Sorocaba Ana Cristina Trevenzoli Perícia forense computacional

FACULDADES SENAC - Sorocaba
Ana Cristina Trevenzoli
Perícia forense computacional – ataques, identificação da
autoria, leis e medidas preventivas
Sorocaba
2006
ANA CRISTINA TREVENZOLI
Perícia forense computacional – ataques, identificação da autoria,
leis e medidas preventivas
Trabalho de conclusão de curso, da Faculdade
Senac de Sorocaba, como exigência parcial para a
obtenção do Diploma de Especialização em
Segurança de Redes e Sistemas.
Orientador: Prof. Marcelo Lau
Sorocaba
2006
Trevenzoli, Ana Cristina
Perícia forense computacional – ataques, identificação da
autoria, leis e medidas preventivas das ameaças sobre o ambiente
operacional – Sorocaba, 2006.
89 f.
Trabalho de Conclusão de Curso – Centro Universitário
Orientador: Prof. Marcelo Lau
1.Crime digital 2. Forense em computação 3.Vírus
CDD. 364.168
Senac
Aluna: Ana Cristina Trevenzoli
Título: Perícia forense computacional –
ataques, identificação da autoria, leis e
medidas preventivas.
Trabalho de conclusão de curso
apresentado ao Centro Universitário
Senac – Campus Sorocaba, como
exigência parcial para obtenção de
grau de Especialista em Segurança de
Redes e Sistemas.
Orientador Prof. Marcelo Lau
A banca examinadora dos Trabalhos de Conclusão em
sessão pública realizada em __/__/____, considerou o(a)
candidato(a):
1) Examinador(a)
2) Examinador(a)
3) Presidente
Dedicatória
Dedico este trabalho a Deus, meus pais, meu
marido Jorge e a todos os colegas do curso de pósgraduação em Segurança de Redes e Sistemas do
Senac pela ajuda, incentivo e apoio durante a sua
realização.
Agradecimentos
Ao Professor e Mestre Marcelo Lau pela orientação, apoio, esclarecimentos e
ensinamentos técnicos durante todo o decorrer do trabalho.
Aos amigos que contribuíram de alguma maneira para a elaboração do trabalho
como a advogada Lídia Adriana Macedo com explicações em assuntos jurídicos.
Aos colegas do curso de Pós Graduação em Segurança de Redes e Sistemas do
Senac Sorocaba pela ajuda na obtenção de bibliografia para a realização das
pesquisas.
RESUMO
Este trabalho apresenta os procedimentos que são utilizados atualmente ou
aplicados em futuro próximo para a realização de uma fraude com objetivo de desvio
de dinheiro através do computador do cliente de um banco no momento da
realização de uma transação financeira.
Este trabalho também mostra como um perito computacional trabalha em
busca de provas e evidências que serão utilizadas num processo criminal e quais os
requisitos e conhecimentos ele precisa ter para ser capaz de realização deste
trabalho. Como a polícia utiliza as provas e pistas encontradas pelos peritos para
chegar ao autor do crime, descrevendo as dificuldades encontradas neste processo
como a identificação da autoria, enquadramento e julgamento dos fraudadores nas
leis existentes e quais são os projetos de leis em trâmite que visam regularizar o
delito virtual.
Finalizando são mostradas as medidas preventivas realizadas pelas
instituições financeiras com o objetivo de diminuir as ocorrências dos crimes e quais
são as maiores dificuldades para eliminação desse problema que vem crescendo
nos últimos anos.
ABSTRACT
The main purpose of this study is to present the procedures, currently being
used or intended to be applied in the future, used to perform frauds and to which goal
is to deviate money through the misuse of a bank customer computer while he is
doing his financial transactions with the bank.
This research also presents the work of a computer forensics specialist in the
search for evidences and probes that are going to be used in a legal process and
which requirements and knowledge are needed in order to accomplish his work. How
the Police uses the probes and tracks found by the computer forensics specialists to
get to the author of the crime, describing the difficulties met in this process such as
the identification of the authorship, legal framework and judgment of the people
commiting barratry of the existing laws and what are the projects of laws being
discussed in order to regularize issues of virtual frauds.
At last, writs of prevention done by the financial institutions are presented
along with the purpose of diminishing the occurrences of computer crimes and what
are the major difficulties in order to solve this crescent problem.
SUMÁRIO
1. INTRODUÇÃO.............................................................................................10
1.1
CONCEITOS .......................................................................................................................................... 10
1.1.1 Perícia forense ......................................................................................................................................... 10
1.1.2 Perito computacional ............................................................................................................................... 11
1.1.3 Crime Digital ........................................................................................................................................... 11
1.2 JUSTIFICATIVA ............................................................................................................................................ 12
1.3 OBJETIVO DO TRABALHO......................................................................................................................... 12
1.4 METODOLOGIA DA PESQUISA................................................................................................................. 13
1.5 ESTRUTURA DO TRABALHO .................................................................................................................... 13
2. INÍCIO DO ATAQUE: ROUBO DE SENHA E
INFORMAÇÕES ..............................................................................................15
2.1. Vírus ............................................................................................................................................................... 15
2.2. Cavalo de tróia................................................................................................................................................ 16
2.3. Worm.............................................................................................................................................................. 17
2.4. Spyware.......................................................................................................................................................... 18
2.5. Keyloggers...................................................................................................................................................... 19
2.6. SCAM............................................................................................................................................................. 19
2.7. Pharming e alteração do arquivo hosts ........................................................................................................... 20
2.8. Phishing.......................................................................................................................................................... 21
2.9 Engenharia Social............................................................................................................................................ 23
3. MÉTODOS ANTI-FORENSE PARA INIBIÇÃO DO
TRABALHO DO PERITO ............................................................................26
3.1 Criptografia ..................................................................................................................................................... 26
3.2 Rootkits ........................................................................................................................................................... 27
3.3 Esteganografia ................................................................................................................................................. 28
3.4 Ferramentas wipe para apagar os dados .......................................................................................................... 30
3.5 Fluxo de dados alternativo (ADS) ................................................................................................................... 30
3.6 Slack Space...................................................................................................................................................... 31
3.7 Botnet .............................................................................................................................................................. 32
4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS..............34
4.1 Forensic and Incident Response Environment (Fire) ...................................................................................... 39
4.2 Trinux .............................................................................................................................................................. 39
4.3 The Sleuth Kit (TSK) ...................................................................................................................................... 40
4.4 Autopsy Forensic Browser (AFB)................................................................................................................... 40
4.5 Cygwin Tools .................................................................................................................................................. 40
4.6 MS-Diskedit .................................................................................................................................................... 41
4.7 MD5summer.................................................................................................................................................... 41
4.8 Strings.............................................................................................................................................................. 41
4.9 FTK (Forensic Toolkit) ................................................................................................................................... 42
4.10 ImageMASSter Solo-3 .................................................................................................................................. 42
4.11 ENCASE ....................................................................................................................................................... 42
5. COMO IDENTIFICAR A AUTORIA DE CRIMES .......................44
6. LEIS E PROJETOS DE LEIS ...............................................................50
7. MEDIDAS DE PREVENÇÃO................................................................66
8. CONSIDERAÇÕES FINAIS ..................................................................72
8.1 CONCLUSÃO................................................................................................................................................. 72
8.2 TRABALHOS FUTUROS.............................................................................................................................. 75
REFERÊNCIAS ................................................................................................77
10
1. INTRODUÇÃO
A falta de softwares1 específicos e procedimentos de segurança da
informação em computadores pessoais ou mesmo pertencentes a empresas, ajudam
no aumento dos crimes digitais2, pois facilitam a obtenção de senhas, números de
contas, cartões e outras informações sigilosas.
O fraudador consegue obter informações importantes das pessoas que
utilizam computador com acesso a serviços disponíveis na Internet, através de
programas como spywares, keyloggers, e técnicas como scams, phishings, todos
discutidos melhor no capítulo 2, e outras ferramentas com código malicioso que são
instaladas nos computadores das vítimas, que reflete o elo mais fraco numa
transação financeira online, onde fazem parte também, a entidade financeira e o
meio de transmissão das informações, que geralmente são mais seguros.
