quinta-feira, 31 de março de 2011

RCFL, um modelo a ser pensado para o Brasil.

Por Rodrigo Antão*


Nos EUA há um modelo de laboratórios integrados para prestação de serviços forenses. Este modelo foi criado para unificar metodologias e ferramentas de investigação digital. Os profissionais dos Regional Computer Forensic Laboratories (RCFL) reúnem a experiência de órgãos municipais, estaduais e federais. Cada unidade do RCFL conta com aproximadamente 15 profissionais: 12 são peritos e 3, funcionários administrativos.

Dentre as atividades do RCFL,destacam-se:

1. Busca e apreensão de evidências digitais em cenas de crime
2. Análise imparcial de evidências armazenadas em meios digitais
3. Testemunho em juízo, quando necessário
4. Compromisso com a educação continuada dos profissionais envolvidos no programa

O time do RCFL está preparado para atender a investigação de crimes de terrorismo, pedofilia, violência contra a pessoa, crimes de colarinho branco, crimes eletrônicos, investigação de fraudes etc.

Atualmente estes laboratórios de investigação forense digital estão disponíveis para 4.000 - isso mesmo, quatro mil - agências de aplicação da lei em 17 estados dos EUA.



Dentre os resultados apresentados em 2009 o RCFL alcançou os seguintes números:

- Recebeu 5.616 requisições de serviço de 689 agências de aplicação da lei.
- Conduziu 6.016 exames de forense computacional.
- Treinou 5.404 pessoas.
- Participou de 415 operações de rua.
- Examinadores do RCFL serviram como testemunhas em juízo 92 vezes.

Além de investir na concentração desses serviços especializados nos RCFLs, em 2002 o FBI criou o National Program Office (NPO) para gerenciar as operações dos RCFLs e facilitar a criação de novos centros. Este escritório central de gerenciamento cuida também da manutenção das normas, processos e procedimentos a serem utilizadas por todos os laboratórios.

Além das atividades de gestão, que estão sob tutela do NPO, também é de responsabilidade do escritório central:

- Motivar a cooperação entre agências de aplicação da lei, setor privado, academia e agências de governo, servindo como dissiminador de informação entre estas entidades
- Trabalhar com o FBI e outras agências de governo para desenvolver ferramentas de forense digital.
- Desenvolver o currículo de treinamento para peritos e investigadores

A Techbiz Forense Digital trabalha em vários estados do Brasil para montar estruturas deste tipo. Observamos iniciativas que caminham de maneira consistente e uniforme para um modelo parecido com este dos RCFLs.

Num país com dimensões continentais como o Brasil, com tantas prioridades de investimento em segurança pública, à frente de computadores e arsenal de investigação digital, há de se entender porque ainda existem vários estados sem estrutura para atendimento a investigações em meios digitais. Laboratórios nacionais nos moldes dos RCFL podem ser uma iniciativa interessante para acelerar o processo de adoção e padronização tecnológica para forense computacional.

* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).

sexta-feira, 25 de março de 2011

Dicas sobre a instalação do FTK

* Por Luiz Sales Rabelo

Durante os treinamentos de FTK, muitas pessoas questionam o procedimento correto para instalação do FTK e seus componentes, o que é obrigatório e o que é opcional, e também a ordem de instalação dos componentes. O objetivo deste post é esclarecer todas estas dúvidas.



A instalação do FTK 3 é dividida em dois DVDs (disponíveis para download na versão mais recente através do site da AccessData).

