Cyber Crimes – Delegado Mariano

Posts Tagged ‘ciberterrorismo’

Num movimento que acontece em meio a grandes preocupações sobre a ameaça cada vez maior às redes civis e militares de Israel por parte do Irã, as Forças de Defesa de Israel (I.D.F.) estão reunindo equipes de hackers de elite para atuar em favor do país numa eventual cyber guerra.
De acordo com o jornal “Jerusalem Post”, no mês passado o exército recrutou cerca de 300 jovens prodígios em computação para servir como soldados em sua Inteligência Militar e na Agência denominada “Direção C4I”, ambas envolvidas com cyber guerra.
A Agência “C4I”, que teria como significado “Comando, Controle, Comunicações, Computadores e Inteligência Militares”, é dirigida por um coronel e ex-comandante da “Matzov” (Centro para a Segurança e Criptografia de Informações), unidade esta responsável pela elaboração dos códigos utilizados na criptografia das informações de outras unidades como “I.D.F.” (Forças de Defesa de Israel), “Shin Bet” (Agência de Segurança Israelense) e as redes do “Mossad”, além de grandes hidroelétricas e “mainframes” responsáveis pela infraestrutura de telefonia e distribuição de água no país.
Segundo informações do jornal “Jerusalem Post” publicadas no mês passado, o governo do Irã teria um ambicioso plano de investimento da ordem de US$ 1 bilhão, a fim de desenvolver tecnologia e contratar especialistas em informática com o objetivo de impulsionar aquele país em medidas ofensivas e defensivas numa cyber guerra.
Israel também estaria preocupado com ataques cibernéticos terroristas, após a liberação de milhares de números de cartão de crédito de israelenses por um hacker árabe na semana passada.
Segundo afirmou o oficial sênior de Israel, o país não esta onde gostaria quando se trata do mundo cibernético, mas esta trabalhando para melhorar suas capacidades.
Uma das principais preocupações da IDF é a possibilidade de que um inimigo se infiltre e derrube redes militares durante uma guerra.
O jornal “Jerusalem Post” trouxe relatos de que o “I.D.F.” tem investido pesadamente na digitalização de suas forças de terra, permitindo-lhes compartilhar informações táticas sobre a localização das unidades amigáveis e hostis.
Segundo afirmou um oficial sênior da direção da Agência “C4I”, cyber defesa significa reter a capacidade de continuar operando e ser capaz de confiar na segurança e disponibilidade de suas redes.
E a ameaça é real, já que um grupo apelidado de “Team Hacker Gaza” teria lançado um ataque cibernético contra o website dos Bombeiros de Israel, no mais recente de uma série de ataques de cyber-terrorismo contra aquele país.
Ainda de acordo com o “Jerusalem Post”, o mesmo grupo teria invadido o website do vice-chanceler Danny Ayalon na semana passada, tendo publicado traços e pegadas sobrepostas em seu rosto em imagens de Ayalon que teriam sido utilizadas no ataque realizado contra o website dos bombeiros, além de ameaçar atacar outros websites de Israel e ter escrito “morte a Israel” em hebraico.

Fonte:  Tiffany Gabbay, para o The Blaze

Uma nova cepa do Trojan “Sykipot” tem sido utilizada para comprometer o acesso do Departamento de Defesa norte americano a redes de muitas agências de governo dos Estados Unidos, acesso este que é reforçado com o uso de “smart cards”, conforme informaram pesquisadores de segurança.
Os “smart cards” ou “cartões inteligentes” são uma forma padrão de concessão de acesso a funcionários militares da ativa, pessoas da reserva selecionadas, funcionários civis e técnicos com acesso elegível para as intranets do Exército e Marinha dos Estados Unidos além de instalações da Força Aérea.
Eles podem ser usados para entrar em edifícios ou, quando usado em conjunto com uma senha estática, para acessar redes.
Hackers chineses adaptaram o Trojan Sykipot para descobrir as credenciais do cartão em um sistema comprometido e poder acessar redes militares reservadas, de acordo com pesquisadores da empresa de ferramentas de segurança “AlienVault”.
Uma versão adaptada do Trojan transformou em alvos computadores ligados a leitores de “smart cards” que estejam executando o aplicativo cliente “ActivClient”, da “ActivIdentity”, o que tem sido descrito como um ataque “proxy” ao “smart card”.
O cavalo de Tróia Sykipot foi criado há três anos e seus ataques foram descritos como responsável por uma série de casos de espionagem industrial.
Pesquisadores da “AlienVault” teriam capturado em um “honeypot”, há cerca de duas semanas atrás, uma versão adaptada do malware especificamente concebida para contornar a tecnologia de autenticação fornecida pela “ActivIdentity”.
Uma análise posterior teria sugerido que hackers adicionaram um módulo de “smart card” no malware anteriormente existente por volta de março de 2011.
A “AlienVault” avalia que a nova cepa do “Sykipot” foi desenvolvida pelos mesmos autores chineses que criaram versões anteriores do malware, o qual teria sido visto pela primeira vez há cerca de três anos atrás.
Versões anteriores do Trojan teriam sido inseridas em mensagens de spam que tinham como alvo a próxima geração de “drones” da Força Aérea dos Estados Unidos.
Na realidade, estas mensagens buscavam direcionar usuários para download em um drive num site na internet infectado com o Trojan Sykipot, aproveitando-se de diferentes falhas de segurança no Internet Explore e no Adobe Reader.
O malware teria como propósito realizar ataques direcionados contra empresas de tecnologia aeroespacial, dentre outros alvos, tendo sido projetado para extrair informações comercialmente sensíveis de um sistema comprometido.
A mais recente série de ataques também seria realizada por intermédio do envio de e-mails de “pishing” que tentam enganar usuários levando-os a clicar em um link que efetua o “download” do malware Sykipot em suas máquinas.
Desta vez o malware utiliza um “keylogger” para roubar PINs associados com cartões inteligentes. Uma vez que os atacantes têm os códigos de autenticação e os PINs associados ganham o mesmo nível de acesso confiável a redes sensíveis do usuário cujas credenciais tenham furtado.
Os cyber-criminosos por trás dos ataques estão usando uma versão do Sykipot desenvolvida por volta de março de 2011, chamando a atenção por realizarem dezenas de ataques de uma só vez, de acordo com a “AlienVault”.
Jaime Blasco, gerente de laboratório da “AlienVault”, disse que as mensagens de chineses no código incorporado, o uso de servidores de comando e controle na China, bem como o uso de software exclusivo da China fornecem evidências de que hackers chineses estão, em última análise, por trás do ataque, acrescentando que o uso de “tokens” dinâmicos que oferecem dois fatores de autenticação poderia impedir esta linha de ataque.
A empresa “AlienVault” fornece tecnologia de segurança e registo de eventos e não compete com a “ActivIdentity”.
O gerente Jaime Blasco disse que não tinha fornecido para a “ActivIdentity” e nem para o Departamento de Defesa dos Estados Unidos amostras do malware ou os notificado sobre sua pesquisa, que foi divulgada através de um artigo publicado no New York Times na quinta-feira.
Cartões inteligentes da “ActivIdentity” são tema padrão no Departamento de Defesa dos Estados Unidos e numa série de outras agências do governo norte americano, sendo que dentre outros usuários dos mesmos podem ser citados a “Monsanto”, o “BNP Paribas” e a “Air France”, conforme teria informado o jornal New York Times.
Em resposta à pesquisa da “AlienVault”, a empresa “ActivIdentity” informou em um comunicado estar ciente dos relatórios recentes que supostamente teria identificado um método novo de ataque que poderia furtar informações, o qual seria baseado em “smart cards” certificados, acrescentando levar muito a sério esses relatos e estar trabalhando diligentemente para investigar esta ameaça em potencial, mas afirmou estar confiante de que a ameaça supostamente não representa risco imediato a seus clientes.

