quarta-feira, 29 de dezembro de 2010

Melhores práticas para Forense Digital, normativas ISO e eDiscovery

POR RODRIGO ANTÃO

Em nossas andanças pelo Brasil encontramos grandes empresas dispostas a investir na primarização, ou insourcing , dos processos de investigação digital. Além do desafio da busca por orçamentos em tecnologias e pessoas especializadas, o assunto que mais preocupa os gestores é qual modelo ou melhores práticas para forense digital utilizar. Ainda não há uma ISO específica para Forense Computacional, apesar de algumas empresas e órgãos de aplicação da lei no exterior se utilizarem da ISO 17025 – Gestão da qualidade em laboratórios de ensaio e calibração. Outras iniciativas sobre regulação do trabalho em Forense Computacional podem ser encontradas no site da National Institute of Justice e na página 1.

De qualquer forma, sair da inexistência de uma área de forense para busca imediata de sua certificação ISO acaba soando como um devaneio para um mercado que ainda sofre com a carência de profissionais em todas as esferas, culpa do mal fadado apagão profissional brasileiro, que não é privilégio da nossa área. Operar os casos de perícia de maneira organizada e controlada já é um excelente primeiro desafio.

As iniciativas de criação de melhores práticas são de grande valia para a comunidade científica, mas ainda carecem da praticidade que o mercado corporativo demanda. Cabe aqui um parênteses, a maioria dos casos de investigações internas são tratados administrativamente, pouquíssimas são enviadas à esfera jurídica. Baseado nisso as empresas esperam um modelo de implementação que verse mais sobre os processos macro e menos nas minúcias técnicas dos procedimentos de análise.

Um modelo que equilibra ambas as demandas é o modelo americano do eDiscovery – Electronic Discovery – ou Descoberta Eletrônica, em tradução livre. A definição do eDiscovery segundo o Wikipedia é a seguinte:

“Electronic discovery, também conhecida como e-discovery, refere-se a um método de busca, pesquisa, localização e obtenção de dados e informações eletrônicos com a intenção de utilizá-los como evidências, em um processo judicial. Nos Estados Unidos, o assunto foi objeto de uma lei específica (E-Discovery Law), promulgada em 2006. Pode ser executada off-line em um único computador ou em uma rede de computadores, podendo requerer uma ordem judicial para acesso, visando a obtenção de provas essenciais. Podem incluir textos, imagens, banco de dados, planilhas eletrônicas, arquivos de áudio, animações, web sites e programas de computador.”






















Fonte: WWW.EDRM.NET


Este modelo permite que os times que tratam de investigações digitais tenham uma visão holística de todos os processos envolvidos na busca e apreensão das informações digitais.

É importante distinguir os processos de eDiscovery das soluções tecnológicas de eDiscovery. Atualmente a Techbiz Forense Digital representa alguns fabricantes internacionais que possuem softwares que cuidam da operacionalização destes processos. Como em todos os assuntos que permeiam a gestão corporativa, a estruturação dos processos vem antes da adoção tecnológica de um produto específico. Podemos ajudar bastante na construção destes processos.

A partir dos próximos posts vou versar sobre cada uma das fases do processo de eDiscovery. Este sim pode ser o divisor de águas para as equipes que necessitam de orquestrar melhor suas atividades de investigação corporativa.

quinta-feira, 23 de dezembro de 2010

As sutilezas da Esteganografia

Por Luiz Sales Rabelo*

Bom dia, amigo leitor! Como tema do meu primeiro artigo para este blog, decidi falar um pouco so bre a arte da esteganografia.
A palavra esteganografia é derivada de duas outras palavras de origem grega: “Steganos”, que significa segredo, e “Graphos”, que significa escrita. Basicamente, esteganografia é uma técnica utilizada para esconder informações “incorporando” mensagens importante dentro de outra mensagem, aparentemente inofensiva. O meio mais comum de esteganografia é utilizando arquivos de imagens. Os formatos de compressão mais utilizados são:

· GIF- Graphic Interface Format;
· BMP- A Microsoft standard image;
· JPEG- Joint Photographic Experts;
· TIFF- Tag Image File Format.

Algumas pessoas podem confundir a esteganografia com a criptografia, mas, salvo que ambas têm como objetivo proteger uma informação, essas técnicas não estão relacionadas entre si. É possível criptografar uma mensagem e então utilizar a esteganografia para ocultar essa massa de dados criptografada em um arquivo de imagem, como também é possível armazenar uma informação em texto simples, não criptografada, em um arquivo de imagem.

