RF
Carregado porRodrigo Fontes
187 visualizações

Monografia Rodrigo Fontes

Este documento trata de uma monografia apresentada por Rodrigo Fontes à FATEC-Mauá em 2011 sobre perícia forense digital apoiando a segurança da informação. A monografia discute a legislação aplicada aos crimes virtuais no Brasil e nos EUA, aspectos da segurança da informação e riscos de sua ausência, tipos de ameaças cibernéticas, perícia forense digital e apresenta um estudo de caso sobre a investigação de um crime digital.

Incorporar apresentação

Baixar para ler offline
1 / 128
2 / 128
3 / 128
4 / 128
5 / 128
6 / 128
7 / 128
8 / 128
9 / 128
10 / 128
11 / 128
12 / 128
13 / 128
14 / 128
15 / 128
16 / 128
17 / 128
18 / 128
19 / 128
20 / 128
21 / 128
22 / 128
23 / 128
24 / 128
25 / 128
26 / 128
27 / 128
28 / 128
29 / 128
30 / 128
31 / 128
32 / 128
33 / 128
34 / 128
35 / 128
36 / 128
37 / 128
38 / 128
39 / 128
40 / 128
41 / 128
42 / 128
43 / 128
44 / 128
45 / 128
46 / 128
47 / 128
48 / 128
49 / 128
50 / 128
51 / 128
52 / 128
53 / 128
54 / 128
55 / 128
56 / 128
57 / 128
58 / 128
59 / 128
60 / 128
61 / 128
62 / 128
63 / 128
64 / 128
65 / 128
66 / 128
67 / 128
68 / 128
69 / 128
70 / 128
71 / 128
72 / 128
73 / 128
74 / 128
75 / 128
76 / 128
77 / 128
78 / 128
79 / 128
80 / 128
81 / 128
82 / 128
83 / 128
84 / 128
85 / 128
86 / 128
87 / 128
88 / 128
89 / 128
90 / 128
91 / 128
92 / 128
93 / 128
94 / 128
95 / 128
96 / 128
97 / 128
98 / 128
99 / 128
100 / 128
101 / 128
102 / 128
103 / 128
104 / 128
105 / 128
106 / 128
107 / 128
108 / 128
109 / 128
110 / 128
111 / 128
112 / 128
113 / 128
114 / 128
115 / 128
116 / 128
117 / 128
118 / 128
119 / 128
120 / 128
121 / 128
122 / 128
123 / 128
124 / 128
125 / 128
126 / 128
127 / 128
128 / 128
CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE MAUÁ RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO MAUÁ / SÃO PAULO 2011
RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC - Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Orientador: Prof. M.Sc. Luiz Carlos Magarian. MAUÁ / SÃO PAULO 2011
FONTES, Rodrigo Perícia Forense Digital Apoiando a Segurança da Informação. Rodrigo Fontes. 128 p.; 30 cm. TCC (Trabalho de Conclusão de Curso). CEETEPS/FATEC – Mauá/SP, 1º Sem. 2011. Orientador: Prof. M.Sc. Luiz Carlos Magarian. Referencial Bibliográfico: p. 123. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC-Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Aprovação em: __________________________________ Prof. M.Sc. Luiz Carlos Magarian FATEC-Mauá Orientador __________________________________ Profa . Nizi Voltareli Morselli FATEC-Mauá Avaliadora __________________________________ Prof. M.Sc. Osmil Aparecido Morselli FATEC-Mauá Avaliador
Dedico esta monografia aos meus pais, Tânia Regina e Moacyr Fontes, pelo esforço que desempenharam para me ajudar a chegar até aqui. Ao Meu Irmão, Marcelo Fontes, por todo o apoio concedido em todos os momentos, e à minha futura esposa Patricia Simone da Silva, pelo seu exemplo de vida que me cativa diariamente e por todo o carinho, amor e apoio concedidos a mim.
AGRADECIMENTO Aos meus colegas nesta instituição: Cleiton Romualdo, Paulo Pelossi, Felipe Bastos, Robert Willian, André Pereira, Ariane dos Santos e Janaine Alves Martins por todos os momentos de descontração e por toda cooperação em todos estes anos de FATEC. A todos os professores pelos ensinamentos e pela dedicação, especialmente ao Professor e Orientador M.Sc. Luiz Carlos Magarian, por aceitar me conduzir nesta etapa tão importante de minha vida e por toda atenção a mim dedicada. À Professora e Coordenadora do Curso de Informática para Gestão de Negócios Nizi Voltareli Morselli por todo seu apoio, dedicação e carinho com todos os alunos e ex-alunos. Aos meus amigos e colegas de trabalho pelo incentivo constante, em especial, ao Queiroz Alencar, Patric Ferreira da Silva e Renato Cavallari, que sempre demonstraram acreditar em meu potencial. Aos meus grandes amigos Leonardo Silva e Bruno Peixoto, pela amizade cultivada e pelo apoio na execução deste trabalho. Especialmente, à Luana T. Oliveira e ao Vladimir Sesar, cujos conhecimentos compartilhados foram fundamentais no desenvolvimento e no enriquecimento desta monografia. À minha família, pai, mãe, irmão e namorada, por estarem sempre ao meu lado, incentivando-me sempre. E, acima de tudo, a Deus, por mostrar que apesar de qualquer dificuldade nossos objetivos podem ser alcançados com perseverança e dedicação, e por estar sempre guiando meu caminho. Graças a Ele pude alcançar todos os meus objetivos na vida.
"A situação está sob controle. Só não sabemos de quem." (Mario Covas)
RESUMO A informática, a Internet e as redes corporativas são aliadas das organizações na busca por maior produtividade e alavancagem de lucros. No entanto, o anonimato propiciado por estes meios é constantemente um aliado na prática de crimes, vazamento de informações corporativas e fraudes, gerando graves incidentes de segurança. A Segurança da Informação, suas metodologias, técnicas, práticas, normas e certificações, são mecanismos utilizados na tentativa de se obter um ambiente corporativo mais controlável e protegido contra fraudes, vazamento de informações e outros crimes. No entanto, a sofisticação dos crimes cometidos no meio digital vem obrigando as empresas a responderem com mecanismos mais apuradas no combate a estes crimes. Neste contexto, as técnicas da Perícia Forense Digital vêm se tornando mais difundidas nas organizações e na investigação de incidentes de segurança, os quais podem comprometer a integridade da organização, seu posicionamento estratégico e, conseqüentemente, sua sobrevivência no mercado. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
LISTA DE ILUSTRAÇÕES Figura 1 - Página Principal do CCIPS ..................................................................................28 Figura 2 - Tabela de processos de crimes informáticos........................................................30 Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011............................................49 Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.....................................................50 Figura 5. Fraudes no Brasil, de jan. a mar. 2011..................................................................50 Figura 6. Tabela com os tipos de ataque. ............................................................................50 Figura 7 - Tipos de vazamento de informações....................................................................64 Figura 8 - Tableau conectado a um disco rígido...................................................................80 Figura 9 - Evidência em envelope contra interferências eletromagnéticas. ..........................82 Figura 10 - Formulário de Cadeia de Custódia.....................................................................83 Figura 11 - Microsoft COFEE. ..............................................................................................94 Figura 12 - EnCase (v 6.16.1). .............................................................................................95 Figura 13 - Recover my Files. ..............................................................................................96 Figura 14 - Dashboard do CallerIP.......................................................................................97 Figura 15 - Wireshark...........................................................................................................98 Figura 16. Formulário de cadeia de custódia (estudo de caso). .........................................111 Figura 17 - Estrutura de exibição de dados do EnCase......................................................114 Figura 18 - Visão geral do Processo Forense Digital aplicado no Estudo de Caso.............120
LISTA DE SIGLAS E ABREVIATURAS Lista de Siglas ABIN - Associação Brasileira de Inteligência. ACE - AccessData Certified Examiner. ACFEI - American College of Forensic Examiners Institute. CCFT - Certified Computer Forensic Technical. CCIPS - Computer Crime & Intellectual Property Section. CEH - Certified Ethical Hacker. CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. CGI - Comitê Gestor da Internet. CHFI - Certified Hacker Forensic Investigator. Checksum - SUMmation CHECK. CIA - Confidentiality, Integrity and Avaliability - Confidencialidade, Integridade e Disponibilidade. CPC - Código de Processo Civil. CPP - Código de Processo Penal. CSIRT - Computer Security Incident Response Team – Grupos de Respostas a Incidentes. ECA - Estatuto da Criança e do Adolescente. EnCE - EnCase Certified Examiner. EUA - Estados Unidos da América. Febraban - Federação Brasileira de Bancos. GIAC - Global Information Assurance Certification. GSIPR - Gabinete de Segurança Institucional da Presidência da República. ICOFCS - The International Conference on Forensic Computer Science. IHCFC - International Hi-Tech Crime and Forensics Conference. LAN - Local Area Network – Rede Local. MFT - Master File Table - Tabela de Arquivo Principal. NIC - Núcleo de Informação e Coordenação. NSRL - National Software Reference Library.
PDA - Personal Digital Assistant - Assistente Pessoal Digital. PL - Projeto de Lei. SATA - Serial Advanced Technology Attachment. SAS - Statements on Auditing Standards SBI - Sistema Brasileiro de Inteligência. SCSI - Small Computer System Interface. SOP - Standard Operating Procedure - Procedimento de Operação Padrão. SWGDE - Scientific Working Group on Digital Evidence. TI - Tecnologia da Informação. USB - Universal Serial Bus - Barramento Serial Universal. USC - Code of Laws of the United States of America.
SUMÁRIO 1 INTRODUÇÃO.................................................................................................. 15 2 DIREITO DIGITAL ............................................................................................ 18 2.1 LEGISLAÇÃO APLICADA AO CRIME VIRTUAL NO BRASIL.............................................. 19 2.1.1 PROJETOS DE LEI........................................................................................... 24 2.2 O CRIME DIGITAL NOS EUA................................................................................... 27 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA............................... 29 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA ............................ 30 2.3 CONSIDERAÇÕES FINAIS DO CAPÍTULO 2................................................................ 32 3 SEGURANÇA DA INFORMAÇÃO ................................................................... 34 3.1 IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES ................. 36 3.2 RISCOS INERENTES A AUSÊNCIA DA SEGURANÇA DA INFORMAÇÃO............................ 37 3.3 TIPOS DE CONTROLE SOBRE A SEGURANÇA DA INFORMAÇÃO ................................... 38 3.4 DIRETIVAS PARA A GESTÃO DE SEGURANÇA DA INFORMAÇÃO .................................. 39 3.5 A ENGENHARIA SOCIAL CONTRA A SEGURANÇA DA INFORMAÇÃO ............................. 44 3.6 AS AMEAÇAS VIRTUAIS CONTRA A SEGURANÇA DA INFORMAÇÃO .............................. 47 3.6.1 VÍRUS E WORMS ............................................................................................. 51 3.6.2 TROJAN HORSES ............................................................................................ 51 3.6.3 ROOTKITS ........................................................................................................ 51 3.6.4 BACKDOORS.................................................................................................... 52 3.6.5 SCAN................................................................................................................. 52 3.6.6 SPYWARES/ADWARE...................................................................................... 52 3.6.7 BOTNETS.......................................................................................................... 52 3.6.8 KEYLOGGERS.................................................................................................. 53 3.6.9 PHISHING SCAM.............................................................................................. 54 3.6.10RFI .................................................................................................................... 54 3.6.11DoS ................................................................................................................... 54 3.6.12DDoS ................................................................................................................ 55 3.6.13MITM................................................................................................................. 55 3.6.14SPOOFING ....................................................................................................... 56
13 3.7 MECANISMOS PREVENTIVOS.................................................................................. 56 3.7.1 MEDIDAS COMPORTAMENTAIS..................................................................... 56 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO ............................................. 57 3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES.......................................................................................... 60 3.8 VAZAMENTO DE INFORMAÇÕES EM AMBIENTES CORPORATIVOS ................................ 62 3.9 O CERT.BR ........................................................................................................ 66 3.10 CONSIDERAÇÕES FINAIS DO CAPÍTULO 3................................................................ 69 4 PERÍCIA FORENSE DIGITAL .......................................................................... 71 4.1 O PERITO FORENSE DIGITAL .................................................................................. 72 4.2 ETAPAS DA INVESTIGAÇÃO FORENSE DIGITAL ......................................................... 77 4.2.1 COLETA DE DADOS......................................................................................... 79 4.2.2 EXAME DE DADOS .......................................................................................... 84 4.2.3 ANÁLISE ........................................................................................................... 85 4.2.4 APRESENTAÇÃO DE RESULTADOS.............................................................. 85 4.3 LIVE ANALISYS VERSUS POST MORTEM ................................................................. 86 4.4 TÉCNICAS ANTI-FORENSE..................................................................................... 87 4.4.1 OCULTAÇÃO DE DADOS................................................................................. 88 4.4.2 FERRAMENTAS DE LIMPEZA ......................................................................... 90 4.4.3 ATENTADOS CONTRA OS PROCESSOS E FERRAMENTAS FORENSES... 92 4.5 EFETIVIDADE DAS TÉCNICAS ANTI-FORENSE............................................................ 92 4.6 ALGUMAS FERRAMENTAS PARA A PERÍCIA FORENSE DIGITAL..................................... 93 4.6.1 MICROSOFT COFEE........................................................................................ 93 4.6.2 EnCASE ............................................................................................................ 95 4.6.3 RECOVER MY FILES........................................................................................ 96 4.6.4 CallerIP.............................................................................................................. 97 4.6.5 WIRESHARK..................................................................................................... 98 4.6.6 FTK FORENSIC TOOLKIT................................................................................ 98 4.6.7 LINHA DE COMANDO ...................................................................................... 99 4.7 CONSIDERAÇÕES FINAIS DO CAPÍTULO 4................................................................ 99 5 ESTUDO DE CASO........................................................................................ 101 5.1 INTRODUÇÃO: O "DEDO-DURO" ............................................................................ 101
14 5.2 PREPARAÇÃO .................................................................................................... 102 5.3 A NATUREZA E A FONTE DA ACUSAÇÃO ................................................................. 105 5.4 COLETA DE EVIDÊNCIA E CADEIA DE CUSTÓDIA .................................................... 107 5.5 TIRE SUAS MÃOS DESTE TECLADO E AFASTE-SE DEVAGAR...................................... 109 5.6 EXTRAÇÃO DE IMAGEM DOS DISCOS RÍGIDOS ........................................................ 112 5.7 ANÁLISE DA ESTRUTURA LÓGICA DE ARQUIVOS ..................................................... 113 5.8 ANÁLISE DOS ESPAÇOS NÃO ALOCADOS E DAS SOBRAS ENTRE ARQUIVOS ............... 115 5.9 O FLAGRANTE .................................................................................................... 116 5.10 CONFECCÇÃO DOS RELATÓRIOS .......................................................................... 117 5.11 LIÇÕES APRENDIDAS........................................................................................... 117 5.12 ANÁLISE DO ESTUDO DE CASO ............................................................................. 119 6 CONCLUSÃO ................................................................................................. 121 REFERENCIAL BIBLIOGRÁFICO........................................................................... 123
15 1 INTRODUÇÃO Com um volume que já ultrapassou a barreira dos 73 milhões de usuários no Brasil (FOLHA, 2011), a Rede de Computadores, seja ela corporativa ou pública, vem difundindo o meio digital como um dos veículos de comunicação e interação humana que mais se desenvolve. Junto com sua popularização, crescem também os interesses de indivíduos em utilizar o anonimato propiciado por este meio como principal ferramenta para prática de crimes. Com a disseminação do uso da Rede de Computadores, aumentam também os ataques aos sistemas computacionais e outros crimes cometidos através do meio virtual. Estes ataques podem ter motivações políticas ou ativistas, ser provenientes de pessoas com pouco ou nenhum conhecimento técnico que utilizam ferramentas prontas, ou ainda partirem de técnicos altamente especializados, que exploram vulnerabilidades específicas de sistemas com o intuito de obterem informações privilegiadas, realizar sabotagens, roubo de dados bancários de usuários e outros delitos. Na Internet, o criminoso encontra sigilo e anonimato para a prática de qualquer crime, a partir de qualquer lugar. (PECK, 2010) Segundo Besen (2009), ano após ano os casos de crimes digitais se repetem e crescem de tamanho. Somente nos EUA, as perdas atingiram US$ 70 bilhões no ano de 2008. Empresas fornecedoras de dados pessoais muitas vezes passam informações a criminosos que se fazem passar por pequenas empresas. Hackers roubam dados pessoais de bancos de dados inseguros a todo o momento. O Bank of America, por exemplo, já perdeu fitas de back-up contendo mais de um milhão de registros de funcionários federais. Praticamente todos os dias, um novo incidente de furto de informação confidencial acontece. Muitas vezes, esse furto ocorre sem que seja nem mesmo notado. E a situação vem se agravando. (Id., 2009)
16 Em 2008, empresas, governos e universidades revelaram um aumento recorde (69%) de violações de dados somente no primeiro semestre, em face de igual período do ano anterior. Somente nos Estados Unidos, o roubo de dados custou US$ 6.6 bilhões às empresas especializadas em segurança em 2008 - e cerca de US$ 70 bilhões às empresas de serviços em geral. (BESEN, 2009) A necessidade de proteger o ambiente virtual destes eventos provocou na sociedade, nas organizações privadas e nas públicas, a necessidade de se expandir o grau de conhecimento sobre estes ataques e a criação de políticas e mecanismos de prevenção e combate aos mesmos. (PECK, 2010) Desta necessidade, nasce a Segurança da Informação, com a qual indivíduos criam políticas, adéquam o ambiente de empresa às normas e certificações pertinentes, programam aplicações e ferramentas de segurança, tudo com o intuito de dirimir a possibilidade de ataques, vazamento de informações e, principalmente, de possuir um ambiente controlável; onde o rastreamento seja possível e, em caso de um ataque ou violação de qualquer tipo, com garantias de que existam ferramentas e técnicas capazes de identificá-lo. (Id., 2010) A Perícia Forense Digital, ciência que utiliza as técnicas forenses de reconstituição de eventos a partir de evidências deixadas nos crimes e o eventual apontamento de provas para a solução dos mesmos, se baseia na utilização de ferramentas e metodologias tecnológicas para averiguar crimes, fraudes, ataques e vazamento de informação; que tenham ocorrido em qualquer sistema computacional esteja este na Internet, Intranet, Extranet ou na LAN de uma organização. O maior desafio do Perito Digital é raciocinar como o criminoso, é necessário que este Perito tenha conhecimento técnico suficiente para rastrear as provas deixadas e a conseqüente "origem" (entre aspas, pois a origem aqui não é necessariamente física, podendo ser puramente virtual) do ataque, além de também saber preveni-los. O objetivo deste trabalho, composto de quatro Capítulos, um Estudo de Caso e considerações finais, é mostrar como o Direito enxerga o Crime Digital, os
17 mecanismos de defesa que a Segurança da Informação fornece os tipos de ameaça e, finalmente, como a Perícia Forense Digital é aplicada na resolução de crimes digitais, fraudes corporativas e vazamento de informações, e como a sua eficácia depende da integração entre teoria e prática, legislação e ferramentas. O crescimento da profissão e a necessidade que as empresas e a sociedade têm de estabelecer meios preventivos e processos investigativos, principalmente com o crescente volume de crimes propagados pelo meio virtual, motivam o estudo do tema.
18 2 DIREITO DIGITAL Segundo Wikipédia (2011) o Direito é um "sistema de normas de conduta imposto por um conjunto de instituições para regular as relações sociais." Já o Direito Digital "[...] se propõe a estudar aspectos jurídicos do uso de computadores, com fundamentos no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, [...] uma nova área do estudo do Direito." Historicamente, meios de comunicação, ao se tornarem difundidos perante as massas, passam a ter relevância jurídica, e sua conduta passa a ser abordada pelo Direito, sob a pena de se criar insegurança no ordenamento jurídico e na sociedade. Ocorreu isto com a televisão, o telefone, a imprensa, o radio e o fax e agora, com o meio Digital. Apesar de não existirem regulamentações especificas para cada meio, vigora sobre todos estes veículos a capacidade que o Direito possui de regular as ações dos indivíduos, com o intuito de proteger a conduta e a ordem social. (PECK, 2010) Não é possível, porém, acompanhar a velocidade com que o meio Digital evolui e se modifica diferentemente dos outros meios, mas é possível estabelecer um mecanismo com embasamento auto-regulamentável, que transcenda o tempo (vigência) e o espaço (territorialidade) da legislação. Por este motivo, deve vigorar a publicidade das leis e regras às quais o público digital será submetido, aumentando a eficácia com que o conhecimento das regulamentações dissemina-se perante os usuários. (Id., 2010) A velocidade das transformações é uma barreira à legislação sobre o assunto. Por isso qualquer lei que venha a tratar dos novos institutos jurídicos deve ser genérica o suficiente para sobreviver ao tempo e flexível para atender aos diversos formatos que podem surgir de um único assunto. [...] a obsolescência das leis sempre foi um fator de discussão [...]. A exigência de processos mais céleres também sempre foi um anseio da sociedade, não sendo apenas da conjuntura atua. (Id., 2010)
19 D’antona (2010) apud Donato (2010) afirma que "pela primeira vez em 2010 os crimes virtuais resultaram em maior prejuízo do que os crimes físicos. Por dados dos computadores se fez mais dinheiro para os bandidos do que o roubo as estoques os aos bens físicos de empresas e pessoas." Com esta afirmação em mente, ver-se-á a seguir como a Legislação Brasileira se comporta perante os casos de Crimes Virtuais. 2.1Legislação aplicada ao crime virtual no Brasil [...] é lógico afirmar que toda nova tecnologia que possibilite uma nova ferramenta de relacionamento necessite de um estudo mais profundo sobre a sua capacidade de transmitir segurança e ter no Direito um mecanismo que possa garanti-la. (PECK, 2010) Os tribunais brasileiros vêm utilizando amplamente o Código Penal (C.P.) e o Código Civil (C.V.) como base de julgamento de Crimes Digitais, pois o meio digital acaba sendo somente mais um dos diversos veículos na execução da pratica criminosa. (LUCENA, 2011) Grande parte dos magistrados, advogados e consultores jurídicos considera que aproximadamente 95% dos delitos cometidos eletronicamente já estariam tipificados no Código Penal Brasileiro, por caracterizar crimes comuns praticados por meio da Internet. O número de decisões judiciais envolvendo crimes eletrônicos saltou de 400, em 2002, para mais de 17 mil atualmente. (Id., 2011) O Judiciário precisa se especializar para lidar corretamente com assuntos relacionados à internet. No Direito Digital, as questões técnicas estão entrelaçadas com as questões jurídicas, um não trabalha sem o outro, o que exige um grau de profundidade maior. Apesar de termos uma legislação que fornece uma cobertura de 95% dos problemas relacionados a internet, as punições são brandas em relação ao prejuízo causado, devido ao alcance da rede mundial de computadores. (BLUM, 2010 apud GHIRELLO, 2010).
20 Existe um vácuo de 5% na legislação brasileira quando se trata de crimes na Internet, como a invasão de computadores, que por si só, não caracteriza ato ilícito. A legislação deixa de levar em conta o que uma invasão pode acarretar, visto que hoje as empresas e usuários guardam informações importantes nos computadores. (Id., 2010) As empresas enfrentam vazamentos de informações protegidas, segredos, planos estratégicos, documentos confidenciais, e quando isso acontece ou quando alguém tem sua intimidade exposta existem medidas que podem ser tomadas, mas que nem sempre alcançam o objetivo almejado [...]. (BLUM, 2010 apud GHIRELLO, 2010) A Tabela 1 propõe uma classificação dos crimes mais comuns ao meio virtual, e suas respectivas tipificações equivalentes na Legislação Brasileira: Tabela 1 - Infrações Digitais Tipificadas na Legislação vigente. Tabela de Infrações Digitais mais freqüentes na Vida Comum do Usuário do Bem Alegar falsamente em chat ou página de relacionamentos que outrem cometeu algum crime. CALÚNIA. Art.138 do C.P. Encaminhar para várias pessoas um boato eletrônico. DIFAMAÇÃO. Art.139 do C.P. Enviar e-mail a algum indivíduo, fazendo citação pejorativa sobre características dele. INJÚRIA. Art.140 do C.P. Enviar mensagem eletrônica ameaçando indivíduos. AMEAÇA. Art.147 do C.P. Enviar um e-mail para terceiros com informação considerada confidencial. DIVULGAÇÃO DE SEGREDO. Art.153 do C.P. Fazer um saque eletrônico no Internet Banking com os dados de conta do cliente. FURTO. Art.155 do C.P. Enviar um vírus que destrua equipamento ou conteúdos. DANO. Art.163 do C.P. Copiar um conteúdo e não mencionar sua fonte. VIOLAÇÃO AO DIREITO AUTORAL. Art.184 do C.P. Criar uma Comunidade Online que insulte religiões. ESCÁRNIO POR MOTIVO DE RELIGIÃO. Art.208 do C.P. Divulgar banners de sites pornográficos. FAVORECIMENTO DA PROSTITUIÇÃO. Art.228 do C.P. Divulgar por meio eletrônico foto com gestos ou atos obscenos. ATO OBSCENO. Art.233 do C.P. Promover por meio eletrônico a prática de algum ato, crime, ou participação no mesmo. INCITAÇÃO AO CRIME. Art.286 do C.P.
21 Criar uma Comunidade sobre a prática de atos ilícitos APOLOGIA DE CRIME OU CRIMINOSO. Art.287 do C.P. Enviar e-mail com remetente falso. FALSA IDENTIDADE. Art.307 do C.P. Fazer cadastro com nome falso em uma loja virtual. INSERÇÃO DE DADOS FALSOS EM SISTEMA DE INFORMAÇÕES. Art.313-A do C.P. Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software). ADULTERAR DADOS EM SISTEMA DE INFORMAÇÕES. Art.313-B do C.P. Participar de Cassino Online. JOGO DE AZAR. Art.50 da L.C.P. Discriminar cor, raça ou etnia em sites de relacionamento, redes sociais, chats e afins. PRECONCEITO OU DISCRIMINAÇÃO RAÇA- COR-ETNIA-ETC. Art.20 da Lei 7.716/89. Visualizar ou enviar fotos de menores nus através da Internet. PEDOFILIA. Art.247 da Lei 8.069/90 "ECA". Usar logomarca de empresa em um link na página da Internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte, ou imitá-la de modo que possa induzir a confusão. CRIME CONTRA A PROPRIEDADE INDUSTRIAL. Art.195 da Lei 9.279/96. Empregar meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem, por exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador. CRIME DE CONCORRÊNCIA DESLEAL. Art.195 da Lei 9.279/96. Monitoramento não avisado previamente, coleta de informações espelhadas, uso de spoofing page. INTERCEPTAÇÃO DE COMUNICAÇÕES DE INFORMÁTICA. Art.10 da Lei 9.296/96. Usar cópia de software sem ter a licença para tanto. CRIMES CONTRA SOFTWARE "PIRATARIA". Art.12 da Lei 9.609/98. Fonte: Adaptado de Peck (2010). Compartilhando do raciocínio e complementando o conceito, na Tabela 2, Vieira (2008) compila e analisa a legislação vigente, a fim de subsidiar trabalhos de operadores, técnicos e juristas da área de segurança da informação.
22 Tabela 2 - Dispositivos legais relacionados à Segurança da Informação Dispositivo Mandamento Legal Aspecto da Segurança da Informação Constituição Federal, art. 5º, inciso XII. DIREITO À PRIVACIDADE DAS COMUNICAÇÕES. Sigilo dos dados telemáticos e das comunicações privadas. Constituição Federal, art. 37, caput. VINCULAÇÃO DA ADMINISTRAÇÃO PÚBLICA AOS PRINCÍPIOS DA LEGALIDADE, IMPESSOALIDADE, MORALIDADE, PUBLICIDADE E EFICIÊNCIA. Quanto melhor a gestão das informações, mais eficiente será o órgão ou entidade, daí a necessidade de implantação de uma Política de Segurança da Informação. Constituição Federal, art. 37, § 7º. LEI DISPORÁ SOBRE OS REQUISITOS E AS RESTRIÇÕES AO OCUPANTE DE CARGO OU EMPREGO DA ADMINISTRAÇÃO DIRETA E INDIRETA QUE POSSIBILITE O ACESSO A INFORMAÇÕES PRIVILEGIADAS. Necessidade de regulamentação do acesso a informações privilegiadas. Consolidação das Leis do Trabalho - CLT, art. 482, alínea g RESCISÃO DE CONTRATO DE TRABALHO DE EMPREGADO QUE VIOLA SEGREDO DA EMPRESA. Proteção das informações sigilosas acessadas no exercício de emprego público (empresas públicas e sociedades de economia mista). Lei nº 7.232/84, art. 2 o , inciso VIII. EXIGÊNCIA DE MECANISMOS E INSTRUMENTOS LEGAIS E TÉCNICOS PARA A PROTEÇÃO DO SIGILO DOS DADOS INFORMATIZADOS ARMAZENADOS, PROCESSADOS E VEICULADOS, DO INTERESSE DA PRIVACIDADE E DE SEGURANÇA DAS PESSOAS FÍSICAS E JURÍDICAS, PRIVADAS E PÚBLICAS. Sigilo dos dados relacionados à intimidade, vida privada e a honra, especialmente dos dados armazenados através de recursos informáticos. Lei nº 7.492/86, art. 18. PENA DE RECLUSÃO DE 1 A 4 ANOS E MULTA POR CRIME DE VIOLAÇÃO DE SIGILO BANCÁRIO. Proteção das informações no âmbito das instituições financeiras e sistemas de distribuição de títulos mobiliários. Lei nº 9.472/97, art. 3º, inciso V. O USUÁRIO DE SERVIÇOS DE TELECOMUNICAÇÕES TEM DIREITO À INVIOLABILIDADE E AO SEGREDO DE SUA COMUNICAÇÃO, SALVO NAS HIPÓTESES E CONDIÇÕES CONSTITUCIONAL E LEGALMENTE PREVISTAS. Sigilo das comunicações. Lei nº 10.683/03, art. 6º. PREVÊ A COMPETÊNCIA DO GSIPR A COORDENAR A ATIVIDADE DE SEGURANÇA DA INFORMAÇÃO. Todos os aspectos da segurança da informação. Fonte: Adaptado de Vieira (2008).
23 Reforçando o pensamento, ICOFCS (2006) apud PRETO (2009) diz que os chamados "crimes cibernéticos" normalmente podem ser enquadrados em crimes já tipificados na legislação penal brasileira, pois estão sendo cometidos os crimes já existentes, apenas utilizando a informática e o espaço cibernético como uma ferramenta adicional às atividades criminosas. No entanto, há quem defenda que casos ocorridos pela Internet não devem ser tipificados no código penal, como Ramalho Terceiro (2002): O cerne da questão repousa justamente aqui. Em muitos casos, devido à ausência de norma que tipifique tais crimes, têm os Tribunais, se socorrendo da analogia para o ajustamento da conduta atípica à norma penal, o que pelo Princípio da Legalidade, onde se assenta o nosso Direito punitivo, é terminantemente proibido o emprego da analogia em matéria penal. [...]. Segundo Oliveira (2011), o fato de Brasil não ser signatário do Tratado de Budapeste, iniciado em 2001, pode fazer com que a legislação acerca do crime digital no Brasil fique desnivelada com o restante dos países signatários. Este é o Tratado Internacional contra Crimes na Internet, onde 30 países procuram criar legislações especificas contra os crimes digitais. Dentro deste tratado, entre outros pontos, é previsto que uma empresa pode ser indiciada por co-responsabilidade, caso seja constatada negligência na utilização de controles preventivos e de rastreamento, sendo ela a responsável pela infra- estrutura de TI (e-mail, Internet, portas USB, falta de criptografia, segregação de função, gerenciamento e correlação de logs etc.). Peck (2010) afirma que independente se existe ou não legislação especifica ao crime digital e do local onde esteja hospedado o site ou o sistema por onde o crime virtual foi veiculado, vigorará no julgamento do delito a legislação e a jurisprudência do território de origem do ataque; ou seja, o crime originado no Brasil será julgado tendo a legislação brasileira como base de acusação e pena.
24 2.1.1 PROJETOS DE LEI Para Lima (2007), algumas ações como difusão de vírus, acesso indevido a redes, violação de informação, não são consideradas crimes porque não existe lei definida. Existem projetos de lei em andamento no Brasil, na tentativa de suprir esta necessidade, mas o criminoso que executar estas ações não poderá ser condenado, pois, conforme expresso no Art 1º do Código Penal, "[..] não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal [..]." Já para Mata (2005), o Poder Legislativo tem se empenhado para propor e aprovar projetos que protejam as relações jurídicas na Internet, especialmente para coibir práticas violadoras aos valores sociais fundamentais. Colocado em discussão novamente em Outubro de 2010, o PL-89/2003, também conhecido como "Lei Azeredo", previa alterações ao Código Penal, o Código Penal Militar, a Lei dos Crimes Raciais (Lei nº 7.716 de 1989) e no Estatuto da Criança e do Adolescente (Lei nº 8.069, de 1990), com o intuito de tipificar os crimes digitais através de inserções especificas nestas legislações vigentes. (AGUIARI, 2010) Na Tabela 3, a seguir, são expostos alguns dos pontos do Projeto de Lei PLC nº 89/2003, classificando práticas criminosas comuns ao meio virtual como sendo novas condutas criminais, e sua respectiva tipificação a ser acrescentada ao Código Penal.
25 Tabela 3 - Resumo do PL-89/2003. Nova Conduta Nova Tipificação do Crime Disseminar Phishing Scam. ESTELIONATO ELETRÔNICO. Falsificar cartão de crédito. FASLSIFICAÇÃO DE DADO ELETRÔNICO OU DOCUMENTO PARTICULAR. Destruir, inutilizar ou deteriorar dado eletrônico alheio. DANO. Inserir ou difundir códigos maliciosos em dispositivos de comunicação, redes, sistemas, causando danos. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO SEGUIDO DE DANO. Inserir ou difundir códigos maliciosos (vírus, worms, trojans etc.) em dispositivos de comunicação, redes, sistemas. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO. Acessar rede de computadores, dispositivos de comunicação ou sistema informatizado, sem autorização do legitimo titular, quando exigida. ACESSO NÃO AUTORIZADO. Obter ou transferir dado ou informação sem autorização (ou em desconformidade à autorização). OBTENÇÃO NÃO AUTORIZADA DE INFORMAÇÃO. Divulgar, sem autorização, informações pessoais disponíveis em banco de dados. DIVULGAÇÃO NÃO AUTORIZADA DE INFORMAÇÕES PESSOAIS. Atentado contra a segurança de serviço de utilidade pública, perturbação de serviço telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistemas informatizados. ATAQUES A REDES E INVASÕES. Falsificação de dado eletrônico ou documento, sendo estes públicos ou privados. FALSA IDENTIDADE, FALSIDADE IDEOLÓGICA DIGITAL, FRAUDE. Preconceito/Pedofilia. PRECONCEITO DIGITAL/PEDOFILIA DIGITAL. Fonte: Peck (2010). Houve resistência e relutância, incluindo do Ex-Presidente da República Lula, sobre este Projeto de Lei, quando afirmou, em certa ocasião pública, que a lei "é censura, interesse policialesco para saber o que as pessoas estão fazendo". (WIKIPÉDIA, 2011)
26 Houve também crítica proveniente do criador da Wikipédia, Jimmy Wales, dizendo, após ler a tradução deste Projeto de Lei, que "A liberdade de expressão é uma força preciosa e poderosa para a prosperidade e a paz, e leis que colocam isso em risco deveriam ser tratadas com muita cautela e precaução." (WIKIPÉDIA, 2011) Outros projetos de lei, segundo Vieira (2008), estão listados na Tabela 4. Tabela 4 - Projetos de Lei relacionados à Segurança da Informação. Regulamento Assunto e autoria Projeto de Lei nº 1.025/1995. Acrescenta artigo à Lei nº 8.159/91 e dispõe sobre a administração de arquivos públicos federais relacionados à repressão política. Autor: Deputado Aldo Arantes e outros dois. Projeto de Lei nº 84/1999. Dispõem sobre os crimes cometidos na área de informática, suas penalidades e dá outras providências. Autor: Deputado Luiz Piauhylino. Projeto de Lei nº 3.494/2000. Altera a lei do habeas data (Lei nº 9.507, de 12 de novembro de 1997). Autor: Senado Federal. Projeto de Lei nº 21/2004. Proíbe envio de mensagens não solicitadas (spam); estabelece multa; estabelece como nova modalidade do crime de falsidade ideológica a conduta de impedir a identificação do remetente ou o bloqueio automático de mensagens eletrônicas não solicitadas, inserirem declaração falsa ou diversa da que deveria constar, com o fim de impossibilitar a identificação da origem ou o rastreamento da mensagem. Autor: Senador Duciomar Costa. Projeto de Lei nº 1.704/2007. Tipifica a conduta de violação de comunicação eletrônica. Autor: Deputado Rodovalho. Projeto de Lei nº 398/2007. Prevê o aumento de pena no caso de crime contra a honra praticado pela Internet. Autor: Senador Expedito Júnior. Projeto de Lei nº 1.230/2007. Torna obrigatória a identificação biométrica para acesso a bancos de dados da administração pública direta, indireta e fundacional onde sejam armazenados dados sensíveis. Autor: Deputado Eduardo Gomes. Projeto de Lei nº 2.899/2008. Obriga as operadoras de telefonia fixa e móvel ao pagamento de multa em razão de danos decorrentes da ineficiência em garantir a privacidade de seus usuários. Autor: Deputado William Woo. Projeto de Lei nº 3.773/2008. Altera a Lei nº 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente, para aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na Internet. Autor: Senado Federal - Comissão Parlamentar de Inquérito - Pedofilia. Fonte: Adaptado de Vieira (2008).
27 Em 1999, foi sancionada pelo então Presidente Lula a Lei 9883/99, que institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. No entanto, seu alcance é limitado a órgãos públicos, não atuando sobre órgãos privados. (JUS, 2010) Em Abril de 2011, o Senado aprovou o Projeto de Lei 100/10, que prevê a infiltração de agentes da polícia na Internet para investigação de crimes contra a liberdade sexual de criança ou adolescente. (COELHO, 2011) No entanto, a Justiça precisa emitir prévia autorização para tal, que só ocorrerá após investigações provarem que esta seria a única maneira de conseguir provas contra o acusado. Outros critérios estabelecidos pela lei são: nominar as pessoas investigadas, sigilo da investigação e responsabilização do policial por eventuais abusos. (Id., 2011) 2.2O crime digital nos EUA O Departamento de Justiça dos Estados criou uma seccional chamada CCIPS, cujo portal público na Internet consolida processos, jurisprudências, orientações jurídicas, entre diversos outros assuntos referentes aos crimes digital e contra a propriedade intelectual. A Figura 1 apresenta a página inicial do portal CCIPS na Internet.
28 Figura 1 - Página Principal do CCIPS Fonte: CCIPS (2011). A Divisão de Crime Informático & Propriedade Intelectual é responsável pela aplicação das estratégias nacionais do Ministério da Justiça Americana no combate aos crimes informáticos e à propriedade intelectual. A Iniciativa de Trabalho focada no Crime Informático é um programa criado para combater invasões eletrônicas, roubo de dados e ataques cibernéticos em sistemas de informação críticos. (CCIPS, 2011) O CCIPS previne, investiga e leva a juízo crimes informáticos, através do trabalho com agências governamentais, o setor privado, instituições acadêmicas e contrapartes estrangeiras. (Id., 2011) Advogados da Divisão trabalham na melhoria da Infra-estrutura Legal, Tecnológica e Operacional, para perseguir criminosos da rede de forma mais efetiva. As iniciativas da Divisão contra crimes de propriedade intelectual são igualmente polivalentes. (Id., 2011) A Propriedade Intelectual tornou-se um dos principais motores econômicos, e a Nação Americana é alvo constante de infratores devido ao seu conteúdo intelectual (direitos autorais, marcas registradas e outros segredos comerciais). (Id., 2011)
29 Com o objetivo de trabalhar nestes eventos, os advogados do CCIPS constantemente se envolvem em investigações complexas, ultrapassam obstáculos impostos pelas dificuldades específicas existentes na emergente tecnologia da Informática e das Telecomunicações. (CCIPS, 2011) Mitigam casos; provêem suporte no litígio de outros promotores; capacitam institutos legais do Município, do Estado e Federais; comentam e recomendam legislações especificas; introduzem e participam de esforços internacionais no combate ao crime informático e às infrações da propriedade intelectual. (Id., 2011) 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA Os EUA possuem um estatuto especifico para crimes informáticos, contido no USC. As fraudes e crimes correlatos, cometidos dentro do âmbito virtual, recebem tipificação especifica e possuem mecanismos de enquadramento legal e punição prevista. Entre diversos enquadramentos, são notórios os relativos a(o): (CCIPS, 2011) • Envio de pornografia e marketing não solicitado (através de Spam) - 15 U.S.C. §§ 7701 - 7702; • Disseminação de Vírus, Trojans e outros programas de computador maliciosos - 15 U.S.C. §§ 7703 - 7713; • Fraude eletrônica, roubo de senhas, bancos de dados restritos e informações confidenciais - 18 U.S.C. §1030; • Transmissão de informações inverídicas por e-mail (hoax) - 15 U.S.C. §§ 7703 - 7713.
30 O processo de julgamento e a pena aplicada, no entanto, é condicionada à jurisdição onde o caso está sendo julgado, aos precedentes legais, ao juiz, às leis ordinárias federais e estaduais, e, principalmente, ao estudo do caso como um todo. No entanto, a pena pode variar de simples multa a reclusão. (CCIPS, 2011) 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA Ainda dentro do CCIPS (2011), é mantido um banco de dados, atualizado freqüentemente, com processos envolvendo crimes de informática, onde muitos dos casos foram processados sob o estatuto de crime informático, embasados no USC 18. §1030. Figura 2 - Tabela de processos de crimes informáticos. Fonte: CCIPS (2011).
31 A Figura 2 lista os seguintes casos podem ser observados nesta relação: • Caso "U.S v. Ancheta" - Califórnia, 2006: primeiro caso de “botnet” julgado na jurisdição. Pena: 57 meses de prisão e multa de 75,000.00 USD; • Caso "U.S v. Flury" - Ohio, 2006: "tráfico online", roubo de identidade, cartões crédito e fraude bancária, totalizando prejuízo de 384,000.00 USD. Pena: 32 meses de prisão e multa de 300,000.00 USD; • Caso "U.S v. An Unnamed Juvenile" - Washington, 2005: criou a variável RPCSDBOT do worm "Blaster". Pena: 18 meses de prisão; • Caso "U.S v. Racine" - Califórnia, 2003: designer de páginas da Web, criou mecanismo para redirecionar o tráfego Web da Aljazeera.net. Pena: 36 meses de prisão, multa de 2,000.00 USD; • Caso "U.S v. Smith" - Nova Jersey, 2002: grupo criador do vírus "Melissa", cujo prejuízo foi estimado em 80 M USD. Pena: 20 meses de prisão e multa de 5,000.00 USD; • Caso "U.S. v. Comrade" - Florida, 2000: primeiro Hacker adolescente a receber sentença prisional na jurisdição. Causador de prejuízos de 41,000.00 USD. Pena: seis meses de prisão; • Caso "U.S. v. Burns" - Virginia, 1999: desenvolvedor de programa que vasculhava a Internet em busca de sistemas desprotegidos. Prejuízos estimados em 40,000.00 USD. Pena: 15 meses de prisão, e multa de 36,000.00 USD. O primeiro caso de punição aplicada a um crime informático nos EUA ocorreu em 1998, em Boston, onde um Hacker adolescente suspendeu toda a comunicação de uma torre de controle de uma companhia telefônica dos EUA. Pena aplicada foi de dois anos de condicional, multa e 250 horas de serviços comunitários. (RINDSKROPF, 1998)
32 2.3Considerações finais do Capítulo 2 Ao se comparar o tratamento do crime digital nos EUA e no Brasil, nota-se que não há o mesmo nível de detalhamento na legislação, pois não se dispõem de tipificações na legislação brasileira que sejam mais relevantes aos acontecimentos criminais específicas ao contexto do crime digital. O País ainda carece de uma legislação especifica para o Crime Digital e continua a utilizar a Jurisprudência e as tipificações de outros Códigos para o julgamento de delitos praticados no âmbito virtual, não tendo subsídios na legislação para punição de disseminação de vírus, spaming, spywares, invasão de sistemas, phishing e fraudes que se propagam exclusivamente através do meio virtual. Com relação a vazamento de informações, a legislação vigente já tipifica o crime. No entanto, quando o mesmo é veiculado ou facilitado por meios digitais, não há acréscimo ou decréscimo da pena, pois o meio informático é considerado somente um dos veículos por onde possa ocorrer a interceptação da informação. Cabe ao profissional do Direito no Brasil, portanto, evoluir à medida que a sociedade evolui, pois a regulamentação social só pode ser feita conhecendo-se as implicações das interações sociais, seja qual for o ambiente em que elas ocorram. Além disso, ele deve atender às necessidades de defesa dos direitos: autoral, da imagem, da propriedade intelectual, dos royalties, da segurança da informação, resguardar a garantia à privacidade, combater a prática do plágio, empreender os meios necessários para a apuração de crimes praticados por Hackers e outros comuns ao ambiente virtual. Estar preparado para contextualizar o crime dentro das tipificações da legislação brasileira e se manter, igualmente, informado a respeito das soluções tecnológicas, algo que o estudo do Direito Digital, enfim, compila e instrumentaliza.
33 "Em breve, não haverá outra forma de atuar no Direito sem envolver no mínimo situação com provas eletrônicas, bancos de dados, autenticação não presencial [...], biometria (entre outros)." (PECK, 2010 apud GHIRELLO, 2010)
34 3 SEGURANÇA DA INFORMAÇÃO Mas só punição adianta? Efetivamente que não [...]. A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada [...]. (MILAGRE, 2010). Como visto no capítulo anterior, a legislação brasileira ainda é precária com relação ao crime informático, no que diz respeito à tipificação criminal de disseminação de Vírus, de Spam, de Phishing Scam e de invasões de sistemas computacionais. No entanto, não foi constatado que os mecanismos legais de prevenção do crime digital, por mais eficientes que sejam, erradiquem as práticas criminais. Por este motivo, devem existir mecanismos preventivos que auxiliam as organizações na mitigação da integridade de sua inteligência competitiva, de seus ativos críticos e da continuidade de seus negócios. A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação não-autorizada de dados ou informações armazenadas, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento. (LAUREANO, 2011) Mesmo que a Internet e as ferramentas tecnológicas não sejam tão novas, ainda não está claro para as pessoas de um modo geral o que é "certo e errado". Já que em uma empresa, tais ferramentas devem ser utilizadas com a única finalidade de trabalho, cabe a ela definir, com Políticas e Diretrizes de Segurança da Informação, o que é mais adequado para a proteção do seu negócio e de seus empregados, evitando que ocorram riscos desnecessários que possam gerar responsabilidades civil e criminal, e demissões. (PECK, 2010)
35 Seguindo os padrões internacionais de Confidencialidade, de Integridade e da Disponibilidade (CIA, em inglês) representam os principais atributos que orientam a análise, o planejamento e a implantação da segurança para um determinado grupo de informações que se deseja proteger. (WIKIPÉDIA, 2011) • Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; • Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição); • Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Donn Parker (2002) propôs que o tradicional Modelo CIA fosse complementado com os seguintes elementos: • Posse ou controle: propriedade que garante o direito de posse sobre a informação, garantido ao seu proprietário todos os direitos legais sobre a mesma; • Autenticidade: propriedade que garante a veracidade de uma informação, e possibilita total rastreamento sobre sua origem; • Utilidade: propriedade que garante que a informação tenha finalidade estabelecida, e seja um fator relevante na tomada de decisões. A esta nova abordagem de Parker foi dado o nome "Sexteto Parkeriano". (PARKER, 2002)
36 3.1Importância da Segurança da Informação para as organizações A informação deve ser protegida de maneira constante, como qualquer outro ativo importante da organização. Ela pode existir de diversas formas, ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente. Através da aplicação da Segurança da Informação, a organização procura obter maior capacidade de controle sobre seu capital intelectual, e conseqüentemente maneiras de obter: (PECK, 2010) • Padronização de processos internacionalmente; • Prevenção; • Possibilidade de rastreamento; • Gestão de Riscos; • Continuidade de operações; • Competitividade no mercado devido à transparência de transações e informações. São necessários, no entanto, investimentos em recursos, tanto para a implantação quanto manutenção das políticas, normas e certificados que compõem Segurança da Informação, uma vez que profissionais internos e externos podem ser envolvidos. (OLIVEIRA, 2011) Podem ser necessários investimentos em ferramentas e infra-estrutura para atendimento aos requisitos, como controle de acesso físico, facilities, gestão de vulnerabilidade, campanhas de conscientização, composição de auditorias internas, entre outros. (Id., 2011)
37 Dentro deste contexto, Monteiro (2011) apud Inspirit (2011) diz que As organizações começam a olhar para sua infra-estrutura de TI com mais apreço e têm maior compreensão dos riscos de manterem suas informações desprotegidas. Atualmente, grandes veículos de comunicação impresso e digital têm publicado matérias sobre cibercrimes e ameaças reais que acontecem no mundo digital. A complexidade das estruturas das corporações em função dos números de periféricos, redes, banco de dados e outros dispositivos, exige proteção de toda a infra-estrutura, pois cada usuário é um ponto fixo nas Redes IP (Internet Protocol) de alta velocidade, estão sempre conectados on-line e acabam nem percebendo quando são vítimas de um ataque. Por esse motivo, o gerenciamento e a gestão da segurança são duas modalidades apontadas como as principais fontes de negócios nesse mercado e andam na contra mão da queda de investimentos da área de Tecnologia da Informação. 3.2Riscos inerentes a ausência da Segurança da Informação A informação é um dos ativos mais valiosos de uma organização. Sem a devida proteção, ela pode ser: (OLIVEIRA, 2011) • Revelada, violada ou divulgada de forma não-autorizada; • Modificada sem o conhecimento do autor e se tornar menos valiosa; • Perdida, sem possibilidade de rastreamento ou chance de recuperação; • Indisponível quando necessária. Sem a adoção das práticas de segurança da informação, o ambiente organizacional e seus colaboradores tornam-se mais expostos a fraudes, vazamento de informação, ataques internos e externos. (OLIVEIRA, 2011)
38 Falando em normas e certificações, ela pode simplesmente não conseguir entrar num determinado segmento de mercado ou se manter nele, devido á falta de qualificação ou ausência de comprovação de adoção de uma determinada norma ou certificação, devidamente comprovada por um órgão independente. (Id., 2011) Complementando o raciocínio, Peck (2010) afirma que sem esses padrões (de segurança da informação) implantados na empresa, é possível que ela tenha processos sem o mínimo de controle e segurança. A ausência de processos pode criar desde falta de produtividade, até servir como um meio facilitador de fraudes, tendo em vista que há falta de controle, prevenção e rastreamento do ambiente. Continua a autora, quanto maior a empresa, maior o impacto e provavelmente maior o risco. Muitas empresas aceitam esse risco residual, mas cada vez mais procuram mitigá-lo, pois órgãos governamentais estão se apoiando cada vez mais nas normas e regulamentações para emitir documentação para todos os processos administrativo-fiscais. 3.3Tipos de controle sobre a Segurança da Informação Quando a organização opta por estabelecer mecanismos para mitigar riscos provenientes da falta de Segurança da Informação, um ou mais dos seguintes controles devem ser implantados: (WIKIPÉDIA, 2011) • Administrativo: também chamados de controles de procedimento, são diretrizes expressas através de políticas, processos e padrões documentados. O objetivo é informar coletivamente a organização sobre como seu negocio e suas operações diárias devem ser conduzidas. Alguns exemplos:
39 o Políticas de Segurança; o Políticas para criação de senhas e assinaturas de e-mail. • Lógico: também chamado de controles técnicos, utilizam software e dados para monitorar e controlar acessos a informações e sistemas computacionais. Alguns exemplos: o Assinatura digital; o Criptografia; o Smart Cards; o Firewalls; o IDSs e IPSs; o Antispam e antivírus; o Honeypots. • Físico: monitora e controle o ambiente de trabalho e a infra-estrutura computacional. Também controla o acesso aos diferentes ambientes de uma empresa, e segmenta estes mesmos ambientes. Alguns exemplos: o Sistemas Biométricos; o Tokens (chaves eletrônicas). 3.4Diretivas para a Gestão de Segurança da Informação "Pensando corporativamente, deve-se ter em mente que certificar-se numa determinada norma deve estar em alinhamento com os objetivos estratégicos de negócio, dependendo principalmente do segmento de mercado que ela deseja explorar." (OLIVEIRA, 2011) O padrão ISO dentro da série de Normas 27000 define as políticas de segurança, nas quais se baseiam um conjunto de normas, padrões e procedimentos relacionados às boas práticas na segurança da informação. Seguem abaixo algumas considerações a respeito de cada elemento da série: (WIKIPÉDIA, 2011)
40 • ISO 27000: Vocabulário de Gestão da Segurança da Informação; • ISO 27001: Publicada em outubro de 2005; fala de requerimentos para sistemas de gestão de segurança da informação; • ISO 27002: substituiu a ISO 17799:2005 em julho de 2007. Código de práticas para gerenciamento de segurança da informação; • ISO 27003: diretrizes para implantação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e a implantação de um sistema de gestão de segurança da informação; • ISO 27004: elaboração de métricas e relatórios de um sistema de gestão de segurança da informação; • ISO 27005: indicações para implantação, monitoramento e melhoria contínua do sistema de controles para gerenciamento de riscos; • ISO 27006: especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação. Já as normas baseadas na Lei SOX (nome baseado nos sobrenomes do Senador Sarbanes e do Deputado Oxley que criaram a lei) são especificas para empresas que possuam ações na Bolsa de Valores de NY (New York), ou prestem serviços a clientes que as possuam. (PECK, 2010) A origem da lei remonta à fraude da Enron Corporation, cuja repercussão na economia americana só não foi mais grave que a da Grande Depressão de 1929. Fraudes internas na Enron, aliadas às auditorias ineficientes, falta de controle, prevenção e rastreamento dos processos financeiros, foram motivadores do colapso financeiro na organização. (Id., 2010)
41 Tornou-se necessário, então, criarem-se padrões para manter a transparência e obterem-se informações fidedignas. Por fim, a SAS (Statements on Auditing Standards) 70, em conjunto com a SOX, audita e certifica os processos e a infra-estrutura de empresas que transitem seus dados financeiros por sistemas informatizados. (PECK, 2010) A iniciativa para se obter uma norma deve partir da alta gerência da organização, através da autorização para a formação de um grupo auditor. Uma auditoria de estágio um (pode ser interna, se a empresa tiver profissionais qualificados) vai verificar o gap que existe entre os controles e a norma e, analisando o que é praticado nos processos da empresa. (OLIVEIRA, 2011) A seguir, uma auditoria de estágio dois é executada, como complemento ao trabalho do estágio um, e ela apontará as não conformidades que devem ser trabalhadas pela empresa antes da auditoria de estágio três, que efetivamente pode, ou não, certificar a empresa. A auditoria de estágio três deve ser realizada por um órgão certificador. (Id., 2011) O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, [...] muito importantes para a tomada de decisões. [...]. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos - roubada! Esse é só um exemplo. [...] os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada. (ANALISTATI, 2011) "É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas." (Id., 2011) Uma política de segurança consiste num conjunto formal de regras, que devem ser seguidas pelos utilizadores dos recursos de uma organização. Deve ter
42 implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. (WIKIPÉDIA, 2011) As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques. (Id., 2001) O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. (Id., 2011) Ela é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. Deve também abranger os níveis estratégico, tático e operacional da organização. Seguindo o raciocínio, NBSO (2003), afirma que: A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
