A Computação Forense funciona de maneira similar à forma clássica de levantamento de vestígios.

Na investigação forense física, peritos coletam resíduos que podem colaborar para desvendar os acontecimentos, sendo usados então como provas para incriminar ou inocentar o acusado de um crime. Exemplos comuns que podemos considerar como “vestígios físicos”são impressões digitais, cabelos, gotas de sangue, bilhetes, documentos em papel, gravações de áudio e vídeo, pegadas, armas etc.

Já na Computação Forense, os resíduos deixados são os digitais, ou seja, aqueles que podem ser armazenados em forma eletrônica em computadores ou em outros dispositivos eletrônicos digitais. Podemos então dizer que temos um “vestígio digital”.

Essa mudança na natureza da prova do crime implica procedimentos próprios e a caracterização da atividade da computação forense.

Proatividade e a formação da mão de obra

A proatividade em termos da forense computacional significa a preparação e instalação de uma equipe com a incumbência de reagir prontamente a um ataque.

Não é uma tarefa simples, pois, se a equipe não estiver bem preparada, o vestígio digital pode se perder.

Como em toda atividade, a prática deve ser constante. Ensaios devem ser conduzidos para treinar a equipe antes que um ataque real seja detectado.

Um dos conteúdos do treinamento é como adquirir e analisar vestígios nos tipos de máquinas (incluindo dispositivos móveis, como celulares, tablets e smartphones, e também redes) e sistemas operacionais em uso na empresa, bem como na infraestrutura digital da empresa.

Com certeza, um investigador forense tem de ter, associados, um bom conhecimento de computação e dos processos e equipamentos para ser capaz de conduzir uma investigação digital. Porém, apenas os conhecimentos na área computacional não são suficientes. Seja atuando como perito, seja trabalhando internamente, uma hora ou outra o profissional forense tem de lidar com detalhes que se ligam a dimensões éticas e legais.

Existe crítica em nosso país de não haver clareza entre a sociedade sobre a função de investigador forense ligado à informática. Muitas vezes, pessoas com pouco conhecimento de computação são chamadas a atuar como peritos forenses na presunção de que apenas a competência técnica computacional, sem os conhecimentos legais e os detalhes do procedimento forense, seja suficiente. Segundo Milagre (2010), “Ainda temos casos em que o dono da loja de informática da cidade é o perito, economistas e contadores nomeados como peritos digitais, e isto é um risco para a efetividade da tutela jurisdicional, considerando que é comum os juízes confiarem na palavra do especialista.”

Em termos gerais, ainda há muito pouco formalismo de como deve ser conduzido o treinamento na área em nosso país.

Alguns países já têm relativa tradição, como os Estados Unidos, contando com American Association of Forensic Science (AAFA), que desenvolveu um padrão para reconhecimento de cursos de ciência forense digital. Em abrangência internacional, a International Association of Computer Investigative Specialists (IACIS) fornece programas de treinamento e certificação. Além desses, temos alguns exemplos de certificação internacional, com Certified Computer Forensic Technical (CCFT), Certified Ethical Hacker (CEH), Certified Hacker Forensic Investigator (CHFI) e American College of Forensic Examiners Institute (ACFEI).

No Brasil, existem cursos destinados a formar mão de obra para a área, mas ainda não temos nenhuma diretriz educacional relacionando quais conteúdos mínimos devem ser estudados.

Segundo o Computer Emergency Response Team (CERT), da Universidade Carnegie Mellon (HAMMERSTEIN; MAY, 2010), a Computação Forense é um processo fortemente baseado na capacidade da mão de obra, requerendo especialistas altamente treinados, com conhecimentos específicos sobre sistemas operacionais e ferramentas de coleta e análise forense. Isso significa muito gasto em recrutamento, treinamento inicial e retreinamento constante, pois os sistemas operacionais, sistemas de arquivos e equipamentos são constantemente atualizados.

No processo de exame de um sistema, há alguns aspectos que se ligam a diferentes áreas da tecnologia, incluindo um treinamento básico em eletrônica, pois a equipe deve contar com a habilidade de realizar algumas intervenções no hardware, como remover discos rígidos, configurar placas, instalar e entender dos padrões de interfaceamento, usar proteção antiestática etc.