Para não estender muito este artigo (esteganografia é um assunto que cabe muita discussão), vou me limitar a falar sobre uma das técnicas mais utilizadas: Least Significant Bit Insertion. Esta técnica consiste em fazer uso do bit menos significativo dos pixels de uma imagem e alterá-lo. A mesma técnica pode ser aplicada a um arquivo de áudio ou vídeo, embora não seja tão comum. Feito assim, a distorção da imagem em geral é reduzida ao mínimo, sendo praticamente invisível. Em geral, esta técnica funciona melhor quando a imagem é de grande resolução, tem grandes variações de cor e também leva a maior profundidade de cor.

Exemplo: O valor (1 1 1 1 1 1 1 1) é um número binário de 8 bits. O bit localizado à direita é chamado de "bit menos significativo”, porque é o de menor peso, alterar este bit significa alterar o mínimo possível do valor total do número representado.

Um exemplo de esteganografia: Escondendo a letra "A". Imagine a parte de uma imagem no formato de pixel RGB (3 bytes), sua representação original pode ser: (3 pixels, 9 bytes):

(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)
(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

A mensagem criptografada é 'A', que é a representação em binário (1 0 0 1 0 1 1 1), em seguida, os novos pixels seriam alterados:

(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)
(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Note-se que o algorítimo substituiu o bit da mensagem (em negrito) em cada um dos bits menos significativo dos 3 pixels de cor. Foram necessários 8 bytes para a mudança, um para cada bit da letra A, o nono byte de cor não foi usado, mas é parte do terceiro pixel (seu terceiro componente de cor).

Além disso, este método não altera o tamanho do arquivo, pois emprega uma técnica de substituição de informações. Esta técnica tem a desvantagem de que o tamanho do arquivo de suporte deve ser proporcionalmente maior quanto a mensagem a ser oculta, ou seja, você precisa de 8 bytes para cada byte de imagem para esconder a mensagem, o que limita a capacidade máxima para armazenar uma imagem de uma mensagem escondida em 12,5%. Se você pretende usar uma parcela maior de bits da imagem (por exemplo, não só por último, mas os dois últimos bits de cada byte), pode começar a ser perceptível ao olho humano as distorções causadas na imagem final pela técnica de esteganografia.

Essencialmente, a esteganografia explora as limitações da percepção humana, pois os nossos sentidos não são capazes de detectar estas mínimas anomalias geradas pela técnica. Para detecção destas informações ocultas, empregamos uma técnica chamada de estegoanálise. Vou falar sobre as técnicas de estegoanálise no próximo post.

Até lá!

quinta-feira, 16 de dezembro de 2010

As ações anti-anti-WikiLeaks e a legislação penal brasileira.

Por Sandro Süffert* e Emerson Wendt**

Há alguns dias acompanhamos uma frenética divulgação pelo site WikiLeaks de conteúdos de correspondências trocadas pelas embaixadas americanas. O caso passou a ser chamado de Cablegate.

Não bastasse isso, com a retaliação advinda do Governo americano e de grandes empresas (a exemplo da Amazon, que deixou de hospedar o site, e da Mastercard e Visa, que deixaram de processar seus pagamentos), a consequência passou a ser um contra-ataque oriundo de simpatizantes de Julian Assange (idealizador do WikiLeaks).

O contra-ataque veio em várias frentes. Primeiro, na criação dos chamados espelhos do site (mirrors), funcionando como ferramentas para manter o "ideal" do WikiLeaks, e o que ele representa, ativo e visto por todos; e, segundo, através de ataques direcionados a determinados sites apoiadores da ideia anti-WikiLeaks.

A última ação do grupo foi a invasão e exposição de contas e senhas do site Gawker que recentemente publicou um artigo minimizando a capacidade do grupo (Para verificar se sua conta foi comprometida, use este link).

No caso dos "mirrors" do site Wikileaks, que no Brasil já são doze, ao avaliar a legislação brasileira, percebe-se que a posição do Dr. Omar Kaminski, reproduzida nesta avaliação, é a mais acertada, pois que não há previsão no Brasil quanto à punibilidade (aspecto penal) de pessoas que eventualmente hospedem uma página que contenha conteúdo reservado, confidencial, secreto ou ultra-secreto relativo a outro país. Diz Omar que quem "poderia tomar providências seriam os Estados Unidos. Devido ao trâmite diplomático e burocrático, seria muito difícil. Como o material é de fora, a legislação que deveria ser aplicada seria a deles".

Já no caso dos ataques direcionados a sites apoiadores da ideia anti-WikiLeaks, ou seja, que seriam orientados pelo Governo americano, antes da avaliação quanto à aplicação da Lei Penal Brasileira, há que se fazer uma explicação a respeito.
Segundo já escrito anteriormente, várias das empresas que "viraram as costas" para o Wikileaks estão sofrendo ataques maciços de negação de serviço - ou DDoS (Distributed Denial of Service) - que inviabilizam sua presença online.

