Sistema de justiça criminal: cadeia de custódia no contexto das provas digitais

“Como se extraíram os arquivos de imagem?
Essa extração foi feita logo no momento da apreensão?
Os arquivos correspondem àquilo que estava nos computadores?
Quem realizou tais procedimentos?
Os computadores permaneceram o tempo todo sob a custódia da polícia, ou passaram pelas instalações do banco em algum momento?
Os técnicos da instituição financeira tiveram acesso direto aos aparelhos?” [1]

O artigo desta semana começa expondo parte dos questionamentos lançados no voto proferido pelo ministro Ribeiro Dantas, do STJ, no julgamento do AgRg no RHC nº 143.169/RJ.

A decisão reforça a preocupação dos nossos tribunais quanto a avaliação da integridade das provas apresentadas em juízo, discutindo-se se a técnica empregada pela polícia judiciária foi adequada para garantir a preservação da cadeia de custódia da prova digital.

A partir deste contexto, exploraremos três aspectos fundamentais para a discussão desse tema:

1. Metodologia de apreensão da prova digital: Qual é a técnica mais adequada para apreender provas digitais? Como garantir que a coleta seja realizada de forma precisa e íntegra?
2. Responsabilidade pela cadeia de custódia no CPP: Quem é responsável por demonstrar o cumprimento (ou descumprimento) das regras que regem a cadeia de custódia no Código de Processo Penal? Como essa responsabilidade é distribuída entre as partes envolvidas?
3. Aplicabilidade retroativa da cadeia de custódia: O conceito de “cadeia de custódia” pode ser aplicado retroativamente a fatos ocorridos antes da promulgação da Lei nº 13.964/2019? Como lidar com situações anteriores à legislação atual?

Esses aspectos são cruciais para a compreensão e aprimoramento do sistema de justiça criminal no contexto das provas digitais e, no artigo desta semana, iremos abordar o primeiro item,

A melhor prática possível

“Se há consensos nessa matéria, dois sobrelevam os demais: os vestígios digitais são voláteis; e sua apreensão e análise demandam a aplicação das melhores práticas (best practices) por profissionais altamente capacitados.” [2]

A prova digital apresenta características que a diferem de outros meios mais tradicionais de prova — documental, testemunhal, etc.  —, pois longe de ser um objeto tangível aos sentidos, ela ganha a roupagem de uma codificação binária (bits) volátil que precisa ser extraída por meio de um processo técnico que converta o dado bruto em uma forma cognoscível para o ser humano (imagem, vídeo, documento legível, áudio, etc):

“O poder imagético que impregna o arquivo digital é exercido visual ou sonoramente sem que o público-alvo — juiz, partes, autoridade policial e as pessoas em geral — se dê conta de que está diante de bits organizados de uma determinada maneira a formar aquilo que aparece e que, em verdade, é o resultado algorítmico de um determinado arranjo desses bits.” [3]

Enquanto a manipulação de um objeto pode, muitas vezes, ser visualmente identificada e, a mudança da versão de um depoimento restar facilmente constatada com a mera leitura da declaração anterior, a integridade da prova digital requer mecanismos outros que autorizem a conclusão de que a técnica utilizada para materializar a prova não alterou o seu substrato originário e, com isso, a sua fiabilidade.

A máxima de Locard (1934) — “todo contato deixa uma marca” [4] — também é replicada para quem colhe e examina a prova. Então segue a necessidade de que todo “vestígio” deixado na amostra seja devidamente documentado, tenha ele ocorrido no momento da extração, ou, posterirormente, quando da sua análise.

A discussão tem assento na temática da cadeia de custódia da prova digital — tópico já abordado nesta coluna — a qual deve ser observada para descrever os processos utilizados desde a descoberta até a apresentação da prova em juízo [5].

Na dicção do ministro Ribeiro Dantas:

“A principal finalidade da cadeia de custódia, enquanto decorrência lógica do conceito de corpo de delito (art. 158 do CPP), é garantir que os vestígios deixados no mundo material por uma infração penal correspondam exatamente àqueles arrecadados pela polícia, examinados e apresentados em juízo. Isto é: busca-se assegurar que os vestígios são os mesmos, sem nenhum tipo de adulteração ocorrida durante o período em que permaneceram sob a custódia do Estado.” [6]

Nesse contexto, faz-se necessário trilhar o conceito de proveniência e autenticação. A proveniência (provenance) está atrelada a identificar a ligação entre a prova apresentada e a fonte de origem [7].