43 Falando em incidente de segurança, segundo NBSO (2003), um incidente de segurança pode ser definido como "qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores." São exemplos de incidentes de segurança: (NBSO, 2003) • Tentativas de ganhar acesso não-autorizado a sistemas ou dados; • Ataques de negação de serviço; • Uso ou acesso não autorizado a um sistema; • Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; • Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. Voltando ao tema da política de segurança, segundo a ISO 27002, esta deve seguir as seguintes orientações: (WIKIPÉDIA, 2011) • Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; • Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; • Breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo: o Conformidade com a legislação e possíveis cláusulas contratuais; o Requisitos na educação de segurança; o Prevenção e detecção de vírus e software maliciosos; o Gestão de continuidade do negócio; o Conseqüências das violações na política de segurança da informação;
44 • Definição das responsabilidades gerais e especificas na gestão de segurança da informação, incluindo o registro dos incidentes de segurança; • Referência à documentação que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas, áreas específicas, ou regras de segurança que os usuários devem seguir. Sendo assim, a política de segurança deve conter regras gerais e estruturais que se aplicam ao contexto de toda a organização, e que sejam válidas para todos os seus membros. A violação da mesma deve resultar em sanções iguais para todas as áreas e membros da organização, independente de sua posição ou função. 3.5A Engenharia Social contra a Segurança da Informação Processos, políticas, normas e outros elementos voltados para a Segurança da Informação não cumprem sozinhos seu papel na proteção da integridade das informações corporativas. Existe outro elemento que também deve ser concernido quando se fala de Segurança da Informação: o fator humano. Por este motivo, é coerente desenvolver um Plano de Conscientização da Segurança das Informações juntamente com o Departamento de Relações Públicas, Marketing, Comunicações, Recursos Humanos ou qualquer área dentro da organização, que seja responsável por fazer com que seus colaboradores sejam conscientizados com relação aos objetivos traçados pela organização na proteção à informação e tenham igual preocupação em cumpri-los, tornando assim a Segurança da Informação um objeto institucional. No contexto da Segurança da informação, a Engenharia Social está vinculada às práticas utilizadas para se obter acesso às informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. (WIKIPÉDIA, 2011)
45 Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. (WIKIPEDIA, 2011) É importante salientar que, independentemente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de Engenharia Social. Dentre essas características, pode-se destacar: (LOPES; FARIAS; NUNES, 2011) • Vontade de ser útil: o ser humano, normalmente, procura agir com cortesia, bem como ajudar outros quando necessário; • Busca por novas amizades: ao ser bajulado, mesmo que por desconhecidos, normalmente o ser humano torna-se mais vulnerável e aberto a dar informações; • Propagação de responsabilidade: trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades, e a divide de forma indiscriminada, em alguns casos; • Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação. Existem, no entanto, práticas voltadas à prevenção da Engenharia Social, na tentativa de blindar a empresa e seus colaboradores. A incitativa, no entanto, deve partir conjuntamente da empresa e de seus colaboradores.
46 [..]. Transformar o usuário em um agente de segurança, em um "Policial Corporativo" é o grande desafio. Desafio este que se conseguido trará bons frutos. O prêmio é um ambiente infinitamente mais seguro. Se a equipe de Segurança da Informação conseguir ganhar um funcionário de cada setor, aumentará e muito o nível de segurança da corporação. Vai conseguir multiplicar as informações de forma mais proveitosa e a consciência de segurança estará fazendo parte das atividades e do dia-a-dia de cada funcionário. (ARAUJO, 2005) Um bom e prático programa de treinamento para os colaboradores, no combate a Engenharia Social e no estímulo à conscientização coletiva visando à segurança das informações, consiste em levar a organização a ter e saber: (MITNICK; SIMON, 2003) • Uma descrição do modo como os atacantes usam habilidades da engenharia social para enganar as pessoas; • Os métodos usados pelos engenheiros sociais para atingir seus objetivos; • Como reconhecer um provável ataque da engenharia social; • O procedimento para o tratamento de uma solicitação suspeita; • A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos; • A importância de questionar todos os que fazem uma solicitação suspeita, independente da posição ou importância que a pessoa alega ter; • O fato de que os funcionários não devem confiar implicitamente nas outras pessoas sem uma verificação adequada, embora o seu impulso seja dar aos outros o benefício da dúvida; • A importância de verificar a identidade e a autoridade de qualquer pessoa que faça uma solicitação de informações ou ação; • Procedimentos para proteger as informações confidenciais, entre eles a familiaridade com todo o sistema de classificação de dados;
47 • A localização das políticas e dos procedimentos de segurança da empresa e a sua importância para a proteção das informações e dos sistemas de informações corporativas; • Um resumo das principais políticas de segurança e uma explicação do seu significado. Por exemplo, cada empregado deve ser instruído sobre como criar uma senha difícil de adivinhar; • A obrigação de cada empregado de atender às políticas e as conseqüências do seu não-atendimento. Os elementos que impactam a Segurança da Informação na corporação e que tenham influência de seus colaboradores devem ser divulgados para todos da empresa. A eficácia da gestão da segurança da informação em uma organização poderá ser totalmente comprometida caso seus colaboradores sejam vulneráveis a ataques de Engenharia Social. 3.6As ameaças virtuais contra a Segurança da Informação Além da Engenharia Social, que explora a vulnerabilidade humana, existem mecanismos que exploram também as vulnerabilidades físicas e lógicas de um sistema computacional. Esses sistemas podem ser propagados em outros de forma automática, ou podem depender de alguma interação humana. Sua existência, no entanto, depende da criação humana, que os concebem através de códigos maliciosos. O software malicioso, conhecido como Malware, é um programa (código, scripts, conteúdo ativo, entre outros software) concebido com o intuito de interferir na operação normal de um sistema, adquirir informações que possam violar a privacidade de um usuário e aproveitar-se destas, obter acesso não-autorizado a sistemas ou recursos, e qualquer outro comportamento abusivo. A expressão é um termo generalista, usado por profissionais da informática na definição de software hostis, intrusivos ou inoportunas ao usuário.
48 Segundo Donato (2010), foram descobertos mais de 45 milhões de malwares em um período entre 2003 e 2010. Muitos antigos programas de infecção, incluindo o primeiro Worm de Internet e vários de MS-DOS, foram escritos como experimentos ou brincadeiras. Eram em geral destinados a serem inofensivos ou simplesmente inoportunos, ao invés de causarem sérios danos aos sistemas dos computadores. Em alguns casos, o perpetrador não percebia quão danos sua criação poderia causar. Jovens programadores, aprendendo sobre vírus e suas técnicas, os escreviam por simples questão de pratica, ou para ver o quão rápido eles se espalhariam. Ainda em 1999, vírus espalhados amplamente, como o Melissa e o vírus David, aparentemente foram escritos com o intuito de serem brincadeiras. O primeiro vírus para dispositivo móvel, Cabir, apareceu em 2004. (WIKIPÉDIA, 2011, tradução livre) O CERT.br mantém estatísticas sobre notificações de incidentes (malwares e outros) reportados. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes públicas e privados, que, espontaneamente, notificam o órgão.
49 Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Pode-se observar que os incidentes reportados no primeiro trimestre de 2011 equivalem a 63% de todo o montante de 2010. Caso a freqüência seja mantida, em 2011 o valor de incidentes reportados superará em 154% os valores de 2010, chegando ao número final de 571.376 incidentes de segurança reportados. Estes incidentes de segurança podem ser desmembrados em:
50 • Tipos de ataque, como malwares e fraudes: Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). • As tentativas de fraude, por sua vez, são desmembradas do gráfico acima e detalhadas a seguir: Figura 5. Fraudes no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Podem-se expressar as porcentagens acima em números: Figura 6. Tabela com os tipos de ataque. Fonte: CERTBR (2011).
51 Pode ser observado um maior número de ataques do tipo scan e fraudes, além de um aumento considerável em Março em relação a Janeiro, em todos os tipos de ataque. Nota-se, também, que a classificação “outros” aumentou de maneira mais acentuada que os outros, porém, não houve qualquer tentativa do Cert.br de decompor esta categoria. 3.6.1 VÍRUS E WORMS Os mais conhecidos malwares de infecção, vírus e worms, são caracterizados pela maneira com que se espalham em um sistema. O termo “vírus de computador” é usado para identificar um programa que, ao ser executado pelo usuário, causa a distribuição do vírus através da infecção de outros arquivos presentes no disco rígido e unidades removíveis (pen drives, disquetes e outros). Por outro lado, o worm é um programa que contagia outros executáveis de forma ativa, e se dissemina de forma automática numa rede de computadores. (WIKIPÉDIA, 2011) 3.6.2 TROJAN HORSES Um software de aparência inofensiva, podendo conter um elemento que seja de interesse do usuário como um arquivo de áudio, vídeo ou imagem, mas que possui também um malware embutido em seu conteúdo, que é juntamente executado e disseminado no computador do usuário assim que o software é executado. 3.6.3 ROOTKITS A finalidade principal deste elemento é fazer com que um malware permaneça oculto, “enganado” o sistema operacional ao confundir o malware com outro elemento fundamental para o correto funcionamento do sistema, que não poderia ser movido ou excluído devido a sua suposta importância. Além disso, ele também oculta o malware em um sistema, não o exibindo na lista de processos, e também consegue criar vários sub-processos a partir de um processo principal de um malware, dificultando o termino de sua execução.
52 3.6.4 BACKDOORS É um método de contornar a autenticação padrão de um sistema, dando acesso direto a um atacante na Internet ao computador infectado de um usuário. O backdoor, normalmente se instala através de trojan horses ou worms. 3.6.5 SCAN Malware que realiza varreduras em redes de computadores, presentes na LAN, WAN e na Internet, com o intuito de identificar quais dispositivos estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar vulnerabilidades aos serviços habilitados em um computador. 3.6.6 SPYWARES/ADWARE Os spywares, também conhecidos como stealwares, são geralmente produzidos com o intuito de coletar informações sobre usuários infectados. Possui um subtipo (adware) que possui como objetivo induzir o usuário a consumir um produto ou serviço, através de pop-ups com anúncios ao abrir-se o navegador, alteração da homepage e direcionamento de resultados de programas de busca para páginas "patrocinadoras" do adware. Em alguns casos, as empresas beneficiadas dividem os lucros dos acessos com os criadores dos adware. 3.6.7 BOTNETS Ao se instalarem em um ou mais sistemas, os malwares podem ser remotamente controlados pelos botnets, utilizando um sistema específico na Internet para controlar dispositivos infectados e assim disseminarem-se numa escala geométrica através da rede.
53 Nos EUA, onde o Spaming é considerado crime, a utilização do botnet para disseminação de spam dificulta os trabalhos investigativos, pois dificulta a identificação da real original do spam e, conseqüentemente, do real infrator. 3.6.8 KEYLOGGERS Este subtipo de spyware, geralmente distribuído através de trojan horses e propagado através de botnets, instala-se no dispositivo do usuário e cria logs de todas as teclas digitadas. Os objetivos, entre outros, são: obter números de contas e senhas bancárias, números de cartões de crédito, senhas de logins diversas e números de licenças de software. Os logs podem ser recuperados pelo infrator através do auxilio de um backdoor, por exemplo, ou através da recuperação de hardware, quando um keylogger do tipo físico é utilizado.
54 3.6.9 PHISHING SCAM O termo é uma alusão às palavras da língua inglesa "pescar" e "fraude", devido à maneira com que ao golpe é realizado. O objetivo deste golpe é "pescar" dados através da Internet. É amplamente utilizado para roubar senhas e dados pessoais de vítimas, e considerado um dos tipos mais comuns de prática de fraude via Internet. Através de e-mails e páginas falsas, geralmente camufladas com os nomes de bancos e outras instituições financeiras, os perpetradores procuram convencer o usuário a ceder suas senhas e seus dados pessoais, com o objetivo de furtar suas contas bancárias ou conseguir dados pessoais sigilosos (CPF, telefones privados, entre outros) para a prática de outras fraudes maiores. 3.6.10RFI É um tipo de vulnerabilidade, encontrada com mais freqüência em páginas Web, que permite ao atacante incluir um arquivo remoto no Servidor Web, onde as páginas são organizadas, através de um script (arquivo contendo comandos utilizados para escrever rotinas e automatizar tarefas nos computadores Este script pode simular, por exemplo, a página de login do site, capturando os valores digitados pelo usuário e enviando-os ao atacante. O RFI também pode ser usado na arquitetura de ataques do tipo DoS. 3.6.11DoS É uma tentativa de fazer com que um determinado sistema ou recurso computacional fique indisponível aos seus usuários. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:
55 • Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento, por exemplo) de forma que ele não possa mais fornecer seu serviço; • Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. 3.6.12DDoS Em um ataque distribuído de negação de serviço, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, numa determinada hora, todos os zumbis (ligados e conectados à rede) acessarão, ao mesmo tempo, o mesmo recurso do mesmo servidor. 3.6.13MITM Este tipo de ataque baseia-se na violação da privacidade de uma comunicação entre dois pontos. O perpetrador realiza conexões independentes entre as vítimas, geralmente apoiado por software de violação de criptografia de conexões sem fio, e transmite mensagens entre elas, com o intuito de levá-las a acreditar que estão conversando diretamente umas com as outras. O atacante, então, obtém informações privadas destas vitimas.
56 3.6.14SPOOFING Interceptar, alterar e retransmitir um sinal ou dado criptografado, de forma que o recipiente seja enganado. É usado como tentativa para acessar um sistema restrito, pois permite que o invasor utilize uma identificação interceptada de um usuário autorizado. 3.7Mecanismos preventivos 3.7.1 MEDIDAS COMPORTAMENTAIS Existem medidas comportamentais que podem ser adotadas por qualquer usuário, dentro e fora da empresa, na tentativa de se manter protegido de malwares, seja em ambiente corporativo ou público: (DONATO, 2010) • Não abra e-mails ou mensagens de estranhos, principalmente ao utilizar email corporativo. Regra válida também para redes sociais; • Não clique nos links incluídos nos e-mails, mesmo que venham de fontes seguras. É melhor digitar novamente o endereço diretamente no navegador; • Caso o link seja clicado, prestar atenção na página que irá abrir. Se algo lhe parecer estranho, feche o navegador; • Não abra arquivos anexados se vierem de fontes desconhecidas. Evite extensões do tipo .exe (executáveis), .bat (arquivo de instruções); • Somente compre pela Internet em sites que tenham uma reputação sólida e ofereçam transações seguras. Para verificar se uma página é segura, observe o certificado em forma de um pequeno cadeado amarelo ao lado do endereço ou no canto inferior da tela; • Não use computadores públicos ou de uso compartilhado, como de lan houses, para realizar transações financeiras, visualizar emails da empresa
57 ou operações que necessitem a colocação de senhas ou outras informações pessoais, como VPNs corporativas; • Tenha um programa de segurança eficiente instalado em seu computador, que seja tanto capaz de detectar vírus como outras ameaças virtuais; • As empresas devem procurar estabelecer políticas de criação e manutenção de senhas em seus domínios, evitando que uma senha seja criada com números seqüenciais ou data de nascimento, por exemplo. Essa medida pode ser adotada no dia-a-dia, e também dificulta que atacantes descubram senhas de acesso; • Não divulgar, sob hipótese alguma, seu login e senha de acesso a sistemas de sua empresa. Além de se perder o controle sobre quem acessará o sistema, os logins efetuados no sistema ficam geralmente armazenados em repositórios, e caso seja constatado que houve uma irregularidade iniciada de seu login, será bastante difícil comprovar que o dono do mesmo não teve participação no evento. Além das medidas comportamentais, que podem ser estimuladas pela organização através de campanhas de conscientização e treinamento, ela pode adotar hardware e software avançados na tentativa de proteger seu ambiente de invasões. 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO 3.7.2.1 Firewall Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. (WIKIPÉDIA, 2011)
58 3.7.2.2 IDS/IPS Os IDS são meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. (WIKIPÉDIA, 2011) Já os IPS são appliances de segurança que monitoram atividades da rede e/ou sistemas em busca de atividade maliciosa. As principais funções de um IPS são identificar atividade maliciosa, armazenar logs, tentativas de bloquear/paralisar ataques e geração de relatórios. O IPS é considerado extensão do sistema de IDS, sendo a principal diferença a capacidade do IPS de bloquear e prevenir que intrusões ocorram, ao invés de somente identificá-las. (Id., 2011) 3.7.2.3 Filtros de conteúdo Conhecidos também como censorware, é um software designado para controlar qual conteúdo Web é permitido para um determinado usuário ou grupo de usuários, bloqueando acesso para sites que não estejam previamente liberados ou que possuam conteúdo indevido, de acordo com a política de segurança da organização. (WIKIPÉDIA, 2011) 3.7.2.4 Antivírus Usado para prevenir, detectar e remover malwares. Devido a sua constante atividade dentro do sistema operacional, seu uso pode afetar o desempenho do dispositivo do usuário. As diversas empresas desenvolvedoras de software antivírus disponibilizam bases de dados com novas ameaças, de forma constante. O sistema pode efetuar uma varredura no acesso ao arquivo, ou de forma constante, e compara o mesmo com sua base dados, determinando assim se o objeto é malicioso ou não. (WIKIPÉDIA, 2011)
59 3.7.2.5 HoneyPot É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. Atua como uma espécie de armadilha para invasores. (WIKIPÉDIA, 2011) De forma geral, consiste em um computador, dado ou local na rede que aparenta ser um local real da rede corporativa, porém, é um elemento separado e monitorado individualmente. Os atacantes, então, ao acreditarem que o segmento é de fato parte da rede, direcionam seus ataques a ele. Os ataques podem, então, ser analisados posteriormente. (Id., 2011) 3.7.2.6 Antispam Spam é um termo usado para se referir ao envio indiscriminado de mensagens eletrônicas não solicitadas a um número de pessoas. Software e dispositivos antispam atuam ativamente nos servidores de correio eletrônico, analisando todas as mensagens de e-mail trafegadas na rede e comparando com sua base de remetentes classificados como spam, base esta mantida por órgãos como o <http://www.spamhaus.org/sbl>. Caso o e-mail venha de um remetente apontado como spam, automaticamente a mensagem é barrada pelo antispam, não chegando ao destinatário. Os remetentes classificados como spam são armazenados na chamada "lista negra" do órgão, atualizada constantemente por usuários da Internet. Caso o remetente tenha sido classificado erroneamente como spam, é possível recorrer ao órgão e retirar o mesmo da lista.
60 3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES Através da classificação da informação, procura-se controlar a maneira com que ela se espalha em um ambiente. No caso de vazamento de informações restritas ou confidenciais, por exemplo, o processo de averiguação torna-se mais assertivo, pois existe maior controle sobre os grupos que recebem a informação. Definições de classificação de informação: (VILABLOG, 2010) • Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral; • Informação Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização; • Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impactos financeiros, de imagem ou operacionais ao negócio da organização ou ao negócio do parceiro; • Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente/Supervisor deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também, não deixar relatórios nas impressoras e mídias em locais de fácil acesso, tendo sempre em mente o conceito "mesa limpa", ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. (Id., 2010)
61 Além da classificação da informação, é possível estabelecer medidas restritivas sobre certos ambientes, desde a inclusão de maiores controles de acesso até gestão de ativos. Exemplos: (VILABLOG, 2010) • Barreiras físicas adicionais, com mecanismos que verificam a identidade e as autorizações de acesso; • Acesso somente com autorização prévia e acompanhada de um superior ou designado; • Proibir a entrada, em determinados ambientes, portando dispositivos móveis (celulares, PDAs, entre outros) e dispositivos de armazenamento externos (memórias USB e HD’s portáteis); • Não autorizar ou limitar o acesso de dispositivos externos a rede da organização, através da gestão de ativos. Ao iniciar seu trabalho na empresa, o colaborador recebe dela todos os ativos necessários para seu trabalho, como celulares, laptops e desktops. Desta forma, ela não permite que dispositivos externos que não façam parte dos ativos da organização acessem seus dados, além do que ela tem total gestão sobre o hardware e o software destes dispositivos. Em caso de suspeita de fraude ou vazamento de informações, a empresa tem total liberdade de examinar o ativo, sem autorização legal prévia; caso o ativo pertencesse ao colaborador, ela não teria este direito legal implícito, dependendo de prévia outorga jurídica para periciar o ativo. A empresa também pode controlar a distribuição de atualizações de bases de dados de antivírus, além de controlar os software que porventura estejam instalados no dispositivo e não sejam homologados pela organização.
62 Em caso de real necessidade de acesso de um dispositivo externo à rede da empresa, a empresa pode designar um grupo de sua área de segurança da informação para avaliar, através de ferramentas específicas, quais os potenciais riscos que o dispositivo externo carrega, autorizando-o ou não a acessar a rede da corporação. A adoção de tais medidas preventivas contribui para: (GORDON, 2007) • Reduções de malware, prevenindo que sistemas sejam infectados, sofram indisponibilidade e exijam a adoção de medidas muitas vezes de alto custo, assim como o vazamento de informações; • Maior produtividade dos colaboradores e redução no uso de banda da rede; • Prevenção de prejuízos decorrentes de processos legais, por não cumprimento de obrigações legais ou na averiguação de casos de vazamento de informações; • Aprimoramento na proteção de informações e propriedade intelectual, prevenindo que informações confidenciais vazem e a reputação da empresa seja colocada em jogo. Em um caso extremo, vazamento de informações críticas pode resultar em processos criminais, perda de clientes, de capital e conseqüentemente, de mercado, resultando na falência da organização. (Id., 2007) 3.8Vazamento de informações em ambientes corporativos A vulnerabilidade das redes corporativas cresce em ritmo mais acelerado do que as atualizações e correções dos Sistemas de Informação. Apesar dos antivírus e firewall estarem em todas as empresas, isso não é suficiente para que o sistema esteja livre de vírus, cavalos de tróia, ataques combinados, vazamento de informações ou fraudes.
63 Um caso que provocou repercussão mundial foi o ataque a rede intitulada PSN a fabricante japonesa Sony, ocorrido em abril de 2011. Segundo Romano (2011) os criminosos alugaram Servidores da Amazon e realizam o ataque através deles para não serem identificados. Para isso, eles teriam usados cartões de créditos roubados para alugarem o serviço e de lá executarem os ataques sem que ninguém percebesse. Como resultado do ataque, determinadas informações de contas de usuários das Redes PlayStation Network e Qriocity foram expostas. Outro caso recente de ataque, que resultou na exposição de informações estratégicas a respeito dos armamentos atualmente empregados pelo Exército dos Estados Unidos no Afeganistão e dados sobre tecnologias bélicas em desenvolvimento, ocorreu em maio de 2011 nos servidores de companhias militares que têm contratos com o Governo dos Estados Unidos. (UOL, 2011) O ataque ocorreu a partir do momento em que atacantes conseguiram driblar o Sistema de Segurança dos Servidores, ao duplicar as chaves eletrônicas desenvolvidas pela RCA, Divisão de Segurança da Companhia de Tecnologia de Informação EMC. (Id., 2011) A chave eletrônica "SecurID", desenvolvida pela RCA, é um mecanismo que constantemente gera novas senhas, em um esforço para evitar que os hackers possam identificar uma determinada senha usada de modo recorrente. (Id., 2011) Os hackers teriam conseguido duplicar essas chaves eletrônicas a partir de dados roubados dos sistemas da empresa EMC, durante outro sofisticado ataque. (Id., 2011) Em janeiro de 2009, como mostra a Figura 7, o Grupo Symantec, conduziu nos EUA uma pesquisa entre 1000 pessoas que haviam saído de empresas durante o ano de 2008. A pesquisa mostrava que 59% dos entrevistados roubaram informação confidencial, como listas de clientes da empresa. (LEE et al., 2009)
64 Além disso, 53% responderam que copiaram informação confidencial para CD ou DVD, 45% copiou data para memória USB e 35% respondeu que usou e-mail corporativo para enviar correio pessoal. (LEE et al., 2009) Finalmente, 75% responderam que obteve dados sem a permissão prévia, 82% respondeu que não havia auditoria ou verificação de documentos eletrônicos até sua saída da companhia. Por fim, 24% responderam que eles ainda podiam acessar os sistemas da companhia e sua rede privada, mesmo após a sua saída dela. (Id. et al., 2009). Figura 7 - Tipos de vazamento de informações. Fonte: Lee et al. (2009). Como descrito na pesquisa, existiram diversos canais de vazamento de informação, mas quatro foram utilizados com maior freqüência: cópia de arquivos para dispositivos de armazenamento ou memórias USB; queima de dados em CD/DVD; envio de dados através de emails e transmissão ou cópia de arquivos para dispositivos móveis, como PDAs e celulares. O descarte da informação também deve ser uma preocupação para as organizações, e até mesmo a lata de lixo de uma empresa pode ser uma fonte de vazamento de informações.
65 Segundo Hunt (2009), informações sensíveis podem estar dentro de uma memória portátil USB esquecida em uma gaveta, na lata de lixo, na pilha de fax descartada e muitos outros lugares, somente esperando para serem encontradas por criminosos. (GOODCHILD, 2009) Organizações que não tomam o cuidado devido na destruição de cópias impressas de informação sensível correm o risco de terem informação confidencial caindo em mãos não autorizadas. Ao invés de ter tais informações destruídas de forma segura, profissionais acabam por simplesmente jogar suas informações confidenciais (talvez inconscientemente) no lixo. Um atacante pode decidir invadir a lixeira da companhia e descobrir estas informações. Esta prática se estende também para informação armazenada em CDs e DVDs, assim como todo o material impresso. (GORDON, 2007, tradução livre) A técnica conhecida como "dumpster diving", termo proveniente do inglês e traduzido livremente como "mergulho na lixeira", consiste em vasculhar as lixeiras de organizações em busca de itens que possam carregar informação confidencial e/ou privilegiada e que tenham sido indevidamente descartados, como dados de clientes armazenados em laptops, cheques (no caso de bancos), entre outros. Utilizando como exemplo, em uma instituição financeira, foi averiguada a lixeira de uma organização, e dela se obteve: (HUNT, 2009 apud GOODCHILD, 2009) • Informações sobre transferências bancárias, incluindo transações entre bancos americanos e jordanianos, sauditas ou portugueses. Os documentos continham os números de documentos pessoais e nomes de ambos remetente e destinatário das transações; • Cópias de cheques de diversos clientes, com todos os dados legíveis, incluindo sua assinatura; • Históricos de transações financeiras, incluindo dados de um político da região;
66 • Demonstrativo financeiro de um cidadão bastante rico, incluindo o endereço completo da casa do indivíduo, números de várias contas abertas e números de vários documentos do mesmo; • Um desktop inteiro e intacto, com o disco rígido pronto para ser extraído e analisado. Portanto, as políticas de descarte são também um ponto a ser levado em consideração por empresas que procurem eficiência na gestão do ciclo de vida de uma informação. Medidas como a utilização de trituradores de papel, destruição de dispositivos que serão descartados (formatá-los não basta, pois existem maneiras de recuperar arquivos de discos que tenham sido previamente formatados) e a criação de políticas de conscientização institucional sobre o tema também são medidas bem vindas na proteção contra o vazamento de informações. 3.9O CERT.br Existem vários grupos em todo o mundo que auxiliam no estudo, na resposta e no tratamento de incidentes de segurança da informação; a primeira e principal fonte de informação para esses grupos é o CERT.org (conhecido também como CSIRT). (WIKIPÉDIA, 2011) O grupo de estudo brasileiro é o CERT.br, que faz parte do Comitê Gestor da Internet no Brasil e que tem como principal função a unificação das informações de incidentes de segurança com a colaboração de diversas entidades para a informação, análise e solução de problemas ocasionados. (Id., 2011)
67 A segurança na internet é uma das grandes preocupações do Comitê Gestor da Internet no Brasil que, desde 1997, mantém o CERT [...] no Brasil. Além de tratar incidentes de segurança, o CERT.br realiza atividades de apoio a administradores de redes e usuários de internet no país. Destacam-se a produção de documentos sobre segurança de redes, a manutenção de estatísticas sobre spam e incidentes no Brasil e o desenvolvimento de mecanismos de alerta antecipado para redes possivelmente envolvidas em atividades maliciosas. O CERT.br atua na conscientização sobre os problemas de segurança, na correlação de eventos na internet brasileira e auxilia no estabelecimento de novos Grupos de Respostas a Incidentes no Brasil. (CERT.br, 2011) As organizações que participam do CERT devem definir, de acordo com sua infra-estrutura, o que é um problema de segurança em computadores. Não é possível impedir que ocorram tentativas de invasões ou ações maliciosas, mas com a ajuda do CERT a organização consegue detectar e solucionar um problema com mais agilidade. O órgão disponibiliza diversos materiais que podem ajudar os administradores de rede, além de ser autorizado a ministrar cursos específicos no Brasil. (WIKIPÉDIA, 2011) O CERT.br é responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira. Atua como um ponto central para notificações de incidentes de segurança no Brasil, provendo a coordenação e o apoio no processo de resposta a incidentes e, quando necessário, colocando partes envolvidas em contato. (CERT.br, 2011) Além do processo de tratamento em si, o órgão também atua através do trabalho de conscientização sobre os problemas de segurança, da análise de tendências e correlação entre eventos na Internet brasileira e do auxílio ao estabelecimento de novos CSIRTs no Brasil. (Id., 2011) Estas atividades têm como objetivo estratégico aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet no Brasil. As atividades conduzidas pelo CERT.br fazem parte das atribuições do CGI.br de (CERT.br, 2011):
68 • Estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil; • Promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e adequada utilização pela sociedade; • Ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet; • Tratamento de Incidentes: o Dar suporte ao processo de recuperação e análise de ataques e de sistemas comprometidos; o Estabelecer um trabalho colaborativo com outras entidades, como outros CSIRTs, empresas, universidades, provedores de acesso e serviços de Internet e backbones; o Manter estatísticas públicas dos incidentes tratados e das reclamações de spam recebidas. • Treinamento e Conscientização: o Oferecer treinamentos na área de tratamento de incidentes de segurança, especialmente para membros de CSIRTs e para instituições que estejam criando seu próprio grupo; o Desenvolver documentação de apoio para administradores de redes Internet e usuários; o Realizar reuniões com setores diversos da Internet no Brasil, de modo a articular a cooperação e implantação de boas práticas de segurança. • Análise de Tendências de Ataques: o Aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro, através da manutenção de uma rede de honeypots distribuídos em diversas redes do país;
69 o Obter, através de honeypots de baixa interatividade, dados sobre o abuso da infra-estrutura de redes conectadas à Internet para envio de spam. O órgão também está alinhado com dos objetivos do NIC.br, conforme seu Estatuto: (CERT.br, 2011) • Atender aos requisitos de segurança e emergências na Internet Brasileira em articulação e cooperação com as entidades e os órgãos responsáveis; • Promover ou colaborar na realização de cursos, simpósios, seminários, conferências, feiras e congressos, visando contribuir para o desenvolvimento e aperfeiçoamento do ensino e dos conhecimentos nas áreas de suas especialidades. A atuação do órgão pode ser uma grande aliada das empresas na adoção de melhores práticas para gestão de sua informação e tratamento de seus incidentes de segurança. A base de informações disponíveis sobre o assunto é imensa, e atualizada constantemente. Empresas que instauram grupos voltados especificamente para o acompanhamento do CERT tendem a ser mais seguras e, por conseqüência, mais protegidas contra fraudes e vazamento de informações. 3.10 Considerações finais do Capítulo 3 Pelas bibliografias abordadas neste capítulo, nota-se que uma organização consegue atingir eficiência na gestão de segurança da informação ao implantar metodologias de conscientização institucional, ao apoiar-se em políticas, normas e certificações, investir em sua infra-estrutura, e, acima de tudo, possuir colaboradores comprometidos com seu papel organizacional e que tenham responsabilidade sobre aquilo que executam. No entanto, é visto que acompanhar a evolução tecnológica e ao mesmo tempo gerir as intenções e expectativas dos indivíduos que atuam em uma organização ainda é um grande desafio a ser superado.
70 Os malware aliados a Engenharia Social são mecanismos que podem ser utilizados para a obtenção de informações privilegiadas de empresas, além de provocarem incidentes de segurança, podem também prejudicar a produtividade e representarem e, conseqüentemente, prejuízos. Nenhuma área da informática é tão apreciada como a segurança da informação, todo processo de segurança inicia e tem seu termino em um ser humano. Segurança não é (somente) uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. (SPANCESKI, 2004) Portanto, a Segurança da Informação deve ser um conceito institucionalizado e imparcial, pois não deve existir diferenciação na aplicação de medidas restritivas e punitivas, caso a empresa observe que sua segurança foi violada e seu negocio corre riscos. No entanto, fraudes e vazamentos de informação podem ocorrer e evoluírem para incidentes mais graves, que venham a causar grandes prejuízos a empresa e sejam passíveis de punições mais severas. Neste contexto, a forense digital pode ser uma aliada à organização na investigação destes eventos.
71 4 PERÍCIA FORENSE DIGITAL A Perícia Forense Digital abrange todas as questões relacionadas aos crimes praticados no meio digital e concebe métodos de coletar evidências de crimes e violações e analisar e documentar casos, fazendo uso dos métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital. [...] a Forense Digital é o ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências computacionais, quer sejam os componentes físicos ou dados que foram processados eletronicamente [...] ou armazenados em mídias computacionais. (FREITAS, 2006) De acordo com Wikipédia (2011) a perícia forense digital é a "inspeção sistemática de um sistema computacional em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada." Complementando o raciocínio, Kleber (2009) afirma que "na criminalística a Computação Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqüências." Segundo Peck (2010), "a ciência forense busca (responder as seguintes questões) [...]: Quem?; O quê?; Quando?; Como?; Porque?; Onde?", levantando assim evidências que contam a historia de um determinado fato. “Nos últimos sete anos, houve um grande aumento do vazamento de informações sigilosas pela rede, como planilhas de custo e planos estratégicos." (BLUM, 2010 apud NETZ, 2010) O crescimento de problemas relacionados a negócios no mundo virtual é expresso em números. A americana McAfee, empresa especializada em programas antivírus, estimou que os custos dos crimes perpetrados via Internet no mundo geraram um prejuízo para as empresas equivalente a US$ 1 trilhão, em 2008. (NETZ, 2010)
72 No Brasil, não existem dados abrangentes. A Febraban, no entanto, afirma que os prejuízos causados por fraudes chegam a R$ 500 milhões por ano. Para proteger-se desse tipo de ameaças, calcula-se que apenas as empresas do setor financeiro brasileiro gastem algo em torno de R$ 1,5 bilhão anuais no combate às fraudes virtuais. (Id., 2010) [...] a tendência investigativa (sobre vazamento de informações em organizações) aponta para um cenário onde a informação digital representa uma pista crucial para a investigação do crime. Como o número de casos envolvendo a informação digital é cada vez maior, as agências de investigação (forense) são muito solicitadas. A forense digital desempenha um papel importante em muitas empresas. Na verdade, alguns setores estão mostrando interesse em estabelecer centros digitais forenses. Por exemplo, algumas empresas de contabilidade e de direito já criaram tais centros, onde eles utilizam uma ampla gama de tecnologias digitais forenses. Por exemplo, um grande centro forense digital sul-coreano foi criado para lidar com casos importantes (de empresas locais da Coréia do Sul), e os casos de vazamento de dados do Arquivo Nacional da Coréia do Sul. (LEE et al., 2009, tradução livre) 4.1O perito forense digital O reconhecimento da atividade, no Estado de São Paulo, foi instaurado através do Decreto nº 48.009, de 11 de agosto de 2003, que diz: Artigo 12 - O Núcleo de Perícias de Informática tem por atribuição realizar perícias visando à elaboração de laudos periciais de locais e peças envolvendo aparelhos computadorizados, ‘software’, ‘hardware’ e periféricos relacionados com a prática de infrações penais na área de informática. Segundo Kleber (2009), não há regulamentação específica sobre técnicas e ferramentas a serem utilizadas na perícia digital, e a ausência de normas possibilita uma margem de erro muito grande para evidências despercebidas. Em 1999, ocorreu uma tentativa de padronização sobre a prática, durante a IHCFC (International Hi- Tech Crime and Forensics Conference).
73 Discordando deste ponto, Adams (2000) diz que a tentativa de padronização ocorrida no IHCFC foi bem sucedida, e atualmente existem padrões metodológicos bem definidos e desenvolvidos também pelo SWGDE (Scientific Working Group on Digital Evidence). Esses padrões seguem um único princípio: o de que todas as organizações que lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências. Esse nível de qualidade pode ser atingido através da elaboração de SOPs (Standard Operating Procedure), que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica internacional (PEREIRA et al, 2007). Segundo Queiroz e Vargas (2010), o perito forense digital deve reunir em seu perfil profissional as seguintes capacitações: • Ter formação superior em tecnologia, conhecimentos de termos do Direito e conhecer técnicas de redação jurídicas; • Conhecer arquitetura lógica de sistemas operacionais e arquitetura física de computadores; • Se possível, ser profissional atuante na área, ou então, possuir mestrado acadêmico, assim como interesse na área forense; • Ter especialização e domínio tecnológico; • Ser proficiente, preferencialmente, na língua inglesa; • Ter conhecimento de legislação, principalmente a que se aplica com maior freqüência aos crimes praticados através do meio digital.
74 Complementando o raciocínio, Punisher (2011) afirma que as seguintes características e conhecimentos também são interessantes para esse tipo de investigador especializado: • Conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores; • Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques conhecidos, inclusive as que não se tem registro de ter ocorrido, mas que já são vistas como uma exploração em potencial de uma determinada vulnerabilidade de um sistema; • Faro investigativo para perceber rastros sutis de ações maliciosas - Esmero pela perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis; • Entendimento sobre o encadeamento de causas e conseqüências em tudo o que ocorre num sistema para construir a história lógica formada por ações maliciosas ou normais que já tenham ocorrido, que estejam em curso e que possam vir a acontecer; • Conhecimento da legislação envolvida; • Conhecimento das diretivas internas das empresas e instituições envolvidas no processo investigativo, com especial atenção às limitações como diretivas de privacidade, sigilo e escopo ou jurisdição de atuação; • Cuidado com a manipulação e preservação de provas legais em potencial, inclusive com uma metodologia de cadeia de custódia. O que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido preservada o suficiente para ser aceita em um tribunal; • Noções sobre a psicologia dos atacantes em potencial a respeito de perfis de comportamento e de motivações; • Experiência ao examinar os rastros em um incidente perceber o nível de sofisticação e conhecimento de um atacante, especialmente interessante
75 se o atacante usa subterfúgios para parecer menos capaz, como deixar rastros óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais perigosas e muito mais escondidas. A preparação do perito digital é fundamental, pois sua investigação resultará em um laudo que, se mal concebido, poderá beneficiar o infrator em detrimento a vitima. No caso de atuação em processos civis e criminais, existem diretrizes que norteiam a atuação do perito, expressas através de regulamentações previstas no CPC e no CPP. (QUEIROZ e VARGAS, 2010) Segundo Vargas (2009), hoje, no mercado brasileiro, existem algumas certificações que são respeitados no mundo inteiro. Quase todas as certificações são relativas a ferramentas ou a fabricantes, mas existem várias que são aceitas no mercado nacional. As certificações mais válidas no mercado mundial em softwares: • EnCE (EnCase Certified Examiner), do fabricante Guidance; • ACE (AccessData Certified Examiner), do fabricante AccessData. Logo após, há certificações referentes a cursos, no Brasil e fora do País, como: (Id., 2009) • CCFT (Certified Computer Forensic Technical); • GIAC (Global Information Assurance Certification); • CEH (Certified Ethical Hacker); • CHFI (Certified Hacker Forensic Investigator); • ACFEI (American College of Forensic Examiners Institute).
76 Com relação ao campo de trabalho, para Forensics (2011) os cenários comuns onde se aplica a mão de oba do perito forense podem ser: • Investigação de abuso no uso da Internet por funcionários de empresas (cenário comum, mas em decréscimo); • Revelação não autorizada de informações e dados corporativos, que pode ocorrer de forma acidental ou intencional; • Espionagem industrial e vazamento de informações em corporações; • Avaliação de danos, após um incidente de segurança em empresas. Complementando, Kleber (2009) diz que a perícia forense digital se faz necessária na análise de: • Violação de dados de sites; • Ataques a servidores; • Emails falsos; • Roubo de dados; • Retiradas e transferências de contas bancárias; • Investigações sobre crimes comuns com indícios de provas em computadores e/ou mídias; • Auxilia em investigações que apuram desde violações de normas internas a crimes eletrônicos; • Permite o rastreamento, identificação e comprovação da autoria de ações não autorizadas. Além da fundamentação teórica específica do Direito, o perito digital deve estar em constante atualização a respeito das novas tecnologias e modalidades de ataques. A constante reciclagem de conhecimento sobre o crime digital, assim como
77 contato com profissionais do ramo de segurança da informação, também são válidos e complementam o embasamento técnico do perito. 4.2Etapas da investigação Forense Digital Toda a investigação tem início com base nas evidências e informações coletadas. O meio virtual não diverge do físico, isto é, as evidências e informações existem desta vez em um disco rígido, celular, ou até mesmo código de um arquivo malicioso. (PECK, 2010) Ainda segundo Peck (2010), a evidência digital é toda a informação ou assunto criado e sujeito, ou não, a intervenção humana que possa ser extraída de um computador ou de qualquer dispositivo eletrônico. Além disso, a evidência digital deverá estar sempre em formato de entendimento humano. A mídia digital confiscada durante a investigação é geralmente referida como "evidência", na terminologia legal. Investigadores empregam os métodos científicos de recuperação de evidência para suportar uma corte judicial ou processos civis, movidos por organizações que queiram periciar um incidente de segurança. (WIKIPÉDIA, 2011) No caso de incidente envolvendo um ativo de propriedade de uma organização, a atuação do perito privado é coordenada pela mesma, assim como o confisco de todos os dispositivos envolvidos no processo, não sendo necessária prévia outorga legal para extração da evidência e condução da perícia. (WIKIPÉDIA, 2011) Em contrapartida, caso o bem seja de propriedade do colaborador, é necessária prévia autorização judicial para que este ativo seja periciado, por mais que o mesmo tenha sido usado como intermediador de vazamento de informações da organização. (Id., 2011)
78 Segundo Peck (2010), as cinco regras para o tratamento da evidência eletrônica são: admissibilidade, que é ter condições de ser usada no processo; autenticidade, ser certa e relevante ao caso; completude, pois a evidência não poderá causar ou levar à suspeitas alternativas; confiabilidade, não recaindo dúvidas sobre a veracidade e autenticidade da evidência; e credibilidade, que é clareza, fácil entendimento e interpretação. Queiroz e Vargas (2010) citam os seguintes procedimentos técnicos a serem tomados antes e durante todo o processo investigativo: • Se possível, registre com fotografias o local e a máquina que está sendo periciada; • Ao manusear discos rígidos, memórias e outros componentes internos do computador, utilize-se de pulseiras estáticas; • Jamais realize a perícia no disco rígido. Sempre crie imagens, utilizando-se de software específicos. A investigação forense supre as necessidades das instituições legais para manipulação de evidências eletrônicas, estuda a aquisição, preservação, identificação, extração, recuperação e análise de dados em formato eletrônico, para então apresentar informações diretas e não interpretativas. (KLEBER, 2009) É constituída, basicamente, das seguintes etapas: coleta, exame e análise, que podem ser repetidas diversas vezes até que se obtenham provas substanciais e, por fim, a apresentação dos resultados obtidos. (Id., 2009)
79 4.2.1 COLETA DE DADOS Nesta etapa, o perito determina aquilo que será coletado como evidência, com base no processo penal, civil ou em determinação da organização privada para qual ele esteja atuando. Dentre os tipos esperados de evidências, encontram-se (KLEBER, 2009): Mídias de armazenamento, como HDs, pendrives, CDs, DVDs; dados presentes em memórias voláteis, extraídos com ferramentas específicas; dados trafegando na rede (Internet, Extranet ou interna), também extraídos com ferramentas específicas; outros dispositivos capazes de armazenar dados (câmeras digitais, PDAs, celulares, entre outros). A aquisição de uma imagem de um dispositivo de armazenamento é, em muitos casos, o ponto de partida de uma investigação. A técnica determina que o dispositivo a ser analisado deva ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o original íntegro. A imagem deve conter todos os dados do original, incluindo as partes não utilizadas. (Id., 2009) No que diz respeito ao procedimento acima, Lee et al (2009) afirma que, em se tratando de perícia contratada por uma organização para investigar vazamento de informações, por exemplo, e realizada em um ativo de propriedade da própria organização, não é necessária a reprodução dos discos e unidades de armazenamento em imagens, devido ao grande tempo despendido no processo. Este pensamento é exposto a seguir: [...] (o processo de) extração de imagens exige um tempo considerável, pois procedimentos especiais devem ser utilizados para manter a integridade da prova digital. Uma vez que a capacidade dos discos rígidos está chegando aos terabytes, significa que muito mais tempo é consumindo na criação de uma imagem. Além disso, tendo em mente o paradigma da "agulha no palheiro", que bem ilustra a dificuldade em encontrar a evidência crucial em uma investigação digital, acredita-se que, sob certas circunstâncias, não é necessário adquirir o conteúdo total do disco rígido. Portanto, para determinados crimes digitais, como os que envolvem vazamento de dados (em organizações privadas), uma análise completa de um disco rígido pode não ser necessária. (LEE et al., 2009, tradução livre)
80 Ainda segundo Lee et al. (2009), utilizando de uma ferramenta específica para criação de imagens, com uma taxa de transferência de 400 Mbps, demorou-se um total de quatro horas na criação de uma imagem de 300 Gbytes. Não foram inseridos mecanismos de criptografia durante o processo, o que significa que a extração da imagem demoraria ainda mais caso este mecanismo fosse utilizado. Para aqueles que optam por realizar o processo de extração de imagem, ou se vêem judicialmente obrigados a fazê-lo, a controladora de disco forense (tradução livre do termo em inglês forensic disk controller) é uma das várias ferramentas que podem ser utilizadas nesta etapa. (WIKIPÉDIA, 2011) Também chamada de Tableau, Figura 8, é uma controladora de disco feita com o propósito de se obter acesso somente leitura a discos rígidos de computadores, sem oferecer qualquer risco de danificar a integridade física e lógica do dispositivo. É compatível com diversas interfaces de conexão (SATA, IDE, USB, entre outras). (Id., 2011) Figura 8 - Tableau conectado a um disco rígido. Fonte: Wikipédia (2011).
81 Segundo Pereira et al. (2007), a prioridade da coleta dos dados será ditada pelos seguintes fatores: • Volatilidade: dados voláteis (por exemplo, conexões da rede, estado das portas TCP e UDP e quais programas estão em execução) devem ser imediatamente coletados pelo perito. A principal fonte de dados não- voláteis é o sistema de arquivos que armazena arquivos temporários, de configuração, de swap, de dados, de hibernação e de log; • Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros, caso sejam necessários. Ex.: dados de um roteador da rede local versus dados de um provedor de Internet; • Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas. Segundo Kleber (2009), é fundamental manipular as evidências sem alterar seu conteúdo original, pois a gravidade de modificá-lo pode ser comparada a alteração da cena de um crime no mundo real. É preciso impedir alteração da mídia original durante os procedimentos de aquisição, e somente depois da cópia fiel dos dados (atestado por peritos e testemunhas) a mídia original pode ser dispensada. A Figura 9 exemplifica o descrito acima.
82 Figura 9 - Evidência em envelope contra interferências eletromagnéticas. Fonte: Wikipédia (2011). Ainda segundo Kleber (2009), o uso de assinaturas hash (MD5/SHA1/SHA256) é fundamental para garantir que os dados coletados e armazenados como prova não serão modificados futuramente por indivíduos não- autorizados. Todo o material apreendido para análise deve ser detalhadamente relacionado em um documento, chamado Cadeia de Custódia. Compartilhando deste raciocínio, Pereira et al. (2007), afirmam que garantir e preservar a integridade dos dados após a coleta e dever do perito, pois, se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça. A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo de criptografia. Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um relatório (cadeia de custódia), exemplificado na Figura 10. (Id., 2007)
83 Figura 10 - Formulário de Cadeia de Custódia. Fonte: Pereira et al. (2007). [...] a defesa poderá questionar no tribunal a legitimidade dos resultados da investigação, alegando que as evidências foram alteradas ou substituídas por outras. Devido à importância das evidências, é indispensável que o perito mantenha a cadeia de custódia. A cadeia de custódia prova onde as evidências estavam em um determinado momento e quem era o responsável por ela durante o curso da perícia. Ao documentar estas informações, você poderá determinar que a integridade das suas evidências não foi comprometida. A cada vez que as evidências passarem de uma pessoa para outra ou de um tipo de mídia para outro, a transação deverá ser registrada. (FREITAS, 2006)
84 4.2.2 EXAME DE DADOS A finalidade desta etapa é avaliar e extrair somente as informações relevantes à investigação. O perito deve levar em conta a capacidade de armazenamento dos dispositivos atuais, para mensurar a quantidade de espaço que seus dispositivos de armazenamento devem conter. (PEREIRA et al. 2007) A quantidade de diferentes formatos de arquivos existentes (imagens, áudio, arquivos criptografados e compactados) e ter em mente que, em meio aos dados recuperados, podem estar informações irrelevantes e que devem ser filtradas, por exemplo, um arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação. (Id., 2007) Nesta etapa ocorre a extração, que é o processo de retirar das mídias periciadas as informações disponíveis. Já a recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. Após a coleta, a manipulação dos dados das mídias pode ser feita pelo próprio perito ou posteriormente por outro (inclusive por um perito contratado por advogados que contestaram os laudos). (KLEBER, 2009) A correta aplicação das diversas ferramentas e técnicas disponíveis pode reduzir muito a quantidade de dados que necessitam de um exame minucioso. Medidas como a utilização de filtros de palavras-chave (com ou sem expressões regulares) e a utilização de filtros de arquivos, por exemplo, por tipo, extensão, nome, permissão de acesso, caminho entre outros. (PEREIRA et al. 2007) Outra prática vantajosa é utilizar ferramentas e fontes de dados que possam determinar padrões para cada tipo de arquivo. Esta medida é útil para identificar e filtrar arquivos que tenham sido manipulados previamente. Organizações, como a NSRL (National Software Reference Library), contêm uma coleção de assinaturas digitais referentes a milhares de arquivos, o que pode facilitar a identificação de determinados tipos de criptografia utilizada para ocultação de determinados dados. (Id., 2007)
85 4.2.3 ANÁLISE Após a extração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. A finalidade é identificar pessoas, locais e eventos e determinar como esses elementos estão inter-relacionados. Normalmente, é necessário correlacionar informações de várias fontes de dados. (PEREIRA et al. 2007) Um exemplo de correlação pode ser dado pela análise de um acesso não autorizado de um servidor, onde é possível identificar, por meio da análise dos eventos registrados nos arquivos de log, o endereço IP de onde foi originada a requisição de acesso, e correlacionando estes com registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção. (Id., 2007) Além de consumir muito tempo, a análise de informações está muito suscetível a equívocos, pois depende muito da experiência e do conhecimento dos peritos. Poucas ferramentas realizam análise de informações com precisão. (Id., 2007) 4.2.4 APRESENTAÇÃO DE RESULTADOS Esta fase é tecnicamente chamada de "substanciação (sic) da evidência", pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas. Deve representar as conclusões do perito em linguagem clara para apresentação em julgamentos (ou com dados técnicos comentados). (KLEBER, 2009) Segundo Pereira et al. (2007), "a interpretação dos resultados obtidos é a etapa conclusiva da investigação. Nesta etapa, o perito elabora um laudo pericial, que deve ser escrito de forma clara e concisa, elencando todas as evidências localizadas e analisadas. O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação."