O DVD 01 (FTK App Install.iso) traz todos os aplicativos necessários para a utilização do FTK:

* FTK Imager: Gera arquivos de imagem a partir de HDs, pendrives, CDs...
* Registry Viewer: Permite visualizar a estrutura dos arquivos que compõe o registro do Windows.
* PRTK/DNA: Sistema para recuperação / quebra de senhas de arquivos protegidos por senhas.
* CodeMeter: Componente que permite o licenciamento da solução via dongle (hard lock).
* FTK 1.8: Versão legada da ferramenta de perícia da AccessData.
* FTK 3: Forensic Tool Kit, ferramenta de perícia da AccessData.
- Processing Engine: Componente responsável pelo processamento dos arquivos de evidência.
- KFF: Know File Filter, é um banco de hash sets que classifica arquivos das imagens do caso em duas categorias (AD_alert e AD_ignore) para auxiliar o processo investigativo.
* Language Selector: Utilitário que altera o idioma das ferramentas após a instalação.
* License Manager: Utilitário que gerencia as licenças disponíveis no dongle.


O DVD 02 (Oracle DB Install.iso) traz uma versão customizada do Oracle 10g para ser utilizado pela solução, um script para otimização da instalação do Oracle (tunning do banco) e um pacote de patches e hot fixes do Oracle.

Primeiros passos

Uma das características do FTK é a modularidade da solução: PRTK para quebra de senhas, Imager, para o processo de cópia e criação de arquivos de imagens de evidências, e o Oracle. Para este post, vou assumir que todos os componentes da solução serão instalados na mesma máquina.



Dependências

* Registry Viewer: requer CodeMeter (licenciamento)
* PRTK / DNA: requer CodeMeter (licenciamento)
* FTK: requer Oracle e CodeMeter (licenciamento)
* Imager: não há dependências


Instalação

Para este cookbook de instalação, vou seguir a sequência que eu acredito ser a melhor, baseada na minha experiência.

Vamos começar com o DVD 02, a instalação do Oracle: após a inserção do DVD na unidade, o autorun do instalador será acionado e surge uma janela com três opções:

* Install the Database: Realiza a instalação do Oracle 10 na estação de trabalho
* Optimize the Database: Realiza um ajuste fino (tunning) do Oracle baseado no perfil de hardware da máquina que está rodando o banco de dados (memória, processador, disco...)
* Install Database update patches (recommended): Realiza a instalação de patches e hot fixes na instalação do Oracle.



Instale todos, nesta sequência. O script para otimização do banco de dados Oracle será executado bem rápido, mas a instalação dos patches de correções demora mais do que a própria instalação do banco.

Com o Oracle instalado e atualizado, agora é hora de trocar o DVD da unidade, inserindo desta vez o DVD 02, com as aplicações da solução. Feito isso, o autorun irá carregar a janela de instalação do FTK e outros componentes do sistema.



Dentre as opções, estão a instalação do FTK, instalação do Serviço de Processamento Distribuído, acesso à documentação e instalação de outros produtos. Vamos iniciar pela instalação destes produtos adicionais. Selecionando esta opção, abre-se uma outra janela, onde é possível selecionar quais componentes serão instalados.



Nesta janela iremos instalar, nesta ordem: CodeMeter, Registry Viewer, PRTK e FTK Imager. Provavelmente o PRTK irá informar que requer o CodeMeter instalado para ser utilizado, ele não consegue detectar a instalação já executada deste componente =)

Após a instalação de todos estes componentes, voltamos à tela inicial e então selecionamos a opção para instalação do FTK. Surge então uma tela com uma mensagem em destaque informando que a instalação do Oracle é necessária para darmos sequência a nossa instalação. Como este foi o primeiro item instalado, vamos ignorar esta mensagem e selecionar qual a versão do sistema operacional utilizado, se 32bit ou 64bit.




Selecionada a versão do sistema operacional, o assistente de instalação nos brinda com mais cinco passos para finalizarmos a instalação do FTK.



Novamente uma mensagem nos alerta dizendo que a instalação deverá ser feita na ordem indicada, caso contrário a instalação não será bem sucedida. Os passos são (na sequência):

1. Instalação do CodeMeter: desnecessário, pois já está instalado
2. Instalação do Processing Engine: responsável pelo processamento das evidências do caso.
3. Instalação da interface de usuário do FTK: dispensa comentários =)
4. Executar o FTK: importante para inicializar o banco de dados Oracle
5. Instalar o KFF.