Um grupo, denominado "Anonymous", através de perfis do twitter como "anon_operation", “anon_operationn”, “anonopsnet” (já retirados do ar pelo Twitter), está comandando os ataques às empresas, que por pedido do Governo americano bloquearam os serviços que eram utilizados pela Wikileaks. Além do Twitter, o site do grupo (http://anonops.net/) e o seu perfil no Facebook também estão fora do ar.

O ataque é distribuído e mais de 30.000 "bots voluntários" se unem a um canal de irc (ou a uma conta no twitter) para baixar a ferramenta "LOIC" (Low Orbit Ion Cannon) - que pode ser configurada em modo Hive Mind (algo como "Consciência Coletiva") - para que a máquina vire um zumbi pré-configurado para atacar os alvos escolhidos pelo grupo. Um dos alvos foi a VISA (www.visa.com), além do Mastercard e mais recentemente o site britânico da Amazon. A taxa de download da ferramenta passou de mil downloads por hora, o que demonstra o grande interesse nesta ação de 'Hacktivism'.

O grupo foi além e agora tem uma versão que roda direto do navegador. O JS LOIC é baseado em JavaScript e por isto não precisa ser instalado, bastando acessar uma página da web para colaborar com os ataques.

Além da facilidade de usar, o JS LOIC traz a vantagem de rodar em qualquer navegador moderno, incluindo os navegadores do iPhone e Android. Segundo Sean-Paul Correll, da Panda Security, o JS LOIC não é tão eficiente quanto a versão original, instalada na máquina, mas, por outro lado, abre a possibilidade de um número absurdamente maior de pessoas colaborarem com os ataques. Para os ativistas digitais, o conceito é até romântico: usar pequenos aparelhos celulares para atacar grandes sites. (fonte: IT Versa)

Segundo foi anunciado recentemente, dois holandeses, um menor de 16 anos e outro maior, de 19 anos, já foram presos por envolvimento nesses ataques. No caso do maior, por direcionar o ciberataque contra o site da promotoria holandesa.

A estratégia de distribuir ferramentas de Denial of Service para o público não é nova e já foi utilizada durante os ataques que envolveram a Rússia e a Estônia em abril de 2007 e a Rússia e a Geórgia em Agosto de 2008.

O desenvolvimento e a utilização de tais ferramentas são crimes previstos há anos em legislações de vários países, como a Holanda, a Inglaterra e a Alemanha.

E, caso se comprovasse a origem de um ataque como sendo oriunda do Brasil? Bom, neste caso, teríamos de avaliar duas situações diferenciadas: primeiro, se o site atacado é nacional, e, segundo, se o ataque foi direcionado a site internacional.
Nos dois casos, pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:

Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima:
Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.


No caso de site nacional, o seu representante legal é apto a encaminhar a queixa-crime, sendo facilitado seu processo por já estar constituído legalmente no Brasil. No caso de site internacional e em não havendo representante legal no Brasil, cumpre-lhe encaminhar a documentação necessária (de sua constituição e representação de acordo com as leis locais de seu país de origem). Em ambos os casos há necessidade da comprovação do dano provocado.

Porém, se além do dano provocado, para recolocar o site no ar haja a exigência de alguma cooperação financeira em troca, pode haver outra configuração delitiva:

Extorsão

Art. 158 - Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar fazer alguma coisa:

Pena - reclusão, de quatro a dez anos, e multa.
§ 1º - Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
§ 2º - Aplica-se à extorsão praticada mediante violência o disposto no § 3º do artigo anterior.
§ 3o Se o crime é cometido mediante a restrição da liberdade da vítima, e essa condição é necessária para a obtenção da vantagem econômica, a pena é de reclusão, de 6 (seis) a 12 (doze) anos, além da multa; se resulta lesão corporal grave ou morte, aplicam-se as penas previstas no art. 159, §§ 2o e 3o, respectivamente.

No caso do ataque coordenado “anti-anti-wikileaks”, vários alvos são selecionados e controlados via um canal IRC ou um perfil no twitter. O grupo auto-denominado “Operation Anonymous” informa nas “perguntas mais frequentes” (FAQ), que ao utilizar a ferramenta LOIC as chances de prisão são “próximas de zero”, e basta alegar que seu computador foi infectado por um vírus ou alegar não ter conhecimento de nada.

A realidade é diferente, e o rastreamente de tais atividades é simples e solicitações de “quebra de sigilo IP” podem revelar facilmente a identidade dos atores por trás do ataque.

