Monthly Archives: janeiro 2010

Busca e apreensão de computadores.

 

 Busca e Apreensão

A fim de que não desapareçam as provas do crime, a autoridade policial deve apreender os instrumentos e todos os objetos que tiverem relação com o delito (art. 6º, II, do C.P.P.).
O art. 240 do mesmo diploma legal relaciona ainda objetos e pessoas que podem ser objeto da busca e apreensão tanto pela autoridade policial como pelo juiz, quando fundadas razões a autorizarem.
Embora a busca e a apreensão estejam insertas no capítulo das provas, a doutrina as considera mais como medida acautelatória, liminar, destinada a evitar o perecimento das coisas e das pessoas.
É absolutamente inquestionável que inexiste no ordenamento jurídico o aludido mandado de busca e apreensão “genérico”. O que existe é uma ordem judicial na modalidade de busca e apreensão, que pode ser domiciliar ou pessoal, cujos requisitos estão no art. 243 do C.P.P. devendo conter de maneira expressa: indicação da casa em que será realizada a diligência e o nome do respectivo proprietário ou morador; o motivo e os fins da diligência; subscrição pelo escrivão e assinatura do magistrado; constar se houver ordem de prisão.
É ponto pacífico na jurisprudência e na doutrina que, ocorrendo falhas pontuais e isoladas na representação por buscas ou na expedição de mandados não ocorrerá qualquer nulidade ou prejuízo, desde que haja a fundamentação exigida constitucionalmente pelo art. 93, inciso IX da Constituição Federal.
Assim sendo, é legítima e válida a diligência e provas produzidas, respeitados o sigilo e as garantias constitucionais aplicáveis a tal situação.
Não se propala que o mandado de busca e apreensão deva ser amplo e irrestrito ao extremo de admitir a apreensão de tudo o que esteja no local objeto de busca, contudo, deve incumbir à autoridade policial, com bom senso e equilíbrio, o exame daquilo que se apreende, com observância dos parâmetros legais: produto ou instrumento do crime, corpo de delito, dados, informações e indícios relativos ao delito investigado.
Um computador pode se tornar alvo de uma busca ou apreensão por agentes da lei em qualquer uma destas situações: há uma causa provável para acreditar que o computador é o fruto de um crime, é a instrumentalidade de um crime, ou irá produzir provas de um crime.
A qualquer tempo, quem for alvo de busca e apreensão, pode requer o “backup” de arquivos ou cópia dos documentos apreendidos, sendo que a devolução de material equivocadamente apreendido será objeto de restituição imediata, mediante provocação, ou de ofício.
Deve ser feito o backup do conteúdo dos discos rígidos dos computadores e de mídias encontradas (Cd’s, DVD’s, Cartões de memória, etc), e não sua apreensão, não se podendo desconhecer que existem programas que ocultam os arquivos do computador, e que, inclusive, há ferramenta do sistema operacional Windows que permite a ocultação mencionada, podendo, inclusive, haver perda de dados valiosos num backup.
Caso seja necessária a remoção de equipamentos para fins de “backup” é medida adequada à comunicação ao Juiz que concedeu a busca e apreensão desta circunstância, formalizando-se tal ato e prevendo-se o tempo necessário para cópia de todo o material apreendido, o que evitará prejuízos a quem sofreu a busca e evitará constrangimento ilegal que poderá ser sanado em sede de “mandado de segurança”.
É absolutamente imprescindível esclarecermos que, caso seja efetuada a busca e apreensão de computadores e mídias de armazenamento sem que ocorra a efetivação de cópia do conteúdo dos mesmos, na presença de testemunhas, utilizando-se programas que possam gerar um arquivo “hash” do conteúdo para comprovar não adulteração, o material apreendido pode e deve ser considerado “inútil” porque abrirá margem a alegação de adulteração do mesmo.
Enumeramos a seguir, regras básicas relacionadas à busca e apreensão, principalmente de computadores e equipamentos afim, baseadas em procedimentos internacionalmente reconhecidos. 

Em caso de busca e apreensão: 

  • Se, dentro dos limites de razoabilidade, você acreditar que o crime sob investigação possa envolver o uso de computadores, tome providências imediatas para preservar a evidência;
     
  • Você tem bases legais para apreender este computador (plenamente visível, mandado de busca, consentimento, etc.);
     
  • Não acesse quaisquer arquivos no computador. Se o computador estiver desligado, deixe-o desligado. Se estiver ligado, não comece a fazer qualquer busca nos arquivos;
     
  • Se o computador estiver ligado, consulte as seções apropriadas deste guia quanto à maneira mais adequada de desligar o computador e prepará-lo para transporte como evidência;
     
  • Se você acreditar que o computador esteja destruindo evidências, desligue-o imediatamente puxando o cabo de força da parte de trás do computador;
     
  • Se uma câmera estiver disponível e o computador estiver ligado, tire fotografias da tela. Se estiver desligado, tire fotografias do computador, da sua localização e de quaisquer mídias eletrônica ligadas ao computador;
     
  • Considerações legais especiais se aplicam (médico, advogado, religiosos, psiquiatra, jornais, editoras, etc.)?