1.1 CONCEITOS
Para que haja um melhor entendimento sobre os termos utilizados no
trabalho, serão descritos alguns conceitos importantes.
1.1.1 Perícia forense
O termo perícia forense computacional refere-se aos métodos utilizados por
profissionais para, obtenção, preservação, análise, e documentação de provas
digitais com o objetivo de reuni-las, para reconstruir o cenário no momento da
fraude, utilizando em um processo judicial as evidências encontradas.
As provas podem ser as mais diversas possíveis como e-mails, arquivos de
registros (conhecidos como logs), arquivos temporários com informações pessoais,
conexões abertas3, processos em execução4, e outras evidências que possam existir
1
Softwares é o nome em inglês dado aos programas de computadores, que são os aplicativos que utilizamos no
computador como Word, Excel, Outlook.
2
O termo crimes digitais está detalhado no decorrer deste capítulo.
3
Quando um computador se conecta com algum outro através da rede, seja local ou pela Internet, uma conexão
é criada tanto na máquina de origem (cliente), quanto na máquina de destino (servidor). Dependendo da
aplicação ou serviço ao qual o computador cliente quer se conectar, uma conexão é estabelecida, com uma
11
na máquina, mas para serem aceitas num processo jurídico, devem ter sido obtidas
de forma lícita.
No entanto, pode haver contestações devido às falhas na argumentação e
principalmente porque muitas vezes a vítima ou o criminoso estão em países
diferentes envolvendo legislações distintas. A eliminação de fronteiras, conseguida
através da Internet traz várias vantagens para as pessoas que fazem utilização da
Internet, pois permite a troca de informações com países do mundo inteiro, mas
também causa problemas devido a políticas diferentes de cada país.
1.1.2 Perito computacional
É o profissional capacitado e preparado para realizar uma perícia sendo que
uma das habilidades necessárias para um perito nesta área é possuir
conhecimentos sobre o funcionamento do sistema operacional a ser pesquisado.
Com base nesse conhecimento, o perito tem maior capacitação para reconstituir o
cenário do passado (procedimento utilizado para o perito traçar o caminho feito pelo
fraudador e facilitar a compreensão do ocorrido) onde há o suspeito crime digital.
1.1.3 Crime Digital
Crime digital refere-se a fraudes ou roubos cometidos utilizando-se de
computadores e do meio Internet. O fraudador invade um computador, obtém
senhas e/ou outros dados confidenciais e realiza um desvio de dinheiro. Há outros
crimes realizados como pedofilia, difamação, roubo de identidade, racismo, tráfico de
drogas, que se enquadram no termo crime digital, mas não serão citados neste
trabalho.
porta de comunicação específica da aplicação desejada. Ao encerrar a comunicação, a conexão é fechada, mas
enquanto ela permanece ativa chamamos de “conexão aberta”.
4
Ao executar um programa no computador, é criado um processo do mesmo, ou seja, o programa é carregado
na memória e começa sua execução, e por isso ele cria um processo que é carregado para que possa funcionar.
Caso o processo continue em execução significa que o programa está em atividade.
12
1.2 JUSTIFICATIVA
A engenharia social e a inocência dos usuários trabalham em benefício dos
criminosos que conseguem induzir um cliente a acessar uma página falsa do seu
banco. Apesar de que nos dias atuais o cavalo de tróia5 é o método mais utilizado
para fraudes financeiras (LAU, 2006a, p.87).
De posse das informações necessárias um fraudador realiza o ataque
desviando dinheiro das contas fraudadas e o perito terá que utilizar pistas e falhas
deixadas por esses criminosos para conseguir obter provas e chegar até eles.
Muitas empresas e entidades financeiras são ameaçadas por esses
fraudadores que estão cada vez mais eficientes devido ao avanço tecnológico e à
facilidade de obtenção de informações na Internet com a divulgação de técnicas e
softwares para pessoas até sem conhecimentos mínimos de informática consigam
praticar esses crimes.
A falta da existência de leis específicas para crimes virtuais, e o fato do
invasor não estar fisicamente no local do crime, gera a sensação de anonimato,
tornando os crimes virtuais cada vez mais comuns e elaborados.
1.3 OBJETIVO DO TRABALHO
O objetivo deste trabalho é apresentar se houve evolução nos métodos
utilizados pelos fraudadores para a realização de uma fraude visando o desvio de
dinheiro através da Internet, propondo também identificar se as técnicas para
eliminação de provas são eficazes e podem resultar no sucesso do fraudador.
Deverá apresentar as qualidades necessárias de um perito para a realização
do trabalho investigativo e o que pode ser esperado no futuro em relação à ética
desse profissional com o aumento de seu conhecimento técnico.
É necessário esclarecer se a identificação da autoria dos crimes é possível ou
se o anonimato é garantido. Em casos de sucesso na identificação do autor do crime
como estão as leis atuais para julgamento e projetos de leis existentes.
13
Apontar os investimentos em segurança da informação sendo realizados
pelos bancos, medidas tomadas com o objetivo de diminuição das fraudes,
verificando se as campanhas realizadas, com a finalidade de conscientização dos
clientes, estão surtindo efeito, e a maneira como as instituições financeiras agem em
relação às perdas de dinheiro e o ressarcimento dos clientes é um outro ponto
abordado no trabalho.
Além disso, o objetivo é mostrar as medidas preventivas que poderiam ser
tomadas com a intenção de resolver ou pelo menos diminuir o problema e qual seria
a solução efetiva (se existir) provida pelas instituições financeiras em conjunto com o
cliente para eliminação das fraudes virtuais.
1.4 METODOLOGIA DA PESQUISA
Este trabalho está baseado em informações disponibilizadas por profissionais
da área de segurança da informação e jurídica, sites6 com informações dessa
natureza e casos ocorridos que por ventura foram divulgados, bem como
experiências de diversos outros profissionais que possam ter envolvimento no
trabalho de perícia forense computacional.
1.5 ESTRUTURA DO TRABALHO
Os vários tipos de códigos maliciosos utilizados pelos fraudadores e a
maneira como a engenharia social contribui para a realização de uma fraude são
identificados no capítulo dois.
Ao ser realizada uma fraude, na tentativa de eliminação das evidências e
garantia da permanência e acesso do fraudador ao computador já invadido, assim
como, técnicas conhecidas como anti-forense, discutidas no capítulo três.
Diante da ocorrência e denúncia de uma fraude, cometida através dos
códigos maliciosos ou engenharia social, o passo seguinte em uma perícia forense
computacional é a tentativa de detecção da fraude, no qual estão detalhadas no
5
6
Termo detalhado e explicado no decorrer do trabalho
Site é o termo em inglês utilizado para referenciar uma página ou conjunto de páginas na Internet
14
capítulo quatro algumas técnicas, procedimentos e ferramentas utilizadas pelos
peritos para a realização do trabalho em busca das evidências.
Ao serem encontradas as possíveis provas e evidências da fraude cometida,
os passos e procedimentos realizados em busca da identificação da autoria estão
detalhados no capítulo cinco.
Caso o fraudador seja localizado e responda por processo criminal será
necessário o uso de leis atuais para o julgamento, que estão discutidas no capítulo
seis, juntamente com os projetos de leis para crimes virtuais.
Com a intenção de prevenir os crimes financeiros realizados a partir da
Internet, são discutidas no capítulo sete as medidas preventivas adotadas para
minimização das ocorrências dessas fraudes.
E, no último capítulo está a conclusão do trabalho e recomendações de
trabalhos futuros.
15
2.
INÍCIO
DO
ATAQUE:
ROUBO
DE
SENHA
E
INFORMAÇÕES
O fraudador consegue, além do uso de engenharia social, descrito melhor no
item 2.9 deste capítulo, obter informações importantes de contas, números de
cartões, senhas das pessoas através de programas como vírus, spyware, keylogger,
scam, phishing e outras ferramentas com código malicioso. De posse das
informações necessárias ele realiza o ataque desviando dinheiro da conta corrente
da vítima.