Após a instalação desses componentes, o FTK estará ansioso para devorar arquivos de evidência e devolver os relatórios dos casos.

Conclusão

Da forma como foi feito aqui, evitamos trocar de DVD (se começar pelo DVD 01, instalará os Other Products e antes de instalar o FTK deverá instalar o Oracle do DVD 02) e eliminamos o risco de esquecer algum componente fundamental para a execução do FTK.

Basicamente, a instalação do FTK se resume em:

1. DVD 02 - Database:
1. Instalação do Oracle
2. Otimização do Oracle
3. Atualização do Oracle
2. DVD 01 - App Install:
1. Instalação do CodeMeter
2. Instalação do Registry Viewer
3. Instalação do PRTK
4. Instalação do FTK Imager
5. Instalação do FTK
1. Instalação do FTK Processing Engine
2. Instalação da interface do FTK
3. Instalação do KFF (após a primeira inicialização do FTK)

Recomendo muito a leitura do post sobre otimização do FTK para os interessados nesta solução.



* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/

quinta-feira, 17 de março de 2011

Diferenças entre Computação Forense e eDiscovery

Por Rodrigo Antão*

Pulando a sequência de posts sobre os processos de eDiscovery descritos no EDRM.NET, apresento algumas distinções entre a computação forense tradicional e as demandas corporativas de eDiscovery.

Com o aumento da conscientização das corporações de utilizarem meios eletrônicos como prova em processos de investigação, mesmo times mais experientes de segurança da informação, jurídico e afins ainda ficam em dúvida sobre as diferenças entre a computação forense tradicional e eDiscovery.

Ambos os processos podem utilizar os mais variados tipos de tecnologia, sofisticação, esforço de interpretação de dados e consequentemente custos. A utilização de um ou outro dependerá do escopo do trabalho específico em cada caso.

Em geral serão processados os seguintes tipos de dados:


Tipo de Dado

Esforço de Coleta

Descrição

Ativos / Online

Médio - Há apenas os contra-tempos das barreiras de segurança básicas, como firewall, para serem tratadas.

Arquivos armazenados no computadores e servidores da empresa

Backup

Médio/Alto - Dependendo das condições das mídias para restauração pode-se levar muito tempo para ter os dados disponíveis para consulta. O processo de Deduplicação (identificação e remoção de arquivos duplicados) também pode tomar muito tempo de processamento.

Arquivos e documentos armazenados em mídias compactadas offline.

Forense

Alto

Dados que certamente serão apresentados na justiça. Necessitam de softwares e processos especializados, bem como o atestado de profissional capacitado para sua manipulação. Este tipo de dado será pesquisado com maior compulsividade, dando atenção especial a arquivos apagados, fragmentados, não-alocados, etc.



Para ajudar na tomada de decisão de qual processo utilizar é possível utilizar os seguintes fatores de avaliação.


Fatores

Computação Forense

eDiscovery

Número de envolvidos na revisão

Um Perito

Múltiplos revisores

Capilaridade de atendimento

Central de Processamento

Consultores em várias unidades da organização

Tipo de dados

Offline / Post-morten

Online / Em produção, às vezes em missão crítica

Necessidade de coletar arquivos apagados

Sim

Não, a não ser utilizando uma ferramenta também com capacidades forenses

Capacidade de recuperar artefatos de internet (webmail, MSN, etc)

Sim

Não, a não ser utilizando uma ferramenta também com capacidades forenses

Responsável pelas pesquisas e revisão

Consultor Forense

Departamento Jurídico/RH, normalmente acompanhados por um consultor forense apenas para suporte técnico

Tempo de resposta

Dias

Minutos

Interrupção do negócio

Não

Sim

Necessidade de envolver outros times (TI, Seg. Patrim, etc)

Não

Sim


A Techbiz Forense Digital está preparada para auxiliar no entendimento de cada uma destas questões para entregar a nossos clientes as melhores opções para cada caso. Contem conosco para tal suporte e na próxima oportunidade irei descrever os processos de Coleta e Preservação de dados do eDiscovery.