 

1º)Computador Pessoal, Doméstico, Sem Rede: Siga os procedimentos abaixo na ordem de sua apresentação para assegurar a preservação de evidências.
a)Se estiver ligado em rede (ligado a um roteador e/ou modem), veja a instrução correspondente;

b)Não utilize nem faça buscas no computador.

c)Fotografe o computador de frente e de trás, juntamente com os cabos e aparelhos ligados ao computador, no estado em que foi encontrado. Fotografe as áreas em volta do computador antes de mover qualquer evidência;

c)Se o computador estiver desligado, não o ligue;

d)Se o computador estiver ligado e houver conteúdo na tela, fotografe a tela;

e)Se o computador estiver ligado e a tela em branco, mova o mouse ou aperte a barra de espaços (assim poderá mostrar a imagem ativa na tela) Depois que a imagem aparecer, fotografe a tela;

f)Desligue o cabo de força da parte de trás da torre;

g)Se um laptop não desligar ao desconectar o cabo de força, localize e remova a bateria. Normalmente, a bateria é localizada no fundo do computador, havendo normalmente um botão ou mecanismo que permite a remoção da bateria. Uma vez removida a bateria, não recoloque nem a guarde no laptop. A remoção da bateria evitará a possibilidade de ligar o laptop acidentalmente;

h)Faça um diagrama e etiquete os cabos para identificar posteriormente outros aparelhos ligados ao computador;

i)Desconecte todos os cabos e aparelhos ligados na torre;

j)Embrulhe os componentes e transporte/armazene-os como carga frágil;

k)Apreenda outros meios de armazenamento de dados;

l)Mantenha todos os aparelhos, incluindo a torre, longe de imas, transmissores de rádio e outros elementos potencialmente prejudiciais;

m)Recolha manuais de instrução, documentação e anotações;

n)Documente todos os passos envolvidos na apreensão de um computador e seus componentes.

 

2º)Computador Pessoal, Doméstico, Ligado em Rede: Siga os procedimentos abaixo na ordem de sua apresentação para assegurar a preservação de evidências.

a)Desconecte o cabo de força do roteador ou do modem;

b)Não utilize nem faça buscas de evidências no computador;

c)Fotografe o computador de frente e de trás, juntamente com os cabos e aparelhos ligados ao computador, no estado em que foi encontrado. Fotografe as áreas em volta do computador antes de remover qualquer evidência;

d) Se o computador estiver desligado, não o ligue;

e)Se o computador estiver ligado e houver conteúdo na tela, fotografe a tela;

f)Se o computador estiver ligado e a tela estiver em branco, mova o mouse ou aperte a barra de espaços (assim poderá mostrara imagem ativa na tela). Depois que a imagem aparecer, fotografe a tela;

g)Desligue o cabo de força da parte de trás da torre;

h)Faça um diagrama e etiquete os cabos para identificar posteriormente outros aparelhos ligados ao computador;

i)Dê atenção à criptografia e à coleta de dados voláteis (imagem de memória RAM e documentar processo em execução, abra conexões de rede. etc.);

j)Desconecte todos os cabos e aparelhos ligados na torre;

k)Embrulhe os componentes (incluindo roteador e modem) e transporte/armazene-os como carga frágil;

l)Apreenda outros meios de armazenamento de;

m)Mantenha todos os aparelhos, incluindo a torre, longe de imãs transmissores de rádio e outros elementos potencialmente prejudiciais;

n)Recolha manuais de instrução, documentação e anotações;

o)Documente todos os passos envolvidos na apreensão de um computador e seus componentes.

 

3º)Servidor de Rede/Rede Empresarial:

a)Consulte pessoas com maior experiência em busca de assistência mais aprofundada;

b)Assegure a segurança da cena e não permita que alguém toque nos equipamentos, a não ser policiais treinados para manusear sistemas em rede;

c)Não desligue qualquer cabo de força em hipótese alguma.

4º)Mídias de Armazenamento (Pen Drive, Cartões de Memória, CD, DVD, Disquete): A mídia de armazenamento é utilizada para armazenar dados a partir de aparelhos eletrônicos. Esses itens podem variar em termos de capacidade de memória.

a)Recolha manuais de instrução, documentação e anotações;

b)Documente todos os passos envolvidos na apreensão de mídias de armazenamento;

c)Mantenha o equipamento longe de imãs, transmissores de rádio e outros aparelhos potencialmente prejudiciais.

5º)PDA, Telefones Celular, MP’3, Câmeras Digitais: Estes equipamentos podem armazenar dados diretamente na sua memória interna ou em cartões removíveis. A seção seguinte detalha os procedimentos apropriados a serem seguidos na apreensão e preservação desses aparelhos e suas mídias removíveis.

a)Se o aparelho estivei desligado, não o ligue;

b)No caso de PDA’s ou telefones celulares, se o aparelho estiver ligado deixe-o ligado. Desligar o aparelho pode ativar a senha e conseqüentemente, impedir acesso à evidência;

c)Fotografe o aparelho e sua tela (se houver);

d)Etiquete e recolha todos os cabos (incluindo a fonte de energia do mesmo) e transporte-os juntamente com o aparelho;

e)Se não for possível manter o aparelho carregado, deverá o mesmo ser encaminhado com prioridade para as providências cabíveis;

f)Apreenda outras mídias de armazenamento de dados (cartões de memória, “flash” compacto, etc.);

g)Documente todos os passos envolvidos na apreensão do aparelho e de seus componentes;

h) Mantenha o equipamento longe de imãs, transmissores de rádio e outros aparelhos potencialmente prejudiciais.

Material de apoio: “Melhores Práticas – Apreensão de Evidências Eletrônicas”, U.S.S.S.

Ciberterrorismo e Cibercrime: O Brasil está preparado? – Parte 2

Cybercrime

As “botnet’s” estão se tornando uma ferramenta fundamental para o “cibercrime”, em parte porque elas podem ser projetadas para atacar diferentes sistemas de computadores de forma muito eficaz e porque um usuário mal-intencionado, sem possuir fortes habilidades técnicas, pode iniciar estes ataques a partir do ciberespaço, simplesmente alugando serviços de “botnet” em parceria com um “cibercriminoso”, tal como vem ocorrendo na atualidade, principalmente envolvendo a máfia russa.
“Botnet’s” ou “redes bot”, são constituídas por um grande número de computadores infectados com algum tipo de código malicioso, e que podem ser controlados remotamente através de comandos enviados pela Internet. Centenas ou milhares de computadores infectados por estes códigos podem funcionar em conjunto para interromper ou bloquear o tráfego da Internet para as vítimas-alvo, coletar informações, ou para distribuir spam, vírus ou outros códigos maliciosos.
É a personificação mais atual do que poderíamos chamar de “exercito do futuro” para fins maléficos.
“Botnet’s” foram descritos como verdadeiros “canivetes suíços” da economia subterrânea”, pela sua impressionante versátilidade.
Designers “botnet”, ou “botmasters”, segundo apuraram diversas agências de informações em vários países, podem arrecadar grandes somas de dinheiro através da comercialização de seus serviços técnicos.
Apenas para exemplificar, “Jeanson James Ancheta”, um conhecido “hacker” de 21 anos e membro de um grupo chamado “Botmaster Underground”, teria arrecadado mais de US$100.000 dólares de diferentes empresas de publicidade na internet que lhe pagaram para fazer “download” de um  “adware” em mais de 400.000 computadores que tinha sido secretamente infectados.