Abaixo seguem exemplos de alguns códigos maliciosos utilizados pelos
fraudadores para obtenção das informações sigilosas em ordem cronológica de
surgimento:
2.1. Vírus
É o primeiro código malicioso criado, em 1986 (HSBC, 2004, p.01) e trata-se
de um programa de computador projetado para causar algum dano ao computador
realizando alterações sem permissão. Cada vírus tem uma característica principal
que pode ser: a coleta de informações, destruição de dados, alteração do código de
algum programa de computador, fazendo-o se comportar de maneira diferente, ou o
auto envio por e-mail para todos os endereços encontrados na máquina, geralmente
forjando o nome do remetente para dificultar ainda mais a detecção do computador
realmente infectado. Essa última característica é a predominante nos vírus atuais.
Quando uma mensagem infectada com um vírus, é recebida por um servidor
de e-mails, que possui algum antivírus, uma mensagem é enviada com um alerta de
vírus para o remetente. No entanto, como o remetente foi forjado, a pessoa que
recebe esse alerta não foi quem realmente enviou o vírus.
Com isso, esta passa a ter uma preocupação grande por pensar que seu
computador está infectado e com isso irá procurar atualizar ou instalar um antivírus,
procurar por vestígios de infecção, etc, gerando assim perda de tempo e
produtividade.
16
Os computadores infectados por vírus possuem, na grande maioria, o sistema
operacional Windows, da Microsoft, por ser o mais usado atualmente pela população
e por possuir maior número de vulnerabilidades expostas e divulgadas com
freqüência. Há vírus para outras plataformas como Macintosh7 e baseados em
Linux8 mas além de raros, possuem limitações nos estragos causados.
Os métodos de infecção por vírus são vários, desde disquetes, rede local9,
programas
de
compartilhamento
de
arquivos,
execução
de
programas
contaminados, recebidos através de e-mails, entre outros.
O vírus muitas vezes coloca uma falsa extensão no arquivo10 para esconder a
verdadeira extensão e fazer com que o destinatário pense que se trata de um
arquivo inofensivo, encorajando-o a abri-lo.
Outro motivo que leva o destinatário a executar o arquivo é a confiança de
que realmente foi recebido de uma pessoa conhecida, pois o nome dessa pessoa
pode constar no campo de remetente, e muitas vezes também porque o conteúdo do
assunto coincide com o que é habitualmente tratado com o destinatário.
Os vírus estão mais inteligentes e com isso além de forjarem o remetente,
ainda retiram trechos de textos de e-mails já enviados ou recebidos e que podem
coincidir com algum assunto já tratado entre o destinatário e o remetente, fazendo
com que a mensagem pareça legítima e vinda da pessoa de nome forjado.
No entanto não é só por e-mail que um vírus pode aparecer. Algumas falhas
de segurança dos sistemas operacionais ou de outros programas instalados na
máquina podem permitir que determinados vírus entrem na máquina sem que o
usuário possa resolver executar ou não o arquivo contaminado.
2.2. Cavalo de tróia
Logo após a criação dos vírus, no mesmo ano, em 1986 (HSBC, 2004, p.01)
surgiu o cavalo de tróia. Esse nome foi herdado da lenda, que gerou a expressão
“presente de grego”, na qual os soldados gregos haviam presenteado os troianos
7
Computador pessoal desenvolvido pelo fabricante Apple cujo sistema operacional é diferente do Windows, da
Microsoft e de sistemas baseados em Linux.
8
Sistema operacional com características do Unix. É gratuito e de domínio público, ao contrário do Windows e
Macintosh.
9
É uma rede (interligação de computadores) geralmente limitada a um prédio ou instituição.
10
São as três letras subseqüentes ao ponto que identificam o tipo de arquivo e o software que pode interagir com
o mesmo.
17
com um enorme cavalo de madeira que simbolizava a desistência dos mesmos da
guerra.
Dentro deste cavalo havia soldados gregos que saíram de dentro dele à noite
para abrir as portas da cidade de Tróia para entrada de muitos outros soldados para
o ataque.
Os programas denominados cavalos de tróia, assim como os spywares,
também são mal intencionados e têm por objetivo obter informações sigilosas
(senhas, números de cartões e contas, certificados digitais, etc) enviando-as para o
fraudador. Uma vez ativo, ele monitora a navegação do internauta e mostra uma
falsa tela quando este último acessa as páginas seguras de bancos.
Dependendo de outras características, essa praga pode permitir que o
computador seja acessado remotamente pelo atacante. Além disso, pode possuir
outras funções como capturar dados, parar a execução do antivírus e de outros
programas relacionados à segurança, apagar arquivos ou modificá-los, atacar outros
servidores, entre outras.
Como se não bastasse ele ainda possibilita a abertura de portas de
comunicação do computador para que outras pessoas possam invadi-lo ou ainda
enviar vírus e outros programas mal intencionados. Com isso, a máquina se torna
uma presa fácil para hackers11 invadirem e realizarem outros estragos que
desejarem tais como, formatá-la, apagar seus arquivos de dados, etc.
A infecção por um cavalo de tróia é possível através da instalação de outros
programas considerados inofensivos como, por exemplo, jogos, utilitários,
programas de computador gratuitos ou, na maior parte das vezes, através de scam
(e-mails falsos que fingem ter como remetentes bancos, receita federal, serasa, etc)
(BRADESCO, p.03).
Aliás, esse método de infecção através de scam12 é usado exclusivamente
pelo cavalo de tróia, o que o diferencia dos spywares que não utilizam esse método.
2.3. Worm
11
Nome dado a pessoas que possuem um bom conhecimento de informática, mas os utilizam para fins ilícitos.
São e-mails fraudulentos imitando comunicados de bancos, lojas virtuais e outros no qual induz a pessoa a
entrar em sites falsos que contém arquivos suspeitos que infectam a máquina.
12
18
Worm, que significa “verme” em inglês, trata-se de um vírus “inteligente”,
diferenciando-o dos tipos mais comuns, e foi criado em 1988 (HSBC, 2004, p.01).
Essa inteligência está relacionada à maneira com que ele é disseminado. A
rapidez com que contamina outras máquinas é mais eficiente sendo feita de várias
maneiras, mas principalmente com envio de e-mails para todos os endereços
armazenados localmente, podendo até usar um SMTP13 próprio e através da rede
local utilizando-se de pastas compartilhadas.
Podem ainda se espalhar com auxílio de outros programas que possuem
alguma facilidade, por abrirem algumas portas de comunicação, como programas
para download14 e upload15 de arquivos como o Kazaa ou canais de bate-papo como
IRC.
2.4. Spyware
Um spyware, com surgimento no ano de 2002 (Kaspersky, 2005, P.01), e
aprimorado com o passar do tempo, é um software que rouba informações
confidenciais (senhas de cartões e de banco, por exemplo) e pessoais, enviando
para uma outra pessoa através da Internet, provavelmente o editor do spyware, sem
que o dono do computador e das informações tome conhecimento.
Ele pode também colher informações sobre hábitos na Internet, como sites
mais acessados, preferência de compras, estilo musical, etc.
Pode-se considerar que o spyware é um software de dupla funcionalidade
porque ele se instala a partir de outro aplicativo, ou seja, o usuário faz download na
Internet de algum programa de computador gratuito interessante, por exemplo, para
download de músicas, um utilitário, um jogo, etc e junto com o software vem um
spyware.
Ao instalar um desses programas vindos da Internet, além das funções
desejadas do programa em questão, são instaladas funções de espionagem que são
realizadas pelo spyware.
13
SMTP – Simple Mail Transfer Protocol. Protocolo padrão utilizado para entrega de e-mails.
Copiar arquivos de um computador remoto para um local.
15
Transferir um arquivo do computador local para um outro remoto, através da Internet.
14
19
Estas ameaças também podem ser instaladas através de programas
solicitados enquanto se faz uma navegação na Internet, como por exemplo, plug-in16
ou alguma correção ou recurso do browser17 para permitir corretamente a
navegação de um determinado site, ou ainda através da instalação automática de
alguns programas que são iniciados ao entrar em determinado site. Os browsers
costumam solicitar confirmação para essas instalações, mas caso o sistema
operacional esteja sem atualizações recentes de segurança ou estiverem em
versões muito antigas, o computador pode não solicitar essa permissão.