Fonte: John Leyden – The Register

Ao longo dos últimos dois anos, ataques “DDoS” não apenas se tornaram muito mais sofisticados como se tornaram uma tendência dominante, chegando ao ponto dos invasores não terem vergonha de usá-los descaradamente, em nome do ativismo social e político.
Mas o pior é que os agressores raramente enfrentam qualquer tipo de punição, isto porque alguns juízes têm considerado este tipo de ataque uma prática legal.
Segundo Neal Quinn, vice-presidente de operações da “Prolexic”, uma empresa especializada na mitigação de ataques “DDoS”, este tipo de ação não é mais escondida, mas sim pública, é bem conhecida.
Neal Quinn acrescentou, ainda, que não se está apenas falando sobre o grupo “Anonymous”, mas de todo tipo de pessoa que usa abertamente “DDoS” para realizar suas ações.
Trata-se de uma tendência dominante, sendo a mais notável mudança nos últimos 18 a 24 meses.
Ataques “DDoS” são muito mais difíceis de serem prevenidos do que outros tipos de ataques.
É fato que, a maioria dos ataques “DDoS” não tiram proveito de uma vulnerabilidade mal codificada, pois são simplesmente o esgotamento de recursos.
A cada ano, mais pessoas têm os seus sites ou serviços comprometidos ao menos alguns dias enquanto lutam contra ataques “DDoS”, sendo que apenas alguns desses ataques acabam por resultar em condenações.
Mas o inadmissível é o fato de que muitos segmentos da sociedade em vários países acabam por apoiar este tipo de ação criminosa por razões sociais e políticas, conforme alerta Neal Quinn.
Grupos de ações políticas muitas vezes se encontram em fóruns públicos, discutem metas, anunciam seus planos para a imprensa e em seguida, atacam, sendo que em alguns casos, as organizações acabam por se tornar bodes expiatórios, tornando-se alvos maiores quando elas tentam tomar medidas legais contra os infratores, em oposição ao silêncio permanente dos ataques.
Um exemplo muito claro disto ocorreu aqui mesmo no Brasil.
Após a série de ataques contra sites governamentais há alguns meses atrás, a Polícia Federal entrou em ação e instaurou um inquérito policial para identificar os responsáveis.
Lamentavelmente, o Poder Judiciário impediu o prosseguimento das investigações e a coleta de informações vitais para o deslinde do caso, sob a alegação de tratar-se de fato atípico.
Certo é que este tipo de ação criminosa pode e deve ser considerado crime com a punição dos infratores, com base no artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública, prevendo pena de reclusão de 1 a 5 anos e multa.
Isto para não mencionarmos o fato de que, caso este tipo de conduta ocasione danos a infraestrutura do site ou a rede interna dos sistemas, poderá ser capitulado como crime de dano previsto no artigo 163 do Código Penal, cuja punição será de 1 a 6 meses e multa.
Tecnologicamente falando, ataques “DDoS” continuam a crescer cada vez mais.
Antes ataques de 1Gbps costumavam ser considerados enormes, sendo que na atualidade, já se tornou rotineiro serem vistos ataques acima 20Gbps.
Mas o desafio mais difícil é a sofisticação das técnicas empregadas nos ataques “DDoS”, que aumentaram consideravelmente na medida em que os atacantes mudaram de direcionamento das camadas 3 e 4 (encaminhamento e transporte) para a camada 7 (a camada de aplicação).
Os atacantes aprenderam, por exemplo, como determinar quais os elementos que compõem as páginas Web mais populares a serem atacadas, apurando com precisão quais levam mais tempo para carregar e têm um mínimo de redundância.
Segundo alertou Neal Quinn, os atacantes estão agora passando um período de tempo muito maior na pesquisa de seus objetivos e na descoberta das aplicações que estão rodando, tentando descobrir onde eles podem causar mais estragos em uma determinada aplicação, devendo ser acrescentado que os atacantes fazem um reconhecimento para descobrir como uma página web pode consumir mais recursos de uma URL quando é atualizada.
Ataques “DDoS” mais sofisticados são lançados sucessivamente contra muitos vetores, aumentando assim os estragos.
Essa tática faz com que a defesa seja muito difícil.
Por exemplo, o atacante pode começar com uma técnica simples de “Flood ICMP ou UDP” direcionando o tráfego para tornar muito mais difícil que a vítima o possa manusear.
Mesmo que a vítima consiga o controle do ataque “Flood ICMP ou UDP”, o atacante pode passar para o protocolo TCP.
Quando a vítima se torna alvo de um novo ataque “Flood TCP”, o atacante pode elevar o número de “bots” e o volume de tráfego para ajustar a forma de ataque.
Um número crescente de vítimas de ataque “DDoS” descobriram que os invasores estão usando esta ação múltipla como artifício para desviar a atenção e realizar ataques mais prejudiciais em outros pontos da rede.
Fato é, que quando a empresa vítima é atingida por um ataque “DDoS”, ele normalmente causa pouco pânico, uma vez que aquela corporação usa seus melhores e mais brilhantes recursos para suportar o problema, muito embora isto os leve para longe de suas funções de monitoramento.
As empresas podem se defender de ataques “DDoS” se seguirem algumas instruções bem simples.
Primeiro, como regra geral, devem otimizar seu desempenho, certificando-se que seus “hosts” e dispositivos de rede estejam configurados para um melhor desempenho.
A maioria dos fornecedores tem configurações anti-DDoS que você pode aplicar em ativos que possam ser alvo de ataques.
Em segundo lugar, certifique-se de que nenhum elemento sem redundância possa se tornar um elo fraco em qualquer servidor Web ou serviço, não permitindo que os atacantes sejam os primeiros a analisar seus sites para descobrirem problemas de desempenho e riscos de segurança.
Em terceiro lugar, é aconselhável que as organizações tenham largura de banda suficiente para evitar uma sobrecarga da CPU e para lidar com ataques “DDoS”.
Um bom planejamento da utilização da largura de banda deve incluir como lidar com o aumento excessivo de tráfego.
Determine se você tem uma maneira rápida de lidar com enormes sobrecargas de tráfego, podendo se valer de acordos de “peering” (arranjo de troca de tráfego), uso de serviços em nuvem ou uso de serviços de mitigação de “DDoS”.
Em quarto lugar, e recomendável que as organizações mantenham seus registros de “DNS TTL” (time-to-live) com configurações baixas o suficiente para garantir que eventuais mudanças sejam rapidamente detectadas.
Em quinto lugar, adeque suas configurações para receber alertas de ataques “DDoS” o mais rápido possível.
Dessa forma, você pode rapidamente ser alertado quando seu site estiver sob ataque e deixar de responder.
Certifique-se de ter monitoramento interno e externo funcionais.
Finalmente, certifique-se de que suas ações anti-DDoS sejam parte de seu plano regular de resposta a incidentes.
Saiba de antemão quem você tem de chamar quando estiver sofrendo um ataque e incentive que todos os seus funcionários saibam passo a passo como reagir, evitando que um ataque possa se intensificar e que sua resposta seja muito suave, o que permitirá que você esteja sempre à frente dos atacantes.