A autenticação é a demonstração de que a prova não foi alterada durante esse mesmo processo [8], ou seja, que “os vestígios integrantes do corpo de delito trazidos para o processo judicial devem ser os mesmos antes arrecadados na investigação” [9].

Daí segue a imprescindibilidade da identificação da técnica e do software [10] utilizado para extrair a informação digital e adequá-la ao seu formato visual e inteligível para fins probatórios, evitando a sua contaminação. Conforme alertam Cláudio Saad Neto et alii:

“(…) um local de crime pode ser considerado não preservado, violado ou inidôneo, quando for caracterizada a ocorrência de interferências, ou de ações locais ou remotas, ou ainda os procedimentos de isolamento e de preservação inadequados. Por ação precipitada ou acidental de partes envolvidas, também é possível que tentativas de recuperação ou restabelecimento de ambientes e serviços digitais afetados contribuam para contaminar ou distribuir vestígios digitais.” [11]

O grande desafio que já se faz presente é encontrarmos uma maneira de alcançarmos a segurança jurídica — e, com isso, um maior acerto nas decisões — em um ambiente de incessante avanço tecnológico seguido por um maior apuramento legal e jurisprudencial.

O perito de hoje precisa estar ciente de que os princípios que estruturam o direito probatório são muito mais antigos do que a realidade do mundo digital. Daí segue o advertência de Jacob Heilik: “Temos de adaptar os nossos métodos de acordo com os procedimentos esperados ou seremos capazes de explicar por que razão os nossos procedimentos são diferentes e por que devem ser aceitos.” [12]

Técnica de algoritmo hash

No julgamento em exame (AgRg no HC n. 143.169/RJ), tratando da melhor técnica a ser empregada, o ministro Ribeiro Dantas concluiu que “a autoridade policial responsável pela apreensão de um computador (ou outro dispositivo de armazenamento de informações digitais) deve copiar integralmente (bit a bit) o conteúdo do dispositivo, gerando uma imagem dos dados: um arquivo que espelha e representa fielmente o conteúdo original”, aplicando-se uma “técnica de algoritmo hash” [13].

A partir da técnica do algoritmo hash — explica Ribeiro Dantas — “é possível obter uma assinatura única para cada arquivo — uma espécie de impressão digital ou DNA, por assim dizer, do arquivo”.

“Esse código hash gerado da imagem teria um valor diferente caso um único bit de informação fosse alterado em alguma etapa da investigação, quando a fonte de prova já estivesse sob a custódia da polícia. Mesmo alterações pontuais e mínimas no arquivo resultariam numa hash totalmente diferente, pelo que se denomina em tecnologia da informação de efeito avalanche: (…)” [14]

Na lição de Holt et alii:

“Um algoritmo de hash é um conjunto de cálculos que pega qualquer quantidade de dados (entrada) e cria um valor de comprimento fixo (saída), conhecido como hash, que atua como um número de referência exclusivo para os dados originais (Liu, 2011; Sachowski, 2018). Os valores de hash têm comprimento fixo e são formados por uma combinação exclusiva de dígitos hexadecimais (que podem ser os números 0-9 ou as letras a-f). Esses valores de hash funcionam como impressões digitais, pois são exclusivos dos dados originais aos quais fazem referência (Liu, 2011). Os valores de hash desempenham um papel fundamental na verificação de evidências digitais porque são extremamente sensíveis a qualquer alteração nos dados originais, mesmo que alterem apenas um bit. O processo de criação de um valor de hash a partir de uma quantidade variável de dados é conhecido como hashing.

Para verificar se os dados originais foram preservados durante a geração de imagens, é criado um valor de hash para a unidade original e sua imagem. Se os valores de hash forem iguais, o investigador verificou que as cópias original e duplicada são a mesma coisa. Em outras palavras, o examinador forense digital pode agora procurar evidências digitais na cópia duplicada como se estivesse procurando no dispositivo digital original (por exemplo, telefone celular). Se, durante o processo de geração de imagens, ocorrer alguma alteração na unidade original, os valores de hash serão diferentes, indicando que a imagem não é uma cópia exata da unidade original. Os valores de hash funcionam como uma impressão digital para arquivos eletrônicos (por exemplo, imagens, documentos) e mídias de armazenamento (por exemplo, disco rígido).” [15]

Acrescente-se, ainda, a necessidade da utilização do uso do algoritmo correto para o cálculo hash — evitando uma possível duplicação de código para conteúdos diversos (collision) [16] — e que o código calculado sejam protegido de maneira segura, identificando-se a data e quem foi o responsável pela preservação [17].