Outra fonte de infecção ocorre quando a máquina já está infectada por algum
vírus, worm, ou cavalo de tróia. Esses códigos maliciosos podem deixar a máquina
com brechas de segurança através de portas de comunicação abertas para
invasões.
2.5. Keyloggers
São aplicativos, como um cavalo de tróia, que tem como objetivo roubar
senhas digitadas no teclado, pois possuem recursos para detectar qual tecla o
usuário pressionou na hora da digitação da senha para algum acesso confidencial
ou sigiloso.
Ele mapeia a posição das teclas de uma maneira que possibilite saber
exatamente o que foi digitado, e essas informações são enviadas para o atacante.
Seu uso em técnicas de cavalo de tróia para furto de informações bancárias
foi identificado em 2002 e tem sido aprimorado desde então, “permitindo associação
da identificação de tela da aplicação com o dado capturado”, segundo LAU (2004,
p.11).
2.6. SCAM
16
Utilitários adicionais que devem ser instalados para visualização de recursos implementados no site visitado.
Paginador ou navegador é um programa utilizado para visualizar as páginas na Internet. Exemplo de browser:
Internet explorer, netscape.
17
20
É o método atual mais utilizado para fraudes em Internet Banking no Brasil
(LAU; SANCHEZ, 2006, p.03). São e-mails indesejáveis, assim como o spam18, no
entanto não chegam apenas com a intenção de vender algum produto, e sim
carregam com eles arquivos com cavalos de tróia na tentativa de roubar senhas ou
outras informações sigilosas e confidenciais.
Inicialmente, criados em 2002, traziam texto forjando ser de uma instituição
financeira, e assim, induzindo e tentando convencer a vítima ao acesso, contando
com a credibilidade da instituição. Posteriormente passaram a não utilizar somente
nomes de instituições financeiras e sim várias outras entidades que poderiam levar a
vítima a acessar o site apostando na curiosidade ou preocupação, dependendo do
argumento utilizado (LAU, 2004, p.11).
O golpe busca atingir a vítima, através da instalação acidental de um
programa existente no link19 forjado. A partir da instalação deste agente, os dados
são coletados no computador infectado por meio de digitação ou ações realizadas a
partir do mouse. Estes programas também são conhecidos como cavalos de tróia.
O processo de captura de credenciais pode ser imperceptível a vitima, ou se
apresentar na forma de uma tela sobreposta sobre os aplicativos do computador,
induzindo a vítima a colaborar voluntariamente com o fornecimento de dados
pessoais.
“Em geral, os dados capturados são enviados ao fraudador por meio de
protocolos de transferência de arquivos (ftp - file transfer protocol), ou protocolos de
envio de mensagens (smtp – simple mail transfer protocol)”, segundo Lau e Sanchez
(2006, p.02).
2.7. Pharming e alteração do arquivo hosts
Surgiram em 2002 e 2003 (LAU; SANCHEZ, 2006, p.04) cavalos de tróia que
realizavam alterações no arquivo hosts (arquivo do sistema operacional Windows,
verificado inicialmente quando um acesso à rede externa for solicitado) direcionando
18
Spam são mensagens indesejadas, em sua maioria com propagandas de produtos, que chegam às caixas de
correio das pessoas sem que elas tenham solicitado ou autorizado esse recebimento.
19
Link é o endereço para um site na Internet no qual basta clicar para que o site vinculado ao link seja aberto.
21
a vítima para um site forjado, ou seja, o acesso não é feito ao site idôneo e sim a um
outro definido pelo atacante.
A vítima acessa um site forjado, mas ao contrário do phishing (explicado no
próximo item, no qual o fraudador precisa convencer a vítima a acessar o site
contido no e-mail), no pharming (nome criado apenas em 2005 (LAU; SANCHEZ,
2006, p.04)) a alteração é feita no serviço DNS, que é utilizado pelo sistema
operacional para saber o endereço IP20 do servidor do site requisitado.
Como o serviço DNS contém informações errôneas referentes ao site
procurado pelo sistema operacional, ele carregará as informações da página forjada,
na qual o fraudador possui, controle total, e meios para roubar as informações da
vítima como senha, número da conta, número de cartão de crédito ou outras
confidenciais.
2.8. Phishing
Uma das fraudes mais recentes e atualmente a mais utilizada no exterior para
fraudes (LAU; SANCHEZ, 2006, p.04), criada em 2003 (LAU, 2004, p.11), é o
phishing. São e-mails que chegam à caixa de entrada do destinatário e contém
convites para acesso a páginas falsas.
Essas páginas são muito bem elaboradas, a ponto de realmente serem
confundidas com a página oficial que está sendo forjada, seja do banco, da receita
federal, de revistas, jornais ou de alguma loja virtual.
No entanto, assim que o destinatário digita suas informações pessoais ou
sigilosas, como senhas, números de cartões de crédito, nesse site falso, o remetente
da mensagem ou fraudador captura todas essas informações, para serem utilizadas
em fraudes, roubos, desvios de dinheiro, etc.
20
O endereço IP é composto por um conjunto de quatro octetos com o formato xxx.yyy.zzz.www. Os valores
variam de 0 a 255, formando um endereço único que permitirá ao usuário enviar e receber pacotes de dados
pela rede mundial, identificando o remetente e destinatário dos mesmos. COSTA, Marcelo A. Sampaio Lemos.
Mundo Virtual sem Lei, 04/02/2004. Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia
Técnica da Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70>
Acessado em 27/09/2006
22
Muitas pessoas podem ser enganadas com esses e-mails, pois além de
parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e
muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo.
O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes
possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima
a acreditar que realmente está realizando uma conexão segura.
“Os dados capturados são enviados ao fraudador por meio dos protocolos de
hipertexto (http – hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03).
Analisando os códigos maliciosos apresentados, é nítida a evolução ocorrida
ao longo do tempo, desde os vírus que chegavam as caixas de correios com nomes
estranhos e, portanto de fácil detecção para as pessoas com um pouco mais de
conhecimento na área de informática, e hoje os phishings e scams se tornaram um
método mais eficaz, pois confundem e enganam até profissionais da área, pois
buscam assuntos atuais e de interesse da vítima.
Até mesmo os cavalos de tróia acabam sendo eficazes, pois devido a uma
grande oferta de programas interessantes freeware21 na Internet, cada vez mais as
pessoas buscam por essas facilidades e novidades na Internet, como jogos,
programas peer-to-peer22 para aquisição de músicas, ferramentas diversas para
melhorar performance das máquinas, e outros programas que parecem tentadores e
por isso são instalados nas máquinas e trazendo, muitas vezes os códigos
maliciosos que fazem os estragos já citados.
Os criminosos virtuais estão se especializando cada vez mais e criando
códigos de programas mais fáceis de serem infiltrados nas máquinas das vítimas,
resultando em cada vez mais sucesso nas tentativas de invasão. O que é preciso
acontecer em contrapartida, são os usuários de informática buscarem mais
conhecimentos sobre esse mundo digital para conseguirem se defender melhor.
21
Freeware é um tipo de licença de software que permite que o usuário possa instalar em quantas máquinas
desejar, não precisa pagar pela licença de uso, mas não pode alterar o código do programa, a não ser que além
de freeware o programa também seja open source (código aberto).
22
Peer-to-peer é a tecnologia utilizada por programas como kazaa e Emule para a troca de arquivos de
multimídia entre as pessoas. Nesta tecnologia toda máquina é ao mesmo tempo cliente e servidor. Isso significa
que a sua máquina estará comas portas de comunicação abertas para que outras pessoas possam se conectar e
fazer o download de um arquivo. Com essa brecha de segurança a máquina fica mais vulnerável a um ataque.
23
2.9 Engenharia Social
A curiosidade é o que leva a vítima a acessar, na maioria das vezes, um site
contido dentro de um scam. Os fraudadores no Brasil procuram conteúdos atuais,
apelativos, como sexo ou nudez, preocupantes como nome no Serasa23 ou débito
em lojas para que a vítima não questione se o conteúdo é muito estranho e não
hesite em abrir.
