segunda-feira, 28 de novembro de 2011

Criar um perfil falso é considerado um ilícito?

 Por Alexandre Atheniense*

A americana Dana Thornton de 41 anos está sendo julgada por roubo de identidade porque criou um perfil falso de seu ex-namorado no Facebook. Na página, Dana escrevia como se fosse Michael. Os assuntos eram em sua maioria depreciativos sobre o estilo de vida dele. Se considerada culpada, pode pegar até 18 meses de prisão.

Na Califórnia, existe uma lei que pune usuários que criam perfis falsos na internet. A lei prevê multa de até US$ 1 mil ou um ano de prisão para pessoas que criarem perfis "fakes" em redes sociais, publicarem comentários em fóruns da internet ou enviarem e-mails se passando por outra pessoa.

E no Brasil, criar um perfil falso é considerado um ilícito? A legislação brasileira sobre esta matéria não é tão detalhista e contextualizada quanto a norte-americana, o que não significa dizer que exista impunidade para tais atos. O perfil exibicionista do brasileiro vem causando diversos problemas jurídicos em decorrência de sua presença online, sobretudo nas redes sociais. A incidência dos perfis falsos de brasileiros tem aumentado e por este motivo tem sido recorrente o uso não autorizado de imagens de terceiros, ataques à reputação na mídia digital, expondo as pessoas ao ridículo e, por estes motivos, em alguns casos, sendo punidos pela legislação brasileira.

O Twitter, Facebook e Orkut têm sido alvo de inúmeros perfis falsos tanto de pessoas famosas, mas também de pessoas comuns, usuários dessas redes sociais que tem perfis falsos criados para servir de alvo contra a sua honra. Tendo em vista futuros projetos para aferir mais confiabilidade do perfil das pessoas que trafegam pelas redes sociais, Facebook e Google iniciaram uma campanha no exterior para apagar alguns perfis de aparência falsa devido a transformação deste ambiente numa futura lucrativa plataforma de comércio eletrônico. No entanto, a realidade enfrentada no Brasil é de amplo descontrole dos provedores quanto à criação de perfis falsos.


"Se a pessoa que teve sua foto utilizada indevidamente neste perfil falso descobrir este fato e julgar que houve danos à sua imagem terá legitimidade e meios para comprovar o alegado e obter uma indenização judicial."

Para enfrentamento dos perfis falsos de acordo com legislação brasileira é preciso identificar algumas situações:

1. Inexiste na legislação brasileira tipo penal que defina que a criação de perfil falso na internet seja punível. Este ato em si viola as regra dos Termos de Serviço do site de relacionamento, que obriga o criador do perfil zelar pela integridade dos dados cadastrais. A punição será apreciada e aplicada pelo provedor que poderá culminar com a retirada do perfil.

2. Apurar se a pessoa que criar o perfil falso com o intuito do anonimato adota uma imagem da vítima para atribuí-la ao seu perfil falso. Se a pessoa que teve sua foto utilizada indevidamente neste perfil falso descobrir este fato e julgar que houve danos à sua imagem terá legitimidade e meios para comprovar o alegado e obter uma indenização judicial.

3. Se o internauta cria um perfil falso, incorpora a personalidade de outras pessoas e manifesta em nome de outrem, inserindo declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar, criar obrigação ou alterar a verdade sobre fato juridicamente relevante pode estar configurado crime de falsidade ideológica.

4. O resultado dos ataques à honra de terceiros gerados por criadores de perfis falsos na internet que buscam o anonimato tecnológico para caluniar, difamar e injuriar será punido nos termos previstos no Código Penal. Este ilícito poderá ter repercussão na esfera cível ante a comprovação do dano causado à reputação da vítima sendo passível de indenização de danos morais.

5. Outra hipótese relativa ao resultado da ação criminosa relativa a este tema se refere ao furto de dados relativos a identidade de terceiros, muitas vezes conceituado equivocadamente como roubo de identidade por alguns sites de tecnologia. Segundo a legislação penal brasileira, o termo correto nestes casos é furto e não roubo, pois a diferença que o legislador brasileiro atribuiu entre ambos versa sobre a incidência de grave ameaça ou violência a pessoa. Nos casos envolvendo dados, em regra o que ocorre é furto pelo vazamento de informações e nem sempre uso de violência para tal ato que se caracterizaria como roubo.

Este ilícito se caracteriza em duas etapas. Primeiro, alguém tem acesso aos dados da vítima, sem que haja qualquer abordagem direta ou indireta com a vítima para alcançar o resultado. Em segundo lugar, o criminoso utiliza estas informações para se fazer passar pela vítima e cometer fraudes e outros ilícitos em nome desta. O furto de identidade online é um grave problema que está avançando em grandes proporções nos últimos anos, sobretudo em decorrência do aumento de serviços prestados pelo meio eletrônico.

