CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA
FACULDADE DE TECNOLOGIA DE MAUÁ
RODRIGO FONTES
PERÍCIA FORENSE DIGITAL...
RODRIGO FONTES
PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA
INFORMAÇÃO
Monografia apresentada à FATEC - Mauá, como
part...
FONTES, Rodrigo
Perícia Forense Digital Apoiando a Segurança da Informação. Rodrigo
Fontes.
128 p.; 30 cm.
TCC (Trabalho d...
RODRIGO FONTES
PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA
INFORMAÇÃO
Monografia apresentada à FATEC-Mauá,
como parte ...
Dedico esta monografia aos meus pais,
Tânia Regina e Moacyr Fontes, pelo esforço
que desempenharam para me ajudar a
chegar...
AGRADECIMENTO
Aos meus colegas nesta instituição: Cleiton Romualdo, Paulo Pelossi, Felipe
Bastos, Robert Willian, André Pe...
"A situação está sob controle. Só não
sabemos de quem."
(Mario Covas)
RESUMO
A informática, a Internet e as redes corporativas são aliadas das organizações na
busca por maior produtividade e a...
LISTA DE ILUSTRAÇÕES
Figura 1 - Página Principal do CCIPS ...................................................................
LISTA DE SIGLAS E ABREVIATURAS
Lista de Siglas
ABIN - Associação Brasileira de Inteligência.
ACE - AccessData Certified Ex...
PDA - Personal Digital Assistant - Assistente Pessoal Digital.
PL - Projeto de Lei.
SATA - Serial Advanced Technology Atta...
SUMÁRIO
1 INTRODUÇÃO.................................................................................................. 15
...
13
3.7 MECANISMOS PREVENTIVOS.................................................................................. 56
3.7.1 M...
14
5.2 PREPARAÇÃO .................................................................................................... 102...
15
1 INTRODUÇÃO
Com um volume que já ultrapassou a barreira dos 73 milhões de usuários no
Brasil (FOLHA, 2011), a Rede de ...
16
Em 2008, empresas, governos e universidades revelaram um aumento
recorde (69%) de violações de dados somente no primeir...
17
mecanismos de defesa que a Segurança da Informação fornece os tipos de ameaça
e, finalmente, como a Perícia Forense Dig...
18
2 DIREITO DIGITAL
Segundo Wikipédia (2011) o Direito é um "sistema de normas de conduta
imposto por um conjunto de inst...
19
D’antona (2010) apud Donato (2010) afirma que "pela primeira vez em 2010
os crimes virtuais resultaram em maior prejuíz...
20
Existe um vácuo de 5% na legislação brasileira quando se trata de crimes na
Internet, como a invasão de computadores, q...
21
Criar uma Comunidade sobre a prática de atos
ilícitos
APOLOGIA DE CRIME OU
CRIMINOSO.
Art.287 do
C.P.
Enviar e-mail com...
22
Tabela 2 - Dispositivos legais relacionados à Segurança da Informação
Dispositivo Mandamento Legal
Aspecto da Segurança...
23
Reforçando o pensamento, ICOFCS (2006) apud PRETO (2009) diz que os
chamados "crimes cibernéticos" normalmente podem se...
24
2.1.1 PROJETOS DE LEI
Para Lima (2007), algumas ações como difusão de vírus, acesso indevido a
redes, violação de infor...
25
Tabela 3 - Resumo do PL-89/2003.
Nova Conduta Nova Tipificação do Crime
Disseminar Phishing Scam. ESTELIONATO ELETRÔNIC...
26
Houve também crítica proveniente do criador da Wikipédia, Jimmy Wales,
dizendo, após ler a tradução deste Projeto de Le...
27
Em 1999, foi sancionada pelo então Presidente Lula a Lei 9883/99, que
institui o Sistema Brasileiro de Inteligência, no...
28
Figura 1 - Página Principal do CCIPS
Fonte: CCIPS (2011).
A Divisão de Crime Informático & Propriedade Intelectual é re...
29
Com o objetivo de trabalhar nestes eventos, os advogados do CCIPS
constantemente se envolvem em investigações complexas...
30
O processo de julgamento e a pena aplicada, no entanto, é condicionada à
jurisdição onde o caso está sendo julgado, aos...
31
A Figura 2 lista os seguintes casos podem ser observados nesta relação:
• Caso "U.S v. Ancheta" - Califórnia, 2006: pri...
32
2.3Considerações finais do Capítulo 2
Ao se comparar o tratamento do crime digital nos EUA e no Brasil, nota-se
que não...
33
"Em breve, não haverá outra forma de atuar no Direito sem envolver no
mínimo situação com provas eletrônicas, bancos de...
34
3 SEGURANÇA DA INFORMAÇÃO
Mas só punição adianta? Efetivamente que não [...]. A resposta é a efetiva
gestão de seguranç...
35
Seguindo os padrões internacionais de Confidencialidade, de Integridade e da
Disponibilidade (CIA, em inglês) represent...
36
3.1Importância da Segurança da Informação para as organizações
A informação deve ser protegida de maneira constante, co...
37
Dentro deste contexto, Monteiro (2011) apud Inspirit (2011) diz que
As organizações começam a olhar para sua infra-estr...
38
Falando em normas e certificações, ela pode simplesmente não conseguir
entrar num determinado segmento de mercado ou se...
39
o Políticas de Segurança;
o Políticas para criação de senhas e assinaturas de e-mail.
• Lógico: também chamado de contr...
40
• ISO 27000: Vocabulário de Gestão da Segurança da Informação;
• ISO 27001: Publicada em outubro de 2005; fala de reque...
41
Tornou-se necessário, então, criarem-se padrões para manter a
transparência e obterem-se informações fidedignas. Por fi...
42
implementação realista, e definir claramente as áreas de responsabilidade dos
utilizadores, do pessoal de gestão de sis...
43
Falando em incidente de segurança, segundo NBSO (2003), um incidente de
segurança pode ser definido como "qualquer even...
44
• Definição das responsabilidades gerais e especificas na gestão de
segurança da informação, incluindo o registro dos i...
45
Para isso, o golpista pode se passar por outra pessoa, assumir outra
personalidade, fingir que é um profissional de det...
46
[..]. Transformar o usuário em um agente de segurança, em um "Policial
Corporativo" é o grande desafio. Desafio este qu...
47
• A localização das políticas e dos procedimentos de segurança da empresa
e a sua importância para a proteção das infor...
48
Segundo Donato (2010), foram descobertos mais de 45 milhões de malwares
em um período entre 2003 e 2010.
Muitos antigos...
49
Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011.
Fonte: CERTBR (2011).
Pode-se observar que os incident...
50
• Tipos de ataque, como malwares e fraudes:
Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.
Fonte: CERTBR (20...
51
Pode ser observado um maior número de ataques do tipo scan e fraudes,
além de um aumento considerável em Março em relaç...
52
3.6.4 BACKDOORS
É um método de contornar a autenticação padrão de um sistema, dando
acesso direto a um atacante na Inte...
53
Nos EUA, onde o Spaming é considerado crime, a utilização do botnet para
disseminação de spam dificulta os trabalhos in...
54
3.6.9 PHISHING SCAM
O termo é uma alusão às palavras da língua inglesa "pescar" e "fraude",
devido à maneira com que ao...
55
• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como
memória ou processamento, por exemplo) de...
56
3.6.14SPOOFING
Interceptar, alterar e retransmitir um sinal ou dado criptografado, de forma
que o recipiente seja engan...
57
ou operações que necessitem a colocação de senhas ou outras
informações pessoais, como VPNs corporativas;
• Tenha um pr...
58
3.7.2.2 IDS/IPS
Os IDS são meios técnicos de descobrir em uma rede quando esta está tendo
acessos não autorizados que p...
59
3.7.2.5 HoneyPot
É uma ferramenta que tem a função de propositalmente simular falhas de
segurança de um sistema e colhe...
60
3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE
ACESSOS A AMBIENTES
Através da classificação da informação, pro...
61
Além da classificação da informação, é possível estabelecer medidas
restritivas sobre certos ambientes, desde a inclusã...
62
Em caso de real necessidade de acesso de um dispositivo externo à rede da
empresa, a empresa pode designar um grupo de ...
63
Um caso que provocou repercussão mundial foi o ataque a rede intitulada
PSN a fabricante japonesa Sony, ocorrido em abr...
64
Além disso, 53% responderam que copiaram informação confidencial para
CD ou DVD, 45% copiou data para memória USB e 35%...
65
Segundo Hunt (2009), informações sensíveis podem estar dentro de uma
memória portátil USB esquecida em uma gaveta, na l...
66
• Demonstrativo financeiro de um cidadão bastante rico, incluindo o
endereço completo da casa do indivíduo, números de ...
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Monografia_RodrigoFontes_FATECMaua_0710660
Próximos SlideShares
Carregando em…5
×

Monografia_RodrigoFontes_FATECMaua_0710660

59 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
59
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
0
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Monografia_RodrigoFontes_FATECMaua_0710660

  1. 1. CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE MAUÁ RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO MAUÁ / SÃO PAULO 2011
  2. 2. RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC - Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Orientador: Prof. M.Sc. Luiz Carlos Magarian. MAUÁ / SÃO PAULO 2011
  3. 3. FONTES, Rodrigo Perícia Forense Digital Apoiando a Segurança da Informação. Rodrigo Fontes. 128 p.; 30 cm. TCC (Trabalho de Conclusão de Curso). CEETEPS/FATEC – Mauá/SP, 1º Sem. 2011. Orientador: Prof. M.Sc. Luiz Carlos Magarian. Referencial Bibliográfico: p. 123. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
  4. 4. RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC-Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Aprovação em: __________________________________ Prof. M.Sc. Luiz Carlos Magarian FATEC-Mauá Orientador __________________________________ Profa . Nizi Voltareli Morselli FATEC-Mauá Avaliadora __________________________________ Prof. M.Sc. Osmil Aparecido Morselli FATEC-Mauá Avaliador
  5. 5. Dedico esta monografia aos meus pais, Tânia Regina e Moacyr Fontes, pelo esforço que desempenharam para me ajudar a chegar até aqui. Ao Meu Irmão, Marcelo Fontes, por todo o apoio concedido em todos os momentos, e à minha futura esposa Patricia Simone da Silva, pelo seu exemplo de vida que me cativa diariamente e por todo o carinho, amor e apoio concedidos a mim.
  6. 6. AGRADECIMENTO Aos meus colegas nesta instituição: Cleiton Romualdo, Paulo Pelossi, Felipe Bastos, Robert Willian, André Pereira, Ariane dos Santos e Janaine Alves Martins por todos os momentos de descontração e por toda cooperação em todos estes anos de FATEC. A todos os professores pelos ensinamentos e pela dedicação, especialmente ao Professor e Orientador M.Sc. Luiz Carlos Magarian, por aceitar me conduzir nesta etapa tão importante de minha vida e por toda atenção a mim dedicada. À Professora e Coordenadora do Curso de Informática para Gestão de Negócios Nizi Voltareli Morselli por todo seu apoio, dedicação e carinho com todos os alunos e ex-alunos. Aos meus amigos e colegas de trabalho pelo incentivo constante, em especial, ao Queiroz Alencar, Patric Ferreira da Silva e Renato Cavallari, que sempre demonstraram acreditar em meu potencial. Aos meus grandes amigos Leonardo Silva e Bruno Peixoto, pela amizade cultivada e pelo apoio na execução deste trabalho. Especialmente, à Luana T. Oliveira e ao Vladimir Sesar, cujos conhecimentos compartilhados foram fundamentais no desenvolvimento e no enriquecimento desta monografia. À minha família, pai, mãe, irmão e namorada, por estarem sempre ao meu lado, incentivando-me sempre. E, acima de tudo, a Deus, por mostrar que apesar de qualquer dificuldade nossos objetivos podem ser alcançados com perseverança e dedicação, e por estar sempre guiando meu caminho. Graças a Ele pude alcançar todos os meus objetivos na vida.