86 Para que o laudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: (PEREIRA et al. 2007) • Finalidade da Investigação; • Autor(es) do Laudo (peritos envolvidos); • Resumo do caso/incidente; • Relação de evidências analisadas e seus detalhes; • Conclusão; • Anexos; • Glossário; • Metodologia / técnicas / software utilizados. Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário. 4.3Live Analisys versus Post Mortem Em uma investigação forense, podem ocorrer situações onde o perito deva optar por efetuar a perícia em um dispositivo, enquanto o mesmo ainda estiver ligado, ou em um sistema ainda conectado a rede e trafegando dados. (PEREIRA et al, 2007) Por outro lado, podem ocorrer situações onde a análise será feita no arquivo de imagem extraído do disco, em um dispositivo a parte. A estes dois tipos de análise dão-se os nomes live analisys e post-mortem, respectivamente. (Id., 2007) No caso do processo Live Analisys, a investigação baseia-se em informações voláteis, as quais serão perdidas com o desligamento da máquina vítima. Informações como conexões de redes e processos em execução são exemplos de dados coletados durante este tipo de análise. PEREIRA et al, 2007)
87 Podem ocorrer situações onde a máquina analisada ainda está sobre domínio do atacante, desse modo, o sistema pode estar executando programas que escondam informações e dificultem o trabalho do perito. Baseando-se neste fato, o perito necessita usar um conjunto de ferramentas confiáveis e assim poderá garantir a integridade das tarefas realizadas com o auxílio das mesmas. (Id., 2007) Já o processo de investigação realizado nas cópias da mídia original chama- se post-mortem. Este tipo de análise é realizado com o auxílio de um computador, denominado estação forense, preparado com ferramentas e sistema operacional adequados, além de possuir uma grande capacidade de armazenamento de dados. (Id., 2007) Segundo Adelstein (2006), na análise post-mortem, técnicas de pesquisa de arquivos como logs de dados, verificação de data de dados e recuperação de informações excluídas e escondidas são exemplos de operações realizadas trivialmente. Uma das grandes dificuldades da investigação post-mortem, atualmente, diz respeito ao aumento da capacidade de armazenamento dos discos rígidos, de modo que o tempo e o esforço necessários para a criação das imagens é diretamente proporcionais ao tamanho do disco. Enquanto, a imagem está sendo criada, a mídia precisa permanecer off-line, sendo assim considera-se inaceitável perder horas em casos de incidentes em sistemas de tempo real ou até mesmo os de comércio eletrônico. Por causa disso, muitos juízes não ordenam mais o desligamento de servidores. (RODRIGUES e FOLTRAN, 2006) 4.4Técnicas Anti-Forense As técnicas Anti Forense são um campo de estudo recente que possuem uma série de definições, dadas por diferentes autores. Segundo o Dr. Marc Rogers, da Universidade Purdue (Indiana, EUA), técnicas anti-forense são "tentativas de afetar negativamente a existência, quantidade e/ou qualidade de evidências da cena do
88 crime, ou fazer com que a análise e investigação das evidências sejam dificultadas ou impossibilitadas." (WIKIPÉDIA, 2011) No campo da ciência forense digital, há muito debate sobre a finalidade e os objetivos dos métodos anti-forense. A concepção comum é que as ferramentas de anti-forense são puramente maliciosas. Outros acreditam que essas ferramentas devem ser utilizadas para ilustrar as deficiências em procedimentos forenses digitais e para treinamento do perito forense. (Id., 2011) Métodos anti-forense são comumente desmembrados em diversas subcategorias, para facilitar a classificação das diversas ferramentas e técnicas. Uma das subcategorizações mais aceitas foi desenvolvida pelo Dr. Marcus Rogers. De acordo com ele, as seguintes subcategorias de métodos anti-forense podem ser utilizadas: ocultação de dados, ferramentas de limpeza, ofuscação de rastros e atentados diversos contra os processos e ferramentas da perícia forense digital. (Id., 2011) 4.4.1 OCULTAÇÃO DE DADOS Ocultação de Dados é uma técnica que consiste em fazer com que dados sejam difíceis de serem localizados por peritos durante uma investigação forense, mantendo-os acessíveis para o criminoso, no entanto. (WIKIPÉDIA, 2011) Algumas das formas mais comuns de esconder dados incluem criptografia, esteganografia e outras formas diferentes de ocultação de dados baseado em hardware/software. Cada um dos diferentes métodos de ocultação faz com que perícias digitais sejam mais difíceis. Quando os diferentes métodos de ocultação são combinados, eles podem tornar a investigação forense quase impossível. (WIKIPÉDIA, 2011)
89 4.4.1.1 Ocultação por criptografia Alguns programas de criptografia permitem ao usuário criar discos virtuais criptografados que só podem ser abertos com uma chave designada. Através da utilização de algoritmos e técnicas modernas de criptografia, vários desses programas tornam os dados virtualmente impossíveis de serem lidos sem esta chave. Isto acarreta maior esforço do perito forense. A ampla disponibilidade de software públicos que contém essas funções tem colocado a forense digital em grande desvantagem. (WIKIPÉDIA, 2011) 4.4.1.2 Ocultação por esteganografia Esteganografia é uma técnica onde a informação ou arquivos estão escondidos dentro de outro arquivo, numa tentativa de ocultar os dados. Este novo arquivo é geralmente deixado em locais de fácil acesso, para distrair o perito. Para que o processo esteganográfico seja desfeito, é necessário conhecer o padrão de ocultação que foi utilizado. Em outras palavras, é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. (WIKIPÉDIA, 2011) 4.4.1.3 Outras formas de ocultação Outras formas incluem o uso de técnicas e ferramentas para ocultação de dados em locais variados do sistema. Alguns destes locais podem incluir setores de memória, diretórios ocultos, sobras entre arquivos (espaço não utilizado entre o marcador de fim de arquivo e o final do cluster do HD, onde este arquivo está armazenado), bad blocks e partições ocultas. São escolhidos estes locais, pois alguns software forenses não realizam varreduras nestes locais. (WIKIPÉDIA, 2011)
90 4.4.2 FERRAMENTAS DE LIMPEZA Os métodos de limpeza são encarregados de eliminar permanentemente determinados arquivos, ou sistemas de arquivos inteiros. Isto pode ser alcançado através da utilização de uma variedade de métodos, que incluem desde utilitários de limpeza de disco até desmagnetização do disco, o que provoca a destruição total dos dados. (WIKIPÉDIA, 2011) 4.4.2.1 Utilitários de limpeza de discos Usam uma variedade de métodos para sobrescrever os dados existentes nos dispositivos de armazenamento. A eficiência da limpeza de disco contra as técnicas forenses é muitas vezes questionada, pois alguns acreditam que ela não é totalmente válida e operacional. Os utilitários de limpeza também são criticados por deixarem evidencias que comprovam que o sistema de arquivos foi modificado. (Id., 2011) 4.4.2.2 Utilitários de limpeza de arquivos São usados para excluir arquivos individuais de um sistema operacional. A vantagem desta técnica é que ela realiza suas tarefas em um período relativamente curto de tempo, em comparação com os utilitários de limpeza de disco. Outra vantagem é que geralmente deixam evidências muito menores do que os utilitários de limpeza de discos. Há duas desvantagens principais, no entanto: eles exigem o envolvimento do usuário no processo e, segundo alguns especialistas acreditam, nem sempre limpam completamente as informações dos arquivos. (Id., 2011) 4.4.2.3 Desmagnetização e destruição do disco Processo no qual um campo magnético é aplicado a um dispositivo de armazenamento magnético, como HDs. O resultado é um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A desmagnetização é raramente utilizada como um método anti-forense, apesar de ser um meio eficaz para garantir
91 que os dados foram apagados. Isto é atribuído ao alto custo das máquinas de desmagnetização, caras e difíceis de serem adquiridas pelo consumidor comum. Já a destruição física pode ser realizada utilizando-se uma variedade de métodos, incluindo a desintegração, a incineração, a trituração e o derretimento da mídia. (Id., 2011) 4.4.2.4 Ofuscação de rastros O objetivo de ofuscação de rastros é confundir, desorientar e desviar o processo de análise forense. Abrange uma variedade de técnicas e ferramentas que incluem limpadores de registro, spoofing, a desinformação, contas falsas, entre outros. (WIKIPÉDIA, 2011) As ferramentas de ofuscação dão ao usuário a capacidade de modificar metadados do arquivo, referentes à criação, acesso e modificação de horários / datas. Na maioria dos tipos de arquivo, o cabeçalho do arquivo contém informações de identificação. A extensão .jpg, por exemplo, teria informações de cabeçalho que o identifica como um .jpg (imagem), a .doc teria a informação que o identifica como .doc (documento), e assim por diante. (Id., 2011) As ferramentas de ofuscação permitem alterar as informações do cabeçalho do arquivo, por exemplo, uma extensão do tipo imagem pode ser alterada para conter o cabeçalho do tipo documento. Se um programa forense ou sistema operacional realizasse uma busca de imagens em uma máquina, todos os arquivos com o cabeçalho do tipo documento seriam ignorados. (Id., 2011)
92 4.4.3 ATENTADOS CONTRA OS PROCESSOS E FERRAMENTAS FORENSES Ferramentas anti-forenses focam em atacar o processo judicial, destruindo, ocultando e alterando dados ou informações úteis. Recentemente, as técnicas anti- forense vêm se especializando também no ataque às ferramentas forenses, que realizam as perícias durante a investigação. (WIKIPÉDIA, 2011) Estes novos métodos beneficiaram-se de uma série de fatores, que incluem procedimentos de análise forense, vulnerabilidades das ferramentas de análise e a grande dependência de suas ferramentas que os peritos costumam desenvolver. (Id., 2011) Durante uma típica análise forense, o perito iria criar uma imagem de disco do computador. Isso evita que o dispositivo original (evidência) mantenha contado direto com as ferramentas forenses. (Id., 2011) Para garantir a integridade da imagem gerada, hashes são criados pelo software de análise forense. Uma das recentes técnicas anti-forense criadas viola a integridade do hash, que é criado para verificar a integridade da imagem extraída. Por afetar esta integridade, qualquer prova coletada por este software, durante a investigação, pode ser contestada. (Id., 2011) 4.5Efetividade das técnicas anti-forense Métodos anti-forense se aproveitam, no geral, de várias deficiências no processo forense, como: elemento humano, dependência de ferramentas, e a limitação física e lógica dos computadores. (WIKIPÉDIA, 2011) Ao reduzir a susceptibilidade do processo judicial a estas deficiências, o perito pode reduzir a probabilidade de métodos anti-forense obterem êxito durante sua investigação. Isso pode ser obtido através do treinamento constante destes peritos, assim como a utilização de mais de uma ferramenta durante o processo de análise. (Id., 2011)
93 4.6Algumas ferramentas para a perícia forense digital Existem no mercado diversas ferramentas para análise forense, desde software proprietários, específicos para um sistema operacional, até software de código aberto. No entanto, a quantidade de ferramentas não deve ser o referencial para o sucesso de uma perícia, uma vez que cada evento determina qual o tipo de ferramenta a ser utilizada, e, conseqüentemente, o rumo que a investigação irá tomar. 4.6.1 MICROSOFT COFEE Pode ser utilizado no caso da investigação estar sendo conduzido em ambiente Microsoft Windows que, de acordo com estatísticas de 2009, está presente em aproximadamente 85% das máquinas, entre EUA, Europa e Brasil. (WIKIPÉDIA, 2011) O COFEE é um kit de ferramentas para extração de evidência em investigações forenses e funciona através de uma memória USB ou HD externo. Possui uma interface gráfica, com cerca de 150 ferramentas. (Id., 2011) Entre outras funções, ele coleta dados da memória volátil, que tenham sido perdidos após o desligamento do computador, decodificação de dado criptografado para o seu formato original e recuperação de histórico de acessos a Internet. (Id., 2011) - Figura 11
94 Figura 11 - Microsoft COFEE. Fonte: Wikipédia (2011).
95 4.6.2 EnCASE Desenvolvida pela empresa Guidance Software, é um conjunto de aplicativos forenses usado para análise de mídia digital. Sua disponibilidade é restrita para peritos forenses que estejam envolvidos em investigações privadas, em processos civis ou criminais. Seus aplicativos incluem ferramentas para aquisição de dados, recuperação de arquivos, análise de palavras e frases contidas em conversações armazenadas em emails, logs de chats entre outros. Seu uso requer treinamento especial. (WIKIPÉDIA, 2011) - Figura 12 Figura 12 - EnCase (v 6.16.1). Fonte: Wikipédia (2011).
96 4.6.3 RECOVER MY FILES Utilizado para recuperar arquivos deletados previamente ou unidades formatadas em Sistemas Windows. Quando um arquivo é apagado em um computador Windows, o conteúdo dele não é destruído. O Windows mantém uma lista de todos os arquivos armazenados numa tabela conhecida como MFT (Master File Table). (WIKIPÉDIA, 2011) O software varre o MFT para localizar o arquivo que foi excluído marcadores e torna possível para depois recuperá-los. Em casos onde o MFT está corrompido, o software varre todo o disco para localizar arquivos individuais por sua estrutura (cabeçalho e rodapé original) e de conteúdo. (Id., 2011) - Figura 13 Figura 13 - Recover my Files. Fonte: Wikipédia (2010).
97 4.6.4 CallerIP Esta ferramenta auxilia na indicação de entradas, saídas e invasões de IP em uma máquina qualquer da rede. As informações contidas nesse instrumento, ao final de uma varredura, oferecem informações que mostram qual a origem dos ataques aos sistemas computacionais que sejam acessíveis através da Internet. Seus relatórios mostram o país de origem, o tipo de ataque, a porta utilizada para invasão, entre outros. Também pode ser utilizado de maneira ativa, monitorando a atividade das portas no sistema e alertando o usuário em caso de ataque iminente. (WIKIPÉDIA, 2011) - Figura 14 Figura 14 - Dashboard do CallerIP. Fonte: Wikipédia (2011).
98 4.6.5 WIRESHARK O Wireshark (anteriormente conhecido como Ethereal) é um programa que analisa o tráfego de uma rede e o organiza por tipos de protocolos. Através desta organização, é possível controlar o tráfego da rede e saber tudo o que efetivamente entra (tráfego IN) e sai (tráfego OUT) pela interface de rede de um computador específico, mostrando os diferentes protocolos. Também é possível controlar simultaneamente o tráfego de um determinado dispositivo de rede numa máquina que tenha uma ou mais placas de redes. (WIKIPÉDIA, 2011) - Figura 15 Figura 15 - Wireshark. Fonte: Wikipédia (2011). 4.6.6 FTK FORENSIC TOOLKIT Coleção de software voltados para a forense computacional, desenvolvido pela AccessData. Dentre suas funções, efetua uma varredura nos discos rígidos, buscando informações que variam desde emails deletados até padrões de textos, que possam ser usados na identificação de senhas ou então chaves para decodificação de criptografia. O kit também inclui um software para produção de imagens de discos, chamado FTK Imager que, além da produção da imagem, utiliza algoritmos hash para confirmar a integridade dos dados antes de fechá-los. (WIKIPÉDIA, 2011)
99 4.6.7 LINHA DE COMANDO Linha de comando é a interface não gráfica do Sistema Operacional onde são digitados os comandos para execução de certas aplicações. Sistemas operacionais, como o Linux, são utilizados em processos forenses digitais devido a sua confiabilidade e aplicações embutidas em linhas de comando que possam vir a ser utilizadas em determinadas etapas da forense digital, como limpeza de discos, criação de imagens e verificação de integridade. Além de ser gratuito, ocupa menos espaço em disco e utiliza menos capacidade de processamento do que software com interface gráfica. (WIKIPÉDIA, 2011) - Figura 14 4.7Considerações finais do Capítulo 4 O crescente número de eventos criminais, fraudes e vazamentos de informações envolvendo o meio digital, vêm provocando na sociedade a necessidade de expandir seu grau de conhecimento sobre o assunto. O conhecimento adquirido pode ser tanto utilizado na perpetração de novos delitos quanto na prevenção, porém, por maiores que sejam os mecanismos preventivos que a Segurança da Informação possa propiciar às organizações e a sociedade, não existe maneira de erradicar a prática criminal, pois sempre existirão indivíduos especializando-se neste assunto. Como exemplo, o Pentágono, sede do Departamento de Defesa dos Estados Unidos que tem cerca de 85 mil pessoas trabalhando em segurança virtual, entre militares e civis, afirma que é teoricamente impossível construir uma rede que não possa ser invadida. (UOL, 2011)
100 Os crimes digitais tornam-se cada vez mais complexos, e as empresas privadas e os processos civis e penais cada vez mais requisitam mão de obra de alto nível de especialização. O perito forense digital deve carregar este grau de conhecimento, aliando técnicas específicas, ferramentas e legislação, para então efetuar corretamente a análise investigativa da evidência digital. Portanto, é latente a necessidade de envolver o perito numa condição de constante especialização, tanto nos aspectos técnicos, pois suas próprias ferramentas podem ser utilizadas contra ele durante uma investigação, quanto nos aspectos legais, já que a constante adaptação da sociedade perante o tratamento do crime digital provoca constantes tentativas de mudança e/ou re-interpretação da legislação vigente, e acompanhar estas mudanças é fundamental para que a prática do perito esteja sempre fundamentada na lei.
101 5 ESTUDO DE CASO O Estudo de Caso foi extraído na integra e traduzido livremente de Gupta e Laliberte (2004). 5.1Introdução: o "dedo-duro" Um empregado insatisfeito de uma grande companhia deixa uma mensagem no "disque-fraude" da empresa, indicando que ele possuía informações a respeito de fraudes sendo cometidas por executivos de alto nível da corporação. Dentro de algumas horas, a terceirizada que gerenciava o "disque-fraude" entrou em contato com o funcionário insatisfeito e coletou maiores informações. Logo após, estas informações foram passadas ao Presidente do Comitê de Auditoria da companhia. Tais alegações nunca devem ser tratadas de forma leviana, mas algo a respeito da pessoa que efetuou a denúncia e as informações apresentadas proporcionou a acusação mais credibilidade, então, um escritório de advocacia foi contratado para conduzir uma investigação completa. Dentro de 24 horas, os investigadores do escritório já estavam no local. Os esforços iniciais dos investigadores eram reunir-se com o delator e coletar o maior número de informações a respeito da fraude. As informações coletadas levaram a conclusão de que a fraude facilmente resultaria na perda de milhões de dólares. Informações iniciais identificaram que vários executivos-chave da organização como potenciais conspiradores em um esquema para inflar os valores de receita da companhia, no intuito de maquiar os lucros e, conseqüentemente, os valores dos salários anuais e dos bônus destes executivos. O advogado do escritório contratado assumiu a posição de investigador principal. Um maior time investigativo, constituído por mais de 20 auditores financeiros, contadores e advogados especializados em direito empresarial, também foi montado. Sob a direção de conselho, três objetivos foram delineados para este time investigativo:
102 • Constatar que de fato atividades fraudulentas ocorreram; • Examinar emails, comunicações internas, e os sistemas computacionais de todas as partes potencialmente envolvidas, numa tentativa de obter provas e/ou documentações que comprovem a fraude pressuposta; • Identificar a total extensão financeira da suposta fraude, e definir como exatamente os relatos, que certamente ocorrerão, serão feitos. Este estudo de caso foca o segundo objetivo. Trabalha-se sob a hipótese formulada pelos investigadores de que certa quantidade de atividade fraudulenta realmente ocorreu. Esta não é uma hipótese pequena, e foi colocada simplesmente para sintetizar e para checar ao ponto mais importante do caso. Não se quer sugerir, mesmo com o atual nível de escândalos corporativos, que supostas fraudes são imediatamente consideradas verdadeiras. Tais alegações devem ser investigadas cuidadosamente, algo que certamente ocorreu neste caso. 5.2Preparação A chave para uma perícia forense computacional bem sucedida é a preparação. A preparação não é necessária somente para aumentar a efetividade de tarefas que serão executadas, mas também é fundamental para preservar toda e qualquer potencial evidência a ser usada em corte. Se existir uma singela suspeita de que uma evidência foi contaminada durante a investigação, ela não poderá ser utilizada na tentativa de se processar as potenciais partes culpadas. Embora não seja o que se quer, ter-se-á que omitir os nomes dos executivos de alto nível envolvidos neste caso.
103 No início da investigação deste caso, tenta-se aprender o máximo possível sobre os sistemas "suspeitos" a serem analisados, incluindo o seguinte: • Tamanho dos discos rígidos; • Tipo de cada disco - por exemplo, IDE, SCSI; • Sistemas Operacionais; • Dispositivos de armazenamento associados, por exemplo HD externo, CDs, fitas; • Quantidade nomes de usuários dos sistemas. Em qualquer análise forense computacional, você possui um computador suspeito e um computador para análise. O computador suspeito será aquele analisado pela perícia. Já o computador de análise será aquele utilizado como ferramenta para a análise pericial. Trabalhou-se com o time de gerenciamento de análise de TI, e obtive-se uma planilha de inventário com toda a informação necessária. Como se pode imaginar, o time foi bastante cooperativo. Nossa primeira preocupação foi o tamanho dos discos rígidos, porque se precisa preparar o sistema de análise estando certos de que se teria a quantidade necessária de espaço em disco para armazenar as imagens dos discos suspeitos, além da interface correta para cada disco. Uma vez confiantes de que se tinha espaço e tipos de disco suficientes, eliminaram-se completamente todos os seus dados e certificou-se de que estavam em corretas condições operacionais. Devido ao fato de utilizar o mesmo disco de análise para múltiplas análises, é importante que os discos sejam corretamente apagados entre as etapas. Os dados de uma atividade nunca devem terminar em outras.
104 Caso exista qualquer dúvida a respeito do processo de eliminação de dados, é recomendável a compra de novos discos. Na verdade, comprar novos discos é uma prática comum, pois quando a investigação está apoiando um processo legal, o disco torna-se uma evidência. Dificilmente, tem-se de volta, pois uma apelação pode existir mais adiante e a evidência original será novamente investigada (por outros peritos). Um disco pode ser completamente apagado de várias formas. Por exemplo, através da função DD, do Sistema Operacional Linux, ou qualquer outro software comercial disponível. O processo consiste na escrita repetida de uma série de caracteres no disco rígido, e basicamente substituindo e apagando completamente os dados que ali estavam antes do inicio da atividade forense. Esta etapa adicional garante que nenhum dado indesejado irá existir em nossos discos de análise até que um membro de nosso disco o coloque no sistema de análise. Para utilizar o Linux DD, e apagar todo o conteúdo do disco, a seguinte linha de comando deve ser utilizada: # > dd if=/dev/urandom of=/dev/hda Onde "/dev/had" é o endereço físico do disco a ser utilizado para análise, e urandom é o gerador randômico de caracteres padrão do Linux. Este processo pode ser repetido infinitas vezes. Muitos profissionais eliminam completamente os dados dos discos rígidos repetindo este comando de três a nove vezes. Ao examinar um disco cujos dados foram completamente eliminados, você verá somente uma série de caracteres randômicos. Nenhum dado deve permanecer no disco após o termino desta etapa.
105 5.3 A natureza e a fonte da acusação Outro passo fundamental na preparação foi o trabalho conjunto com os auditores e os advogados, para assegurar que nossos técnicos forenses compreenderam a natureza e o escopo da investigação e o propósito na condução da forense computacional. Basicamente, precisava-se assegurar que todos compreenderam seu papel e posicionamento perante os objetivos gerais do time. Viabilizou-se esta tarefa através de reuniões, realizadas todos os dias, no primeiro horário da manhã. Os encontros proporcionaram oportunidades de troca de informações entre os técnicos forenses e o time de investigadores financeiros. As reuniões também proporcionaram a oportunidade de estabelecer uma colaboração coletiva na identificação do tipo de informação os peritos deveriam buscar durante a forense computacional. Para este projeto em particular, os investigadores financeiros sugeriram que planilhas de Excel, documentos do Word, apresentações do PowerPoint e trocas de email seriam os locais mais prováveis para o aparecimento de evidências da fraude, assim como indicador dos participantes na mesma. A partir das informações coletadas nestas reuniões, elaborou-se, colaborativamente, uma lista de termos-chave a que seria usada mais tarde no processo forense. Os termos foram determinados pelo tipo de informação que estava sendo procurada, e que seriam comuns a casos de fraude contábil; outras palavras eram específicas ao ramo de negócio, à companhia e aos executivos envolvidos. Ao se desenvolver uma lista de termos-chave para busca, normalmente, inclui-se os nomes das pessoas sendo investigadas, assim como outros grupos pertinentes, como clientes, fornecedores e parceiros de negocio, ou seja, nomes de quaisquer entidades relevantes. Exemplos de termos de busca que possam ser utilizados em fraudes contábeis são mostrados na Tabela 5.
106 Tabela 5 - Possíveis termos de busca para casos de fraude contábil. Concessão Crescimento Supervalorização Auditoria Incentivo Conforme conversado Balanço inicial Receita Adiantamento Bonus Em relação a A Receber Confirmar Interno Reembolso Dedução Investigar Total Obtido Investigação Fim de Ano Fonte: Gupta e Laliberte (2004). O uso para tais termos, especialmente, quando estiverem sendo utilizados em buscas dentro de emails, é para verificar se os suspeitos estiveram ou não trocando informações uns com os outros sobre a investigação, ou falando de potencial investigação caso sejam pegos (tal evidência provaria premeditação, negando a defesa do tipo "eu não sabia que isto era contra as regras"). Por este motivo, as palavras "investigar" e "investigação" foram incluídas na lista de termos para busca. Algo que se deve mencionar é que colaboraram com os advogados e com os contadores no desenvolvimento dos termos de busca. Certamente, sempre se busca o parecer dos investigadores financeiros a respeito dos tipos de evidência a serem localizadas. Mas isso não sugere que eles estiveram controlando a perícia forense. Se houvessem dúvidas sobre incluir ou não um termo, o mesmo era incluído. A seriedade do caso (e, imagina-se, o profissionalismo dos envolvidos) permitiu que a situação permanecesse colaborativa, e não competitiva.
107 5.4Coleta de Evidência e Cadeia de Custódia A parte crítica de qualquer perícia forense computacional é assegurar que a coleta de evidência e a manutenção da cadeia de custódia sejam feitas adequadamente. "O controle positivo" é a frase mais comumente utilizada na descrição do padrão de precaução no manuseio de potencial material de evidência, por exemplo, sistemas computacionais suspeitos, discos rígidos e qualquer cópia de backup. Você precisa estar certo que será possível identificar o "quem", o "qual", o "quando", o "onde", o "como" e o "por que" de cada evidência ou material coletado durante a investigação: • Quem. Quem manuseou a evidência? • Qual. Quais procedimentos foram realizados sobre a evidência? • Quando. Quando a evidência foi coletada e/ou transferida para outro grupo? • Onde. Onde a evidência foi coletada e armazenada? • Como. Como a evidência foi coletada e armazenada? • Por que. Por que a evidência foi coletada? Caso a evidência necessite mudar de mãos por diversas vezes, precisará manter uma longa lista de informação para manter o histórico de todas as transferências, desde a primeira delas. No início da investigação presente neste estudo de caso, identificaram-se, aproximadamente, 20 computadores passíveis de perícia forense. No entanto, trabalhando com os usuários do Departamento de TI, descobriu-se que os computadores em posse das pessoas haviam sido recentemente substituídos, e os computadores antigos ainda estavam presentes no local. Isto significa que se teria de manter controle sobre, aproximadamente, 40 computadores.
108 Os auditores da equipe instalaram-se temporariamente em um escritório próximo ao cliente, que serviu como "quartel general" da investigação. Devido ao fato de os membros da equipe terem vindo de diferentes empresas, precisava-se de um espaço de trabalho que fosse ao mesmo tempo adequado e próximo ao cliente. O escritório possuía uma serie de pequenas salas, que poderiam ser utilizadas como salas de entrevista, assim como uma grande sala de conferência, que seria o principal local de trabalho. Antes de mudar-se para a sala de conferência, um chaveiro foi contratado para instalar uma nova fechadura na porta da sala. Apenas três cópias da chave foram disponibilizadas, e todas marcadas com a frase "não copiar". As cópias foram dadas a dois investigadores e ao advogado principal do caso. As chaves seriam devolvidas ao dono do prédio assim que encerrada a investigação. O advogado principal expressou certa desconfiança em ter todo o trabalho do time protegido somente por uma única porta. A trava da fechadura estava tão exposta que qualquer pessoa determinada poderia invadir a sala usando um cartão de crédito ou fio de cabide, movendo a trava da fechadura e abrindo a porta. Foi perguntado ao time de segurança se algo mais poderia ser feito. Para adicionar mais uma camada de segurança, recomendou-se que fosse instalada uma mini-câmera com sensores de presença baseados em radar. As imagens gravadas eram armazenadas em um gravador VHS (Video Home System), que era ligado após o expediente, nos finais de semana ou em qualquer momento em que menos de três pessoas estivessem na sala. Com a câmera instalada, era possível monitorar qualquer pessoa entrando, se movimentando dentro e saindo da sala. Selecionou-se o sensor baseado em radar porque se precisava manter o aparato oculto dentro da sala de conferência.
109 Durante o dia, muitos clientes, incluindo os suspeitos, entravam na sala, para executarem atividades rotineiras de trabalho. Não se queria que nenhum deles soubesse que a câmera havia sido instalada, então, ela teve de ficar completamente fora de visão. Além disso, se alguém invadisse a sala após o expediente, a possibilidade de este indivíduo obstruir o sensor da câmera seria muito menos provável, se comparado com as câmeras convencionais de infravermelho. Com o sensor de movimento ligado, a câmera começaria a gravar assim que alguém entrasse na sala. Foi adicionada uma bateria externa, tanto na câmera quanto no gravador. No caso de a energia elétrica ser cortada, seria possível manter os dispositivos ligados por adicionais 60 horas. Quando existe suspeita fraude, especialmente quando milhões de dólares estão em jogo, todo cuidado é pouco. 5.5Tire suas mãos deste teclado e afaste-se devagar Com a sala protegida, partiu-se para o confisco de todos os computadores e outros dispositivos dos suspeitos. Diversos membros do departamento de segurança do cliente trabalharam em conjunto neste processo. A assistência deles proporcionou a efetiva maneira de obter os computadores dos empregados da empresa (tanto empregados comuns, quanto executivos), pois estes empregados não estavam esperando o confisco e não estavam preparados para resistir às exigências do departamento de segurança da empresa. O fato de alguém do departamento de segurança estar realizando o confisco fez com que o processo de entrega dos dispositivos e computadores fosse tolerado pelos colaboradores. Reclamar todos podem, mas os empregados não tinham escolha. Precisava-se que o processo de confisco fosse excepcionalmente executado de maneira rápida, porque se queria mitigar o risco de alguém deletar arquivos ou emails pertinentes dos computadores. Assim, feito o confisco todo de uma vez, criando times com número de integrantes iguais ao numero de suspeitos.
110 Uma vez que os computadores e todos os dispositivos foram confiscados pela equipe de segurança, acompanhados de profissionais internos pertencentes a equipe, utilizou-se um formulário (Figura 16), para certificar que documentados corretamente a cadeia de custódia. Ambas as equipes (uma composta de membros de segurança do cliente e a outra pelo investigador forense) assinaram o formulário, assim como os suspeitos. Se alguém se recusasse a assinar o formulário, a recusa seria anotada e a assinatura de uma testemunha (outro funcionário que estive no local) também era coletada (quando confrontados com a ameaça de envolvimento de testemunha, muitos suspeitos assinaram o formulário, em silencio). Este processo foi repetido quando o computador era devolvido ao cliente.
111 Figura 16. Formulário de cadeia de custódia (estudo de caso). Fonte: Gupta e Laliberte (2004).
112 5.6Extração de imagem dos discos rígidos O processo de extrair uma imagem de um disco rígido suspeito é um dos mais críticos no processo da forense computacional, talvez o mais crítico. É extremamente importante que nenhum dado seja escrito no HD suspeito durante o processo. Para assegurar a integridade dos mais de 40 HDs a terem imagens extraídas e analisadas, utilizou-se a função do Linux DD para efetuar a extração de imagem: # > dd if=/dev/hda of=/mnt/image.dd Onde /dev/hda é o endereço físico do HD suspeito, e /mnt/image.dd será o arquivo de dados brutos para onde a imagem será escrita. Utilizar o Linux DD significa conectar o HD do suspeito ao computador análise e copiar todos seus dados em um arquivo de análise. O Linux DD realiza uma cópia bit-a-bit do HD suspeito e armazena esta imagem em um arquivo chamado raw data (traduzido livremente como dados brutos). Este arquivo contém todo o conteúdo original do HD suspeito, incluindo a estrutura lógica dos arquivos e espaços não alocados. O computador de análise possuía discos de 300 GB cada, portanto, foi possível armazenar cerca de cinco ou seis dados brutos de dispositivos suspeitos em cada disco. É fundamental validar que todo bit e byte do computador suspeito foi copiado corretamente para o computador de análise. Para realizar esta validação, antes de utilizar o Linux DD, utilizou-se um utilitário chamado MD5 checksum (verificação do número de bits que estão sendo transferidos para descobrir erros na transferência), nativo do Linux. Executou-se primeiro um checksum no HD suspeito, então, usou-se o DD para criar o arquivo de imagem, e finalmente realizou-se outro checksum, desta vez no arquivo de dados brutos extraído. Os resultados dos dois checksum são
113 comparados, e se certificou que os conteúdos do HD suspeito original e do arquivo de dados brutos eram idênticos. Eis o comando para utilizar o utilitário MD5 do Linux: No HD original: # > md5sum /dev/hda 77538d7cdb02e592e1787f6905235b89 /dev/hda No arquivo de dados brutos: # > md5sum /mnt/image.dd 77538d7cdb02e592e1787f6905235b89 /mnt/image.dd Ao comparar os resultados, é possível afirmar que a imagem extraída pelo DD é exatamente igual ao original. 5.7Análise da estrutura lógica de arquivos Após a extração das imagens dos discos suspeitos, revisou-se a estrutura lógica de arquivos. Para facilitar este processo, o time utilizou a ferramenta EnCase, um software licenciado para perícia forense. O Sistema Linux, anteriormente usado na extração das imagens, serviu desta vez como Servidor de Arquivo, utilizando o Samba como mecanismo de compartilhamento de arquivos. Os computadores, baseados em Sistema Operacional Windows, puderam acessar os dados brutos dos arquivos com as imagens dos HDs suspeitos. Utilizando o EnCase, abriu-se cada arquivo de dados brutos e começou a análise. O EnCase possui a tecnologia nativa de ler o arquivo e apresentar os dados como se o dispositivo estivesse conectado a um computador, o modo de visualização representado é similar ao sistema de navegação de arquivos e pastas do Windows Explorer, presente em um computador com Sistema Operacional Windows (vide Figura 17).
114 Figura 17 - Estrutura de exibição de dados do EnCase. Fonte: Gupta e Laliberte (2004). A análise da estrutura lógica de arquivos envolveu tanto processos manuais quanto automáticos. O software forense utilizado facilita ambas as tarefas. Através do EnCase, conseguiu-se buscar através dos diretórios dos computadores suspeitos e rapidamente localizar todos os arquivos que pareciam pertinentes à investigação. Como forma de precaução, revisitou-se todos os diretórios manualmente, identificando possíveis arquivos que não tenham sido detectados automaticamente pelo sistema de busca do EnCase. Todo arquivo com potencial para a investigação foi copiado para o computador de análise, para depois ser incluído no relatório de análise forense. Ao realizar esta etapa, é importante gravar o endereço lógico do arquivo, que seria o endereço completo do caminho onde ele está armazenado, por exemplo, o endereço completo do diretório Systems32 em muitos sistemas Windows é C:WinntSystem32.
115 5.8Análise dos espaços não alocados e das sobras entre arquivos Depois de completar a análise da estrutura lógica do arquivo, focaram-se as análises dos espaços não alocados do disco e o sobras entre arquivos. Espaço não alocado, também chamado de espaço livre, é a porção do disco que não está sendo utilizada; sobras entre arquivos (tradução livre do termo File Slack) é o espaço não utilizado criado entre o marcador de fim de arquivo e o final do cluster do HD onde este arquivo está armazenado. Algumas vezes, dados escritos neste espaço podem ter valor para investigadores. Usando um software específico para facilitar o processo é a maneira mais fácil para completar esta etapa da analise. Conforme anteriormente, o EnCase foi usado neste exame. Essa abordagem teve duas partes: (1) extraiu-se e recuperou-se os dados deletados contidos no espaço não alocado que foram analisados subseqüentemente e (2) executaram-se as buscas de seqüências de caracteres neste mesmo espaço não alocado e também nas sobras entre arquivos, numa tentativa de localizar dados relacionados ao fato sendo investigado. Mesmo com a assistência do software, este processo pode consumir muito tempo e ser potencialmente longo. Os resultados da extração de dados excluídos podem resultar em amontoados volumosos de informação. Neste caso, várias centenas de arquivos de todos os HD tiveram de ser analisadas. Além disso, todos os arquivos identificados devem ser analisados. Não se pode simplesmente revisar o arquivo até encontrar o material que se está procurando, e que auxiliará no caso, e simplesmente parar. Isto levaria a uma avaliação incompleta e até injusta da potencial evidência. Portanto, para acelerar o processo de análise dos espaços não alocados do disco usou-se um utilitário chamado dtSearch. Colocaram-se todos os arquivos extraídos em um mesmo diretório, alimentou-se o dtSearch com os termos de busca e então a ferramenta fez uma varredura nos arquivos, para encontrar aqueles que sejam pertinentes para nossa investigação.
116 Assim como ocorreu na análise da estrutura lógica dos arquivos, quando potenciais evidências são encontradas, o endereço completo do caminho no disco, que levará a estas evidências, deve ser gravado. No entanto, devido ao fato de que espaço não alocado e sobras entre arquivos estão fora da estrutura de endereçamento lógica, precisou-se gravar o endereço físico de qualquer evidência, incluindo basicamente os endereços de cluster e setores, por exemplo, cluster 11155, setor 357517. 5.9O flagrante Embora, todos os membros do time investigativo estivessem sedentos para encontrar um flagrante, como um email de um executivo dizendo "eu irei mentir sobre o número para aumentar meu bônus anual - os acionistas que se danem", nada deste tipo foi encontrado. Além disso, nenhum relatório financeiro, apresentação de PowerPoint, ou documento de Word que claramente indicava qualquer participação, individual ou de um grupo, em uma fraude, sequer que uma fraude ocorreu realmente. Ao invés disso, a investigação foi um processo repetitivo, onde foram descobertos somente pequenos fragmentos de varias informações, como rascunhos de relatórios financeiros, relatórios marcados como confidenciais e trocas de emails entre os suspeitos. Estes fragmentos foram apresentados ao time de contadores, que os analisavam e então nos solicitavam que mais evidências deste tipo fossem procuradas. Algumas vezes, os contadores vinham com direcionais de busca. Por exemplo, eles poderiam nos solicitar que se buscassem por nomes de uma corporação externa, somente para verificar o que apareceria nos resultados. Em alguns casos, um grande volume de dados relevantes era encontrado; em outros, nada relevante aparecia. Neste processo de "idas e vindas", a fraude foi montada.
117 5.10Confeccção dos relatórios Assim que a análise foi concluída, passou-se a montar o rascunho do relatório. Esta é outra etapa crítica no processo forense, e quis-se certificar de que se estava fazendo o relato da forma correta. Reunidos com os investigadores e advogados principais do caso, e fornecido os relatórios verbais dos resultados das análises, assim como a papelada gerada. Como se estava trabalhando juntos durante todo o processo, eles estavam cientes da maioria dos achados, mas uma apresentação ainda deveria ser feita, pois se precisava certificar que se não havia nenhum mal-entendido. Além disso, embora o formato de relatório fosse modelo, o que nos deixava confortáveis, precisava-se saber como deveria ser classificado (por exemplo, confidencial, sensível, secreto, restrito a cliente/advogado). Esta é uma consideração importante, que, em geral, é melhor ser deixada aos advogados. Concordou-se em desenvolver um relatório usando o Microsoft Word, e incluir links para arquivos pertinentes, armazenados em um CD-ROM que acompanhava o relatório. Ao inserir o CD em qualquer computador, o relatório seria automaticamente aberto ao advogado que o desejasse ler. Ele poderia, então, facilmente analisá-lo e selecionar livremente os arquivos a serem vistos. O relatório, assim como todos os dados e papéis gerados durante o trabalho investigativo, estaria no CD-ROM. O relatório escrito poderia ser impresso, já os dados e a papelada, devido ao seu volume, tornariam a impressão inviável. 5.11Lições aprendidas Apesar de nenhum flagrante ter sido encontrado durante a investigação, foram descobertas evidências suficientes (documentos eletrônicos chave, emails, planilhas eletrônicas, apresentações de PowerPoint) que, ao serem colocadas juntas,
118 identificaram como os executivos cometeram a fraude e se comunicaram uns com os outros sobre a atividade fraudulenta. Porém, neste caso em particular, toda a informação descoberta através da pericia forense digital foi classificada como evidência circunstancial, e tudo o que foi achado era crítico para completar a investigação. No entanto, nada que foi achado continha o flagrante que os peritos estavam esperando encontrar. Felizmente, para o time investigativo (e para a companhia envolvida), um dedo-duro e outros funcionários da companhia estavam dispostos a falar com o time investigativo, e provê-lo com informações cruciais para revelar os detalhes da fraude. Para o bem da justiça, deve ficar claro que a investigação também eximiu certos suspeitos da culpa na fraude. Este é o principal papel dos profissionais da forense digital. São obrigados não somente a apresentar as evidências de que um incidente de fato ocorreu, mas também apresentar evidências sugerindo que um incidente não ocorreu. Depois que a investigação foi concluída, os advogados principais do time investigativo providenciaram o relatório completo ao time de auditoria. O relatório apontava especificamente quais funcionários da empresa, na sua maioria executivos, estavam envolvidos na fraude, sem tentar avaliar a culpabilidade destes (advogados têm maior liberdade e habilidade em determinar o valor de culpa). O relatório também continha informação sobre controles internos deficientes, que permitiram que a fraude ocorresse, e maneiras de mitigar o risco deste tipo de fraude no futuro. O time auditor da companhia tomou ações rápidas e decisivas, demitindo todos dos executivos envolvidos na fraude e recomendando mudanças significativas nos relatórios financeiros internos da companhia e controle sobre o ambiente.
119 5.12Análise do estudo de caso Ao receber e analisar a denúncia de suposta fraude, o comitê auditor da empresa decidiu contratar os serviços de um escritório de advocacia. Todos os sistemas da empresa eram informatizados, incluindo os módulos contábeis, sistemas de gestão de informações internas e emails; as provas substanciais, que evidenciariam a fraude e apontariam os culpados, estavam contidas nestes meios. Por este motivo, um time de peritos forenses digitais foi requisitado. Houve grande preocupação com a segurança do ambiente onde a investigação estava sendo conduzida, incluindo sistemas de controle de acesso e vigilância. A atuação dos peritos foi embasada por um time de especialistas em contabilidade, que auxiliaram os forenses na escolha dos termos-chave para a busca de evidências, e de advogados, que apoiaram a elaboração e apresentação dos resultados. Pode-se observar que o Processo Forense Digital, abordado no capítulo quatro desta monografia, foi amplamente utilizado durante o processo investigativo. A Figura 18, adaptado de Pereira et al (2007), compila as atividades identificadas no Estudo de Caso e as correlaciona com as etapas forenses correspondentes.
120 Figura 18 - Visão geral do Processo Forense Digital aplicado no Estudo de Caso. Fonte: Adaptado de Pereira et al. (2007). Por fim, observou-se que as evidências levantadas pelos peritos foram fundamentais no apontamento dos perpetradores da fraude. Justando as evidências com depoimentos espontâneos de algumas pessoas, a empresa conseguiu subsídios suficientes para demitir os executivos envolvidos na fraude financeira e eximir da culpa outros suspeitos que, de fato, não tinham envolvimento algum na fraude. E este "é o principal papel dos profissionais da forense digital. (Eles são) obrigados não somente a apresentar as evidências de que um incidente de fato ocorreu, mas também apresentar evidências sugerindo que um incidente não ocorreu." (GUPTA e LALIBERTE, 2004)
121 6 CONCLUSÃO A preocupação com o efeito dos crimes digitais sobre a sociedade é abordada por diversos autores, levantando questões legislativas, políticas, técnicas e comportamentais. Não há consenso de que deva existir tipificação criminal que legisle especificamente sobre o crime digital, uma vez que o computador acaba sendo apontado como o meio de uma prática criminal atualmente já tipificada na lei. Porém, existe concordância sobre o fato de que o assunto vem despertando o interesse dos órgãos públicos e privados, legisladores e políticos. A legislação brasileira consegue tipificar alguns crimes digitais, dentro de um contexto específico, porém, ainda existem brechas legais que devem ser estudadas mais profundamente por instituições legislativas. O fator humano também é um elemento bastante recorrido nas afirmações de diversos autores pesquisados nesta monografia. Afirma-se que a evolução da sociedade e da informação é constante. Muitas das tecnologias, dos procedimentos, das normas e dos outros elementos que buscam prezar pela segurança da informação e prevenção de crimes digitais passam a existir, e a evoluir, quando surge a necessidade de se construir um ambiente mais seguro contra as ameaças que membros mal intencionados da própria sociedade acabam criando contra ela própria. No entanto, por mais evoluídos que sejam os mecanismos preventivos e por mais claras que sejam as normas e regulamentações, existe consenso de que deve partir do indivíduo a noção de que ele deve cumprir seu papel na vigilância sobre a informação que manipula, responsabilidade no cumprimento de seu trabalho e consciência sobre a conseqüência de seus atos. Por outro lado, a organização deve procurar institucionalizar esta consciência em todos os seus níveis. As punições para aqueles que desrespeitarem as regras também devem ser igualitárias, não distinguindo cargo ou nível hierárquico. Um ambiente organizacional sem qualquer controle, que carregue informação valiosa ou simplesmente desperte algum interesse em indivíduos maliciosos, é mais suscetível aos crimes digitais.
122 A evolução dos crimes provoca também a evolução dos instrumentos e elementos que atuam na sua investigação. Assim, a perícia forense também se tornou digital, e vem procurando andar lado a lado com a evolução das técnicas criminais dentro do contexto virtual. Desta nova prática, nascem novos profissionais, que buscam aliar os conhecimentos em informática com a legislação, no intuito de apoiarem e solucionarem crimes informáticos onde o computador tenha sido o meio, pessoas ou organizações, as vítimas, e uma ou dezenas de pessoas tenham sido os perpetradores. A análise da informação "bit a bit" deixou de ser uma analogia e passou a ser uma realidade. Conforme o dado torna-se relevante e passa a ter valor de informação, carregando segredos industriais, estratégias de mercados e outros elementos competitivos ou simplesmente informações privadas de um determinado indivíduo, crescem também os interesses maliciosos de outros indivíduos em construir métodos e ferramentas para chegar até esta informação e obtê-la ilicitamente. A técnica da perícia forense digital começa então a ser usada no contexto corporativo, como mais um recurso que as organizações utilizam na proteção de sua inteligência competitiva, neste ciclo vicioso onde a sociedade procura estar um passo adiante do infrator, e o infrator, dois passos adiante da sociedade.
123 REFERENCIAL BIBLIOGRÁFICO AGUIARI, Vinicius. Lei Azeredo é ressuscitada na Câmara. INFO. Segunda-feira, 25 de outubro de 2010. Disponível em: <http://info.abril.com.br/noticias/internet/lei- azeredo-ressuscita-na-camara-25102010-29.shl>. Acesso em: 06 abr. 2011. ANALISTATI. Política de Segurança da Informação - Como fazer? Disponível em: <http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em: 05 mai. 2011. ARAUJO, Eduardo Edson de. A vulnerabilidade humana na segurança da informação. Publicado em: 2005. Disponível em: <http://www.si.lopesgazzani.com.b r/TFC/monografias/Monografia%20Final%20Eduardo%20Edson.pdf>. Acesso em: 10 mai. 2011. BESEN, Flávia. Crimes virtuais: prejuízos para empresas e clientes. Publicado em: mai. 2009. Disponível em: <http://infojurufsc.blogspot.com/2009/05/crimes-virtuais- prejuizos-para-empresas.html>. Acesso em: 20 mar. 2011. CCIPS. Computer Crime & Intellectual Property Section. Disponível em: <http://www.cybercrime.gov/index.html>. Acesso em: 15 abr. 2011. CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Disponível em: <http://www.cert.br/>. Acesso em: 2011. COELHO, Mário. CCJ aprova infiltração de policiais na internet contra pedofilia. Congresso em Foco, Quarta-feira, 06 abr. 2011. Disponível em: <http://congressoem foco.uol.com.br/noticia.asp?cod_canal=1&cod_publicacao=3665>. Acesso em: 06 abr. 2011.
124 DONATO, Veruska. Crimes virtuais dão mais prejuízo do que crimes físicos. Jornal Hoje, 29 out. 2010. Disponível em: <http://g1.globo.com/jornal-hoje/noticia/201 0/10/pela-primeira-vez-crimes-virtuais-resultam-em-maior-prejuizo-do-que-crimes- fisicos.html>. Acesso em: 10 mai. 2011. FOLHA. Internet chega a 73,9 milhões de pessoas no Brasil, diz Ibope. Folha de São Paulo, 18 mar. 2011. Disponível em: <http://www1.folha.uol.com.br/tec/890677- internet-chega-a-739-milhoes-de-pessoas-no-brasil-diz-ibope.shtml>. Acesso em: 18 mar. 2011. FREITAS, Andrey Rodrigues. Perícia Forense Aplicada à Informática – Ambiente Microsoft. 1. ed. Rio de Janeiro: Brasport. 2006. GHIRELLO, Mariana. Judiciário não está preparado para lidar com crimes digitais, diz especialista. Publicado em: 31 jan. 2010. Disponível em: <http://ultimai nstancia.uol.com.br/conteudo/noticia/JUDICIARIO+NAO+ESTA+PREPARADO+PAR A+LIDAR+COM+CRIMES+DIGITAIS+DIZ+ESPECIALISTA_67690.shtml>. Acesso em: 05 mai. 2011. GOODCHILD, Joan. A Real Dumpster Dive: Bank Tosses Personal Data, Checks, Laptops. Disponível em: <http://www.csoonline.com/article/484847/a-real-dumpster- dive-bank-tosses-personal-data-checks-laptops>. Acesso em: 18 mai. 2011. GORDON, Peter. Data Leakage - Threats and Mitigation. Disponível em: <http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats- mitigation_1931>. Acesso em: 13 mai. /2011. GUPTA, Ajay; LALIBERTE, Scott. The Role of Computer Forensics in Stopping Executive Fraud. Disponível em: <http://www.informit.com/articles/article.aspx?p=33 6258&seqNum=2>. Acesso em: 23 mai. 2011. INSPIRIT, Investir em Segurança da Informação: sua empresa está preparada? Disponível em: <http://www.inspirit.com.br/ver-noticia.aspx?q=306>. Acesso em: 01 mai. 2011.
125 JUS. O Brasil, inteligência, e o custo do vazamento das informações governamentais. Publicado em: fev. 2010. Disponível em: <http://jus.uol.com.br/revis ta/texto/14343/o-brasil-inteligencia-e-o-custo-do-vazamento-das-informacoes-governa mentais>. Acesso em: 15 abr. 2011. KLEBER, Ricardo. IV Workshop de Segurança da Informação. Publicado em: jul. 2009. Disponível em: <http://pt.scribd.com/doc/55358855/Pericia-Forense- Computacional-Unirio>. Acesso em: 17 mai. 2011. LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Publicado em: jun. 2005. Disponível em: <http://www.mlaureano.org/aulas_material/g st/apostila_versao_20.pdf>. Acesso em: 01 mai. 2011. LEE, Seokhee; LEE, Keungi; SAVOLDI, Antonio e LEE, Sangjin. Data Leak Analysis In A Corporate Environment. Publicado em: 2009. Disponível em: <http://ieeexplore.ieee.org/Xplore/guesthome.jsp?reload=true>. Acesso em: 01 mai. 2011. LIMA, Glaydson. Calúnia, difamação e injuria na internet. Publicado em: 2007. Disponível em: <http://navegantes.org/index.php?cat=42>. Acesso em: 11 mar. 2011. LOPES, Rogerio; FARIAS, Mauro; NUNES, Thiago. Crimes Digitais. Disponível em: <http://www.web2life.com.br/crimes_digitais.html>. Acesso em: 05 mai. 2011. LUCENA, Jonatas. Crimes Virtuais. Disponível em: <http://www.drjonatas.com.br/cri mes-virtuais.php>. Acesso em: 25 mar. 2011. MATA, Brenno Guimarães Alves. Análise e tendências do cenário jurídico atual na Internet. Publicado em: mai. 2005. Disponível em: <http://jus2.uol.com.br/doutrina/tex to.asp?id=1771>. Acesso em: 11 mar. 2011. MILAGRE, José Antonio. Olhar Digital: Perícia e Investigação Forense Computacional. Publicado em: jan. 2010. Disponível em: <http://olhardigital.uol.com.b r/blog_post/15711>. Acesso em: 28 abr. 2011.
126 MITNICK, Kevin D.; SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 2003. NBSO. Cartilha de Segurança para Internet. Publicado em: mar. 2003. Disponível em: <http://www.htmlstaff.org/cartilhaseguranca/cartilha-07-incidentes.html#subsec1.1 >. Acesso em: 07 mai. 2011. NETZ, Clayton. Empresas despertam para os crimes digitais. O Estado de São Paulo, 25 ago. 2010. Disponível em: <http://forensedigital.com.br/new/empresas- despertam-para-os-crimes-digitais/>. Acesso em: 10 mai. 2011. OLIVEIRA, Luana Teixeira de. Segurança da Informação - Processos, Normas e Certificações. São Paulo, T-Systems do Brasil, 12 abr. 2011. Entrevista concedida a Rodrigo Fontes. PARKER, Donn B. Toward a New Framework for Information Security. Publicado em: 2002. Disponível em: <http://www.computersecurityhandbook.com/csh4/chapter5. html>. Acesso em: 01 mai. 2011. PECK, Patrícia. Direito Digital. 4. ed. São Paulo: Saraiva, 2010. PEREIRA, Evandro Della Vecchia; FAGUNDES, Leonardo Lemes; NEUKAMP, Paulo; LUDWIG, Glauco e KONRATH, Marlom. Forense Computacional: fundamentos, tecnologias e desafios atuais. Publicado em: 2007. Disponível em: <http://www.sbseg 2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf>. Acesso em: 22 mai. 2011. PRETO, Vagner de Oliveira. Problemas e Dificuldades Tecnológicas e Legislativas na Tipificação e Elucidação de Crimes Digitais nos Atos de Polícia Judiciária. 2008. Trabalho de Conclusão de Curso - Faculdade de Tecnologia da Zona Leste, São Paulo.
127 RAMALHO TERCEIRO, Cecílio da Fonseca Vieira. O problema na tipificação penal dos crimes virtuais. Publicado em: ago. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=3186>. Acesso em: 05 abr. 2011. RINDSKROPF, Amy. Juvenile Computer Hacker Cuts Off FAA Tower at Regional Airport. Publicado em: 18 mar. 1998. Disponível em: <http://www.cybercrime.gov/juv enilepld.htm>. Acesso em: 15 abr. 2011. RODRIGUES, Thalita Scharr; FOLTRAN, Dierone César. Análise De Ferramentas Forenses Na Investigação Digital. Revista de Engenharia e Tecnologia, dez. 2010. Disponível em: <http://ri.uepg.br:8080/riuepg/bitstream/handle/123456789/530/ARTI GO_AnaliseFerramentasForenses.pdf?sequence=1>. Acesso em: 18 mai. 2011. ROMANO, Paula. Sony é alvo de processos por vazamento de informações da PSN. Disponível em: <http://jogos.br.msn.com/noticias/sony-%C3%A9-alvo-de-proce ssos-por-vazamento-de-informa%C3%A7%C3%B5es-da-psn>. Acesso em: 14 mai. 2011. SPANCESKI, Francini Reitz. Política De Segurança Da Informação - Desenvolvimento de Um Modelo Voltado para Instituições De Ensino. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Instituto Superior Tupy, Joinville, 2004. Disponível em: <http://pt.scribd.com/doc/49818931/Modelo-de- Politicas-de-Seguranca>. Acesso em: 20 mai. 2011. UOL, Notícias. Hackers invadem sistemas de fabricantes de armas que trabalham para governo dos EUA. UOL Notícias, 27 mai. 2011. Disponível em: <http://noticias.uol.com.br/ultimas-noticias/internacional/2011/05/27/hackers-invadem- sistemas-de-fabricantes-de-armas-que-trabalham-para-governo-dos-eua.jhtm>. Acesso em: 27 mai. 2011. VIEIRA, Tatiana Malta. Quadro Da Legislação Relacionada À Segurança Da Informação. Publicado em: Nov. 2008. Disponível em: <http://dsic.planalto.gov.br/do cumentos/quadro_legislacao.htm#_ftn2>. Acesso em: 15 abr. 2011.
128 VILABLOG. Classificação Da Informação. Disponível em: <http://3winfo.vilablog.com/2010/11/17/classificacao-da-informacao/>. Acesso em: 10 mai. 2011. WIKIPÉDIA. Vários assuntos. Disponível em: <http://en.wikipedia.org>.