Há que se asseverar, já pensando no futuro da legislação brasileira, que o Projeto de Lei 84/99 traz previsão expressa quanto ao que escrevemos acima. O crime de dano teria nova redação, assim prevista:

Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:
“Inserção ou difusão de código malicioso”
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Inserção ou difusão de código malicioso seguido de dano
§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.
Pena – reclusão de 1 (um) a 3 (três) anos, e multa
§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.

Na verdade, aporta aí uma solução importante e que pode delinear um futuro diferenciado quanto ao aspecto penal de utilização de uma rede de computadores zumbis com a finalidade de paralisar um serviço disponibilizado na web.

terça-feira, 14 de dezembro de 2010

Os negócios por trás do cibercrime

O repórter MICHAEL SENTONAS, da ABC.net australiana, mostra o que existe na banca de vendas das organizações do cibercrime.

A globalização oferece muitos benefícios aos consumidores e aos negócios. Infelizmente, também oferece grandes oportunidades ao crime organizado. Em vez de agirem sozinhos, muitos dos criminosos da internet se unem em organizações criminosas já existentes ou criam novos grupos para agirem coletivamente. Seja por razões econômicas, culturais ou técnicas, as motivações por detrás ao universo do crime virtual são variadas. Mundo afora, indivíduos e máfias praticam atos ilegais na internet, geralmente, na esperança de se tornarem ricos.

Recentemente na Australia, que está entre os 10 principais países mais afetados pelo cibercrime, informações pessoais de usuários australianos de cartão de crédito foram publicadas em um website do Vietnã. Pode parecer um caso isolado, mas na verdade é resultado dos esforços dessas organizações cibercriminosas.

Todos os dias, milhares de dados oriundos de cartões de crédito são vendidos pelos cibercriminosos. Três pacotes são usualmente oferecidos:

CC dump: informações disponível na faixa magnética do cartão. Compradas em grandes quantidades, uma única faixa custa cerca de US$ 0,10.

CC informação completa: essa oferta inclui todos os detalhes sobre um cartão bancário e seu usuário. A natureza exata do dado varia de vendedor a vendedor. Dependendo da qualidade e do país, os custos variam de US$ 2 a US$ 30.

COBs (Credit Card with Change of Billing): mais poderosos do que o CC com informação completa, essa oferta torna possível ter controle total sobre uma conta pirateada. As informações oferecidas permitem que os compradores mudem o endereço da vítima para ter maior segurança em suas transações fraudulentas. Os preços variam de US$ 80 a US$ 300 dependendo dos limites de gastos e do valor das transferências autorizadas.

Para conseguir essas informações, os cibercriminosos estão explorando vulnerabilidades de softwares e da própria psicologia humana para espalharem uma grande quantidade de malware e ameaças, incluindo spyware, phishing, botnets, adware, rootkits (um grupo de programas feitos para controlar o PC), spam e websites pouco seguros. Os cibercriminosos também estão tirando vantagens das redes sociais para identificar informações pessoais das suas vítimas.


Fonte: ABC.net.au

Golpes por telefone

Alerta aos consumidores: um novo scam circula na praça. Cibercriminosos estão ligando para as suas vítimas, dizendo ser funcionários da Microsoft ou de outra empresa legítima de TI, para lhes informar que há um vírus em seu computador.
Os falsários então pedem que as pessoas façam o download de um arquivo de um website e, assim, têm acesso aos seus computadores onde podem buscar detalhes pessoais das vítimas, incluindo informações financeiras. Em alguns casos eles também pedem dados de cartão de crédito. É bom ficar atento!

Fonte: BreakingNews.ie

terça-feira, 7 de dezembro de 2010

Cibersegurança em debate na África

Terminou ontem o primeiro West Africa Cybercrime Summit, patrocinado pela Economic and Financial Crimes Commission (EFCC) com a United Nations Office on Drugs and Crime (UNODC), Comunidade Econômica dos Estados do Oeste da África (ECOWAS) e a Microsoft. Entre os principais pontos debatidos os scams da Nigéria.

Um dos exemplos que ilustra a prática do scam envolve um falso principe Nigeriano que oferece às suas vítimas uma porcentagem sobre sua fortuna- milhões de dólares ou de ouro — que precisa ser mantida em uma conta fora do país. Caso seja fisgado, o usuário deve mandar uma pequena quantia – talvez US$ 100 – para abrir uma conta em um banco nigeriano. A fortuna inexistente, é claro, nunca é enviada.

Embora o embuste pareça óbvio, uma pesquisa da Microsoft com 5 mil pessoas revelou que mais de 2% foram vítimas desse tipo de fraude. Na Nigéria – o país de origem mais conhecido, com 419 scams, embora não seja o único – a prática é chamada de yahoo-yahoo.

Fonte: Compassnewspaper.com