Jeanson James Ancheta

Ele também arrecadou dezenas de milhares de dólares alugando os 400.000 computadores de sua “botnet” para outras empresas que os utilizaram para enviar “spam”, “vírus” e outros códigos maliciosos pela internet.
“Ancheta” foi capturado pelo F.B.I. e em 2006, foi condenado pela Justiça dos Estados Unidos a cinco anos de prisão.
O Código de uma “botnet” é originalmente distribuído como anexo de um e-mail infectado, mas como os usuários se tornaram mais cautelosos, os criminosos passaram a se valer de outros métodos. Quando os usuários “clicam” para ver uma mensagem de “spam”, o código da infecção da “botnet” pode ser secretamente instalado no computador daquele usuário.
Um site pode ser inconscientemente infectado com um código malicioso na forma de um simples anúncio em um “banner” numa página, ou pode incluir um “link” que direcione o tráfego para um site infectado. Clicando em qualquer um destes “links” pode ser instalado o código de uma “botnet”, ou o código pode ser carregado furtivamente, mesmo se o usuário não executar nenhuma ação durante a visualização do site, apenas através de alguma vulnerabilidade que possa existir no seu navegador.
“Firewalls” e software antivírus não inspecionam necessariamente todos os dados que são transferidos através de navegadores. Alguns códigos maliciosos podem desabilitar o antivírus antes de infectar o computador.
Uma vez que um computador tenha sido infectado, o software malicioso estabelece furtivamente comunicação remota para um “botmaster”, se preparando para receber novos comandos e atacar um alvo específico. Enquanto isso, o código malicioso também pode automaticamente vasculhar o computador infectado em busca de dados pessoais, ou pode registrar as teclas digitadas e transmitir informações de senhas para o “botmaster”.
Importante mencionarmos o trabalho da “Fundação Shadowserver” (http://www.shadowserver.org), que é uma organização não governamental que monitora o número de servidores de comando e controle na Internet mundial, no sentido de auxiliar na indicação do número de “botnetworks” que estão sendo controladas “on-line” em um dado momento.
De Novembro de 2006 a maio de 2007, cerca de 1.400 servidores de comando e controle foram encontrados ativos na Internet. O número de computadores infectados, denominados “zangões”, e que são controladas por esses 1.400 servidores teria crescido cerca de meio milhão de março de 2007 para mais de 3 milhões em maio de 2007.
A “Symantec”, uma empresa de segurança na internet, informou ter detectado 6 milhões de computadores infectados por “bot” no segundo semestre de 2006.
Agências internacionais de informação apuraram que alguns donos de “botnet” conseguiriam alugar suas enormes redes por cerca de US$200 a US$ 300 por hora, o que estão levando as mesmas a se tornarem uma perigosa arma para fraudes e extorsões.
E tem mais: verificou-se uma clara evolução nos métodos empregados na distribuição dos códigos maliciosos de “bot” para tornar ainda mais difícil no futuro para a aplicação da lei, uma vez que seria quase impossível a identificação e a localização do “botmaster”.
Alguns estudos mostram que os autores de software para “botnets” estão usando cada vez mais modernas técnicas para desenvolvimento de software, incluindo a colaboração de vários autores na concepção inicial do fonte, novas versões para corrigir erros no código malicioso, e desenvolvimento de módulos de software que fazem partes do código reutilizável para novas versões de softwares maliciosos projetados para diferentes fins.
Este aumento na colaboração entre os criminosos envolvidos no desenvolvimento dos códigos de “bot”, da mesma forma como é utilizado para criar produtos de software comercial, acabará fazendo com no futuro as “botnet’s” sejam mais robustas e confiáveis, ajudando a aumentar a demanda por serviços de “malware” nos próximos anos.
Tradicionalmente, as “botnet’s” se organizam de forma hierárquica, com um comando central e local de controle (às vezes dinâmico) para o “botmaster”. A localização da central de comando é útil para profissionais de segurança, pois oferece um possível ponto central de contra-ataque para a “botnet”. No entanto, num futuro próximo, os especialistas acreditam que os invasores podem usar novas arquiteturas de “botnet” muito mais sofisticadas e mais difíceis de detectar e rastrear.
E o desenvolvimento não para por ai: há uma tendência no uso de arquitetura “botnet” que utilizaria atura de redes “peer-to-peer”, que, por causa de seu projeto de controle descentralizado, deverá ser mais resistente às estratégias para combater seus efeitos negativos.
Por exemplo, uma “botnet peer to peer” poderia ser quase impossível de ser totalmente desativada, pois poderia proporcionar o anonimato para controlador, que poderia aparecer apenas como outro nó na rede “bot”.
O “cibercrime” é normalmente realizado através de uma conexão à Internet, mas também pode envolver a remoção não autorizada de dados em pequenos dispositivos portáteis de armazenamento.
A vertente do “cibercrime” sob a forma de invasão de rede acaba por envolver pessoas com grande conhecimento técnico, muitas vezes motivados pelo desejo de ganhar popularidade entre seus pares.
No entanto, a tendência atual é a do lucro com estes ataques cibernéticos através do uso de sistemas muito específicos e se valendo da colaboração entre os criminosos com vasto conhecimento técnico.
Os motivos que impulsionam esses grupos criminosos virtuais podem ser diferentes daqueles de seus clientes pagantes, os quais podem possuir pouco ou nenhum conhecimento técnico.
E para piorar o panorama descrito, novas tecnologias continuam a superar as políticas públicas de aplicação da lei.
Problemas de coordenação entre as agências policiais de diferentes países, juntamente com políticas nacionais conflitantes sobre o crime no ciberespaço, acabam por favorecer o trabalho dos criminosos, que podem escolher operar a partir de localizações geográficas onde as sanções para certas formas de criminalidade ainda não existem, exatamente como ocorre em nosso país.
Ferramentas sofisticadas para ataque cibernético já podem ser encontradas para venda ou locação na Internet, onde sites especializados anunciam a venda de uma grande variedade de códigos maliciosos, software para ataques de computadores e serviços técnicos altamente especializados.
Grupos criminosos atuam como verdadeiras empresas, utilizando sofisticadas técnicas para desenvolvimento de software e mantendo seus produtos atualizados com as mais recentes técnicas para manterem-se ocultos de antivírus e programas de firewall, além de procurarem recrutar talentosos estudantes de engenharia de software para atuarem em suas organizações.
