Perícia Forense Apoia Segurança Contra Crimes Digitais

CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA
FACULDADE DE TECNOLOGIA DE MAUÁ
RODRIGO FONTES
PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA
INFORMAÇÃO
MAUÁ / SÃO PAULO
2011

RODRIGO FONTES
INFORMAÇÃO
Monografia apresentada à FATEC - Mauá, como
parte dos requisitos para obtenção do Título de
Tecnólogo em Informática para Gestão de
Negócios.
Orientador: Prof. M.Sc. Luiz Carlos Magarian.
MAUÁ / SÃO PAULO
2011

FONTES, Rodrigo
Perícia Forense Digital Apoiando a Segurança da Informação. Rodrigo
Fontes.
128 p.; 30 cm.
TCC (Trabalho de Conclusão de Curso).
CEETEPS/FATEC – Mauá/SP, 1º Sem. 2011.
Orientador: Prof. M.Sc. Luiz Carlos Magarian.
Referencial Bibliográfico: p. 123.
Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.

RODRIGO FONTES
INFORMAÇÃO
Monografia apresentada à FATEC-Mauá,
como parte dos requisitos para obtenção do
Título de Tecnólogo em Informática para
Gestão de Negócios.
Aprovação em:
__________________________________
Prof. M.Sc. Luiz Carlos Magarian
FATEC-Mauá
Orientador
__________________________________
Profa
. Nizi Voltareli Morselli
FATEC-Mauá
Avaliadora
__________________________________
Prof. M.Sc. Osmil Aparecido Morselli
FATEC-Mauá
Avaliador

Dedico esta monografia aos meus pais,
Tânia Regina e Moacyr Fontes, pelo esforço
que desempenharam para me ajudar a
chegar até aqui. Ao Meu Irmão, Marcelo
Fontes, por todo o apoio concedido em todos
os momentos, e à minha futura esposa
Patricia Simone da Silva, pelo seu exemplo
de vida que me cativa diariamente e por todo
o carinho, amor e apoio concedidos a mim.

AGRADECIMENTO
Aos meus colegas nesta instituição: Cleiton Romualdo, Paulo Pelossi, Felipe
Bastos, Robert Willian, André Pereira, Ariane dos Santos e Janaine Alves Martins
por todos os momentos de descontração e por toda cooperação em todos estes
anos de FATEC.
A todos os professores pelos ensinamentos e pela dedicação, especialmente
ao Professor e Orientador M.Sc. Luiz Carlos Magarian, por aceitar me conduzir
nesta etapa tão importante de minha vida e por toda atenção a mim dedicada.
À Professora e Coordenadora do Curso de Informática para Gestão de
Negócios Nizi Voltareli Morselli por todo seu apoio, dedicação e carinho com todos
os alunos e ex-alunos.
Aos meus amigos e colegas de trabalho pelo incentivo constante, em
especial, ao Queiroz Alencar, Patric Ferreira da Silva e Renato Cavallari, que
sempre demonstraram acreditar em meu potencial.
Aos meus grandes amigos Leonardo Silva e Bruno Peixoto, pela amizade
cultivada e pelo apoio na execução deste trabalho.
Especialmente, à Luana T. Oliveira e ao Vladimir Sesar, cujos
conhecimentos compartilhados foram fundamentais no desenvolvimento e no
enriquecimento desta monografia.
À minha família, pai, mãe, irmão e namorada, por estarem sempre ao meu
lado, incentivando-me sempre.
E, acima de tudo, a Deus, por mostrar que apesar de qualquer dificuldade
nossos objetivos podem ser alcançados com perseverança e dedicação, e por estar
sempre guiando meu caminho. Graças a Ele pude alcançar todos os meus objetivos
na vida.

"A situação está sob controle. Só não
sabemos de quem."
(Mario Covas)

RESUMO
A informática, a Internet e as redes corporativas são aliadas das organizações na
busca por maior produtividade e alavancagem de lucros. No entanto, o anonimato
propiciado por estes meios é constantemente um aliado na prática de crimes,
vazamento de informações corporativas e fraudes, gerando graves incidentes de
segurança. A Segurança da Informação, suas metodologias, técnicas, práticas,
normas e certificações, são mecanismos utilizados na tentativa de se obter um
ambiente corporativo mais controlável e protegido contra fraudes, vazamento de
informações e outros crimes. No entanto, a sofisticação dos crimes cometidos no
meio digital vem obrigando as empresas a responderem com mecanismos mais
apuradas no combate a estes crimes. Neste contexto, as técnicas da Perícia
Forense Digital vêm se tornando mais difundidas nas organizações e na
investigação de incidentes de segurança, os quais podem comprometer a
integridade da organização, seu posicionamento estratégico e, conseqüentemente,
sua sobrevivência no mercado.
Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.

LISTA DE ILUSTRAÇÕES
Figura 1 - Página Principal do CCIPS ..................................................................................28
Figura 2 - Tabela de processos de crimes informáticos........................................................30
Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011............................................49
Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.....................................................50
Figura 5. Fraudes no Brasil, de jan. a mar. 2011..................................................................50
Figura 6. Tabela com os tipos de ataque. ............................................................................50
Figura 7 - Tipos de vazamento de informações....................................................................64
Figura 8 - Tableau conectado a um disco rígido...................................................................80
Figura 9 - Evidência em envelope contra interferências eletromagnéticas. ..........................82
Figura 10 - Formulário de Cadeia de Custódia.....................................................................83
Figura 11 - Microsoft COFEE. ..............................................................................................94
Figura 12 - EnCase (v 6.16.1). .............................................................................................95
Figura 13 - Recover my Files. ..............................................................................................96
Figura 14 - Dashboard do CallerIP.......................................................................................97
Figura 15 - Wireshark...........................................................................................................98
Figura 16. Formulário de cadeia de custódia (estudo de caso). .........................................111
Figura 17 - Estrutura de exibição de dados do EnCase......................................................114
Figura 18 - Visão geral do Processo Forense Digital aplicado no Estudo de Caso.............120

LISTA DE SIGLAS E ABREVIATURAS
Lista de Siglas
ABIN - Associação Brasileira de Inteligência.
ACE - AccessData Certified Examiner.
ACFEI - American College of Forensic Examiners Institute.
CCFT - Certified Computer Forensic Technical.
CCIPS - Computer Crime & Intellectual Property Section.
CEH - Certified Ethical Hacker.
CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança.
CGI - Comitê Gestor da Internet.
CHFI - Certified Hacker Forensic Investigator.
Checksum - SUMmation CHECK.
CIA - Confidentiality, Integrity and Avaliability - Confidencialidade, Integridade e
Disponibilidade.
CPC - Código de Processo Civil.
CPP - Código de Processo Penal.
CSIRT - Computer Security Incident Response Team – Grupos de Respostas a
Incidentes.
ECA - Estatuto da Criança e do Adolescente.
EnCE - EnCase Certified Examiner.
EUA - Estados Unidos da América.
Febraban - Federação Brasileira de Bancos.
GIAC - Global Information Assurance Certification.
GSIPR - Gabinete de Segurança Institucional da Presidência da República.
ICOFCS - The International Conference on Forensic Computer Science.
IHCFC - International Hi-Tech Crime and Forensics Conference.
LAN - Local Area Network – Rede Local.
MFT - Master File Table - Tabela de Arquivo Principal.
NIC - Núcleo de Informação e Coordenação.
NSRL - National Software Reference Library.

PDA - Personal Digital Assistant - Assistente Pessoal Digital.
PL - Projeto de Lei.
SATA - Serial Advanced Technology Attachment.
SAS - Statements on Auditing Standards
SBI - Sistema Brasileiro de Inteligência.
SCSI - Small Computer System Interface.
SOP - Standard Operating Procedure - Procedimento de Operação Padrão.
SWGDE - Scientific Working Group on Digital Evidence.
TI - Tecnologia da Informação.
USB - Universal Serial Bus - Barramento Serial Universal.
USC - Code of Laws of the United States of America.

SUMÁRIO
1 INTRODUÇÃO.................................................................................................. 15
2 DIREITO DIGITAL ............................................................................................ 18
2.1 LEGISLAÇÃO APLICADA AO CRIME VIRTUAL NO BRASIL.............................................. 19
2.1.1 PROJETOS DE LEI........................................................................................... 24
2.2 O CRIME DIGITAL NOS EUA................................................................................... 27
2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA............................... 29
2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA ............................ 30
2.3 CONSIDERAÇÕES FINAIS DO CAPÍTULO 2................................................................ 32
3 SEGURANÇA DA INFORMAÇÃO ................................................................... 34
3.1 IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES ................. 36
3.2 RISCOS INERENTES A AUSÊNCIA DA SEGURANÇA DA INFORMAÇÃO............................ 37
3.3 TIPOS DE CONTROLE SOBRE A SEGURANÇA DA INFORMAÇÃO ................................... 38
3.4 DIRETIVAS PARA A GESTÃO DE SEGURANÇA DA INFORMAÇÃO .................................. 39
3.5 A ENGENHARIA SOCIAL CONTRA A SEGURANÇA DA INFORMAÇÃO ............................. 44
3.6 AS AMEAÇAS VIRTUAIS CONTRA A SEGURANÇA DA INFORMAÇÃO .............................. 47
3.6.1 VÍRUS E WORMS ............................................................................................. 51
3.6.2 TROJAN HORSES ............................................................................................ 51
3.6.3 ROOTKITS ........................................................................................................ 51
3.6.4 BACKDOORS.................................................................................................... 52
3.6.5 SCAN................................................................................................................. 52
3.6.6 SPYWARES/ADWARE...................................................................................... 52
3.6.7 BOTNETS.......................................................................................................... 52
3.6.8 KEYLOGGERS.................................................................................................. 53
3.6.9 PHISHING SCAM.............................................................................................. 54
3.6.10RFI .................................................................................................................... 54
3.6.11DoS ................................................................................................................... 54
3.6.12DDoS ................................................................................................................ 55
3.6.13MITM................................................................................................................. 55
3.6.14SPOOFING ....................................................................................................... 56

13
3.7 MECANISMOS PREVENTIVOS.................................................................................. 56
3.7.1 MEDIDAS COMPORTAMENTAIS..................................................................... 56
3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO ............................................. 57
3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE
ACESSOS A AMBIENTES.......................................................................................... 60
3.8 VAZAMENTO DE INFORMAÇÕES EM AMBIENTES CORPORATIVOS ................................ 62
3.9 O CERT.BR ........................................................................................................ 66
4 PERÍCIA FORENSE DIGITAL .......................................................................... 71
4.1 O PERITO FORENSE DIGITAL .................................................................................. 72
4.2 ETAPAS DA INVESTIGAÇÃO FORENSE DIGITAL ......................................................... 77
4.2.1 COLETA DE DADOS......................................................................................... 79
4.2.2 EXAME DE DADOS .......................................................................................... 84
4.2.3 ANÁLISE ........................................................................................................... 85
4.2.4 APRESENTAÇÃO DE RESULTADOS.............................................................. 85
4.3 LIVE ANALISYS VERSUS POST MORTEM ................................................................. 86
4.4 TÉCNICAS ANTI-FORENSE..................................................................................... 87
4.4.1 OCULTAÇÃO DE DADOS................................................................................. 88
4.4.2 FERRAMENTAS DE LIMPEZA ......................................................................... 90
4.4.3 ATENTADOS CONTRA OS PROCESSOS E FERRAMENTAS FORENSES... 92
4.5 EFETIVIDADE DAS TÉCNICAS ANTI-FORENSE............................................................ 92
4.6 ALGUMAS FERRAMENTAS PARA A PERÍCIA FORENSE DIGITAL..................................... 93
4.6.1 MICROSOFT COFEE........................................................................................ 93
4.6.2 EnCASE ............................................................................................................ 95
4.6.3 RECOVER MY FILES........................................................................................ 96
4.6.4 CallerIP.............................................................................................................. 97
4.6.5 WIRESHARK..................................................................................................... 98
4.6.6 FTK FORENSIC TOOLKIT................................................................................ 98
4.6.7 LINHA DE COMANDO ...................................................................................... 99
5 ESTUDO DE CASO........................................................................................ 101
5.1 INTRODUÇÃO: O "DEDO-DURO" ............................................................................ 101