  7. 7. "A situação está sob controle. Só não sabemos de quem." (Mario Covas)
  8. 8. RESUMO A informática, a Internet e as redes corporativas são aliadas das organizações na busca por maior produtividade e alavancagem de lucros. No entanto, o anonimato propiciado por estes meios é constantemente um aliado na prática de crimes, vazamento de informações corporativas e fraudes, gerando graves incidentes de segurança. A Segurança da Informação, suas metodologias, técnicas, práticas, normas e certificações, são mecanismos utilizados na tentativa de se obter um ambiente corporativo mais controlável e protegido contra fraudes, vazamento de informações e outros crimes. No entanto, a sofisticação dos crimes cometidos no meio digital vem obrigando as empresas a responderem com mecanismos mais apuradas no combate a estes crimes. Neste contexto, as técnicas da Perícia Forense Digital vêm se tornando mais difundidas nas organizações e na investigação de incidentes de segurança, os quais podem comprometer a integridade da organização, seu posicionamento estratégico e, conseqüentemente, sua sobrevivência no mercado. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
  9. 9. LISTA DE ILUSTRAÇÕES Figura 1 - Página Principal do CCIPS ..................................................................................28 Figura 2 - Tabela de processos de crimes informáticos........................................................30 Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011............................................49 Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.....................................................50 Figura 5. Fraudes no Brasil, de jan. a mar. 2011..................................................................50 Figura 6. Tabela com os tipos de ataque. ............................................................................50 Figura 7 - Tipos de vazamento de informações....................................................................64 Figura 8 - Tableau conectado a um disco rígido...................................................................80 Figura 9 - Evidência em envelope contra interferências eletromagnéticas. ..........................82 Figura 10 - Formulário de Cadeia de Custódia.....................................................................83 Figura 11 - Microsoft COFEE. ..............................................................................................94 Figura 12 - EnCase (v 6.16.1). .............................................................................................95 Figura 13 - Recover my Files. ..............................................................................................96 Figura 14 - Dashboard do CallerIP.......................................................................................97 Figura 15 - Wireshark...........................................................................................................98 Figura 16. Formulário de cadeia de custódia (estudo de caso). .........................................111 Figura 17 - Estrutura de exibição de dados do EnCase......................................................114 Figura 18 - Visão geral do Processo Forense Digital aplicado no Estudo de Caso.............120
  10. 10. LISTA DE SIGLAS E ABREVIATURAS Lista de Siglas ABIN - Associação Brasileira de Inteligência. ACE - AccessData Certified Examiner. ACFEI - American College of Forensic Examiners Institute. CCFT - Certified Computer Forensic Technical. CCIPS - Computer Crime & Intellectual Property Section. CEH - Certified Ethical Hacker. CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. CGI - Comitê Gestor da Internet. CHFI - Certified Hacker Forensic Investigator. Checksum - SUMmation CHECK. CIA - Confidentiality, Integrity and Avaliability - Confidencialidade, Integridade e Disponibilidade. CPC - Código de Processo Civil. CPP - Código de Processo Penal. CSIRT - Computer Security Incident Response Team – Grupos de Respostas a Incidentes. ECA - Estatuto da Criança e do Adolescente. EnCE - EnCase Certified Examiner. EUA - Estados Unidos da América. Febraban - Federação Brasileira de Bancos. GIAC - Global Information Assurance Certification. GSIPR - Gabinete de Segurança Institucional da Presidência da República. ICOFCS - The International Conference on Forensic Computer Science. IHCFC - International Hi-Tech Crime and Forensics Conference. LAN - Local Area Network – Rede Local. MFT - Master File Table - Tabela de Arquivo Principal. NIC - Núcleo de Informação e Coordenação. NSRL - National Software Reference Library.
  11. 11. PDA - Personal Digital Assistant - Assistente Pessoal Digital. PL - Projeto de Lei. SATA - Serial Advanced Technology Attachment. SAS - Statements on Auditing Standards SBI - Sistema Brasileiro de Inteligência. SCSI - Small Computer System Interface. SOP - Standard Operating Procedure - Procedimento de Operação Padrão. SWGDE - Scientific Working Group on Digital Evidence. TI - Tecnologia da Informação. USB - Universal Serial Bus - Barramento Serial Universal. USC - Code of Laws of the United States of America.
  12. 12. SUMÁRIO 1 INTRODUÇÃO.................................................................................................. 15 2 DIREITO DIGITAL ............................................................................................ 18 2.1 LEGISLAÇÃO APLICADA AO CRIME VIRTUAL NO BRASIL.............................................. 19 2.1.1 PROJETOS DE LEI........................................................................................... 24 2.2 O CRIME DIGITAL NOS EUA................................................................................... 27 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA............................... 29 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA ............................ 30 2.3 CONSIDERAÇÕES FINAIS DO CAPÍTULO 2................................................................ 32 3 SEGURANÇA DA INFORMAÇÃO ................................................................... 34 3.1 IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES ................. 36 3.2 RISCOS INERENTES A AUSÊNCIA DA SEGURANÇA DA INFORMAÇÃO............................ 37 3.3 TIPOS DE CONTROLE SOBRE A SEGURANÇA DA INFORMAÇÃO ................................... 38 3.4 DIRETIVAS PARA A GESTÃO DE SEGURANÇA DA INFORMAÇÃO .................................. 39 3.5 A ENGENHARIA SOCIAL CONTRA A SEGURANÇA DA INFORMAÇÃO ............................. 44 3.6 AS AMEAÇAS VIRTUAIS CONTRA A SEGURANÇA DA INFORMAÇÃO .............................. 47 3.6.1 VÍRUS E WORMS ............................................................................................. 51 3.6.2 TROJAN HORSES ............................................................................................ 51 3.6.3 ROOTKITS ........................................................................................................ 51 3.6.4 BACKDOORS.................................................................................................... 52 3.6.5 SCAN................................................................................................................. 52 3.6.6 SPYWARES/ADWARE...................................................................................... 52 3.6.7 BOTNETS.......................................................................................................... 52 3.6.8 KEYLOGGERS.................................................................................................. 53 3.6.9 PHISHING SCAM.............................................................................................. 54 3.6.10RFI .................................................................................................................... 54 3.6.11DoS ................................................................................................................... 54 3.6.12DDoS ................................................................................................................ 55 3.6.13MITM................................................................................................................. 55 3.6.14SPOOFING ....................................................................................................... 56
  13. 13. 13 3.7 MECANISMOS PREVENTIVOS.................................................................................. 56 3.7.1 MEDIDAS COMPORTAMENTAIS..................................................................... 56 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO ............................................. 57 3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES.......................................................................................... 60 3.8 VAZAMENTO DE INFORMAÇÕES EM AMBIENTES CORPORATIVOS ................................ 62 3.9 O CERT.BR ........................................................................................................ 66 3.10 CONSIDERAÇÕES FINAIS DO CAPÍTULO 3................................................................ 69 4 PERÍCIA FORENSE DIGITAL .......................................................................... 71 4.1 O PERITO FORENSE DIGITAL .................................................................................. 72 4.2 ETAPAS DA INVESTIGAÇÃO FORENSE DIGITAL ......................................................... 77 4.2.1 COLETA DE DADOS......................................................................................... 79 4.2.2 EXAME DE DADOS .......................................................................................... 84 4.2.3 ANÁLISE ........................................................................................................... 85 4.2.4 APRESENTAÇÃO DE RESULTADOS.............................................................. 85 4.3 LIVE ANALISYS VERSUS POST MORTEM ................................................................. 86 4.4 TÉCNICAS ANTI-FORENSE..................................................................................... 87 4.4.1 OCULTAÇÃO DE DADOS................................................................................. 88 4.4.2 FERRAMENTAS DE LIMPEZA ......................................................................... 90 4.4.3 ATENTADOS CONTRA OS PROCESSOS E FERRAMENTAS FORENSES... 92 4.5 EFETIVIDADE DAS TÉCNICAS ANTI-FORENSE............................................................ 92 4.6 ALGUMAS FERRAMENTAS PARA A PERÍCIA FORENSE DIGITAL..................................... 93 4.6.1 MICROSOFT COFEE........................................................................................ 93 4.6.2 EnCASE ............................................................................................................ 95 4.6.3 RECOVER MY FILES........................................................................................ 96 4.6.4 CallerIP.............................................................................................................. 97 4.6.5 WIRESHARK..................................................................................................... 98 4.6.6 FTK FORENSIC TOOLKIT................................................................................ 98 4.6.7 LINHA DE COMANDO ...................................................................................... 99 4.7 CONSIDERAÇÕES FINAIS DO CAPÍTULO 4................................................................ 99 5 ESTUDO DE CASO........................................................................................ 101 5.1 INTRODUÇÃO: O "DEDO-DURO" ............................................................................ 101
  14. 14. 14 5.2 PREPARAÇÃO .................................................................................................... 102 5.3 A NATUREZA E A FONTE DA ACUSAÇÃO ................................................................. 105 5.4 COLETA DE EVIDÊNCIA E CADEIA DE CUSTÓDIA .................................................... 107 5.5 TIRE SUAS MÃOS DESTE TECLADO E AFASTE-SE DEVAGAR...................................... 109 5.6 EXTRAÇÃO DE IMAGEM DOS DISCOS RÍGIDOS ........................................................ 112 5.7 ANÁLISE DA ESTRUTURA LÓGICA DE ARQUIVOS ..................................................... 113 5.8 ANÁLISE DOS ESPAÇOS NÃO ALOCADOS E DAS SOBRAS ENTRE ARQUIVOS ............... 115 5.9 O FLAGRANTE .................................................................................................... 116 5.10 CONFECCÇÃO DOS RELATÓRIOS .......................................................................... 117 5.11 LIÇÕES APRENDIDAS........................................................................................... 117 5.12 ANÁLISE DO ESTUDO DE CASO ............................................................................. 119 6 CONCLUSÃO ................................................................................................. 121 REFERENCIAL BIBLIOGRÁFICO........................................................................... 123
  15. 15. 15 1 INTRODUÇÃO Com um volume que já ultrapassou a barreira dos 73 milhões de usuários no Brasil (FOLHA, 2011), a Rede de Computadores, seja ela corporativa ou pública, vem difundindo o meio digital como um dos veículos de comunicação e interação humana que mais se desenvolve. Junto com sua popularização, crescem também os interesses de indivíduos em utilizar o anonimato propiciado por este meio como principal ferramenta para prática de crimes. Com a disseminação do uso da Rede de Computadores, aumentam também os ataques aos sistemas computacionais e outros crimes cometidos através do meio virtual. Estes ataques podem ter motivações políticas ou ativistas, ser provenientes de pessoas com pouco ou nenhum conhecimento técnico que utilizam ferramentas prontas, ou ainda partirem de técnicos altamente especializados, que exploram vulnerabilidades específicas de sistemas com o intuito de obterem informações privilegiadas, realizar sabotagens, roubo de dados bancários de usuários e outros delitos. Na Internet, o criminoso encontra sigilo e anonimato para a prática de qualquer crime, a partir de qualquer lugar. (PECK, 2010) Segundo Besen (2009), ano após ano os casos de crimes digitais se repetem e crescem de tamanho. Somente nos EUA, as perdas atingiram US$ 70 bilhões no ano de 2008. Empresas fornecedoras de dados pessoais muitas vezes passam informações a criminosos que se fazem passar por pequenas empresas. Hackers roubam dados pessoais de bancos de dados inseguros a todo o momento. O Bank of America, por exemplo, já perdeu fitas de back-up contendo mais de um milhão de registros de funcionários federais. Praticamente todos os dias, um novo incidente de furto de informação confidencial acontece. Muitas vezes, esse furto ocorre sem que seja nem mesmo notado. E a situação vem se agravando. (Id., 2009)
  16. 16. 16 Em 2008, empresas, governos e universidades revelaram um aumento recorde (69%) de violações de dados somente no primeiro semestre, em face de igual período do ano anterior. Somente nos Estados Unidos, o roubo de dados custou US$ 6.6 bilhões às empresas especializadas em segurança em 2008 - e cerca de US$ 70 bilhões às empresas de serviços em geral. (BESEN, 2009) A necessidade de proteger o ambiente virtual destes eventos provocou na sociedade, nas organizações privadas e nas públicas, a necessidade de se expandir o grau de conhecimento sobre estes ataques e a criação de políticas e mecanismos de prevenção e combate aos mesmos. (PECK, 2010) Desta necessidade, nasce a Segurança da Informação, com a qual indivíduos criam políticas, adéquam o ambiente de empresa às normas e certificações pertinentes, programam aplicações e ferramentas de segurança, tudo com o intuito de dirimir a possibilidade de ataques, vazamento de informações e, principalmente, de possuir um ambiente controlável; onde o rastreamento seja possível e, em caso de um ataque ou violação de qualquer tipo, com garantias de que existam ferramentas e técnicas capazes de identificá-lo. (Id., 2010) A Perícia Forense Digital, ciência que utiliza as técnicas forenses de reconstituição de eventos a partir de evidências deixadas nos crimes e o eventual apontamento de provas para a solução dos mesmos, se baseia na utilização de ferramentas e metodologias tecnológicas para averiguar crimes, fraudes, ataques e vazamento de informação; que tenham ocorrido em qualquer sistema computacional esteja este na Internet, Intranet, Extranet ou na LAN de uma organização. O maior desafio do Perito Digital é raciocinar como o criminoso, é necessário que este Perito tenha conhecimento técnico suficiente para rastrear as provas deixadas e a conseqüente "origem" (entre aspas, pois a origem aqui não é necessariamente física, podendo ser puramente virtual) do ataque, além de também saber preveni-los. O objetivo deste trabalho, composto de quatro Capítulos, um Estudo de Caso e considerações finais, é mostrar como o Direito enxerga o Crime Digital, os
  17. 17. 17 mecanismos de defesa que a Segurança da Informação fornece os tipos de ameaça e, finalmente, como a Perícia Forense Digital é aplicada na resolução de crimes digitais, fraudes corporativas e vazamento de informações, e como a sua eficácia depende da integração entre teoria e prática, legislação e ferramentas. O crescimento da profissão e a necessidade que as empresas e a sociedade têm de estabelecer meios preventivos e processos investigativos, principalmente com o crescente volume de crimes propagados pelo meio virtual, motivam o estudo do tema.