O conhecimento das ferramentas que automatizam a coleta de dados e vários exames é essencial, pois elas poupam muito tempo, já que as unidades de armazenamento compreendem gigabytes de espaço.

As ferramentas aceleram os procedimentos, mas é necessário conhecimento para saber exatamente o que procurar e como interpretar os resultados.

Além disso, o exame manual é muitas vezes necessário, ou seja, usar comandos do sistema operacional, o que significa uma grande intimidade com a arquitetura de software e hardware de cada máquina em uso – papel de administrador de sistemas.

Segundo o guia produzido pela 7Safe e Metropolitan Police Service UK, em 2011, considerado em todo o mundo como referência na investigação do crime eletrônico, para a formação de um profissional para a área de investigação forense digital deve ser considerado como padrão mínimo:

1. conhecimento intermediário de arquitetura de computadores;
2. conhecimento intermediário do uso e da metodologia de dispositivos relacionados;
3. conhecimento intermediário de uso e metodologia de software, particularmente aos utilizados na internet, contas de e-mail, compartilhamento de dados, aplicações de bancos de dados e processamento de texto;
4. conhecimento intermediário da legislação relevante;
5. boa capacidade de comunicação;
6. capacidade de gerenciar carga de trabalho e prioridade de tarefas;
7. capacidade de trabalhar efetivamente como parte de uma equipe.

Cooper, Finley e Kaskenpalo (2010) detalharam mais um pouco o tema, tendo levantado o grau de pertinência para a área dos conteúdos estudados nos cursos de Ciência da Computação, Sistemas de Informação, Engenharia da Computação, Engenharia de Software e Tecnologia da Informação.

Entre as disciplinas presentes nesses cursos e a necessidade para a formação de um investigador forense digital, destacam-se:

• Redes: o investigador forense deve ter conhecimento teórico e prático de redes, sendo capaz de realizar identificação, coleta e análise de vestígios.

• Segurança da Informação: é o tema de maior aprofundamento entre os comuns aos outros cursos. É necessário um extenso conhecimento tanto da teoria como da prática da Segurança da Informação, mas sem o aprofundamento teórico que é visto em Ciência da Computação.

• Administração de Sistemas: a capacidade de administrar sistemas é a base para coletar vestígios e reconstruir a cena do crime na profissão de investigador forense na área da computação. Enquanto se espera que o investigador tenha domínio sobre o uso de ferramentas forenses, ele também precisa entender muito bem o sistema operacional investigado.

• Eletrônica: não requer conhecimento teórico de como projetar circuitos eletrônicos, mas um nível de eletrônica aplicada que inclui a reconstrução de dispositivos danificados para extrair dados, a capacidade de avaliar as limitações das leis da física sobre os vestígios e, mais particularmente, que o investigador tenha conhecimento das próprias capacidades e limitações ao se deparar com um problema de hardware.

Entre os temas não relacionados à computação, destacam-se:

• Matemática e estatística: a Forense Digital requer a aplicação de análise estatística e da matemática discreta na análise de dados, esteganografia, criptologia, reconhecimento de padrões e na detecção de malwares. É comparável ao nível de matemática básico (de apoio) esperado para as outras disciplinas na ciência da computação.

• Ética: o investigador forense é confrontado com situações morais desafiadoras. Embora as outras áreas também possam comportar situações de escolhas morais, elas não estão sujeitas a exame público como estão na Computação Forense.

• Criminologia: entender as causas e motivações para o crime ajuda em uma análise de caso, bem como na habilidade de prever o comportamento de um suspeito durante uma investigação.

• Ciência Forense: a Forense Digital faz parte da Ciência Forense ou Criminalística. Tópicos comuns a todas as linhas da Ciência Forense devem ser incluídos na formação de um investigador forense digital.

• Direito: o investigador forense deve ter conhecimento de regras e leis que governam seu trabalho, o que logicamente, varia de nação para nação.

A abrangência dos sistemas tem extrapolado em muito o ambiente local de uma empresa. É comum atualmente fazer parte do ambiente de trabalho também os dispositivos móveis e suas conexões via rede aos servidores da empresa. Cada vez mais um conhecimento de redes e seus protocolos têm feito parte da investigação. Há pouco tempo, não existiam iPhones, Android e tablets. Uma equipe deve conter profissionais capazes de analisar esses dispositivos ou, no mínimo, entender como eles podem ser relevantes para a investigação e, se necessário, solicitar um levantamento de vestígios por peritos externos.