14
5.2 PREPARAÇÃO .................................................................................................... 102
5.3 A NATUREZA E A FONTE DA ACUSAÇÃO ................................................................. 105
5.4 COLETA DE EVIDÊNCIA E CADEIA DE CUSTÓDIA .................................................... 107
5.5 TIRE SUAS MÃOS DESTE TECLADO E AFASTE-SE DEVAGAR...................................... 109
5.6 EXTRAÇÃO DE IMAGEM DOS DISCOS RÍGIDOS ........................................................ 112
5.7 ANÁLISE DA ESTRUTURA LÓGICA DE ARQUIVOS ..................................................... 113
5.8 ANÁLISE DOS ESPAÇOS NÃO ALOCADOS E DAS SOBRAS ENTRE ARQUIVOS ............... 115
5.9 O FLAGRANTE .................................................................................................... 116
5.10 CONFECCÇÃO DOS RELATÓRIOS .......................................................................... 117
5.11 LIÇÕES APRENDIDAS........................................................................................... 117
5.12 ANÁLISE DO ESTUDO DE CASO ............................................................................. 119
6 CONCLUSÃO ................................................................................................. 121
REFERENCIAL BIBLIOGRÁFICO........................................................................... 123

15
1 INTRODUÇÃO
Com um volume que já ultrapassou a barreira dos 73 milhões de usuários no
Brasil (FOLHA, 2011), a Rede de Computadores, seja ela corporativa ou pública, vem
difundindo o meio digital como um dos veículos de comunicação e interação humana
que mais se desenvolve. Junto com sua popularização, crescem também os
interesses de indivíduos em utilizar o anonimato propiciado por este meio como
principal ferramenta para prática de crimes.
Com a disseminação do uso da Rede de Computadores, aumentam também
os ataques aos sistemas computacionais e outros crimes cometidos através do meio
virtual. Estes ataques podem ter motivações políticas ou ativistas, ser provenientes de
pessoas com pouco ou nenhum conhecimento técnico que utilizam ferramentas
prontas, ou ainda partirem de técnicos altamente especializados, que exploram
vulnerabilidades específicas de sistemas com o intuito de obterem informações
privilegiadas, realizar sabotagens, roubo de dados bancários de usuários e outros
delitos. Na Internet, o criminoso encontra sigilo e anonimato para a prática de
qualquer crime, a partir de qualquer lugar. (PECK, 2010)
Segundo Besen (2009), ano após ano os casos de crimes digitais se repetem
e crescem de tamanho. Somente nos EUA, as perdas atingiram US$ 70 bilhões no
ano de 2008. Empresas fornecedoras de dados pessoais muitas vezes passam
informações a criminosos que se fazem passar por pequenas empresas. Hackers
roubam dados pessoais de bancos de dados inseguros a todo o momento. O Bank of
America, por exemplo, já perdeu fitas de back-up contendo mais de um milhão de
registros de funcionários federais.
Praticamente todos os dias, um novo incidente de furto de informação
confidencial acontece. Muitas vezes, esse furto ocorre sem que seja nem mesmo
notado. E a situação vem se agravando. (Id., 2009)

16
Em 2008, empresas, governos e universidades revelaram um aumento
recorde (69%) de violações de dados somente no primeiro semestre, em face de igual
período do ano anterior. Somente nos Estados Unidos, o roubo de dados custou US$
6.6 bilhões às empresas especializadas em segurança em 2008 - e cerca de US$ 70
bilhões às empresas de serviços em geral. (BESEN, 2009)
A necessidade de proteger o ambiente virtual destes eventos provocou na
sociedade, nas organizações privadas e nas públicas, a necessidade de se expandir
o grau de conhecimento sobre estes ataques e a criação de políticas e mecanismos
de prevenção e combate aos mesmos. (PECK, 2010)
Desta necessidade, nasce a Segurança da Informação, com a qual indivíduos
criam políticas, adéquam o ambiente de empresa às normas e certificações
pertinentes, programam aplicações e ferramentas de segurança, tudo com o intuito de
dirimir a possibilidade de ataques, vazamento de informações e, principalmente, de
possuir um ambiente controlável; onde o rastreamento seja possível e, em caso de
um ataque ou violação de qualquer tipo, com garantias de que existam ferramentas e
técnicas capazes de identificá-lo. (Id., 2010)
A Perícia Forense Digital, ciência que utiliza as técnicas forenses de
reconstituição de eventos a partir de evidências deixadas nos crimes e o eventual
apontamento de provas para a solução dos mesmos, se baseia na utilização de
ferramentas e metodologias tecnológicas para averiguar crimes, fraudes, ataques e
vazamento de informação; que tenham ocorrido em qualquer sistema computacional
esteja este na Internet, Intranet, Extranet ou na LAN de uma organização.
O maior desafio do Perito Digital é raciocinar como o criminoso, é necessário
que este Perito tenha conhecimento técnico suficiente para rastrear as provas
deixadas e a conseqüente "origem" (entre aspas, pois a origem aqui não é
necessariamente física, podendo ser puramente virtual) do ataque, além de também
saber preveni-los.
O objetivo deste trabalho, composto de quatro Capítulos, um Estudo de Caso
e considerações finais, é mostrar como o Direito enxerga o Crime Digital, os

17
mecanismos de defesa que a Segurança da Informação fornece os tipos de ameaça
e, finalmente, como a Perícia Forense Digital é aplicada na resolução de crimes
digitais, fraudes corporativas e vazamento de informações, e como a sua eficácia
depende da integração entre teoria e prática, legislação e ferramentas.
O crescimento da profissão e a necessidade que as empresas e a sociedade
têm de estabelecer meios preventivos e processos investigativos, principalmente com
o crescente volume de crimes propagados pelo meio virtual, motivam o estudo do
tema.

18
2 DIREITO DIGITAL
Segundo Wikipédia (2011) o Direito é um "sistema de normas de conduta
imposto por um conjunto de instituições para regular as relações sociais." Já o Direito
Digital "[...] se propõe a estudar aspectos jurídicos do uso de computadores, com
fundamentos no crescente desenvolvimento da Internet e na importância da
tecnologia da informação e da informática nas relações jurídicas, [...] uma nova área
do estudo do Direito."
Historicamente, meios de comunicação, ao se tornarem difundidos perante as
massas, passam a ter relevância jurídica, e sua conduta passa a ser abordada pelo
Direito, sob a pena de se criar insegurança no ordenamento jurídico e na sociedade.
Ocorreu isto com a televisão, o telefone, a imprensa, o radio e o fax e agora, com o
meio Digital. Apesar de não existirem regulamentações especificas para cada meio,
vigora sobre todos estes veículos a capacidade que o Direito possui de regular as
ações dos indivíduos, com o intuito de proteger a conduta e a ordem social. (PECK,
2010)
Não é possível, porém, acompanhar a velocidade com que o meio Digital
evolui e se modifica diferentemente dos outros meios, mas é possível estabelecer um
mecanismo com embasamento auto-regulamentável, que transcenda o tempo
(vigência) e o espaço (territorialidade) da legislação. Por este motivo, deve vigorar a
publicidade das leis e regras às quais o público digital será submetido, aumentando a
eficácia com que o conhecimento das regulamentações dissemina-se perante os
usuários. (Id., 2010)
A velocidade das transformações é uma barreira à legislação sobre o
assunto. Por isso qualquer lei que venha a tratar dos novos institutos
jurídicos deve ser genérica o suficiente para sobreviver ao tempo e flexível
para atender aos diversos formatos que podem surgir de um único assunto.
[...] a obsolescência das leis sempre foi um fator de discussão [...]. A
exigência de processos mais céleres também sempre foi um anseio da
sociedade, não sendo apenas da conjuntura atua. (Id., 2010)

19
D’antona (2010) apud Donato (2010) afirma que "pela primeira vez em 2010
os crimes virtuais resultaram em maior prejuízo do que os crimes físicos. Por dados
dos computadores se fez mais dinheiro para os bandidos do que o roubo as estoques
os aos bens físicos de empresas e pessoas."
Com esta afirmação em mente, ver-se-á a seguir como a Legislação
Brasileira se comporta perante os casos de Crimes Virtuais.
2.1Legislação aplicada ao crime virtual no Brasil
[...] é lógico afirmar que toda nova tecnologia que possibilite uma nova
ferramenta de relacionamento necessite de um estudo mais profundo sobre a
sua capacidade de transmitir segurança e ter no Direito um mecanismo que
possa garanti-la. (PECK, 2010)
Os tribunais brasileiros vêm utilizando amplamente o Código Penal (C.P.) e o
Código Civil (C.V.) como base de julgamento de Crimes Digitais, pois o meio digital
acaba sendo somente mais um dos diversos veículos na execução da pratica
criminosa. (LUCENA, 2011)
Grande parte dos magistrados, advogados e consultores jurídicos considera
que aproximadamente 95% dos delitos cometidos eletronicamente já estariam
tipificados no Código Penal Brasileiro, por caracterizar crimes comuns praticados por
meio da Internet. O número de decisões judiciais envolvendo crimes eletrônicos
saltou de 400, em 2002, para mais de 17 mil atualmente. (Id., 2011)
O Judiciário precisa se especializar para lidar corretamente com assuntos
relacionados à internet. No Direito Digital, as questões técnicas estão entrelaçadas
com as questões jurídicas, um não trabalha sem o outro, o que exige um grau de
profundidade maior. Apesar de termos uma legislação que fornece uma cobertura de
95% dos problemas relacionados a internet, as punições são brandas em relação ao
prejuízo causado, devido ao alcance da rede mundial de computadores. (BLUM, 2010
apud GHIRELLO, 2010).

20
Existe um vácuo de 5% na legislação brasileira quando se trata de crimes na
Internet, como a invasão de computadores, que por si só, não caracteriza ato ilícito. A
legislação deixa de levar em conta o que uma invasão pode acarretar, visto que hoje
as empresas e usuários guardam informações importantes nos computadores. (Id.,
2010)
As empresas enfrentam vazamentos de informações protegidas, segredos,
planos estratégicos, documentos confidenciais, e quando isso acontece ou
quando alguém tem sua intimidade exposta existem medidas que podem ser
tomadas, mas que nem sempre alcançam o objetivo almejado [...]. (BLUM,
2010 apud GHIRELLO, 2010)
A Tabela 1 propõe uma classificação dos crimes mais comuns ao meio
virtual, e suas respectivas tipificações equivalentes na Legislação Brasileira:
Tabela 1 - Infrações Digitais Tipificadas na Legislação vigente.
Tabela de Infrações Digitais mais freqüentes na Vida Comum do Usuário do Bem
Alegar falsamente em chat ou página de
relacionamentos que outrem cometeu algum
crime.
CALÚNIA.
Art.138 do
C.P.
Encaminhar para várias pessoas um boato
eletrônico.
DIFAMAÇÃO.
Art.139 do
C.P.
Enviar e-mail a algum indivíduo, fazendo citação
pejorativa sobre características dele.
INJÚRIA.
Art.140 do
C.P.
Enviar mensagem eletrônica ameaçando
indivíduos.
AMEAÇA.
Art.147 do
C.P.
Enviar um e-mail para terceiros com informação
considerada confidencial.
DIVULGAÇÃO DE
SEGREDO.
Art.153 do
C.P.
Fazer um saque eletrônico no Internet Banking
com os dados de conta do cliente.
FURTO.
Art.155 do
C.P.
Enviar um vírus que destrua equipamento ou
conteúdos.
DANO.
Art.163 do
C.P.
Copiar um conteúdo e não mencionar sua fonte.
VIOLAÇÃO AO DIREITO
AUTORAL.
Art.184 do
C.P.
Criar uma Comunidade Online que insulte
religiões.
ESCÁRNIO POR MOTIVO
DE RELIGIÃO.
Art.208 do
C.P.
Divulgar banners de sites pornográficos.
FAVORECIMENTO DA
PROSTITUIÇÃO.
Art.228 do
C.P.
Divulgar por meio eletrônico foto com gestos ou
atos obscenos.
ATO OBSCENO.
Art.233 do
C.P.
Promover por meio eletrônico a prática de algum
ato, crime, ou participação no mesmo.
INCITAÇÃO AO CRIME.
Art.286 do
C.P.