  18. 18. 18 2 DIREITO DIGITAL Segundo Wikipédia (2011) o Direito é um "sistema de normas de conduta imposto por um conjunto de instituições para regular as relações sociais." Já o Direito Digital "[...] se propõe a estudar aspectos jurídicos do uso de computadores, com fundamentos no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, [...] uma nova área do estudo do Direito." Historicamente, meios de comunicação, ao se tornarem difundidos perante as massas, passam a ter relevância jurídica, e sua conduta passa a ser abordada pelo Direito, sob a pena de se criar insegurança no ordenamento jurídico e na sociedade. Ocorreu isto com a televisão, o telefone, a imprensa, o radio e o fax e agora, com o meio Digital. Apesar de não existirem regulamentações especificas para cada meio, vigora sobre todos estes veículos a capacidade que o Direito possui de regular as ações dos indivíduos, com o intuito de proteger a conduta e a ordem social. (PECK, 2010) Não é possível, porém, acompanhar a velocidade com que o meio Digital evolui e se modifica diferentemente dos outros meios, mas é possível estabelecer um mecanismo com embasamento auto-regulamentável, que transcenda o tempo (vigência) e o espaço (territorialidade) da legislação. Por este motivo, deve vigorar a publicidade das leis e regras às quais o público digital será submetido, aumentando a eficácia com que o conhecimento das regulamentações dissemina-se perante os usuários. (Id., 2010) A velocidade das transformações é uma barreira à legislação sobre o assunto. Por isso qualquer lei que venha a tratar dos novos institutos jurídicos deve ser genérica o suficiente para sobreviver ao tempo e flexível para atender aos diversos formatos que podem surgir de um único assunto. [...] a obsolescência das leis sempre foi um fator de discussão [...]. A exigência de processos mais céleres também sempre foi um anseio da sociedade, não sendo apenas da conjuntura atua. (Id., 2010)
  19. 19. 19 D’antona (2010) apud Donato (2010) afirma que "pela primeira vez em 2010 os crimes virtuais resultaram em maior prejuízo do que os crimes físicos. Por dados dos computadores se fez mais dinheiro para os bandidos do que o roubo as estoques os aos bens físicos de empresas e pessoas." Com esta afirmação em mente, ver-se-á a seguir como a Legislação Brasileira se comporta perante os casos de Crimes Virtuais. 2.1Legislação aplicada ao crime virtual no Brasil [...] é lógico afirmar que toda nova tecnologia que possibilite uma nova ferramenta de relacionamento necessite de um estudo mais profundo sobre a sua capacidade de transmitir segurança e ter no Direito um mecanismo que possa garanti-la. (PECK, 2010) Os tribunais brasileiros vêm utilizando amplamente o Código Penal (C.P.) e o Código Civil (C.V.) como base de julgamento de Crimes Digitais, pois o meio digital acaba sendo somente mais um dos diversos veículos na execução da pratica criminosa. (LUCENA, 2011) Grande parte dos magistrados, advogados e consultores jurídicos considera que aproximadamente 95% dos delitos cometidos eletronicamente já estariam tipificados no Código Penal Brasileiro, por caracterizar crimes comuns praticados por meio da Internet. O número de decisões judiciais envolvendo crimes eletrônicos saltou de 400, em 2002, para mais de 17 mil atualmente. (Id., 2011) O Judiciário precisa se especializar para lidar corretamente com assuntos relacionados à internet. No Direito Digital, as questões técnicas estão entrelaçadas com as questões jurídicas, um não trabalha sem o outro, o que exige um grau de profundidade maior. Apesar de termos uma legislação que fornece uma cobertura de 95% dos problemas relacionados a internet, as punições são brandas em relação ao prejuízo causado, devido ao alcance da rede mundial de computadores. (BLUM, 2010 apud GHIRELLO, 2010).
  20. 20. 20 Existe um vácuo de 5% na legislação brasileira quando se trata de crimes na Internet, como a invasão de computadores, que por si só, não caracteriza ato ilícito. A legislação deixa de levar em conta o que uma invasão pode acarretar, visto que hoje as empresas e usuários guardam informações importantes nos computadores. (Id., 2010) As empresas enfrentam vazamentos de informações protegidas, segredos, planos estratégicos, documentos confidenciais, e quando isso acontece ou quando alguém tem sua intimidade exposta existem medidas que podem ser tomadas, mas que nem sempre alcançam o objetivo almejado [...]. (BLUM, 2010 apud GHIRELLO, 2010) A Tabela 1 propõe uma classificação dos crimes mais comuns ao meio virtual, e suas respectivas tipificações equivalentes na Legislação Brasileira: Tabela 1 - Infrações Digitais Tipificadas na Legislação vigente. Tabela de Infrações Digitais mais freqüentes na Vida Comum do Usuário do Bem Alegar falsamente em chat ou página de relacionamentos que outrem cometeu algum crime. CALÚNIA. Art.138 do C.P. Encaminhar para várias pessoas um boato eletrônico. DIFAMAÇÃO. Art.139 do C.P. Enviar e-mail a algum indivíduo, fazendo citação pejorativa sobre características dele. INJÚRIA. Art.140 do C.P. Enviar mensagem eletrônica ameaçando indivíduos. AMEAÇA. Art.147 do C.P. Enviar um e-mail para terceiros com informação considerada confidencial. DIVULGAÇÃO DE SEGREDO. Art.153 do C.P. Fazer um saque eletrônico no Internet Banking com os dados de conta do cliente. FURTO. Art.155 do C.P. Enviar um vírus que destrua equipamento ou conteúdos. DANO. Art.163 do C.P. Copiar um conteúdo e não mencionar sua fonte. VIOLAÇÃO AO DIREITO AUTORAL. Art.184 do C.P. Criar uma Comunidade Online que insulte religiões. ESCÁRNIO POR MOTIVO DE RELIGIÃO. Art.208 do C.P. Divulgar banners de sites pornográficos. FAVORECIMENTO DA PROSTITUIÇÃO. Art.228 do C.P. Divulgar por meio eletrônico foto com gestos ou atos obscenos. ATO OBSCENO. Art.233 do C.P. Promover por meio eletrônico a prática de algum ato, crime, ou participação no mesmo. INCITAÇÃO AO CRIME. Art.286 do C.P.
  21. 21. 21 Criar uma Comunidade sobre a prática de atos ilícitos APOLOGIA DE CRIME OU CRIMINOSO. Art.287 do C.P. Enviar e-mail com remetente falso. FALSA IDENTIDADE. Art.307 do C.P. Fazer cadastro com nome falso em uma loja virtual. INSERÇÃO DE DADOS FALSOS EM SISTEMA DE INFORMAÇÕES. Art.313-A do C.P. Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software). ADULTERAR DADOS EM SISTEMA DE INFORMAÇÕES. Art.313-B do C.P. Participar de Cassino Online. JOGO DE AZAR. Art.50 da L.C.P. Discriminar cor, raça ou etnia em sites de relacionamento, redes sociais, chats e afins. PRECONCEITO OU DISCRIMINAÇÃO RAÇA- COR-ETNIA-ETC. Art.20 da Lei 7.716/89. Visualizar ou enviar fotos de menores nus através da Internet. PEDOFILIA. Art.247 da Lei 8.069/90 "ECA". Usar logomarca de empresa em um link na página da Internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte, ou imitá-la de modo que possa induzir a confusão. CRIME CONTRA A PROPRIEDADE INDUSTRIAL. Art.195 da Lei 9.279/96. Empregar meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem, por exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador. CRIME DE CONCORRÊNCIA DESLEAL. Art.195 da Lei 9.279/96. Monitoramento não avisado previamente, coleta de informações espelhadas, uso de spoofing page. INTERCEPTAÇÃO DE COMUNICAÇÕES DE INFORMÁTICA. Art.10 da Lei 9.296/96. Usar cópia de software sem ter a licença para tanto. CRIMES CONTRA SOFTWARE "PIRATARIA". Art.12 da Lei 9.609/98. Fonte: Adaptado de Peck (2010). Compartilhando do raciocínio e complementando o conceito, na Tabela 2, Vieira (2008) compila e analisa a legislação vigente, a fim de subsidiar trabalhos de operadores, técnicos e juristas da área de segurança da informação.