Fonte: Roger A. Grimes

Um incidente noticiado nesta semana pela imprensa de todo o mundo, deixa clara a necessidade de que o combate ao cybercrime somente seja realizado por profissionais experientes e bem treinados.
O grupo de hackers “Anonymous” lançou um novo ataque sobre unidades de investigação de crimes com a divulgação do que eles dizem que são e-mails pessoais furtados de um investigador de crimes cibernéticos da Califórnia.
O cache de e-mails, que de acordo com o grupo “AntiSec” são da conta de Fred Baclagan, um Agente Especial Supervisor do Departamento de Justiça da Califórnia já aposentado, inclui 30 mil e-mails detalhando técnicas de computação forense e vários protocolos de investigação de cybercrimes.
Os hackers afirmam ter invadido a conta do Gmail do Agente Baclagan e terem acessado seu correio de voz e registros de mensagens SMS usando técnicas não especificadas, como parte de sua campanha em curso contra agentes da lei e seus “aliados” na indústria de segurança de computadores.
A divulgação dos e-mails, alardeada como um bomba na última sexta-feira e que se tornou parte do lançamento de um grupo de hackers denominado “FuckFBIFriday”, trouxe também informações pessoais do Agente Baclagan, tais como endereço de sua casa e seu número de telefone privado.
Porém, as informações mais interessantes contidas nos e-mails são os arquivos referentes aos anos de 2005 a 2011 que trazem listas de e-mails internos da “International Association of Computer Investigative Specialists”, uma organização voluntária sem fins lucrativos formada por profissionais pertencentes a agências de investigação de crimes cujo objetivo é desenvolver e registrar as melhores práticas em computação forense.
Os arquivos detalham os métodos usados para reunir provas eletrônicas conduzir investigações e efetuar prisões, além de relacionar as unidades táticas de combate ao cibercrime.
Um membro do “Anonymous” afirmou num comunicado que acompanha a divulgação dos e-mails, que o conhecimento destas técnicas irá ajudar a desenvolver melhores “hacktivistas” e novas técnicas anti-forense.
No material vazado há discussões sobre o uso do software forense “EnCase”, sobre tentativas de “crackear” drives criptografados com “TrueCrypt”, “sniifing” do tráfego de redes sem fio em veículos de vigilância móvel, melhor forma de preparar mandados de busca e apreensão, além de um monte de gente sem noção fazendo perguntas sobre como utilizar softwares básicos como “F.T.P.”. A divulgação da lista inteira de e-mails do “IACIS”, fez com que os administradores da mesma entrassem em pânico fechando-a, além de tirarem o site da associação da internet.
O Agente Baclagan teria sido ouvido pelo “Huffington Post” e afirmado que ele não era alguém especial no Departamento de Justiça, afirmando ainda que havia se especializado em furto de identidade antes de se aposentar no ano passado e que seria apenas um investigador local, não estando envolvido em nada dinâmico ou dramático.
Este tipo de situação chama a atenção de agências de investigação de cybercrimes no mundo todo para a necessidade de reverem seus métodos e protocolos com relação a manipulação de informações sensíveis por parte de seus funcionários.
Obviamente, que a ação dos hackers do “Anonymous” prejudica sensivelmente a atuação de cyber investigadores, uma vez que revela métodos de ação e técnicas de investigação.
Mas o pior de tudo é a manipulação por cybers investigadores, extremamente mal preparados, de informações sensíveis, até porque no caso em testilha o Agente envolvido não deveria ter acesso aos dados vazados uma vez que já estaria aposentado.
Novamente fica transparente que as investigações sobre cybercrimes no Brasil e no mundo somente transcorrerão de forma eficiente com profissionais preparados e bem treinados.
Qualquer tipo de ação improvisada por parte dos governos implicará, cedo ou tarde, em algum tipo de ação desastrada que acabará por expor ao ridículo a atuação de suas forças de combate a cyber criminalidade.