Mais conteúdo relacionado

PDF
A Certificação Digital na sociedade Brasileira
pordanilogmoreira
 
PDF
Monografia Marcos Bezerra 2008
porMarcos Bezerra
 
PDF
Curso de Informática para Concurso PC-PR
porEstratégia Concursos
 
PDF
Tcc sistema controle-equipamento
porZózimo Rodrigues
 
PDF
Trabalho conclusão Final - curso sistemas de informação
porTiago de Paula
 
PDF
Sistema Gerenciador Para um Salão de Beleza
porDaiana de Ávila
 
PDF
Explosao de dados e o conceito de análise de dados relacionados para geração ...
porFelipe Pereira
 
PDF
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
porLuciano Madeira
 
A Certificação Digital na sociedade Brasileira
pordanilogmoreira
 
Monografia Marcos Bezerra 2008
porMarcos Bezerra
 
Curso de Informática para Concurso PC-PR
porEstratégia Concursos
 
Tcc sistema controle-equipamento
porZózimo Rodrigues
 
Trabalho conclusão Final - curso sistemas de informação
porTiago de Paula
 
Sistema Gerenciador Para um Salão de Beleza
porDaiana de Ávila
 
Explosao de dados e o conceito de análise de dados relacionados para geração ...
porFelipe Pereira
 
[36717-11301-1-571046][31100-36717]AD4_Envio_versao_final_artigo_apos_defesa
porLuciano Madeira
 

Semelhante a Monografia Rodrigo Fontes

PDF
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
PDF
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
PDF
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
PDF
Forense Computacional Introdução
portonyrodrigues
 
PPTX
Investigação de Crimes Digitais - Carreira em Computação Forense
porVaine Luiz Barreira, MBA
 
PPTX
Crimes Digitais e Computacao Forense para Advogados v1
porVaine Luiz Barreira, MBA
 
PDF
Posicionamento Brasscom - Segurança de Informação
porBrasscom
 
PDF
Computação Forense Aplicada à Resposta de Incidentes de Segurança
porFrancielle Regeane Vieira da Silva
 
PDF
Computação Forense Aplicada à Resposta de Incidentes de Segurança
porFrancielle Regeane Vieira da Silva
 
PPTX
Crimes Digitais e Computacao Forense OAB Uberlandia
porVaine Luiz Barreira, MBA
 
PPTX
Crimes Digitais e Computacao Forense OAB Campinas
porVaine Luiz Barreira, MBA
 
PPTX
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de ma...
porFecomercioSP
 
PDF
Forense e Segurança contra Pedofilia
porburtlima
 
PPTX
Crea seguranca
porAlexandre Fonseca
 
PDF
Pedro tcc2.2.2.f
porpdropi
 
PPTX
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
PDF
Sistemas de seguranca
porRigo Rodrigues
 
PDF
Segurança da informação em ambientes corporativos: analise de segurança da in...
porDiego Villendel Rodrigues Rocha
 
PDF
Estado da arte do controle de acesso
porDiego Souza
 
PDF
Segurança da informação - Forense Computacional
porJefferson Costa
 
Palestra Sobre Perícia e Investigação Digital
porDeivison Pinheiro Franco.·.
 