Os criminosos vêm sofisticando suas estratégias de engenharia social por meio eletrônico, ou seja, um meio intelectual e fraudulento, para mascarar a realidade e enganar conquistando a confiança da vítima detentora de dados, sejam senhas ou outras informações importantes os quais são o alvo do golpe. Este ilícito pode ser usado por qualquer meio de comunicação e já existe há décadas. Em se tratando do ambiente eletrônico é utilizado a partir de e-mails, sites falsos, acessos não autorizados, para que os criminosos se passem por organizações ou pessoas de credibilidade para utilizarem de dados da identidade de terceiros para praticarem ilícitos.

O resultado deste golpe quando ocorre a interatividade entre o criminoso e a vítima vem sendo punido pela prática de estelionato estabelecida no conhecido artigo 171 do Código Penal. O Projeto de lei de Crimes Cibernéticos (84/1999) prevê o acréscimo de uma conduta ilícita ainda mais abrangente e específica para as práticas comuns no ambiente eletrônico.

Atualmente, o ato de enviar spam ou phishing, isto é, envio de mensagens não solicitadas, caracterizadas por fraudes tentativas de vantagem indevida para acesso de senhas, fotos, músicas e outros dados pessoais, em que o criminoso se faz passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, por email, mensagem instantânea, SMS, e outros meios de comunicação, não é punível pela legislação brasileira.

Entretanto, o projeto de lei de Crimes Cibernéticos pretende definir como ilícito a conduta de divulgação não autorizada de vírus, mensagens, outros meios de comunicação ou sistema informatizado, que vise o favorecimento econômico do agente ou de terceiros em detrimento de outrem, aprovando o estelionato eletrônico. Está previsto ainda o agravante nos casos em que o agente se valer de nome falso ou da utilização da identidade de terceiros para a prática de estelionato, cuja pena será aumentada.


"O resultado deste golpe quando ocorre a interatividade entre o criminoso e a vítima vem sendo punido pela prática de estelionato estabelecida no conhecido artigo 171 do Código Penal. O Projeto de lei de Crimes Cibernéticos (84/1999) prevê o acréscimo de uma conduta ilícita ainda mais abrangente e específica para as práticas comuns no ambiente eletrônico."


O furto de identidade online é uma prática abominável que demandará a criação de novos hábitos de monitoramento contínuo dos dados pessoais e da reputação na mídia digital. Veja a seguir dicas para efetivar um plano de blindagem digital quanto a estes ilícitos:

- Armazenar dados importantes ou pessoais preferencialmente em sistemas especializados em gerenciamento de senhas como 1password, Norton Indentity Safe, ou pelo menos em arquivos ou diretórios com acesso mediante palavras chaves.

- Busque informações e aprenda como identificar visualmente mensagens eletrônicas ou sites que estejam associados com o spam e phishing.

- Apenas efetue transações financeiras online em sites seguros cujo endereço da página (URL) comecem por https, ou que estejam autenticados por empresas de segurança de informação confiáveis.

- Mantenha instalado e atualizado um firewall, antivírus e antispyware para monitorar eventuais inserções de códigos maliciosos.

- Monitore si próprio diariamente pelas ferramentas de busca. Aprenda a usar o Google Alerts. Esta pode ser uma ferramenta inicial e gratuita, que irá ajudá-lo a acessar em tempo real novas inserções relacionadas ao seu nome auxiliando-o a detectar incidentes envolvendo os seus dados pessoais.

- Caso o fato se relacionar com as hipóteses acima mencionadas procure um advogado para que possa agir em curto espaço de tempo para enfrentar o ilícito antes que os danos estejam fora de controle.

Nem sempre a tipificação da conduta ilícita norte-americana para punir os criadores de perfis falsos na internet é idêntica à adotada pela legislação brasileira. Entretanto, a punibilidade em nosso país para esta prática já existe e transforma num campo minado a conduta daqueles que ainda acham que a internet é uma zona sem lei e que a tecnologia favorece ao anonimato.


* Alexandre Atheniense é advogado especialista em Direito Digital. Sócio de Aristoteles Atheniense Advogados. Coordenador da Pós Graduação em Direito de Informática da ESA OAB-SP. Editor do Blog DNT “O Direito e as Novas Tecnologias”.

quarta-feira, 16 de novembro de 2011

“Novas ameaças demandam novas estratégias”

A empresa de segurança RSA teve sua rede interna atacada em março deste ano, mas até hoje há reverberações do evento, que comprometeu a segurança dos geradores de senha SecurID. De lá para cá, houve apenas uma notificação de um cliente vítima da brecha da RSA: a Lockheed Martin, a maior fornecedora de serviços de TI e tecnologia bélica e de inteligência para o governo dos EUA. Mas, a RSA não descarta futuros ataques, daí o motivo do burburinho.