  22. 22. 22 Tabela 2 - Dispositivos legais relacionados à Segurança da Informação Dispositivo Mandamento Legal Aspecto da Segurança da Informação Constituição Federal, art. 5º, inciso XII. DIREITO À PRIVACIDADE DAS COMUNICAÇÕES. Sigilo dos dados telemáticos e das comunicações privadas. Constituição Federal, art. 37, caput. VINCULAÇÃO DA ADMINISTRAÇÃO PÚBLICA AOS PRINCÍPIOS DA LEGALIDADE, IMPESSOALIDADE, MORALIDADE, PUBLICIDADE E EFICIÊNCIA. Quanto melhor a gestão das informações, mais eficiente será o órgão ou entidade, daí a necessidade de implantação de uma Política de Segurança da Informação. Constituição Federal, art. 37, § 7º. LEI DISPORÁ SOBRE OS REQUISITOS E AS RESTRIÇÕES AO OCUPANTE DE CARGO OU EMPREGO DA ADMINISTRAÇÃO DIRETA E INDIRETA QUE POSSIBILITE O ACESSO A INFORMAÇÕES PRIVILEGIADAS. Necessidade de regulamentação do acesso a informações privilegiadas. Consolidação das Leis do Trabalho - CLT, art. 482, alínea g RESCISÃO DE CONTRATO DE TRABALHO DE EMPREGADO QUE VIOLA SEGREDO DA EMPRESA. Proteção das informações sigilosas acessadas no exercício de emprego público (empresas públicas e sociedades de economia mista). Lei nº 7.232/84, art. 2 o , inciso VIII. EXIGÊNCIA DE MECANISMOS E INSTRUMENTOS LEGAIS E TÉCNICOS PARA A PROTEÇÃO DO SIGILO DOS DADOS INFORMATIZADOS ARMAZENADOS, PROCESSADOS E VEICULADOS, DO INTERESSE DA PRIVACIDADE E DE SEGURANÇA DAS PESSOAS FÍSICAS E JURÍDICAS, PRIVADAS E PÚBLICAS. Sigilo dos dados relacionados à intimidade, vida privada e a honra, especialmente dos dados armazenados através de recursos informáticos. Lei nº 7.492/86, art. 18. PENA DE RECLUSÃO DE 1 A 4 ANOS E MULTA POR CRIME DE VIOLAÇÃO DE SIGILO BANCÁRIO. Proteção das informações no âmbito das instituições financeiras e sistemas de distribuição de títulos mobiliários. Lei nº 9.472/97, art. 3º, inciso V. O USUÁRIO DE SERVIÇOS DE TELECOMUNICAÇÕES TEM DIREITO À INVIOLABILIDADE E AO SEGREDO DE SUA COMUNICAÇÃO, SALVO NAS HIPÓTESES E CONDIÇÕES CONSTITUCIONAL E LEGALMENTE PREVISTAS. Sigilo das comunicações. Lei nº 10.683/03, art. 6º. PREVÊ A COMPETÊNCIA DO GSIPR A COORDENAR A ATIVIDADE DE SEGURANÇA DA INFORMAÇÃO. Todos os aspectos da segurança da informação. Fonte: Adaptado de Vieira (2008).
  23. 23. 23 Reforçando o pensamento, ICOFCS (2006) apud PRETO (2009) diz que os chamados "crimes cibernéticos" normalmente podem ser enquadrados em crimes já tipificados na legislação penal brasileira, pois estão sendo cometidos os crimes já existentes, apenas utilizando a informática e o espaço cibernético como uma ferramenta adicional às atividades criminosas. No entanto, há quem defenda que casos ocorridos pela Internet não devem ser tipificados no código penal, como Ramalho Terceiro (2002): O cerne da questão repousa justamente aqui. Em muitos casos, devido à ausência de norma que tipifique tais crimes, têm os Tribunais, se socorrendo da analogia para o ajustamento da conduta atípica à norma penal, o que pelo Princípio da Legalidade, onde se assenta o nosso Direito punitivo, é terminantemente proibido o emprego da analogia em matéria penal. [...]. Segundo Oliveira (2011), o fato de Brasil não ser signatário do Tratado de Budapeste, iniciado em 2001, pode fazer com que a legislação acerca do crime digital no Brasil fique desnivelada com o restante dos países signatários. Este é o Tratado Internacional contra Crimes na Internet, onde 30 países procuram criar legislações especificas contra os crimes digitais. Dentro deste tratado, entre outros pontos, é previsto que uma empresa pode ser indiciada por co-responsabilidade, caso seja constatada negligência na utilização de controles preventivos e de rastreamento, sendo ela a responsável pela infra- estrutura de TI (e-mail, Internet, portas USB, falta de criptografia, segregação de função, gerenciamento e correlação de logs etc.). Peck (2010) afirma que independente se existe ou não legislação especifica ao crime digital e do local onde esteja hospedado o site ou o sistema por onde o crime virtual foi veiculado, vigorará no julgamento do delito a legislação e a jurisprudência do território de origem do ataque; ou seja, o crime originado no Brasil será julgado tendo a legislação brasileira como base de acusação e pena.
  24. 24. 24 2.1.1 PROJETOS DE LEI Para Lima (2007), algumas ações como difusão de vírus, acesso indevido a redes, violação de informação, não são consideradas crimes porque não existe lei definida. Existem projetos de lei em andamento no Brasil, na tentativa de suprir esta necessidade, mas o criminoso que executar estas ações não poderá ser condenado, pois, conforme expresso no Art 1º do Código Penal, "[..] não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal [..]." Já para Mata (2005), o Poder Legislativo tem se empenhado para propor e aprovar projetos que protejam as relações jurídicas na Internet, especialmente para coibir práticas violadoras aos valores sociais fundamentais. Colocado em discussão novamente em Outubro de 2010, o PL-89/2003, também conhecido como "Lei Azeredo", previa alterações ao Código Penal, o Código Penal Militar, a Lei dos Crimes Raciais (Lei nº 7.716 de 1989) e no Estatuto da Criança e do Adolescente (Lei nº 8.069, de 1990), com o intuito de tipificar os crimes digitais através de inserções especificas nestas legislações vigentes. (AGUIARI, 2010) Na Tabela 3, a seguir, são expostos alguns dos pontos do Projeto de Lei PLC nº 89/2003, classificando práticas criminosas comuns ao meio virtual como sendo novas condutas criminais, e sua respectiva tipificação a ser acrescentada ao Código Penal.
  25. 25. 25 Tabela 3 - Resumo do PL-89/2003. Nova Conduta Nova Tipificação do Crime Disseminar Phishing Scam. ESTELIONATO ELETRÔNICO. Falsificar cartão de crédito. FASLSIFICAÇÃO DE DADO ELETRÔNICO OU DOCUMENTO PARTICULAR. Destruir, inutilizar ou deteriorar dado eletrônico alheio. DANO. Inserir ou difundir códigos maliciosos em dispositivos de comunicação, redes, sistemas, causando danos. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO SEGUIDO DE DANO. Inserir ou difundir códigos maliciosos (vírus, worms, trojans etc.) em dispositivos de comunicação, redes, sistemas. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO. Acessar rede de computadores, dispositivos de comunicação ou sistema informatizado, sem autorização do legitimo titular, quando exigida. ACESSO NÃO AUTORIZADO. Obter ou transferir dado ou informação sem autorização (ou em desconformidade à autorização). OBTENÇÃO NÃO AUTORIZADA DE INFORMAÇÃO. Divulgar, sem autorização, informações pessoais disponíveis em banco de dados. DIVULGAÇÃO NÃO AUTORIZADA DE INFORMAÇÕES PESSOAIS. Atentado contra a segurança de serviço de utilidade pública, perturbação de serviço telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistemas informatizados. ATAQUES A REDES E INVASÕES. Falsificação de dado eletrônico ou documento, sendo estes públicos ou privados. FALSA IDENTIDADE, FALSIDADE IDEOLÓGICA DIGITAL, FRAUDE. Preconceito/Pedofilia. PRECONCEITO DIGITAL/PEDOFILIA DIGITAL. Fonte: Peck (2010). Houve resistência e relutância, incluindo do Ex-Presidente da República Lula, sobre este Projeto de Lei, quando afirmou, em certa ocasião pública, que a lei "é censura, interesse policialesco para saber o que as pessoas estão fazendo". (WIKIPÉDIA, 2011)
  26. 26. 26 Houve também crítica proveniente do criador da Wikipédia, Jimmy Wales, dizendo, após ler a tradução deste Projeto de Lei, que "A liberdade de expressão é uma força preciosa e poderosa para a prosperidade e a paz, e leis que colocam isso em risco deveriam ser tratadas com muita cautela e precaução." (WIKIPÉDIA, 2011) Outros projetos de lei, segundo Vieira (2008), estão listados na Tabela 4. Tabela 4 - Projetos de Lei relacionados à Segurança da Informação. Regulamento Assunto e autoria Projeto de Lei nº 1.025/1995. Acrescenta artigo à Lei nº 8.159/91 e dispõe sobre a administração de arquivos públicos federais relacionados à repressão política. Autor: Deputado Aldo Arantes e outros dois. Projeto de Lei nº 84/1999. Dispõem sobre os crimes cometidos na área de informática, suas penalidades e dá outras providências. Autor: Deputado Luiz Piauhylino. Projeto de Lei nº 3.494/2000. Altera a lei do habeas data (Lei nº 9.507, de 12 de novembro de 1997). Autor: Senado Federal. Projeto de Lei nº 21/2004. Proíbe envio de mensagens não solicitadas (spam); estabelece multa; estabelece como nova modalidade do crime de falsidade ideológica a conduta de impedir a identificação do remetente ou o bloqueio automático de mensagens eletrônicas não solicitadas, inserirem declaração falsa ou diversa da que deveria constar, com o fim de impossibilitar a identificação da origem ou o rastreamento da mensagem. Autor: Senador Duciomar Costa. Projeto de Lei nº 1.704/2007. Tipifica a conduta de violação de comunicação eletrônica. Autor: Deputado Rodovalho. Projeto de Lei nº 398/2007. Prevê o aumento de pena no caso de crime contra a honra praticado pela Internet. Autor: Senador Expedito Júnior. Projeto de Lei nº 1.230/2007. Torna obrigatória a identificação biométrica para acesso a bancos de dados da administração pública direta, indireta e fundacional onde sejam armazenados dados sensíveis. Autor: Deputado Eduardo Gomes. Projeto de Lei nº 2.899/2008. Obriga as operadoras de telefonia fixa e móvel ao pagamento de multa em razão de danos decorrentes da ineficiência em garantir a privacidade de seus usuários. Autor: Deputado William Woo. Projeto de Lei nº 3.773/2008. Altera a Lei nº 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente, para aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na Internet. Autor: Senado Federal - Comissão Parlamentar de Inquérito - Pedofilia. Fonte: Adaptado de Vieira (2008).
  27. 27. 27 Em 1999, foi sancionada pelo então Presidente Lula a Lei 9883/99, que institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. No entanto, seu alcance é limitado a órgãos públicos, não atuando sobre órgãos privados. (JUS, 2010) Em Abril de 2011, o Senado aprovou o Projeto de Lei 100/10, que prevê a infiltração de agentes da polícia na Internet para investigação de crimes contra a liberdade sexual de criança ou adolescente. (COELHO, 2011) No entanto, a Justiça precisa emitir prévia autorização para tal, que só ocorrerá após investigações provarem que esta seria a única maneira de conseguir provas contra o acusado. Outros critérios estabelecidos pela lei são: nominar as pessoas investigadas, sigilo da investigação e responsabilização do policial por eventuais abusos. (Id., 2011) 2.2O crime digital nos EUA O Departamento de Justiça dos Estados criou uma seccional chamada CCIPS, cujo portal público na Internet consolida processos, jurisprudências, orientações jurídicas, entre diversos outros assuntos referentes aos crimes digital e contra a propriedade intelectual. A Figura 1 apresenta a página inicial do portal CCIPS na Internet.