Ambiente computacional

A abrangência do treinamento também é influenciada pela quantidade de sistemas operacionais existentes na empresa. Quanto mais diversificados os sistemas, mais treinamento é necessário. Nesse aspecto, faria sentido manter um conjunto pequeno de fornecedores de software, mas essa não é uma realidade possível para qualquer empresa, uma vez que há a necessidade de obter o melhor custo/benefício e de tirar melhor proveito do que existe disponível. Logicamente que para um perito conhecer vários sistemas operacionais facilita seu trabalho, mas o ideal é que uma equipe seja formada e atue em conjunto.

Além do preparo técnico, o profissional forense tem de ter um mente talhada para a natureza do serviço, o que inclui muita paciência. O vestígio pode estar armazenado em um disco, mas simplesmente procurar por todo ele pode demorar muito. A experiência e habilidade é que vão determinar como evitar partes e se concentrar onde há maior probabilidade de encontrar um vestígio.

Pensar toda a infraestrutura da empresa pode ajudar a minimizar o impacto de uma análise, caso um incidente ocorra. Isso significa que muitos componentes têm de ter redundância, como em servidores de dados, redes etc., para que o sistema permaneça operacional enquanto uma incidência é analisada.

Basicamente, o processo da Computação Forense é de um tipo reativo, que visa a encontrar um uso não autorizado de um sistema. Ele se baseia em pistas, pois verificar constantemente os sistemas utilizados por uma empresa é impossível.

Entre pistas comuns, podemos relacionar:

• processos rodando na máquina que não são conhecidos ou não comuns: lembrando que um processo ou programa pode ser criado e executado fazendo-se passar por algum legítimo, mas que não deveria estar em execução em determinado momento;
• sistema operando com carga acima do normal: um sistema que, por exemplo, carrega um processador em 40% e que esteja operando em 80%;
• alarmes e assinaturas configurados em sistema de detecção de intrusão pela rede, como o SNORT, ou assinatura de vírus e outras ameaças detectadas por sistema anti-vírus. Ex.:
  alert tcp any any -> 192.16.8.1.0/24 \
  (content:”|00 01 86 a5|”: msg:”mountd access”;) 
• trânsito elevado na rede: é muito comum que sistemas sejam invadidos para armazenar scripts, e estes passem a ser acessados exageradamente, aumentando o tráfego da rede;
• usuários que relatam comportamento anormal de suas estações de trabalho.

O estabelecimento do que é normal em um sistema é uma arma valiosa para quem vai analisar se e/ou como um sistema foi invadido.

Etapas da investigação forense

Existe muita literatura sobre quais são as etapas do processo da investigação forense, mas não existe uma metodologia estabelecida. Sem contar que a evolução da tecnologia aponta constantemente para novas necessidades.

De uma forma geral, a equipe deve estar preparada para conduzir as seguintes etapas:

Aquisição: refere-se à coleta de vestígios digitais. Dependendo do tipo de investigação, podem ser discos rígidos, mídia óptica (CD, DVD), cartões de memória de câmeras digitais, pen drives, celulares, smartphones, tablets, dumps de memória, e-mails, arquivos, gravação de uma troca de dados etc. Em qualquer caso, quando envolve o exame de uma mídia, esta tem de ser tratada com muito cuidado.

Preservação: essa etapa é de grande importância, pois os dados originais têm de ser mantidos intactos. O processo de preservação tem de no mínimo criar uma duplicata do original – a cópia de trabalho. O investigador sempre trabalha com a cópia, de tal forma que, havendo algum procedimento que danifique os dados durante uma análise, o original está preservado e nova cópia de trabalho pode ser feita. Lembrando que os vestígios são como os do mundo físico: guardados para que, no futuro, em caso de contestação, possam ser novamente examinados.

Como veremos em outras leituras da disciplina, existem métodos para validar as cópias, de tal forma que é possível verificar se a cópia representa fielmente o material original.

Certamente que algumas fontes, por sua natureza dinâmica, são difíceis de se manterem intactas por muito tempo, como o estado da memória de um equipamento no momento de sua aquisição. Em função disso, alguns dados são considerados mais relevantes do que outros.