Para ler o artigo anterior de Rodrigo Antão clique aqui.


* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).

segunda-feira, 14 de março de 2011

Redes sociais no trabalho

Colunista convidado: Alexandre Atheniense*


Uma das tarefas mais difíceis que atormentam um CIO no enfrentamento da gestão da tecnologia da informação nas empresas é a missão de estabelecer limites entre a informação que circula entre a esfera pessoal dos empregados e colaboradores e a profissional. Este problema vem se acentuando com a aceleração do uso das redes sociais que demandam um cuidado maior de monitoramento constante ante a possibilidade de incidentes que possam causar danos consideráveis para a reputação e o patrimônio das empresas.

Com a crescente utilização das mídias sociais pelas empresas, muitas se vêem diante de um problema: como estabelecer limites e monitorar conteúdos que trafegam na rede corporativa?

O que prevalece até então tem sido o bloqueio de sites tais como Twitter, Linkedin, YouTube, Facebook e Orkut. Porém esta medida por si só, não isenta a empresa de se preocupar em manter uma estratégia contínua de blindagem digital da sua marca, reputação e de todo o patrimônio digital que poderá vazar por meio de pendrives, acessos remotos ou não autorizados, smartphones ou mesmo o emprego de métodos para burlar os filtros de conteúdo por parte de terceiros.

"Uma boa prática recomendada seria adotar uma semana anual de prevenção de incidentes de tecnologia da informação nas empresas, a exemplo do que já acontece com a semana de prevenção dos acidentes de trabalho"

O que efetivamente pode gerar resultados minimizando o risco de incidentes é o somatório do emprego de ferramentas tecnológicas adequadas que possam monitorar o conteúdo e os acessos da rede, somado a uma estratégia da elaboração de uma política de segurança da informação que demanda revisão periódica, para fixar limites do uso da infraestrutura de TI, concomitante com um plano de conscientização dos envolvidos sobre os riscos em compartilhar dados corporativos e de caráter confidencial nas redes sociais.

Uma boa prática recomendada seria adotar uma semana anual de prevenção de incidentes de tecnologia da informação nas empresas, a exemplo do que já acontece com a semana de prevenção dos acidentes de trabalho, de modo a conscientizar, fomentar o debate sobre o tema, em busca de uma reflexão se as regras de utilização da infraestrutura de TI está em sintonia com os sistemas adotados.

O que diferencia as empresas em relação aos prováveis incidentes que serão gerados a partir das redes sociais será o poder de reação para reduzir o impacto do dano causado, isto demanda o monitoramento constante com as ferramentas adequadas, a conscientização dos empregados, a preservação das provas e a tomada das medidas jurídicas cabíveis de forma célere para evitar a disseminação de conteúdos ilícitos.



* Alexandre Atheniense é advogado formado pela Universidade Federal de Minas Gerais (UFMG), com especialização em Internet Law na Berkman Center pela Harvard Law School. É sócio de Aristoteles Atheniense Advogados. Possui 23 anos de experiência com participação ativa em várias demandas judiciais, área consultiva e arbitragem relativa aos temas relacionados ao Direito e Tecnologia da Informação.

quinta-feira, 3 de março de 2011

A atenção seletiva e a Resposta a Incidentes Corporativa - parte 2

Por Sandro Süffert*


Como comentamos no primeiro artigo da série, infelizmente, a maioria das organizaçōes – mesmo as que mais investem em segurança da informação - se limita a simples proteção dos principais ativos e a detecção de ataques já conhecidos e esperados.