"Levando-se em conta que não existe uma coisa chamada segurança perfeita, é impossível prever o que pode acontecer. No entanto, trabalhamos proativamente com os clientes logo após o ataque, em Março, e continuamos desde então", disse Eddie Schwartz, CSO (chief security officer) da RSA, em entrevista ao site Security Dark Reading.

Essa posição de transparência da empresa, que se tornou parceira da TechBiz Forense Digital ao adquirir a NetWitness, também está presente no artigo de Uri Rivner, publicado na última edição da revista SecureView sob o título “Anatomia do Ataque Zero-Day à RSA”. Uri é o diretor de novas tecnologias, proteção de identidades e verificações da RSA. Ele está envolvido em pesquisas sobre fraudes on-line e desenvolvimento de estratégias para mitigar e prevenir ameaças. E diz:

"Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”. 

“Talvez esse incidente possa ser usado como um exercício para as empresas olharem para a própria infraestrutura e analisar quais as opções possuem para mitigar ataques similares. As ameaças avançadas persistentes são perigosas e precisamos aprender algo com o ocorrido. Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”.

Concordamos com o apelo de Uri e por isso traduzimos livremente trechos de seu artigo que pode ser originalmente lido na versão em PDF da revista.

Trechos do artigo “Anatomia do Ataque Zero-Day à RSA”, de Uri Rivner 

Sobre as Ameaças Persistentes (APT) 

As ameaças avançadas persistentes, cuja sigla em inglês é APT (Advanced Persistent Threat), possuem basicamente três fases principais. A primeira é o ataque de engenharia social; esse é um elemento chave que diferencia um APT de um ataque convencional de hacker. A APT combina engenharia social com vulnerabilidades no end-point para acessar o PC do usuário. Uma vez lá dentro, o atacante já está na rede; só é preciso achar uma maneira de acessar os usuários e sistemas certos, e prosseguir com as atividades hacking regulares.

(...)

A parte da engenharia social é igualmente simples. No começo dos anos 80, você tinha caras como Matthew Broderick no filme “Jogos de Guerra” procurando por modems conectados a redes suscetíveis. Broderick mapeava as redes e encontrava pontos fracos. Seus ataques nada tinham a ver com os usuários; ele se baseava nas fraquezas da infraestrutura. Mas, se Matthew estivesse interpretando um hacker APT dos dias atuais a primeira coisa que ele faria seria visitar um site de mídia social. Ele coletaria inteligência de pessoas da organização, não da infraestrutura. Depois ele enviaria um email de spear-phishing para os funcionários de interesse.

Sobre os ataques à RSA 

No nosso caso, os atacantes enviaram dois diferentes email com phishing ao longo de dois períodos do dia. Esses e-mails foram enviados para dois pequenos grupos de colaboradores. Quando se olha a lista dos alvos, não há nenhum insight flagrante; nada que indique um alto nível dos alvos. O título do email era “Plano de Recrutamento 2011”. Isso já era suficientemente intrigante para que um dos funcionários retirasse o email da caixa de lixo e clicasse no anexo, que era uma planilha do Excel intitulada “2011 Recruitment plan.xls”.

A planilha continha um exploit zero- day que instalava uma backdoor através de uma vulnerabilidade do Adobe Flash (CVE- 2011-0609). A Adobe acabou de lançar um patch de emergência zero-day. O exploit injetou códigos maliciosos no PC do funcionário, permitindo acesso total à máquina. O atacante nesse caso instalou uma ferramenta de administração remota conhecida como Poison Ivy RAT variant. Se você está familiarizado com APTs, reconhecerá a Poison Ivy, que já foi muito utilizada em outros ataques, incluindo o GhostNet.

A importância da rápida detecção 

A próxima fase da APT é se mover lateralmente dentro da rede. Isso porque os pontos iniciais de entrada nem sempre são suficientemente estratégicos para o atacante. Eles precisam de usuários com mais acessos, mais direitos sobre a administração de serviços e servidores relevantes. É por isso que, ao falhar na prevenção da fase de engenharia social, é tão importante detectar a invasão rapidamente.

Em muitas das APTs divulgadas nos últimos 18 meses os atacantes tiveram meses para navegar pela rede através do usuário atacado, mapeando a rede e os recursos disponíveis, e procurar um caminho para atingir os ativos desejados. Depois eles utilizam as contas afetadas, juntamente com várias outras táticas, para ganhar acesso aos usuários mais estratégicos.