Em realidade, mesmo o algoritmo hash pode não ser — a depender do caso — a metodologia mais segura para a verificação da integridade da prova digital:

“No mundo do hashing, quando dois conjuntos diferentes de dados (entrada) resultam no mesmo valor de hash (saída), ocorre uma colisão (Bitansky & Degwekar, 2019; Wang, 2012). Por exemplo, um examinador forense digital coleta dois computadores diferentes de uma cena de crime (computadores X e Y). Antes de analisar as evidências, o examinador cria imagens de cada computador para criar uma cópia (cópia X e cópia Y). Os valores de hash para X e X-cópia devem corresponder, assim como os valores de hash para Y e Y-cópia. No entanto, ocorre uma colisão quando o hash de um disco rígido não resulta em uma “impressão digital” exclusiva, mas, em vez disso, o mesmo valor de hash é produzido (por exemplo, a cópia X e a cópia Y têm o mesmo valor de hash). Se ocorrer uma colisão, o examinador forense digital não conseguirá verificar e autenticar a unidade com imagem. As pesquisas sugerem que, teoricamente, é possível ocorrer uma colisão com MD5 e SHA-1 (consulte Polk et al., 2011; Wang et al., 2005; Xie & Liu, 2013). Entretanto, os algoritmos de hash MD5 e SHA-1 ainda são seguros quando usados juntos, pois a probabilidade de ambos produzirem colisões não foi produzida (Schmitt & Jordaan, 2013; Wang, 2012). Em resposta a essas preocupações com colisões, vários algoritmos de hash adicionais foram criados e aprovados para uso no processo de verificação digital pelo NIST, juntamente com o MD5 e o SHA-1 (ou seja, SHA-224, SHA-256, SHA-384 e SHA-512; Wang, 2012).” [18]

Uma vez feita uma cópia autenticada, o dado digital original não deve mais ser acessado, preservando-se assim a sua integridade. Com isso, todo o trabalho de análise deverá ser efetivado a partir da cópia.

Por fim, as informações que interessam para a investigação nem sempre podem ser lidas diretamente dos dados de origem. Nesse caso, faz-se necessário a utilização de um software para acessar, pesquisar, interpretar e extrair os dados de interesse na forma de um arquivo digital.

Esse processo é chamado de mouting, pois uma imagem é “montada” para possibilitar que o software de análise decifre o fluxo de dados. Pormenorizando esse procedimento de “montagem”, Heilik esclarece que:

“Durante o estágio de processamento, uma cópia de trabalho autenticada da evidência (em uma unidade autônoma ou em um servidor de rede) é montada e acessada para localizar e extrair todas as informações responsivas, seja de arquivos separados discretos ou de arquivos compostos. As informações extraídas são rastreáveis e diretamente relacionadas aos dados originais apreendidos. Elas também são apresentadas como resultados legíveis por humanos derivados dos dados binários contidos na evidência original. Essas informações extraídas podem ser um arquivo de dados existente a partir dos dados de origem ou um arquivo criado a partir de dados que foram extraídos de um ou mais arquivos compostos. Dessa forma, esses arquivos de dados podem ser considerados produtos de trabalho, mas ainda são diretamente rastreáveis à prova original coletada. O acesso a uma cópia da prova original para extrair e selecionar arquivos de dados probatórios, especialmente de arquivos compostos, cria arquivos derivados dos dados originais selecionados – produto de trabalho. Um exemplo disso é um arquivo extraído de um arquivo compactado, como um arquivo ZIP, em que os dados originais foram manipulados com um algoritmo matemático para reduzir seu tamanho. Uma busca por dados de texto normal dentro do arquivo compactado normalmente não produzirá resultados, portanto, ele deve ser decodificado e extraído primeiro.” [19]

Tal procedimento deve ser feito de forma diligente, de maneira a garantir a rastreabilidade, a autenticidade e a integridade dos dados [20]. Na era do processo penal digital, adverte Geraldo Prado, o “contraditório digital” refere-se à possibilidade real de auditar os vestígios digitais.

“Se não é possível assegurar que esses elementos são íntegros e autênticos, a parte contrária àquela que os produziu na etapa da investigação não estará em condições de, no curso do processo criminal, percorrer retrospectivamente a trilha probatória, pois essa não mais existe.” [21]

Na próxima semana, continuaremos a explorar ao tema da cadeia de custódia da prova digital, abordando outros aspectos da decisão proferida no julgamento do AgRg no RHC nº 143.169/RJ.

__________________________________

[1] STJ, AgRg no RHC n. 143.169/RJ, relator Ministro Messod Azulay Neto, relator para acórdão Ministro Ribeiro Dantas, Quinta Turma, julgado em 7/2/2023, DJe de 2/3/2023.