Quando os lucros ilícitos são potencialmente muito grandes, os grupos criminosos de alta tecnologia usam técnicas consagradas de negócios em “T.I.” para desenvolverem sistematicamente código de computador mais eficiente e eficaz, a fim de serem utilizados em suas ações criminosas.
Existem estudos no mundo inteiro que dão conta de que o crime organizado está recrutando formandos de faculdade de engenharia e especialistas em computadores, patrocinando-os e incentivando-os a se atualizarem em cursos de sua especialidade técnica. Porém, em alguns casos, os alunos alvo acabam não percebendo que uma organização criminosa está por trás da oferta de recrutamento.
Os ataques “cibernéticos” são cada vez mais projetados para roubar informações de forma silenciosa, sem deixar para trás qualquer dano que poderia ser observado por um usuário. Esse tipo de ataque busca escapar da detecção, a fim de permanecer em sistemas de acolhimento por períodos de tempo mais longo.
E não seria demais lembrar-se que, como dispositivos de comunicação móvel estão sendo incorporados mais na vida cotidiana, eles serão cada vez mais segmentados para ataques promovidos por criminosos virtuais.
Computadores em rede com vulnerabilidades expostas podem ser interrompidos ou ter seu controle tomado por um criminoso, ou por um código malicioso automatizado. “Botnet’s” realizam varreduras na Internet para encontrar e infectar sistemas de computador que estão mal configurados, ou que se ressintam da falta de “patches” de segurança nos sistemas instalados.
Caso típico desta situação foi o vivenciado pela empresa “Telefônica”, no estado de São Paulo, onde os dados dos clientes de sua rede “ADSL” ficaram expostos na internet, após ação criminosa, favorecida pela não aplicação de uma atualização em seu software gerenciador de banco de dados.
Computadores comprometidos são atacados e se tornam escravos em uma “botnet”, a qual pode ser composta de milhares de computadores infectados e que são controlados remotamente para coletar informações confidenciais do computador da vítima, ou atacar coletivamente, como um enxame, outros computadores.
Mesmo computadores que atualizaram seus sistemas com os “patches” de segurança mais recentes, podem ainda ser vulneráveis a um tipo de ataque cibernético conhecido como “zero-day explorer”.
Isto pode ocorrer caso um hacker descubra uma nova vulnerabilidade de software e lance um ataque malicioso para infectar computadores antes do lançamento de um “patch” de segurança por parte do fornecedor do software.
Vulnerabilidades cada vez mais complexas em softwares são regularmente descobertas por “hackers”, sendo que notícias recentes dão conta que relatórios de vulnerabilidades “Zero Day” estão disponíveis em leilões online, onde compradores e vendedores negociam com períodos cronometrados e preços mínimos de lances, permitindo que vulnerabilidades de segurança recém-descobertas sejam rapidamente vendidas pelo maior lance.
Também não poderíamos deixar de lançar um alerta quanto a ameaças internas.
A grande ameaça para as organizações é a facilidade com que os dados podem agora ser copiados e levados para fora, usando uma variedade de dispositivos de armazenamento portáteis, tais como “pen drives”.
E para tornar a questão ainda mais complexa, deve ser mencionado o fato de que aplicativos complexos podem ser executados inteiramente a partir da unidade flash. Isto significa que todo o conteúdo de um PC poderia ser copiado e armazenado em um pequeno e facilmente transportável dispositivo de mídia.
Funcionários com acesso a sistemas que contenham informação sensível podem representar ameaças na forma de códigos maliciosos inseridos no software que está sendo desenvolvido localmente, ou em regime de prestação de serviços “offshore”.
Em janeiro de 2003 nos Estados Unidos, 20 (vinte) trabalhadores terceirizados das forças armadas americanas da empresa “Sikorsky Aircraft Corporation” foram presos por posse de identidade falsa, usada para obter acesso de segurança a instalações contendo tecnologia militar restrita.
Todos os envolvidos se confessaram culpados e foram condenados, com exceção de um indivíduo que foi condenado em julgamento na data de 19 de abril de 2004.
A persistência de vulnerabilidades em softwares e configurações de sistemas de computadores fornece pontos de entrada para um ataque cibernético.
Vulnerabilidades persistem em grande parte como resultado de más práticas de segurança e de procedimentos internos, treinamento inadequado na segurança do computador ou por erros técnicos em produtos de software.
A falta de recursos dedicados para segurança pessoal também pode contribuir para práticas de segurança pobres, sendo certo que usuários domésticos de computador muitas vezes têm pouca ou nenhuma formação em boas práticas para efetivamente protegerem redes domésticas e equipamentos.
Alguns grandes grupos de “cibercriminosos” são transnacionais, com nomes como “Shadowcrew”, “Carderplanet”, “Cult of Dead Cow” e “Darkprofits”.
Integrantes destes grupos afirmam operar a partir de locais no mundo todo, trabalhando em conjunto para invadir sistemas, roubar informações de cartões de crédito e vender identidades, em uma rede altamente estruturada e organizada.
O crime organizado também está recrutando adolescentes, e há indicativos de que estes se sentem mais seguros em participar de suas atividades do que por estarem na rua.
No futuro, poderemos ver novos e diferentes métodos de atuação das organizações criminosas, evoluindo a cada dia no “ciberespaço”.
O “ciberespaço” libera os indivíduos de muitas das restrições que se aplicam a atividades no mundo físico, pois o mesmo requer menos contato pessoal, menos necessidade de organização formal, e não há necessidade de controle sobre um território geográfico.
Portanto, alguns pesquisadores argumentam que a estrutura clássica hierárquica de grupos do crime organizado pode não ser adequada para o crime organizado na Internet, o que acarreta, por conseguinte, que a atividade criminosa neste segmento pode enfatizar as relações laterais e em redes, em vez de hierarquias.
Em vez de assumirem configurações estáveis de pessoal que podem persistir por anos, as organizações criminosas em linha podem incorporar o chamado “modelo enxame”, no qual os indivíduos se aglutinam por um período limitado de tempo a fim de realizar uma tarefa específica, ou um conjunto de tarefas, tomando depois caminhos separados.
A conseqüência é que aplicação da lei poderia se tornar muito mais difícil num modelo como o que foi descrito.
Se os “cibercriminosos” evoluírem para a “máfia do momento” ou o “cartel do dia”, a polícia vai perder a vantagem de identificar um grupo permanente de participantes que se envolvem em um conjunto de rotinas de atividades ilícitas, e isso só vai contribuir para o futuro sucesso da criminalidade organizada.