Fraudadores e hackers na Inglaterra podem tomar uma pancada em breve com a proibição de acesso a mídia social que o governo britânico pretende incentivar os juízes a adotar como punição para crimes praticados na internet.
Um sistema denominada “The online tagging” é uma das várias recomendações anunciadas hoje com a divulgação do “Cyber Security Strategy – 2011” pela Grã-Bretanha.
As recomendações são destinadas a proteger a Grã-Bretanha e seus negócios na web contra os efeitos dos crimes cibernéticos, apresentando ainda um planejamento de obter “espiões” destinados a alertar os consumidores do Reino Unido para a necessidade de atualizar seu software antivírus no Facebook, além de focar a necessidade de dar treinamento de TI para a polícia, dentre outras medidas propostas.
Delineando as oportunidades e também os perigos da internet, especialmente para o comércio eletrônico do Reino Unido, o relatório defende um programa de educação e formação para tornar as pessoas mais seguras na internet.
Criminosos ingleses que cometerem cybercrimes estarão mais propensos a receberem sentenças que venham a lhes impor restrições, bem como criminosos condenados que estejam fora da prisão podem ser monitorados ao usarem computadores.
Além disso, fraudadores da Internet poderão ser impedidos de vender coisas pela internet, segundo sugere as recomendações expostas no documento que divulgou a “Cyber Security Strategy – 2011”.
Pessoas condenadas por crimes sexuais, assédio ou comportamento antissocial podem ter seu acesso à internet restringido a fim de proteger o público.
A ideia proposta deverá funcionar como um cyber-versão das “marcas” que os criminosos ingleses recebem no mundo físico, esclarecendo que estas “marcas” poderiam ser acionadas sempre que um infrator violasse as condições que lhe foram impostas quanto ao uso da internet, informando automaticamente a polícia ou o serviço de reinserção social o que seria muito importante por permitir atingir um grupo maior de infratores.
O documento divulgado sugere que novas rotinas de “cyber higiene” poderiam prevenir 80% dos crimes virtuais atuais que afetam os negócios e o público em geral.
A ideia principal é educar os ingleses para que até 2015 as pessoas consigam desconfiar de anexos de e-mail ou links suspeitos enviados por alguém desconhecido.
O governo britânico quer que as pessoas saibam que precisam estar sempre atualizando seus sistemas operacionais e software de vírus.
Especialistas em inteligência do Reino Unido e do serviço de espionagem inglês, além de empresas privadas, tais como Microsoft e HSBC, vão colaborar nesta campanha, que então eles esperam venha a se espalhar para o público em geral por meio do Facebook.
O documento apresentado afirma que a mídia social é uma das melhores maneiras de alertar as pessoas sobre “scams”, fraudes ou outras ameaças vindas da internet, destacando que os consumidores deverão ser ensinados a responder às ameaças cibernéticas como algo rotineiro.
Por fim, o documento destaca que a Polícia fará parte da estratégia a ser adotada e também deverá familiarizar-se com este novo mundo da tecnologia, devendo ter seus agentes treinados.
Um corpo interdepartamental – a “National Crime Agency” (NCA), deverá reunir especialistas em cybercrime alçados de outros departamentos governamentais, conforme venha a ser necessário.
O governo inglês planeja criar um Centro público-privado de cibersegurança aproveitando o conhecimento de seus especialistas em inteligência e funcionários de seu serviço de espionagem, beneficiando assim toda a economia britânica.
No geral, o governo inglês quer aumentar o número de pessoas ligadas a área de segurança de T.I., ou o “quadro de profissionais de segurança cibernética”, como gosta de chamá-los, visando produzir um novo plano de certificação para credenciar o setor e manter a padronização.
O Ministro de Cyber Segurança da Inglaterra, Francis Maude, e o Primeiro-Ministro Inglês, David Cameron, afirmaram que estavam comprometidos com a liberdade na internet e agradeceram pelo “boom” que ela havia trazido para as empresas britânicas.
O Ministro Maude afirmou que o crescimento da internet na Inglaterra revolucionou as vidas diárias dos ingleses e prometeu incontáveis oportunidades econômicas e sociais para os próximos anos, destacando que esta estratégia definiria a forma como os ingleses perceberiam os benefícios de um mundo em rede através da construção de uma forma mais confiável e resistente de ambiente digital, a fim de proteger o público de fraudes on-line e garantir a segurança da infraestrutura crítica do país contra ataques cibernéticos.