[2] PRADO, Geraldo. Parecer: Investigação criminal digital e processo penal. Revista Brasileira de Ciências Criminais, vol. 199/2023, p. 315-350, nov-dez/2023, p. 12.

[3] PRADO, Geraldo. Parecer: Investigação criminal digital e processo penal. Revista Brasileira de Ciências Criminais, vol. 199/2023, p. 315-350, nov-dez/2023, p. 5.

[4] LOCARD, Edmond. La police et les méthodes scientifiques. Paris: Les Editions Rieder, 1934.

[5] A respeito do ciclo da prova digital, sugerimos a visualização do seguinte modelo: https://edrm.net/edrm-model/current/. Já restou assentado pelo STJ, que a cadeira de custódia refere-se à “Idoneidade do caminho que deve ser percorrido pela prova até sua análise pelo magistrado, e, uma vez ocorrida qualquer interferência durante o trâmite processual, esta pode resultar na sua imprestabilidade. Não se trata, portanto, de nulidade processual, senão de uma questão relacionada à eficácia da prova, a ser analisada caso a caso”. (STJ, RHC, n. 158.441/PA, Rel. Min. Olindo Menezes, Sexta Turma, Dje de 15/6/2022).

[6] STJ, AgRg no RHC n. 143.169/RJ, relator Ministro Messod Azulay Neto, relator para acórdão Ministro Ribeiro Dantas, Quinta Turma, julgado em 7/2/2023, DJe de 2/3/2023.

[7] “Provenance is important because it provides a clear link between the introduced information and the lawfully acquired source from which it comes” (HEILIK, Jacob. Chain of custody for digital data. A practitioner’s guide. (English Edition). E-book, p. 16).

[8] “Authentication is important to establish that the introduced information has not been altered since the time it was collected – that is, it is no more and no less than the original source data”. (Id).

[9] Citação extraída do voto proferido pelo Min. Ribeiro Dantas no STJ, AgRg no RHC n. 143.169/RJ.

[10] As ferramentas mais comuns incluem: Encase® (Guidance Software), Forensic Toolkit® (Access Data), Forensic Talon® (Logicube), X-Ways (X-Ways Software Technology AG) e Cellebrite UFED.

[11] MALTA, Alberto E. A.; PEREIRA, Cláudio José Langroiva; NETTO, Cláudio Saad; AMORIM, José Viana. O direito à prova pericial no processo penal. Coord. Cláudio Saad Netto, São Paulo: Thomson Reuters Brasil: 2023, P. 267 – grifamos.

[12] HEILIK, Jacob. Chain of custody for digital data. A practitioner’s guide. (English Edition). E-book, p. 15.

[13] STJ, AgRg no RHC n. 143.169/RJ, relator Ministro Messod Azulay Neto, relator para acórdão Ministro Ribeiro Dantas, Quinta Turma, julgado em 7/2/2023, DJe de 2/3/2023.

[14] Id.

[15] HOLT, Thomas J.; BOSSLER, Adam M.; SEIGFRIED-SPELLAR, Kathryn C. Cybercrime and digital forensics. An introduction. New York: Routledge, 2018, p. 580. No original: “A hash algorithm is a set of calculations that takes any amount of data (input) and creates a fixed-length value (output), known as a hash, which acts as a unique reference number for the original data (Liu, 2011; Sachowski, 2018). Hash values are fixed in length and made up of a unique combination of hexadecimal digits (which can be the numbers 0–9 or the letters a–f). These hash values act as digital fingerprints since they are unique to the original data they reference (Liu, 2011). Hash values play an integral part in the verification of digital evidence because they are extremely sensitive to any changes in the original data, even if changing only one bit. The process of creating a hash value from a variable amount of data is known as hashing. In order to verify that the original data was preserved during imaging, a hash value is created for the original drive and its image. If the hash values match, the investigator has verified that the original and duplicate copies are one and the same. In other words, the digital forensic examiner can now search the duplicate copy for digital evidence as if searching the original digital device (e.g., cell phone). If during the imaging process any changes occur to the original drive, the hash values will be different indicating that the image is not an exact copy of the original drive. Hash values act as a digital fingerprint for both electronic files (e.g., images, documents) and storage media (e.g., hard drive)”.

[16] Existem diversos algoritmos para o cálculo do HASH, sendo necessário avaliar se têm confiança suficiente para manutenção da integridade do arquivo. Atualmente, os algoritmos SHA256, SHA512, SHA3-256 e SHA3-512 são suficientes para a maioria das aplicações. Já algoritmos como MD5 e SHA1 não são suficientes se forem usados de forma isolada, pois permitem a geração de um código idêntico para arquivos com conteúdos diferentes”. (MUNHOZ, Alexandre; CARVALHO, Romulo. Manual prático de provas digitais. São Paulo: Thomson Reuters Brasil, 2023, p. 62).