Crimes Digitais e a Computacao Forense
porVaine Luiz Barreira, MBA
 
Apresentação sobre os serviços do RSI
porRicardo Cavalcante
 
Forense Computacional Introdução
portonyrodrigues
 
Investigação de Crimes Digitais - Carreira em Computação Forense
porVaine Luiz Barreira, MBA
 
Crimes Digitais e Computacao Forense para Advogados v1
porVaine Luiz Barreira, MBA
 
Posicionamento Brasscom - Segurança de Informação
porBrasscom
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
porFrancielle Regeane Vieira da Silva
 
Computação Forense Aplicada à Resposta de Incidentes de Segurança
porFrancielle Regeane Vieira da Silva
 
Crimes Digitais e Computacao Forense OAB Uberlandia
porVaine Luiz Barreira, MBA
 
Crimes Digitais e Computacao Forense OAB Campinas
porVaine Luiz Barreira, MBA
 
VI congresso fecomercio de crimes eletrônicos 04082014 - apresentação de ma...
porFecomercioSP
 
Forense e Segurança contra Pedofilia
porburtlima
 
Crea seguranca
porAlexandre Fonseca
 
Pedro tcc2.2.2.f
porpdropi
 
Palestra MPDF BSB Mar/2012
porLuiz Sales Rabelo
 
Sistemas de seguranca
porRigo Rodrigues
 
Segurança da informação em ambientes corporativos: analise de segurança da in...
porDiego Villendel Rodrigues Rocha
 