Fato muito comum na atualidade é verificar-se que na mente de algumas pessoas a perícia seja confundida e tratada como se fosse uma investigação, o que revela no mínimo profundo desconhecimento das habilidades necessárias aos profissionais envolvidos em ambas as áreas.
Ficando adstrito exclusivamente a fase de investigação, pode ser que o Delegado de Polícia, presidente do inquérito policial e consequentemente das investigações necessárias para comprovação da materialidade delitiva e coleta de indícios suficientes de autoria, precise de uma prova pericial, ou seja, de um documento que esclareça um ponto importante da investigação, que somente pode ser feito por pessoa com formação especializada.
A razão de ser da perícia é que seu conteúdo não poderia ser produzido pelos próprios Delegados de Polícia, que são bacharéis em direito, por reclamar outras formações intelectuais, como as de engenheiro civil, médico ou contador, para ficar nas mais comuns.
Na maioria das vezes, o resultado do trabalho realizado pelo Perito é algo único, voltado exclusivamente para o caso ao qual se destina e apresentando um vocabulário que realça um perfil elevado: o produto final obtido é um laudo; perguntas são quesitos; páginas são laudas e assim por diante.
A Perícia é concebida como uma atividade de examinar as coisas e os fatos, reportando sua autenticidade e opinando sobre as causas, essências e efeitos da matéria examinada.
Pode haver em qualquer área, sempre onde existir a controvérsia ou a pendência, inclusive em algumas situações empírica.
O objetivo da Perícia é o estado do fato característico e peculiar, que está sendo objeto de indagação, podendo ocorrer dentro do âmbito de qualquer uma das áreas da ciência.
Por outro lado, uma investigação criminal é um esforço por parte de um agente público para descobrir informações sobre um crime.
Podemos destacar o fato de existirem três formas que permitem que uma pessoa possa ser ser levada à justiça por um ato criminoso.
Primeiro e, provavelmente, o mais incomum, o indivíduo será submetido a ação judicial após ser conduzido por sua própria consciência a confessar uma ação criminosa.
Segundo, um policial pode surpreende-lo numa prática delituosa ou em situação que permita identificá-lo como autor de um delito.
Terceiro, e mais comum, uma investigação criminal pode identificar uma pessoa como suspeito.
Na maioria dos casos, quando um crime é cometido, duas preocupações se tornam o foco principal da atuação das forças policiais: a comprovação do cometimento do crime e quem o cometeu.
Tais indagações somente podem ser devidamente elucidadas por intermédio de uma investigação criminal, que deverá atuar precipuamente na chamada “cena do crime”.
Qualquer cena de crime permite que seja contada uma história, e como na maioria das histórias, cenas de crime têm personagens, um enredo, um começo, um meio, e, espera-se, uma conclusão.
No entanto, em contraste com autores que levam os seus leitores a um final pré-determinado, a disposição final de uma cena de crime depende quase que exclusivamente da atuação dos investigadores designados para o caso.
As habilidades dos investigadores em analisar a cena do crime e determinar como, o que, quem e por que, governam o modo como a história da cena do crime se desenrola.
Em muitos casos, para garantir um final satisfatório, ou seja, a repressão do crime, os investigadores devem ter aguçada percepção para entender que suas conclusões dependem da sua visão sobre a dinâmica do comportamento humano, uma vez que padrões de fala, estilos de escrita, gestos verbais e não verbais, além de outras características e padrões permitem dar forma ao comportamento humano.
Estas características individuais trabalham em conjunto para fazer com que cada pessoa ao agir, reagir, executar uma função o façam de forma única e específica, sendo que este comportamento individualista normalmente permanece consistente, independentemente da atividade que está sendo realizada.
Assim sendo, um investigador atua de forma muito mais ampla que um perito criminal na busca das informações que o levarão ao detalhamento da ação delituosa e a forma como esta teria se desenvolvido.
A investigação criminal permite que se possa olhar para as técnicas utilizadas pelos criminosos ao cometerem um delito, minuciando seus motivos e as suas razões.
É importante que fique claro que a investigação criminal é apenas assistida pelo laboratórios criminais, os quais estão melhor equipados para lidar com uma ampla gama de evidências físicas, como por exemplo numa análise química, sendo importante destacarmos que estas evidências são coletadas pelos investigadores no curso de uma investigação.
As técnicas de identificação, especialmente por impressões digitais, e mais recentemente pela voz ou pelo D.N.A., tornaram-se importantes recursos na investigação moderna.
Análise forense de sangue e urina, identificação de traços de substâncias químicas em órgãos de um corpo, análise fotográfica e fotomicrografia, exame de documentos, balística e outras técnicas científicas também são amplamente utilizadas em investigações modernas como forma de subsidiar trabalhos de investigação.
Neste panorama nunca podemos perder de vista que a investigação científica tem um papel importante no controle dos crimes e na correta identificação dos criminosos.
Com o desenvolvimento da ciência e da tecnologia os padrões das sociedades também têm se transformado e é fato que os criminosos também alteraram as suas técnicas para incorporar avanços tecnológicos na prática de vários crimes.
Isto faz com que se torne necessário o uso intenso de métodos de investigação científica por parte dos órgãos de investigação, mas de forma nenhuma implica na substituição da investigação pela perícia.
Ninguém discute que a ciência forense é a forma mais importante de investigar na atualidade, mas a sua função principal é permitir que os órgãos investigativos possam se beneficiar do uso de procedimentos, métodos e técnicas de ciência básica na análise de várias situações associados à prática de crimes.
Por tudo quando foi anteriormente exposto, forçoso é reconhecer-se que investigador criminal não é perito e vice-versa, muito embora também seja forçoso reconhecer que o trabalho de perícia constitui-se na maioria das vezes num dos mais importantes recursos para o sucesso de uma investigação criminal.
Em se tratando da investigação de cybercrimes no Brasil, sua investigação tem sido relegada exclusivamente ao trabalho desenvolvido por peritos, motivo pelo qual os índices de esclarecimento desta modalidade delitiva no país têm sido absurdamente pífios.
Fato extremamente comum é poderem ser vistas muitas investigações absurdamente paradas porque seus responsáveis ficam exclusivamente aguardando a elaboração de alguma perícia, enquanto preciosos vestígios vão se esvaindo, dada a volatilidade dos mesmos.
Este tipo de procedimento apenas se justifica pelo fato de que a grande maioria dos profissionais envolvidos na investigação de cybercrimes no país não reúne um mínimo de conhecimento técnico para investigá-los, procurando apenas basear suas ações no trabalho realizado por peritos, os quais fulcram suas conclusões em mínima fração do que está sendo investigado, até porque a perícia tem finalidade específica.
A melhoria das investigações de cybercrimes no Brasil passa obrigatoriamente por uma melhor formação dos profissionais envolvidos nesta área, os quais devem ter conhecimento específico para que possam realizar seu trabalho de maneira adequada.
Não investir na qualificação de profissionais é certamente prejudicar a investigação dos cybercrimes no Brasil, o que no mínimo, acabará por reforçar a sensação de impunidade na internet e prejudicará a imagem do país no exterior.
Por fim, é indiscutível que o crime, de forma geral,  se tornou tão complexo como a natureza humana, sendo que os requisitos necessários para investigações eficientes também se diversificaram.
O desenvolvimento tecnológico moderno e os maravilhosos progressos na comunicação têm facilitado com que criminosos de todos os cantos do mundo possam cometer um crime com o uso de equipamentos sofisticados em um território, em seguida, possam fugir para outro lugar.
Isso levanta a necessidade de se ter métodos investigativos mais eficazes, sob pena de uma escalada sem igual na ação dos criminosos em todas as partes do mundo.
A solução está na adoção de métodos de investigação científicos e na criação de padrões de atuação mais eficazes, já que os criminosos acabam por afetar negativamente a sociedade, bem como prejudicam a qualidade de vida, além de ameaçarem os direitos humanos e as liberdades fundamentais na medida em que representam um sério desafio.