O gerenciamento de risco é uma atividade que pretende avaliar o presente e se preparar adequadamente para o futuro. Mais especificamente, a análise de risco operacional e de fator humano são atividades fundamentais para direcionar a decisão executiva de investimentos e o enfrentamento de problemas que envolvem a segurança da informação.

O objetivo do artigo de hoje não é explorar os componentes da equação de risco tradicional. Leia sobre isto em “Risco, Vulnerabilidade, Ameaça e Impacto”. Hoje, vamos falar dos processos de proteção da informação e detecção de incidentes de segurança e discutir sobre a importância da reação adequada a eles. No enfrentamento do risco, o foco costuma estar na correção de vulnerabilidades que foram encontradas e na mitigação dos impactos que já foram previstos. Isto não é suficiente. O foco deve estar nas ameaças.

Um problema comum na geração de métricas e informações durante uma análise de risco é a dependência de checklists, entrevistas e formulários estáticos. Apesar de produzir dashboards impressionantes e apresentações impactantes, esta abordagem não resolverá o problema a que se propõe, e – pior – é capaz de gerar uma falsa sensação de conhecimento e dever cumprido em relação aos riscos a serem enfrentados.

Do ponto de vista tecnológico, testes de invasão (pentests) são úteis para mostrar que os mesmos requisitos que nos fazem competitivos e velozes na atual economia (conectividade, extensibilidade, complexidade), nos fragilizam e podem causar perdas de imagem e financeiras.

Quem já passou por esta experiência sabe que dois testes de invasão feitos por grupos diferentes de especialistas fornecerão resultados muitas vezes diversos, mostrando a facilidade de exploração de vulnerabilidades reais porém aleatórias dentre as muitas existentes em uma organização. Ou seja, você investirá tempo e dinheiro para corrigir vulnerabilidades existentes, mas exploradas por ameaças fictícias, que podem ou não ser similares aos problemas e explorações reais que atuam em sua organização.

Em outras palavras, saber que alguém pode conseguir “root” em máquinas internas utilizando vulnerabilidades desconhecidas (“0day”) é importante e implementar as contra-medidas necessárias é fundamental. Mas não deixe que esta sensação de vitória o impeça de conhecer as ameaças reais a que você está exposto.

Muitas vezes os bons recursos da área de segurança da informação que trabalham em grandes organizações ficam tão fascinados com as maravilhas técnicas que envolvem o mercado de vulnerabilidades, pentests e exploração de 0days que se esquecem que estão ali para proteger o negócio.

A existência de um processo ou tecnologia de proteção para a última exploração "0day" pode ser menos importante que entender quem são e como atuam os adversários, muitas vezes silenciosos, que roubam informaçōes e recursos da sua organização.

"Saber que alguém pode conseguir “root” em máquinas internas utilizando vulnerabilidades desconhecidas (“0day”) é importante e implementar as contra-medidas necessárias é fundamental. Mas não deixe que esta sensação de vitória o impeça de conhecer as ameaças reais a que você está exposto".


Uma organização moderna precisa ser capaz de responder a incidentes de segurança que tenham sido detectados ou notificados por áreas internas ou externas. E é durante este enfrentamento que o conhecimento sobre as ameaças reais que prejudicam o negócio deve emergir.

Esta situação ocorre de forma acelerada quando impacto de imagem de um incidente de segurança é maior - como depois de uma desfiguração de um site ou quando há um vazamento público de informações internas. Costuma ser mais fácil priorizar ações de contenção e reação nestes casos.

Porém, é necessário perceber que muitas vezes seus adversários reais usam técnicas menos elaboradas, mas que aproveitam as brechas nos procedimentos e a boa fé (engenharia social) do pessoal interno. Isto sem contar a ameaça constante vinda dos usuários privilegiados, que estão acima das monitorações tradicionais. Estas fontes de ameaça podem gerar impactos instantâneos menores, mas causam um prejuízo contínuo e menos perceptível.