  28. 28. 28 Figura 1 - Página Principal do CCIPS Fonte: CCIPS (2011). A Divisão de Crime Informático & Propriedade Intelectual é responsável pela aplicação das estratégias nacionais do Ministério da Justiça Americana no combate aos crimes informáticos e à propriedade intelectual. A Iniciativa de Trabalho focada no Crime Informático é um programa criado para combater invasões eletrônicas, roubo de dados e ataques cibernéticos em sistemas de informação críticos. (CCIPS, 2011) O CCIPS previne, investiga e leva a juízo crimes informáticos, através do trabalho com agências governamentais, o setor privado, instituições acadêmicas e contrapartes estrangeiras. (Id., 2011) Advogados da Divisão trabalham na melhoria da Infra-estrutura Legal, Tecnológica e Operacional, para perseguir criminosos da rede de forma mais efetiva. As iniciativas da Divisão contra crimes de propriedade intelectual são igualmente polivalentes. (Id., 2011) A Propriedade Intelectual tornou-se um dos principais motores econômicos, e a Nação Americana é alvo constante de infratores devido ao seu conteúdo intelectual (direitos autorais, marcas registradas e outros segredos comerciais). (Id., 2011)
  29. 29. 29 Com o objetivo de trabalhar nestes eventos, os advogados do CCIPS constantemente se envolvem em investigações complexas, ultrapassam obstáculos impostos pelas dificuldades específicas existentes na emergente tecnologia da Informática e das Telecomunicações. (CCIPS, 2011) Mitigam casos; provêem suporte no litígio de outros promotores; capacitam institutos legais do Município, do Estado e Federais; comentam e recomendam legislações especificas; introduzem e participam de esforços internacionais no combate ao crime informático e às infrações da propriedade intelectual. (Id., 2011) 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA Os EUA possuem um estatuto especifico para crimes informáticos, contido no USC. As fraudes e crimes correlatos, cometidos dentro do âmbito virtual, recebem tipificação especifica e possuem mecanismos de enquadramento legal e punição prevista. Entre diversos enquadramentos, são notórios os relativos a(o): (CCIPS, 2011) • Envio de pornografia e marketing não solicitado (através de Spam) - 15 U.S.C. §§ 7701 - 7702; • Disseminação de Vírus, Trojans e outros programas de computador maliciosos - 15 U.S.C. §§ 7703 - 7713; • Fraude eletrônica, roubo de senhas, bancos de dados restritos e informações confidenciais - 18 U.S.C. §1030; • Transmissão de informações inverídicas por e-mail (hoax) - 15 U.S.C. §§ 7703 - 7713.
  30. 30. 30 O processo de julgamento e a pena aplicada, no entanto, é condicionada à jurisdição onde o caso está sendo julgado, aos precedentes legais, ao juiz, às leis ordinárias federais e estaduais, e, principalmente, ao estudo do caso como um todo. No entanto, a pena pode variar de simples multa a reclusão. (CCIPS, 2011) 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA Ainda dentro do CCIPS (2011), é mantido um banco de dados, atualizado freqüentemente, com processos envolvendo crimes de informática, onde muitos dos casos foram processados sob o estatuto de crime informático, embasados no USC 18. §1030. Figura 2 - Tabela de processos de crimes informáticos. Fonte: CCIPS (2011).
  31. 31. 31 A Figura 2 lista os seguintes casos podem ser observados nesta relação: • Caso "U.S v. Ancheta" - Califórnia, 2006: primeiro caso de “botnet” julgado na jurisdição. Pena: 57 meses de prisão e multa de 75,000.00 USD; • Caso "U.S v. Flury" - Ohio, 2006: "tráfico online", roubo de identidade, cartões crédito e fraude bancária, totalizando prejuízo de 384,000.00 USD. Pena: 32 meses de prisão e multa de 300,000.00 USD; • Caso "U.S v. An Unnamed Juvenile" - Washington, 2005: criou a variável RPCSDBOT do worm "Blaster". Pena: 18 meses de prisão; • Caso "U.S v. Racine" - Califórnia, 2003: designer de páginas da Web, criou mecanismo para redirecionar o tráfego Web da Aljazeera.net. Pena: 36 meses de prisão, multa de 2,000.00 USD; • Caso "U.S v. Smith" - Nova Jersey, 2002: grupo criador do vírus "Melissa", cujo prejuízo foi estimado em 80 M USD. Pena: 20 meses de prisão e multa de 5,000.00 USD; • Caso "U.S. v. Comrade" - Florida, 2000: primeiro Hacker adolescente a receber sentença prisional na jurisdição. Causador de prejuízos de 41,000.00 USD. Pena: seis meses de prisão; • Caso "U.S. v. Burns" - Virginia, 1999: desenvolvedor de programa que vasculhava a Internet em busca de sistemas desprotegidos. Prejuízos estimados em 40,000.00 USD. Pena: 15 meses de prisão, e multa de 36,000.00 USD. O primeiro caso de punição aplicada a um crime informático nos EUA ocorreu em 1998, em Boston, onde um Hacker adolescente suspendeu toda a comunicação de uma torre de controle de uma companhia telefônica dos EUA. Pena aplicada foi de dois anos de condicional, multa e 250 horas de serviços comunitários. (RINDSKROPF, 1998)
  32. 32. 32 2.3Considerações finais do Capítulo 2 Ao se comparar o tratamento do crime digital nos EUA e no Brasil, nota-se que não há o mesmo nível de detalhamento na legislação, pois não se dispõem de tipificações na legislação brasileira que sejam mais relevantes aos acontecimentos criminais específicas ao contexto do crime digital. O País ainda carece de uma legislação especifica para o Crime Digital e continua a utilizar a Jurisprudência e as tipificações de outros Códigos para o julgamento de delitos praticados no âmbito virtual, não tendo subsídios na legislação para punição de disseminação de vírus, spaming, spywares, invasão de sistemas, phishing e fraudes que se propagam exclusivamente através do meio virtual. Com relação a vazamento de informações, a legislação vigente já tipifica o crime. No entanto, quando o mesmo é veiculado ou facilitado por meios digitais, não há acréscimo ou decréscimo da pena, pois o meio informático é considerado somente um dos veículos por onde possa ocorrer a interceptação da informação. Cabe ao profissional do Direito no Brasil, portanto, evoluir à medida que a sociedade evolui, pois a regulamentação social só pode ser feita conhecendo-se as implicações das interações sociais, seja qual for o ambiente em que elas ocorram. Além disso, ele deve atender às necessidades de defesa dos direitos: autoral, da imagem, da propriedade intelectual, dos royalties, da segurança da informação, resguardar a garantia à privacidade, combater a prática do plágio, empreender os meios necessários para a apuração de crimes praticados por Hackers e outros comuns ao ambiente virtual. Estar preparado para contextualizar o crime dentro das tipificações da legislação brasileira e se manter, igualmente, informado a respeito das soluções tecnológicas, algo que o estudo do Direito Digital, enfim, compila e instrumentaliza.
  33. 33. 33 "Em breve, não haverá outra forma de atuar no Direito sem envolver no mínimo situação com provas eletrônicas, bancos de dados, autenticação não presencial [...], biometria (entre outros)." (PECK, 2010 apud GHIRELLO, 2010)
  34. 34. 34 3 SEGURANÇA DA INFORMAÇÃO Mas só punição adianta? Efetivamente que não [...]. A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada [...]. (MILAGRE, 2010). Como visto no capítulo anterior, a legislação brasileira ainda é precária com relação ao crime informático, no que diz respeito à tipificação criminal de disseminação de Vírus, de Spam, de Phishing Scam e de invasões de sistemas computacionais. No entanto, não foi constatado que os mecanismos legais de prevenção do crime digital, por mais eficientes que sejam, erradiquem as práticas criminais. Por este motivo, devem existir mecanismos preventivos que auxiliam as organizações na mitigação da integridade de sua inteligência competitiva, de seus ativos críticos e da continuidade de seus negócios. A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação não-autorizada de dados ou informações armazenadas, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento. (LAUREANO, 2011) Mesmo que a Internet e as ferramentas tecnológicas não sejam tão novas, ainda não está claro para as pessoas de um modo geral o que é "certo e errado". Já que em uma empresa, tais ferramentas devem ser utilizadas com a única finalidade de trabalho, cabe a ela definir, com Políticas e Diretrizes de Segurança da Informação, o que é mais adequado para a proteção do seu negócio e de seus empregados, evitando que ocorram riscos desnecessários que possam gerar responsabilidades civil e criminal, e demissões. (PECK, 2010)
  35. 35. 35 Seguindo os padrões internacionais de Confidencialidade, de Integridade e da Disponibilidade (CIA, em inglês) representam os principais atributos que orientam a análise, o planejamento e a implantação da segurança para um determinado grupo de informações que se deseja proteger. (WIKIPÉDIA, 2011) • Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; • Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição); • Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Donn Parker (2002) propôs que o tradicional Modelo CIA fosse complementado com os seguintes elementos: • Posse ou controle: propriedade que garante o direito de posse sobre a informação, garantido ao seu proprietário todos os direitos legais sobre a mesma; • Autenticidade: propriedade que garante a veracidade de uma informação, e possibilita total rastreamento sobre sua origem; • Utilidade: propriedade que garante que a informação tenha finalidade estabelecida, e seja um fator relevante na tomada de decisões. A esta nova abordagem de Parker foi dado o nome "Sexteto Parkeriano". (PARKER, 2002)
  36. 36. 36 3.1Importância da Segurança da Informação para as organizações A informação deve ser protegida de maneira constante, como qualquer outro ativo importante da organização. Ela pode existir de diversas formas, ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente. Através da aplicação da Segurança da Informação, a organização procura obter maior capacidade de controle sobre seu capital intelectual, e conseqüentemente maneiras de obter: (PECK, 2010) • Padronização de processos internacionalmente; • Prevenção; • Possibilidade de rastreamento; • Gestão de Riscos; • Continuidade de operações; • Competitividade no mercado devido à transparência de transações e informações. São necessários, no entanto, investimentos em recursos, tanto para a implantação quanto manutenção das políticas, normas e certificados que compõem Segurança da Informação, uma vez que profissionais internos e externos podem ser envolvidos. (OLIVEIRA, 2011) Podem ser necessários investimentos em ferramentas e infra-estrutura para atendimento aos requisitos, como controle de acesso físico, facilities, gestão de vulnerabilidade, campanhas de conscientização, composição de auditorias internas, entre outros. (Id., 2011)
  37. 37. 37 Dentro deste contexto, Monteiro (2011) apud Inspirit (2011) diz que As organizações começam a olhar para sua infra-estrutura de TI com mais apreço e têm maior compreensão dos riscos de manterem suas informações desprotegidas. Atualmente, grandes veículos de comunicação impresso e digital têm publicado matérias sobre cibercrimes e ameaças reais que acontecem no mundo digital. A complexidade das estruturas das corporações em função dos números de periféricos, redes, banco de dados e outros dispositivos, exige proteção de toda a infra-estrutura, pois cada usuário é um ponto fixo nas Redes IP (Internet Protocol) de alta velocidade, estão sempre conectados on-line e acabam nem percebendo quando são vítimas de um ataque. Por esse motivo, o gerenciamento e a gestão da segurança são duas modalidades apontadas como as principais fontes de negócios nesse mercado e andam na contra mão da queda de investimentos da área de Tecnologia da Informação. 3.2Riscos inerentes a ausência da Segurança da Informação A informação é um dos ativos mais valiosos de uma organização. Sem a devida proteção, ela pode ser: (OLIVEIRA, 2011) • Revelada, violada ou divulgada de forma não-autorizada; • Modificada sem o conhecimento do autor e se tornar menos valiosa; • Perdida, sem possibilidade de rastreamento ou chance de recuperação; • Indisponível quando necessária. Sem a adoção das práticas de segurança da informação, o ambiente organizacional e seus colaboradores tornam-se mais expostos a fraudes, vazamento de informação, ataques internos e externos. (OLIVEIRA, 2011)