Estado da arte do controle de acesso
porDiego Souza
 
Segurança da informação - Forense Computacional
porJefferson Costa
 

Monografia Rodrigo Fontes

  • 1.
    CENTRO ESTADUAL DEEDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE MAUÁ RODRIGO FONTES PERÍCIA FORENSE DIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO MAUÁ / SÃO PAULO 2011
  • 2.
    RODRIGO FONTES PERÍCIA FORENSEDIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC - Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Orientador: Prof. M.Sc. Luiz Carlos Magarian. MAUÁ / SÃO PAULO 2011
  • 3.
    FONTES, Rodrigo Perícia ForenseDigital Apoiando a Segurança da Informação. Rodrigo Fontes. 128 p.; 30 cm. TCC (Trabalho de Conclusão de Curso). CEETEPS/FATEC – Mauá/SP, 1º Sem. 2011. Orientador: Prof. M.Sc. Luiz Carlos Magarian. Referencial Bibliográfico: p. 123. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
  • 4.
    RODRIGO FONTES PERÍCIA FORENSEDIGITAL APOIANDO A SEGURANÇA DA INFORMAÇÃO Monografia apresentada à FATEC-Mauá, como parte dos requisitos para obtenção do Título de Tecnólogo em Informática para Gestão de Negócios. Aprovação em: __________________________________ Prof. M.Sc. Luiz Carlos Magarian FATEC-Mauá Orientador __________________________________ Profa . Nizi Voltareli Morselli FATEC-Mauá Avaliadora __________________________________ Prof. M.Sc. Osmil Aparecido Morselli FATEC-Mauá Avaliador
  • 5.
    Dedico esta monografiaaos meus pais, Tânia Regina e Moacyr Fontes, pelo esforço que desempenharam para me ajudar a chegar até aqui. Ao Meu Irmão, Marcelo Fontes, por todo o apoio concedido em todos os momentos, e à minha futura esposa Patricia Simone da Silva, pelo seu exemplo de vida que me cativa diariamente e por todo o carinho, amor e apoio concedidos a mim.
  • 6.
    AGRADECIMENTO Aos meus colegasnesta instituição: Cleiton Romualdo, Paulo Pelossi, Felipe Bastos, Robert Willian, André Pereira, Ariane dos Santos e Janaine Alves Martins por todos os momentos de descontração e por toda cooperação em todos estes anos de FATEC. A todos os professores pelos ensinamentos e pela dedicação, especialmente ao Professor e Orientador M.Sc. Luiz Carlos Magarian, por aceitar me conduzir nesta etapa tão importante de minha vida e por toda atenção a mim dedicada. À Professora e Coordenadora do Curso de Informática para Gestão de Negócios Nizi Voltareli Morselli por todo seu apoio, dedicação e carinho com todos os alunos e ex-alunos. Aos meus amigos e colegas de trabalho pelo incentivo constante, em especial, ao Queiroz Alencar, Patric Ferreira da Silva e Renato Cavallari, que sempre demonstraram acreditar em meu potencial. Aos meus grandes amigos Leonardo Silva e Bruno Peixoto, pela amizade cultivada e pelo apoio na execução deste trabalho. Especialmente, à Luana T. Oliveira e ao Vladimir Sesar, cujos conhecimentos compartilhados foram fundamentais no desenvolvimento e no enriquecimento desta monografia. À minha família, pai, mãe, irmão e namorada, por estarem sempre ao meu lado, incentivando-me sempre. E, acima de tudo, a Deus, por mostrar que apesar de qualquer dificuldade nossos objetivos podem ser alcançados com perseverança e dedicação, e por estar sempre guiando meu caminho. Graças a Ele pude alcançar todos os meus objetivos na vida.
  • 7.
    "A situação estásob controle. Só não sabemos de quem." (Mario Covas)
  • 8.
    RESUMO A informática, aInternet e as redes corporativas são aliadas das organizações na busca por maior produtividade e alavancagem de lucros. No entanto, o anonimato propiciado por estes meios é constantemente um aliado na prática de crimes, vazamento de informações corporativas e fraudes, gerando graves incidentes de segurança. A Segurança da Informação, suas metodologias, técnicas, práticas, normas e certificações, são mecanismos utilizados na tentativa de se obter um ambiente corporativo mais controlável e protegido contra fraudes, vazamento de informações e outros crimes. No entanto, a sofisticação dos crimes cometidos no meio digital vem obrigando as empresas a responderem com mecanismos mais apuradas no combate a estes crimes. Neste contexto, as técnicas da Perícia Forense Digital vêm se tornando mais difundidas nas organizações e na investigação de incidentes de segurança, os quais podem comprometer a integridade da organização, seu posicionamento estratégico e, conseqüentemente, sua sobrevivência no mercado. Palavras-chave: Segurança, Vazamento, Informação, Crime, Digital.
  • 9.
    LISTA DE ILUSTRAÇÕES Figura1 - Página Principal do CCIPS ..................................................................................28 Figura 2 - Tabela de processos de crimes informáticos........................................................30 Figura 3 - Incidentes reportados no Brasil, de jan. a mar. 2011............................................49 Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011.....................................................50 Figura 5. Fraudes no Brasil, de jan. a mar. 2011..................................................................50 Figura 6. Tabela com os tipos de ataque. ............................................................................50 Figura 7 - Tipos de vazamento de informações....................................................................64 Figura 8 - Tableau conectado a um disco rígido...................................................................80 Figura 9 - Evidência em envelope contra interferências eletromagnéticas. ..........................82 Figura 10 - Formulário de Cadeia de Custódia.....................................................................83 Figura 11 - Microsoft COFEE. ..............................................................................................94 Figura 12 - EnCase (v 6.16.1). .............................................................................................95 Figura 13 - Recover my Files. ..............................................................................................96 Figura 14 - Dashboard do CallerIP.......................................................................................97 Figura 15 - Wireshark...........................................................................................................98 Figura 16. Formulário de cadeia de custódia (estudo de caso). .........................................111 Figura 17 - Estrutura de exibição de dados do EnCase......................................................114 Figura 18 - Visão geral do Processo Forense Digital aplicado no Estudo de Caso.............120
  • 10.
    LISTA DE SIGLASE ABREVIATURAS Lista de Siglas ABIN - Associação Brasileira de Inteligência. ACE - AccessData Certified Examiner. ACFEI - American College of Forensic Examiners Institute. CCFT - Certified Computer Forensic Technical. CCIPS - Computer Crime & Intellectual Property Section. CEH - Certified Ethical Hacker. CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança. CGI - Comitê Gestor da Internet. CHFI - Certified Hacker Forensic Investigator. Checksum - SUMmation CHECK. CIA - Confidentiality, Integrity and Avaliability - Confidencialidade, Integridade e Disponibilidade. CPC - Código de Processo Civil. CPP - Código de Processo Penal. CSIRT - Computer Security Incident Response Team – Grupos de Respostas a Incidentes. ECA - Estatuto da Criança e do Adolescente. EnCE - EnCase Certified Examiner. EUA - Estados Unidos da América. Febraban - Federação Brasileira de Bancos. GIAC - Global Information Assurance Certification. GSIPR - Gabinete de Segurança Institucional da Presidência da República. ICOFCS - The International Conference on Forensic Computer Science. IHCFC - International Hi-Tech Crime and Forensics Conference. LAN - Local Area Network – Rede Local. MFT - Master File Table - Tabela de Arquivo Principal. NIC - Núcleo de Informação e Coordenação. NSRL - National Software Reference Library.
  • 11.
    PDA - PersonalDigital Assistant - Assistente Pessoal Digital. PL - Projeto de Lei. SATA - Serial Advanced Technology Attachment. SAS - Statements on Auditing Standards SBI - Sistema Brasileiro de Inteligência. SCSI - Small Computer System Interface. SOP - Standard Operating Procedure - Procedimento de Operação Padrão. SWGDE - Scientific Working Group on Digital Evidence. TI - Tecnologia da Informação. USB - Universal Serial Bus - Barramento Serial Universal. USC - Code of Laws of the United States of America.
  • 12.
    SUMÁRIO 1 INTRODUÇÃO.................................................................................................. 15 2DIREITO DIGITAL ............................................................................................ 18 2.1 LEGISLAÇÃO APLICADA AO CRIME VIRTUAL NO BRASIL.............................................. 19 2.1.1 PROJETOS DE LEI........................................................................................... 24 2.2 O CRIME DIGITAL NOS EUA................................................................................... 27 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA............................... 29 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA ............................ 30 2.3 CONSIDERAÇÕES FINAIS DO CAPÍTULO 2................................................................ 32 3 SEGURANÇA DA INFORMAÇÃO ................................................................... 34 3.1 IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO PARA AS ORGANIZAÇÕES ................. 36 3.2 RISCOS INERENTES A AUSÊNCIA DA SEGURANÇA DA INFORMAÇÃO............................ 37 3.3 TIPOS DE CONTROLE SOBRE A SEGURANÇA DA INFORMAÇÃO ................................... 38 3.4 DIRETIVAS PARA A GESTÃO DE SEGURANÇA DA INFORMAÇÃO .................................. 39 3.5 A ENGENHARIA SOCIAL CONTRA A SEGURANÇA DA INFORMAÇÃO ............................. 44 3.6 AS AMEAÇAS VIRTUAIS CONTRA A SEGURANÇA DA INFORMAÇÃO .............................. 47 3.6.1 VÍRUS E WORMS ............................................................................................. 51 3.6.2 TROJAN HORSES ............................................................................................ 51 3.6.3 ROOTKITS ........................................................................................................ 51 3.6.4 BACKDOORS.................................................................................................... 52 3.6.5 SCAN................................................................................................................. 52 3.6.6 SPYWARES/ADWARE...................................................................................... 52 3.6.7 BOTNETS.......................................................................................................... 52 3.6.8 KEYLOGGERS.................................................................................................. 53 3.6.9 PHISHING SCAM.............................................................................................. 54 3.6.10RFI .................................................................................................................... 54 3.6.11DoS ................................................................................................................... 54 3.6.12DDoS ................................................................................................................ 55 3.6.13MITM................................................................................................................. 55 3.6.14SPOOFING ....................................................................................................... 56
  • 13.
    13 3.7 MECANISMOS PREVENTIVOS..................................................................................56 3.7.1 MEDIDAS COMPORTAMENTAIS..................................................................... 56 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO ............................................. 57 3.7.3 CONTROLE SOBRE DISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES.......................................................................................... 60 3.8 VAZAMENTO DE INFORMAÇÕES EM AMBIENTES CORPORATIVOS ................................ 62 3.9 O CERT.BR ........................................................................................................ 66 3.10 CONSIDERAÇÕES FINAIS DO CAPÍTULO 3................................................................ 69 4 PERÍCIA FORENSE DIGITAL .......................................................................... 71 4.1 O PERITO FORENSE DIGITAL .................................................................................. 72 4.2 ETAPAS DA INVESTIGAÇÃO FORENSE DIGITAL ......................................................... 77 4.2.1 COLETA DE DADOS......................................................................................... 79 4.2.2 EXAME DE DADOS .......................................................................................... 84 4.2.3 ANÁLISE ........................................................................................................... 85 4.2.4 APRESENTAÇÃO DE RESULTADOS.............................................................. 85 4.3 LIVE ANALISYS VERSUS POST MORTEM ................................................................. 86 4.4 TÉCNICAS ANTI-FORENSE..................................................................................... 87 4.4.1 OCULTAÇÃO DE DADOS................................................................................. 88 4.4.2 FERRAMENTAS DE LIMPEZA ......................................................................... 90 4.4.3 ATENTADOS CONTRA OS PROCESSOS E FERRAMENTAS FORENSES... 92 4.5 EFETIVIDADE DAS TÉCNICAS ANTI-FORENSE............................................................ 92 4.6 ALGUMAS FERRAMENTAS PARA A PERÍCIA FORENSE DIGITAL..................................... 93 4.6.1 MICROSOFT COFEE........................................................................................ 93 4.6.2 EnCASE ............................................................................................................ 95 4.6.3 RECOVER MY FILES........................................................................................ 96 4.6.4 CallerIP.............................................................................................................. 97 4.6.5 WIRESHARK..................................................................................................... 98 4.6.6 FTK FORENSIC TOOLKIT................................................................................ 98 4.6.7 LINHA DE COMANDO ...................................................................................... 99 4.7 CONSIDERAÇÕES FINAIS DO CAPÍTULO 4................................................................ 99 5 ESTUDO DE CASO........................................................................................ 101 5.1 INTRODUÇÃO: O "DEDO-DURO" ............................................................................ 101
  • 14.
    14 5.2 PREPARAÇÃO ....................................................................................................102 5.3 A NATUREZA E A FONTE DA ACUSAÇÃO ................................................................. 105 5.4 COLETA DE EVIDÊNCIA E CADEIA DE CUSTÓDIA .................................................... 107 5.5 TIRE SUAS MÃOS DESTE TECLADO E AFASTE-SE DEVAGAR...................................... 109 5.6 EXTRAÇÃO DE IMAGEM DOS DISCOS RÍGIDOS ........................................................ 112 5.7 ANÁLISE DA ESTRUTURA LÓGICA DE ARQUIVOS ..................................................... 113 5.8 ANÁLISE DOS ESPAÇOS NÃO ALOCADOS E DAS SOBRAS ENTRE ARQUIVOS ............... 115 5.9 O FLAGRANTE .................................................................................................... 116 5.10 CONFECCÇÃO DOS RELATÓRIOS .......................................................................... 117 5.11 LIÇÕES APRENDIDAS........................................................................................... 117 5.12 ANÁLISE DO ESTUDO DE CASO ............................................................................. 119 6 CONCLUSÃO ................................................................................................. 121 REFERENCIAL BIBLIOGRÁFICO........................................................................... 123
  • 15.
    15 1 INTRODUÇÃO Com umvolume que já ultrapassou a barreira dos 73 milhões de usuários no Brasil (FOLHA, 2011), a Rede de Computadores, seja ela corporativa ou pública, vem difundindo o meio digital como um dos veículos de comunicação e interação humana que mais se desenvolve. Junto com sua popularização, crescem também os interesses de indivíduos em utilizar o anonimato propiciado por este meio como principal ferramenta para prática de crimes. Com a disseminação do uso da Rede de Computadores, aumentam também os ataques aos sistemas computacionais e outros crimes cometidos através do meio virtual. Estes ataques podem ter motivações políticas ou ativistas, ser provenientes de pessoas com pouco ou nenhum conhecimento técnico que utilizam ferramentas prontas, ou ainda partirem de técnicos altamente especializados, que exploram vulnerabilidades específicas de sistemas com o intuito de obterem informações privilegiadas, realizar sabotagens, roubo de dados bancários de usuários e outros delitos. Na Internet, o criminoso encontra sigilo e anonimato para a prática de qualquer crime, a partir de qualquer lugar. (PECK, 2010) Segundo Besen (2009), ano após ano os casos de crimes digitais se repetem e crescem de tamanho. Somente nos EUA, as perdas atingiram US$ 70 bilhões no ano de 2008. Empresas fornecedoras de dados pessoais muitas vezes passam informações a criminosos que se fazem passar por pequenas empresas. Hackers roubam dados pessoais de bancos de dados inseguros a todo o momento. O Bank of America, por exemplo, já perdeu fitas de back-up contendo mais de um milhão de registros de funcionários federais. Praticamente todos os dias, um novo incidente de furto de informação confidencial acontece. Muitas vezes, esse furto ocorre sem que seja nem mesmo notado. E a situação vem se agravando. (Id., 2009)
  • 16.
    16 Em 2008, empresas,governos e universidades revelaram um aumento recorde (69%) de violações de dados somente no primeiro semestre, em face de igual período do ano anterior. Somente nos Estados Unidos, o roubo de dados custou US$ 6.6 bilhões às empresas especializadas em segurança em 2008 - e cerca de US$ 70 bilhões às empresas de serviços em geral. (BESEN, 2009) A necessidade de proteger o ambiente virtual destes eventos provocou na sociedade, nas organizações privadas e nas públicas, a necessidade de se expandir o grau de conhecimento sobre estes ataques e a criação de políticas e mecanismos de prevenção e combate aos mesmos. (PECK, 2010) Desta necessidade, nasce a Segurança da Informação, com a qual indivíduos criam políticas, adéquam o ambiente de empresa às normas e certificações pertinentes, programam aplicações e ferramentas de segurança, tudo com o intuito de dirimir a possibilidade de ataques, vazamento de informações e, principalmente, de possuir um ambiente controlável; onde o rastreamento seja possível e, em caso de um ataque ou violação de qualquer tipo, com garantias de que existam ferramentas e técnicas capazes de identificá-lo. (Id., 2010) A Perícia Forense Digital, ciência que utiliza as técnicas forenses de reconstituição de eventos a partir de evidências deixadas nos crimes e o eventual apontamento de provas para a solução dos mesmos, se baseia na utilização de ferramentas e metodologias tecnológicas para averiguar crimes, fraudes, ataques e vazamento de informação; que tenham ocorrido em qualquer sistema computacional esteja este na Internet, Intranet, Extranet ou na LAN de uma organização. O maior desafio do Perito Digital é raciocinar como o criminoso, é necessário que este Perito tenha conhecimento técnico suficiente para rastrear as provas deixadas e a conseqüente "origem" (entre aspas, pois a origem aqui não é necessariamente física, podendo ser puramente virtual) do ataque, além de também saber preveni-los. O objetivo deste trabalho, composto de quatro Capítulos, um Estudo de Caso e considerações finais, é mostrar como o Direito enxerga o Crime Digital, os
  • 17.
    17 mecanismos de defesaque a Segurança da Informação fornece os tipos de ameaça e, finalmente, como a Perícia Forense Digital é aplicada na resolução de crimes digitais, fraudes corporativas e vazamento de informações, e como a sua eficácia depende da integração entre teoria e prática, legislação e ferramentas. O crescimento da profissão e a necessidade que as empresas e a sociedade têm de estabelecer meios preventivos e processos investigativos, principalmente com o crescente volume de crimes propagados pelo meio virtual, motivam o estudo do tema.
  • 18.
    18 2 DIREITO DIGITAL SegundoWikipédia (2011) o Direito é um "sistema de normas de conduta imposto por um conjunto de instituições para regular as relações sociais." Já o Direito Digital "[...] se propõe a estudar aspectos jurídicos do uso de computadores, com fundamentos no crescente desenvolvimento da Internet e na importância da tecnologia da informação e da informática nas relações jurídicas, [...] uma nova área do estudo do Direito." Historicamente, meios de comunicação, ao se tornarem difundidos perante as massas, passam a ter relevância jurídica, e sua conduta passa a ser abordada pelo Direito, sob a pena de se criar insegurança no ordenamento jurídico e na sociedade. Ocorreu isto com a televisão, o telefone, a imprensa, o radio e o fax e agora, com o meio Digital. Apesar de não existirem regulamentações especificas para cada meio, vigora sobre todos estes veículos a capacidade que o Direito possui de regular as ações dos indivíduos, com o intuito de proteger a conduta e a ordem social. (PECK, 2010) Não é possível, porém, acompanhar a velocidade com que o meio Digital evolui e se modifica diferentemente dos outros meios, mas é possível estabelecer um mecanismo com embasamento auto-regulamentável, que transcenda o tempo (vigência) e o espaço (territorialidade) da legislação. Por este motivo, deve vigorar a publicidade das leis e regras às quais o público digital será submetido, aumentando a eficácia com que o conhecimento das regulamentações dissemina-se perante os usuários. (Id., 2010) A velocidade das transformações é uma barreira à legislação sobre o assunto. Por isso qualquer lei que venha a tratar dos novos institutos jurídicos deve ser genérica o suficiente para sobreviver ao tempo e flexível para atender aos diversos formatos que podem surgir de um único assunto. [...] a obsolescência das leis sempre foi um fator de discussão [...]. A exigência de processos mais céleres também sempre foi um anseio da sociedade, não sendo apenas da conjuntura atua. (Id., 2010)
  • 19.
    19 D’antona (2010) apudDonato (2010) afirma que "pela primeira vez em 2010 os crimes virtuais resultaram em maior prejuízo do que os crimes físicos. Por dados dos computadores se fez mais dinheiro para os bandidos do que o roubo as estoques os aos bens físicos de empresas e pessoas." Com esta afirmação em mente, ver-se-á a seguir como a Legislação Brasileira se comporta perante os casos de Crimes Virtuais. 2.1Legislação aplicada ao crime virtual no Brasil [...] é lógico afirmar que toda nova tecnologia que possibilite uma nova ferramenta de relacionamento necessite de um estudo mais profundo sobre a sua capacidade de transmitir segurança e ter no Direito um mecanismo que possa garanti-la. (PECK, 2010) Os tribunais brasileiros vêm utilizando amplamente o Código Penal (C.P.) e o Código Civil (C.V.) como base de julgamento de Crimes Digitais, pois o meio digital acaba sendo somente mais um dos diversos veículos na execução da pratica criminosa. (LUCENA, 2011) Grande parte dos magistrados, advogados e consultores jurídicos considera que aproximadamente 95% dos delitos cometidos eletronicamente já estariam tipificados no Código Penal Brasileiro, por caracterizar crimes comuns praticados por meio da Internet. O número de decisões judiciais envolvendo crimes eletrônicos saltou de 400, em 2002, para mais de 17 mil atualmente. (Id., 2011) O Judiciário precisa se especializar para lidar corretamente com assuntos relacionados à internet. No Direito Digital, as questões técnicas estão entrelaçadas com as questões jurídicas, um não trabalha sem o outro, o que exige um grau de profundidade maior. Apesar de termos uma legislação que fornece uma cobertura de 95% dos problemas relacionados a internet, as punições são brandas em relação ao prejuízo causado, devido ao alcance da rede mundial de computadores. (BLUM, 2010 apud GHIRELLO, 2010).
  • 20.
    20 Existe um vácuode 5% na legislação brasileira quando se trata de crimes na Internet, como a invasão de computadores, que por si só, não caracteriza ato ilícito. A legislação deixa de levar em conta o que uma invasão pode acarretar, visto que hoje as empresas e usuários guardam informações importantes nos computadores. (Id., 2010) As empresas enfrentam vazamentos de informações protegidas, segredos, planos estratégicos, documentos confidenciais, e quando isso acontece ou quando alguém tem sua intimidade exposta existem medidas que podem ser tomadas, mas que nem sempre alcançam o objetivo almejado [...]. (BLUM, 2010 apud GHIRELLO, 2010) A Tabela 1 propõe uma classificação dos crimes mais comuns ao meio virtual, e suas respectivas tipificações equivalentes na Legislação Brasileira: Tabela 1 - Infrações Digitais Tipificadas na Legislação vigente. Tabela de Infrações Digitais mais freqüentes na Vida Comum do Usuário do Bem Alegar falsamente em chat ou página de relacionamentos que outrem cometeu algum crime. CALÚNIA. Art.138 do C.P. Encaminhar para várias pessoas um boato eletrônico. DIFAMAÇÃO. Art.139 do C.P. Enviar e-mail a algum indivíduo, fazendo citação pejorativa sobre características dele. INJÚRIA. Art.140 do C.P. Enviar mensagem eletrônica ameaçando indivíduos. AMEAÇA. Art.147 do C.P. Enviar um e-mail para terceiros com informação considerada confidencial. DIVULGAÇÃO DE SEGREDO. Art.153 do C.P. Fazer um saque eletrônico no Internet Banking com os dados de conta do cliente. FURTO. Art.155 do C.P. Enviar um vírus que destrua equipamento ou conteúdos. DANO. Art.163 do C.P. Copiar um conteúdo e não mencionar sua fonte. VIOLAÇÃO AO DIREITO AUTORAL. Art.184 do C.P. Criar uma Comunidade Online que insulte religiões. ESCÁRNIO POR MOTIVO DE RELIGIÃO. Art.208 do C.P. Divulgar banners de sites pornográficos. FAVORECIMENTO DA PROSTITUIÇÃO. Art.228 do C.P. Divulgar por meio eletrônico foto com gestos ou atos obscenos. ATO OBSCENO. Art.233 do C.P. Promover por meio eletrônico a prática de algum ato, crime, ou participação no mesmo. INCITAÇÃO AO CRIME. Art.286 do C.P.
  • 21.
    21 Criar uma Comunidadesobre a prática de atos ilícitos APOLOGIA DE CRIME OU CRIMINOSO. Art.287 do C.P. Enviar e-mail com remetente falso. FALSA IDENTIDADE. Art.307 do C.P. Fazer cadastro com nome falso em uma loja virtual. INSERÇÃO DE DADOS FALSOS EM SISTEMA DE INFORMAÇÕES. Art.313-A do C.P. Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software). ADULTERAR DADOS EM SISTEMA DE INFORMAÇÕES. Art.313-B do C.P. Participar de Cassino Online. JOGO DE AZAR. Art.50 da L.C.P. Discriminar cor, raça ou etnia em sites de relacionamento, redes sociais, chats e afins. PRECONCEITO OU DISCRIMINAÇÃO RAÇA- COR-ETNIA-ETC. Art.20 da Lei 7.716/89. Visualizar ou enviar fotos de menores nus através da Internet. PEDOFILIA. Art.247 da Lei 8.069/90 "ECA". Usar logomarca de empresa em um link na página da Internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte, ou imitá-la de modo que possa induzir a confusão. CRIME CONTRA A PROPRIEDADE INDUSTRIAL. Art.195 da Lei 9.279/96. Empregar meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem, por exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador. CRIME DE CONCORRÊNCIA DESLEAL. Art.195 da Lei 9.279/96. Monitoramento não avisado previamente, coleta de informações espelhadas, uso de spoofing page. INTERCEPTAÇÃO DE COMUNICAÇÕES DE INFORMÁTICA. Art.10 da Lei 9.296/96. Usar cópia de software sem ter a licença para tanto. CRIMES CONTRA SOFTWARE "PIRATARIA". Art.12 da Lei 9.609/98. Fonte: Adaptado de Peck (2010). Compartilhando do raciocínio e complementando o conceito, na Tabela 2, Vieira (2008) compila e analisa a legislação vigente, a fim de subsidiar trabalhos de operadores, técnicos e juristas da área de segurança da informação.
  • 22.
    22 Tabela 2 -Dispositivos legais relacionados à Segurança da Informação Dispositivo Mandamento Legal Aspecto da Segurança da Informação Constituição Federal, art. 5º, inciso XII. DIREITO À PRIVACIDADE DAS COMUNICAÇÕES. Sigilo dos dados telemáticos e das comunicações privadas. Constituição Federal, art. 37, caput. VINCULAÇÃO DA ADMINISTRAÇÃO PÚBLICA AOS PRINCÍPIOS DA LEGALIDADE, IMPESSOALIDADE, MORALIDADE, PUBLICIDADE E EFICIÊNCIA. Quanto melhor a gestão das informações, mais eficiente será o órgão ou entidade, daí a necessidade de implantação de uma Política de Segurança da Informação. Constituição Federal, art. 37, § 7º. LEI DISPORÁ SOBRE OS REQUISITOS E AS RESTRIÇÕES AO OCUPANTE DE CARGO OU EMPREGO DA ADMINISTRAÇÃO DIRETA E INDIRETA QUE POSSIBILITE O ACESSO A INFORMAÇÕES PRIVILEGIADAS. Necessidade de regulamentação do acesso a informações privilegiadas. Consolidação das Leis do Trabalho - CLT, art. 482, alínea g RESCISÃO DE CONTRATO DE TRABALHO DE EMPREGADO QUE VIOLA SEGREDO DA EMPRESA. Proteção das informações sigilosas acessadas no exercício de emprego público (empresas públicas e sociedades de economia mista). Lei nº 7.232/84, art. 2 o , inciso VIII. EXIGÊNCIA DE MECANISMOS E INSTRUMENTOS LEGAIS E TÉCNICOS PARA A PROTEÇÃO DO SIGILO DOS DADOS INFORMATIZADOS ARMAZENADOS, PROCESSADOS E VEICULADOS, DO INTERESSE DA PRIVACIDADE E DE SEGURANÇA DAS PESSOAS FÍSICAS E JURÍDICAS, PRIVADAS E PÚBLICAS. Sigilo dos dados relacionados à intimidade, vida privada e a honra, especialmente dos dados armazenados através de recursos informáticos. Lei nº 7.492/86, art. 18. PENA DE RECLUSÃO DE 1 A 4 ANOS E MULTA POR CRIME DE VIOLAÇÃO DE SIGILO BANCÁRIO. Proteção das informações no âmbito das instituições financeiras e sistemas de distribuição de títulos mobiliários. Lei nº 9.472/97, art. 3º, inciso V. O USUÁRIO DE SERVIÇOS DE TELECOMUNICAÇÕES TEM DIREITO À INVIOLABILIDADE E AO SEGREDO DE SUA COMUNICAÇÃO, SALVO NAS HIPÓTESES E CONDIÇÕES CONSTITUCIONAL E LEGALMENTE PREVISTAS. Sigilo das comunicações. Lei nº 10.683/03, art. 6º. PREVÊ A COMPETÊNCIA DO GSIPR A COORDENAR A ATIVIDADE DE SEGURANÇA DA INFORMAÇÃO. Todos os aspectos da segurança da informação. Fonte: Adaptado de Vieira (2008).
  • 23.
    23 Reforçando o pensamento,ICOFCS (2006) apud PRETO (2009) diz que os chamados "crimes cibernéticos" normalmente podem ser enquadrados em crimes já tipificados na legislação penal brasileira, pois estão sendo cometidos os crimes já existentes, apenas utilizando a informática e o espaço cibernético como uma ferramenta adicional às atividades criminosas. No entanto, há quem defenda que casos ocorridos pela Internet não devem ser tipificados no código penal, como Ramalho Terceiro (2002): O cerne da questão repousa justamente aqui. Em muitos casos, devido à ausência de norma que tipifique tais crimes, têm os Tribunais, se socorrendo da analogia para o ajustamento da conduta atípica à norma penal, o que pelo Princípio da Legalidade, onde se assenta o nosso Direito punitivo, é terminantemente proibido o emprego da analogia em matéria penal. [...]. Segundo Oliveira (2011), o fato de Brasil não ser signatário do Tratado de Budapeste, iniciado em 2001, pode fazer com que a legislação acerca do crime digital no Brasil fique desnivelada com o restante dos países signatários. Este é o Tratado Internacional contra Crimes na Internet, onde 30 países procuram criar legislações especificas contra os crimes digitais. Dentro deste tratado, entre outros pontos, é previsto que uma empresa pode ser indiciada por co-responsabilidade, caso seja constatada negligência na utilização de controles preventivos e de rastreamento, sendo ela a responsável pela infra- estrutura de TI (e-mail, Internet, portas USB, falta de criptografia, segregação de função, gerenciamento e correlação de logs etc.). Peck (2010) afirma que independente se existe ou não legislação especifica ao crime digital e do local onde esteja hospedado o site ou o sistema por onde o crime virtual foi veiculado, vigorará no julgamento do delito a legislação e a jurisprudência do território de origem do ataque; ou seja, o crime originado no Brasil será julgado tendo a legislação brasileira como base de acusação e pena.
  • 24.
    24 2.1.1 PROJETOS DELEI Para Lima (2007), algumas ações como difusão de vírus, acesso indevido a redes, violação de informação, não são consideradas crimes porque não existe lei definida. Existem projetos de lei em andamento no Brasil, na tentativa de suprir esta necessidade, mas o criminoso que executar estas ações não poderá ser condenado, pois, conforme expresso no Art 1º do Código Penal, "[..] não há crime sem lei anterior que o defina. Não há pena sem prévia cominação legal [..]." Já para Mata (2005), o Poder Legislativo tem se empenhado para propor e aprovar projetos que protejam as relações jurídicas na Internet, especialmente para coibir práticas violadoras aos valores sociais fundamentais. Colocado em discussão novamente em Outubro de 2010, o PL-89/2003, também conhecido como "Lei Azeredo", previa alterações ao Código Penal, o Código Penal Militar, a Lei dos Crimes Raciais (Lei nº 7.716 de 1989) e no Estatuto da Criança e do Adolescente (Lei nº 8.069, de 1990), com o intuito de tipificar os crimes digitais através de inserções especificas nestas legislações vigentes. (AGUIARI, 2010) Na Tabela 3, a seguir, são expostos alguns dos pontos do Projeto de Lei PLC nº 89/2003, classificando práticas criminosas comuns ao meio virtual como sendo novas condutas criminais, e sua respectiva tipificação a ser acrescentada ao Código Penal.
  • 25.
    25 Tabela 3 -Resumo do PL-89/2003. Nova Conduta Nova Tipificação do Crime Disseminar Phishing Scam. ESTELIONATO ELETRÔNICO. Falsificar cartão de crédito. FASLSIFICAÇÃO DE DADO ELETRÔNICO OU DOCUMENTO PARTICULAR. Destruir, inutilizar ou deteriorar dado eletrônico alheio. DANO. Inserir ou difundir códigos maliciosos em dispositivos de comunicação, redes, sistemas, causando danos. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO SEGUIDO DE DANO. Inserir ou difundir códigos maliciosos (vírus, worms, trojans etc.) em dispositivos de comunicação, redes, sistemas. INSERÇÃO OU DIFUSÃO DE CÓDIGO MALICIOSO. Acessar rede de computadores, dispositivos de comunicação ou sistema informatizado, sem autorização do legitimo titular, quando exigida. ACESSO NÃO AUTORIZADO. Obter ou transferir dado ou informação sem autorização (ou em desconformidade à autorização). OBTENÇÃO NÃO AUTORIZADA DE INFORMAÇÃO. Divulgar, sem autorização, informações pessoais disponíveis em banco de dados. DIVULGAÇÃO NÃO AUTORIZADA DE INFORMAÇÕES PESSOAIS. Atentado contra a segurança de serviço de utilidade pública, perturbação de serviço telefônico, informático, telemático, dispositivo de comunicação, rede de computadores ou sistemas informatizados. ATAQUES A REDES E INVASÕES. Falsificação de dado eletrônico ou documento, sendo estes públicos ou privados. FALSA IDENTIDADE, FALSIDADE IDEOLÓGICA DIGITAL, FRAUDE. Preconceito/Pedofilia. PRECONCEITO DIGITAL/PEDOFILIA DIGITAL. Fonte: Peck (2010). Houve resistência e relutância, incluindo do Ex-Presidente da República Lula, sobre este Projeto de Lei, quando afirmou, em certa ocasião pública, que a lei "é censura, interesse policialesco para saber o que as pessoas estão fazendo". (WIKIPÉDIA, 2011)
  • 26.
    26 Houve também críticaproveniente do criador da Wikipédia, Jimmy Wales, dizendo, após ler a tradução deste Projeto de Lei, que "A liberdade de expressão é uma força preciosa e poderosa para a prosperidade e a paz, e leis que colocam isso em risco deveriam ser tratadas com muita cautela e precaução." (WIKIPÉDIA, 2011) Outros projetos de lei, segundo Vieira (2008), estão listados na Tabela 4. Tabela 4 - Projetos de Lei relacionados à Segurança da Informação. Regulamento Assunto e autoria Projeto de Lei nº 1.025/1995. Acrescenta artigo à Lei nº 8.159/91 e dispõe sobre a administração de arquivos públicos federais relacionados à repressão política. Autor: Deputado Aldo Arantes e outros dois. Projeto de Lei nº 84/1999. Dispõem sobre os crimes cometidos na área de informática, suas penalidades e dá outras providências. Autor: Deputado Luiz Piauhylino. Projeto de Lei nº 3.494/2000. Altera a lei do habeas data (Lei nº 9.507, de 12 de novembro de 1997). Autor: Senado Federal. Projeto de Lei nº 21/2004. Proíbe envio de mensagens não solicitadas (spam); estabelece multa; estabelece como nova modalidade do crime de falsidade ideológica a conduta de impedir a identificação do remetente ou o bloqueio automático de mensagens eletrônicas não solicitadas, inserirem declaração falsa ou diversa da que deveria constar, com o fim de impossibilitar a identificação da origem ou o rastreamento da mensagem. Autor: Senador Duciomar Costa. Projeto de Lei nº 1.704/2007. Tipifica a conduta de violação de comunicação eletrônica. Autor: Deputado Rodovalho. Projeto de Lei nº 398/2007. Prevê o aumento de pena no caso de crime contra a honra praticado pela Internet. Autor: Senador Expedito Júnior. Projeto de Lei nº 1.230/2007. Torna obrigatória a identificação biométrica para acesso a bancos de dados da administração pública direta, indireta e fundacional onde sejam armazenados dados sensíveis. Autor: Deputado Eduardo Gomes. Projeto de Lei nº 2.899/2008. Obriga as operadoras de telefonia fixa e móvel ao pagamento de multa em razão de danos decorrentes da ineficiência em garantir a privacidade de seus usuários. Autor: Deputado William Woo. Projeto de Lei nº 3.773/2008. Altera a Lei nº 8.069, de 13 de julho de 1990 - Estatuto da Criança e do Adolescente, para aprimorar o combate à produção, venda e distribuição de pornografia infantil, bem como criminalizar a aquisição e a posse de tal material e outras condutas relacionadas à pedofilia na Internet. Autor: Senado Federal - Comissão Parlamentar de Inquérito - Pedofilia. Fonte: Adaptado de Vieira (2008).
  • 27.
    27 Em 1999, foisancionada pelo então Presidente Lula a Lei 9883/99, que institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN. No entanto, seu alcance é limitado a órgãos públicos, não atuando sobre órgãos privados. (JUS, 2010) Em Abril de 2011, o Senado aprovou o Projeto de Lei 100/10, que prevê a infiltração de agentes da polícia na Internet para investigação de crimes contra a liberdade sexual de criança ou adolescente. (COELHO, 2011) No entanto, a Justiça precisa emitir prévia autorização para tal, que só ocorrerá após investigações provarem que esta seria a única maneira de conseguir provas contra o acusado. Outros critérios estabelecidos pela lei são: nominar as pessoas investigadas, sigilo da investigação e responsabilização do policial por eventuais abusos. (Id., 2011) 2.2O crime digital nos EUA O Departamento de Justiça dos Estados criou uma seccional chamada CCIPS, cujo portal público na Internet consolida processos, jurisprudências, orientações jurídicas, entre diversos outros assuntos referentes aos crimes digital e contra a propriedade intelectual. A Figura 1 apresenta a página inicial do portal CCIPS na Internet.
  • 28.
    28 Figura 1 -Página Principal do CCIPS Fonte: CCIPS (2011). A Divisão de Crime Informático & Propriedade Intelectual é responsável pela aplicação das estratégias nacionais do Ministério da Justiça Americana no combate aos crimes informáticos e à propriedade intelectual. A Iniciativa de Trabalho focada no Crime Informático é um programa criado para combater invasões eletrônicas, roubo de dados e ataques cibernéticos em sistemas de informação críticos. (CCIPS, 2011) O CCIPS previne, investiga e leva a juízo crimes informáticos, através do trabalho com agências governamentais, o setor privado, instituições acadêmicas e contrapartes estrangeiras. (Id., 2011) Advogados da Divisão trabalham na melhoria da Infra-estrutura Legal, Tecnológica e Operacional, para perseguir criminosos da rede de forma mais efetiva. As iniciativas da Divisão contra crimes de propriedade intelectual são igualmente polivalentes. (Id., 2011) A Propriedade Intelectual tornou-se um dos principais motores econômicos, e a Nação Americana é alvo constante de infratores devido ao seu conteúdo intelectual (direitos autorais, marcas registradas e outros segredos comerciais). (Id., 2011)
  • 29.
    29 Com o objetivode trabalhar nestes eventos, os advogados do CCIPS constantemente se envolvem em investigações complexas, ultrapassam obstáculos impostos pelas dificuldades específicas existentes na emergente tecnologia da Informática e das Telecomunicações. (CCIPS, 2011) Mitigam casos; provêem suporte no litígio de outros promotores; capacitam institutos legais do Município, do Estado e Federais; comentam e recomendam legislações especificas; introduzem e participam de esforços internacionais no combate ao crime informático e às infrações da propriedade intelectual. (Id., 2011) 2.2.1 LEGISLAÇÃO APLICADA AO CRIME DIGITAL NOS EUA Os EUA possuem um estatuto especifico para crimes informáticos, contido no USC. As fraudes e crimes correlatos, cometidos dentro do âmbito virtual, recebem tipificação especifica e possuem mecanismos de enquadramento legal e punição prevista. Entre diversos enquadramentos, são notórios os relativos a(o): (CCIPS, 2011) • Envio de pornografia e marketing não solicitado (através de Spam) - 15 U.S.C. §§ 7701 - 7702; • Disseminação de Vírus, Trojans e outros programas de computador maliciosos - 15 U.S.C. §§ 7703 - 7713; • Fraude eletrônica, roubo de senhas, bancos de dados restritos e informações confidenciais - 18 U.S.C. §1030; • Transmissão de informações inverídicas por e-mail (hoax) - 15 U.S.C. §§ 7703 - 7713.
  • 30.
    30 O processo dejulgamento e a pena aplicada, no entanto, é condicionada à jurisdição onde o caso está sendo julgado, aos precedentes legais, ao juiz, às leis ordinárias federais e estaduais, e, principalmente, ao estudo do caso como um todo. No entanto, a pena pode variar de simples multa a reclusão. (CCIPS, 2011) 2.2.2 BANCO DE DADOS SOBRE O CRIME DIGITAL NOS EUA Ainda dentro do CCIPS (2011), é mantido um banco de dados, atualizado freqüentemente, com processos envolvendo crimes de informática, onde muitos dos casos foram processados sob o estatuto de crime informático, embasados no USC 18. §1030. Figura 2 - Tabela de processos de crimes informáticos. Fonte: CCIPS (2011).
  • 31.
    31 A Figura 2lista os seguintes casos podem ser observados nesta relação: • Caso "U.S v. Ancheta" - Califórnia, 2006: primeiro caso de “botnet” julgado na jurisdição. Pena: 57 meses de prisão e multa de 75,000.00 USD; • Caso "U.S v. Flury" - Ohio, 2006: "tráfico online", roubo de identidade, cartões crédito e fraude bancária, totalizando prejuízo de 384,000.00 USD. Pena: 32 meses de prisão e multa de 300,000.00 USD; • Caso "U.S v. An Unnamed Juvenile" - Washington, 2005: criou a variável RPCSDBOT do worm "Blaster". Pena: 18 meses de prisão; • Caso "U.S v. Racine" - Califórnia, 2003: designer de páginas da Web, criou mecanismo para redirecionar o tráfego Web da Aljazeera.net. Pena: 36 meses de prisão, multa de 2,000.00 USD; • Caso "U.S v. Smith" - Nova Jersey, 2002: grupo criador do vírus "Melissa", cujo prejuízo foi estimado em 80 M USD. Pena: 20 meses de prisão e multa de 5,000.00 USD; • Caso "U.S. v. Comrade" - Florida, 2000: primeiro Hacker adolescente a receber sentença prisional na jurisdição. Causador de prejuízos de 41,000.00 USD. Pena: seis meses de prisão; • Caso "U.S. v. Burns" - Virginia, 1999: desenvolvedor de programa que vasculhava a Internet em busca de sistemas desprotegidos. Prejuízos estimados em 40,000.00 USD. Pena: 15 meses de prisão, e multa de 36,000.00 USD. O primeiro caso de punição aplicada a um crime informático nos EUA ocorreu em 1998, em Boston, onde um Hacker adolescente suspendeu toda a comunicação de uma torre de controle de uma companhia telefônica dos EUA. Pena aplicada foi de dois anos de condicional, multa e 250 horas de serviços comunitários. (RINDSKROPF, 1998)
  • 32.
    32 2.3Considerações finais doCapítulo 2 Ao se comparar o tratamento do crime digital nos EUA e no Brasil, nota-se que não há o mesmo nível de detalhamento na legislação, pois não se dispõem de tipificações na legislação brasileira que sejam mais relevantes aos acontecimentos criminais específicas ao contexto do crime digital. O País ainda carece de uma legislação especifica para o Crime Digital e continua a utilizar a Jurisprudência e as tipificações de outros Códigos para o julgamento de delitos praticados no âmbito virtual, não tendo subsídios na legislação para punição de disseminação de vírus, spaming, spywares, invasão de sistemas, phishing e fraudes que se propagam exclusivamente através do meio virtual. Com relação a vazamento de informações, a legislação vigente já tipifica o crime. No entanto, quando o mesmo é veiculado ou facilitado por meios digitais, não há acréscimo ou decréscimo da pena, pois o meio informático é considerado somente um dos veículos por onde possa ocorrer a interceptação da informação. Cabe ao profissional do Direito no Brasil, portanto, evoluir à medida que a sociedade evolui, pois a regulamentação social só pode ser feita conhecendo-se as implicações das interações sociais, seja qual for o ambiente em que elas ocorram. Além disso, ele deve atender às necessidades de defesa dos direitos: autoral, da imagem, da propriedade intelectual, dos royalties, da segurança da informação, resguardar a garantia à privacidade, combater a prática do plágio, empreender os meios necessários para a apuração de crimes praticados por Hackers e outros comuns ao ambiente virtual. Estar preparado para contextualizar o crime dentro das tipificações da legislação brasileira e se manter, igualmente, informado a respeito das soluções tecnológicas, algo que o estudo do Direito Digital, enfim, compila e instrumentaliza.
  • 33.
    33 "Em breve, nãohaverá outra forma de atuar no Direito sem envolver no mínimo situação com provas eletrônicas, bancos de dados, autenticação não presencial [...], biometria (entre outros)." (PECK, 2010 apud GHIRELLO, 2010)
  • 34.
    34 3 SEGURANÇA DAINFORMAÇÃO Mas só punição adianta? Efetivamente que não [...]. A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada [...]. (MILAGRE, 2010). Como visto no capítulo anterior, a legislação brasileira ainda é precária com relação ao crime informático, no que diz respeito à tipificação criminal de disseminação de Vírus, de Spam, de Phishing Scam e de invasões de sistemas computacionais. No entanto, não foi constatado que os mecanismos legais de prevenção do crime digital, por mais eficientes que sejam, erradiquem as práticas criminais. Por este motivo, devem existir mecanismos preventivos que auxiliam as organizações na mitigação da integridade de sua inteligência competitiva, de seus ativos críticos e da continuidade de seus negócios. A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão e a modificação não-autorizada de dados ou informações armazenadas, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento. (LAUREANO, 2011) Mesmo que a Internet e as ferramentas tecnológicas não sejam tão novas, ainda não está claro para as pessoas de um modo geral o que é "certo e errado". Já que em uma empresa, tais ferramentas devem ser utilizadas com a única finalidade de trabalho, cabe a ela definir, com Políticas e Diretrizes de Segurança da Informação, o que é mais adequado para a proteção do seu negócio e de seus empregados, evitando que ocorram riscos desnecessários que possam gerar responsabilidades civil e criminal, e demissões. (PECK, 2010)
  • 35.
    35 Seguindo os padrõesinternacionais de Confidencialidade, de Integridade e da Disponibilidade (CIA, em inglês) representam os principais atributos que orientam a análise, o planejamento e a implantação da segurança para um determinado grupo de informações que se deseja proteger. (WIKIPÉDIA, 2011) • Confidencialidade: propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação; • Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição); • Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Donn Parker (2002) propôs que o tradicional Modelo CIA fosse complementado com os seguintes elementos: • Posse ou controle: propriedade que garante o direito de posse sobre a informação, garantido ao seu proprietário todos os direitos legais sobre a mesma; • Autenticidade: propriedade que garante a veracidade de uma informação, e possibilita total rastreamento sobre sua origem; • Utilidade: propriedade que garante que a informação tenha finalidade estabelecida, e seja um fator relevante na tomada de decisões. A esta nova abordagem de Parker foi dado o nome "Sexteto Parkeriano". (PARKER, 2002)
  • 36.
    36 3.1Importância da Segurançada Informação para as organizações A informação deve ser protegida de maneira constante, como qualquer outro ativo importante da organização. Ela pode existir de diversas formas, ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente. Através da aplicação da Segurança da Informação, a organização procura obter maior capacidade de controle sobre seu capital intelectual, e conseqüentemente maneiras de obter: (PECK, 2010) • Padronização de processos internacionalmente; • Prevenção; • Possibilidade de rastreamento; • Gestão de Riscos; • Continuidade de operações; • Competitividade no mercado devido à transparência de transações e informações. São necessários, no entanto, investimentos em recursos, tanto para a implantação quanto manutenção das políticas, normas e certificados que compõem Segurança da Informação, uma vez que profissionais internos e externos podem ser envolvidos. (OLIVEIRA, 2011) Podem ser necessários investimentos em ferramentas e infra-estrutura para atendimento aos requisitos, como controle de acesso físico, facilities, gestão de vulnerabilidade, campanhas de conscientização, composição de auditorias internas, entre outros. (Id., 2011)
  • 37.
    37 Dentro deste contexto,Monteiro (2011) apud Inspirit (2011) diz que As organizações começam a olhar para sua infra-estrutura de TI com mais apreço e têm maior compreensão dos riscos de manterem suas informações desprotegidas. Atualmente, grandes veículos de comunicação impresso e digital têm publicado matérias sobre cibercrimes e ameaças reais que acontecem no mundo digital. A complexidade das estruturas das corporações em função dos números de periféricos, redes, banco de dados e outros dispositivos, exige proteção de toda a infra-estrutura, pois cada usuário é um ponto fixo nas Redes IP (Internet Protocol) de alta velocidade, estão sempre conectados on-line e acabam nem percebendo quando são vítimas de um ataque. Por esse motivo, o gerenciamento e a gestão da segurança são duas modalidades apontadas como as principais fontes de negócios nesse mercado e andam na contra mão da queda de investimentos da área de Tecnologia da Informação. 3.2Riscos inerentes a ausência da Segurança da Informação A informação é um dos ativos mais valiosos de uma organização. Sem a devida proteção, ela pode ser: (OLIVEIRA, 2011) • Revelada, violada ou divulgada de forma não-autorizada; • Modificada sem o conhecimento do autor e se tornar menos valiosa; • Perdida, sem possibilidade de rastreamento ou chance de recuperação; • Indisponível quando necessária. Sem a adoção das práticas de segurança da informação, o ambiente organizacional e seus colaboradores tornam-se mais expostos a fraudes, vazamento de informação, ataques internos e externos. (OLIVEIRA, 2011)
  • 38.
    38 Falando em normase certificações, ela pode simplesmente não conseguir entrar num determinado segmento de mercado ou se manter nele, devido á falta de qualificação ou ausência de comprovação de adoção de uma determinada norma ou certificação, devidamente comprovada por um órgão independente. (Id., 2011) Complementando o raciocínio, Peck (2010) afirma que sem esses padrões (de segurança da informação) implantados na empresa, é possível que ela tenha processos sem o mínimo de controle e segurança. A ausência de processos pode criar desde falta de produtividade, até servir como um meio facilitador de fraudes, tendo em vista que há falta de controle, prevenção e rastreamento do ambiente. Continua a autora, quanto maior a empresa, maior o impacto e provavelmente maior o risco. Muitas empresas aceitam esse risco residual, mas cada vez mais procuram mitigá-lo, pois órgãos governamentais estão se apoiando cada vez mais nas normas e regulamentações para emitir documentação para todos os processos administrativo-fiscais. 3.3Tipos de controle sobre a Segurança da Informação Quando a organização opta por estabelecer mecanismos para mitigar riscos provenientes da falta de Segurança da Informação, um ou mais dos seguintes controles devem ser implantados: (WIKIPÉDIA, 2011) • Administrativo: também chamados de controles de procedimento, são diretrizes expressas através de políticas, processos e padrões documentados. O objetivo é informar coletivamente a organização sobre como seu negocio e suas operações diárias devem ser conduzidas. Alguns exemplos:
  • 39.
    39 o Políticas deSegurança; o Políticas para criação de senhas e assinaturas de e-mail. • Lógico: também chamado de controles técnicos, utilizam software e dados para monitorar e controlar acessos a informações e sistemas computacionais. Alguns exemplos: o Assinatura digital; o Criptografia; o Smart Cards; o Firewalls; o IDSs e IPSs; o Antispam e antivírus; o Honeypots. • Físico: monitora e controle o ambiente de trabalho e a infra-estrutura computacional. Também controla o acesso aos diferentes ambientes de uma empresa, e segmenta estes mesmos ambientes. Alguns exemplos: o Sistemas Biométricos; o Tokens (chaves eletrônicas). 3.4Diretivas para a Gestão de Segurança da Informação "Pensando corporativamente, deve-se ter em mente que certificar-se numa determinada norma deve estar em alinhamento com os objetivos estratégicos de negócio, dependendo principalmente do segmento de mercado que ela deseja explorar." (OLIVEIRA, 2011) O padrão ISO dentro da série de Normas 27000 define as políticas de segurança, nas quais se baseiam um conjunto de normas, padrões e procedimentos relacionados às boas práticas na segurança da informação. Seguem abaixo algumas considerações a respeito de cada elemento da série: (WIKIPÉDIA, 2011)
  • 40.
    40 • ISO 27000:Vocabulário de Gestão da Segurança da Informação; • ISO 27001: Publicada em outubro de 2005; fala de requerimentos para sistemas de gestão de segurança da informação; • ISO 27002: substituiu a ISO 17799:2005 em julho de 2007. Código de práticas para gerenciamento de segurança da informação; • ISO 27003: diretrizes para implantação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e a implantação de um sistema de gestão de segurança da informação; • ISO 27004: elaboração de métricas e relatórios de um sistema de gestão de segurança da informação; • ISO 27005: indicações para implantação, monitoramento e melhoria contínua do sistema de controles para gerenciamento de riscos; • ISO 27006: especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação. Já as normas baseadas na Lei SOX (nome baseado nos sobrenomes do Senador Sarbanes e do Deputado Oxley que criaram a lei) são especificas para empresas que possuam ações na Bolsa de Valores de NY (New York), ou prestem serviços a clientes que as possuam. (PECK, 2010) A origem da lei remonta à fraude da Enron Corporation, cuja repercussão na economia americana só não foi mais grave que a da Grande Depressão de 1929. Fraudes internas na Enron, aliadas às auditorias ineficientes, falta de controle, prevenção e rastreamento dos processos financeiros, foram motivadores do colapso financeiro na organização. (Id., 2010)
  • 41.
    41 Tornou-se necessário, então,criarem-se padrões para manter a transparência e obterem-se informações fidedignas. Por fim, a SAS (Statements on Auditing Standards) 70, em conjunto com a SOX, audita e certifica os processos e a infra-estrutura de empresas que transitem seus dados financeiros por sistemas informatizados. (PECK, 2010) A iniciativa para se obter uma norma deve partir da alta gerência da organização, através da autorização para a formação de um grupo auditor. Uma auditoria de estágio um (pode ser interna, se a empresa tiver profissionais qualificados) vai verificar o gap que existe entre os controles e a norma e, analisando o que é praticado nos processos da empresa. (OLIVEIRA, 2011) A seguir, uma auditoria de estágio dois é executada, como complemento ao trabalho do estágio um, e ela apontará as não conformidades que devem ser trabalhadas pela empresa antes da auditoria de estágio três, que efetivamente pode, ou não, certificar a empresa. A auditoria de estágio três deve ser realizada por um órgão certificador. (Id., 2011) O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, [...] muito importantes para a tomada de decisões. [...]. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos - roubada! Esse é só um exemplo. [...] os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada. (ANALISTATI, 2011) "É preciso mostrar como é fundamental proteger as informações gerenciais, tanto para a empresa quanto para o profissional. É através de uma política de segurança bem elaborada que podemos minimizar problemas e conscientizar melhor essas pessoas." (Id., 2011) Uma política de segurança consiste num conjunto formal de regras, que devem ser seguidas pelos utilizadores dos recursos de uma organização. Deve ter
  • 42.
    42 implementação realista, edefinir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. (WIKIPÉDIA, 2011) As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na seqüência de ataques. (Id., 2001) O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido. (Id., 2011) Ela é um documento que registra os princípios e as diretrizes de segurança adotado pela organização, a serem observados por todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e processos corporativos. A política possibilita manter a confidencialidade, garantir que a informação não seja alterada ou perdida e permitir que a informação esteja disponível quando for necessário. Deve também abranger os níveis estratégico, tático e operacional da organização. Seguindo o raciocínio, NBSO (2003), afirma que: A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ou não ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança é considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política.
  • 43.
    43 Falando em incidentede segurança, segundo NBSO (2003), um incidente de segurança pode ser definido como "qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores." São exemplos de incidentes de segurança: (NBSO, 2003) • Tentativas de ganhar acesso não-autorizado a sistemas ou dados; • Ataques de negação de serviço; • Uso ou acesso não autorizado a um sistema; • Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; • Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso. Voltando ao tema da política de segurança, segundo a ISO 27002, esta deve seguir as seguintes orientações: (WIKIPÉDIA, 2011) • Definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; • Declaração do comprometimento da alta direção, apoiando as metas e princípios da segurança da informação; • Breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo: o Conformidade com a legislação e possíveis cláusulas contratuais; o Requisitos na educação de segurança; o Prevenção e detecção de vírus e software maliciosos; o Gestão de continuidade do negócio; o Conseqüências das violações na política de segurança da informação;