Esta situação é muito prevalente e se manifesta de forma diferenciada dependendo da vertical de atuação da organização (fraude financeira interna, roubo de informações de clientes, vazamento de know-how). Os objetivos de nossos adversários podem ser diversos, mas os mais bem-sucedidos costumam preferir coexistir com nossas medidas de segurança tradicionais e atuar de forma invisível, causando perdas frequentes e imperceptíveis ou mesmo perdas tão grandes que inviabilizam o próprio negócio.

Para piorar a situação, a maioria das organizações nem chega a investir em mecanismos de detecção adequados. Dentre as poucas que investem, a maioria se limita a aspectos puramente tecnológicos e frequentemente se perde na configuração adequada destes e diante da quantidade de registros a monitorar e da dificuldade de identificar ações indevidas e que ferem as regras de negócio da organização.

Outro fator a considerar é que a complexidade inerente de nossos negócios, a conectividade que nos aproxima de clientes e fornecedores e a extensibilidade das nossas tecnologias - somadas ao aumento da competição entre empresas e governos - resulta em uma crescente superfície de exposição e eleva o "apetite ao risco" nas organizaçōes modernas.

"Mesmo as equipes mais preparadas estão tão preocupadas em monitorar as vulnerabilidades conhecidas que simplesmente não enxergam ou não sabem como reagir quando um incidente inesperado de alto impacto ocorre diante dos seus olhos".

A falta de visibilidade da eficiência (métricas) das medidas de proteção e detecção (como firewalls, IDS/IPS, antivírus e congêneres) pode ser resultado de decisões estratégicas de implementação que deveriam nos proteger. Um exemplo é o conceito de "segurança em camadas" ou “segurança em profundidade”. Sua utilização é importante, mas facilita a coexistência de tecnologias antiquadas e/ou mal implementadas.

Teoricamente, uma solução deve funcionar caso a outra não atue ou falhe. Assim a responsabilidade pela ineficiência destas iniciativas fica diluída - até que uma "nova solução" de proteção ou detecção seja implementada. Este ciclo vicioso tende a se manter – a não ser que a organização seja capaz de reagir adequadamente, buscando a autoria e a materialidade de evidências que possam vir a ser utilizadas em processos internos ou externos de identificação e punição dos responsáveis.

Mesmo as equipes mais preparadas estão tão preocupadas em monitorar as vulnerabilidades conhecidas que simplesmente não enxergam ou não sabem como reagir quando um incidente inesperado de alto impacto ocorre diante dos seus olhos. Uma situação que lembra a experiência de atenção seletiva presente no vídeo do primeiro artigo da série.

Os esforços de proteção e detecção são importantes, mas é fundamental perceber que nunca conseguiremos prever o que os nossos inimigos, internos ou externos, irão fazer. Infelizmente os nossos adversários sabem o que a maioria das empresas faz para se proteger e estão preparados para explorar isto.

Sabemos que - na maioria das vezes - o fraudador ou cibercriminoso que visa ganhos financeiros é bem-sucedido quando coexiste com as medidas de proteção da organização que ataca. Frequentemente, ele se preocupa em voar abaixo do radar de detecção (muitas vezes óbvio) inimigo.

A vantagem do atacante sobre o defensor no domínio cibernético é tão grande que esta situação pode ser comparada a um jogo de xadrez em que seu adversário já sabe suas duas ou três próximas jogadas. Se você se preparar extremamente bem, ganhará de adversários medianos (ataques comuns). Mas nem o Kasparov e Deep Blue juntos são capazes de vencer um adversário que fez seu dever de casa (ataques internos ou de adversários avançados – exemplo: China vs Google).