21
Criar uma Comunidade sobre a prática de atos
ilícitos
APOLOGIA DE CRIME OU
CRIMINOSO.
Art.287 do
C.P.
Enviar e-mail com remetente falso. FALSA IDENTIDADE.
Art.307 do
C.P.
Fazer cadastro com nome falso em uma loja
virtual.
INSERÇÃO DE DADOS
FALSOS EM SISTEMA DE
INFORMAÇÕES.
Art.313-A do
C.P.
Entrar na rede da empresa ou de concorrente e
mudar informações (mesmo que com uso de um
software).
ADULTERAR DADOS EM
SISTEMA DE
INFORMAÇÕES.
Art.313-B do
C.P.
Participar de Cassino Online. JOGO DE AZAR.
Art.50 da
L.C.P.
Discriminar cor, raça ou etnia em sites de
relacionamento, redes sociais, chats e afins.
PRECONCEITO OU
DISCRIMINAÇÃO RAÇA-
COR-ETNIA-ETC.
Art.20 da Lei
7.716/89.
Visualizar ou enviar fotos de menores nus
através da Internet.
PEDOFILIA.
Art.247 da
Lei 8.069/90
"ECA".
Usar logomarca de empresa em um link na
página da Internet, em uma comunidade, em um
material, sem autorização do titular, no todo ou
em parte, ou imitá-la de modo que possa induzir
a confusão.
CRIME CONTRA A
PROPRIEDADE
INDUSTRIAL.
Art.195 da
Lei 9.279/96.
Empregar meio fraudulento, para desviar, em
proveito próprio ou alheio, clientela de outrem,
por exemplo, uso da marca do concorrente como
palavra-chave ou link patrocinado em buscador.
CRIME DE
CONCORRÊNCIA
DESLEAL.
Art.195 da
Lei 9.279/96.
Monitoramento não avisado previamente, coleta
de informações espelhadas, uso de spoofing
page.
INTERCEPTAÇÃO DE
COMUNICAÇÕES DE
INFORMÁTICA.
Art.10 da Lei
9.296/96.
Usar cópia de software sem ter a licença para
tanto.
CRIMES CONTRA
SOFTWARE "PIRATARIA".
Art.12 da Lei
9.609/98.
Fonte: Adaptado de Peck (2010).
Compartilhando do raciocínio e complementando o conceito, na Tabela 2,
Vieira (2008) compila e analisa a legislação vigente, a fim de subsidiar trabalhos de
operadores, técnicos e juristas da área de segurança da informação.

22
Tabela 2 - Dispositivos legais relacionados à Segurança da Informação
Dispositivo Mandamento Legal
Aspecto da Segurança da
Informação
Constituição Federal, art.
5º, inciso XII.
DIREITO À PRIVACIDADE DAS
COMUNICAÇÕES.
Sigilo dos dados telemáticos e
das comunicações privadas.
37, caput.
VINCULAÇÃO DA
ADMINISTRAÇÃO PÚBLICA
AOS PRINCÍPIOS DA
LEGALIDADE,
IMPESSOALIDADE,
MORALIDADE, PUBLICIDADE
E EFICIÊNCIA.
Quanto melhor a gestão das
informações, mais eficiente
será o órgão ou entidade, daí a
necessidade de implantação de
uma Política de Segurança da
Informação.
37, § 7º.
LEI DISPORÁ SOBRE OS
REQUISITOS E AS
RESTRIÇÕES AO OCUPANTE
DE CARGO OU EMPREGO DA
ADMINISTRAÇÃO DIRETA E
INDIRETA QUE POSSIBILITE
O ACESSO A INFORMAÇÕES
PRIVILEGIADAS.
Necessidade de
regulamentação do acesso a
informações privilegiadas.
Consolidação das Leis do
Trabalho - CLT, art. 482,
alínea g
RESCISÃO DE CONTRATO DE
TRABALHO DE EMPREGADO
QUE VIOLA SEGREDO DA
EMPRESA.
Proteção das informações
sigilosas acessadas no
exercício de emprego público
(empresas públicas e
sociedades de economia
mista).
Lei nº 7.232/84, art. 2
o
,
inciso VIII.
EXIGÊNCIA DE MECANISMOS
E INSTRUMENTOS LEGAIS E
TÉCNICOS PARA A
PROTEÇÃO DO SIGILO DOS
DADOS INFORMATIZADOS
ARMAZENADOS,
PROCESSADOS E
VEICULADOS, DO INTERESSE
DA PRIVACIDADE E DE
SEGURANÇA DAS PESSOAS
FÍSICAS E JURÍDICAS,
PRIVADAS E PÚBLICAS.
Sigilo dos dados relacionados
à intimidade, vida privada e a
honra, especialmente dos
dados armazenados através de
recursos informáticos.
Lei nº 7.492/86, art. 18.
PENA DE RECLUSÃO DE 1 A 4
ANOS E MULTA POR CRIME
DE VIOLAÇÃO DE SIGILO
BANCÁRIO.
Proteção das informações no
âmbito das instituições
financeiras e sistemas de
distribuição de títulos
mobiliários.
Lei nº 9.472/97, art. 3º,
inciso V.
O USUÁRIO DE SERVIÇOS DE
TELECOMUNICAÇÕES TEM
DIREITO À INVIOLABILIDADE
E AO SEGREDO DE SUA
COMUNICAÇÃO, SALVO NAS
HIPÓTESES E CONDIÇÕES
CONSTITUCIONAL E
LEGALMENTE PREVISTAS.
Sigilo das comunicações.
Lei nº 10.683/03, art. 6º.
PREVÊ A COMPETÊNCIA DO
GSIPR A COORDENAR A
ATIVIDADE DE SEGURANÇA
DA INFORMAÇÃO.
Todos os aspectos da
segurança da informação.
Fonte: Adaptado de Vieira (2008).

23
Reforçando o pensamento, ICOFCS (2006) apud PRETO (2009) diz que os
chamados "crimes cibernéticos" normalmente podem ser enquadrados em crimes já
tipificados na legislação penal brasileira, pois estão sendo cometidos os crimes já
existentes, apenas utilizando a informática e o espaço cibernético como uma
ferramenta adicional às atividades criminosas.
No entanto, há quem defenda que casos ocorridos pela Internet não devem
ser tipificados no código penal, como Ramalho Terceiro (2002):
O cerne da questão repousa justamente aqui. Em muitos casos, devido à
ausência de norma que tipifique tais crimes, têm os Tribunais, se socorrendo
da analogia para o ajustamento da conduta atípica à norma penal, o que pelo
Princípio da Legalidade, onde se assenta o nosso Direito punitivo, é
terminantemente proibido o emprego da analogia em matéria penal. [...].
Segundo Oliveira (2011), o fato de Brasil não ser signatário do Tratado de
Budapeste, iniciado em 2001, pode fazer com que a legislação acerca do crime digital
no Brasil fique desnivelada com o restante dos países signatários. Este é o Tratado
Internacional contra Crimes na Internet, onde 30 países procuram criar legislações
especificas contra os crimes digitais.
Dentro deste tratado, entre outros pontos, é previsto que uma empresa pode
ser indiciada por co-responsabilidade, caso seja constatada negligência na utilização
de controles preventivos e de rastreamento, sendo ela a responsável pela infra-
estrutura de TI (e-mail, Internet, portas USB, falta de criptografia, segregação de
função, gerenciamento e correlação de logs etc.).
Peck (2010) afirma que independente se existe ou não legislação especifica
ao crime digital e do local onde esteja hospedado o site ou o sistema por onde o
crime virtual foi veiculado, vigorará no julgamento do delito a legislação e a
jurisprudência do território de origem do ataque; ou seja, o crime originado no Brasil
será julgado tendo a legislação brasileira como base de acusação e pena.

24
2.1.1 PROJETOS DE LEI
Para Lima (2007), algumas ações como difusão de vírus, acesso indevido a
redes, violação de informação, não são consideradas crimes porque não existe lei
definida. Existem projetos de lei em andamento no Brasil, na tentativa de suprir esta
necessidade, mas o criminoso que executar estas ações não poderá ser condenado,
pois, conforme expresso no Art 1º do Código Penal, "[..] não há crime sem lei anterior
que o defina. Não há pena sem prévia cominação legal [..]."
Já para Mata (2005), o Poder Legislativo tem se empenhado para propor e
aprovar projetos que protejam as relações jurídicas na Internet, especialmente para
coibir práticas violadoras aos valores sociais fundamentais.
Colocado em discussão novamente em Outubro de 2010, o PL-89/2003,
também conhecido como "Lei Azeredo", previa alterações ao Código Penal, o Código
Penal Militar, a Lei dos Crimes Raciais (Lei nº 7.716 de 1989) e no Estatuto da
Criança e do Adolescente (Lei nº 8.069, de 1990), com o intuito de tipificar os crimes
digitais através de inserções especificas nestas legislações vigentes. (AGUIARI,
2010)
Na Tabela 3, a seguir, são expostos alguns dos pontos do Projeto de Lei PLC
nº 89/2003, classificando práticas criminosas comuns ao meio virtual como sendo
novas condutas criminais, e sua respectiva tipificação a ser acrescentada ao Código
Penal.