Ciberterrorismo e Cibercrime: O Brasil está preparado? – Parte 1

Ciberterroristas

Na atualidade, a maior parte dos exércitos de todo o mundo são amparados por serviços civis de alta tecnologia e produtos, na maioria das vezes, sob a forma de sistemas de comunicações e software de computador.
Quando se imagina o cenário dos próximos conflitos bélicos, principalmente em se tratado da chamada “ciberguerra” entre as nações, a distinção entre alvos militares e civis acaba sendo dificultada e sistemas informáticos cada vez mais civis poderão ser vistos como alvos viáveis de ataques adversários.
Isto para não falar nas tecnologias de rede que não permitem sejam estabelecidos limites claros entre “cibercriminalidade”, “ciberguerra” e “ciberterrorismo”.
Seja qual for o enfoque que for dado ao problema representado pelas ameaças do mundo virtual, trata-se de um assunto absolutamente relevante, de soberania nacional e que deve ser objeto de discussão e adoção das medidas apropriadas por parte dos governos envolvidos, sob pena de se tornar uma ameaça a economia e a soberania nacional.
Incidentes passados de terrorismo convencional já foram relacionados com o “cibercrime”, e vulnerabilidades nos computadores podem tornar um governo civil e sistemas de infra-estruturas críticas extremamente atraentes como alvos de um ataque cibernético.
É inegável que grupos de “cibercriminosos” podem usar ferramentas novas e sofisticadas para efetuar ataques a países e permitir que terroristas ou países envolvidos permaneçam anônimos enquanto realizam suas ações criminosas.
Segundo a opinião de especialistas, existem indícios de que o governo da Estônia já pode ter sido vítima de ataques cibernéticos contra seus sistemas e web sites em abril de 2007.
Em nosso país, pouco ou absolutamente nada tem sido trazido a público quando o assunto em pauta e a “cibersegurança” de nossa nação, sendo relevante e oportuno analisar-se os efeitos de um ataque cibernético coordenado contra infra-estruturas críticas.
Ninguém pode ignorar que existem muitos sites na internet que são verdadeiros paraísos para criminosos, onde qualquer pessoa pode ter acesso a informações para a prática de crimes, tais como o roubo de identidade e invasão de sistemas, sendo que muitos deles ligados a indivíduos que praticam atividades terroristas convencionais.
Mas se este assunto nem mesmo é levado em consideração no que diz respeito ao aprofundamento das discussões, o que dirá quanto a levantar-se as dificuldades associadas ao estabelecimento de uma doutrina para selecionar uma resposta militar adequada ou quanto a aplicação da lei depois de um ataque desta natureza?
É claro que os grupos terroristas estão usando computadores e a Internet para alcançarem suas metas e espalhar o terrorismo, sendo que isto já pode ser visto da forma pela qual extremistas estão criando e utilizando numerosos sites na Internet para o recrutamento de novos membros, captação de simpatizantes e para fins de treinamento.
Apenas para que se possa ter uma idéia precisa sobre o assunto, está disponível no seguinte link “http://hus.parkingspa.com/hc3.asp” acesso ao chamado “Site Oficial do Taleban”, havendo o seguinte texto logo na sua página principal:

“O terrorismo é uma tática política que é utilizada por ativistas quando acreditam que nenhum outro meio efetuará o tipo de mudança que desejam. A mudança é tão desejada que o mal não é visto como um resultado pior do que a morte de civis”.