Atualizado em 03 de Janeiro de 2012.

Fonte: C R Swanson; N C Chamelin; L Territo in “Criminal Investigation”.

European Council

Delegados de todo o mundo estarão reunidos na França nesta semana para discutir o único tratado internacional que lida com crimes cibernéticos, tratado este que sofreu sob o fogo cerrado de alguns países, mas que foi defendido por outros como um instrumento fundamental no combate ao crime eletrônico.
Na próxima quarta-feira ocorrerá o 10º aniversário da Convenção sobre o Cibercrime, também conhecida como Convenção de Budapeste.
O tratado, que foi aberto para assinaturas em Novembro de 2001, estabelece diretrizes para leis e procedimentos que deveriam lidar com a criminalidade na Internet.
O tratado criou uma base para a criação de leis em todo o mundo, exigindo que os países que aderissem ao mesmo tratassem de forma uniforme o cibercrime, além de obrigar a criação de redes de contatos entre forças policiais que estivessem disponíveis 24 horas por dia/sete dias por semana.
A Convenção é supervisionada pelo Conselho da Europa, uma organização fundada em 1949, que também supervisiona a Convenção Europeia dos Direitos Humanos.
Países integrantes do Conselho da Europa podem assinar o tratado e, uma vez que a sua legislação nacional esteja em conformidade com o mesmo, podem ratificá-lo.
Países de fora do conselho são convidados a aderir ao tratado.
Até agora 32 países ou ratificaram ou aderiram e outros 15 países assinaram o tratado mas não o ratificaram, justamente o caso do Brasil.
Outros oito países foram convidados a aderir.
O ritmo nos últimos 10 anos tem sido lento, mas não inédito para um tratado internacional.
Alguns países como a Rússia não assinaram o tratado, sendo que suas autoridades expressaram preocupação sobre suas disposições ao alegar que violaria as normas do direito internacional e a soberania das nações.
Rússia, junto com China, Tadjiquistão e Uzbequistão enviaram uma carta em setembro à ONU pedindo uma resolução sobre um código de conduta no ciberespaço, o que poderia incluir disposições destinadas a interromper o uso da Internet por terroristas.
Muitos países, dentre os quais os Estados Unidos, viram a proposta russa com desconfiança, acreditando que poderia ser motivada por uma intenção de criar um instrumento legal que poderia ser invocado para reprimir injustamente dissidentes que utilizassem a internet.
As intenções expressas na proposta da Rússia, no entanto, não estão necessariamente em desacordo com a Convenção de Budapeste, segundo afirmou Alexander Seger, chefe de proteção de dados e da divisão de cibercrime do Conselho da Europa.
A Convenção de Budapeste concentra-se no crime, não no que chamou de “cyber questões” entre Estados-nações no que diz respeito à segurança nacional, motivo pelo qual talvez seja necessário negociar um código de conduta.
Provavelmente seria quase impossível se negociar um tratado, como a Convenção de Budapeste hoje porque as negociações seriam muito difíceis, alegou Seger, que ainda acrescentou que a convenção é uma das melhores ferramentas disponíveis para enfrentar a ameaça de cibercriminalidade.
O tratado tem sido essencial para que sejam estabelecidas regras básicas uniformes para lidar com crimes cibernéticos, os quais quase sempre envolvem criminosos de outros países, alertou Pedro Verdelho, um promotor que investigou o cibercrime por 11 anos e ensinou criminalidade informática e direito penal no Centro de Estudos Judiciários em Lisboa.
Segundo Verdelho, se você não tem os instrumentos legais, não pode cooperar.
A maioria dos incidentes relacionados à cibercrimes na Austrália são quase todos originários de ataques de fora daquele país, alertou Neil Gaughan, Comissário Assistente e Gerente nacional de operações de crimes de alta tecnologia para a Polícia Federal Australiana (AFP).
A “A.F.P.” troca informações quase que diariamente com forças policiais de fora da Austrália sobre questões ligadas à cibercriminalidade, motivo pelo qual entende que o tratado facilitou esta tarefa.
A Austrália espera aderir ao tratado logo depois que alterar sua legislação para que fique em conformidade com o tratado.
Para que seja possível a abertura de um processo relacionado à cybercrime num país, e necessário que a conduta incriminada naquela também seja crime em qualquer outro país que esteja envolvido nas apurações, justamente um dos objetivos da convenção.
O tratado também determina que tipo de procedimentos de investigações são permitidas, tais como interceptação de dados ou pesquisas em computadores.
A conferência deste ano sobre o tratado, que vai até terça-feira da próxima semana em Estrasburgo, terá a participação de Howard Schmidt, Coordenador de Cibersegurança dos Estados Unidos, James Brokenshire, Ministro de Assuntos Internos, Criminalidade e Segurança do Reino Unido e Robert McLelland, da Procuradoria Geral da Austrália.
Alexander Seger antecipou que o comitê da convenção do cibercrime deverá começar seus trabalhos discutindo sobre recomendações para a criação de regras mais claras sobre como dados podem ser acessados em “Data Centers”, ou seja, “computação em nuvem”.
Alexander Seger alertou que, atualmente, com a “computação em nuvem”, as agências de segurança ainda não sabem onde os dados estão efetivamente localizados, afirmando que as discussões poderiam girar em torno de questões a respeito de como as outras partes devem ser informadas e que tipo de prova eletrônica obtida será admissível nos tribunais.
Ainda segundo Seger, a comissão poderá, eventualmente, emitir recomendações não vinculativas, denominadas “Soft-law Instrument”, além de poder decidir acrescentar disposições sobre o próprio tratado como um protocolo, o que exigiria a ratificação pelas nações.
Por fim, Seger alertou que as conversações deverão demonstrar que os defensores da Convenção de Budapeste “não são estáticos”.

Fonte: Jeremy Kirk, IDG News Service

Conheça os bastidores do Departamento de Investigação Criminal do Cantão Suíço, instituição que criou o Serviço de Informática Judiciária, unidade especializada para atuar com a criminalidade praticada pela internet e os crimes relacionados ao uso da tecnologia.