25
Tabela 3 - Resumo do PL-89/2003.
Nova Conduta Nova Tipificação do Crime
Disseminar Phishing Scam. ESTELIONATO ELETRÔNICO.
Falsificar cartão de crédito.
FASLSIFICAÇÃO DE DADO
ELETRÔNICO OU
DOCUMENTO PARTICULAR.
Destruir, inutilizar ou deteriorar dado eletrônico alheio. DANO.
Inserir ou difundir códigos maliciosos em dispositivos de
comunicação, redes, sistemas, causando danos.
INSERÇÃO OU DIFUSÃO DE
CÓDIGO MALICIOSO SEGUIDO
DE DANO.
Inserir ou difundir códigos maliciosos (vírus, worms, trojans
etc.) em dispositivos de comunicação, redes, sistemas.
INSERÇÃO OU DIFUSÃO DE
CÓDIGO MALICIOSO.
Acessar rede de computadores, dispositivos de
comunicação ou sistema informatizado, sem autorização do
legitimo titular, quando exigida.
ACESSO NÃO AUTORIZADO.
Obter ou transferir dado ou informação sem autorização (ou
em desconformidade à autorização).
OBTENÇÃO NÃO AUTORIZADA
DE INFORMAÇÃO.
Divulgar, sem autorização, informações pessoais
disponíveis em banco de dados.
DIVULGAÇÃO NÃO
AUTORIZADA DE
INFORMAÇÕES PESSOAIS.
Atentado contra a segurança de serviço de utilidade pública,
perturbação de serviço telefônico, informático, telemático,
dispositivo de comunicação, rede de computadores ou
sistemas informatizados.
ATAQUES A REDES E
INVASÕES.
Falsificação de dado eletrônico ou documento, sendo estes
públicos ou privados.
FALSA IDENTIDADE,
FALSIDADE IDEOLÓGICA
DIGITAL, FRAUDE.
Preconceito/Pedofilia.
PRECONCEITO
DIGITAL/PEDOFILIA DIGITAL.
Fonte: Peck (2010).
Houve resistência e relutância, incluindo do Ex-Presidente da República Lula,
sobre este Projeto de Lei, quando afirmou, em certa ocasião pública, que a lei "é
censura, interesse policialesco para saber o que as pessoas estão fazendo".
(WIKIPÉDIA, 2011)

26
Houve também crítica proveniente do criador da Wikipédia, Jimmy Wales,
dizendo, após ler a tradução deste Projeto de Lei, que "A liberdade de expressão é
uma força preciosa e poderosa para a prosperidade e a paz, e leis que colocam isso
em risco deveriam ser tratadas com muita cautela e precaução." (WIKIPÉDIA, 2011)
Outros projetos de lei, segundo Vieira (2008), estão listados na Tabela 4.
Tabela 4 - Projetos de Lei relacionados à Segurança da Informação.
Regulamento Assunto e autoria
Projeto de Lei nº 1.025/1995.
Acrescenta artigo à Lei nº 8.159/91 e dispõe sobre a
administração de arquivos públicos federais
relacionados à repressão política. Autor: Deputado
Aldo Arantes e outros dois.
Projeto de Lei nº 84/1999.
Dispõem sobre os crimes cometidos na área de
informática, suas penalidades e dá outras
providências. Autor: Deputado Luiz Piauhylino.
Altera a lei do habeas data (Lei nº 9.507, de 12 de
novembro de 1997). Autor: Senado Federal.
Proíbe envio de mensagens não solicitadas (spam);
estabelece multa; estabelece como nova
modalidade do crime de falsidade ideológica a
conduta de impedir a identificação do remetente ou
o bloqueio automático de mensagens eletrônicas
não solicitadas, inserirem declaração falsa ou
diversa da que deveria constar, com o fim de
impossibilitar a identificação da origem ou o
rastreamento da mensagem. Autor: Senador
Duciomar Costa.
Tipifica a conduta de violação de comunicação
eletrônica. Autor: Deputado Rodovalho.
Prevê o aumento de pena no caso de crime contra
a honra praticado pela Internet. Autor: Senador
Expedito Júnior.
Torna obrigatória a identificação biométrica para
acesso a bancos de dados da administração pública
direta, indireta e fundacional onde sejam
armazenados dados sensíveis. Autor: Deputado
Eduardo Gomes.
Obriga as operadoras de telefonia fixa e móvel ao
pagamento de multa em razão de danos
decorrentes da ineficiência em garantir a
privacidade de seus usuários. Autor: Deputado
William Woo.
Altera a Lei nº 8.069, de 13 de julho de 1990 -
Estatuto da Criança e do Adolescente, para
aprimorar o combate à produção, venda e
distribuição de pornografia infantil, bem como
criminalizar a aquisição e a posse de tal material e
outras condutas relacionadas à pedofilia na Internet.
Autor: Senado Federal - Comissão Parlamentar de
Inquérito - Pedofilia.
Fonte: Adaptado de Vieira (2008).

27
Em 1999, foi sancionada pelo então Presidente Lula a Lei 9883/99, que
institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este
sistema é responsável pela coleta e custódia de informações para servir ao
Presidente da República em suas decisões. Todos os entes públicos que manipulam
informações de interesse nacional compõem o SBI e estão sujeitos ao controle da
ABIN. No entanto, seu alcance é limitado a órgãos públicos, não atuando sobre
órgãos privados. (JUS, 2010)
Em Abril de 2011, o Senado aprovou o Projeto de Lei 100/10, que prevê a
infiltração de agentes da polícia na Internet para investigação de crimes contra a
liberdade sexual de criança ou adolescente. (COELHO, 2011)
No entanto, a Justiça precisa emitir prévia autorização para tal, que só
ocorrerá após investigações provarem que esta seria a única maneira de conseguir
provas contra o acusado. Outros critérios estabelecidos pela lei são: nominar as
pessoas investigadas, sigilo da investigação e responsabilização do policial por
eventuais abusos. (Id., 2011)
2.2O crime digital nos EUA
O Departamento de Justiça dos Estados criou uma seccional chamada
CCIPS, cujo portal público na Internet consolida processos, jurisprudências,
orientações jurídicas, entre diversos outros assuntos referentes aos crimes digital e
contra a propriedade intelectual.
A Figura 1 apresenta a página inicial do portal CCIPS na Internet.

28
Figura 1 - Página Principal do CCIPS
Fonte: CCIPS (2011).
A Divisão de Crime Informático & Propriedade Intelectual é responsável pela
aplicação das estratégias nacionais do Ministério da Justiça Americana no combate
aos crimes informáticos e à propriedade intelectual. A Iniciativa de Trabalho focada no
Crime Informático é um programa criado para combater invasões eletrônicas, roubo
de dados e ataques cibernéticos em sistemas de informação críticos. (CCIPS, 2011)
O CCIPS previne, investiga e leva a juízo crimes informáticos, através do
trabalho com agências governamentais, o setor privado, instituições acadêmicas e
contrapartes estrangeiras. (Id., 2011)
Advogados da Divisão trabalham na melhoria da Infra-estrutura Legal,
Tecnológica e Operacional, para perseguir criminosos da rede de forma mais efetiva.
As iniciativas da Divisão contra crimes de propriedade intelectual são igualmente
polivalentes. (Id., 2011)
A Propriedade Intelectual tornou-se um dos principais motores econômicos, e
a Nação Americana é alvo constante de infratores devido ao seu conteúdo intelectual
(direitos autorais, marcas registradas e outros segredos comerciais). (Id., 2011)

29
Com o objetivo de trabalhar nestes eventos, os advogados do CCIPS
constantemente se envolvem em investigações complexas, ultrapassam obstáculos
impostos pelas dificuldades específicas existentes na emergente tecnologia da
Informática e das Telecomunicações. (CCIPS, 2011)
Mitigam casos; provêem suporte no litígio de outros promotores; capacitam
institutos legais do Município, do Estado e Federais; comentam e recomendam
legislações especificas; introduzem e participam de esforços internacionais no
combate ao crime informático e às infrações da propriedade intelectual. (Id., 2011)
2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA
Os EUA possuem um estatuto especifico para crimes informáticos, contido no
USC. As fraudes e crimes correlatos, cometidos dentro do âmbito virtual, recebem
tipificação especifica e possuem mecanismos de enquadramento legal e punição
prevista.
Entre diversos enquadramentos, são notórios os relativos a(o): (CCIPS, 2011)
• Envio de pornografia e marketing não solicitado (através de Spam) - 15
U.S.C. §§ 7701 - 7702;
• Disseminação de Vírus, Trojans e outros programas de computador
maliciosos - 15 U.S.C. §§ 7703 - 7713;
• Fraude eletrônica, roubo de senhas, bancos de dados restritos e
informações confidenciais - 18 U.S.C. §1030;
• Transmissão de informações inverídicas por e-mail (hoax) - 15 U.S.C. §§
7703 - 7713.

30
O processo de julgamento e a pena aplicada, no entanto, é condicionada à
jurisdição onde o caso está sendo julgado, aos precedentes legais, ao juiz, às leis
ordinárias federais e estaduais, e, principalmente, ao estudo do caso como um todo.
No entanto, a pena pode variar de simples multa a reclusão. (CCIPS, 2011)
2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA
Ainda dentro do CCIPS (2011), é mantido um banco de dados, atualizado
freqüentemente, com processos envolvendo crimes de informática, onde muitos dos
casos foram processados sob o estatuto de crime informático, embasados no USC
18. §1030.
Figura 2 - Tabela de processos de crimes informáticos.
Fonte: CCIPS (2011).

31
A Figura 2 lista os seguintes casos podem ser observados nesta relação:
• Caso "U.S v. Ancheta" - Califórnia, 2006: primeiro caso de “botnet” julgado
na jurisdição. Pena: 57 meses de prisão e multa de 75,000.00 USD;
• Caso "U.S v. Flury" - Ohio, 2006: "tráfico online", roubo de identidade,
cartões crédito e fraude bancária, totalizando prejuízo de 384,000.00 USD.
Pena: 32 meses de prisão e multa de 300,000.00 USD;
• Caso "U.S v. An Unnamed Juvenile" - Washington, 2005: criou a variável
RPCSDBOT do worm "Blaster". Pena: 18 meses de prisão;
• Caso "U.S v. Racine" - Califórnia, 2003: designer de páginas da Web, criou
mecanismo para redirecionar o tráfego Web da Aljazeera.net. Pena: 36
meses de prisão, multa de 2,000.00 USD;
• Caso "U.S v. Smith" - Nova Jersey, 2002: grupo criador do vírus "Melissa",
cujo prejuízo foi estimado em 80 M USD. Pena: 20 meses de prisão e
multa de 5,000.00 USD;
• Caso "U.S. v. Comrade" - Florida, 2000: primeiro Hacker adolescente a
receber sentença prisional na jurisdição. Causador de prejuízos de
41,000.00 USD. Pena: seis meses de prisão;
• Caso "U.S. v. Burns" - Virginia, 1999: desenvolvedor de programa que
vasculhava a Internet em busca de sistemas desprotegidos. Prejuízos
estimados em 40,000.00 USD. Pena: 15 meses de prisão, e multa de
36,000.00 USD.
O primeiro caso de punição aplicada a um crime informático nos EUA ocorreu
em 1998, em Boston, onde um Hacker adolescente suspendeu toda a comunicação
de uma torre de controle de uma companhia telefônica dos EUA. Pena aplicada foi de
dois anos de condicional, multa e 250 horas de serviços comunitários.
(RINDSKROPF, 1998)

32
2.3Considerações finais do Capítulo 2
Ao se comparar o tratamento do crime digital nos EUA e no Brasil, nota-se
que não há o mesmo nível de detalhamento na legislação, pois não se dispõem de
tipificações na legislação brasileira que sejam mais relevantes aos acontecimentos
criminais específicas ao contexto do crime digital.
O País ainda carece de uma legislação especifica para o Crime Digital e
continua a utilizar a Jurisprudência e as tipificações de outros Códigos para o
julgamento de delitos praticados no âmbito virtual, não tendo subsídios na legislação
para punição de disseminação de vírus, spaming, spywares, invasão de sistemas,
phishing e fraudes que se propagam exclusivamente através do meio virtual.
Com relação a vazamento de informações, a legislação vigente já tipifica o
crime. No entanto, quando o mesmo é veiculado ou facilitado por meios digitais, não
há acréscimo ou decréscimo da pena, pois o meio informático é considerado somente
um dos veículos por onde possa ocorrer a interceptação da informação.
Cabe ao profissional do Direito no Brasil, portanto, evoluir à medida que a
sociedade evolui, pois a regulamentação social só pode ser feita conhecendo-se as
implicações das interações sociais, seja qual for o ambiente em que elas ocorram.
Além disso, ele deve atender às necessidades de defesa dos direitos: autoral,
da imagem, da propriedade intelectual, dos royalties, da segurança da informação,
resguardar a garantia à privacidade, combater a prática do plágio, empreender os
meios necessários para a apuração de crimes praticados por Hackers e outros
comuns ao ambiente virtual.
Estar preparado para contextualizar o crime dentro das tipificações da
legislação brasileira e se manter, igualmente, informado a respeito das soluções
tecnológicas, algo que o estudo do Direito Digital, enfim, compila e instrumentaliza.