Engenharia social, segundo Cert.br (2005a, p.08) é: “O termo utilizado para
descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes
abusando da ingenuidade ou confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou
informações”.
O sucesso da engenharia social na área de informática se dá também pelo
fato de que muitas pessoas que hoje tem acesso a computadores e Internet, ainda
não têm conhecimentos mínimos sobre segurança no meio digital e não tem a
consciência de que é um meio altamente inseguro. Pensa-se muito na falta de
segurança para utilizar um caixa eletrônico do banco, por ser um acesso físico, mas
ainda não possuem conhecimento adequado para saber o real perigo de acesso
confidencial em máquinas inseguras. Decorrente disso, essas pessoas nem sempre
estão tão protegidas contra golpes virtuais quanto golpes reais e por isso não
acreditam que uma mensagem aparentemente inocente possa causar tanto mal.
A engenharia social conta com a curiosidade das pessoas, como disse
MITNIK em seu livro: “One method used by attackers to install malicious code is to
place programs onto a floppy or CD-ROM and label it with something very enticing
(for example, “Personnel Payroll Data – Confidential”). They then drop several copies
in areas used by employees. If a single copy is inserted into a computer and the files
on it opened, the attacker´s malicious code is executed. This may create a
backdoor24, which is used to compromise the system, or may cause other damage to
the network” (2002; p.523).
23
Uma das maiores empresas do mundo em análises e informações para decisões de crédito e apoio a
negócios.
24
Backdoor tem como tradução exata “porta dos fundos” é uma brecha que pode ter em um sistema operacional
que consiste na abertura de portas de comunicação que, por segurança deveriam estar fechadas, e que podem
ser exploradas por um invasor devido à facilidade de penetração no sistema por estarem abertas.
24
A curiosidade das pessoas em tomar conhecimento de dados alheios e
principalmente confidenciais, faz com que elas não parem para analisar que esse
disquete ou cd-rom, conforme citou Mitnik, pode conter códigos maliciosos e se
tratar de um golpe, pois estão ansiosas para abri-lo logo e verificar todas as
informações que lhe interessam.
Como se não bastasse o aproveitamento da falta de conhecimento dos
usuários, os fraudadores que se utilizam desse método, ainda contam com
funcionários
descontentes,
invejosos,
ambiciosos
que
acabam
passando
informações importantes para os bandidos em troca de dinheiro, vingança ou até
mesmo de conseguir melhor cargo prejudicando o colega de trabalho. Em outros
casos, esses funcionários podem passar informações em troca de algum agrado e
também porque julgam que não se trata de uma informação sigilosa, que pode
causar algum problema, subestimando o poder de fraudadores em utilizar uma
simples informação para um grande golpe, na junção de várias informações de
fontes diferentes.
Além desses códigos maliciosos, e outros que podem vir a surgir, ainda
existem programas para entretenimento e bate-papo como ICQ e MSN, de download
de músicas, filmes, clipes como Kazaa e E-mule, que tornam as máquinas mais
vulneráveis a ataques.
Segundo Cert.br os programas como Kazaa e E-mule oferecem vários riscos
à segurança, dentre eles: “Acesso não autorizado: o programa de distribuição de
arquivos pode permitir o acesso não autorizado ao seu computador, caso esteja mal
configurado ou possua alguma vulnerabilidade. Softwares ou arquivos maliciosos:
os softwares ou arquivos distribuídos podem ter finalidades maliciosas. Podem, por
exemplo, conter vírus, ser um bot25ou cavalo de tróia, ou instalar backdoors em um
computador” (2005c, p.13).
Softwares de bate-papo também oferecem riscos de acordo com o Cert.br:
“Programas, tais como ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN
Messenger, por se comunicarem constantemente com um servidor (senão não
teriam como saber quem está no ar), ficam mais expostos e sujeitos a ataques, caso
possuam alguma vulnerabilidade” (2005c, p.11).
25
Termo explicado com mais detalhes no decorrer do trabalho.
25
Acesso a sites de relacionamento como orkut também podem acarretar um
risco de segurança, pois é uma fonte de disseminação de vírus, devido ao fato de
um link estar disponibilizado com textos que inspiram a curiosidade e parecer ter
sido colocado por um amigo pode ser aparentemente inofensivo, conforme Lau:
“Eles colocam mensagens na página de recados da pessoa (scraps) pedindo que
acesse determinado endereço, mas caso ela faça isso, poderá instalar um trojan na
própria máquina” (2006b, p.02).
Muitos desses códigos maliciosos e técnicas para invasão em um computador
podem deixar rastros e pistas importantes para os peritos iniciarem uma
investigação. Na tentativa de ocultar ou até mesmo apagar essas pistas, o fraudador
utiliza técnicas e ferramentas capazes de inibir o trabalho do perito. Além do objetivo
de despistar o perito, o fraudador se utiliza desses métodos para garantir a sua
presença novamente no computador invadido sem que ele necessite novamente
realizar todos os passos executados para a primeira invasão. Mais detalhes sobre
esse assunto está sendo exibido no próximo capítulo.
26
3.
MÉTODOS
ANTI-FORENSE
PARA
INIBIÇÃO
DO
TRABALHO DO PERITO
Existem atualmente ferramentas e técnicas que podem ser utilizadas pelos
fraudadores mais experientes para inibir o trabalho do perito ou até mesmo destruir
por completo as possíveis provas. São conhecidos como métodos anti-forense e
estão melhores discutidos no decorrer deste capítulo (WENDEL, p.02).
Atualmente a técnica anti-forense que já foi encontrada sendo utilizada pelos
fraudadores é a criptografia. As demais, citadas neste capítulo, ainda não foram
utilizadas pelos fraudadores, mas podem ser métodos fortemente adquiridos para
uso num futuro próximo, pois assim como as técnicas para aumento de segurança
estão sofrendo avanços, os fraudadores também têm que buscar inovações. Além
disso, talvez hoje os fraudadores não precisem de muita técnica para despistar o
perito, pois as dificuldades para descoberta da autoria do crime, devido à falta de
arquivos de registros pelos provedores e de leis específicas ainda trazem certo
conforto e um sentimento de impunidade26.
3.1 Criptografia
É um método utilizado para dificultar o acesso do perito a arquivos de
registros do sistema, pois torna o arquivo ilegível caso o perito não consiga decriptálo. Muitas vezes o fraudador pode precisar manter um arquivo executável ou algum
de outro tipo para facilitar a sua entrada novamente, mas para não deixar suspeitas
ele precisa manter em sigilo o conteúdo desse arquivo para que o administrador da
máquina não descubra que houve um ataque.
Mesmo que seja interceptada uma mensagem enviada do computador da
vítima para o fraudador, será muito difícil de ser decifrada então não é possível um
perito utilizar essa informação como prova, pois o conteúdo é desconhecido,
dificultando o seu trabalho. Para entender melhor sobre isso, segue uma breve
explicação de como funciona um processo de criptografia e decifragem.
26
Problemas para identificação de autoria e legislação vigente estão discutidos nos próximos capítulos.
27
A criptografia consiste na substituição do texto claro (legível) por outros
caracteres que tornam impossível a leitura, pois se trata de um “embaralhamento”
que é determinado pelo algoritmo de criptografia utilizado e por uma chave que pode
ser convencional ou pública.
Uma criptografia de chave convencional se baseia no uso da mesma chave
para criptografar e decifrar. Para que o destinatário possa decifrar a mensagem, ele
necessita conhecer a chave utilizada pelo remetente. Uma das dificuldades
encontradas nesse tipo de criptografia é estabelecer um canal seguro para troca da
chave entre os parceiros.
Esse problema já não é encontrado em uma criptografia de chave pública,
pois neste método, o remetente possui um par de chaves, denominadas: pública e
privada e o destinatário também possui duas chaves. Trata-se de um par de chaves
onde apenas a chave privada desse par consegue decifrar uma mensagem cifrada
pela chave pública desse mesmo par.