Fonte: SF/swissinfo.ch

Imagens publicadas na internet sugerem que hackers podem ter ganho acesso não autorizado a computadores que controlam uma instalação de tratamento de água, segundo uma afirmação que suscita preocupações adicionais sobre a segurança da infraestrutura crítica dos Estados Unidos.
Cinco imagens de computador postadas na sexta-feira pretendem mostrar a interface de usuário usada para monitorar e controlar equipamentos no Departamento de Água e Esgoto da cidade de South Houston, Texas.
Elas foram postadas por alguém que se chamaria “pr0f” e seriam a resposta aos comentários feitos por um porta voz do Departamento de Segurança Interna dos Estados Unidos sobre um artigo que indicava que a infraestrutura crítica norte americana estava em risco ao relatar um ataque a uma concessionária de água.
Segundo o porta voz do Departamento de Segurança Interna dos Estados Unidos o citado ataque não era crível e não havia como corroborar os dados relacionados ao mesmo.
Em sua publicação “pr0f” afirma: “Eu não gosto, imensamente, como o DHS, tende a subestimar e o quão absolutamente FODIDO está o estado da infraestrutura nacional” arrematando ainda que “Eu também vi várias pessoas que duvidavam da possibilidade de que um ataque como esse poderia ser feito”.
“pr0f” passou a postar o que ele alega tratar-se da prova de que computadores conectados à Internet e que controlariam outros equipamentos industriais são facilmente acessíveis por pessoas não autorizadas.
As cinco fotos mostram o que parece ser a “I.H.M.” ou interface homem-máquina, controlando equipamentos altamente sensíveis utilizados pelo Departamento de Água e Esgotos de South Houston.
As fotos seriam de uma interface descrita como um aparelho para monitoramento e controle de plantas da cidade para tratamento de águas residuais, incluindo um gerador de energia e o que parecem ser “ventiladores”, que controlariam o fluxo de ar.
Nenhum órgão de imprensa foi incapaz de confirmar as alegações de que as imagens teriam sido obtidas através do acesso não autorizado do sistema.
Fato é que Autoridades municipais ainda teriam que confirmar ou negar as alegações de “pr0f”, sendo certo que nenhum representante do Departamento de Segurança Interna dos estados Unidos teria feito quaisquer comentários.
A possibilidade de que as capturas de tela dos sistemas de controle industrial da cidade foram feitas por funcionários autorizados para o treinamento ou outros fins e, posteriormente, obtido por “pr0f” é algo que não pode ser descartado.
A postagem vem um dia depois de Joe Weiss, um especialista na segurança de sistemas de controle, ter divulgado o conteúdo de um relatório de 10 de novembro do “Illinois Statewide Terrorism and Intelligence Center”.
Weiss teria alegado que invasores teriam destruído uma bomba de água pertencente a uma companhia regional, após terem acesso a sistemas de controle de supervisão e aquisição de dados que gerenciam as máquinas da concessionária.
Não há confirmação das informações apresentadas no relatório e o mesmo, segundo um porta-voz do “D.H.S.”, estaria sendo investigado por funcionários de sua agência e pelo F.B.I..
Enquanto os eventos ao longo dos últimos dois dias ainda não foram verificados, não há como negar que existe em todo o mundo uma grande quantidade de máquinas usadas em refinarias de gás, usinas e outras instalações industriais que são controladas por computadores, os quais estão conectados à internet.
Fato é que peças essenciais da infraestrutura de muitos países podem vir a ser tomados e sabotados por criminosos que venham a descobrir maneiras de contornar os controles de segurança.
Não se pode perder de vista que funcionários estão frequentemente conscientes deste tipo de risco, mas restrições financeiras e de ordem pessoal, muitas vezes podem superar essas preocupações.
Importante lembrarmos que no Brasil muitas pessoas que estão envolvidas com infraestrutura crítica recebem salários incompatíveis com suas tarefas e estão expostos a influências extremamente negativas.
Segundo Michael Assante, um especialista em segurança “S.C.A.D.A.” e presidente do “National Board of Information Security Examiners”, uma organização sem fins lucrativos focada no treinamento de segurança da força de trabalho, para pessoas com menos recursos disponíveis e orçamentos mais apertados, existem inúmeros sistemas de acesso remoto baseados na web.
Ter controles disponíveis através da internet significa que muitas agências governamentais sem muita verba em seu orçamento não terão que ter engenheiros “S.C.A.D.A.” dedicados em suas instalações, o que permitiria que elas pudessem usar a tecnologia para maximizar os recursos que teriam disponíveis.
Sistemas de Supervisão e Aquisição de Dados, ou abreviadamente SCADA (Supervisory Control and Data Aquisition) são sistemas que utilizam software para monitorar e supervisionar as variáveis e os dispositivos de sistemas de controle conectados através de drivers específicos.
De forma genérica, trata-se de um sistema de supervisão e um tipo de software que permite monitorar e controlar partes ou todo de um processo industrial.
Estes sistemas podem assumir topologia “mono-posto”, cliente-servidor ou múltiplos servidores-clientes. Atualmente tendem a libertar-se de protocolos de comunicação proprietários, como os dispositivos PACs (Controladores Programáveis para Automação), módulos de entradas/saídas remotas, controladores programáveis (CLPs), registradores, etc, para arquiteturas cliente-servidor OPC (OLE for Process Control).
A maioria das empresas no mundo inteiro que utilizam este tipo de sistema alega como principais vantagens para seu uso à qualidade obtida, redução dos custos operacionais, maior desempenho de produção, base para outros sistemas, o que traria grande vantagem competitiva em termos de mercado.
Fato é que no Brasil segurança de infraestrutura crítica tornou-se assunto extremamente nebuloso e na maioria das vezes nem mesmo representa a principal preocupação dos governantes, principalmente com relação a ataques externos.
Diversas concessionárias de água no Brasil utilizam sistemas de controle do tipo “S.C.A.D.A.”, exemplo disto é a Sabesp em São Paulo, a qual supervisiona e controla por intermédio de seu sistema integrado de abastecimento da Região Metropolitana de São Paulo operado por seu Centro de Controle Operacional (CCO), onde são monitoradas quatro mil variáveis de operação como: pressão, vazão, temperatura, níveis de reservatórios e a situação das estações elevatórias.
A Sabesp também faz uso de um sistema denominado “NetControl”, o qual lhe permite planejar e programar, automaticamente, a coleta de amostras, além de acionar um sistema de alarmes quando há resultados fora dos limites estabelecidos por várias regulamentações.
Outra forma de interação remota utilizada pela Sabesp em São Paulo é a “telemedição”, uma solução integrada para gestão do consumo de água que permite o controle e a tomada de ações remotas.
Sistemas como os utilizados pela Sabesp em São Paulo certamente modernizam todo o sistema de captação, tratamento e distribuição de água, mas expõe a necessidade de um maior controle de infraestrutura crítica, a fim de quer problemas como os verificados nos Estados Unidos possam evitados.
Fato é que se não aprendermos com os erros de outros países em dado instante seremos forçados a aprender com nossos próprios erros, o que certamente pode significar o sacrifício de uma boa parte de nossa população.