33
"Em breve, não haverá outra forma de atuar no Direito sem envolver no
mínimo situação com provas eletrônicas, bancos de dados, autenticação não
presencial [...], biometria (entre outros)." (PECK, 2010 apud GHIRELLO, 2010)

34
3 SEGURANÇA DA INFORMAÇÃO
Mas só punição adianta? Efetivamente que não [...]. A resposta é a efetiva
gestão de segurança da informação, com a implementação de um sistema
eficaz e que considere pessoas acima de ferramentas e softwares e leve em
consideração que influências internas são as principais responsáveis pelo
vazamento de dados na área pública e também privada [...]. (MILAGRE,
2010).
Como visto no capítulo anterior, a legislação brasileira ainda é precária com
relação ao crime informático, no que diz respeito à tipificação criminal de
disseminação de Vírus, de Spam, de Phishing Scam e de invasões de sistemas
computacionais.
No entanto, não foi constatado que os mecanismos legais de prevenção do
crime digital, por mais eficientes que sejam, erradiquem as práticas criminais. Por
este motivo, devem existir mecanismos preventivos que auxiliam as organizações na
mitigação da integridade de sua inteligência competitiva, de seus ativos críticos e da
continuidade de seus negócios.
A segurança da informação é a proteção dos sistemas de informação contra a
negação de serviço a usuários autorizados, assim como contra a intrusão e a
modificação não-autorizada de dados ou informações armazenadas, em
processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da
documentação e do material, das áreas e instalações das comunicações e
computacional, assim como as destinadas a prevenir, detectar, deter e documentar
eventuais ameaça a seu desenvolvimento. (LAUREANO, 2011)
Mesmo que a Internet e as ferramentas tecnológicas não sejam tão novas,
ainda não está claro para as pessoas de um modo geral o que é "certo e errado". Já
que em uma empresa, tais ferramentas devem ser utilizadas com a única finalidade
de trabalho, cabe a ela definir, com Políticas e Diretrizes de Segurança da
Informação, o que é mais adequado para a proteção do seu negócio e de seus
empregados, evitando que ocorram riscos desnecessários que possam gerar
responsabilidades civil e criminal, e demissões. (PECK, 2010)

35
Seguindo os padrões internacionais de Confidencialidade, de Integridade e da
Disponibilidade (CIA, em inglês) representam os principais atributos que orientam a
análise, o planejamento e a implantação da segurança para um determinado grupo de
informações que se deseja proteger. (WIKIPÉDIA, 2011)
• Confidencialidade: propriedade que limita o acesso a informação tão
somente às entidades legítimas, ou seja, àquelas autorizadas pelo
proprietário da informação;
• Integridade: propriedade que garante que a informação manipulada
mantenha todas as características originais estabelecidas pelo proprietário
da informação, incluindo controle de mudanças e garantia do seu ciclo de
vida (nascimento, manutenção e destruição);
• Disponibilidade: propriedade que garante que a informação esteja sempre
disponível para o uso legítimo, ou seja, por aqueles usuários autorizados
pelo proprietário da informação.
Donn Parker (2002) propôs que o tradicional Modelo CIA fosse
complementado com os seguintes elementos:
• Posse ou controle: propriedade que garante o direito de posse sobre a
informação, garantido ao seu proprietário todos os direitos legais sobre a
mesma;
• Autenticidade: propriedade que garante a veracidade de uma informação, e
possibilita total rastreamento sobre sua origem;
• Utilidade: propriedade que garante que a informação tenha finalidade
estabelecida, e seja um fator relevante na tomada de decisões.
A esta nova abordagem de Parker foi dado o nome "Sexteto Parkeriano".
(PARKER, 2002)

36
3.1Importância da Segurança da Informação para as organizações
A informação deve ser protegida de maneira constante, como qualquer outro
ativo importante da organização. Ela pode existir de diversas formas, ser impressa ou
escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de
meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou meio através do qual a informação é compartilhada ou armazenada,
é recomendado que seja sempre protegida adequadamente.
Através da aplicação da Segurança da Informação, a organização procura
obter maior capacidade de controle sobre seu capital intelectual, e conseqüentemente
maneiras de obter: (PECK, 2010)
• Padronização de processos internacionalmente;
• Prevenção;
• Possibilidade de rastreamento;
• Gestão de Riscos;
• Continuidade de operações;
• Competitividade no mercado devido à transparência de transações e
informações.
São necessários, no entanto, investimentos em recursos, tanto para a
implantação quanto manutenção das políticas, normas e certificados que compõem
Segurança da Informação, uma vez que profissionais internos e externos podem ser
envolvidos. (OLIVEIRA, 2011)
Podem ser necessários investimentos em ferramentas e infra-estrutura para
atendimento aos requisitos, como controle de acesso físico, facilities, gestão de
vulnerabilidade, campanhas de conscientização, composição de auditorias internas,
entre outros. (Id., 2011)

37
Dentro deste contexto, Monteiro (2011) apud Inspirit (2011) diz que
As organizações começam a olhar para sua infra-estrutura de TI com mais
apreço e têm maior compreensão dos riscos de manterem suas informações
desprotegidas. Atualmente, grandes veículos de comunicação impresso e
digital têm publicado matérias sobre cibercrimes e ameaças reais que
acontecem no mundo digital.
A complexidade das estruturas das corporações em função dos números de
periféricos, redes, banco de dados e outros dispositivos, exige proteção de toda a
infra-estrutura, pois cada usuário é um ponto fixo nas Redes IP (Internet Protocol) de
alta velocidade, estão sempre conectados on-line e acabam nem percebendo quando
são vítimas de um ataque.
Por esse motivo, o gerenciamento e a gestão da segurança são duas
modalidades apontadas como as principais fontes de negócios nesse mercado e
andam na contra mão da queda de investimentos da área de Tecnologia da
Informação.
3.2Riscos inerentes a ausência da Segurança da Informação
A informação é um dos ativos mais valiosos de uma organização. Sem a
devida proteção, ela pode ser: (OLIVEIRA, 2011)
• Revelada, violada ou divulgada de forma não-autorizada;
• Modificada sem o conhecimento do autor e se tornar menos valiosa;
• Perdida, sem possibilidade de rastreamento ou chance de recuperação;
• Indisponível quando necessária.
Sem a adoção das práticas de segurança da informação, o ambiente
organizacional e seus colaboradores tornam-se mais expostos a fraudes, vazamento
de informação, ataques internos e externos. (OLIVEIRA, 2011)

38
Falando em normas e certificações, ela pode simplesmente não conseguir
entrar num determinado segmento de mercado ou se manter nele, devido á falta de
qualificação ou ausência de comprovação de adoção de uma determinada norma ou
certificação, devidamente comprovada por um órgão independente. (Id., 2011)
Complementando o raciocínio, Peck (2010) afirma que sem esses padrões (de
segurança da informação) implantados na empresa, é possível que ela tenha
processos sem o mínimo de controle e segurança. A ausência de processos pode
criar desde falta de produtividade, até servir como um meio facilitador de fraudes,
tendo em vista que há falta de controle, prevenção e rastreamento do ambiente.
Continua a autora, quanto maior a empresa, maior o impacto e provavelmente
maior o risco. Muitas empresas aceitam esse risco residual, mas cada vez mais
procuram mitigá-lo, pois órgãos governamentais estão se apoiando cada vez mais
nas normas e regulamentações para emitir documentação para todos os processos
administrativo-fiscais.
3.3Tipos de controle sobre a Segurança da Informação
Quando a organização opta por estabelecer mecanismos para mitigar riscos
provenientes da falta de Segurança da Informação, um ou mais dos seguintes
controles devem ser implantados: (WIKIPÉDIA, 2011)
• Administrativo: também chamados de controles de procedimento, são
diretrizes expressas através de políticas, processos e padrões
documentados. O objetivo é informar coletivamente a organização sobre
como seu negocio e suas operações diárias devem ser conduzidas. Alguns
exemplos:

39
o Políticas de Segurança;
o Políticas para criação de senhas e assinaturas de e-mail.
• Lógico: também chamado de controles técnicos, utilizam software e dados
para monitorar e controlar acessos a informações e sistemas
computacionais. Alguns exemplos:
o Assinatura digital;
o Criptografia;
o Smart Cards;
o Firewalls;
o IDSs e IPSs;
o Antispam e antivírus;
o Honeypots.
• Físico: monitora e controle o ambiente de trabalho e a infra-estrutura
computacional. Também controla o acesso aos diferentes ambientes de
uma empresa, e segmenta estes mesmos ambientes. Alguns exemplos:
o Sistemas Biométricos;
o Tokens (chaves eletrônicas).
3.4Diretivas para a Gestão de Segurança da Informação
"Pensando corporativamente, deve-se ter em mente que certificar-se numa
determinada norma deve estar em alinhamento com os objetivos estratégicos de
negócio, dependendo principalmente do segmento de mercado que ela deseja
explorar." (OLIVEIRA, 2011)
O padrão ISO dentro da série de Normas 27000 define as políticas de
segurança, nas quais se baseiam um conjunto de normas, padrões e procedimentos
relacionados às boas práticas na segurança da informação. Seguem abaixo algumas
considerações a respeito de cada elemento da série: (WIKIPÉDIA, 2011)

40
• ISO 27000: Vocabulário de Gestão da Segurança da Informação;
• ISO 27001: Publicada em outubro de 2005; fala de requerimentos para
sistemas de gestão de segurança da informação;
• ISO 27002: substituiu a ISO 17799:2005 em julho de 2007. Código de
práticas para gerenciamento de segurança da informação;
• ISO 27003: diretrizes para implantação de Sistemas de Gestão de
Segurança da Informação, contendo recomendações para a definição e a
implantação de um sistema de gestão de segurança da informação;
• ISO 27004: elaboração de métricas e relatórios de um sistema de gestão
de segurança da informação;
• ISO 27005: indicações para implantação, monitoramento e melhoria
contínua do sistema de controles para gerenciamento de riscos;
• ISO 27006: especifica requisitos e fornece orientações para os organismos
que prestem serviços de auditoria e certificação de um sistema de gestão
da segurança da informação.
Já as normas baseadas na Lei SOX (nome baseado nos sobrenomes do
Senador Sarbanes e do Deputado Oxley que criaram a lei) são especificas para
empresas que possuam ações na Bolsa de Valores de NY (New York), ou prestem
serviços a clientes que as possuam. (PECK, 2010)
A origem da lei remonta à fraude da Enron Corporation, cuja repercussão na
economia americana só não foi mais grave que a da Grande Depressão de 1929.
Fraudes internas na Enron, aliadas às auditorias ineficientes, falta de controle,
prevenção e rastreamento dos processos financeiros, foram motivadores do colapso
financeiro na organização. (Id., 2010)

41
Tornou-se necessário, então, criarem-se padrões para manter a
transparência e obterem-se informações fidedignas. Por fim, a SAS (Statements on
Auditing Standards) 70, em conjunto com a SOX, audita e certifica os processos e a
infra-estrutura de empresas que transitem seus dados financeiros por sistemas
informatizados. (PECK, 2010)
A iniciativa para se obter uma norma deve partir da alta gerência da
organização, através da autorização para a formação de um grupo auditor. Uma
auditoria de estágio um (pode ser interna, se a empresa tiver profissionais
qualificados) vai verificar o gap que existe entre os controles e a norma e, analisando
o que é praticado nos processos da empresa. (OLIVEIRA, 2011)
A seguir, uma auditoria de estágio dois é executada, como complemento ao
trabalho do estágio um, e ela apontará as não conformidades que devem ser
trabalhadas pela empresa antes da auditoria de estágio três, que efetivamente pode,
ou não, certificar a empresa. A auditoria de estágio três deve ser realizada por um
órgão certificador. (Id., 2011)
O bem mais importante que as empresas possuem, sem dúvida, são as
informações gerenciais, [...] muito importantes para a tomada de decisões.
[...]. Quando a concorrência e criminosos conseguem através de meios
fraudulentos, ter acesso a essas informações e usá-las para alavancar no
mercado, saindo na frente com uma nova linha de produtos - roubada! Esse
é só um exemplo. [...] os gerentes de tecnologia da informação devem
repensar suas ações, é preciso uma análise completa da área de TI e
principalmente uma política de segurança da informação bem formulada e
uma equipe bem informada e treinada. (ANALISTATI, 2011)
"É preciso mostrar como é fundamental proteger as informações gerenciais,
tanto para a empresa quanto para o profissional. É através de uma política de
segurança bem elaborada que podemos minimizar problemas e conscientizar melhor
essas pessoas." (Id., 2011)
Uma política de segurança consiste num conjunto formal de regras, que
devem ser seguidas pelos utilizadores dos recursos de uma organização. Deve ter