É imperativo que o material original seja identificado e preservado integralmente. Para isso, é criada a cadeia de custódia. A cadeia de custódia é a atividade da investigação forense que tem a função de documentar o material coletado e relacionar todo o manuseio que sofreu durante sua retirada do ambiente da investigação, transporte, manuseio e armazenamento. Deve constar quem recebeu o material, datas e assinaturas dos envolvidos. Segundo Wiles, Cardwell e Reyes (2007), essa documentação deve ser incluída no relatório final.Veja um exemplo no anexo.

Extração: os dados são extraídos, quando completos, num processo de cópia. Um exemplo é a cópia de um disco rígido, bit a bit, para outro, preservando o original, ou um dump de memória.

Recuperação: quando são necessárias técnicas para extrair informações de dados pertencentes a arquivos parcialmente apagados, mídias defeituosas, dados escondidos intencionalmente etc.

Análise: é a parte mais demorada e que demanda maior conhecimento por parte do perito, pois a informação pode estar “escondida” em gigabytes de dados. Aqui, a experiência do profissional é fundamental, pois ele pode direcionar as ferramentas para alvos que sabe haver maior probabilidade de acerto, interpretando os resultados baseado no seu treino e perícia.

Apresentação: uma parte importantíssima, pois o resultado de todo o procedimento deve ser claramente exposto, evitando ao máximo imprecisões que possam invalidar o trabalho. É processo pelo qual o examinador compartilha os resultados com as partes interessadas. Consiste em gerar um relatório sobre as operações realizadas pelo perito, vestígios encontrados e o significado destes. Pode também incluir uma defesa do trabalho em público. Segundo Altheide, Carvey e Davidson (2011), os achados podem levar a novas aquisições, que podem, por sua vez, gerar análises adicionais etc. Esse ciclo pode se repetir muitas vezes em função de uma cadeia de comprometimento de um sistema ou de uma investigação criminal demorada.

Todo esse processo tem de ser passível de auditoria, ou seja, um segundo exame de um sistema ou parte dele, ou, ainda, dispositivos, tem de ser capaz de replicar todos os resultados obtidos.

Se uma investigação não for cuidadosamente realizada, os resultados podem ser questionados, podendo ser necessária uma segunda avaliação, ou mesmo descartados em um possível auxílio em uma decisão judicial.

Vale ressaltar também que a computação forense é uma atividade relativamente nova. Assim como novas formas de comprometimento dos sistemas são inventadas, novas formas de detectar e trabalhar a investigação também evoluem.

Ambiente do trabalho forense

Para realizar a análise forense, na qual dispositivos de armazenamento de dados serão analisados, é essencial contar com equipamento confiável, instalado em um ambiente seguro, o mais isolado possível do mundo externo, tanto do ponto de vista do acesso físico como eletrônico.

O garimpo de dados é um processo minucioso e toma tempo peneirar discos cada vez maiores em busca de cadeias de caracteres. Em uma investigação, devem ser utilizados bons equipamentos e garantir que estes não estejam comprometidos. Deve-se garantir então que a máquina, ou máquinas utilizadas para análises – aquelas em que serão ligados HD’s, pen drives, conectores a outros dispositivos etc. – estejam conectadas em rede com um isolamento especial, acessando, se for o caso, o mínimo de serviços externos que sejam essenciais ou, mesmo, nenhum. Ou seja, deve haver um cuidado especial para que o ambiente não esteja e não possa ser comprometido. Ao fim do trabalho, um relatório bem-feito pode inclusive descrever o ambiente utilizado para a investigação.

Uma boa parte da investigação será procurar cadeias de caracteres (strings) com palavras-chave e arquivos com determinados formatos ou extensão. Analisar dispositivos com grande capacidade toma tempo, portanto é importante que haja boa capacidade computacional para realizar o serviço, além de ferramental de software específico para a investigação forense. Existe uma grande variedade de equipamentos para auxiliar a análise.

O método científico

Como dito anteriormente, o trabalho forense deve ser capaz de ser auditável e reproduzível. O uso do método científico é uma forma de chegar a esse resultado.