O crime organizado lucra cada dia mais aproveitando a miopia dos responsáveis pela segurança em diferentes níveis e organizações pelo mundo. O despreparo e incapacidade de reação das empresas e órgãos públicos e a falta de legislação adequada construiram um ambiente perfeito para a proliferação e profissionalização de nossos adversários. A equação “risco-recompensa” favorece o atacante.

Por isto, a organização precisa estar preparada para responder mesmo quando não foi capaz de detectar a ameaça. Este é o caso quando a notificação é externa (judicial, parceiros, mídia), ou interna (serviços de denúnica anônima, RH). Idealmente, os registros de sistemas, seções de rede relacionadas e resultados de investigações devem ser preservados adequadamente para que uma ação de reação adequada possa buscar a identificação da autoria, materialidade, causa-raiz e demais esclarecimentos necessários.

A regulamentação é importante. Mas sobram exemplos de empresas que passaram por auditorias de compliance com as regulamentações PCI/DSS ou Sarbanes Oxley e logo depois sofreram um incidente de segurança que demonstrou a fragilidade de sua postura de segurança no tocante à identificação e preparação para uma persecução criminal adequada.

"O crime organizado lucra cada dia mais aproveitando a miopia dos responsáveis pela segurança em diferentes níveis e organizações pelo mundo. A equação 'risco-recompensa favorece o atacante".


As ameaças que afetam o negócio da organização precisam ser prontamente identificadas e combatidas. Sem a adequada melhoria na reação ao cibercrime - em todos os níveis (técnico, gerencial, legal, governamental) e em todas as esferas (desde a corporação até a persecução transnacional) – a vantagem, que já é dos nossos adversários, continuará a crescer.

Outro problema a ser considerado é a distância do mindset das áreas internas de Tecnologia da Informação / Segurança da Informação e das áreas de Governança/Auditoria/Risco/Anti-fraude. Este é um inimigo interno muito comum para um enfrentamento adequado das ameaças reais que afetam uma organização.

Além disto, um erro comum cometido por organizações modernas não está na tecnologia, mas na falta de investimento na rastreabilidade e capacidade de comprovação de autoria das ações ilícitas que ocorrem em suas redes.

A importância da aplicação de punições está documentada desde a antiguidade e remonta ao Código de Hamurabi, que foi escrito em 1700 AC. Um adequado investimento na capacidade de rastreabilidade e punição dos responsáveis pode evitar novos ataques por “mandar uma mensagem” que afeta a equação risco-recompensa dos criminosos.

Os dashboards, documentos executivos e apresentações de impacto, relacionados ao risco real a que a organização está exposta, podem ser gerados a partir da fase post-mortem do tratamento de incidentes reais que a empresa enfrenta em seu dia a dia. Através de uma reação apropriada, podemos aplicar a máxima “Conheça seu inimigo”.

No ano 400 AC, o General chinês Sun Tzu, já sabia disto:

"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas" (A Arte da Guerra).

Cenas dos próximos capítulos

Nos próximos artigos, iremos aprofundar a discussão através da apresentação de algumas tecnologias que auxiliam as empresas a manter o foco nas ameaças reais, melhorando a rastreabilidade, auditoria e investigação de ações ocorridas em seus sistemas.

As tecnologias de reação às atividades ilícitas e ao cibercrime que serão apresentadas ser divididem em dois grupos:

1 – Soluções de Consciência Situacional de Registros de Sistemas (1.1) e Rede (1.2);
2 – Soluções de Aquisição e Análise de Evidências Stand Alone (2.1) e Remotas (2.2);

Como características básicas, o primeiro grupo precisa ser capaz de guardar dados que indiquem que uma violação ou crime ocorreram, mesmo quando eles não foram adequadamente detectados pelas soluções tradicionais.

O segundo grupo de soluções precisa primar pela guarda adequada das evidências coletadas, para que estas possam servir de comprovação de autoria e materialidade da prova em um possível caso trabalhista, cível ou penal.

Até o próximo artigo!

Para ler o primeiro artigo da série clique aqui.


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.