Isto para não se falar da sugestiva imagem estampada na mesma página:

Sugestão terrorista no site do Taleban

Existe registro de vários criminosos, que foram recentemente condenados por crimes informáticos, os quais utilizavam suas habilidades técnicas para adquirir informações de cartões de crédito para financiar outras atividades terroristas convencionais.
Inegável que a situação descrita pode acabar acarretando parcerias entre criminosos e grupos terroristas, a fim de explorarem novas maneiras de trabalhar juntos, onde os extremistas acabariam acessando ferramentas de rede utilizadas por criminosos para obterem informações pessoais ou para atacar sistemas de computador através de Internet.
Existem vários métodos eficazes para perturbar os sistemas de computador, sendo o principal deles o método conhecido como ataque cibernético, ou ataque de rede do computador (CNA), que usa um código malicioso para interromper o processamento de um computador ou para furtar dados.
Um ataque contra os computadores pode (1) perturbar equipamentos e a confiabilidade no hardware, (2) alterar a lógica de processamento, ou (3) furtar ou corromper dados.
Todos os ataques aqui mencionados são escolhidos com base nos recursos empregados em desfavor da tecnologia contra qual cada modalidade dos mesmos é dirigida, e os efeitos que cada método utilizado pode acarretar.
Os ativos afetados ou os efeitos resultantes por vezes podem advir dos diferentes métodos de ataque empregados:

 1)Ataque por armas convencionais: pode ser dirigido contra equipamentos de informática, instalações de computadores ou linhas de transmissão, objetivando criar um ataque físico que atrapalha a confiabilidade no equipamento atacado;

2)Uso de energia eletromagnética: geralmente sob a forma de um pulso eletromagnético (EMP), podendo ser utilizado para criar um ataque eletrônico, dirigido contra equipamentos de informática ou transmissões de dados, interrompendo a confiabilidade no equipamento ou a integridade dos dados;

3)Uso de Código malicioso: pode criar um ataque cibernético, ou ataque de rede do computador, dirigido contra o código de processamento do computador, a lógica de instruções imputadas ou os dados armazenados. O código pode gerar um fluxo de pacotes de rede maliciosos que podem prejudicar ou lógica dos dados através da exploração de vulnerabilidades no software do computador, ou de fraquezas nas práticas de segurança de computadores de uma organização. Este tipo de ataque cibernético pode interromper a confiabilidade do equipamento, a integridade dos dados e a confidencialidade das comunicações.

Imputar um “ataque cibernético”, como “cibercrime” ou “ciberterrorismo” é problemático, devido à dificuldade em se determinar com segurança a identidade, a intenção ou a motivação política de um atacante.
“Cibercrime” é um termo que pode ser muito abrangente, e, em inúmeras ocasiões, envolver muito mais fatores do que apenas “hackear” um computador.
“Ciberterrorismo” é freqüentemente confundido com o uso de código malicioso, porém, um “evento ciberterrorista” pode, por vezes, depender da presença de outros fatores além de apenas um ataque cibernético.
Existem várias definições para o termo “ciberterrorismo”, assim como existem várias definições para o termo “terrorismo”.
A especialista em “ciberterrorismo” e diretora do Instituto de Segurança da Informação de Georgetown, a Doutora Dorothy E. Denning, define “ciberterrorismo” como “operações praticadas por especialistas em recursos informáticos e com motivações políticas, destinadas a causar graves prejuízos, como perda de vida ou grave dano econômico”.
A agência federal dos Estados Unidos responsável pelo gerenciamento de emergências, FEMA, define o ciberterrorismo como “ataques ilegais ou ameaças de ataques feitos contra computadores, redes ou informações armazenadas nestes equipamentos, de forma a intimidar ou coagir um governo ou seu povo em prol de objetivos políticos ou sociais”.
Outros defendem que ataques físicos que possam destruir parcial ou totalmente infra-estruturas críticas, tais como a Internet, redes de telecomunicações ou de energia elétrica, sem o uso de recursos informatizados, também devem ser rotulados como ciberterrorismo.
Nosso entendimento é de que “ciberterrorismo” é o uso de computadores ou de tecnologias de informação de forma criminosa, particularmente através da Internet, para causar dano físico ou virtual, com objetivos políticos, religiosos, econômicos, etc., tratando-se de uma modalidade de terrorismo.
Assim, é possível que, se uma instalação de computador for deliberadamente atacada para fins políticos, todos os três métodos descritos acima (ataque físico, uso de energia eletromagnética e uso de códigos maliciosos) poderiam ser rotulados como “ciberterrorismo.
Existem aqueles que alegam não existir uma definição de “cibercrime”, em virtude do termo “ciberespaço” ser algo novo e específico como ferramenta para a prática de crimes que não são exatamente novos.
“Cibercrime” pode envolver roubo de propriedade intelectual, violação de patentes, furto de segredos comerciais ou infração a direitos autorais.
No entanto, o termo “cibercriminalidade” pode ser expandido para incluir também ataques contra computadores para deliberadamente prejudicar seu processamento, ou incluir espionagem coma finalidade de serem feitas cópias não autorizadas de dados classificados.
A principal diferença entre um ataque cibernético para cometer um crime ou para cometer terrorismo encontra-se na intenção do atacante, e é possível ocorrer a sobreposição destas duas classificações em uma única ação.
E de maneira alguma se poderia falar a respeito de “cibercrime” sem tocar-se no assunto “botnet”, o que será devidamente discorrido na continuação do presente artigo.

Cibercrime: Portugal avança enquanto o Brasil perde o rumo.

Nova lei de crimes informáticos de Portugal

Em Novembro do ano de 2008, um dos responsáveis pela revisão do texto no qual Portugal aderiu à convenção do Conselho da Europa sobre os crimes na Internet, o Procurador Pedro Verdelho, afirmou explicitamente: “temos uma lei antiga, de 1991, que sempre vai dizendo que há coisas que é proibido fazer e por isso não qualificaria como paraíso, mas em alguns casos é difícil e noutros praticamente impossível investigar este tipo de crimes.
A Lei n.º 109/2009, de 15 de Setembro de 2009, transpôs para a ordem jurídica interna portuguesa norma relativa a ataques contra sistemas de informação, e adaptou o Direito interno à Convenção sobre Cibercrime do Conselho da Europa.
No que diz respeito ao direito penal material português, a nova lei promoveu as seguintes alterações legislativas:

1º)Novas definições, incluídas no artigo 2.º da lei, no qual se introduz o conceito de “dados informáticos”, em substituição do conceito mais limitado e hoje em dia insuficiente de “programa informático”. Acrescentam-se ainda, definições (modernas e não existentes em 1991) de “fornecedor de serviço” e de “dados de tráfego”, alterando-se o conceito de “sistema informático”, que passa a ser mais abrangente (incluem-se nele, por exemplo, dispositivos como os “telemóveis” (telefones celulares) e suprime-se, por deixar de fazer sentido face a este último, o conceito de “rede informática”.
2º)No que diz respeito a responsabilidade das chamadas “pessoas coletivas” do direito português, optou-se pela revogação do regime específico criado em 1991 a este propósito. Em seu lugar, remete-se para o regime geral de responsabilização de “pessoas coletivas”, previsto no Código Penal Português. Desta forma, satisfazem-se os compromissos assumidos pela Convenção Sobre o Cibercrime do Conselho da Europa, da mesma forma que se simplifica o quadro normativo, eliminando um regime especial de responsabilização, criada em 1991 pela inexistência de um regime geral, mas agora já não justificado, após a introdução desse mesmo regime geral na alteração do Código Penal operada em 2007.
3º)Quanto aos tipos de crime de dano informático, sabotagem informática, acesso ilegítimo e intercepção ilegítima, previstos na legislação anterior de Portugal, foram feitos ajustes na redação, tendo em vista, por um lado, atualizar o texto legal e, por outro, consagrar novas modalidades de ação típica.
4º)A propósito da competência jurisdicional, a Convenção do Cibercrime previa uma inovação, traduzida na obrigação dos Estados signatários se declararem competentes para prosseguirem criminalmente, independentemente do local da prática dos fatos, os seus cidadãos nacionais, se a infração for punível no local onde foi cometida ou não for da competência de nenhum Estado. Apesar desta solução não estar anteriormente consagrada na lei portuguesa, se previu, para certos crimes, a competência universal da lei portuguesa.
No âmbito das disposições processuais, foram adotadas importantes inovações:

1º)Garante-se a preservação expedita de dados armazenados num computador e a preservação expedita e revelação de dados de tráfego, em cumprimento das obrigações resultantes dos artigos 16.º e 17.º da Convenção.
2º)Foi introduzido o mecanismo da injunção (cfr. artigo 18.º da Convenção) e adaptados os regimes das buscas e das apreensões, já largamente previstas na legislação processual penal portuguesa, às investigações de crimes cometidos no ambiente virtual (na verdade, a essência destas medidas processuais coincide, no ambiente do ciberespaço, com as clássicas formas de busca e apreensão do processo penal, sendo que a forma como a busca e a apreensão estão descritas no Código de Processo Penal de Portugal exigiam alguma adequação a estas novas realidades).
3º)Adaptou-se o regime de intercepção de comunicações  previsto no Código de Processo Penal Português para as comunicações telefônicas. O Código de Processo Penal de Portugal previa já uma extensão do regime das intercepções telefônicas a outras comunicações, por exemplo eletrônicas. Todavia, essa extensão não resolvia plenamente o problema da investigação de crimes informáticos ou relacionados com a informática, porque o âmbito de aplicação deste regime, por via da extensão, era o mesmo das intercepções telefônicas. Tornava-se necessário abranger os crimes informáticos em geral, bem como aqueles cometidos por via de computadores, o que agora se fez através de norma especial.
Por fim, na área da cooperação internacional, a nova lei de Portugal remete-se, como regra, para regimes legais já em vigor. Além disso, assume-se que as autoridades portuguesas podem solicitar cooperação internacional – e também receber e executar pedidos de cooperação provenientes de autoridades estrangeiras –, nas mesmas condições e circunstâncias em que atuariam se os fatos criminosos estivessem sendo investigados em Portugal.
Criou-se um ponto permanente de contacto 24 horas/7dias, no seio da Polícia Judiciária Portuguesa, ao qual competirá assegurar, um papel essencial na cooperação internacional.
Lamentavelmente, o Brasil tem se colocado na vanguarda do combate a criminalidade por meios eletrônicos, na medida em que, decorridos mais de vinte anos dos primeiros esboços de legislação sobre cibercriminalidade no país, nenhuma lei foi aprovada e o projeto que ainda se encontra em discussão na Câmara dos Deputados de forma alguma atende as necessidades brasileiras.
Mencionado projeto não contempla em seu bojo qualquer disposição processual penal que melhore a qualidade das investigações levadas a cabo pelos órgãos de investigação brasileiros, no caso Polícia Federal e Polícias Civis dos Estados, nada mencionando quanto às solicitações de dados cadastrais e ao uso de novas tecnologias de interceptação de dados, dentre outros pontos cruciais para o trabalho policial e persecução em Juízo.
Portugal já demonstrava preocupação com o avanço da criminalidade por meio eletrônico desde os anos 90 e agiu com rapidez para criar as ferramentas necessárias para reprimir este tipo de delinqüência, inclusive se aliando a outros países da Europa no que diz respeito à troca de informações e a cooperação internacional.
O Brasil deveria preocupar-se com a aprovação de leis voltadas ao combate da criminalidade por meios eletrônicos e também preocupar-se em aparelhar adequadamente seus órgãos de investigação, inclusive melhorando a capacitação dos agentes envolvidos nos processos de investigação.
Existem poucas unidades especializadas na investigação de crimes praticados por meios eletrônicos em nosso país, e nos estados em que as mesmas existem são poucos os policiais que detém o “know-how” necessário para trabalhar nesta área, até pela total desvalorização daqueles que tem conhecimento técnico e falta de aproveitamento dos mesmos.
Em países mais desenvolvidos, os governantes percebem a importância de uma estratégia nacional de combate aos crimes por meios eletrônicos e se preparam para um “ciberguerra” num futuro próximo.
Já no Brasil, a nossa realidade atual traz a preocupação de dias negros num futuro bem próximo pela total falta de políticas efetivas no combate ao cibercrime.

