leu o documento antes de assinar ou que ele assinou voluntariamente. Um contrato com assinatura digital válida pode conter cláusulas abusivas ou ter sido assinado sob coação. A validade técnica da assinatura é uma camada da análise, não a conclusão.

Assinatura digital vs. assinatura eletrônica simples

A assinatura eletrônica simples inclui mecanismos como aceite por clique, confirmação por SMS ou e-mail e senha de acesso. Tem validade jurídica em muitos contextos (LGPD, contratos civis), mas não oferece as mesmas garantias técnicas de não-repúdio e integridade que a assinatura digital com certificado ICP-Brasil.

Aquisição forense: como coletar sem contaminar

A aquisição é a fase mais crítica do exame forense: um erro aqui compromete todas as etapas seguintes. O princípio fundamental é simples: nunca trabalhar sobre o original. Na prática, isso exige procedimentos específicos conforme o tipo de suporte.

Write-blockers: a proteção do original

Um write-blocker é um dispositivo de hardware (ou software equivalente) que permite ler um disco ou armazenamento sem gravar nada nele, nem mesmo os metadados que um sistema operacional escreve automaticamente ao montar um dispositivo. Sem write-blocker, conectar um pen drive suspeito ao computador do perito pode alterar datas de acesso, registros de montagem e arquivos temporários, contaminando o vestígio.

Cópia bit-a-bit vs. cópia lógica

  • Cópia bit-a-bit (imagem forense): copia cada bit do suporte original, incluindo espaço não alocado, arquivos apagados e áreas de sistema. O resultado é um arquivo de imagem (formatos comuns: dd, E01, AFF4) que representa o disco inteiro. É o padrão-ouro para discos rígidos, SSDs e pen drives em investigações criminais.
  • Cópia lógica: copia apenas os arquivos e estruturas de diretório visíveis pelo sistema operacional. Mais rápida e menor, mas perde arquivos deletados e metadados de baixo nível. Aceitável para triagem inicial ou quando o suporte não pode ser removido (servidor em produção, por exemplo).

Hashing antes e depois

A sequência obrigatória em qualquer aquisição forense é: calcular o hash do original antes de copiar, fazer a cópia, calcular o hash da cópia e comparar os dois. Hashes idênticos provam que a cópia é exata. Qualquer divergência indica problema na aquisição e exige repetir o processo.

Por que abrir o arquivo original contamina

Abrir um arquivo no sistema operacional padrão modifica timestamps de acesso (atime em sistemas Unix, last accessed no Windows). Em alguns formatos, como PDF e Word, o próprio software pode adicionar dados ao abrir o arquivo. Qualquer modificação, mesmo sem intenção, invalida o hash original e fragiliza a cadeia de custódia. A regra é clara: o original nunca é aberto diretamente; o trabalho é sempre feito sobre a cópia forense verificada.

Cadeia de custódia digital na prática

A lei define o que a cadeia de custódia deve registrar. A tecnologia define como fazê-lo de forma verificável. Esta lição mostra como os dois se conectam no dia a dia.

O manifesto de integridade

Todo exame forense sério começa com um manifesto de integridade: um registro que documenta, no mínimo:

  • Identificação do arquivo (nome, tamanho, tipo MIME)
  • Hash SHA-256 calculado antes de qualquer processamento
  • Data, hora (com fuso horário) e identificação do responsável pelo registro
  • Origem declarada do arquivo (de quem veio, por qual canal)
  • Qualquer transferência ou processamento subsequente, com novos hashes de verificação

Esse manifesto pode ser um arquivo de texto simples, um PDF assinado digitalmente ou um registro em sistema especializado. O que importa é que exista e que qualquer alteração nele seja detectável.

Preservação preventiva vs. preservação reativa

A cadeia de custódia costuma ser pensada depois que o problema já existe: alguém suspeita de adulteração e precisa provar que o arquivo original é diferente da versão apresentada. A abordagem mais robusta é a preservação preventiva: registrar a integridade do arquivo antes de compartilhá-lo, antes de enviar por e-mail, antes de fazer upload em qualquer plataforma.

Se o hash foi registrado antes do envio, qualquer versão posterior pode ser comparada a esse registro. Se o hash não foi registrado antes, a única evidência de integridade é a palavra de quem enviou.

O Guardião Digital do MetaScope

O Guardião Digital é a ferramenta do MetaScope para preservação preventiva de integridade. Ele calcula o hash SHA-256 de cada arquivo localmente, no navegador, sem que o conteúdo do arquivo seja enviado ao servidor. O registro gerado inclui o hash, a data e hora, o nome do arquivo e um identificador único da sessão de preservação.

Esse registro pode ser baixado como comprovante, apresentado em juízo como início de cadeia de custódia e confrontado com qualquer versão futura do arquivo. Para quem precisa compartilhar documentos sensíveis, como laudos médicos, contratos, prints de conversa ou registros de incidente, o Guardião cria o ponto de partida documental antes de qualquer transmissão.

A ausência de envio ao servidor não é uma limitação: é uma escolha de segurança. A privacidade do conteúdo é preservada; apenas o hash, que não permite reconstruir o arquivo, é registrado.

Perguntas frequentes

Um arquivo com metadados íntegros prova que não foi adulterado?

Não diretamente. Metadados podem ser editados com ferramentas amplamente disponíveis. A presença de metadados coerentes é um indício favorável à autenticidade, mas não é prova conclusiva. O exame forense considera metadados em conjunto com consistência de pixels, análise de compressão, histórico de transmissão e contexto do caso. Da mesma forma, a ausência de metadados, comum em arquivos compartilhados por redes sociais, não é por si só indício de adulteração.

Qual a diferença entre assinatura digital e carimbo de tempo?

A assinatura digital vincula um conteúdo a uma identidade. O carimbo de tempo (timestamp de autoridade certificadora) vincula um hash a um instante no tempo, provando que aquele conteúdo existia naquele momento. Os dois são complementares: a assinatura prova quem; o carimbo prova quando. Em documentos de longa duração, como contratos e laudos, o carimbo de tempo é importante porque os algoritmos criptográficos das assinaturas envelhecem e podem ser considerados inseguros no futuro.

Posso usar o SHA-256 calculado pelo MetaScope como prova em processo?

O hash calculado pelo MetaScope é tecnicamente idêntico ao hash que qualquer outra ferramenta calcularia para o mesmo arquivo. A questão processual não é qual ferramenta calculou, mas como o cálculo foi documentado e quando foi feito em relação ao surgimento da controvérsia. Um hash registrado antes de qualquer disputa sobre o arquivo tem muito mais peso do que um hash calculado depois que a suspeita de adulteração já foi levantada.

Qual a diferença entre cópia forense e backup?

Um backup prioriza disponibilidade: garante que os arquivos possam ser recuperados. Uma cópia forense prioriza integridade verificável: garante que a cópia seja idêntica ao original bit por bit, com hash que comprova isso. Backups podem omitir arquivos deletados, compactar dados ou alterar metadados. Cópias forenses preservam tudo, incluindo espaço não alocado, e são produzidas com write-blocker para não alterar o original. Em uma investigação, apresentar um backup como cópia forense é um erro metodológico grave.