  38. 38. 38 Falando em normas e certificações, ela pode simplesmente não conseguir entrar num determinado segmento de mercado ou se manter nele, devido á falta de qualificação ou ausência de comprovação de adoção de uma determinada norma ou certificação, devidamente comprovada por um órgão independente. (Id., 2011) Complementando o raciocínio, Peck (2010) afirma que sem esses padrões (de segurança da informação) implantados na empresa, é possível que ela tenha processos sem o mínimo de controle e segurança. A ausência de processos pode criar desde falta de produtividade, até servir como um meio facilitador de fraudes, tendo em vista que há falta de controle, prevenção e rastreamento do ambiente. Continua a autora, quanto maior a empresa, maior o impacto e provavelmente maior o risco. Muitas empresas aceitam esse risco residual, mas cada vez mais procuram mitigá-lo, pois órgãos governamentais estão se apoiando cada vez mais nas normas e regulamentações para emitir documentação para todos os processos administrativo-fiscais. 3.3Tipos de controle sobre a Segurança da Informação Quando a organização opta por estabelecer mecanismos para mitigar riscos provenientes da falta de Segurança da Informação, um ou mais dos seguintes controles devem ser implantados: (WIKIPÉDIA, 2011) • Administrativo: também chamados de controles de procedimento, são diretrizes expressas através de políticas, processos e padrões documentados. O objetivo é informar coletivamente a organização sobre como seu negocio e suas operações diárias devem ser conduzidas. Alguns exemplos:
  39. 39. 39 o Políticas de Segurança; o Políticas para criação de senhas e assinaturas de e-mail. • Lógico: também chamado de controles técnicos, utilizam software e dados para monitorar e controlar acessos a informações e sistemas computacionais. Alguns exemplos: o Assinatura digital; o Criptografia; o Smart Cards; o Firewalls; o IDSs e IPSs; o Antispam e antivírus; o Honeypots. • Físico: monitora e controle o ambiente de trabalho e a infra-estrutura computacional. Também controla o acesso aos diferentes ambientes de uma empresa, e segmenta estes mesmos ambientes. Alguns exemplos: o Sistemas Biométricos; o Tokens (chaves eletrônicas). 3.4Diretivas para a Gestão de Segurança da Informação "Pensando corporativamente, deve-se ter em mente que certificar-se numa determinada norma deve estar em alinhamento com os objetivos estratégicos de negócio, dependendo principalmente do segmento de mercado que ela deseja explorar." (OLIVEIRA, 2011) O padrão ISO dentro da série de Normas 27000 define as políticas de segurança, nas quais se baseiam um conjunto de normas, padrões e procedimentos relacionados às boas práticas na segurança da informação. Seguem abaixo algumas considerações a respeito de cada elemento da série: (WIKIPÉDIA, 2011)
  40. 40. 40 • ISO 27000: Vocabulário de Gestão da Segurança da Informação; • ISO 27001: Publicada em outubro de 2005; fala de requerimentos para sistemas de gestão de segurança da informação; • ISO 27002: substituiu a ISO 17799:2005 em julho de 2007. Código de práticas para gerenciamento de segurança da informação; • ISO 27003: diretrizes para implantação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e a implantação de um sistema de gestão de segurança da informação; • ISO 27004: elaboração de métricas e relatórios de um sistema de gestão de segurança da informação; • ISO 27005: indicações para implantação, monitoramento e melhoria contínua do sistema de controles para gerenciamento de riscos; • ISO 27006: especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação. Já as normas baseadas na Lei SOX (nome baseado nos sobrenomes do Senador Sarbanes e do Deputado Oxley que criaram a lei) são especificas para empresas que possuam ações na Bolsa de Valores de NY (New York), ou prestem serviços a clientes que as possuam. (PECK, 2010) A origem da lei remonta à fraude da Enron Corporation, cuja repercussão na economia americana só não foi mais grave que a da Grande Depressão de 1929. Fraudes internas na Enron, aliadas às auditorias ineficientes, falta de controle, prevenção e rastreamento dos processos financeiros, foram motivadores do colapso financeiro na organização. (Id., 2010)
  41. 41. 41 Tornou-se necessário, então, criarem-se padrões para manter a transparência e obterem-se informações fidedignas. Por fim, a SAS (Statements on Auditing Standards) 70, em conjunto com a SOX, audita e certifica os processos e a infra-estrutura de empresas que transitem seus dados financeiros por sistemas informatizados. (PECK, 2010) A iniciativa para se obter uma norma deve partir da alta gerência da organização, através da autorização para a formação de um grupo auditor. Uma auditoria de estágio um (pode ser interna, se a empresa tiver profissionais qualificados) vai verificar o gap que existe entre os controles e a norma e, analisando o que é praticado nos processos da empresa. (OLIVEIRA, 2011) A seguir, uma auditoria de estágio dois é executada, como complemento ao trabalho do estágio um, e ela apontará as não conformidades que devem ser trabalhadas pela empresa antes da auditoria de estágio três, que efetivamente pode, ou não, certificar a empresa. A auditoria de estágio três deve ser realizada por um órgão certificador. (Id., 2011) O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, [...] muito importantes para a tomada de decisões. [...]. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos - roubada! Esse é só um exemplo. [...] os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada. (ANALISTATI, 2011) "É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas." (Id., 2011) Uma política de segurança consiste num conjunto formal de regras, que devem ser seguidas pelos utilizadores dos recursos de uma organização. Deve ter
  42. 42. 42 implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. (WIKIPÉDIA, 2011) As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques. (Id., 2001) O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. (Id., 2011) Ela é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. Deve também abranger os níveis estratégico, tático e operacional da organização. Seguindo o raciocínio, NBSO (2003), afirma que: A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
  43. 43. 43 Falando em incidente de segurança, segundo NBSO (2003), um incidente de segurança pode ser definido como "qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores." São exemplos de incidentes de segurança: (NBSO, 2003) • Tentativas de ganhar acesso não-autorizado a sistemas ou dados; • Ataques de negação de serviço; • Uso ou acesso não autorizado a um sistema; • Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; • Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. Voltando ao tema da política de segurança, segundo a ISO 27002, esta deve seguir as seguintes orientações: (WIKIPÉDIA, 2011) • Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; • Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; • Breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo: o Conformidade com a legislação e possíveis cláusulas contratuais; o Requisitos na educação de segurança; o Prevenção e detecção de vírus e software maliciosos; o Gestão de continuidade do negócio; o Conseqüências das violações na política de segurança da informação;
  44. 44. 44 • Definição das responsabilidades gerais e especificas na gestão de segurança da informação, incluindo o registro dos incidentes de segurança; • Referência à documentação que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas, áreas específicas, ou regras de segurança que os usuários devem seguir. Sendo assim, a política de segurança deve conter regras gerais e estruturais que se aplicam ao contexto de toda a organização, e que sejam válidas para todos os seus membros. A violação da mesma deve resultar em sanções iguais para todas as áreas e membros da organização, independente de sua posição ou função. 3.5A Engenharia Social contra a Segurança da Informação Processos, políticas, normas e outros elementos voltados para a Segurança da Informação não cumprem sozinhos seu papel na proteção da integridade das informações corporativas. Existe outro elemento que também deve ser concernido quando se fala de Segurança da Informação: o fator humano. Por este motivo, é coerente desenvolver um Plano de Conscientização da Segurança das Informações juntamente com o Departamento de Relações Públicas, Marketing, Comunicações, Recursos Humanos ou qualquer área dentro da organização, que seja responsável por fazer com que seus colaboradores sejam conscientizados com relação aos objetivos traçados pela organização na proteção à informação e tenham igual preocupação em cumpri-los, tornando assim a Segurança da Informação um objeto institucional. No contexto da Segurança da informação, a Engenharia Social está vinculada às práticas utilizadas para se obter acesso às informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. (WIKIPÉDIA, 2011)
  45. 45. 45 Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. (WIKIPEDIA, 2011) É importante salientar que, independentemente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de Engenharia Social. Dentre essas características, pode-se destacar: (LOPES; FARIAS; NUNES, 2011) • Vontade de ser útil: o ser humano, normalmente, procura agir com cortesia, bem como ajudar outros quando necessário; • Busca por novas amizades: ao ser bajulado, mesmo que por desconhecidos, normalmente o ser humano torna-se mais vulnerável e aberto a dar informações; • Propagação de responsabilidade: trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades, e a divide de forma indiscriminada, em alguns casos; • Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação. Existem, no entanto, práticas voltadas à prevenção da Engenharia Social, na tentativa de blindar a empresa e seus colaboradores. A incitativa, no entanto, deve partir conjuntamente da empresa e de seus colaboradores.
  46. 46. 46 [..]. Transformar o usuário em um agente de segurança, em um "Policial Corporativo" é o grande desafio. Desafio este que se conseguido trará bons frutos. O prêmio é um ambiente infinitamente mais seguro. Se a equipe de Segurança da Informação conseguir ganhar um funcionário de cada setor, aumentará e muito o nível de segurança da corporação. Vai conseguir multiplicar as informações de forma mais proveitosa e a consciência de segurança estará fazendo parte das atividades e do dia-a-dia de cada funcionário. (ARAUJO, 2005) Um bom e prático programa de treinamento para os colaboradores, no combate a Engenharia Social e no estímulo à conscientização coletiva visando à segurança das informações, consiste em levar a organização a ter e saber: (MITNICK; SIMON, 2003) • Uma descrição do modo como os atacantes usam habilidades da engenharia social para enganar as pessoas; • Os métodos usados pelos engenheiros sociais para atingir seus objetivos; • Como reconhecer um provável ataque da engenharia social; • O procedimento para o tratamento de uma solicitação suspeita; • A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos; • A importância de questionar todos os que fazem uma solicitação suspeita, independente da posição ou importância que a pessoa alega ter; • O fato de que os funcionários não devem confiar implicitamente nas outras pessoas sem uma verificação adequada, embora o seu impulso seja dar aos outros o benefício da dúvida; • A importância de verificar a identidade e a autoridade de qualquer pessoa que faça uma solicitação de informações ou ação; • Procedimentos para proteger as informações confidenciais, entre eles a familiaridade com todo o sistema de classificação de dados;
  47. 47. 47 • A localização das políticas e dos procedimentos de segurança da empresa e a sua importância para a proteção das informações e dos sistemas de informações corporativas; • Um resumo das principais políticas de segurança e uma explicação do seu significado. Por exemplo, cada empregado deve ser instruído sobre como criar uma senha difícil de adivinhar; • A obrigação de cada empregado de atender às políticas e as conseqüências do seu não-atendimento. Os elementos que impactam a Segurança da Informação na corporação e que tenham influência de seus colaboradores devem ser divulgados para todos da empresa. A eficácia da gestão da segurança da informação em uma organização poderá ser totalmente comprometida caso seus colaboradores sejam vulneráveis a ataques de Engenharia Social. 3.6As ameaças virtuais contra a Segurança da Informação Além da Engenharia Social, que explora a vulnerabilidade humana, existem mecanismos que exploram também as vulnerabilidades físicas e lógicas de um sistema computacional. Esses sistemas podem ser propagados em outros de forma automática, ou podem depender de alguma interação humana. Sua existência, no entanto, depende da criação humana, que os concebem através de códigos maliciosos. O software malicioso, conhecido como Malware, é um programa (código, scripts, conteúdo ativo, entre outros software) concebido com o intuito de interferir na operação normal de um sistema, adquirir informações que possam violar a privacidade de um usuário e aproveitar-se destas, obter acesso não-autorizado a sistemas ou recursos, e qualquer outro comportamento abusivo. A expressão é um termo generalista, usado por profissionais da informática na definição de software hostis, intrusivos ou inoportunas ao usuário.