[17] Ibid. p. 60. Posteriormente – esclarecem os autores –  “é importante que cada parte envolvida no processo realize uma verificação da integridade do material probatório recebido. Após verificar a confiança dos códigos HASH preservados, deve-se comprar os códigos documentados com novos códigos gerados a partir do material recebido. Caso sejam idênticos, foi preservada a integridade do seu conteúdo até então. Caso sejam divergentes, podem ter ocorrido modificações nos arquivos que invalidam a confiança em seu conteúdo”. (Ibid, p. 61).

[18] HOLT, Thomas J.; BOSSLER, Adam M.; SEIGFRIED-SPELLAR, Kathryn C. Cybercrime and digital forensics. An introduction. New York: Routledge, 2018, p. 582. „In the hashing world, when two different sets of data (input) result in the same hash value (output), a collision has occurred (Bitansky & Degwekar, 2019; Wang, 2012). For example, a digital forensics examiner collects two different computers from a crime scene (computers X and Y). Before analyzing the evidence, the examiner images each computer to create a copy (X-copy and Y-copy). The hash values for X and X-copy should match, just as the hash values for Y and Y-copy. However, a collision occurs when hashing a hard drive does not result in a unique “digital fingerprint,” but instead, the same hash value is produced (e.g., X-copy and Y-copy have the same hash value). If a collision occurs, the digital forensics examiner is unable to verify and authenticate the imaged drive. Research suggests it is theoretically possible for a collision to occur with MD5 and SHA-1 (see Polk et al., 2011; Wang et al., 2005; Xie & Liu, 2013). However, MD5 and SHA-1 hash algorithms are still secure when used together, as the likelihood of both producing collisions has not been produced (Schmitt & Jordaan, 2013; Wang, 2012). In response to these collision concerns, several additional hash algorithms were created and have been approved for use in the digital verification process by NIST alongside MD5 and SHA-1 (i.e., SHA-224, SHA-256, SHA-384, and SHA-512; Wang, 2012)“.

[19] During the processing stage, an authenticated working copy of the evidence (on a stand-alone drive or on a network server) is mounted and accessed to find and extract all responsive information, whether from discrete separate files or from compound files. The extracted information is traceable and directly relatable to the original seized data. It is also presented as human readable results derived from the binary data contained in the original evidence. This extracted information can be an existing data file from the source data, or a file created from data that has been extracted from one or more compound files. As such, these data files can be considered as work products but are still directly traceable to the original collected exhibit. Accessing a copy of the original exhibit to extract and select probative data files, particularly from compound files, creates files derived from the original selected data – work product. An example of this is a file extracted from a compressed archive such as a ZIP archive where the original source data has been manipulated with a mathematical algorithm to reduce its size. A search for normal text data within the compressed archive will normally yield no results, so it must be decoded and extracted first.” (HEILIK, Jacob. Chain of custody for digital data. A practitioner’s guide. (English Edition). E-book, p. 37).

[20] Uma série de protocolos nacionais (Norma ABNT ISO/IEC 27037:2013) e internacionais (Guidelines on Investigation Procedures for OLAF Staff) descrevem de maneira minudente todos os cuidados atrelados à prova digital.

[21] PRADO, Geraldo. Parecer: Investigação criminal digital e processo penal. Revista Brasileira de Ciências Criminais, vol. 199/2023, p. 315-350, nov-dez/2023, p. 3. “A garantia constitucional do contraditório é a essência do devido processo legal. No mundo híbrido digital-analógico essa garantia toma forma complexa de: i) possibilidade concreta de identificação, verificação e conferência das técnicas empregadas para adquirir e preservar as informações, com suas nuances de conversibilidade tanto de suportes como de programas (criptografia, decodificação, conversão áudio-imagem e imagem-áudio etc.); ii) rastreabilidade concreta de todos os procedimentos técnicos empregados, com a identificação das pessoas envolvidas em cada etapa, seu nível de autorização para intervenção e descrição das atividades praticadas por cada uma delas; iii) e a “repetibilidade” da diligência, que deve ser compreendida em conformidade com cada espécie de aplicação tecnológica, mas que deve assegurar às partes e ao juiz ou juíza que a informação originalmente obtida é aquela examinada por todos os envolvidos durante a persecução penal”. (Ibid, p. 5).