Para que o remetente envie uma mensagem cifrada para o destinatário, ele
utiliza-se da chave pública do destino e, ao chegar, o mesmo decifra a mensagem
utilizando a sua chave privada. Neste método para que a mensagem cifrada seja
vista e compreendida por um atacante ou fraudador, ele terá que ter conhecimento
da chave privada do destinatário da mensagem.
O objetivo deste trabalho não é detalhar o uso e funcionamento das técnicas
de criptografia, pois se trata de um tema amplo e não se aplica no contexto. Apenas
se fez necessário uma breve descrição para que seja entendido o motivo da garantia
de sigilo em informações cifradas.
3.2 Rootkits
Após a intrusão em um sistema, o fraudador pode utilizar técnicas, programas
e ferramentas capazes de esconder os vestígios do ataque ou apagar esses rastros
para que o ataque não tenha evidências e possa manter o fraudador invisível no
sistema atacado.
O conjunto dessas ferramentas, conhecido como rootkits tem essa
funcionalidade e pode ajudar o fraudador a apagar as pistas e também a criar
condições para que ele possa atacar novamente o sistema em questão através de
28
facilidades que essas ferramentas proporcionam, instalando backdoors, por
exemplo.
Elas são capazes de ocultar processos maliciosos em execução, conexões
estabelecidas, placas de rede em modo promíscuo27, arquivos de registros do
sistema, e até de alterar o funcionamento padrão de executáveis no sistema
operacional, scripts de inicialização, fazendo com que, ao utilizar um determinado
arquivo executável, o usuário ou administrador da rede possa enviar informações ou
abrir portas de comunicação para os fraudadores, dependendo de qual alteração o
fraudador configurou no executável padrão do sistema (BERNARDO; 2006; p. 58).
Com o uso de rootkits, o executável padrão no sistema operacional pode ser
substituído por outros que realizam a tarefa esperada, mas não é confiável, por
exemplo, se o comando DIR28 foi substituído, quando o dono do computador executa
esse comando pode ser listado tudo menos algum arquivo que identifique ser um
cavalo de tróia, ou ao executar um netstat29 são mostradas apenas as conexões que
não identifiquem um backdoor.
Esse conjunto de ferramentas pode auxiliar o fraudador a manter acesso ao
sistema invadido sem necessitar executar os mesmos passos para o primeiro
ataque, ou seja, após ter conseguido o ataque, essas ferramentas deixarão o
sistema com portas de comunicação abertas ou com configuração previamente
facilitada, permitindo ao fraudador ter acesso novamente, sem maiores dificuldades
que possam ter sido encontradas no primeiro ataque.
3.3 Esteganografia
É a arte de esconder informações em arquivos de multimídia30 utilizando os
últimos bits menos significativos do arquivo, pois mesmo alterados não são
27
Uma placa de rede configurada em modo promíscuo permite a captura de todos os dados trafegados na rede.
Caso haja um software de sniffer (que captura todos os dados na rede e armazena para análise) nessa máquina,
até mesmo senhas trafegadas na rede local podem ser capturadas.
28
Dir é o comando utilizado no sistema operacional Windows que lista os arquivos existentes dentro da pasta
especificada junto com o comando.
29
É o comando no sistema operacional que mostra o mapa de conexões, ou seja, todas as conexões existentes
na máquina e seu status.
30
O termo multimídia é utilizado para mencionar arquivos de som, imagem, fotografia e vídeo, pois utilizam mais
de um sentido do ser humano como audição e visão.
29
percebidos pelos seres humanos, pois as alterações em arquivos áudio, imagem e
vídeo, são insignificantes prejudicando muito sensivelmente a qualidade.
“Esteganografia é uma palavra de origem grega, onde Stegano significa
escondido ou secreto e Grafia: escrita ou desenho”, conforme Coelho e Bento (2004;
p.15).
Com essa ferramenta um fraudador pode esconder arquivos textos, senhas,
códigos binários31 ou qualquer outra informação em arquivos que já existem no
sistema, como arquivos de som do Windows e apenas quem está destinado a
receber este arquivo consegue decifrar, pois aos olhos de outras pessoas
provavelmente não será detectado.
Ele pode também fazer uso da esteganografia no caso de fraude utilizando
imagens do próprio Windows, como proteção de tela que são arquivos do tipo bitmap
(bmp), como imagens de florestas, rios, paisagens, etc, alterando-os com o objetivo
de inclusão de dados esteganografados como informações de número de cartão de
crédito, senha e outras, e o sistema em algum momento poderia enviar esse arquivo
para o fraudador. Com isso dificultaria a detecção de um possível ataque e roubo de
informações, pois essas imagens já estão gravadas no sistema operacional e são,
aparentemente inofensivas.
Esta pode ser uma utilização com objetivos maliciosos da esteganografia,
mas é uma técnica que também pode ser utilizada para fins lícitos, como o uso de
marcas d´água nos arquivos multimídia. O uso disso tem como objetivo a
identificação do dono dos direitos autorais do arquivo em questão devido à facilidade
atual de envio de arquivos pela Internet, muitas vezes as informações referentes à
criação do arquivo são perdidas.
Não é de objetivo deste trabalho se aprofundar em técnicas de
esteganografia, portanto foi apenas citado para que o leitor conheça mais uma das
opções que podem ser utilizadas por fraudadores para troca de mensagens e de
informações de maneira sigilosa e escondida.
31
Códigos binários é um sistema utilizado por apenas dois números, o zero e o um. O termo binário é muito
utilizado por profissionais de informática para fazer referência a programas executáveis (que executam ou
realizam alguma tarefa).
30
3.4 Ferramentas wipe para apagar os dados
A tradução para a palavra wipe em dicionários seria de: apagar, limpar e, no
contexto da informática o termo é utilizado para definir ferramentas que tem o
objetivo de apagar um arquivo efetivamente de um disco rígido, pois não basta
apenas executar um comando delete32 no sistema operacional ou limpar a lixeira do
Windows para ter um arquivo apagado definitivamente.
Ao se executar um comando para apagar um arquivo, o sistema operacional
apenas marca o bloco ou setor do disco como disponível para gravação de outros
dados e não apaga fisicamente os dados referentes àquela informação no disco
rígido.
As ferramentas wipe se destinam a escrever várias vezes sobrescrevendo a
informação que se deseja apagar completamente. Cada ferramenta possui sua
rotina, mas o objetivo é sobrescrever diversas vezes até que seja praticamente
impossível de recuperação. Não é possível garantir que não haja alguma maneira de
recuperação, pois há também ferramentas destinadas a esse propósito, mas
certamente vai garantir um trabalho maior e ferramentas mais poderosas para
conseguir uma recuperação aceitável dessas informações.
Dependendo de vários fatores como data de exclusão, tamanho do arquivo,
ferramenta wipe utilizada e outros, pode ser possível recuperar apenas partes do
arquivo que podem não ser suficiente para um entendimento legível. Há ferramentas
gratuitas de wipe e de recuperação de arquivos disponíveis para download na
Internet33.
3.5 Fluxo de dados alternativo (ADS)
Em sistemas operacionais que utilizam o sistema de arquivos NTFS, há uma
parte que o compõe chamado de “Alternate Data Streams” que se trata de
informações ocultas que não são listadas com o comando dir do Windows.
32
O comando delete, palavra herdada do inglês, é o mesmo que apagar, sendo utilizado para exclusão de
informações no computador.
33
Uma delas, freeware de nome Dariks Boot pode ser encontrada em http://dban.sourceforge.net e outra de
nome Active Kill Disk também freeware pode ser encontrada em http://www.killdisk.com.
31
Explicando em detalhes, tomamos por base um arquivo comum, que possui
vários atributos, sendo um deles chamado de DATA, que é um apontamento para os
dados do arquivo ou informações de segurança, sendo possível estar apontando
para um ou mais arquivos. Esses arquivos adicionais são chamados de fluxo de
dados alternados e ficam ocultos. (MARES; p.01).