  48. 48. 48 Segundo Donato (2010), foram descobertos mais de 45 milhões de malwares em um período entre 2003 e 2010. Muitos antigos programas de infecção, incluindo o primeiro Worm de Internet e vários de MS-DOS, foram escritos como experimentos ou brincadeiras. Eram em geral destinados a serem inofensivos ou simplesmente inoportunos, ao invés de causarem sérios danos aos sistemas dos computadores. Em alguns casos, o perpetrador não percebia quão danos sua criação poderia causar. Jovens programadores, aprendendo sobre vírus e suas técnicas, os escreviam por simples questão de pratica, ou para ver o quão rápido eles se espalhariam. Ainda em 1999, vírus espalhados amplamente, como o Melissa e o vírus David, aparentemente foram escritos com o intuito de serem brincadeiras. O primeiro vírus para dispositivo móvel, Cabir, apareceu em 2004. (WIKIPÉDIA, 2011, tradução livre) O CERT.br mantém estatísticas sobre notificações de incidentes (malwares e outros) reportados. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes públicas e privados, que, espontaneamente, notificam o órgão.
  49. 49. 49 Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Pode-se observar que os incidentes reportados no primeiro trimestre de 2011 equivalem a 63% de todo o montante de 2010. Caso a freqüência seja mantida, em 2011 o valor de incidentes reportados superará em 154% os valores de 2010, chegando ao número final de 571.376 incidentes de segurança reportados. Estes incidentes de segurança podem ser desmembrados em:
  50. 50. 50 • Tipos de ataque, como malwares e fraudes: Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). • As tentativas de fraude, por sua vez, são desmembradas do gráfico acima e detalhadas a seguir: Figura 5. Fraudes no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Podem-se expressar as porcentagens acima em números: Figura 6. Tabela com os tipos de ataque. Fonte: CERTBR (2011).
  51. 51. 51 Pode ser observado um maior número de ataques do tipo scan e fraudes, além de um aumento considerável em Março em relação a Janeiro, em todos os tipos de ataque. Nota-se, também, que a classificação “outros” aumentou de maneira mais acentuada que os outros, porém, não houve qualquer tentativa do Cert.br de decompor esta categoria. 3.6.1 VÍRUS E WORMS Os mais conhecidos malwares de infecção, vírus e worms, são caracterizados pela maneira com que se espalham em um sistema. O termo “vírus de computador” é usado para identificar um programa que, ao ser executado pelo usuário, causa a distribuição do vírus através da infecção de outros arquivos presentes no disco rígido e unidades removíveis (pen drives, disquetes e outros). Por outro lado, o worm é um programa que contagia outros executáveis de forma ativa, e se dissemina de forma automática numa rede de computadores. (WIKIPÉDIA, 2011) 3.6.2 TROJAN HORSES Um software de aparência inofensiva, podendo conter um elemento que seja de interesse do usuário como um arquivo de áudio, vídeo ou imagem, mas que possui também um malware embutido em seu conteúdo, que é juntamente executado e disseminado no computador do usuário assim que o software é executado. 3.6.3 ROOTKITS A finalidade principal deste elemento é fazer com que um malware permaneça oculto, “enganado” o sistema operacional ao confundir o malware com outro elemento fundamental para o correto funcionamento do sistema, que não poderia ser movido ou excluído devido a sua suposta importância. Além disso, ele também oculta o malware em um sistema, não o exibindo na lista de processos, e também consegue criar vários sub-processos a partir de um processo principal de um malware, dificultando o termino de sua execução.
  52. 52. 52 3.6.4 BACKDOORS É um método de contornar a autenticação padrão de um sistema, dando acesso direto a um atacante na Internet ao computador infectado de um usuário. O backdoor, normalmente se instala através de trojan horses ou worms. 3.6.5 SCAN Malware que realiza varreduras em redes de computadores, presentes na LAN, WAN e na Internet, com o intuito de identificar quais dispositivos estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar vulnerabilidades aos serviços habilitados em um computador. 3.6.6 SPYWARES/ADWARE Os spywares, também conhecidos como stealwares, são geralmente produzidos com o intuito de coletar informações sobre usuários infectados. Possui um subtipo (adware) que possui como objetivo induzir o usuário a consumir um produto ou serviço, através de pop-ups com anúncios ao abrir-se o navegador, alteração da homepage e direcionamento de resultados de programas de busca para páginas "patrocinadoras" do adware. Em alguns casos, as empresas beneficiadas dividem os lucros dos acessos com os criadores dos adware. 3.6.7 BOTNETS Ao se instalarem em um ou mais sistemas, os malwares podem ser remotamente controlados pelos botnets, utilizando um sistema específico na Internet para controlar dispositivos infectados e assim disseminarem-se numa escala geométrica através da rede.
  53. 53. 53 Nos EUA, onde o Spaming é considerado crime, a utilização do botnet para disseminação de spam dificulta os trabalhos investigativos, pois dificulta a identificação da real original do spam e, conseqüentemente, do real infrator. 3.6.8 KEYLOGGERS Este subtipo de spyware, geralmente distribuído através de trojan horses e propagado através de botnets, instala-se no dispositivo do usuário e cria logs de todas as teclas digitadas. Os objetivos, entre outros, são: obter números de contas e senhas bancárias, números de cartões de crédito, senhas de logins diversas e números de licenças de software. Os logs podem ser recuperados pelo infrator através do auxilio de um backdoor, por exemplo, ou através da recuperação de hardware, quando um keylogger do tipo físico é utilizado.
  54. 54. 54 3.6.9 PHISHING SCAM O termo é uma alusão às palavras da língua inglesa "pescar" e "fraude", devido à maneira com que ao golpe é realizado. O objetivo deste golpe é "pescar" dados através da Internet. É amplamente utilizado para roubar senhas e dados pessoais de vítimas, e considerado um dos tipos mais comuns de prática de fraude via Internet. Através de e-mails e páginas falsas, geralmente camufladas com os nomes de bancos e outras instituições financeiras, os perpetradores procuram convencer o usuário a ceder suas senhas e seus dados pessoais, com o objetivo de furtar suas contas bancárias ou conseguir dados pessoais sigilosos (CPF, telefones privados, entre outros) para a prática de outras fraudes maiores. 3.6.10RFI É um tipo de vulnerabilidade, encontrada com mais freqüência em páginas Web, que permite ao atacante incluir um arquivo remoto no Servidor Web, onde as páginas são organizadas, através de um script (arquivo contendo comandos utilizados para escrever rotinas e automatizar tarefas nos computadores Este script pode simular, por exemplo, a página de login do site, capturando os valores digitados pelo usuário e enviando-os ao atacante. O RFI também pode ser usado na arquitetura de ataques do tipo DoS. 3.6.11DoS É uma tentativa de fazer com que um determinado sistema ou recurso computacional fique indisponível aos seus usuários. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:
  55. 55. 55 • Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento, por exemplo) de forma que ele não possa mais fornecer seu serviço; • Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. 3.6.12DDoS Em um ataque distribuído de negação de serviço, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, numa determinada hora, todos os zumbis (ligados e conectados à rede) acessarão, ao mesmo tempo, o mesmo recurso do mesmo servidor. 3.6.13MITM Este tipo de ataque baseia-se na violação da privacidade de uma comunicação entre dois pontos. O perpetrador realiza conexões independentes entre as vítimas, geralmente apoiado por software de violação de criptografia de conexões sem fio, e transmite mensagens entre elas, com o intuito de levá-las a acreditar que estão conversando diretamente umas com as outras. O atacante, então, obtém informações privadas destas vitimas.
  56. 56. 56 3.6.14SPOOFING Interceptar, alterar e retransmitir um sinal ou dado criptografado, de forma que o recipiente seja enganado. É usado como tentativa para acessar um sistema restrito, pois permite que o invasor utilize uma identificação interceptada de um usuário autorizado. 3.7Mecanismos preventivos 3.7.1 MEDIDAS COMPORTAMENTAIS Existem medidas comportamentais que podem ser adotadas por qualquer usuário, dentro e fora da empresa, na tentativa de se manter protegido de malwares, seja em ambiente corporativo ou público: (DONATO, 2010) • Não abra e-mails ou mensagens de estranhos, principalmente ao utilizar email corporativo. Regra válida também para redes sociais; • Não clique nos links incluídos nos e-mails, mesmo que venham de fontes seguras. É melhor digitar novamente o endereço diretamente no navegador; • Caso o link seja clicado, prestar atenção na página que irá abrir. Se algo lhe parecer estranho, feche o navegador; • Não abra arquivos anexados se vierem de fontes desconhecidas. Evite extensões do tipo .exe (executáveis), .bat (arquivo de instruções); • Somente compre pela Internet em sites que tenham uma reputação sólida e ofereçam transações seguras. Para verificar se uma página é segura, observe o certificado em forma de um pequeno cadeado amarelo ao lado do endereço ou no canto inferior da tela; • Não use computadores públicos ou de uso compartilhado, como de lan houses, para realizar transações financeiras, visualizar emails da empresa
  57. 57. 57 ou operações que necessitem a colocação de senhas ou outras informações pessoais, como VPNs corporativas; • Tenha um programa de segurança eficiente instalado em seu computador, que seja tanto capaz de detectar vírus como outras ameaças virtuais; • As empresas devem procurar estabelecer políticas de criação e manutenção de senhas em seus domínios, evitando que uma senha seja criada com números seqüenciais ou data de nascimento, por exemplo. Essa medida pode ser adotada no dia-a-dia, e também dificulta que atacantes descubram senhas de acesso; • Não divulgar, sob hipótese alguma, seu login e senha de acesso a sistemas de sua empresa. Além de se perder o controle sobre quem acessará o sistema, os logins efetuados no sistema ficam geralmente armazenados em repositórios, e caso seja constatado que houve uma irregularidade iniciada de seu login, será bastante difícil comprovar que o dono do mesmo não teve participação no evento. Além das medidas comportamentais, que podem ser estimuladas pela organização através de campanhas de conscientização e treinamento, ela pode adotar hardware e software avançados na tentativa de proteger seu ambiente de invasões. 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO 3.7.2.1 Firewall Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. (WIKIPÉDIA, 2011)
  58. 58. 58 3.7.2.2 IDS/IPS Os IDS são meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. (WIKIPÉDIA, 2011) Já os IPS são appliances de segurança que monitoram atividades da rede e/ou sistemas em busca de atividade maliciosa. As principais funções de um IPS são identificar atividade maliciosa, armazenar logs, tentativas de bloquear/paralisar ataques e geração de relatórios. O IPS é considerado extensão do sistema de IDS, sendo a principal diferença a capacidade do IPS de bloquear e prevenir que intrusões ocorram, ao invés de somente identificá-las. (Id., 2011) 3.7.2.3 Filtros de conteúdo Conhecidos também como censorware, é um software designado para controlar qual conteúdo Web é permitido para um determinado usuário ou grupo de usuários, bloqueando acesso para sites que não estejam previamente liberados ou que possuam conteúdo indevido, de acordo com a política de segurança da organização. (WIKIPÉDIA, 2011) 3.7.2.4 Antivírus Usado para prevenir, detectar e remover malwares. Devido a sua constante atividade dentro do sistema operacional, seu uso pode afetar o desempenho do dispositivo do usuário. As diversas empresas desenvolvedoras de software antivírus disponibilizam bases de dados com novas ameaças, de forma constante. O sistema pode efetuar uma varredura no acesso ao arquivo, ou de forma constante, e compara o mesmo com sua base dados, determinando assim se o objeto é malicioso ou não. (WIKIPÉDIA, 2011)
  59. 59. 59 3.7.2.5 HoneyPot É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. Atua como uma espécie de armadilha para invasores. (WIKIPÉDIA, 2011) De forma geral, consiste em um computador, dado ou local na rede que aparenta ser um local real da rede corporativa, porém, é um elemento separado e monitorado individualmente. Os atacantes, então, ao acreditarem que o segmento é de fato parte da rede, direcionam seus ataques a ele. Os ataques podem, então, ser analisados posteriormente. (Id., 2011) 3.7.2.6 Antispam Spam é um termo usado para se referir ao envio indiscriminado de mensagens eletrônicas não solicitadas a um número de pessoas. Software e dispositivos antispam atuam ativamente nos servidores de correio eletrônico, analisando todas as mensagens de e-mail trafegadas na rede e comparando com sua base de remetentes classificados como spam, base esta mantida por órgãos como o <http://www.spamhaus.org/sbl>. Caso o e-mail venha de um remetente apontado como spam, automaticamente a mensagem é barrada pelo antispam, não chegando ao destinatário. Os remetentes classificados como spam são armazenados na chamada "lista negra" do órgão, atualizada constantemente por usuários da Internet. Caso o remetente tenha sido classificado erroneamente como spam, é possível recorrer ao órgão e retirar o mesmo da lista.