42
implementação realista, e definir claramente as áreas de responsabilidade dos
utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também
adaptar-se a alterações na organização. (WIKIPÉDIA, 2011)
As políticas de segurança fornecem um enquadramento para a
implementação de mecanismos de segurança, definem procedimentos de segurança
adequados, processos de auditoria à segurança e estabelecem uma base para
procedimentos legais na seqüência de ataques. (Id., 2001)
O documento que define a política de segurança deve deixar de fora todos os
aspectos técnicos de implementação dos mecanismos de segurança, pois essa
implementação pode variar ao longo do tempo. Deve ser também um documento de
fácil leitura e compreensão, além de resumido. (Id., 2011)
Ela é um documento que registra os princípios e as diretrizes de segurança
adotado pela organização, a serem observados por todos os seus integrantes e
colaboradores e aplicados a todos os sistemas de informação e processos
corporativos. A política possibilita manter a confidencialidade, garantir que a
informação não seja alterada ou perdida e permitir que a informação esteja disponível
quando for necessário. Deve também abranger os níveis estratégico, tático e
operacional da organização.
Seguindo o raciocínio, NBSO (2003), afirma que:
A política de segurança atribui direitos e responsabilidades às pessoas que
lidam com os recursos computacionais de uma instituição e com as
informações neles armazenados. Ela também define as atribuições de cada
um em relação à segurança dos recursos com os quais trabalham. Uma
política de segurança também deve prever o que pode ou não ser feito na
rede da instituição e o que será considerado inaceitável. Tudo o que
descumprir a política de segurança é considerado um incidente de
segurança. Na política de segurança também são definidas as penalidades
às quais estão sujeitos aqueles que não cumprirem a política.

43
Falando em incidente de segurança, segundo NBSO (2003), um incidente de
segurança pode ser definido como "qualquer evento adverso, confirmado ou sob
suspeita, relacionado à segurança de sistemas de computação ou de redes de
computadores."
São exemplos de incidentes de segurança: (NBSO, 2003)
• Tentativas de ganhar acesso não-autorizado a sistemas ou dados;
• Ataques de negação de serviço;
• Uso ou acesso não autorizado a um sistema;
• Modificações em um sistema, sem o conhecimento, instruções ou
consentimento prévio do dono do sistema;
• Desrespeito à política de segurança ou à política de uso aceitável de uma
empresa ou provedor de acesso.
Voltando ao tema da política de segurança, segundo a ISO 27002, esta deve
seguir as seguintes orientações: (WIKIPÉDIA, 2011)
• Definição de segurança da informação, resumo das metas e escopo e a
importância da segurança como um mecanismo que habilita o
compartilhamento da informação;
• Declaração do comprometimento da alta direção, apoiando as metas e
princípios da segurança da informação;
• Breve explanação das políticas, princípios, padrões e requisitos de
conformidade de importância específica para a organização, por exemplo:
o Conformidade com a legislação e possíveis cláusulas contratuais;
o Requisitos na educação de segurança;
o Prevenção e detecção de vírus e software maliciosos;
o Gestão de continuidade do negócio;
o Conseqüências das violações na política de segurança da informação;

44
• Definição das responsabilidades gerais e especificas na gestão de
segurança da informação, incluindo o registro dos incidentes de segurança;
• Referência à documentação que possam apoiar a política, por exemplo,
políticas, normas e procedimentos de segurança mais detalhados de
sistemas, áreas específicas, ou regras de segurança que os usuários
devem seguir.
Sendo assim, a política de segurança deve conter regras gerais e estruturais
que se aplicam ao contexto de toda a organização, e que sejam válidas para todos os
seus membros. A violação da mesma deve resultar em sanções iguais para todas as
áreas e membros da organização, independente de sua posição ou função.
3.5A Engenharia Social contra a Segurança da Informação
Processos, políticas, normas e outros elementos voltados para a Segurança
da Informação não cumprem sozinhos seu papel na proteção da integridade das
informações corporativas. Existe outro elemento que também deve ser concernido
quando se fala de Segurança da Informação: o fator humano.
Por este motivo, é coerente desenvolver um Plano de Conscientização da
Segurança das Informações juntamente com o Departamento de Relações Públicas,
Marketing, Comunicações, Recursos Humanos ou qualquer área dentro da
organização, que seja responsável por fazer com que seus colaboradores sejam
conscientizados com relação aos objetivos traçados pela organização na proteção à
informação e tenham igual preocupação em cumpri-los, tornando assim a Segurança
da Informação um objeto institucional.
No contexto da Segurança da informação, a Engenharia Social está vinculada
às práticas utilizadas para se obter acesso às informações importantes ou sigilosas
em organizações ou sistemas por meio da enganação ou exploração da confiança
das pessoas. (WIKIPÉDIA, 2011)

45
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de determinada área, etc. É uma forma de
entrar em organizações que não necessita da força bruta ou de erros em máquinas.
Explora as falhas de segurança das próprias pessoas que, quando não treinadas para
esses ataques, podem ser facilmente manipuladas. (WIKIPEDIA, 2011)
É importante salientar que, independentemente do hardware, software e
plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano,
o qual possui traços comportamentais e psicológicos que o torna susceptível a
ataques de Engenharia Social. Dentre essas características, pode-se destacar:
(LOPES; FARIAS; NUNES, 2011)
• Vontade de ser útil: o ser humano, normalmente, procura agir com cortesia,
bem como ajudar outros quando necessário;
• Busca por novas amizades: ao ser bajulado, mesmo que por
desconhecidos, normalmente o ser humano torna-se mais vulnerável e
aberto a dar informações;
• Propagação de responsabilidade: trata-se da situação na qual o ser
humano considera que ele não é o único responsável por um conjunto de
atividades, e a divide de forma indiscriminada, em alguns casos;
• Persuasão: Compreende quase uma arte a capacidade de persuadir
pessoas, onde se busca obter respostas específicas. Isto é possível
porque as pessoas têm características comportamentais que as tornam
vulneráveis à manipulação.
Existem, no entanto, práticas voltadas à prevenção da Engenharia Social, na
tentativa de blindar a empresa e seus colaboradores. A incitativa, no entanto, deve
partir conjuntamente da empresa e de seus colaboradores.

46
[..]. Transformar o usuário em um agente de segurança, em um "Policial
Corporativo" é o grande desafio. Desafio este que se conseguido trará bons
frutos. O prêmio é um ambiente infinitamente mais seguro. Se a equipe de
Segurança da Informação conseguir ganhar um funcionário de cada setor,
aumentará e muito o nível de segurança da corporação. Vai conseguir
multiplicar as informações de forma mais proveitosa e a consciência de
segurança estará fazendo parte das atividades e do dia-a-dia de cada
funcionário. (ARAUJO, 2005)
Um bom e prático programa de treinamento para os colaboradores, no
combate a Engenharia Social e no estímulo à conscientização coletiva visando à
segurança das informações, consiste em levar a organização a ter e saber:
(MITNICK; SIMON, 2003)
• Uma descrição do modo como os atacantes usam habilidades da
engenharia social para enganar as pessoas;
• Os métodos usados pelos engenheiros sociais para atingir seus objetivos;
• Como reconhecer um provável ataque da engenharia social;
• O procedimento para o tratamento de uma solicitação suspeita;
• A quem relatar as tentativas da engenharia social ou os ataques bem
sucedidos;
• A importância de questionar todos os que fazem uma solicitação suspeita,
independente da posição ou importância que a pessoa alega ter;
• O fato de que os funcionários não devem confiar implicitamente nas outras
pessoas sem uma verificação adequada, embora o seu impulso seja dar
aos outros o benefício da dúvida;
• A importância de verificar a identidade e a autoridade de qualquer pessoa
que faça uma solicitação de informações ou ação;
• Procedimentos para proteger as informações confidenciais, entre eles a
familiaridade com todo o sistema de classificação de dados;

47
• A localização das políticas e dos procedimentos de segurança da empresa
e a sua importância para a proteção das informações e dos sistemas de
informações corporativas;
• Um resumo das principais políticas de segurança e uma explicação do seu
significado. Por exemplo, cada empregado deve ser instruído sobre como
criar uma senha difícil de adivinhar;
• A obrigação de cada empregado de atender às políticas e as
conseqüências do seu não-atendimento.
Os elementos que impactam a Segurança da Informação na corporação e
que tenham influência de seus colaboradores devem ser divulgados para todos da
empresa. A eficácia da gestão da segurança da informação em uma organização
poderá ser totalmente comprometida caso seus colaboradores sejam vulneráveis a
ataques de Engenharia Social.
3.6As ameaças virtuais contra a Segurança da Informação
Além da Engenharia Social, que explora a vulnerabilidade humana, existem
mecanismos que exploram também as vulnerabilidades físicas e lógicas de um
sistema computacional. Esses sistemas podem ser propagados em outros de forma
automática, ou podem depender de alguma interação humana. Sua existência, no
entanto, depende da criação humana, que os concebem através de códigos
maliciosos.
O software malicioso, conhecido como Malware, é um programa (código,
scripts, conteúdo ativo, entre outros software) concebido com o intuito de interferir na
operação normal de um sistema, adquirir informações que possam violar a
privacidade de um usuário e aproveitar-se destas, obter acesso não-autorizado a
sistemas ou recursos, e qualquer outro comportamento abusivo. A expressão é um
termo generalista, usado por profissionais da informática na definição de software
hostis, intrusivos ou inoportunas ao usuário.

48
Segundo Donato (2010), foram descobertos mais de 45 milhões de malwares
em um período entre 2003 e 2010.
Muitos antigos programas de infecção, incluindo o primeiro Worm de Internet
e vários de MS-DOS, foram escritos como experimentos ou brincadeiras.
Eram em geral destinados a serem inofensivos ou simplesmente inoportunos,
ao invés de causarem sérios danos aos sistemas dos computadores. Em
alguns casos, o perpetrador não percebia quão danos sua criação poderia
causar. Jovens programadores, aprendendo sobre vírus e suas técnicas, os
escreviam por simples questão de pratica, ou para ver o quão rápido eles se
espalhariam. Ainda em 1999, vírus espalhados amplamente, como o Melissa
e o vírus David, aparentemente foram escritos com o intuito de serem
brincadeiras. O primeiro vírus para dispositivo móvel, Cabir, apareceu em
2004. (WIKIPÉDIA, 2011, tradução livre)
O CERT.br mantém estatísticas sobre notificações de incidentes (malwares e
outros) reportados. Estas notificações são voluntárias e refletem os incidentes
ocorridos em redes públicas e privados, que, espontaneamente, notificam o órgão.

49
Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011.
Fonte: CERTBR (2011).
Pode-se observar que os incidentes reportados no primeiro trimestre de 2011
equivalem a 63% de todo o montante de 2010. Caso a freqüência seja mantida, em
2011 o valor de incidentes reportados superará em 154% os valores de 2010,
chegando ao número final de 571.376 incidentes de segurança reportados.
Estes incidentes de segurança podem ser desmembrados em:

50
• Tipos de ataque, como malwares e fraudes:
Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.
• As tentativas de fraude, por sua vez, são desmembradas do gráfico acima
e detalhadas a seguir:
Figura 5. Fraudes no Brasil, de jan. a mar. 2011.
Podem-se expressar as porcentagens acima em números:
Figura 6. Tabela com os tipos de ataque.