Esses arquivos não serão exibidos no Windows Explorer e, em decorrência
disso, o conteúdo deles não será mostrado. Devido ao tamanho ser provavelmente
insignificante, não haverá suspeita da existência deles devido ao espaço em disco
sendo utilizado misteriosamente (MARES; p.01).
Para criar um arquivo ADS basta utilizar o bloco de notas com o seguinte
comando: C:>notepad test.txt:alternate.txt. Com isso o arquivo principal será o
test.txt o e ADS será o alternate.txt. É possível, posteriormente alterar o conteúdo do
alternate.txt com o comando: C:>notepad test.txt:alternate.txt. (MARES; p.02).
Com este exemplo foi possível imaginar o uso que um fraudador pode fazer
deste atributo do sistema de arquivos NTFS. Ele pode gerar um arquivo de senha ou
qualquer outra informação, como um programa malicioso e esconder no sistema de
arquivos com o uso do ADS para que nem o Windows Explorer possa encontrar. O
fraudador pode anexar arquivos binários a outros comuns existentes no sistema, e
que por isso, parecem inofensivos, com o comando: C:>type binary.file >>
test.txt:binary.ADS (MARES; p.02).
3.6 Slack Space
Outro método que poderá ser utilizado pelos fraudadores para ocultar
informações importantes para ele, é através de slack space.
Segundo OLIVEIRA (2002b; p.89-90), “Os sistemas operacionais da Microsoft
armazenam seus arquivos em disco utilizando blocos de dados de tamanho fixo
chamados clusters, contudo, os arquivos em um disco podem ter os mais variados
tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um
arquivo é múltiplo do tamanho de um cluster, o que impede o armazenamento ideal.
Sendo assim, é comum que o último cluster associado a um arquivo não seja
32
totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos
arquivos possam ser capturados e analisados”.
Para acesso a arquivos gravados nesses espaços com a intenção de sigilo e
ocultação, é necessário o uso de ferramentas específicas com acesso ao disco em
baixo nível. Essa técnica atrapalha a ação do perito, pois é sempre mais um
obstáculo, e mais um lugar necessário para procura de evidências, mas também
existem ferramentas com o objetivo de eliminar esse problema (OLIVEIRA, 2002b,
p.90).
3.7 Botnet
O termo botnet vem da junção de duas palavras em inglês, Robot e Network,
que expressam neste termo uma rede de robôs, na qual o atacante controla todas as
máquinas infectadas por esse código malicioso tornando-as zumbis para realizarem
um ataque juntas a um mesmo alvo.
O computador é infectado através de vulnerabilidades no sistema operacional
ou em falhas em programas instalados e mal configurados. Uma vez que infectaram
o computador, esses bots, geralmente se conectam a servidores de IRC (Internet
Relay Chat) no qual o invasor ao estar conectado pode enviar os comandos que
quiser e serão interpretados pelo bot (CERT.br, 2005b, p.16).
Segundo Aquino, “Em 2005, o número de computadores zumbis cresceu de
50% a 60% em todo o mundo, segundo a fabricante de antivírus McAfee. Zumbi é
uma máquina seqüestrada por um cracker. Isso significa que o PC foi infectado por
um código malicioso (do tipo bot), que permite que outra pessoa o controle de longe,
sem o usuário saber. A máquina serve de marionete para o invasor, que poderá
acessar dados privados (como senhas do usuário), e usá-la (a máquina) em ataques
a sistemas alheios” (2005, p.01).
Atualmente o uso dessa ameaça é aplicada para realização de ataques em
massa, mas por tratar-se de um código que permite o controle total do atacante ao
computador, pode ser utilizado futuramente pelos fraudadores com o objetivo de
apagar as evidências e vestígios de ataque a um computador, através de uma
33
formatação da máquina ou destruição como programas do tipo wipe em arquivos
que podem ser provas.
Foi possível perceber que existem várias técnicas e brechas no sistema
operacional Windows que permitem diversas maneiras de ocultação de provas e
evidências. Além dessas, existem outras maneiras, ferramentas, métodos e técnicas
para tentativa de dificultar o trabalho dos peritos que não foram citados e outros que
provavelmente surgirão com o tempo, pois os fraudadores estão se especializando
cada vez mais em busca de técnicas novas.
Segundo Lau: “Com o passar do tempo, a segurança dos Internet banking
aumentou. Conseqüentemente, a técnica dos fraudadores também evoluiu. Quando
as instituições financeiras passaram a oferecer os "teclados virtuais", os criminosos
criaram os screenloggers, que conseguem capturar dados por meio da imagem
apresentada na tela” (2006b, p.02).
Devido a isso, um bom perito deve estar sempre atualizado com as novas
técnicas de ataque para conseguir identificar possíveis evidências escondidas no
sistema operacional analisado. Apesar dessas ferramentas ainda não estarem sendo
utilizadas pelos fraudadores, elas constituem várias opções novas que poderão
prejudicar significativamente o trabalho dos peritos em busca das provas e novas
brechas de segurança são descobertas, sendo que essa divulgação pode ser feita
depois que um atacante já se beneficiou com elas.
No entanto, de acordo com o dito popular de que não há crime perfeito,
mesmo com o uso de métodos, na tentativa de despistar o perito com o uso de
pistas falsas ou com ocultação de provas, uma brecha ou outra pista pode ajudá-lo a
conseguir mais informações que o levarão a alguma prova.
Em decorrência da variedade de métodos, códigos maliciosos existentes e
técnicas anti-forense, um computador pode ser infectado e utilizado para fraude seja
para danos ao do dono desse computador atacado ou para realização de fraude em
outra máquina. Depois de ter sido realizado o ataque, o perito deverá iniciar as
investigações em busca de provas e pistas deixadas pelo fraudador. Para a
realização desse trabalho o perito conta com várias ferramentas e métodos que o
auxiliam, como podem ser vistos no capítulo seguinte.
34
4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS
O que deve ser feito inicialmente é buscar a preservação das evidências, por
isso a primeira técnica a ser aplicada é assegurar a integridade dos discos rígidos,
disquetes, cds, pen drives34 ou qualquer outro meio de armazenamento de
informações digitais que se deseja rastrear para localização de provas. A maneira
como as mídias são armazenadas e manipuladas, é fato determinante para a
realização de uma perícia com sucesso ou a perda de informações valiosas,
resultando na destruição das provas digitais.
Deve-se seguir a RFC 3227 que se trata de um guia, um passo a passo a ser
seguido para coleta e armazenamento de evidências de maneira adequada
(RFC3227, 2002, p.02).
“É sabido que, em se tratando de crimes que envolvam computadores como
meio, a coleta, manipulação e exame de provas sem os devidos cuidados podem
acarretar na falta de integridade da prova. A coleta e manipulação de equipamentos
e mídias sem a observação de condições mínimas de segurança no manuseio
podem acarretar danos irrecuperáveis no material coletado. Discos rígidos não
suportam golpes35, mídias magnéticas podem apresentar perda de dados se
submetidas a campos magnéticos, a superfície pode apresentar desgaste se
exposta a calor, umidade e poeira, e assim por diante”, segundo Costa (p.01).
"O perito deverá preservar todos os dispositivos de armazenamento de
dados, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash36
para comprovação da integridade dos dados e, quando necessário, elaborar uma ata
notarial37".38
O profissional deve possuir conhecimentos técnicos e procedimentos para a
realização do trabalho, protegendo as provas de incidentes, gravações acidentais,
34
Pen drives são unidades de armazenamento de capacidade bem maior que disquetes e que possuem
tamanho semelhante a um chaveiro, possibilitando ser carregado no bolso.
35
Golpe neste contexto é o mesmo que queda, pancada, ou qualquer outro acidente físico potencialmente forte
para danificar a parte física do equipamento em questão.
36
Processo de verificação de integridade para saber se uma versão de arquivos ou sistema de arquivos é
exatamente igual a original ou fonte.
37
Ata notarial é um procedimento legal, no qual a pessoa, devidamente competente, narra os fatos de uma
maneira imparcial e verídica, deixando tudo registrado para uso em processo judicial ou como prova, também em
processos privados. É necessário quando um fato deve ser devidamente registrado, narrado e documentado
para uma ação judicial.