  • 44.
    44 • Definição dasresponsabilidades gerais e especificas na gestão de segurança da informação, incluindo o registro dos incidentes de segurança; • Referência à documentação que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas, áreas específicas, ou regras de segurança que os usuários devem seguir. Sendo assim, a política de segurança deve conter regras gerais e estruturais que se aplicam ao contexto de toda a organização, e que sejam válidas para todos os seus membros. A violação da mesma deve resultar em sanções iguais para todas as áreas e membros da organização, independente de sua posição ou função. 3.5A Engenharia Social contra a Segurança da Informação Processos, políticas, normas e outros elementos voltados para a Segurança da Informação não cumprem sozinhos seu papel na proteção da integridade das informações corporativas. Existe outro elemento que também deve ser concernido quando se fala de Segurança da Informação: o fator humano. Por este motivo, é coerente desenvolver um Plano de Conscientização da Segurança das Informações juntamente com o Departamento de Relações Públicas, Marketing, Comunicações, Recursos Humanos ou qualquer área dentro da organização, que seja responsável por fazer com que seus colaboradores sejam conscientizados com relação aos objetivos traçados pela organização na proteção à informação e tenham igual preocupação em cumpri-los, tornando assim a Segurança da Informação um objeto institucional. No contexto da Segurança da informação, a Engenharia Social está vinculada às práticas utilizadas para se obter acesso às informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. (WIKIPÉDIA, 2011)
  • 45.
    45 Para isso, ogolpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. (WIKIPEDIA, 2011) É importante salientar que, independentemente do hardware, software e plataforma utilizada, o elemento mais vulnerável de qualquer sistema é o ser humano, o qual possui traços comportamentais e psicológicos que o torna susceptível a ataques de Engenharia Social. Dentre essas características, pode-se destacar: (LOPES; FARIAS; NUNES, 2011) • Vontade de ser útil: o ser humano, normalmente, procura agir com cortesia, bem como ajudar outros quando necessário; • Busca por novas amizades: ao ser bajulado, mesmo que por desconhecidos, normalmente o ser humano torna-se mais vulnerável e aberto a dar informações; • Propagação de responsabilidade: trata-se da situação na qual o ser humano considera que ele não é o único responsável por um conjunto de atividades, e a divide de forma indiscriminada, em alguns casos; • Persuasão: Compreende quase uma arte a capacidade de persuadir pessoas, onde se busca obter respostas específicas. Isto é possível porque as pessoas têm características comportamentais que as tornam vulneráveis à manipulação. Existem, no entanto, práticas voltadas à prevenção da Engenharia Social, na tentativa de blindar a empresa e seus colaboradores. A incitativa, no entanto, deve partir conjuntamente da empresa e de seus colaboradores.
  • 46.
    46 [..]. Transformar ousuário em um agente de segurança, em um "Policial Corporativo" é o grande desafio. Desafio este que se conseguido trará bons frutos. O prêmio é um ambiente infinitamente mais seguro. Se a equipe de Segurança da Informação conseguir ganhar um funcionário de cada setor, aumentará e muito o nível de segurança da corporação. Vai conseguir multiplicar as informações de forma mais proveitosa e a consciência de segurança estará fazendo parte das atividades e do dia-a-dia de cada funcionário. (ARAUJO, 2005) Um bom e prático programa de treinamento para os colaboradores, no combate a Engenharia Social e no estímulo à conscientização coletiva visando à segurança das informações, consiste em levar a organização a ter e saber: (MITNICK; SIMON, 2003) • Uma descrição do modo como os atacantes usam habilidades da engenharia social para enganar as pessoas; • Os métodos usados pelos engenheiros sociais para atingir seus objetivos; • Como reconhecer um provável ataque da engenharia social; • O procedimento para o tratamento de uma solicitação suspeita; • A quem relatar as tentativas da engenharia social ou os ataques bem sucedidos; • A importância de questionar todos os que fazem uma solicitação suspeita, independente da posição ou importância que a pessoa alega ter; • O fato de que os funcionários não devem confiar implicitamente nas outras pessoas sem uma verificação adequada, embora o seu impulso seja dar aos outros o benefício da dúvida; • A importância de verificar a identidade e a autoridade de qualquer pessoa que faça uma solicitação de informações ou ação; • Procedimentos para proteger as informações confidenciais, entre eles a familiaridade com todo o sistema de classificação de dados;
  • 47.
    47 • A localizaçãodas políticas e dos procedimentos de segurança da empresa e a sua importância para a proteção das informações e dos sistemas de informações corporativas; • Um resumo das principais políticas de segurança e uma explicação do seu significado. Por exemplo, cada empregado deve ser instruído sobre como criar uma senha difícil de adivinhar; • A obrigação de cada empregado de atender às políticas e as conseqüências do seu não-atendimento. Os elementos que impactam a Segurança da Informação na corporação e que tenham influência de seus colaboradores devem ser divulgados para todos da empresa. A eficácia da gestão da segurança da informação em uma organização poderá ser totalmente comprometida caso seus colaboradores sejam vulneráveis a ataques de Engenharia Social. 3.6As ameaças virtuais contra a Segurança da Informação Além da Engenharia Social, que explora a vulnerabilidade humana, existem mecanismos que exploram também as vulnerabilidades físicas e lógicas de um sistema computacional. Esses sistemas podem ser propagados em outros de forma automática, ou podem depender de alguma interação humana. Sua existência, no entanto, depende da criação humana, que os concebem através de códigos maliciosos. O software malicioso, conhecido como Malware, é um programa (código, scripts, conteúdo ativo, entre outros software) concebido com o intuito de interferir na operação normal de um sistema, adquirir informações que possam violar a privacidade de um usuário e aproveitar-se destas, obter acesso não-autorizado a sistemas ou recursos, e qualquer outro comportamento abusivo. A expressão é um termo generalista, usado por profissionais da informática na definição de software hostis, intrusivos ou inoportunas ao usuário.
  • 48.
    48 Segundo Donato (2010),foram descobertos mais de 45 milhões de malwares em um período entre 2003 e 2010. Muitos antigos programas de infecção, incluindo o primeiro Worm de Internet e vários de MS-DOS, foram escritos como experimentos ou brincadeiras. Eram em geral destinados a serem inofensivos ou simplesmente inoportunos, ao invés de causarem sérios danos aos sistemas dos computadores. Em alguns casos, o perpetrador não percebia quão danos sua criação poderia causar. Jovens programadores, aprendendo sobre vírus e suas técnicas, os escreviam por simples questão de pratica, ou para ver o quão rápido eles se espalhariam. Ainda em 1999, vírus espalhados amplamente, como o Melissa e o vírus David, aparentemente foram escritos com o intuito de serem brincadeiras. O primeiro vírus para dispositivo móvel, Cabir, apareceu em 2004. (WIKIPÉDIA, 2011, tradução livre) O CERT.br mantém estatísticas sobre notificações de incidentes (malwares e outros) reportados. Estas notificações são voluntárias e refletem os incidentes ocorridos em redes públicas e privados, que, espontaneamente, notificam o órgão.
  • 49.
    49 Figura 3 -Incidentes reportados no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Pode-se observar que os incidentes reportados no primeiro trimestre de 2011 equivalem a 63% de todo o montante de 2010. Caso a freqüência seja mantida, em 2011 o valor de incidentes reportados superará em 154% os valores de 2010, chegando ao número final de 571.376 incidentes de segurança reportados. Estes incidentes de segurança podem ser desmembrados em:
  • 50.
    50 • Tipos deataque, como malwares e fraudes: Figura 4. Tipos de Ataque no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). • As tentativas de fraude, por sua vez, são desmembradas do gráfico acima e detalhadas a seguir: Figura 5. Fraudes no Brasil, de jan. a mar. 2011. Fonte: CERTBR (2011). Podem-se expressar as porcentagens acima em números: Figura 6. Tabela com os tipos de ataque. Fonte: CERTBR (2011).
  • 51.
    51 Pode ser observadoum maior número de ataques do tipo scan e fraudes, além de um aumento considerável em Março em relação a Janeiro, em todos os tipos de ataque. Nota-se, também, que a classificação “outros” aumentou de maneira mais acentuada que os outros, porém, não houve qualquer tentativa do Cert.br de decompor esta categoria. 3.6.1 VÍRUS E WORMS Os mais conhecidos malwares de infecção, vírus e worms, são caracterizados pela maneira com que se espalham em um sistema. O termo “vírus de computador” é usado para identificar um programa que, ao ser executado pelo usuário, causa a distribuição do vírus através da infecção de outros arquivos presentes no disco rígido e unidades removíveis (pen drives, disquetes e outros). Por outro lado, o worm é um programa que contagia outros executáveis de forma ativa, e se dissemina de forma automática numa rede de computadores. (WIKIPÉDIA, 2011) 3.6.2 TROJAN HORSES Um software de aparência inofensiva, podendo conter um elemento que seja de interesse do usuário como um arquivo de áudio, vídeo ou imagem, mas que possui também um malware embutido em seu conteúdo, que é juntamente executado e disseminado no computador do usuário assim que o software é executado. 3.6.3 ROOTKITS A finalidade principal deste elemento é fazer com que um malware permaneça oculto, “enganado” o sistema operacional ao confundir o malware com outro elemento fundamental para o correto funcionamento do sistema, que não poderia ser movido ou excluído devido a sua suposta importância. Além disso, ele também oculta o malware em um sistema, não o exibindo na lista de processos, e também consegue criar vários sub-processos a partir de um processo principal de um malware, dificultando o termino de sua execução.
  • 52.
    52 3.6.4 BACKDOORS É ummétodo de contornar a autenticação padrão de um sistema, dando acesso direto a um atacante na Internet ao computador infectado de um usuário. O backdoor, normalmente se instala através de trojan horses ou worms. 3.6.5 SCAN Malware que realiza varreduras em redes de computadores, presentes na LAN, WAN e na Internet, com o intuito de identificar quais dispositivos estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar vulnerabilidades aos serviços habilitados em um computador. 3.6.6 SPYWARES/ADWARE Os spywares, também conhecidos como stealwares, são geralmente produzidos com o intuito de coletar informações sobre usuários infectados. Possui um subtipo (adware) que possui como objetivo induzir o usuário a consumir um produto ou serviço, através de pop-ups com anúncios ao abrir-se o navegador, alteração da homepage e direcionamento de resultados de programas de busca para páginas "patrocinadoras" do adware. Em alguns casos, as empresas beneficiadas dividem os lucros dos acessos com os criadores dos adware. 3.6.7 BOTNETS Ao se instalarem em um ou mais sistemas, os malwares podem ser remotamente controlados pelos botnets, utilizando um sistema específico na Internet para controlar dispositivos infectados e assim disseminarem-se numa escala geométrica através da rede.
  • 53.
    53 Nos EUA, ondeo Spaming é considerado crime, a utilização do botnet para disseminação de spam dificulta os trabalhos investigativos, pois dificulta a identificação da real original do spam e, conseqüentemente, do real infrator. 3.6.8 KEYLOGGERS Este subtipo de spyware, geralmente distribuído através de trojan horses e propagado através de botnets, instala-se no dispositivo do usuário e cria logs de todas as teclas digitadas. Os objetivos, entre outros, são: obter números de contas e senhas bancárias, números de cartões de crédito, senhas de logins diversas e números de licenças de software. Os logs podem ser recuperados pelo infrator através do auxilio de um backdoor, por exemplo, ou através da recuperação de hardware, quando um keylogger do tipo físico é utilizado.
  • 54.
    54 3.6.9 PHISHING SCAM Otermo é uma alusão às palavras da língua inglesa "pescar" e "fraude", devido à maneira com que ao golpe é realizado. O objetivo deste golpe é "pescar" dados através da Internet. É amplamente utilizado para roubar senhas e dados pessoais de vítimas, e considerado um dos tipos mais comuns de prática de fraude via Internet. Através de e-mails e páginas falsas, geralmente camufladas com os nomes de bancos e outras instituições financeiras, os perpetradores procuram convencer o usuário a ceder suas senhas e seus dados pessoais, com o objetivo de furtar suas contas bancárias ou conseguir dados pessoais sigilosos (CPF, telefones privados, entre outros) para a prática de outras fraudes maiores. 3.6.10RFI É um tipo de vulnerabilidade, encontrada com mais freqüência em páginas Web, que permite ao atacante incluir um arquivo remoto no Servidor Web, onde as páginas são organizadas, através de um script (arquivo contendo comandos utilizados para escrever rotinas e automatizar tarefas nos computadores Este script pode simular, por exemplo, a página de login do site, capturando os valores digitados pelo usuário e enviando-os ao atacante. O RFI também pode ser usado na arquitetura de ataques do tipo DoS. 3.6.11DoS É uma tentativa de fazer com que um determinado sistema ou recurso computacional fique indisponível aos seus usuários. Alvos típicos são servidores web, e o ataque tenta tornar as páginas hospedadas indisponíveis na WWW. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga. Os ataques de negação de serviço são feitos geralmente de duas formas:
  • 55.
    55 • Forçar osistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento, por exemplo) de forma que ele não possa mais fornecer seu serviço; • Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. 3.6.12DDoS Em um ataque distribuído de negação de serviço, um computador mestre (denominado "Master") pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, numa determinada hora, todos os zumbis (ligados e conectados à rede) acessarão, ao mesmo tempo, o mesmo recurso do mesmo servidor. 3.6.13MITM Este tipo de ataque baseia-se na violação da privacidade de uma comunicação entre dois pontos. O perpetrador realiza conexões independentes entre as vítimas, geralmente apoiado por software de violação de criptografia de conexões sem fio, e transmite mensagens entre elas, com o intuito de levá-las a acreditar que estão conversando diretamente umas com as outras. O atacante, então, obtém informações privadas destas vitimas.
  • 56.
    56 3.6.14SPOOFING Interceptar, alterar eretransmitir um sinal ou dado criptografado, de forma que o recipiente seja enganado. É usado como tentativa para acessar um sistema restrito, pois permite que o invasor utilize uma identificação interceptada de um usuário autorizado. 3.7Mecanismos preventivos 3.7.1 MEDIDAS COMPORTAMENTAIS Existem medidas comportamentais que podem ser adotadas por qualquer usuário, dentro e fora da empresa, na tentativa de se manter protegido de malwares, seja em ambiente corporativo ou público: (DONATO, 2010) • Não abra e-mails ou mensagens de estranhos, principalmente ao utilizar email corporativo. Regra válida também para redes sociais; • Não clique nos links incluídos nos e-mails, mesmo que venham de fontes seguras. É melhor digitar novamente o endereço diretamente no navegador; • Caso o link seja clicado, prestar atenção na página que irá abrir. Se algo lhe parecer estranho, feche o navegador; • Não abra arquivos anexados se vierem de fontes desconhecidas. Evite extensões do tipo .exe (executáveis), .bat (arquivo de instruções); • Somente compre pela Internet em sites que tenham uma reputação sólida e ofereçam transações seguras. Para verificar se uma página é segura, observe o certificado em forma de um pequeno cadeado amarelo ao lado do endereço ou no canto inferior da tela; • Não use computadores públicos ou de uso compartilhado, como de lan houses, para realizar transações financeiras, visualizar emails da empresa
  • 57.
    57 ou operações quenecessitem a colocação de senhas ou outras informações pessoais, como VPNs corporativas; • Tenha um programa de segurança eficiente instalado em seu computador, que seja tanto capaz de detectar vírus como outras ameaças virtuais; • As empresas devem procurar estabelecer políticas de criação e manutenção de senhas em seus domínios, evitando que uma senha seja criada com números seqüenciais ou data de nascimento, por exemplo. Essa medida pode ser adotada no dia-a-dia, e também dificulta que atacantes descubram senhas de acesso; • Não divulgar, sob hipótese alguma, seu login e senha de acesso a sistemas de sua empresa. Além de se perder o controle sobre quem acessará o sistema, os logins efetuados no sistema ficam geralmente armazenados em repositórios, e caso seja constatado que houve uma irregularidade iniciada de seu login, será bastante difícil comprovar que o dono do mesmo não teve participação no evento. Além das medidas comportamentais, que podem ser estimuladas pela organização através de campanhas de conscientização e treinamento, ela pode adotar hardware e software avançados na tentativa de proteger seu ambiente de invasões. 3.7.2 HARDWARES E SOFTWARES DE PROTEÇÃO 3.7.2.1 Firewall Nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. (WIKIPÉDIA, 2011)
  • 58.
    58 3.7.2.2 IDS/IPS Os IDSsão meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. (WIKIPÉDIA, 2011) Já os IPS são appliances de segurança que monitoram atividades da rede e/ou sistemas em busca de atividade maliciosa. As principais funções de um IPS são identificar atividade maliciosa, armazenar logs, tentativas de bloquear/paralisar ataques e geração de relatórios. O IPS é considerado extensão do sistema de IDS, sendo a principal diferença a capacidade do IPS de bloquear e prevenir que intrusões ocorram, ao invés de somente identificá-las. (Id., 2011) 3.7.2.3 Filtros de conteúdo Conhecidos também como censorware, é um software designado para controlar qual conteúdo Web é permitido para um determinado usuário ou grupo de usuários, bloqueando acesso para sites que não estejam previamente liberados ou que possuam conteúdo indevido, de acordo com a política de segurança da organização. (WIKIPÉDIA, 2011) 3.7.2.4 Antivírus Usado para prevenir, detectar e remover malwares. Devido a sua constante atividade dentro do sistema operacional, seu uso pode afetar o desempenho do dispositivo do usuário. As diversas empresas desenvolvedoras de software antivírus disponibilizam bases de dados com novas ameaças, de forma constante. O sistema pode efetuar uma varredura no acesso ao arquivo, ou de forma constante, e compara o mesmo com sua base dados, determinando assim se o objeto é malicioso ou não. (WIKIPÉDIA, 2011)
  • 59.
    59 3.7.2.5 HoneyPot É umaferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. Atua como uma espécie de armadilha para invasores. (WIKIPÉDIA, 2011) De forma geral, consiste em um computador, dado ou local na rede que aparenta ser um local real da rede corporativa, porém, é um elemento separado e monitorado individualmente. Os atacantes, então, ao acreditarem que o segmento é de fato parte da rede, direcionam seus ataques a ele. Os ataques podem, então, ser analisados posteriormente. (Id., 2011) 3.7.2.6 Antispam Spam é um termo usado para se referir ao envio indiscriminado de mensagens eletrônicas não solicitadas a um número de pessoas. Software e dispositivos antispam atuam ativamente nos servidores de correio eletrônico, analisando todas as mensagens de e-mail trafegadas na rede e comparando com sua base de remetentes classificados como spam, base esta mantida por órgãos como o <http://www.spamhaus.org/sbl>. Caso o e-mail venha de um remetente apontado como spam, automaticamente a mensagem é barrada pelo antispam, não chegando ao destinatário. Os remetentes classificados como spam são armazenados na chamada "lista negra" do órgão, atualizada constantemente por usuários da Internet. Caso o remetente tenha sido classificado erroneamente como spam, é possível recorrer ao órgão e retirar o mesmo da lista.
  • 60.
    60 3.7.3 CONTROLE SOBREDISSEMINAÇÃO DE INFORMAÇÃO E SOBRE ACESSOS A AMBIENTES Através da classificação da informação, procura-se controlar a maneira com que ela se espalha em um ambiente. No caso de vazamento de informações restritas ou confidenciais, por exemplo, o processo de averiguação torna-se mais assertivo, pois existe maior controle sobre os grupos que recebem a informação. Definições de classificação de informação: (VILABLOG, 2010) • Informação Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral; • Informação Interna: É toda informação que só pode ser acessada por funcionários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização; • Informação Confidencial: É toda informação que pode ser acessada por usuários da organização e por parceiros da organização. A divulgação não autorizada dessa informação pode causar impactos financeiros, de imagem ou operacionais ao negócio da organização ou ao negócio do parceiro; • Informação Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicado pelo nome ou por área a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente/Supervisor deve orientar seus subordinados a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também, não deixar relatórios nas impressoras e mídias em locais de fácil acesso, tendo sempre em mente o conceito "mesa limpa", ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas. (Id., 2010)
  • 61.
    61 Além da classificaçãoda informação, é possível estabelecer medidas restritivas sobre certos ambientes, desde a inclusão de maiores controles de acesso até gestão de ativos. Exemplos: (VILABLOG, 2010) • Barreiras físicas adicionais, com mecanismos que verificam a identidade e as autorizações de acesso; • Acesso somente com autorização prévia e acompanhada de um superior ou designado; • Proibir a entrada, em determinados ambientes, portando dispositivos móveis (celulares, PDAs, entre outros) e dispositivos de armazenamento externos (memórias USB e HD’s portáteis); • Não autorizar ou limitar o acesso de dispositivos externos a rede da organização, através da gestão de ativos. Ao iniciar seu trabalho na empresa, o colaborador recebe dela todos os ativos necessários para seu trabalho, como celulares, laptops e desktops. Desta forma, ela não permite que dispositivos externos que não façam parte dos ativos da organização acessem seus dados, além do que ela tem total gestão sobre o hardware e o software destes dispositivos. Em caso de suspeita de fraude ou vazamento de informações, a empresa tem total liberdade de examinar o ativo, sem autorização legal prévia; caso o ativo pertencesse ao colaborador, ela não teria este direito legal implícito, dependendo de prévia outorga jurídica para periciar o ativo. A empresa também pode controlar a distribuição de atualizações de bases de dados de antivírus, além de controlar os software que porventura estejam instalados no dispositivo e não sejam homologados pela organização.
  • 62.
    62 Em caso dereal necessidade de acesso de um dispositivo externo à rede da empresa, a empresa pode designar um grupo de sua área de segurança da informação para avaliar, através de ferramentas específicas, quais os potenciais riscos que o dispositivo externo carrega, autorizando-o ou não a acessar a rede da corporação. A adoção de tais medidas preventivas contribui para: (GORDON, 2007) • Reduções de malware, prevenindo que sistemas sejam infectados, sofram indisponibilidade e exijam a adoção de medidas muitas vezes de alto custo, assim como o vazamento de informações; • Maior produtividade dos colaboradores e redução no uso de banda da rede; • Prevenção de prejuízos decorrentes de processos legais, por não cumprimento de obrigações legais ou na averiguação de casos de vazamento de informações; • Aprimoramento na proteção de informações e propriedade intelectual, prevenindo que informações confidenciais vazem e a reputação da empresa seja colocada em jogo. Em um caso extremo, vazamento de informações críticas pode resultar em processos criminais, perda de clientes, de capital e conseqüentemente, de mercado, resultando na falência da organização. (Id., 2007) 3.8Vazamento de informações em ambientes corporativos A vulnerabilidade das redes corporativas cresce em ritmo mais acelerado do que as atualizações e correções dos Sistemas de Informação. Apesar dos antivírus e firewall estarem em todas as empresas, isso não é suficiente para que o sistema esteja livre de vírus, cavalos de tróia, ataques combinados, vazamento de informações ou fraudes.
  • 63.
    63 Um caso queprovocou repercussão mundial foi o ataque a rede intitulada PSN a fabricante japonesa Sony, ocorrido em abril de 2011. Segundo Romano (2011) os criminosos alugaram Servidores da Amazon e realizam o ataque através deles para não serem identificados. Para isso, eles teriam usados cartões de créditos roubados para alugarem o serviço e de lá executarem os ataques sem que ninguém percebesse. Como resultado do ataque, determinadas informações de contas de usuários das Redes PlayStation Network e Qriocity foram expostas. Outro caso recente de ataque, que resultou na exposição de informações estratégicas a respeito dos armamentos atualmente empregados pelo Exército dos Estados Unidos no Afeganistão e dados sobre tecnologias bélicas em desenvolvimento, ocorreu em maio de 2011 nos servidores de companhias militares que têm contratos com o Governo dos Estados Unidos. (UOL, 2011) O ataque ocorreu a partir do momento em que atacantes conseguiram driblar o Sistema de Segurança dos Servidores, ao duplicar as chaves eletrônicas desenvolvidas pela RCA, Divisão de Segurança da Companhia de Tecnologia de Informação EMC. (Id., 2011) A chave eletrônica "SecurID", desenvolvida pela RCA, é um mecanismo que constantemente gera novas senhas, em um esforço para evitar que os hackers possam identificar uma determinada senha usada de modo recorrente. (Id., 2011) Os hackers teriam conseguido duplicar essas chaves eletrônicas a partir de dados roubados dos sistemas da empresa EMC, durante outro sofisticado ataque. (Id., 2011) Em janeiro de 2009, como mostra a Figura 7, o Grupo Symantec, conduziu nos EUA uma pesquisa entre 1000 pessoas que haviam saído de empresas durante o ano de 2008. A pesquisa mostrava que 59% dos entrevistados roubaram informação confidencial, como listas de clientes da empresa. (LEE et al., 2009)
  • 64.
    64 Além disso, 53%responderam que copiaram informação confidencial para CD ou DVD, 45% copiou data para memória USB e 35% respondeu que usou e-mail corporativo para enviar correio pessoal. (LEE et al., 2009) Finalmente, 75% responderam que obteve dados sem a permissão prévia, 82% respondeu que não havia auditoria ou verificação de documentos eletrônicos até sua saída da companhia. Por fim, 24% responderam que eles ainda podiam acessar os sistemas da companhia e sua rede privada, mesmo após a sua saída dela. (Id. et al., 2009). Figura 7 - Tipos de vazamento de informações. Fonte: Lee et al. (2009). Como descrito na pesquisa, existiram diversos canais de vazamento de informação, mas quatro foram utilizados com maior freqüência: cópia de arquivos para dispositivos de armazenamento ou memórias USB; queima de dados em CD/DVD; envio de dados através de emails e transmissão ou cópia de arquivos para dispositivos móveis, como PDAs e celulares. O descarte da informação também deve ser uma preocupação para as organizações, e até mesmo a lata de lixo de uma empresa pode ser uma fonte de vazamento de informações.
  • 65.
    65 Segundo Hunt (2009),informações sensíveis podem estar dentro de uma memória portátil USB esquecida em uma gaveta, na lata de lixo, na pilha de fax descartada e muitos outros lugares, somente esperando para serem encontradas por criminosos. (GOODCHILD, 2009) Organizações que não tomam o cuidado devido na destruição de cópias impressas de informação sensível correm o risco de terem informação confidencial caindo em mãos não autorizadas. Ao invés de ter tais informações destruídas de forma segura, profissionais acabam por simplesmente jogar suas informações confidenciais (talvez inconscientemente) no lixo. Um atacante pode decidir invadir a lixeira da companhia e descobrir estas informações. Esta prática se estende também para informação armazenada em CDs e DVDs, assim como todo o material impresso. (GORDON, 2007, tradução livre) A técnica conhecida como "dumpster diving", termo proveniente do inglês e traduzido livremente como "mergulho na lixeira", consiste em vasculhar as lixeiras de organizações em busca de itens que possam carregar informação confidencial e/ou privilegiada e que tenham sido indevidamente descartados, como dados de clientes armazenados em laptops, cheques (no caso de bancos), entre outros. Utilizando como exemplo, em uma instituição financeira, foi averiguada a lixeira de uma organização, e dela se obteve: (HUNT, 2009 apud GOODCHILD, 2009) • Informações sobre transferências bancárias, incluindo transações entre bancos americanos e jordanianos, sauditas ou portugueses. Os documentos continham os números de documentos pessoais e nomes de ambos remetente e destinatário das transações; • Cópias de cheques de diversos clientes, com todos os dados legíveis, incluindo sua assinatura; • Históricos de transações financeiras, incluindo dados de um político da região;
  • 66.
    66 • Demonstrativo financeirode um cidadão bastante rico, incluindo o endereço completo da casa do indivíduo, números de várias contas abertas e números de vários documentos do mesmo; • Um desktop inteiro e intacto, com o disco rígido pronto para ser extraído e analisado. Portanto, as políticas de descarte são também um ponto a ser levado em consideração por empresas que procurem eficiência na gestão do ciclo de vida de uma informação. Medidas como a utilização de trituradores de papel, destruição de dispositivos que serão descartados (formatá-los não basta, pois existem maneiras de recuperar arquivos de discos que tenham sido previamente formatados) e a criação de políticas de conscientização institucional sobre o tema também são medidas bem vindas na proteção contra o vazamento de informações. 3.9O CERT.br Existem vários grupos em todo o mundo que auxiliam no estudo, na resposta e no tratamento de incidentes de segurança da informação; a primeira e principal fonte de informação para esses grupos é o CERT.org (conhecido também como CSIRT). (WIKIPÉDIA, 2011) O grupo de estudo brasileiro é o CERT.br, que faz parte do Comitê Gestor da Internet no Brasil e que tem como principal função a unificação das informações de incidentes de segurança com a colaboração de diversas entidades para a informação, análise e solução de problemas ocasionados. (Id., 2011)
  • 67.
    67 A segurança nainternet é uma das grandes preocupações do Comitê Gestor da Internet no Brasil que, desde 1997, mantém o CERT [...] no Brasil. Além de tratar incidentes de segurança, o CERT.br realiza atividades de apoio a administradores de redes e usuários de internet no país. Destacam-se a produção de documentos sobre segurança de redes, a manutenção de estatísticas sobre spam e incidentes no Brasil e o desenvolvimento de mecanismos de alerta antecipado para redes possivelmente envolvidas em atividades maliciosas. O CERT.br atua na conscientização sobre os problemas de segurança, na correlação de eventos na internet brasileira e auxilia no estabelecimento de novos Grupos de Respostas a Incidentes no Brasil. (CERT.br, 2011) As organizações que participam do CERT devem definir, de acordo com sua infra-estrutura, o que é um problema de segurança em computadores. Não é possível impedir que ocorram tentativas de invasões ou ações maliciosas, mas com a ajuda do CERT a organização consegue detectar e solucionar um problema com mais agilidade. O órgão disponibiliza diversos materiais que podem ajudar os administradores de rede, além de ser autorizado a ministrar cursos específicos no Brasil. (WIKIPÉDIA, 2011) O CERT.br é responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira. Atua como um ponto central para notificações de incidentes de segurança no Brasil, provendo a coordenação e o apoio no processo de resposta a incidentes e, quando necessário, colocando partes envolvidas em contato. (CERT.br, 2011) Além do processo de tratamento em si, o órgão também atua através do trabalho de conscientização sobre os problemas de segurança, da análise de tendências e correlação entre eventos na Internet brasileira e do auxílio ao estabelecimento de novos CSIRTs no Brasil. (Id., 2011) Estas atividades têm como objetivo estratégico aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet no Brasil. As atividades conduzidas pelo CERT.br fazem parte das atribuições do CGI.br de (CERT.br, 2011):
  • 68.
    68 • Estabelecer diretrizesestratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil; • Promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e adequada utilização pela sociedade; • Ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet; • Tratamento de Incidentes: o Dar suporte ao processo de recuperação e análise de ataques e de sistemas comprometidos; o Estabelecer um trabalho colaborativo com outras entidades, como outros CSIRTs, empresas, universidades, provedores de acesso e serviços de Internet e backbones; o Manter estatísticas públicas dos incidentes tratados e das reclamações de spam recebidas. • Treinamento e Conscientização: o Oferecer treinamentos na área de tratamento de incidentes de segurança, especialmente para membros de CSIRTs e para instituições que estejam criando seu próprio grupo; o Desenvolver documentação de apoio para administradores de redes Internet e usuários; o Realizar reuniões com setores diversos da Internet no Brasil, de modo a articular a cooperação e implantação de boas práticas de segurança. • Análise de Tendências de Ataques: o Aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro, através da manutenção de uma rede de honeypots distribuídos em diversas redes do país;
  • 69.
    69 o Obter, atravésde honeypots de baixa interatividade, dados sobre o abuso da infra-estrutura de redes conectadas à Internet para envio de spam. O órgão também está alinhado com dos objetivos do NIC.br, conforme seu Estatuto: (CERT.br, 2011) • Atender aos requisitos de segurança e emergências na Internet Brasileira em articulação e cooperação com as entidades e os órgãos responsáveis; • Promover ou colaborar na realização de cursos, simpósios, seminários, conferências, feiras e congressos, visando contribuir para o desenvolvimento e aperfeiçoamento do ensino e dos conhecimentos nas áreas de suas especialidades. A atuação do órgão pode ser uma grande aliada das empresas na adoção de melhores práticas para gestão de sua informação e tratamento de seus incidentes de segurança. A base de informações disponíveis sobre o assunto é imensa, e atualizada constantemente. Empresas que instauram grupos voltados especificamente para o acompanhamento do CERT tendem a ser mais seguras e, por conseqüência, mais protegidas contra fraudes e vazamento de informações. 3.10 Considerações finais do Capítulo 3 Pelas bibliografias abordadas neste capítulo, nota-se que uma organização consegue atingir eficiência na gestão de segurança da informação ao implantar metodologias de conscientização institucional, ao apoiar-se em políticas, normas e certificações, investir em sua infra-estrutura, e, acima de tudo, possuir colaboradores comprometidos com seu papel organizacional e que tenham responsabilidade sobre aquilo que executam. No entanto, é visto que acompanhar a evolução tecnológica e ao mesmo tempo gerir as intenções e expectativas dos indivíduos que atuam em uma organização ainda é um grande desafio a ser superado.
  • 70.
    70 Os malware aliadosa Engenharia Social são mecanismos que podem ser utilizados para a obtenção de informações privilegiadas de empresas, além de provocarem incidentes de segurança, podem também prejudicar a produtividade e representarem e, conseqüentemente, prejuízos. Nenhuma área da informática é tão apreciada como a segurança da informação, todo processo de segurança inicia e tem seu termino em um ser humano. Segurança não é (somente) uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. (SPANCESKI, 2004) Portanto, a Segurança da Informação deve ser um conceito institucionalizado e imparcial, pois não deve existir diferenciação na aplicação de medidas restritivas e punitivas, caso a empresa observe que sua segurança foi violada e seu negocio corre riscos. No entanto, fraudes e vazamentos de informação podem ocorrer e evoluírem para incidentes mais graves, que venham a causar grandes prejuízos a empresa e sejam passíveis de punições mais severas. Neste contexto, a forense digital pode ser uma aliada à organização na investigação destes eventos.
  • 71.
    71 4 PERÍCIA FORENSEDIGITAL A Perícia Forense Digital abrange todas as questões relacionadas aos crimes praticados no meio digital e concebe métodos de coletar evidências de crimes e violações e analisar e documentar casos, fazendo uso dos métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital. [...] a Forense Digital é o ramo da criminalística que compreende a aquisição, prevenção, restauração e análise de evidências computacionais, quer sejam os componentes físicos ou dados que foram processados eletronicamente [...] ou armazenados em mídias computacionais. (FREITAS, 2006) De acordo com Wikipédia (2011) a perícia forense digital é a "inspeção sistemática de um sistema computacional em busca de evidências ou supostas evidências de um crime ou outra atividade que precise ser inspecionada." Complementando o raciocínio, Kleber (2009) afirma que "na criminalística a Computação Forense trata o incidente computacional na esfera penal, determinando causas, meios, autoria e conseqüências." Segundo Peck (2010), "a ciência forense busca (responder as seguintes questões) [...]: Quem?; O quê?; Quando?; Como?; Porque?; Onde?", levantando assim evidências que contam a historia de um determinado fato. “Nos últimos sete anos, houve um grande aumento do vazamento de informações sigilosas pela rede, como planilhas de custo e planos estratégicos." (BLUM, 2010 apud NETZ, 2010) O crescimento de problemas relacionados a negócios no mundo virtual é expresso em números. A americana McAfee, empresa especializada em programas antivírus, estimou que os custos dos crimes perpetrados via Internet no mundo geraram um prejuízo para as empresas equivalente a US$ 1 trilhão, em 2008. (NETZ, 2010)
  • 72.
    72 No Brasil, nãoexistem dados abrangentes. A Febraban, no entanto, afirma que os prejuízos causados por fraudes chegam a R$ 500 milhões por ano. Para proteger-se desse tipo de ameaças, calcula-se que apenas as empresas do setor financeiro brasileiro gastem algo em torno de R$ 1,5 bilhão anuais no combate às fraudes virtuais. (Id., 2010) [...] a tendência investigativa (sobre vazamento de informações em organizações) aponta para um cenário onde a informação digital representa uma pista crucial para a investigação do crime. Como o número de casos envolvendo a informação digital é cada vez maior, as agências de investigação (forense) são muito solicitadas. A forense digital desempenha um papel importante em muitas empresas. Na verdade, alguns setores estão mostrando interesse em estabelecer centros digitais forenses. Por exemplo, algumas empresas de contabilidade e de direito já criaram tais centros, onde eles utilizam uma ampla gama de tecnologias digitais forenses. Por exemplo, um grande centro forense digital sul-coreano foi criado para lidar com casos importantes (de empresas locais da Coréia do Sul), e os casos de vazamento de dados do Arquivo Nacional da Coréia do Sul. (LEE et al., 2009, tradução livre) 4.1O perito forense digital O reconhecimento da atividade, no Estado de São Paulo, foi instaurado através do Decreto nº 48.009, de 11 de agosto de 2003, que diz: Artigo 12 - O Núcleo de Perícias de Informática tem por atribuição realizar perícias visando à elaboração de laudos periciais de locais e peças envolvendo aparelhos computadorizados, ‘software’, ‘hardware’ e periféricos relacionados com a prática de infrações penais na área de informática. Segundo Kleber (2009), não há regulamentação específica sobre técnicas e ferramentas a serem utilizadas na perícia digital, e a ausência de normas possibilita uma margem de erro muito grande para evidências despercebidas. Em 1999, ocorreu uma tentativa de padronização sobre a prática, durante a IHCFC (International Hi- Tech Crime and Forensics Conference).
  • 73.
    73 Discordando deste ponto,Adams (2000) diz que a tentativa de padronização ocorrida no IHCFC foi bem sucedida, e atualmente existem padrões metodológicos bem definidos e desenvolvidos também pelo SWGDE (Scientific Working Group on Digital Evidence). Esses padrões seguem um único princípio: o de que todas as organizações que lidam com a investigação forense devem manter um alto nível de qualidade a fim de assegurar a confiabilidade e a precisão das evidências. Esse nível de qualidade pode ser atingido através da elaboração de SOPs (Standard Operating Procedure), que devem conter os procedimentos para todo tipo de análise conhecida e prever a utilização de técnicas aceitas na comunidade científica internacional (PEREIRA et al, 2007). Segundo Queiroz e Vargas (2010), o perito forense digital deve reunir em seu perfil profissional as seguintes capacitações: • Ter formação superior em tecnologia, conhecimentos de termos do Direito e conhecer técnicas de redação jurídicas; • Conhecer arquitetura lógica de sistemas operacionais e arquitetura física de computadores; • Se possível, ser profissional atuante na área, ou então, possuir mestrado acadêmico, assim como interesse na área forense; • Ter especialização e domínio tecnológico; • Ser proficiente, preferencialmente, na língua inglesa; • Ter conhecimento de legislação, principalmente a que se aplica com maior freqüência aos crimes praticados através do meio digital.
  • 74.
    74 Complementando o raciocínio,Punisher (2011) afirma que as seguintes características e conhecimentos também são interessantes para esse tipo de investigador especializado: • Conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores; • Familiaridade com as ferramentas, técnicas, estratégias e metodologia de ataques conhecidos, inclusive as que não se tem registro de ter ocorrido, mas que já são vistas como uma exploração em potencial de uma determinada vulnerabilidade de um sistema; • Faro investigativo para perceber rastros sutis de ações maliciosas - Esmero pela perfeição e detalhes. Sempre deve haver rastros, mesmo que muito sutis; • Entendimento sobre o encadeamento de causas e conseqüências em tudo o que ocorre num sistema para construir a história lógica formada por ações maliciosas ou normais que já tenham ocorrido, que estejam em curso e que possam vir a acontecer; • Conhecimento da legislação envolvida; • Conhecimento das diretivas internas das empresas e instituições envolvidas no processo investigativo, com especial atenção às limitações como diretivas de privacidade, sigilo e escopo ou jurisdição de atuação; • Cuidado com a manipulação e preservação de provas legais em potencial, inclusive com uma metodologia de cadeia de custódia. O que não é visto como prova hoje pode vir a ser uma prova e então é bom ter sido preservada o suficiente para ser aceita em um tribunal; • Noções sobre a psicologia dos atacantes em potencial a respeito de perfis de comportamento e de motivações; • Experiência ao examinar os rastros em um incidente perceber o nível de sofisticação e conhecimento de um atacante, especialmente interessante
  • 75.
    75 se o atacanteusa subterfúgios para parecer menos capaz, como deixar rastros óbvios e parecer um ataque simples para ocultar ações maliciosas muito mais perigosas e muito mais escondidas. A preparação do perito digital é fundamental, pois sua investigação resultará em um laudo que, se mal concebido, poderá beneficiar o infrator em detrimento a vitima. No caso de atuação em processos civis e criminais, existem diretrizes que norteiam a atuação do perito, expressas através de regulamentações previstas no CPC e no CPP. (QUEIROZ e VARGAS, 2010) Segundo Vargas (2009), hoje, no mercado brasileiro, existem algumas certificações que são respeitados no mundo inteiro. Quase todas as certificações são relativas a ferramentas ou a fabricantes, mas existem várias que são aceitas no mercado nacional. As certificações mais válidas no mercado mundial em softwares: • EnCE (EnCase Certified Examiner), do fabricante Guidance; • ACE (AccessData Certified Examiner), do fabricante AccessData. Logo após, há certificações referentes a cursos, no Brasil e fora do País, como: (Id., 2009) • CCFT (Certified Computer Forensic Technical); • GIAC (Global Information Assurance Certification); • CEH (Certified Ethical Hacker); • CHFI (Certified Hacker Forensic Investigator); • ACFEI (American College of Forensic Examiners Institute).
  • 76.
    76 Com relação aocampo de trabalho, para Forensics (2011) os cenários comuns onde se aplica a mão de oba do perito forense podem ser: • Investigação de abuso no uso da Internet por funcionários de empresas (cenário comum, mas em decréscimo); • Revelação não autorizada de informações e dados corporativos, que pode ocorrer de forma acidental ou intencional; • Espionagem industrial e vazamento de informações em corporações; • Avaliação de danos, após um incidente de segurança em empresas. Complementando, Kleber (2009) diz que a perícia forense digital se faz necessária na análise de: • Violação de dados de sites; • Ataques a servidores; • Emails falsos; • Roubo de dados; • Retiradas e transferências de contas bancárias; • Investigações sobre crimes comuns com indícios de provas em computadores e/ou mídias; • Auxilia em investigações que apuram desde violações de normas internas a crimes eletrônicos; • Permite o rastreamento, identificação e comprovação da autoria de ações não autorizadas. Além da fundamentação teórica específica do Direito, o perito digital deve estar em constante atualização a respeito das novas tecnologias e modalidades de ataques. A constante reciclagem de conhecimento sobre o crime digital, assim como
  • 77.
    77 contato com profissionaisdo ramo de segurança da informação, também são válidos e complementam o embasamento técnico do perito. 4.2Etapas da investigação Forense Digital Toda a investigação tem início com base nas evidências e informações coletadas. O meio virtual não diverge do físico, isto é, as evidências e informações existem desta vez em um disco rígido, celular, ou até mesmo código de um arquivo malicioso. (PECK, 2010) Ainda segundo Peck (2010), a evidência digital é toda a informação ou assunto criado e sujeito, ou não, a intervenção humana que possa ser extraída de um computador ou de qualquer dispositivo eletrônico. Além disso, a evidência digital deverá estar sempre em formato de entendimento humano. A mídia digital confiscada durante a investigação é geralmente referida como "evidência", na terminologia legal. Investigadores empregam os métodos científicos de recuperação de evidência para suportar uma corte judicial ou processos civis, movidos por organizações que queiram periciar um incidente de segurança. (WIKIPÉDIA, 2011) No caso de incidente envolvendo um ativo de propriedade de uma organização, a atuação do perito privado é coordenada pela mesma, assim como o confisco de todos os dispositivos envolvidos no processo, não sendo necessária prévia outorga legal para extração da evidência e condução da perícia. (WIKIPÉDIA, 2011) Em contrapartida, caso o bem seja de propriedade do colaborador, é necessária prévia autorização judicial para que este ativo seja periciado, por mais que o mesmo tenha sido usado como intermediador de vazamento de informações da organização. (Id., 2011)
  • 78.
    78 Segundo Peck (2010),as cinco regras para o tratamento da evidência eletrônica são: admissibilidade, que é ter condições de ser usada no processo; autenticidade, ser certa e relevante ao caso; completude, pois a evidência não poderá causar ou levar à suspeitas alternativas; confiabilidade, não recaindo dúvidas sobre a veracidade e autenticidade da evidência; e credibilidade, que é clareza, fácil entendimento e interpretação. Queiroz e Vargas (2010) citam os seguintes procedimentos técnicos a serem tomados antes e durante todo o processo investigativo: • Se possível, registre com fotografias o local e a máquina que está sendo periciada; • Ao manusear discos rígidos, memórias e outros componentes internos do computador, utilize-se de pulseiras estáticas; • Jamais realize a perícia no disco rígido. Sempre crie imagens, utilizando-se de software específicos. A investigação forense supre as necessidades das instituições legais para manipulação de evidências eletrônicas, estuda a aquisição, preservação, identificação, extração, recuperação e análise de dados em formato eletrônico, para então apresentar informações diretas e não interpretativas. (KLEBER, 2009) É constituída, basicamente, das seguintes etapas: coleta, exame e análise, que podem ser repetidas diversas vezes até que se obtenham provas substanciais e, por fim, a apresentação dos resultados obtidos. (Id., 2009)
  • 79.
    79 4.2.1 COLETA DEDADOS Nesta etapa, o perito determina aquilo que será coletado como evidência, com base no processo penal, civil ou em determinação da organização privada para qual ele esteja atuando. Dentre os tipos esperados de evidências, encontram-se (KLEBER, 2009): Mídias de armazenamento, como HDs, pendrives, CDs, DVDs; dados presentes em memórias voláteis, extraídos com ferramentas específicas; dados trafegando na rede (Internet, Extranet ou interna), também extraídos com ferramentas específicas; outros dispositivos capazes de armazenar dados (câmeras digitais, PDAs, celulares, entre outros). A aquisição de uma imagem de um dispositivo de armazenamento é, em muitos casos, o ponto de partida de uma investigação. A técnica determina que o dispositivo a ser analisado deva ser clonado bit a bit e qualquer análise deve ser feita nessa cópia, de forma a manter o original íntegro. A imagem deve conter todos os dados do original, incluindo as partes não utilizadas. (Id., 2009) No que diz respeito ao procedimento acima, Lee et al (2009) afirma que, em se tratando de perícia contratada por uma organização para investigar vazamento de informações, por exemplo, e realizada em um ativo de propriedade da própria organização, não é necessária a reprodução dos discos e unidades de armazenamento em imagens, devido ao grande tempo despendido no processo. Este pensamento é exposto a seguir: [...] (o processo de) extração de imagens exige um tempo considerável, pois procedimentos especiais devem ser utilizados para manter a integridade da prova digital. Uma vez que a capacidade dos discos rígidos está chegando aos terabytes, significa que muito mais tempo é consumindo na criação de uma imagem. Além disso, tendo em mente o paradigma da "agulha no palheiro", que bem ilustra a dificuldade em encontrar a evidência crucial em uma investigação digital, acredita-se que, sob certas circunstâncias, não é necessário adquirir o conteúdo total do disco rígido. Portanto, para determinados crimes digitais, como os que envolvem vazamento de dados (em organizações privadas), uma análise completa de um disco rígido pode não ser necessária. (LEE et al., 2009, tradução livre)
  • 80.
    80 Ainda segundo Leeet al. (2009), utilizando de uma ferramenta específica para criação de imagens, com uma taxa de transferência de 400 Mbps, demorou-se um total de quatro horas na criação de uma imagem de 300 Gbytes. Não foram inseridos mecanismos de criptografia durante o processo, o que significa que a extração da imagem demoraria ainda mais caso este mecanismo fosse utilizado. Para aqueles que optam por realizar o processo de extração de imagem, ou se vêem judicialmente obrigados a fazê-lo, a controladora de disco forense (tradução livre do termo em inglês forensic disk controller) é uma das várias ferramentas que podem ser utilizadas nesta etapa. (WIKIPÉDIA, 2011) Também chamada de Tableau, Figura 8, é uma controladora de disco feita com o propósito de se obter acesso somente leitura a discos rígidos de computadores, sem oferecer qualquer risco de danificar a integridade física e lógica do dispositivo. É compatível com diversas interfaces de conexão (SATA, IDE, USB, entre outras). (Id., 2011) Figura 8 - Tableau conectado a um disco rígido. Fonte: Wikipédia (2011).
  • 81.
    81 Segundo Pereira etal. (2007), a prioridade da coleta dos dados será ditada pelos seguintes fatores: • Volatilidade: dados voláteis (por exemplo, conexões da rede, estado das portas TCP e UDP e quais programas estão em execução) devem ser imediatamente coletados pelo perito. A principal fonte de dados não- voláteis é o sistema de arquivos que armazena arquivos temporários, de configuração, de swap, de dados, de hibernação e de log; • Esforço: envolve não somente o tempo gasto pelo perito, mas também o custo dos equipamentos e serviços de terceiros, caso sejam necessários. Ex.: dados de um roteador da rede local versus dados de um provedor de Internet; • Valor estimado: o perito deve estimar um valor relativo para cada provável fonte de dados, para definir a seqüência na qual as fontes de dados serão investigadas. Segundo Kleber (2009), é fundamental manipular as evidências sem alterar seu conteúdo original, pois a gravidade de modificá-lo pode ser comparada a alteração da cena de um crime no mundo real. É preciso impedir alteração da mídia original durante os procedimentos de aquisição, e somente depois da cópia fiel dos dados (atestado por peritos e testemunhas) a mídia original pode ser dispensada. A Figura 9 exemplifica o descrito acima.
  • 82.
    82 Figura 9 -Evidência em envelope contra interferências eletromagnéticas. Fonte: Wikipédia (2011). Ainda segundo Kleber (2009), o uso de assinaturas hash (MD5/SHA1/SHA256) é fundamental para garantir que os dados coletados e armazenados como prova não serão modificados futuramente por indivíduos não- autorizados. Todo o material apreendido para análise deve ser detalhadamente relacionado em um documento, chamado Cadeia de Custódia. Compartilhando deste raciocínio, Pereira et al. (2007), afirmam que garantir e preservar a integridade dos dados após a coleta e dever do perito, pois, se não for garantida a integridade, as evidências poderão ser invalidadas como provas perante a justiça. A garantia da integridade das evidências consiste na utilização de ferramentas que aplicam algum tipo de algoritmo de criptografia. Assim como os demais objetos apreendidos na cena do crime, os materiais de informática apreendidos deverão ser relacionados em um relatório (cadeia de custódia), exemplificado na Figura 10. (Id., 2007)
  • 83.
    83 Figura 10 -Formulário de Cadeia de Custódia. Fonte: Pereira et al. (2007). [...] a defesa poderá questionar no tribunal a legitimidade dos resultados da investigação, alegando que as evidências foram alteradas ou substituídas por outras. Devido à importância das evidências, é indispensável que o perito mantenha a cadeia de custódia. A cadeia de custódia prova onde as evidências estavam em um determinado momento e quem era o responsável por ela durante o curso da perícia. Ao documentar estas informações, você poderá determinar que a integridade das suas evidências não foi comprometida. A cada vez que as evidências passarem de uma pessoa para outra ou de um tipo de mídia para outro, a transação deverá ser registrada. (FREITAS, 2006)
  • 84.
    84 4.2.2 EXAME DEDADOS A finalidade desta etapa é avaliar e extrair somente as informações relevantes à investigação. O perito deve levar em conta a capacidade de armazenamento dos dispositivos atuais, para mensurar a quantidade de espaço que seus dispositivos de armazenamento devem conter. (PEREIRA et al. 2007) A quantidade de diferentes formatos de arquivos existentes (imagens, áudio, arquivos criptografados e compactados) e ter em mente que, em meio aos dados recuperados, podem estar informações irrelevantes e que devem ser filtradas, por exemplo, um arquivo de log do sistema de um servidor pode conter milhares de entradas, sendo que somente algumas delas podem interessar à investigação. (Id., 2007) Nesta etapa ocorre a extração, que é o processo de retirar das mídias periciadas as informações disponíveis. Já a recuperação é o processo de buscar dados removidos total ou parcialmente, propositalmente ou não. Após a coleta, a manipulação dos dados das mídias pode ser feita pelo próprio perito ou posteriormente por outro (inclusive por um perito contratado por advogados que contestaram os laudos). (KLEBER, 2009) A correta aplicação das diversas ferramentas e técnicas disponíveis pode reduzir muito a quantidade de dados que necessitam de um exame minucioso. Medidas como a utilização de filtros de palavras-chave (com ou sem expressões regulares) e a utilização de filtros de arquivos, por exemplo, por tipo, extensão, nome, permissão de acesso, caminho entre outros. (PEREIRA et al. 2007) Outra prática vantajosa é utilizar ferramentas e fontes de dados que possam determinar padrões para cada tipo de arquivo. Esta medida é útil para identificar e filtrar arquivos que tenham sido manipulados previamente. Organizações, como a NSRL (National Software Reference Library), contêm uma coleção de assinaturas digitais referentes a milhares de arquivos, o que pode facilitar a identificação de determinados tipos de criptografia utilizada para ocultação de determinados dados. (Id., 2007)
  • 85.
    85 4.2.3 ANÁLISE Após aextração dos dados considerados relevantes, o perito deve concentrar suas habilidades e conhecimentos na etapa de análise e interpretação das informações. A finalidade é identificar pessoas, locais e eventos e determinar como esses elementos estão inter-relacionados. Normalmente, é necessário correlacionar informações de várias fontes de dados. (PEREIRA et al. 2007) Um exemplo de correlação pode ser dado pela análise de um acesso não autorizado de um servidor, onde é possível identificar, por meio da análise dos eventos registrados nos arquivos de log, o endereço IP de onde foi originada a requisição de acesso, e correlacionando estes com registros gerados por firewalls, sistemas de detecção de intrusão e demais mecanismos de proteção. (Id., 2007) Além de consumir muito tempo, a análise de informações está muito suscetível a equívocos, pois depende muito da experiência e do conhecimento dos peritos. Poucas ferramentas realizam análise de informações com precisão. (Id., 2007) 4.2.4 APRESENTAÇÃO DE RESULTADOS Esta fase é tecnicamente chamada de "substanciação (sic) da evidência", pois nela consiste o enquadramento das evidências dentro do formato jurídico, sendo inseridas, pelo juiz ou pelos advogados, na esfera civil ou criminal ou mesmo em ambas. Deve representar as conclusões do perito em linguagem clara para apresentação em julgamentos (ou com dados técnicos comentados). (KLEBER, 2009) Segundo Pereira et al. (2007), "a interpretação dos resultados obtidos é a etapa conclusiva da investigação. Nesta etapa, o perito elabora um laudo pericial, que deve ser escrito de forma clara e concisa, elencando todas as evidências localizadas e analisadas. O laudo pericial deve apresentar uma conclusão imparcial e final a respeito da investigação."