51
Pode ser observado um maior número de ataques do tipo scan e fraudes,
além de um aumento considerável em Março em relação a Janeiro, em todos os tipos
de ataque. Nota-se, também, que a classificação “outros” aumentou de maneira mais
acentuada que os outros, porém, não houve qualquer tentativa do Cert.br de
decompor esta categoria.
3.6.1 VÍRUS E WORMS
Os mais conhecidos malwares de infecção, vírus e worms, são caracterizados
pela maneira com que se espalham em um sistema. O termo “vírus de computador” é
usado para identificar um programa que, ao ser executado pelo usuário, causa a
distribuição do vírus através da infecção de outros arquivos presentes no disco rígido
e unidades removíveis (pen drives, disquetes e outros). Por outro lado, o worm é um
programa que contagia outros executáveis de forma ativa, e se dissemina de forma
automática numa rede de computadores. (WIKIPÉDIA, 2011)
3.6.2 TROJAN HORSES
Um software de aparência inofensiva, podendo conter um elemento que seja
de interesse do usuário como um arquivo de áudio, vídeo ou imagem, mas que possui
também um malware embutido em seu conteúdo, que é juntamente executado e
disseminado no computador do usuário assim que o software é executado.
3.6.3 ROOTKITS
A finalidade principal deste elemento é fazer com que um malware
permaneça oculto, “enganado” o sistema operacional ao confundir o malware com
outro elemento fundamental para o correto funcionamento do sistema, que não
poderia ser movido ou excluído devido a sua suposta importância. Além disso, ele
também oculta o malware em um sistema, não o exibindo na lista de processos, e
também consegue criar vários sub-processos a partir de um processo principal de um
malware, dificultando o termino de sua execução.

52
3.6.4 BACKDOORS
É um método de contornar a autenticação padrão de um sistema, dando
acesso direto a um atacante na Internet ao computador infectado de um usuário. O
backdoor, normalmente se instala através de trojan horses ou worms.
3.6.5 SCAN
Malware que realiza varreduras em redes de computadores, presentes na
LAN, WAN e na Internet, com o intuito de identificar quais dispositivos estão ativos e
quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por
atacantes para identificar potenciais alvos, pois permite associar vulnerabilidades aos
serviços habilitados em um computador.
3.6.6 SPYWARES/ADWARE
Os spywares, também conhecidos como stealwares, são geralmente
produzidos com o intuito de coletar informações sobre usuários infectados. Possui um
subtipo (adware) que possui como objetivo induzir o usuário a consumir um produto
ou serviço, através de pop-ups com anúncios ao abrir-se o navegador, alteração da
homepage e direcionamento de resultados de programas de busca para páginas
"patrocinadoras" do adware. Em alguns casos, as empresas beneficiadas dividem os
lucros dos acessos com os criadores dos adware.
3.6.7 BOTNETS
Ao se instalarem em um ou mais sistemas, os malwares podem ser
remotamente controlados pelos botnets, utilizando um sistema específico na Internet
para controlar dispositivos infectados e assim disseminarem-se numa escala
geométrica através da rede.

53
Nos EUA, onde o Spaming é considerado crime, a utilização do botnet para
disseminação de spam dificulta os trabalhos investigativos, pois dificulta a
identificação da real original do spam e, conseqüentemente, do real infrator.
3.6.8 KEYLOGGERS
Este subtipo de spyware, geralmente distribuído através de trojan horses e
propagado através de botnets, instala-se no dispositivo do usuário e cria logs de
todas as teclas digitadas.
Os objetivos, entre outros, são: obter números de contas e senhas bancárias,
números de cartões de crédito, senhas de logins diversas e números de licenças de
software.
Os logs podem ser recuperados pelo infrator através do auxilio de um
backdoor, por exemplo, ou através da recuperação de hardware, quando um
keylogger do tipo físico é utilizado.

54
3.6.9 PHISHING SCAM
O termo é uma alusão às palavras da língua inglesa "pescar" e "fraude",
devido à maneira com que ao golpe é realizado. O objetivo deste golpe é "pescar"
dados através da Internet. É amplamente utilizado para roubar senhas e dados
pessoais de vítimas, e considerado um dos tipos mais comuns de prática de fraude
via Internet.
Através de e-mails e páginas falsas, geralmente camufladas com os nomes
de bancos e outras instituições financeiras, os perpetradores procuram convencer o
usuário a ceder suas senhas e seus dados pessoais, com o objetivo de furtar suas
contas bancárias ou conseguir dados pessoais sigilosos (CPF, telefones privados,
entre outros) para a prática de outras fraudes maiores.
3.6.10RFI
É um tipo de vulnerabilidade, encontrada com mais freqüência em páginas
Web, que permite ao atacante incluir um arquivo remoto no Servidor Web, onde as
páginas são organizadas, através de um script (arquivo contendo comandos
utilizados para escrever rotinas e automatizar tarefas nos computadores
Este script pode simular, por exemplo, a página de login do site, capturando
os valores digitados pelo usuário e enviando-os ao atacante. O RFI também pode ser
usado na arquitetura de ataques do tipo DoS.
3.6.11DoS
É uma tentativa de fazer com que um determinado sistema ou recurso
computacional fique indisponível aos seus usuários. Alvos típicos são servidores web,
e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata
de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques
de negação de serviço são feitos geralmente de duas formas:

55
• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como
memória ou processamento, por exemplo) de forma que ele não possa
mais fornecer seu serviço;
• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima
de forma a não comunicarem-se adequadamente.
3.6.12DDoS
Em um ataque distribuído de negação de serviço, um computador mestre
(denominado "Master") pode ter sob seu comando até milhares de computadores
("Zombies" - zumbis). O ataque consiste em fazer com que os Zumbis (máquinas
infectadas e sob comando do Mestre) se preparem para acessar um determinado
recurso em um determinado servidor em uma mesma hora de uma mesma data.
Passada essa fase, numa determinada hora, todos os zumbis (ligados e conectados à
rede) acessarão, ao mesmo tempo, o mesmo recurso do mesmo servidor.
3.6.13MITM
Este tipo de ataque baseia-se na violação da privacidade de uma
comunicação entre dois pontos. O perpetrador realiza conexões independentes entre
as vítimas, geralmente apoiado por software de violação de criptografia de conexões
sem fio, e transmite mensagens entre elas, com o intuito de levá-las a acreditar que
estão conversando diretamente umas com as outras. O atacante, então, obtém
informações privadas destas vitimas.

56
3.6.14SPOOFING
Interceptar, alterar e retransmitir um sinal ou dado criptografado, de forma
que o recipiente seja enganado. É usado como tentativa para acessar um sistema
restrito, pois permite que o invasor utilize uma identificação interceptada de um
usuário autorizado.
3.7Mecanismos preventivos
3.7.1 MEDIDAS COMPORTAMENTAIS
Existem medidas comportamentais que podem ser adotadas por qualquer
usuário, dentro e fora da empresa, na tentativa de se manter protegido de malwares,
seja em ambiente corporativo ou público: (DONATO, 2010)
• Não abra e-mails ou mensagens de estranhos, principalmente ao utilizar
email corporativo. Regra válida também para redes sociais;
• Não clique nos links incluídos nos e-mails, mesmo que venham de fontes
seguras. É melhor digitar novamente o endereço diretamente no
navegador;
• Caso o link seja clicado, prestar atenção na página que irá abrir. Se algo
lhe parecer estranho, feche o navegador;
• Não abra arquivos anexados se vierem de fontes desconhecidas. Evite
extensões do tipo .exe (executáveis), .bat (arquivo de instruções);
• Somente compre pela Internet em sites que tenham uma reputação sólida
e ofereçam transações seguras. Para verificar se uma página é segura,
observe o certificado em forma de um pequeno cadeado amarelo ao lado
do endereço ou no canto inferior da tela;
• Não use computadores públicos ou de uso compartilhado, como de lan
houses, para realizar transações financeiras, visualizar emails da empresa

57
ou operações que necessitem a colocação de senhas ou outras
informações pessoais, como VPNs corporativas;
• Tenha um programa de segurança eficiente instalado em seu computador,
que seja tanto capaz de detectar vírus como outras ameaças virtuais;
• As empresas devem procurar estabelecer políticas de criação e
manutenção de senhas em seus domínios, evitando que uma senha seja
criada com números seqüenciais ou data de nascimento, por exemplo.
Essa medida pode ser adotada no dia-a-dia, e também dificulta que
atacantes descubram senhas de acesso;
• Não divulgar, sob hipótese alguma, seu login e senha de acesso a
sistemas de sua empresa. Além de se perder o controle sobre quem
acessará o sistema, os logins efetuados no sistema ficam geralmente
armazenados em repositórios, e caso seja constatado que houve uma
irregularidade iniciada de seu login, será bastante difícil comprovar que o
dono do mesmo não teve participação no evento.
Além das medidas comportamentais, que podem ser estimuladas pela
organização através de campanhas de conscientização e treinamento, ela pode
adotar hardware e software avançados na tentativa de proteger seu ambiente de
invasões.
3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO
3.7.2.1 Firewall
Nome dado ao dispositivo de uma rede de computadores que tem por
objetivo aplicar uma política de segurança a um determinado ponto de controle da
rede. Sua função consiste em regular o tráfego de dados entre redes distintas e
impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma
rede para outra. (WIKIPÉDIA, 2011)

58
3.7.2.2 IDS/IPS
Os IDS são meios técnicos de descobrir em uma rede quando esta está tendo
acessos não autorizados que podem indicar a ação de um cracker ou até mesmo
funcionários mal intencionados. (WIKIPÉDIA, 2011)
Já os IPS são appliances de segurança que monitoram atividades da rede
e/ou sistemas em busca de atividade maliciosa. As principais funções de um IPS são
identificar atividade maliciosa, armazenar logs, tentativas de bloquear/paralisar
ataques e geração de relatórios. O IPS é considerado extensão do sistema de IDS,
sendo a principal diferença a capacidade do IPS de bloquear e prevenir que intrusões
ocorram, ao invés de somente identificá-las. (Id., 2011)
3.7.2.3 Filtros de conteúdo
Conhecidos também como censorware, é um software designado para
controlar qual conteúdo Web é permitido para um determinado usuário ou grupo de
usuários, bloqueando acesso para sites que não estejam previamente liberados ou
que possuam conteúdo indevido, de acordo com a política de segurança da
organização. (WIKIPÉDIA, 2011)
3.7.2.4 Antivírus
Usado para prevenir, detectar e remover malwares. Devido a sua constante
atividade dentro do sistema operacional, seu uso pode afetar o desempenho do
dispositivo do usuário. As diversas empresas desenvolvedoras de software antivírus
disponibilizam bases de dados com novas ameaças, de forma constante. O sistema
pode efetuar uma varredura no acesso ao arquivo, ou de forma constante, e compara
o mesmo com sua base dados, determinando assim se o objeto é malicioso ou não.
(WIKIPÉDIA, 2011)

59
3.7.2.5 HoneyPot
É uma ferramenta que tem a função de propositalmente simular falhas de
segurança de um sistema e colher informações sobre o invasor. Atua como uma
espécie de armadilha para invasores. (WIKIPÉDIA, 2011)
De forma geral, consiste em um computador, dado ou local na rede que
aparenta ser um local real da rede corporativa, porém, é um elemento separado e
monitorado individualmente. Os atacantes, então, ao acreditarem que o segmento é
de fato parte da rede, direcionam seus ataques a ele. Os ataques podem, então, ser
analisados posteriormente. (Id., 2011)
3.7.2.6 Antispam
Spam é um termo usado para se referir ao envio indiscriminado de
mensagens eletrônicas não solicitadas a um número de pessoas. Software e
dispositivos antispam atuam ativamente nos servidores de correio eletrônico,
analisando todas as mensagens de e-mail trafegadas na rede e comparando com sua
base de remetentes classificados como spam, base esta mantida por órgãos como o
<http://www.spamhaus.org/sbl>.
Caso o e-mail venha de um remetente apontado como spam,
automaticamente a mensagem é barrada pelo antispam, não chegando ao
destinatário. Os remetentes classificados como spam são armazenados na chamada
"lista negra" do órgão, atualizada constantemente por usuários da Internet. Caso o
remetente tenha sido classificado erroneamente como spam, é possível recorrer ao
órgão e retirar o mesmo da lista.