Investigando Crimes por Meios Eletrônicos – Parte 1: Sites na internet.

A simples menção a U.R.L. de um site (exemplo: www.ig.com.br), para a identificação da origem de uma ofensa ou ameaça, não é suficiente, pois as evidências nos crimes eletrônicos são voláteis, i.e., podem ser apagadas, alteradas ou facilmente perdidas.
Assim, se a “notitia criminis”a uma Autoridade Policial não estiver acompanhada da página impressa, é preciso que o interessado providencie a impressão de uma cópia do site ou efetue o download de seu conteúdo.
Tenha em vista que no curso do processo que estiver movendo, a autenticidade das evidências colhidas certamente será contestada pela defesa.
Uma das maneiras mais simples de evitar este tipo de problema é lançar mão do uso de programas que atestem a integridade dos dados que foram recebidos de do site de seu interesse, por ocasião do acesso para download.
Sugerimos para esta finalidade um programa denominado “md5″ ou “md5sum”, também comumente chamado “checksum”.
Este utilitário “md5sum” permite calcular aquilo que chamamos de “impressão digital” de um arquivo, assegurando a sua integridade em caso de “download”.
O chamado “checksum” é um valor de 128 bits correspondente a uma soma do controle calculada a partir do arquivo.
Um “checksum MD5” não tem como finalidade garantir a procedência de um arquivo ou de um grupo de arquivos, pois sua finalidade é permitir a verificação da integridade dos dados recuperados.
O MD5SUM é um algoritmo que gera uma “assinatura” de um arquivo qualquer, um código de 32 bits obtido a partir da soma de todos os bits contidos no arquivo.
Em geral, ao efetuar-se algum download de um servidor na internet, você encontrará um arquivo “md5sum” na mesma pasta do arquivo disponibilizado.
Este é um arquivo de texto com o “md5sum” do arquivo, algo como “213d0e5615e8b6aeb6ab34de22282ff2 zxyz.iso”, sendo que à esquerda temos o número de verificação e à direita o nome do arquivo. Tudo o que você precisa fazer é, depois de baixar o arquivo, digitar num terminal: “md5sum zxyz.iso”.
O sistema verificará o arquivo que você baixou e devolverá outro número, sendo que se os dois forem iguais, significa que o arquivo está integro e sem alterações de conteúdo.
Se por outro lado o número gerado for diferente, significa que o arquivo chegou corrompido ou foi alterado de alguma forma.
Em resumo: ao criarmos uma cópia de algum arquivo, criamos também sua assinatura baseada no arquivo original. Esta assinatura, em forma de um arquivo, acompanhará a cópia e permitirá que a qualquer momento o destinatário verifique se o arquivo recebido é idêntico ao original.

 MD5SUM

Outro recurso que tem sido utilizado por advogados e vários profissionais que desejam atestar a autenticidade do conteúdo de um determinado site na internet, é justamente a lavratura de uma Ata notarial.
Basta para isto comparecer num tabelionato e solicitar que seja efetuado o acesso e a transcrição em escritura pública do conteúdo do site acessado naquela oportunidade, valendo aquele documento como prova de conteúdo.
Já no que diz respeito à localização de quem é o responsável por um site, torna-se necessária a realização de uma pesquisa de domínio.
Depois de preservar a prova, o passo seguinte é a identificação do servidor que hospeda a página.
Em primeiro lugar é preciso que seja verificado se o site em questão é nacional ou estrangeiro.
Todos os domínios que estão registrados na internet brasileira trazem na sua composição de endereço o sufixo “br”, como por exemplo “www.bradesco.com.br”.
A pesquisa a domínios registrados na internet brasileira poderá ser feita através do endereço “https://registro.br/cgi-bin/whois/?c”, em pesquisa denominada “whois”:

Pesquisa de whois no "Registro.br"

O resultado desta pesquisa pode trazer informações importantes como o nome do responsável administrativo pelo domínio, o contato de incidentes de segurança, através do responsável técnico e a empresa responsável pelo acesso à internet pelo detentor do domínio.
Abaixo uma tela contendo o resultado de pesquisa de um site:

Resultado pesquisa whois "Registro.br"

 Quanto a sites registrados em outros países a pesquisa não deverá ser realizada junto ao “Registro.br”, podendo num primeiro momento ser realizada no site “http://www.arin.net”, conforme figura abaixo:

Pesquisa no site "Arin"

 Caso o domínio pesquisado não esteja na base de dados do “Arin”, você será redirecionado para uma página onde existem “hyperlinks” de pesquisas “whois” para todos os órgãos de registro na internet:

Hiperlinks "whois" no Arin

Efetuada a pesquisa de “whois” você terá a identificação do responsável pelo site, o que é o primeiro passo para que você possa eventualmente acioná-lo junto a Justiça.
Caso o site esteja hospedado no exterior, a competência da Justiça e da Polícia brasileiras só estará justificada se houver algum vínculo com brasileiros.
Por exemplo, há sites racistas e nazistas feitos por brasileiros hospedados em provedores na Argentina e nos EUA: nesse caso, entendemos que é possível a persecução penal no Brasil, o que eventualmente não garantirá a identificação do responsável.
Se não houver vínculo algum do site com o Brasil (ou seja, ele não está hospedado em provedores nacionais e não há indícios da participação de brasileiros no delito) recomendamos que a notícia do fato criminoso seja encaminhada à INTERPOL, podendo ser efetuada denúncia através de formulário na U.R.L. “http://www.interpol.int/public/mail/mail3.asp?id=Ecrime”.
Outra dica que vale a pena ser lembrada é que alguns sites, mesmo hospedados em provedores externos, trazem links do tipo “contato” ou “webmaster”, com a indicação de um endereço de e-mail, o qual pode indicar algum responsável pelo conteúdo do site.
No próximo artigo estaremos trazendo informações sobre como trabalhar na identificação de usuários através de endereços IP.