No caso dos ataques a RSA, a linha do tempo era mais curta, mas assim mesmo houve tempo para que os atacantes identificassem e ganhassem acesso aos usuários mais estratégicos. Primeiro os atacantes coletaram credenciais dos usuários comprometidos (usuário, domain admin, e service accounts). Eles realizaram uma escalação privilegiada de usuários não administrativos nos sistemas-alvo, e depois moveram-se para ganhar acesso aos alvos-chaves, o que incluem experts em processos e administradores de servidores de TI e não TI.

A terceira fase 

Se o atacante achar que pode existir no ambiente sem ser detectado, ele pode continuar no modo discreto por um bom período. Se ele achar que está correndo risco de ser descoberto, ele se move mais rapidamente e completa a terceira e mais barulhenta fase do ataque. (...)

Na terceira fase do APT, o alvo é extrair o que puder. O atacante da RSA estabeleceu acesso aos servidores de teste e pontos chaves de agregação; isso foi feito para se preparar para a extração. Depois ele foi ao servidor de interesse, removeu dados e os moveu para os servidores internos de teste, onde os dados foram agregados, comprimidos e encriptados para a extração. Em seguida, o atacante utilizou o FTP para transferir arquivos RAR de senha protegidas do servidor de arquivos da RSA para um servidor de testes externo, comprometendo máquinas do provedor hosting. Esses arquivos foram subsequentemente puxados pelo atacante e removidos do servidor externo comprometido para eliminar qualquer rastro do ataque.

Eu espero que essa descrição ofereça informações que possam ser usadas para entender o que está acontecendo e as correlacionar com outras APTS. Na RSA, já estamos aprendendo rapidamente, promovendo tanto mudanças de curto prazo até passos largos para estabelecer uma completa doutrina de defesa.

Seguem 3 URL associadas ao atacante em questão:
  • Good[DOT ]mincesur[DOT ]com 
  • up82673[DOT]hopto[DOT]org 
  • www[DOT ]cz88[DOT ]net

quinta-feira, 10 de novembro de 2011

Qual é o meu papel nessa história?

Por Roberta Maia*


Durante a cobertura do evento ICCyber 2011, em Florianópolis, como assessora de imprensa da TechBiz Forense Digital,  escutei em mais de uma palestra a constatação ou o apelo de que o combate aos crimes digitais deve mobilizar toda a sociedade, e não só as empresas, governos e forças da lei. Só para exemplificar, seguem dois depoimentos coletados durante o evento:

¨A sociedade inteira está envolvida nisso e é preciso montar um sistema de defesa em que todos estejam envolvidos e se comunicando. É uma tarefa complexa¨, Giovani Thibau, diretor da TechBiz Forense Digital.

"O governo não pode lidar com isso sozinho. É preciso um plano de choque imediato e a única força é unir poder público, privado e sociedade civil”, Oscar Eduardo Ruiz Bermudez, diretor da empresa colombiana Internet Solution.

Essa necessidade de engajamento da sociedade como um todo também está presente no relatório da InSa (National Security Alliance’s Cyber Council), organização norte-americana de inteligência e segurança que diz:

“Entidades sociais estão intrinsicamente relacionadas quando se trata da arena cibernética e por isso precisam adotar soluções coletivas para que elas possam ser efetivas”. E o documento questiona: “A comunidade está suficientemente informada sobre as ameaças cibernéticas em larga escala?” 

Como usuária de computador e derivados (tablets e smartphones) fico me perguntando como posso contribuir de fato para minimizar os impactos de crimes e ataques virtuais, além dos tradicionais cuidados para evitar ser vítima de vírus, phising etc. E jogo essa pergunta para os que me leem. Como?

 * Roberta Maia é assessora de comunicação do Grupo TechBiz. Formada em jornalismo pela PUC Minas, já trabalhou nos cadernos de tecnologia, veículos e cultura do jornal O Tempo. É especializada em Arte e Filosofia pelo curso de pós-graduação lato sensu da PUC Rio.

quinta-feira, 3 de novembro de 2011

[SIEM] Correlacionamento de Eventos

Luiz Sales Rabelo*

Independentemente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como cibercriminosos em busca de seus dados confidenciais ou tentando inviabilizar o acesso a sistemas críticos. Os perfis dessas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então ela está exposta a furto de dados corporativos e dados confidenciais de clientes.

Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros. Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras?

A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management). Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados.


"Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu."


A correlação desses eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento. Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.

Esse é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.




*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/