A produção científica tem por base a aplicação do método científico. Com ele, procura-se criar uma interpretação precisa do mundo e de seus fenômenos, de tal forma que gostos pessoais, culturais e religiosos não interfiram para distorcer os resultados de uma pesquisa.

Segundo Wolfs (2007), o método científico possui quatro etapas:

1. observação e descrição de um fenômeno ou grupo de fenômenos;
2. formulação de uma hipótese que explica o fenômeno;
3. experimentação ou teste da hipótese;
4. interpretação dos resultados.

Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve ser levado em consideração é que a investigação deve ser conduzida com um método, e que os resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a resultados produtivos.

Aplicando o método científico à Computação Forense, o produto da investigação deve apresentar de forma documentada e clara as relações de causa e efeito, eliminando dúvidas e descartando conclusões que não podem ser demostradas.

Um dizer popular afirma que, na ciência, as teorias nunca podem ser realmente evidenciadas, apenas desacreditadas. Existe sempre a possibilidade de que uma nova observação ou um novo experimento entre em conflito com alguma teoria já longamente estabelecida (WOLFS, 2007).

Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação, desacreditando todo um trabalho confiável.

A profissão de investigador forense

Há três atuações básicas para um investigador forense:

1. fazer parte da equipe do Sistema de Gerenciamento de Segurança da Informação de uma empresa ou prestar serviço como consultor;
2. trabalhar em algum órgão de polícia ligado a criminalística;
3. trabalhar como perito judicial.

As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe, como no caso de um agente criminalístico envolvido em uma investigação.

Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes técnicos do caso.

Os passos indicados são um exemplo, pois há outras formas de abordar o assunto, mas o que deve ser levado em consideração é que a investigação deve ser conduzida com um método, e que os resultados têm de ser reproduzíveis. Outro pesquisador, utilizando os mesmos procedimentos e parâmetros, forçosamente deve chegar às mesmas conclusões. Entra aqui, novamente, a relevância da experiência do investigador, pois ele terá maior condição de propor hipóteses que levam a resultados produtivos.

Aplicando o método científico à Computação Forense, o produto da investigação deve apresentar de forma documentada e clara as relações de causa e efeito, eliminando dúvidas e descartando conclusões que não podem ser demostradas.

Um dizer popular afirma que, na ciência, as teorias nunca podem ser realmente evidenciadas, apenas desacreditadas. Existe sempre a possibilidade de que uma nova observação ou um novo experimento entre em conflito com alguma teoria já longamente estabelecida (WOLFS, 2007).

Em um embate jurídico, cada lado contará com seus peritos, que trabalham questionando um o trabalho do outro. Portanto, todo cuidado é pouco, principalmente no momento de produzir um relatório, uma vez que uma redação mal feita pode pôr em dúvida algum detalhe da investigação, desacreditando todo um trabalho confiável.

A profissão de investigador forense

Há três atuações básicas para um investigador forense:

1. fazer parte da equipe do Sistema de Gerenciamento de Segurança da Informação de uma empresa ou prestar serviço como consultor;
2. trabalhar em algum órgão de polícia ligado a criminalística;
3. trabalhar como perito judicial.

As três atividades possuem a mesma carga tecnológica, mas o perito judicial envolve-se com questões legais específicas e tem maior responsabilidade, pois nem sempre trabalha em equipe, como no caso de um agente criminalístico envolvido em uma investigação.

Um perito judicial é um profissional com, no mínimo, formação em nível superior nomeado por um juiz para analisar vestígios em matéria especializada. O produto do trabalho é um laudo pericial. Em alguns casos, o perito também pode ser chamado a depor, explicando para os jurados os detalhes técnicos do caso.

Por lei, o perito não precisa de formação em Direito, mas é interessante que ele procure estudar o tema, uma vez que a responsabilidade é grande, principalmente em relação às atividades que envolvem o sigilo e a ética, a fidelidade no levantamento dos dados e a redação de laudos o mais claro possível, evitando interpretações que levantem dúvidas sobre o trabalho realizado. Um laudo pode ajudar na decisão de um juiz, portanto, sempre haverá a possibilidade de contestação.

Observa-se que um perito também pode indicar um ou mais assistentes técnicos, quando a perícia envolver um assunto complexo e que abrange mais de uma área de conhecimento.