60
3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE
ACESSOS A AMBIENTES
Através da classificação da informação, procura-se controlar a maneira com
que ela se espalha em um ambiente. No caso de vazamento de informações restritas
ou confidenciais, por exemplo, o processo de averiguação torna-se mais assertivo,
pois existe maior controle sobre os grupos que recebem a informação. Definições de
classificação de informação: (VILABLOG, 2010)
• Informação Pública: É toda informação que pode ser acessada por
usuários da organização, clientes, fornecedores, prestadores de serviços e
público em geral;
• Informação Interna: É toda informação que só pode ser acessada por
funcionários da organização. São informações que possuem um grau de
confidencialidade que pode comprometer a imagem da organização;
• Informação Confidencial: É toda informação que pode ser acessada por
usuários da organização e por parceiros da organização. A divulgação não
autorizada dessa informação pode causar impactos financeiros, de imagem
ou operacionais ao negócio da organização ou ao negócio do parceiro;
• Informação Restrita: É toda informação que pode ser acessada somente
por usuários da organização explicitamente indicado pelo nome ou por
área a que pertence. A divulgação não autorizada dessa informação pode
causar sérios danos ao negócio e/ou comprometer a estratégia de negócio
da organização.
Todo Gerente/Supervisor deve orientar seus subordinados a não circularem
informações e/ou mídias consideradas confidenciais e/ou restritas, como também,
não deixar relatórios nas impressoras e mídias em locais de fácil acesso, tendo
sempre em mente o conceito "mesa limpa", ou seja, ao terminar o trabalho não deixar
nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. (Id., 2010)

61
Além da classificação da informação, é possível estabelecer medidas
restritivas sobre certos ambientes, desde a inclusão de maiores controles de acesso
até gestão de ativos. Exemplos: (VILABLOG, 2010)
• Barreiras físicas adicionais, com mecanismos que verificam a identidade e
as autorizações de acesso;
• Acesso somente com autorização prévia e acompanhada de um superior
ou designado;
• Proibir a entrada, em determinados ambientes, portando dispositivos
móveis (celulares, PDAs, entre outros) e dispositivos de armazenamento
externos (memórias USB e HD’s portáteis);
• Não autorizar ou limitar o acesso de dispositivos externos a rede da
organização, através da gestão de ativos.
Ao iniciar seu trabalho na empresa, o colaborador recebe dela todos os ativos
necessários para seu trabalho, como celulares, laptops e desktops. Desta forma, ela
não permite que dispositivos externos que não façam parte dos ativos da organização
acessem seus dados, além do que ela tem total gestão sobre o hardware e o software
destes dispositivos.
Em caso de suspeita de fraude ou vazamento de informações, a empresa tem
total liberdade de examinar o ativo, sem autorização legal prévia; caso o ativo
pertencesse ao colaborador, ela não teria este direito legal implícito, dependendo de
prévia outorga jurídica para periciar o ativo.
A empresa também pode controlar a distribuição de atualizações de bases de
dados de antivírus, além de controlar os software que porventura estejam instalados
no dispositivo e não sejam homologados pela organização.

62
Em caso de real necessidade de acesso de um dispositivo externo à rede da
empresa, a empresa pode designar um grupo de sua área de segurança da
informação para avaliar, através de ferramentas específicas, quais os potenciais
riscos que o dispositivo externo carrega, autorizando-o ou não a acessar a rede da
corporação.
A adoção de tais medidas preventivas contribui para: (GORDON, 2007)
• Reduções de malware, prevenindo que sistemas sejam infectados, sofram
indisponibilidade e exijam a adoção de medidas muitas vezes de alto
custo, assim como o vazamento de informações;
• Maior produtividade dos colaboradores e redução no uso de banda da
rede;
• Prevenção de prejuízos decorrentes de processos legais, por não
cumprimento de obrigações legais ou na averiguação de casos de
vazamento de informações;
• Aprimoramento na proteção de informações e propriedade intelectual,
prevenindo que informações confidenciais vazem e a reputação da
empresa seja colocada em jogo.
Em um caso extremo, vazamento de informações críticas pode resultar em
processos criminais, perda de clientes, de capital e conseqüentemente, de mercado,
resultando na falência da organização. (Id., 2007)
3.8Vazamento de informações em ambientes corporativos
A vulnerabilidade das redes corporativas cresce em ritmo mais acelerado do
que as atualizações e correções dos Sistemas de Informação. Apesar dos antivírus e
firewall estarem em todas as empresas, isso não é suficiente para que o sistema
esteja livre de vírus, cavalos de tróia, ataques combinados, vazamento de
informações ou fraudes.

63
Um caso que provocou repercussão mundial foi o ataque a rede intitulada
PSN a fabricante japonesa Sony, ocorrido em abril de 2011.
Segundo Romano (2011) os criminosos alugaram Servidores da Amazon e
realizam o ataque através deles para não serem identificados. Para isso, eles teriam
usados cartões de créditos roubados para alugarem o serviço e de lá executarem os
ataques sem que ninguém percebesse. Como resultado do ataque, determinadas
informações de contas de usuários das Redes PlayStation Network e Qriocity foram
expostas.
Outro caso recente de ataque, que resultou na exposição de informações
estratégicas a respeito dos armamentos atualmente empregados pelo Exército dos
Estados Unidos no Afeganistão e dados sobre tecnologias bélicas em
desenvolvimento, ocorreu em maio de 2011 nos servidores de companhias militares
que têm contratos com o Governo dos Estados Unidos. (UOL, 2011)
O ataque ocorreu a partir do momento em que atacantes conseguiram driblar
o Sistema de Segurança dos Servidores, ao duplicar as chaves eletrônicas
desenvolvidas pela RCA, Divisão de Segurança da Companhia de Tecnologia de
Informação EMC. (Id., 2011)
A chave eletrônica "SecurID", desenvolvida pela RCA, é um mecanismo que
constantemente gera novas senhas, em um esforço para evitar que os hackers
possam identificar uma determinada senha usada de modo recorrente. (Id., 2011)
Os hackers teriam conseguido duplicar essas chaves eletrônicas a partir de
dados roubados dos sistemas da empresa EMC, durante outro sofisticado ataque.
(Id., 2011)
Em janeiro de 2009, como mostra a Figura 7, o Grupo Symantec, conduziu
nos EUA uma pesquisa entre 1000 pessoas que haviam saído de empresas durante o
ano de 2008. A pesquisa mostrava que 59% dos entrevistados roubaram informação
confidencial, como listas de clientes da empresa. (LEE et al., 2009)

64
Além disso, 53% responderam que copiaram informação confidencial para
CD ou DVD, 45% copiou data para memória USB e 35% respondeu que usou e-mail
corporativo para enviar correio pessoal. (LEE et al., 2009)
Finalmente, 75% responderam que obteve dados sem a permissão prévia,
82% respondeu que não havia auditoria ou verificação de documentos eletrônicos até
sua saída da companhia. Por fim, 24% responderam que eles ainda podiam acessar
os sistemas da companhia e sua rede privada, mesmo após a sua saída dela. (Id. et
al., 2009).
Figura 7 - Tipos de vazamento de informações.
Fonte: Lee et al. (2009).
Como descrito na pesquisa, existiram diversos canais de vazamento de
informação, mas quatro foram utilizados com maior freqüência: cópia de arquivos
para dispositivos de armazenamento ou memórias USB; queima de dados em
CD/DVD; envio de dados através de emails e transmissão ou cópia de arquivos para
dispositivos móveis, como PDAs e celulares.
O descarte da informação também deve ser uma preocupação para as
organizações, e até mesmo a lata de lixo de uma empresa pode ser uma fonte de
vazamento de informações.

65
Segundo Hunt (2009), informações sensíveis podem estar dentro de uma
memória portátil USB esquecida em uma gaveta, na lata de lixo, na pilha de fax
descartada e muitos outros lugares, somente esperando para serem encontradas por
criminosos. (GOODCHILD, 2009)
Organizações que não tomam o cuidado devido na destruição de cópias
impressas de informação sensível correm o risco de terem informação
confidencial caindo em mãos não autorizadas. Ao invés de ter tais
informações destruídas de forma segura, profissionais acabam por
simplesmente jogar suas informações confidenciais (talvez
inconscientemente) no lixo. Um atacante pode decidir invadir a lixeira da
companhia e descobrir estas informações. Esta prática se estende também
para informação armazenada em CDs e DVDs, assim como todo o material
impresso. (GORDON, 2007, tradução livre)
A técnica conhecida como "dumpster diving", termo proveniente do inglês e
traduzido livremente como "mergulho na lixeira", consiste em vasculhar as lixeiras de
organizações em busca de itens que possam carregar informação confidencial e/ou
privilegiada e que tenham sido indevidamente descartados, como dados de clientes
armazenados em laptops, cheques (no caso de bancos), entre outros.
Utilizando como exemplo, em uma instituição financeira, foi averiguada a
lixeira de uma organização, e dela se obteve: (HUNT, 2009 apud GOODCHILD, 2009)
• Informações sobre transferências bancárias, incluindo transações entre
bancos americanos e jordanianos, sauditas ou portugueses. Os
documentos continham os números de documentos pessoais e nomes de
ambos remetente e destinatário das transações;
• Cópias de cheques de diversos clientes, com todos os dados legíveis,
incluindo sua assinatura;
• Históricos de transações financeiras, incluindo dados de um político da
região;

66
• Demonstrativo financeiro de um cidadão bastante rico, incluindo o
endereço completo da casa do indivíduo, números de várias contas
abertas e números de vários documentos do mesmo;
• Um desktop inteiro e intacto, com o disco rígido pronto para ser extraído e
analisado.
Portanto, as políticas de descarte são também um ponto a ser levado em
consideração por empresas que procurem eficiência na gestão do ciclo de vida de
uma informação.
Medidas como a utilização de trituradores de papel, destruição de dispositivos
que serão descartados (formatá-los não basta, pois existem maneiras de recuperar
arquivos de discos que tenham sido previamente formatados) e a criação de políticas
de conscientização institucional sobre o tema também são medidas bem vindas na
proteção contra o vazamento de informações.
3.9O CERT.br
Existem vários grupos em todo o mundo que auxiliam no estudo, na resposta
e no tratamento de incidentes de segurança da informação; a primeira e principal
fonte de informação para esses grupos é o CERT.org (conhecido também como
CSIRT). (WIKIPÉDIA, 2011)
O grupo de estudo brasileiro é o CERT.br, que faz parte do Comitê Gestor da
Internet no Brasil e que tem como principal função a unificação das informações de
incidentes de segurança com a colaboração de diversas entidades para a informação,
análise e solução de problemas ocasionados. (Id., 2011)

Perícia Forense Apoia Segurança Contra Crimes Digitais

Perícia Forense Apoia Segurança Contra Crimes Digitais

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Perícia Forense Apoia Segurança Contra Crimes Digitais

Semelhante a Perícia Forense Apoia Segurança Contra Crimes Digitais (20)

Perícia Forense Apoia Segurança Contra Crimes Digitais