  • 86.
    86 Para que olaudo pericial torne-se um documento de fácil interpretação, é indicado que o mesmo seja organizado em seções: (PEREIRA et al. 2007) • Finalidade da Investigação; • Autor(es) do Laudo (peritos envolvidos); • Resumo do caso/incidente; • Relação de evidências analisadas e seus detalhes; • Conclusão; • Anexos; • Glossário; • Metodologia / técnicas / software utilizados. Com um laudo bem escrito torna-se mais fácil a reprodução das fases da investigação, caso necessário. 4.3Live Analisys versus Post Mortem Em uma investigação forense, podem ocorrer situações onde o perito deva optar por efetuar a perícia em um dispositivo, enquanto o mesmo ainda estiver ligado, ou em um sistema ainda conectado a rede e trafegando dados. (PEREIRA et al, 2007) Por outro lado, podem ocorrer situações onde a análise será feita no arquivo de imagem extraído do disco, em um dispositivo a parte. A estes dois tipos de análise dão-se os nomes live analisys e post-mortem, respectivamente. (Id., 2007) No caso do processo Live Analisys, a investigação baseia-se em informações voláteis, as quais serão perdidas com o desligamento da máquina vítima. Informações como conexões de redes e processos em execução são exemplos de dados coletados durante este tipo de análise. PEREIRA et al, 2007)
  • 87.
    87 Podem ocorrer situaçõesonde a máquina analisada ainda está sobre domínio do atacante, desse modo, o sistema pode estar executando programas que escondam informações e dificultem o trabalho do perito. Baseando-se neste fato, o perito necessita usar um conjunto de ferramentas confiáveis e assim poderá garantir a integridade das tarefas realizadas com o auxílio das mesmas. (Id., 2007) Já o processo de investigação realizado nas cópias da mídia original chama- se post-mortem. Este tipo de análise é realizado com o auxílio de um computador, denominado estação forense, preparado com ferramentas e sistema operacional adequados, além de possuir uma grande capacidade de armazenamento de dados. (Id., 2007) Segundo Adelstein (2006), na análise post-mortem, técnicas de pesquisa de arquivos como logs de dados, verificação de data de dados e recuperação de informações excluídas e escondidas são exemplos de operações realizadas trivialmente. Uma das grandes dificuldades da investigação post-mortem, atualmente, diz respeito ao aumento da capacidade de armazenamento dos discos rígidos, de modo que o tempo e o esforço necessários para a criação das imagens é diretamente proporcionais ao tamanho do disco. Enquanto, a imagem está sendo criada, a mídia precisa permanecer off-line, sendo assim considera-se inaceitável perder horas em casos de incidentes em sistemas de tempo real ou até mesmo os de comércio eletrônico. Por causa disso, muitos juízes não ordenam mais o desligamento de servidores. (RODRIGUES e FOLTRAN, 2006) 4.4Técnicas Anti-Forense As técnicas Anti Forense são um campo de estudo recente que possuem uma série de definições, dadas por diferentes autores. Segundo o Dr. Marc Rogers, da Universidade Purdue (Indiana, EUA), técnicas anti-forense são "tentativas de afetar negativamente a existência, quantidade e/ou qualidade de evidências da cena do
  • 88.
    88 crime, ou fazercom que a análise e investigação das evidências sejam dificultadas ou impossibilitadas." (WIKIPÉDIA, 2011) No campo da ciência forense digital, há muito debate sobre a finalidade e os objetivos dos métodos anti-forense. A concepção comum é que as ferramentas de anti-forense são puramente maliciosas. Outros acreditam que essas ferramentas devem ser utilizadas para ilustrar as deficiências em procedimentos forenses digitais e para treinamento do perito forense. (Id., 2011) Métodos anti-forense são comumente desmembrados em diversas subcategorias, para facilitar a classificação das diversas ferramentas e técnicas. Uma das subcategorizações mais aceitas foi desenvolvida pelo Dr. Marcus Rogers. De acordo com ele, as seguintes subcategorias de métodos anti-forense podem ser utilizadas: ocultação de dados, ferramentas de limpeza, ofuscação de rastros e atentados diversos contra os processos e ferramentas da perícia forense digital. (Id., 2011) 4.4.1 OCULTAÇÃO DE DADOS Ocultação de Dados é uma técnica que consiste em fazer com que dados sejam difíceis de serem localizados por peritos durante uma investigação forense, mantendo-os acessíveis para o criminoso, no entanto. (WIKIPÉDIA, 2011) Algumas das formas mais comuns de esconder dados incluem criptografia, esteganografia e outras formas diferentes de ocultação de dados baseado em hardware/software. Cada um dos diferentes métodos de ocultação faz com que perícias digitais sejam mais difíceis. Quando os diferentes métodos de ocultação são combinados, eles podem tornar a investigação forense quase impossível. (WIKIPÉDIA, 2011)
  • 89.
    89 4.4.1.1 Ocultação porcriptografia Alguns programas de criptografia permitem ao usuário criar discos virtuais criptografados que só podem ser abertos com uma chave designada. Através da utilização de algoritmos e técnicas modernas de criptografia, vários desses programas tornam os dados virtualmente impossíveis de serem lidos sem esta chave. Isto acarreta maior esforço do perito forense. A ampla disponibilidade de software públicos que contém essas funções tem colocado a forense digital em grande desvantagem. (WIKIPÉDIA, 2011) 4.4.1.2 Ocultação por esteganografia Esteganografia é uma técnica onde a informação ou arquivos estão escondidos dentro de outro arquivo, numa tentativa de ocultar os dados. Este novo arquivo é geralmente deixado em locais de fácil acesso, para distrair o perito. Para que o processo esteganográfico seja desfeito, é necessário conhecer o padrão de ocultação que foi utilizado. Em outras palavras, é o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido. (WIKIPÉDIA, 2011) 4.4.1.3 Outras formas de ocultação Outras formas incluem o uso de técnicas e ferramentas para ocultação de dados em locais variados do sistema. Alguns destes locais podem incluir setores de memória, diretórios ocultos, sobras entre arquivos (espaço não utilizado entre o marcador de fim de arquivo e o final do cluster do HD, onde este arquivo está armazenado), bad blocks e partições ocultas. São escolhidos estes locais, pois alguns software forenses não realizam varreduras nestes locais. (WIKIPÉDIA, 2011)
  • 90.
    90 4.4.2 FERRAMENTAS DELIMPEZA Os métodos de limpeza são encarregados de eliminar permanentemente determinados arquivos, ou sistemas de arquivos inteiros. Isto pode ser alcançado através da utilização de uma variedade de métodos, que incluem desde utilitários de limpeza de disco até desmagnetização do disco, o que provoca a destruição total dos dados. (WIKIPÉDIA, 2011) 4.4.2.1 Utilitários de limpeza de discos Usam uma variedade de métodos para sobrescrever os dados existentes nos dispositivos de armazenamento. A eficiência da limpeza de disco contra as técnicas forenses é muitas vezes questionada, pois alguns acreditam que ela não é totalmente válida e operacional. Os utilitários de limpeza também são criticados por deixarem evidencias que comprovam que o sistema de arquivos foi modificado. (Id., 2011) 4.4.2.2 Utilitários de limpeza de arquivos São usados para excluir arquivos individuais de um sistema operacional. A vantagem desta técnica é que ela realiza suas tarefas em um período relativamente curto de tempo, em comparação com os utilitários de limpeza de disco. Outra vantagem é que geralmente deixam evidências muito menores do que os utilitários de limpeza de discos. Há duas desvantagens principais, no entanto: eles exigem o envolvimento do usuário no processo e, segundo alguns especialistas acreditam, nem sempre limpam completamente as informações dos arquivos. (Id., 2011) 4.4.2.3 Desmagnetização e destruição do disco Processo no qual um campo magnético é aplicado a um dispositivo de armazenamento magnético, como HDs. O resultado é um dispositivo totalmente limpo de quaisquer dados armazenados anteriormente. A desmagnetização é raramente utilizada como um método anti-forense, apesar de ser um meio eficaz para garantir
  • 91.
    91 que os dadosforam apagados. Isto é atribuído ao alto custo das máquinas de desmagnetização, caras e difíceis de serem adquiridas pelo consumidor comum. Já a destruição física pode ser realizada utilizando-se uma variedade de métodos, incluindo a desintegração, a incineração, a trituração e o derretimento da mídia. (Id., 2011) 4.4.2.4 Ofuscação de rastros O objetivo de ofuscação de rastros é confundir, desorientar e desviar o processo de análise forense. Abrange uma variedade de técnicas e ferramentas que incluem limpadores de registro, spoofing, a desinformação, contas falsas, entre outros. (WIKIPÉDIA, 2011) As ferramentas de ofuscação dão ao usuário a capacidade de modificar metadados do arquivo, referentes à criação, acesso e modificação de horários / datas. Na maioria dos tipos de arquivo, o cabeçalho do arquivo contém informações de identificação. A extensão .jpg, por exemplo, teria informações de cabeçalho que o identifica como um .jpg (imagem), a .doc teria a informação que o identifica como .doc (documento), e assim por diante. (Id., 2011) As ferramentas de ofuscação permitem alterar as informações do cabeçalho do arquivo, por exemplo, uma extensão do tipo imagem pode ser alterada para conter o cabeçalho do tipo documento. Se um programa forense ou sistema operacional realizasse uma busca de imagens em uma máquina, todos os arquivos com o cabeçalho do tipo documento seriam ignorados. (Id., 2011)
  • 92.
    92 4.4.3 ATENTADOS CONTRAOS PROCESSOS E FERRAMENTAS FORENSES Ferramentas anti-forenses focam em atacar o processo judicial, destruindo, ocultando e alterando dados ou informações úteis. Recentemente, as técnicas anti- forense vêm se especializando também no ataque às ferramentas forenses, que realizam as perícias durante a investigação. (WIKIPÉDIA, 2011) Estes novos métodos beneficiaram-se de uma série de fatores, que incluem procedimentos de análise forense, vulnerabilidades das ferramentas de análise e a grande dependência de suas ferramentas que os peritos costumam desenvolver. (Id., 2011) Durante uma típica análise forense, o perito iria criar uma imagem de disco do computador. Isso evita que o dispositivo original (evidência) mantenha contado direto com as ferramentas forenses. (Id., 2011) Para garantir a integridade da imagem gerada, hashes são criados pelo software de análise forense. Uma das recentes técnicas anti-forense criadas viola a integridade do hash, que é criado para verificar a integridade da imagem extraída. Por afetar esta integridade, qualquer prova coletada por este software, durante a investigação, pode ser contestada. (Id., 2011) 4.5Efetividade das técnicas anti-forense Métodos anti-forense se aproveitam, no geral, de várias deficiências no processo forense, como: elemento humano, dependência de ferramentas, e a limitação física e lógica dos computadores. (WIKIPÉDIA, 2011) Ao reduzir a susceptibilidade do processo judicial a estas deficiências, o perito pode reduzir a probabilidade de métodos anti-forense obterem êxito durante sua investigação. Isso pode ser obtido através do treinamento constante destes peritos, assim como a utilização de mais de uma ferramenta durante o processo de análise. (Id., 2011)
  • 93.
    93 4.6Algumas ferramentas paraa perícia forense digital Existem no mercado diversas ferramentas para análise forense, desde software proprietários, específicos para um sistema operacional, até software de código aberto. No entanto, a quantidade de ferramentas não deve ser o referencial para o sucesso de uma perícia, uma vez que cada evento determina qual o tipo de ferramenta a ser utilizada, e, conseqüentemente, o rumo que a investigação irá tomar. 4.6.1 MICROSOFT COFEE Pode ser utilizado no caso da investigação estar sendo conduzido em ambiente Microsoft Windows que, de acordo com estatísticas de 2009, está presente em aproximadamente 85% das máquinas, entre EUA, Europa e Brasil. (WIKIPÉDIA, 2011) O COFEE é um kit de ferramentas para extração de evidência em investigações forenses e funciona através de uma memória USB ou HD externo. Possui uma interface gráfica, com cerca de 150 ferramentas. (Id., 2011) Entre outras funções, ele coleta dados da memória volátil, que tenham sido perdidos após o desligamento do computador, decodificação de dado criptografado para o seu formato original e recuperação de histórico de acessos a Internet. (Id., 2011) - Figura 11
  • 94.
    94 Figura 11 -Microsoft COFEE. Fonte: Wikipédia (2011).
  • 95.
    95 4.6.2 EnCASE Desenvolvida pelaempresa Guidance Software, é um conjunto de aplicativos forenses usado para análise de mídia digital. Sua disponibilidade é restrita para peritos forenses que estejam envolvidos em investigações privadas, em processos civis ou criminais. Seus aplicativos incluem ferramentas para aquisição de dados, recuperação de arquivos, análise de palavras e frases contidas em conversações armazenadas em emails, logs de chats entre outros. Seu uso requer treinamento especial. (WIKIPÉDIA, 2011) - Figura 12 Figura 12 - EnCase (v 6.16.1). Fonte: Wikipédia (2011).
  • 96.
    96 4.6.3 RECOVER MYFILES Utilizado para recuperar arquivos deletados previamente ou unidades formatadas em Sistemas Windows. Quando um arquivo é apagado em um computador Windows, o conteúdo dele não é destruído. O Windows mantém uma lista de todos os arquivos armazenados numa tabela conhecida como MFT (Master File Table). (WIKIPÉDIA, 2011) O software varre o MFT para localizar o arquivo que foi excluído marcadores e torna possível para depois recuperá-los. Em casos onde o MFT está corrompido, o software varre todo o disco para localizar arquivos individuais por sua estrutura (cabeçalho e rodapé original) e de conteúdo. (Id., 2011) - Figura 13 Figura 13 - Recover my Files. Fonte: Wikipédia (2010).
  • 97.
    97 4.6.4 CallerIP Esta ferramentaauxilia na indicação de entradas, saídas e invasões de IP em uma máquina qualquer da rede. As informações contidas nesse instrumento, ao final de uma varredura, oferecem informações que mostram qual a origem dos ataques aos sistemas computacionais que sejam acessíveis através da Internet. Seus relatórios mostram o país de origem, o tipo de ataque, a porta utilizada para invasão, entre outros. Também pode ser utilizado de maneira ativa, monitorando a atividade das portas no sistema e alertando o usuário em caso de ataque iminente. (WIKIPÉDIA, 2011) - Figura 14 Figura 14 - Dashboard do CallerIP. Fonte: Wikipédia (2011).
  • 98.
    98 4.6.5 WIRESHARK O Wireshark(anteriormente conhecido como Ethereal) é um programa que analisa o tráfego de uma rede e o organiza por tipos de protocolos. Através desta organização, é possível controlar o tráfego da rede e saber tudo o que efetivamente entra (tráfego IN) e sai (tráfego OUT) pela interface de rede de um computador específico, mostrando os diferentes protocolos. Também é possível controlar simultaneamente o tráfego de um determinado dispositivo de rede numa máquina que tenha uma ou mais placas de redes. (WIKIPÉDIA, 2011) - Figura 15 Figura 15 - Wireshark. Fonte: Wikipédia (2011). 4.6.6 FTK FORENSIC TOOLKIT Coleção de software voltados para a forense computacional, desenvolvido pela AccessData. Dentre suas funções, efetua uma varredura nos discos rígidos, buscando informações que variam desde emails deletados até padrões de textos, que possam ser usados na identificação de senhas ou então chaves para decodificação de criptografia. O kit também inclui um software para produção de imagens de discos, chamado FTK Imager que, além da produção da imagem, utiliza algoritmos hash para confirmar a integridade dos dados antes de fechá-los. (WIKIPÉDIA, 2011)
  • 99.
    99 4.6.7 LINHA DECOMANDO Linha de comando é a interface não gráfica do Sistema Operacional onde são digitados os comandos para execução de certas aplicações. Sistemas operacionais, como o Linux, são utilizados em processos forenses digitais devido a sua confiabilidade e aplicações embutidas em linhas de comando que possam vir a ser utilizadas em determinadas etapas da forense digital, como limpeza de discos, criação de imagens e verificação de integridade. Além de ser gratuito, ocupa menos espaço em disco e utiliza menos capacidade de processamento do que software com interface gráfica. (WIKIPÉDIA, 2011) - Figura 14 4.7Considerações finais do Capítulo 4 O crescente número de eventos criminais, fraudes e vazamentos de informações envolvendo o meio digital, vêm provocando na sociedade a necessidade de expandir seu grau de conhecimento sobre o assunto. O conhecimento adquirido pode ser tanto utilizado na perpetração de novos delitos quanto na prevenção, porém, por maiores que sejam os mecanismos preventivos que a Segurança da Informação possa propiciar às organizações e a sociedade, não existe maneira de erradicar a prática criminal, pois sempre existirão indivíduos especializando-se neste assunto. Como exemplo, o Pentágono, sede do Departamento de Defesa dos Estados Unidos que tem cerca de 85 mil pessoas trabalhando em segurança virtual, entre militares e civis, afirma que é teoricamente impossível construir uma rede que não possa ser invadida. (UOL, 2011)
  • 100.
    100 Os crimes digitaistornam-se cada vez mais complexos, e as empresas privadas e os processos civis e penais cada vez mais requisitam mão de obra de alto nível de especialização. O perito forense digital deve carregar este grau de conhecimento, aliando técnicas específicas, ferramentas e legislação, para então efetuar corretamente a análise investigativa da evidência digital. Portanto, é latente a necessidade de envolver o perito numa condição de constante especialização, tanto nos aspectos técnicos, pois suas próprias ferramentas podem ser utilizadas contra ele durante uma investigação, quanto nos aspectos legais, já que a constante adaptação da sociedade perante o tratamento do crime digital provoca constantes tentativas de mudança e/ou re-interpretação da legislação vigente, e acompanhar estas mudanças é fundamental para que a prática do perito esteja sempre fundamentada na lei.
  • 101.
    101 5 ESTUDO DECASO O Estudo de Caso foi extraído na integra e traduzido livremente de Gupta e Laliberte (2004). 5.1Introdução: o "dedo-duro" Um empregado insatisfeito de uma grande companhia deixa uma mensagem no "disque-fraude" da empresa, indicando que ele possuía informações a respeito de fraudes sendo cometidas por executivos de alto nível da corporação. Dentro de algumas horas, a terceirizada que gerenciava o "disque-fraude" entrou em contato com o funcionário insatisfeito e coletou maiores informações. Logo após, estas informações foram passadas ao Presidente do Comitê de Auditoria da companhia. Tais alegações nunca devem ser tratadas de forma leviana, mas algo a respeito da pessoa que efetuou a denúncia e as informações apresentadas proporcionou a acusação mais credibilidade, então, um escritório de advocacia foi contratado para conduzir uma investigação completa. Dentro de 24 horas, os investigadores do escritório já estavam no local. Os esforços iniciais dos investigadores eram reunir-se com o delator e coletar o maior número de informações a respeito da fraude. As informações coletadas levaram a conclusão de que a fraude facilmente resultaria na perda de milhões de dólares. Informações iniciais identificaram que vários executivos-chave da organização como potenciais conspiradores em um esquema para inflar os valores de receita da companhia, no intuito de maquiar os lucros e, conseqüentemente, os valores dos salários anuais e dos bônus destes executivos. O advogado do escritório contratado assumiu a posição de investigador principal. Um maior time investigativo, constituído por mais de 20 auditores financeiros, contadores e advogados especializados em direito empresarial, também foi montado. Sob a direção de conselho, três objetivos foram delineados para este time investigativo:
  • 102.
    102 • Constatar quede fato atividades fraudulentas ocorreram; • Examinar emails, comunicações internas, e os sistemas computacionais de todas as partes potencialmente envolvidas, numa tentativa de obter provas e/ou documentações que comprovem a fraude pressuposta; • Identificar a total extensão financeira da suposta fraude, e definir como exatamente os relatos, que certamente ocorrerão, serão feitos. Este estudo de caso foca o segundo objetivo. Trabalha-se sob a hipótese formulada pelos investigadores de que certa quantidade de atividade fraudulenta realmente ocorreu. Esta não é uma hipótese pequena, e foi colocada simplesmente para sintetizar e para checar ao ponto mais importante do caso. Não se quer sugerir, mesmo com o atual nível de escândalos corporativos, que supostas fraudes são imediatamente consideradas verdadeiras. Tais alegações devem ser investigadas cuidadosamente, algo que certamente ocorreu neste caso. 5.2Preparação A chave para uma perícia forense computacional bem sucedida é a preparação. A preparação não é necessária somente para aumentar a efetividade de tarefas que serão executadas, mas também é fundamental para preservar toda e qualquer potencial evidência a ser usada em corte. Se existir uma singela suspeita de que uma evidência foi contaminada durante a investigação, ela não poderá ser utilizada na tentativa de se processar as potenciais partes culpadas. Embora não seja o que se quer, ter-se-á que omitir os nomes dos executivos de alto nível envolvidos neste caso.
  • 103.
    103 No início dainvestigação deste caso, tenta-se aprender o máximo possível sobre os sistemas "suspeitos" a serem analisados, incluindo o seguinte: • Tamanho dos discos rígidos; • Tipo de cada disco - por exemplo, IDE, SCSI; • Sistemas Operacionais; • Dispositivos de armazenamento associados, por exemplo HD externo, CDs, fitas; • Quantidade nomes de usuários dos sistemas. Em qualquer análise forense computacional, você possui um computador suspeito e um computador para análise. O computador suspeito será aquele analisado pela perícia. Já o computador de análise será aquele utilizado como ferramenta para a análise pericial. Trabalhou-se com o time de gerenciamento de análise de TI, e obtive-se uma planilha de inventário com toda a informação necessária. Como se pode imaginar, o time foi bastante cooperativo. Nossa primeira preocupação foi o tamanho dos discos rígidos, porque se precisa preparar o sistema de análise estando certos de que se teria a quantidade necessária de espaço em disco para armazenar as imagens dos discos suspeitos, além da interface correta para cada disco. Uma vez confiantes de que se tinha espaço e tipos de disco suficientes, eliminaram-se completamente todos os seus dados e certificou-se de que estavam em corretas condições operacionais. Devido ao fato de utilizar o mesmo disco de análise para múltiplas análises, é importante que os discos sejam corretamente apagados entre as etapas. Os dados de uma atividade nunca devem terminar em outras.
  • 104.
    104 Caso exista qualquerdúvida a respeito do processo de eliminação de dados, é recomendável a compra de novos discos. Na verdade, comprar novos discos é uma prática comum, pois quando a investigação está apoiando um processo legal, o disco torna-se uma evidência. Dificilmente, tem-se de volta, pois uma apelação pode existir mais adiante e a evidência original será novamente investigada (por outros peritos). Um disco pode ser completamente apagado de várias formas. Por exemplo, através da função DD, do Sistema Operacional Linux, ou qualquer outro software comercial disponível. O processo consiste na escrita repetida de uma série de caracteres no disco rígido, e basicamente substituindo e apagando completamente os dados que ali estavam antes do inicio da atividade forense. Esta etapa adicional garante que nenhum dado indesejado irá existir em nossos discos de análise até que um membro de nosso disco o coloque no sistema de análise. Para utilizar o Linux DD, e apagar todo o conteúdo do disco, a seguinte linha de comando deve ser utilizada: # > dd if=/dev/urandom of=/dev/hda Onde "/dev/had" é o endereço físico do disco a ser utilizado para análise, e urandom é o gerador randômico de caracteres padrão do Linux. Este processo pode ser repetido infinitas vezes. Muitos profissionais eliminam completamente os dados dos discos rígidos repetindo este comando de três a nove vezes. Ao examinar um disco cujos dados foram completamente eliminados, você verá somente uma série de caracteres randômicos. Nenhum dado deve permanecer no disco após o termino desta etapa.
  • 105.
    105 5.3 A naturezae a fonte da acusação Outro passo fundamental na preparação foi o trabalho conjunto com os auditores e os advogados, para assegurar que nossos técnicos forenses compreenderam a natureza e o escopo da investigação e o propósito na condução da forense computacional. Basicamente, precisava-se assegurar que todos compreenderam seu papel e posicionamento perante os objetivos gerais do time. Viabilizou-se esta tarefa através de reuniões, realizadas todos os dias, no primeiro horário da manhã. Os encontros proporcionaram oportunidades de troca de informações entre os técnicos forenses e o time de investigadores financeiros. As reuniões também proporcionaram a oportunidade de estabelecer uma colaboração coletiva na identificação do tipo de informação os peritos deveriam buscar durante a forense computacional. Para este projeto em particular, os investigadores financeiros sugeriram que planilhas de Excel, documentos do Word, apresentações do PowerPoint e trocas de email seriam os locais mais prováveis para o aparecimento de evidências da fraude, assim como indicador dos participantes na mesma. A partir das informações coletadas nestas reuniões, elaborou-se, colaborativamente, uma lista de termos-chave a que seria usada mais tarde no processo forense. Os termos foram determinados pelo tipo de informação que estava sendo procurada, e que seriam comuns a casos de fraude contábil; outras palavras eram específicas ao ramo de negócio, à companhia e aos executivos envolvidos. Ao se desenvolver uma lista de termos-chave para busca, normalmente, inclui-se os nomes das pessoas sendo investigadas, assim como outros grupos pertinentes, como clientes, fornecedores e parceiros de negocio, ou seja, nomes de quaisquer entidades relevantes. Exemplos de termos de busca que possam ser utilizados em fraudes contábeis são mostrados na Tabela 5.
  • 106.
    106 Tabela 5 -Possíveis termos de busca para casos de fraude contábil. Concessão Crescimento Supervalorização Auditoria Incentivo Conforme conversado Balanço inicial Receita Adiantamento Bonus Em relação a A Receber Confirmar Interno Reembolso Dedução Investigar Total Obtido Investigação Fim de Ano Fonte: Gupta e Laliberte (2004). O uso para tais termos, especialmente, quando estiverem sendo utilizados em buscas dentro de emails, é para verificar se os suspeitos estiveram ou não trocando informações uns com os outros sobre a investigação, ou falando de potencial investigação caso sejam pegos (tal evidência provaria premeditação, negando a defesa do tipo "eu não sabia que isto era contra as regras"). Por este motivo, as palavras "investigar" e "investigação" foram incluídas na lista de termos para busca. Algo que se deve mencionar é que colaboraram com os advogados e com os contadores no desenvolvimento dos termos de busca. Certamente, sempre se busca o parecer dos investigadores financeiros a respeito dos tipos de evidência a serem localizadas. Mas isso não sugere que eles estiveram controlando a perícia forense. Se houvessem dúvidas sobre incluir ou não um termo, o mesmo era incluído. A seriedade do caso (e, imagina-se, o profissionalismo dos envolvidos) permitiu que a situação permanecesse colaborativa, e não competitiva.
  • 107.
    107 5.4Coleta de Evidênciae Cadeia de Custódia A parte crítica de qualquer perícia forense computacional é assegurar que a coleta de evidência e a manutenção da cadeia de custódia sejam feitas adequadamente. "O controle positivo" é a frase mais comumente utilizada na descrição do padrão de precaução no manuseio de potencial material de evidência, por exemplo, sistemas computacionais suspeitos, discos rígidos e qualquer cópia de backup. Você precisa estar certo que será possível identificar o "quem", o "qual", o "quando", o "onde", o "como" e o "por que" de cada evidência ou material coletado durante a investigação: • Quem. Quem manuseou a evidência? • Qual. Quais procedimentos foram realizados sobre a evidência? • Quando. Quando a evidência foi coletada e/ou transferida para outro grupo? • Onde. Onde a evidência foi coletada e armazenada? • Como. Como a evidência foi coletada e armazenada? • Por que. Por que a evidência foi coletada? Caso a evidência necessite mudar de mãos por diversas vezes, precisará manter uma longa lista de informação para manter o histórico de todas as transferências, desde a primeira delas. No início da investigação presente neste estudo de caso, identificaram-se, aproximadamente, 20 computadores passíveis de perícia forense. No entanto, trabalhando com os usuários do Departamento de TI, descobriu-se que os computadores em posse das pessoas haviam sido recentemente substituídos, e os computadores antigos ainda estavam presentes no local. Isto significa que se teria de manter controle sobre, aproximadamente, 40 computadores.
  • 108.
    108 Os auditores daequipe instalaram-se temporariamente em um escritório próximo ao cliente, que serviu como "quartel general" da investigação. Devido ao fato de os membros da equipe terem vindo de diferentes empresas, precisava-se de um espaço de trabalho que fosse ao mesmo tempo adequado e próximo ao cliente. O escritório possuía uma serie de pequenas salas, que poderiam ser utilizadas como salas de entrevista, assim como uma grande sala de conferência, que seria o principal local de trabalho. Antes de mudar-se para a sala de conferência, um chaveiro foi contratado para instalar uma nova fechadura na porta da sala. Apenas três cópias da chave foram disponibilizadas, e todas marcadas com a frase "não copiar". As cópias foram dadas a dois investigadores e ao advogado principal do caso. As chaves seriam devolvidas ao dono do prédio assim que encerrada a investigação. O advogado principal expressou certa desconfiança em ter todo o trabalho do time protegido somente por uma única porta. A trava da fechadura estava tão exposta que qualquer pessoa determinada poderia invadir a sala usando um cartão de crédito ou fio de cabide, movendo a trava da fechadura e abrindo a porta. Foi perguntado ao time de segurança se algo mais poderia ser feito. Para adicionar mais uma camada de segurança, recomendou-se que fosse instalada uma mini-câmera com sensores de presença baseados em radar. As imagens gravadas eram armazenadas em um gravador VHS (Video Home System), que era ligado após o expediente, nos finais de semana ou em qualquer momento em que menos de três pessoas estivessem na sala. Com a câmera instalada, era possível monitorar qualquer pessoa entrando, se movimentando dentro e saindo da sala. Selecionou-se o sensor baseado em radar porque se precisava manter o aparato oculto dentro da sala de conferência.
  • 109.
    109 Durante o dia,muitos clientes, incluindo os suspeitos, entravam na sala, para executarem atividades rotineiras de trabalho. Não se queria que nenhum deles soubesse que a câmera havia sido instalada, então, ela teve de ficar completamente fora de visão. Além disso, se alguém invadisse a sala após o expediente, a possibilidade de este indivíduo obstruir o sensor da câmera seria muito menos provável, se comparado com as câmeras convencionais de infravermelho. Com o sensor de movimento ligado, a câmera começaria a gravar assim que alguém entrasse na sala. Foi adicionada uma bateria externa, tanto na câmera quanto no gravador. No caso de a energia elétrica ser cortada, seria possível manter os dispositivos ligados por adicionais 60 horas. Quando existe suspeita fraude, especialmente quando milhões de dólares estão em jogo, todo cuidado é pouco. 5.5Tire suas mãos deste teclado e afaste-se devagar Com a sala protegida, partiu-se para o confisco de todos os computadores e outros dispositivos dos suspeitos. Diversos membros do departamento de segurança do cliente trabalharam em conjunto neste processo. A assistência deles proporcionou a efetiva maneira de obter os computadores dos empregados da empresa (tanto empregados comuns, quanto executivos), pois estes empregados não estavam esperando o confisco e não estavam preparados para resistir às exigências do departamento de segurança da empresa. O fato de alguém do departamento de segurança estar realizando o confisco fez com que o processo de entrega dos dispositivos e computadores fosse tolerado pelos colaboradores. Reclamar todos podem, mas os empregados não tinham escolha. Precisava-se que o processo de confisco fosse excepcionalmente executado de maneira rápida, porque se queria mitigar o risco de alguém deletar arquivos ou emails pertinentes dos computadores. Assim, feito o confisco todo de uma vez, criando times com número de integrantes iguais ao numero de suspeitos.
  • 110.
    110 Uma vez queos computadores e todos os dispositivos foram confiscados pela equipe de segurança, acompanhados de profissionais internos pertencentes a equipe, utilizou-se um formulário (Figura 16), para certificar que documentados corretamente a cadeia de custódia. Ambas as equipes (uma composta de membros de segurança do cliente e a outra pelo investigador forense) assinaram o formulário, assim como os suspeitos. Se alguém se recusasse a assinar o formulário, a recusa seria anotada e a assinatura de uma testemunha (outro funcionário que estive no local) também era coletada (quando confrontados com a ameaça de envolvimento de testemunha, muitos suspeitos assinaram o formulário, em silencio). Este processo foi repetido quando o computador era devolvido ao cliente.
  • 111.
    111 Figura 16. Formuláriode cadeia de custódia (estudo de caso). Fonte: Gupta e Laliberte (2004).
  • 112.
    112 5.6Extração de imagemdos discos rígidos O processo de extrair uma imagem de um disco rígido suspeito é um dos mais críticos no processo da forense computacional, talvez o mais crítico. É extremamente importante que nenhum dado seja escrito no HD suspeito durante o processo. Para assegurar a integridade dos mais de 40 HDs a terem imagens extraídas e analisadas, utilizou-se a função do Linux DD para efetuar a extração de imagem: # > dd if=/dev/hda of=/mnt/image.dd Onde /dev/hda é o endereço físico do HD suspeito, e /mnt/image.dd será o arquivo de dados brutos para onde a imagem será escrita. Utilizar o Linux DD significa conectar o HD do suspeito ao computador análise e copiar todos seus dados em um arquivo de análise. O Linux DD realiza uma cópia bit-a-bit do HD suspeito e armazena esta imagem em um arquivo chamado raw data (traduzido livremente como dados brutos). Este arquivo contém todo o conteúdo original do HD suspeito, incluindo a estrutura lógica dos arquivos e espaços não alocados. O computador de análise possuía discos de 300 GB cada, portanto, foi possível armazenar cerca de cinco ou seis dados brutos de dispositivos suspeitos em cada disco. É fundamental validar que todo bit e byte do computador suspeito foi copiado corretamente para o computador de análise. Para realizar esta validação, antes de utilizar o Linux DD, utilizou-se um utilitário chamado MD5 checksum (verificação do número de bits que estão sendo transferidos para descobrir erros na transferência), nativo do Linux. Executou-se primeiro um checksum no HD suspeito, então, usou-se o DD para criar o arquivo de imagem, e finalmente realizou-se outro checksum, desta vez no arquivo de dados brutos extraído. Os resultados dos dois checksum são
  • 113.
    113 comparados, e secertificou que os conteúdos do HD suspeito original e do arquivo de dados brutos eram idênticos. Eis o comando para utilizar o utilitário MD5 do Linux: No HD original: # > md5sum /dev/hda 77538d7cdb02e592e1787f6905235b89 /dev/hda No arquivo de dados brutos: # > md5sum /mnt/image.dd 77538d7cdb02e592e1787f6905235b89 /mnt/image.dd Ao comparar os resultados, é possível afirmar que a imagem extraída pelo DD é exatamente igual ao original. 5.7Análise da estrutura lógica de arquivos Após a extração das imagens dos discos suspeitos, revisou-se a estrutura lógica de arquivos. Para facilitar este processo, o time utilizou a ferramenta EnCase, um software licenciado para perícia forense. O Sistema Linux, anteriormente usado na extração das imagens, serviu desta vez como Servidor de Arquivo, utilizando o Samba como mecanismo de compartilhamento de arquivos. Os computadores, baseados em Sistema Operacional Windows, puderam acessar os dados brutos dos arquivos com as imagens dos HDs suspeitos. Utilizando o EnCase, abriu-se cada arquivo de dados brutos e começou a análise. O EnCase possui a tecnologia nativa de ler o arquivo e apresentar os dados como se o dispositivo estivesse conectado a um computador, o modo de visualização representado é similar ao sistema de navegação de arquivos e pastas do Windows Explorer, presente em um computador com Sistema Operacional Windows (vide Figura 17).
  • 114.
    114 Figura 17 -Estrutura de exibição de dados do EnCase. Fonte: Gupta e Laliberte (2004). A análise da estrutura lógica de arquivos envolveu tanto processos manuais quanto automáticos. O software forense utilizado facilita ambas as tarefas. Através do EnCase, conseguiu-se buscar através dos diretórios dos computadores suspeitos e rapidamente localizar todos os arquivos que pareciam pertinentes à investigação. Como forma de precaução, revisitou-se todos os diretórios manualmente, identificando possíveis arquivos que não tenham sido detectados automaticamente pelo sistema de busca do EnCase. Todo arquivo com potencial para a investigação foi copiado para o computador de análise, para depois ser incluído no relatório de análise forense. Ao realizar esta etapa, é importante gravar o endereço lógico do arquivo, que seria o endereço completo do caminho onde ele está armazenado, por exemplo, o endereço completo do diretório Systems32 em muitos sistemas Windows é C:WinntSystem32.
  • 115.
    115 5.8Análise dos espaçosnão alocados e das sobras entre arquivos Depois de completar a análise da estrutura lógica do arquivo, focaram-se as análises dos espaços não alocados do disco e o sobras entre arquivos. Espaço não alocado, também chamado de espaço livre, é a porção do disco que não está sendo utilizada; sobras entre arquivos (tradução livre do termo File Slack) é o espaço não utilizado criado entre o marcador de fim de arquivo e o final do cluster do HD onde este arquivo está armazenado. Algumas vezes, dados escritos neste espaço podem ter valor para investigadores. Usando um software específico para facilitar o processo é a maneira mais fácil para completar esta etapa da analise. Conforme anteriormente, o EnCase foi usado neste exame. Essa abordagem teve duas partes: (1) extraiu-se e recuperou-se os dados deletados contidos no espaço não alocado que foram analisados subseqüentemente e (2) executaram-se as buscas de seqüências de caracteres neste mesmo espaço não alocado e também nas sobras entre arquivos, numa tentativa de localizar dados relacionados ao fato sendo investigado. Mesmo com a assistência do software, este processo pode consumir muito tempo e ser potencialmente longo. Os resultados da extração de dados excluídos podem resultar em amontoados volumosos de informação. Neste caso, várias centenas de arquivos de todos os HD tiveram de ser analisadas. Além disso, todos os arquivos identificados devem ser analisados. Não se pode simplesmente revisar o arquivo até encontrar o material que se está procurando, e que auxiliará no caso, e simplesmente parar. Isto levaria a uma avaliação incompleta e até injusta da potencial evidência. Portanto, para acelerar o processo de análise dos espaços não alocados do disco usou-se um utilitário chamado dtSearch. Colocaram-se todos os arquivos extraídos em um mesmo diretório, alimentou-se o dtSearch com os termos de busca e então a ferramenta fez uma varredura nos arquivos, para encontrar aqueles que sejam pertinentes para nossa investigação.
  • 116.
    116 Assim como ocorreuna análise da estrutura lógica dos arquivos, quando potenciais evidências são encontradas, o endereço completo do caminho no disco, que levará a estas evidências, deve ser gravado. No entanto, devido ao fato de que espaço não alocado e sobras entre arquivos estão fora da estrutura de endereçamento lógica, precisou-se gravar o endereço físico de qualquer evidência, incluindo basicamente os endereços de cluster e setores, por exemplo, cluster 11155, setor 357517. 5.9O flagrante Embora, todos os membros do time investigativo estivessem sedentos para encontrar um flagrante, como um email de um executivo dizendo "eu irei mentir sobre o número para aumentar meu bônus anual - os acionistas que se danem", nada deste tipo foi encontrado. Além disso, nenhum relatório financeiro, apresentação de PowerPoint, ou documento de Word que claramente indicava qualquer participação, individual ou de um grupo, em uma fraude, sequer que uma fraude ocorreu realmente. Ao invés disso, a investigação foi um processo repetitivo, onde foram descobertos somente pequenos fragmentos de varias informações, como rascunhos de relatórios financeiros, relatórios marcados como confidenciais e trocas de emails entre os suspeitos. Estes fragmentos foram apresentados ao time de contadores, que os analisavam e então nos solicitavam que mais evidências deste tipo fossem procuradas. Algumas vezes, os contadores vinham com direcionais de busca. Por exemplo, eles poderiam nos solicitar que se buscassem por nomes de uma corporação externa, somente para verificar o que apareceria nos resultados. Em alguns casos, um grande volume de dados relevantes era encontrado; em outros, nada relevante aparecia. Neste processo de "idas e vindas", a fraude foi montada.
  • 117.
    117 5.10Confeccção dos relatórios Assimque a análise foi concluída, passou-se a montar o rascunho do relatório. Esta é outra etapa crítica no processo forense, e quis-se certificar de que se estava fazendo o relato da forma correta. Reunidos com os investigadores e advogados principais do caso, e fornecido os relatórios verbais dos resultados das análises, assim como a papelada gerada. Como se estava trabalhando juntos durante todo o processo, eles estavam cientes da maioria dos achados, mas uma apresentação ainda deveria ser feita, pois se precisava certificar que se não havia nenhum mal-entendido. Além disso, embora o formato de relatório fosse modelo, o que nos deixava confortáveis, precisava-se saber como deveria ser classificado (por exemplo, confidencial, sensível, secreto, restrito a cliente/advogado). Esta é uma consideração importante, que, em geral, é melhor ser deixada aos advogados. Concordou-se em desenvolver um relatório usando o Microsoft Word, e incluir links para arquivos pertinentes, armazenados em um CD-ROM que acompanhava o relatório. Ao inserir o CD em qualquer computador, o relatório seria automaticamente aberto ao advogado que o desejasse ler. Ele poderia, então, facilmente analisá-lo e selecionar livremente os arquivos a serem vistos. O relatório, assim como todos os dados e papéis gerados durante o trabalho investigativo, estaria no CD-ROM. O relatório escrito poderia ser impresso, já os dados e a papelada, devido ao seu volume, tornariam a impressão inviável. 5.11Lições aprendidas Apesar de nenhum flagrante ter sido encontrado durante a investigação, foram descobertas evidências suficientes (documentos eletrônicos chave, emails, planilhas eletrônicas, apresentações de PowerPoint) que, ao serem colocadas juntas,
  • 118.
    118 identificaram como osexecutivos cometeram a fraude e se comunicaram uns com os outros sobre a atividade fraudulenta. Porém, neste caso em particular, toda a informação descoberta através da pericia forense digital foi classificada como evidência circunstancial, e tudo o que foi achado era crítico para completar a investigação. No entanto, nada que foi achado continha o flagrante que os peritos estavam esperando encontrar. Felizmente, para o time investigativo (e para a companhia envolvida), um dedo-duro e outros funcionários da companhia estavam dispostos a falar com o time investigativo, e provê-lo com informações cruciais para revelar os detalhes da fraude. Para o bem da justiça, deve ficar claro que a investigação também eximiu certos suspeitos da culpa na fraude. Este é o principal papel dos profissionais da forense digital. São obrigados não somente a apresentar as evidências de que um incidente de fato ocorreu, mas também apresentar evidências sugerindo que um incidente não ocorreu. Depois que a investigação foi concluída, os advogados principais do time investigativo providenciaram o relatório completo ao time de auditoria. O relatório apontava especificamente quais funcionários da empresa, na sua maioria executivos, estavam envolvidos na fraude, sem tentar avaliar a culpabilidade destes (advogados têm maior liberdade e habilidade em determinar o valor de culpa). O relatório também continha informação sobre controles internos deficientes, que permitiram que a fraude ocorresse, e maneiras de mitigar o risco deste tipo de fraude no futuro. O time auditor da companhia tomou ações rápidas e decisivas, demitindo todos dos executivos envolvidos na fraude e recomendando mudanças significativas nos relatórios financeiros internos da companhia e controle sobre o ambiente.
  • 119.
    119 5.12Análise do estudode caso Ao receber e analisar a denúncia de suposta fraude, o comitê auditor da empresa decidiu contratar os serviços de um escritório de advocacia. Todos os sistemas da empresa eram informatizados, incluindo os módulos contábeis, sistemas de gestão de informações internas e emails; as provas substanciais, que evidenciariam a fraude e apontariam os culpados, estavam contidas nestes meios. Por este motivo, um time de peritos forenses digitais foi requisitado. Houve grande preocupação com a segurança do ambiente onde a investigação estava sendo conduzida, incluindo sistemas de controle de acesso e vigilância. A atuação dos peritos foi embasada por um time de especialistas em contabilidade, que auxiliaram os forenses na escolha dos termos-chave para a busca de evidências, e de advogados, que apoiaram a elaboração e apresentação dos resultados. Pode-se observar que o Processo Forense Digital, abordado no capítulo quatro desta monografia, foi amplamente utilizado durante o processo investigativo. A Figura 18, adaptado de Pereira et al (2007), compila as atividades identificadas no Estudo de Caso e as correlaciona com as etapas forenses correspondentes.
  • 120.
    120 Figura 18 -Visão geral do Processo Forense Digital aplicado no Estudo de Caso. Fonte: Adaptado de Pereira et al. (2007). Por fim, observou-se que as evidências levantadas pelos peritos foram fundamentais no apontamento dos perpetradores da fraude. Justando as evidências com depoimentos espontâneos de algumas pessoas, a empresa conseguiu subsídios suficientes para demitir os executivos envolvidos na fraude financeira e eximir da culpa outros suspeitos que, de fato, não tinham envolvimento algum na fraude. E este "é o principal papel dos profissionais da forense digital. (Eles são) obrigados não somente a apresentar as evidências de que um incidente de fato ocorreu, mas também apresentar evidências sugerindo que um incidente não ocorreu." (GUPTA e LALIBERTE, 2004)
  • 121.
    121 6 CONCLUSÃO A preocupaçãocom o efeito dos crimes digitais sobre a sociedade é abordada por diversos autores, levantando questões legislativas, políticas, técnicas e comportamentais. Não há consenso de que deva existir tipificação criminal que legisle especificamente sobre o crime digital, uma vez que o computador acaba sendo apontado como o meio de uma prática criminal atualmente já tipificada na lei. Porém, existe concordância sobre o fato de que o assunto vem despertando o interesse dos órgãos públicos e privados, legisladores e políticos. A legislação brasileira consegue tipificar alguns crimes digitais, dentro de um contexto específico, porém, ainda existem brechas legais que devem ser estudadas mais profundamente por instituições legislativas. O fator humano também é um elemento bastante recorrido nas afirmações de diversos autores pesquisados nesta monografia. Afirma-se que a evolução da sociedade e da informação é constante. Muitas das tecnologias, dos procedimentos, das normas e dos outros elementos que buscam prezar pela segurança da informação e prevenção de crimes digitais passam a existir, e a evoluir, quando surge a necessidade de se construir um ambiente mais seguro contra as ameaças que membros mal intencionados da própria sociedade acabam criando contra ela própria. No entanto, por mais evoluídos que sejam os mecanismos preventivos e por mais claras que sejam as normas e regulamentações, existe consenso de que deve partir do indivíduo a noção de que ele deve cumprir seu papel na vigilância sobre a informação que manipula, responsabilidade no cumprimento de seu trabalho e consciência sobre a conseqüência de seus atos. Por outro lado, a organização deve procurar institucionalizar esta consciência em todos os seus níveis. As punições para aqueles que desrespeitarem as regras também devem ser igualitárias, não distinguindo cargo ou nível hierárquico. Um ambiente organizacional sem qualquer controle, que carregue informação valiosa ou simplesmente desperte algum interesse em indivíduos maliciosos, é mais suscetível aos crimes digitais.
  • 122.
    122 A evolução doscrimes provoca também a evolução dos instrumentos e elementos que atuam na sua investigação. Assim, a perícia forense também se tornou digital, e vem procurando andar lado a lado com a evolução das técnicas criminais dentro do contexto virtual. Desta nova prática, nascem novos profissionais, que buscam aliar os conhecimentos em informática com a legislação, no intuito de apoiarem e solucionarem crimes informáticos onde o computador tenha sido o meio, pessoas ou organizações, as vítimas, e uma ou dezenas de pessoas tenham sido os perpetradores. A análise da informação "bit a bit" deixou de ser uma analogia e passou a ser uma realidade. Conforme o dado torna-se relevante e passa a ter valor de informação, carregando segredos industriais, estratégias de mercados e outros elementos competitivos ou simplesmente informações privadas de um determinado indivíduo, crescem também os interesses maliciosos de outros indivíduos em construir métodos e ferramentas para chegar até esta informação e obtê-la ilicitamente. A técnica da perícia forense digital começa então a ser usada no contexto corporativo, como mais um recurso que as organizações utilizam na proteção de sua inteligência competitiva, neste ciclo vicioso onde a sociedade procura estar um passo adiante do infrator, e o infrator, dois passos adiante da sociedade.
  • 123.
    123 REFERENCIAL BIBLIOGRÁFICO AGUIARI, Vinicius.Lei Azeredo é ressuscitada na Câmara. INFO. Segunda-feira, 25 de outubro de 2010. Disponível em: <http://info.abril.com.br/noticias/internet/lei- azeredo-ressuscita-na-camara-25102010-29.shl>. Acesso em: 06 abr. 2011. ANALISTATI. Política de Segurança da Informação - Como fazer? Disponível em: <http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em: 05 mai. 2011. ARAUJO, Eduardo Edson de. A vulnerabilidade humana na segurança da informação. Publicado em: 2005. Disponível em: <http://www.si.lopesgazzani.com.b r/TFC/monografias/Monografia%20Final%20Eduardo%20Edson.pdf>. Acesso em: 10 mai. 2011. BESEN, Flávia. Crimes virtuais: prejuízos para empresas e clientes. Publicado em: mai. 2009. Disponível em: <http://infojurufsc.blogspot.com/2009/05/crimes-virtuais- prejuizos-para-empresas.html>. Acesso em: 20 mar. 2011. CCIPS. Computer Crime & Intellectual Property Section. Disponível em: <http://www.cybercrime.gov/index.html>. Acesso em: 15 abr. 2011. CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Disponível em: <http://www.cert.br/>. Acesso em: 2011. COELHO, Mário. CCJ aprova infiltração de policiais na internet contra pedofilia. Congresso em Foco, Quarta-feira, 06 abr. 2011. Disponível em: <http://congressoem foco.uol.com.br/noticia.asp?cod_canal=1&cod_publicacao=3665>. Acesso em: 06 abr. 2011.
  • 124.
    124 DONATO, Veruska. Crimesvirtuais dão mais prejuízo do que crimes físicos. Jornal Hoje, 29 out. 2010. Disponível em: <http://g1.globo.com/jornal-hoje/noticia/201 0/10/pela-primeira-vez-crimes-virtuais-resultam-em-maior-prejuizo-do-que-crimes- fisicos.html>. Acesso em: 10 mai. 2011. FOLHA. Internet chega a 73,9 milhões de pessoas no Brasil, diz Ibope. Folha de São Paulo, 18 mar. 2011. Disponível em: <http://www1.folha.uol.com.br/tec/890677- internet-chega-a-739-milhoes-de-pessoas-no-brasil-diz-ibope.shtml>. Acesso em: 18 mar. 2011. FREITAS, Andrey Rodrigues. Perícia Forense Aplicada à Informática – Ambiente Microsoft. 1. ed. Rio de Janeiro: Brasport. 2006. GHIRELLO, Mariana. Judiciário não está preparado para lidar com crimes digitais, diz especialista. Publicado em: 31 jan. 2010. Disponível em: <http://ultimai nstancia.uol.com.br/conteudo/noticia/JUDICIARIO+NAO+ESTA+PREPARADO+PAR A+LIDAR+COM+CRIMES+DIGITAIS+DIZ+ESPECIALISTA_67690.shtml>. Acesso em: 05 mai. 2011. GOODCHILD, Joan. A Real Dumpster Dive: Bank Tosses Personal Data, Checks, Laptops. Disponível em: <http://www.csoonline.com/article/484847/a-real-dumpster- dive-bank-tosses-personal-data-checks-laptops>. Acesso em: 18 mai. 2011. GORDON, Peter. Data Leakage - Threats and Mitigation. Disponível em: <http://www.sans.org/reading_room/whitepapers/awareness/data-leakage-threats- mitigation_1931>. Acesso em: 13 mai. /2011. GUPTA, Ajay; LALIBERTE, Scott. The Role of Computer Forensics in Stopping Executive Fraud. Disponível em: <http://www.informit.com/articles/article.aspx?p=33 6258&seqNum=2>. Acesso em: 23 mai. 2011. INSPIRIT, Investir em Segurança da Informação: sua empresa está preparada? Disponível em: <http://www.inspirit.com.br/ver-noticia.aspx?q=306>. Acesso em: 01 mai. 2011.
  • 125.
    125 JUS. O Brasil,inteligência, e o custo do vazamento das informações governamentais. Publicado em: fev. 2010. Disponível em: <http://jus.uol.com.br/revis ta/texto/14343/o-brasil-inteligencia-e-o-custo-do-vazamento-das-informacoes-governa mentais>. Acesso em: 15 abr. 2011. KLEBER, Ricardo. IV Workshop de Segurança da Informação. Publicado em: jul. 2009. Disponível em: <http://pt.scribd.com/doc/55358855/Pericia-Forense- Computacional-Unirio>. Acesso em: 17 mai. 2011. LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Publicado em: jun. 2005. Disponível em: <http://www.mlaureano.org/aulas_material/g st/apostila_versao_20.pdf>. Acesso em: 01 mai. 2011. LEE, Seokhee; LEE, Keungi; SAVOLDI, Antonio e LEE, Sangjin. Data Leak Analysis In A Corporate Environment. Publicado em: 2009. Disponível em: <http://ieeexplore.ieee.org/Xplore/guesthome.jsp?reload=true>. Acesso em: 01 mai. 2011. LIMA, Glaydson. Calúnia, difamação e injuria na internet. Publicado em: 2007. Disponível em: <http://navegantes.org/index.php?cat=42>. Acesso em: 11 mar. 2011. LOPES, Rogerio; FARIAS, Mauro; NUNES, Thiago. Crimes Digitais. Disponível em: <http://www.web2life.com.br/crimes_digitais.html>. Acesso em: 05 mai. 2011. LUCENA, Jonatas. Crimes Virtuais. Disponível em: <http://www.drjonatas.com.br/cri mes-virtuais.php>. Acesso em: 25 mar. 2011. MATA, Brenno Guimarães Alves. Análise e tendências do cenário jurídico atual na Internet. Publicado em: mai. 2005. Disponível em: <http://jus2.uol.com.br/doutrina/tex to.asp?id=1771>. Acesso em: 11 mar. 2011. MILAGRE, José Antonio. Olhar Digital: Perícia e Investigação Forense Computacional. Publicado em: jan. 2010. Disponível em: <http://olhardigital.uol.com.b r/blog_post/15711>. Acesso em: 28 abr. 2011.
  • 126.
    126 MITNICK, Kevin D.;SIMON, William L. A arte de enganar: ataques de hackers: controlando o fator humano na segurança da informação. São Paulo: Pearson Education, 2003. NBSO. Cartilha de Segurança para Internet. Publicado em: mar. 2003. Disponível em: <http://www.htmlstaff.org/cartilhaseguranca/cartilha-07-incidentes.html#subsec1.1 >. Acesso em: 07 mai. 2011. NETZ, Clayton. Empresas despertam para os crimes digitais. O Estado de São Paulo, 25 ago. 2010. Disponível em: <http://forensedigital.com.br/new/empresas- despertam-para-os-crimes-digitais/>. Acesso em: 10 mai. 2011. OLIVEIRA, Luana Teixeira de. Segurança da Informação - Processos, Normas e Certificações. São Paulo, T-Systems do Brasil, 12 abr. 2011. Entrevista concedida a Rodrigo Fontes. PARKER, Donn B. Toward a New Framework for Information Security. Publicado em: 2002. Disponível em: <http://www.computersecurityhandbook.com/csh4/chapter5. html>. Acesso em: 01 mai. 2011. PECK, Patrícia. Direito Digital. 4. ed. São Paulo: Saraiva, 2010. PEREIRA, Evandro Della Vecchia; FAGUNDES, Leonardo Lemes; NEUKAMP, Paulo; LUDWIG, Glauco e KONRATH, Marlom. Forense Computacional: fundamentos, tecnologias e desafios atuais. Publicado em: 2007. Disponível em: <http://www.sbseg 2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf>. Acesso em: 22 mai. 2011. PRETO, Vagner de Oliveira. Problemas e Dificuldades Tecnológicas e Legislativas na Tipificação e Elucidação de Crimes Digitais nos Atos de Polícia Judiciária. 2008. Trabalho de Conclusão de Curso - Faculdade de Tecnologia da Zona Leste, São Paulo.
  • 127.
    127 RAMALHO TERCEIRO, Cecílioda Fonseca Vieira. O problema na tipificação penal dos crimes virtuais. Publicado em: ago. 2002. Disponível em: <http://jus2.uol.com.br/doutrina/texto.asp?id=3186>. Acesso em: 05 abr. 2011. RINDSKROPF, Amy. Juvenile Computer Hacker Cuts Off FAA Tower at Regional Airport. Publicado em: 18 mar. 1998. Disponível em: <http://www.cybercrime.gov/juv enilepld.htm>. Acesso em: 15 abr. 2011. RODRIGUES, Thalita Scharr; FOLTRAN, Dierone César. Análise De Ferramentas Forenses Na Investigação Digital. Revista de Engenharia e Tecnologia, dez. 2010. Disponível em: <http://ri.uepg.br:8080/riuepg/bitstream/handle/123456789/530/ARTI GO_AnaliseFerramentasForenses.pdf?sequence=1>. Acesso em: 18 mai. 2011. ROMANO, Paula. Sony é alvo de processos por vazamento de informações da PSN. Disponível em: <http://jogos.br.msn.com/noticias/sony-%C3%A9-alvo-de-proce ssos-por-vazamento-de-informa%C3%A7%C3%B5es-da-psn>. Acesso em: 14 mai. 2011. SPANCESKI, Francini Reitz. Política De Segurança Da Informação - Desenvolvimento de Um Modelo Voltado para Instituições De Ensino. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Instituto Superior Tupy, Joinville, 2004. Disponível em: <http://pt.scribd.com/doc/49818931/Modelo-de- Politicas-de-Seguranca>. Acesso em: 20 mai. 2011. UOL, Notícias. Hackers invadem sistemas de fabricantes de armas que trabalham para governo dos EUA. UOL Notícias, 27 mai. 2011. Disponível em: <http://noticias.uol.com.br/ultimas-noticias/internacional/2011/05/27/hackers-invadem- sistemas-de-fabricantes-de-armas-que-trabalham-para-governo-dos-eua.jhtm>. Acesso em: 27 mai. 2011. VIEIRA, Tatiana Malta. Quadro Da Legislação Relacionada À Segurança Da Informação. Publicado em: Nov. 2008. Disponível em: <http://dsic.planalto.gov.br/do cumentos/quadro_legislacao.htm#_ftn2>. Acesso em: 15 abr. 2011.
  • 128.
    128 VILABLOG. Classificação DaInformação. Disponível em: <http://3winfo.vilablog.com/2010/11/17/classificacao-da-informacao/>. Acesso em: 10 mai. 2011. WIKIPÉDIA. Vários assuntos. Disponível em: <http://en.wikipedia.org>.