  60. 60. 60 3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES Através da classificação da informação, procura-se controlar a maneira com que ela se espalha em um ambiente. No caso de vazamento de informações restritas ou confidenciais, por exemplo, o processo de averiguação torna-se mais assertivo, pois existe maior controle sobre os grupos que recebem a informação. Definições de classificação de informação: (VILABLOG, 2010) • Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral; • Informação Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização; • Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impactos financeiros, de imagem ou operacionais ao negócio da organização ou ao negócio do parceiro; • Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente/Supervisor deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também, não deixar relatórios nas impressoras e mídias em locais de fácil acesso, tendo sempre em mente o conceito "mesa limpa", ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. (Id., 2010)
  61. 61. 61 Além da classificação da informação, é possível estabelecer medidas restritivas sobre certos ambientes, desde a inclusão de maiores controles de acesso até gestão de ativos. Exemplos: (VILABLOG, 2010) • Barreiras físicas adicionais, com mecanismos que verificam a identidade e as autorizações de acesso; • Acesso somente com autorização prévia e acompanhada de um superior ou designado; • Proibir a entrada, em determinados ambientes, portando dispositivos móveis (celulares, PDAs, entre outros) e dispositivos de armazenamento externos (memórias USB e HD’s portáteis); • Não autorizar ou limitar o acesso de dispositivos externos a rede da organização, através da gestão de ativos. Ao iniciar seu trabalho na empresa, o colaborador recebe dela todos os ativos necessários para seu trabalho, como celulares, laptops e desktops. Desta forma, ela não permite que dispositivos externos que não façam parte dos ativos da organização acessem seus dados, além do que ela tem total gestão sobre o hardware e o software destes dispositivos. Em caso de suspeita de fraude ou vazamento de informações, a empresa tem total liberdade de examinar o ativo, sem autorização legal prévia; caso o ativo pertencesse ao colaborador, ela não teria este direito legal implícito, dependendo de prévia outorga jurídica para periciar o ativo. A empresa também pode controlar a distribuição de atualizações de bases de dados de antivírus, além de controlar os software que porventura estejam instalados no dispositivo e não sejam homologados pela organização.
  62. 62. 62 Em caso de real necessidade de acesso de um dispositivo externo à rede da empresa, a empresa pode designar um grupo de sua área de segurança da informação para avaliar, através de ferramentas específicas, quais os potenciais riscos que o dispositivo externo carrega, autorizando-o ou não a acessar a rede da corporação. A adoção de tais medidas preventivas contribui para: (GORDON, 2007) • Reduções de malware, prevenindo que sistemas sejam infectados, sofram indisponibilidade e exijam a adoção de medidas muitas vezes de alto custo, assim como o vazamento de informações; • Maior produtividade dos colaboradores e redução no uso de banda da rede; • Prevenção de prejuízos decorrentes de processos legais, por não cumprimento de obrigações legais ou na averiguação de casos de vazamento de informações; • Aprimoramento na proteção de informações e propriedade intelectual, prevenindo que informações confidenciais vazem e a reputação da empresa seja colocada em jogo. Em um caso extremo, vazamento de informações críticas pode resultar em processos criminais, perda de clientes, de capital e conseqüentemente, de mercado, resultando na falência da organização. (Id., 2007) 3.8Vazamento de informações em ambientes corporativos A vulnerabilidade das redes corporativas cresce em ritmo mais acelerado do que as atualizações e correções dos Sistemas de Informação. Apesar dos antivírus e firewall estarem em todas as empresas, isso não é suficiente para que o sistema esteja livre de vírus, cavalos de tróia, ataques combinados, vazamento de informações ou fraudes.
  63. 63. 63 Um caso que provocou repercussão mundial foi o ataque a rede intitulada PSN a fabricante japonesa Sony, ocorrido em abril de 2011. Segundo Romano (2011) os criminosos alugaram Servidores da Amazon e realizam o ataque através deles para não serem identificados. Para isso, eles teriam usados cartões de créditos roubados para alugarem o serviço e de lá executarem os ataques sem que ninguém percebesse. Como resultado do ataque, determinadas informações de contas de usuários das Redes PlayStation Network e Qriocity foram expostas. Outro caso recente de ataque, que resultou na exposição de informações estratégicas a respeito dos armamentos atualmente empregados pelo Exército dos Estados Unidos no Afeganistão e dados sobre tecnologias bélicas em desenvolvimento, ocorreu em maio de 2011 nos servidores de companhias militares que têm contratos com o Governo dos Estados Unidos. (UOL, 2011) O ataque ocorreu a partir do momento em que atacantes conseguiram driblar o Sistema de Segurança dos Servidores, ao duplicar as chaves eletrônicas desenvolvidas pela RCA, Divisão de Segurança da Companhia de Tecnologia de Informação EMC. (Id., 2011) A chave eletrônica "SecurID", desenvolvida pela RCA, é um mecanismo que constantemente gera novas senhas, em um esforço para evitar que os hackers possam identificar uma determinada senha usada de modo recorrente. (Id., 2011) Os hackers teriam conseguido duplicar essas chaves eletrônicas a partir de dados roubados dos sistemas da empresa EMC, durante outro sofisticado ataque. (Id., 2011) Em janeiro de 2009, como mostra a Figura 7, o Grupo Symantec, conduziu nos EUA uma pesquisa entre 1000 pessoas que haviam saído de empresas durante o ano de 2008. A pesquisa mostrava que 59% dos entrevistados roubaram informação confidencial, como listas de clientes da empresa. (LEE et al., 2009)
  64. 64. 64 Além disso, 53% responderam que copiaram informação confidencial para CD ou DVD, 45% copiou data para memória USB e 35% respondeu que usou e-mail corporativo para enviar correio pessoal. (LEE et al., 2009) Finalmente, 75% responderam que obteve dados sem a permissão prévia, 82% respondeu que não havia auditoria ou verificação de documentos eletrônicos até sua saída da companhia. Por fim, 24% responderam que eles ainda podiam acessar os sistemas da companhia e sua rede privada, mesmo após a sua saída dela. (Id. et al., 2009). Figura 7 - Tipos de vazamento de informações. Fonte: Lee et al. (2009). Como descrito na pesquisa, existiram diversos canais de vazamento de informação, mas quatro foram utilizados com maior freqüência: cópia de arquivos para dispositivos de armazenamento ou memórias USB; queima de dados em CD/DVD; envio de dados através de emails e transmissão ou cópia de arquivos para dispositivos móveis, como PDAs e celulares. O descarte da informação também deve ser uma preocupação para as organizações, e até mesmo a lata de lixo de uma empresa pode ser uma fonte de vazamento de informações.
  65. 65. 65 Segundo Hunt (2009), informações sensíveis podem estar dentro de uma memória portátil USB esquecida em uma gaveta, na lata de lixo, na pilha de fax descartada e muitos outros lugares, somente esperando para serem encontradas por criminosos. (GOODCHILD, 2009) Organizações que não tomam o cuidado devido na destruição de cópias impressas de informação sensível correm o risco de terem informação confidencial caindo em mãos não autorizadas. Ao invés de ter tais informações destruídas de forma segura, profissionais acabam por simplesmente jogar suas informações confidenciais (talvez inconscientemente) no lixo. Um atacante pode decidir invadir a lixeira da companhia e descobrir estas informações. Esta prática se estende também para informação armazenada em CDs e DVDs, assim como todo o material impresso. (GORDON, 2007, tradução livre) A técnica conhecida como "dumpster diving", termo proveniente do inglês e traduzido livremente como "mergulho na lixeira", consiste em vasculhar as lixeiras de organizações em busca de itens que possam carregar informação confidencial e/ou privilegiada e que tenham sido indevidamente descartados, como dados de clientes armazenados em laptops, cheques (no caso de bancos), entre outros. Utilizando como exemplo, em uma instituição financeira, foi averiguada a lixeira de uma organização, e dela se obteve: (HUNT, 2009 apud GOODCHILD, 2009) • Informações sobre transferências bancárias, incluindo transações entre bancos americanos e jordanianos, sauditas ou portugueses. Os documentos continham os números de documentos pessoais e nomes de ambos remetente e destinatário das transações; • Cópias de cheques de diversos clientes, com todos os dados legíveis, incluindo sua assinatura; • Históricos de transações financeiras, incluindo dados de um político da região;
  66. 66. 66 • Demonstrativo financeiro de um cidadão bastante rico, incluindo o endereço completo da casa do indivíduo, números de várias contas abertas e números de vários documentos do mesmo; • Um desktop inteiro e intacto, com o disco rígido pronto para ser extraído e analisado. Portanto, as políticas de descarte são também um ponto a ser levado em consideração por empresas que procurem eficiência na gestão do ciclo de vida de uma informação. Medidas como a utilização de trituradores de papel, destruição de dispositivos que serão descartados (formatá-los não basta, pois existem maneiras de recuperar arquivos de discos que tenham sido previamente formatados) e a criação de políticas de conscientização institucional sobre o tema também são medidas bem vindas na proteção contra o vazamento de informações. 3.9O CERT.br Existem vários grupos em todo o mundo que auxiliam no estudo, na resposta e no tratamento de incidentes de segurança da informação; a primeira e principal fonte de informação para esses grupos é o CERT.org (conhecido também como CSIRT). (WIKIPÉDIA, 2011) O grupo de estudo brasileiro é o CERT.br, que faz parte do Comitê Gestor da Internet no Brasil e que tem como principal função a unificação das informações de incidentes de segurança com a colaboração de diversas entidades para a informação, análise e solução de problemas ocasionados. (Id., 2011)

×