Um Hacker destruiu uma bomba usada por uma concessionária de serviços de água nos Estados Unidos depois de ganhar acesso não autorizado ao sistema de controle industrial utilizado para operar as máquinas, segundo alertou um especialista em segurança de computadores.
Joe Weiss, sócio-gerente da empresa “Applied Control Solutions”, disse que a violação foi provavelmente realizada após o atacante invadir o fabricante do software de controle de supervisão e aquisição de dados usado pela concessionária e furtado nomes de usuários e senhas pertencentes a clientes daquele fabricante. O atacante desconhecido teria utilizado endereços “I.P.” alocados para a Rússia.
Weiss citou um relatório oficial do governo do estado, onde estaria localizado o distrito regional da concessionária. Ele é datado de 10 de novembro, dois dias após a invasão ter sido descoberta. O documento indica que a concessionária havia enfrentando problemas inexplicáveis com o seu sistema informatizado nas semanas que antecederam a violação.
Durante um período de dois a três meses, problemas menores teriam sido observados no acesso remoto ao sistema de controle de água denominado “Scada”, segundo teria afirmado Weiss durante uma entrevista, na qual ele leu uma parte do documento.
Ainda segundo ele, os atacantes foram capazes de queimar uma das bombas de água da concessionária, fazendo com que tanto a bomba como o sistema “Scada”, que a controlava ligasse e desligasse repetidamente.
Weiss disse que teria obtido o relatório sobre a condição de que o nome da companhia de água e o estado onde está localizada não fossem divulgados.
Uma declaração emitida pelo Departamento de Segurança Interna dos Estados Unidos indica que a concessionária estaria localizada em Springfield, no Estado de Illinois.
Weiss publicou minuciosos detalhes do episódio porque queria chamar a atenção para o incidente, o qual, segundo ele, levanta sérias preocupações sobre a capacidade do governo dos Estados Unidos de garantir segurança mínima para sua infraestrutura crítica.
“Este é realmente algo grande, e como algo tão grande, algo não está sendo dito ou não está sendo feito”, teria afirmado Weiss, que ainda acrescentou “que diabos está acontecendo com o Departamento de Segurança Interna? Por que não as pessoas não estão sendo notificadas?”.
Ele disse que desconhece qualquer concessionária de água ou outros operadores que utilizem o “Scada” que estejam sabendo sobre o ataque.
Em um e-mail o porta-voz do Departamento de Segurança Interna do Estados Unidos, Peter Boogaard, teria escrito que o Departamento e o “F.B.I.” estariam reunindo todos os fatos que cercam o relatório sobre uma falha numa bomba de água em Springfield, no Illinois, sendo que não existiriam no momento dados com credibilidade que pudessem corroborar ou indicar algum tipo de risco para as entidades relacionadas a infraestrutura crítica dos Estados Unidos ou algum tipo de ameaça à segurança pública.
Fato é que a imprensa americana foi incapaz de verificar as afirmações contidas no relatório.
Um pesquisador de segurança, sem filiação a Weiss teria afirmado que não existia nenhuma razão óbvia para duvidar que o ataque tivesse ocorrido da forma como foi descrito.
Rick Moy, presidente e CEO da “NSS Labs” teria afirmado que este tipo de notícia não é surpreendente, pois inúmeros sistemas estão conectados à internet como não deveriam estar, tornando este tipo de ataque muito plausível.
Ao longo dos últimos anos, a vulnerabilidade dos sistemas de controle usados para operar centrais elétricas, refinarias, empresas de gás e outros sistemas industriais tem sido enfatizada por uma variedade de eventos.
O principal deles foi o “worm” de computador “Stuxnet” que se infiltrou nos sistemas de controle de centrífugas do Irã e interrompeu o programa nuclear daquele país.
No início deste ano, o pesquisador de segurança Dillon Beresford divulgou “bugs” em sistemas de controle amplamente utilizados, afirmando que os mesmos eram de grande alcance e poderiam afetar todos os países industrializados ao redor do planeta.
Mais recentemente, pesquisadores descobriram um “malware” altamente sofisticado que foi apelidado como “Duqu” e que teria se infiltrado em pelo menos oito tipos de instalações industriais em todo o mundo após explorar uma vulnerabilidade até então desconhecida no Microsoft Windows.
Alguns pesquisadores afirmam que o “Duqu” teria sido criado por pessoas com laços estreitos com o “Stuxnet”.
Weiss disse que ainda existe a possibilidade de que os atacantes que obtiveram as senhas da concessionária de água possam ter obtido outras de vários clientes do fabricante do sistema Scada, deixando aberta a possibilidade de que outras instalações industriais também estariam suscetíveis ou poderiam já ter sido violadas.
Fato é que muitos sistemas de controle industrial dependem de senhas que são codificadas diretamente no hardware, tornando difícil a mudança das senhas furtadas sem causar problemas sérios.
Weiss disse que os objetivos e as identidades dos agressores permanecem um mistério, levantando a possibilidade de que este tipo de ação possa ter sido realizada por algum outro país fazendo reconhecimento de sistemas, hackers que desejavam apenas se divertir ou algum grupo criminoso que desejaria apenas criar um elaborado esquema de extorsão, ressaltando que até poder se encontrar quem fez isso, não há nenhuma maneira de saber qual a sua motivação.