A documentação do levantamento técnico é um aspecto fundamental, uma vez que ela é a base do processo, ou parte da base, e é utilizada pelas duas partes em litígio. Outro perito, ou corpo de peritos, pode ser posteriormente indicado para trabalhar junto à defesa, que se utiliza dessa documentação técnica anexada ao processo.

Vale por fim destacar que a Computação Forense é uma atividade relativamente recente, bem como a velocidade com que as mudanças ocorrem também altera o que é considerado procedimento-padrão, e, assim, evolui o que é possível de ser realizado pelos profissionais da área. Há pouco tempo, as ferramentas utilizadas por um investigador forense eram editores hexadecimais capazes de mostrar arquivos em seus bits, bytes e caracteres ASCII individuais e o investigador tinha de conhecer profundamente como os sistemas de arquivos funcionavam. Hoje, as ferramentas são muito mais poderosas, capazes de realizar operações como: file carving, que

se utiliza de várias técnicas avançadas para reconstruir arquivos apagados a partir de fragmentos presentes na mídia sob análise; geradores de linha de tempo, que reúnem vários arquivos de log para gerar uma visão no tempo do que foi modificado em um sistema; ferramentas para análise de memória volátil e outras.

A evolução das ferramentas não indica que o investigador não mais precise de um grande conhecimento dos sistemas, mas sim que sua abrangência aumentou. Com o auxílio de novas ferramentas, ele consegue ser mais produtivo, mas precisa saber para onde apontar essas novas armas.

E o fato de o computador não estar mais isolado também faz com que a tarefa se expanda para redes e seus dispositivos e, mais recentemente, para a computação móvel.

Nos modernos ambientes de redes, os equipamentos em uma LAN (Local Area Network) fornecem capacidade de auditoria, proteção e criptografia. Esses serviços são ajustados de acordo com regras ditadas pelas políticas da empresa e devem ser habilitados de forma a serem capazes de registrar suas atividades em um syslog, facilitando o trabalho da investigação forense.

A Computação Forense se beneficia de ambientes bem estruturados em termos de segurança, assim como beneficia a segurança quando consegue interpretar um evento e produzir relatórios que levam a mudanças de procedimentos visando a aumentar a segurança.

Portanto, montar uma equipe de Computação Forense pode ser uma forma de aumentar a segurança em uma empresa, criando um ciclo virtuoso.

Referências

ALTHEIDE, C.; CARVEY, H.; DAVIDSON, R. Digital forensics with open source tools: using open source platform tools for performing computer forensics on target systems: Windows, Mac, Linux, Unix, Etc. Elsevier Science, 2011. (Syngress Media). Disponível em: <http://books.google.ca/books?id=J8h8VWUmDuYC>. Acesso em: 10 jan. 2012.

COOPER, P.; FINLEY, G. T.; KASKENPALO, P. Towards standards in digital forensics education. In: CLEAR, A.; DAG, L. R. (eds.). ITiCSE-WGR ’10: Proceedings of the 2010 ITiCSE working group reports. New York, NY: ACM, 2010. p. 87-95. Disponível em: <http://doi.acm.org/10.1145/1971681.1971688>. Acesso em: 12 jan. 2012.

HAMMERSTEIN, J.; MAY, C. The CERT approach to cybersecurity workforce development. Estados Unidos: Carnegie Mellon University, 2010. Disponível em: <http://www.sei.cmu. edu>. Acesso em: 3 jan. 2012.

MILAGRE, J. A. Perícia digital e computação forense: carreira amadurece no Brasil. 2010. Disponível em: <http://revistavisaojuridica.uol.com.br/ advogados-leis- jurisprudencia/47/imprime170142.asp>. Acesso em: 3 jan. 2012.

SNORT users manual. 2011. Disponível em: <http://manual.snort.org/snort_manual. html>. Acesso em: 10 dez. 2011.

WILES, J.; CARDWELL, K.; REYES, A. The best damn cybercrime and digital forensics book period. [S.l.]: Syngress, 2007.

WOLFS, F. L. H. APPENDIX E: Introduction to the scientific method. 2007. Disponível em <http://teacher.pas.rochester.edu/phy_labs/appendixe/appendixe.html>. Acesso em: 3 jan. 2012.

Autor: Prof. Dr. Mauro Notarnicola Madeira