38
Rocha (2003, p.03) apud THEIL.
35
destruição, transporte e armazenamento inseguro, e para não precisar tomar uma
decisão importante durante esse processo. As decisões geralmente precisam ser
tomadas com urgência e sob pressão39, pois dessas decisões depende a integridade
das provas devendo-se tomar os devidos cuidados para não invalidá-las
juridicamente. Deve possuir também conhecimentos sobre as leis vigentes e
importantes para a realização desse trabalho que precisa seguir um padrão para que
as provas obtidas sejam válidas perante a lei.
Antes de efetuar o desligamento da máquina, com o processo de
simplesmente tirá-la da tomada para que não haja alterações de data e hora, é
necessário fazer o registro dos dados voláteis, como exemplo conexões
estabelecidas, processos em execução, informações na memória RAM40, tabela arp
e de roteamento, arquivos de registros e temporários criados pelo sistema
operacional ou outro programa executado.
Logo após terem sido recuperados os dados mais voláteis, o perito deve
realizar a criação de uma imagem da mídia a ser analisada. Para isso deve desligar
o computador diretamente da tomada, e não efetuar o desligamento correto41, pois
este procedimento realiza alterações nos arquivos, como a data e hora, por exemplo.
Ao iniciar o computador, deve-se utilizar alguma ferramenta que permite realizar a
inicialização a partir de um cd-rom, como citado nas ferramentas neste capítulo, para
não haver qualquer alteração nos arquivos do computador analisado.
Antes de iniciar a coleta dos dados e geração da cópia para ser utilizada para
análise, deve-se seguir uma metodologia na qual é necessário, respeitar a ordem de
volatilidade para a coleta das evidências. Caso essa ordem não seja seguida
algumas provas podem ser perdidas, pois uma ação fora de ordem pode alterar ou
até apagar outros registros. “A coleta de informações deve seguir a risca a ordem de
volatilidade em que os dados estão armazenados, indo dos dispositivos mais
39
“Durante um incidente, dificilmente conseguimos determinar, devido à pressão natural em tal situação, qual a
melhor atitude a ser tomada, já que as ações devem ser decididas rapidamente. Temos que ter em mente que
qualquer procedimento executado de forma errada pode destruir as provas obtidas ou invalidá-las perante um
tribunal”, segundo Pellegrini; Bertacchi e Vita (2005, p.10).
40
Memória RAM é aquela na qual os dados são colocados para terem maior ganho de performance, mas ao
desligar o computador, todos os dados contidos nessa memória são perdidos. Por isso é volátil.
41
Quando um computador é desligado corretamente, ou seja, no caso do sistema operacional Windows, ao clicar
em iniciar e depois desligar, será executado um procedimento padrão que consiste no fechamento de todos os
arquivos abertos, encerramento das conexões existentes, parada dos serviços em execução e qualquer outra
ação que o sistema julga correto para o desligamento. Para os procedimentos do perito esse desligamento não é
interessante, pois ao fechar os arquivos eles serão modificados nesta hora prejudicando algumas análises.
36
voláteis para os menos voláteis”, segundo Pelegrini, Bertacchi e Vita (2005, p.11),
como se segue:
1 – Registradores e memória cache.
2 – Tabela de roteamento, tabela arp e de processos, conexões estabelecidas
e pendentes e portas de comunicação abertas.
3 – Sistemas de arquivos temporários.
4 – Discos rígidos.
5 – Registro e monitoramento dos dados relevantes para o sistema
comprometido.
6 – Configuração física e topologia da rede.
7 – Mídia de backup (Pelegrini; Bertacchi; Vita, 2005, p.11).
Os itens de 1 a 3 devem ser realizados com a máquina ainda ligada e os
demais, após a geração da imagem, pois é em cima da cópia da imagem que devem
ser realizados todos os procedimentos em busca das provas.
Além de seguir a ordem mencionada acima, outros procedimentos devem ser
seguidos para garantir a integridade e a validade das evidências. São eles:
•
Caso a máquina esteja ainda ligada, o perito deve realizar a extração
da imagem da tela do computador através de registro fotográfico, que pode servir
como prova caso esteja com algum programa aberto ou alguma operação sendo
realizada ou finalizada com informações importantes.
•
O perito deve utilizar apenas ferramentas trazidas com ele e não as
que possam existir na mídia a ser analisada, pois podem estar alteradas para
realização de uma instrução diferente do padrão da ferramenta.
•
Ele também não deve utilizar ferramentas que possam alterar as datas
de último acesso dos arquivos existentes.
•
Todos os procedimentos realizados com o objetivo de obtenção de
provas devem ser feitos mediante testemunhas para garantir que não tenha perda
de validade legal42.
42
O termo legal está relacionado com a legislação do país.
37
•
Devem ser respeitados os direitos de privacidade não expondo dados
confidenciais para pessoas que não teriam acesso a essas informações de outra
maneira.
•
Todo o processo para obtenção das provas deve ser bem
documentado para que, se necessário, um outro perito possa refazer todos os testes
para comparar o resultado final em caso de dúvidas ou contestações. A data de
início e término dos procedimentos também deve ser documentada e o nome das
pessoas que manipularam as informações, bem como o local, também devem ser
registrados.
•
A guarda de todo o material analisado deve ser feito em local seguro e
deve-se provar que apenas pessoas autorizadas, sendo um número restrito, possam
ter acesso a elas.
•
De posse de todos os dados o perito inicia os trabalhos utilizando a
imagem criada com a cópia fiel do sistema analisado. Para conseguir construir o
cenário no momento do incidente, ele inicia a busca pelas provas analisando:
ƒ
Os arquivos de registro.
Devem ser analisados todos os arquivos de registro da máquina
mesmo que eles possam ter sido alterados pelo fraudador. Para
essa análise são utilizadas ferramentas específicas para cada
tipo de registro.
ƒ
O sistema de arquivos.
O sistema de arquivos deve ser analisado verificando os
possíveis arquivos e pastas excluídas na tentativa de recuperar
tudo
o
que
for
possível
utilizando-se
de
ferramentas
especializadas nesse tipo de processo.
ƒ
Arquivos criptografados.
São informações cifradas utilizando uma chave secreta que
deve ser utilizada para a decifragem da mensagem. Devido ao
fato de ser secreta, e o perito provavelmente não ter
conhecimento dela, são utilizadas outras técnicas como, por
exemplo, força bruta.
38
ƒ
Arquivos esteganografados
São arquivos de imagem que possuem informações escondidas
utilizando-se de bits menos significativos, que por isso não
alteram a qualidade da imagem visivelmente. Há ferramentas
para detecção dessas informações que são detalhadas no
capítulo 3.
ƒ
Procura por rootkits.
Trata-se de um conjunto de ferramentas, com a funcionalidade
de ajudar o fraudador a apagar as pistas e também a criar
condições para que ele possa atacar novamente o sistema. Está
explicado em detalhes no capítulo 3.
ƒ
Busca por detalhes dos processos que estavam sendo
executados, tabela de roteamento43, tabela arp44, memória
cache45.
Neste procedimento o perito utiliza ferramentas específicas para
determinar os processos (programa em execução) que estavam
ativos e quais informações estão contidas nas tabelas de
roteamento e arp e qual o conteúdo da memória cache.
ƒ
Verificação se os executáveis estavam realizando tarefas fora
do padrão (engenharia reversa).
Este procedimento consiste em localizar programas executáveis
no sistema analisado, que podem estar escondidos e convertêlos para o sistema binário com a intenção de verificar qual a
função que o código tem como objetivo realizar. É basicamente
voltar o programa final para código fonte, o que seria o
procedimento contrário da criação de um programa.
43
Tabela de roteamento fica localizada no computador e é utilizada para encaminhar a mensagem/informação de
uma rede à outra. Para que o computador saiba para onde deve encaminhar a mensagem ele deve consultar a
tabela de roteamento para determinar o destino que a mensagem deve percorrer.
44
Tabela arp é utilizada pelo computador para associar o endereço de máquina de um equipamento na rede com
seu endereço IP.
45
Memória de alta velocidade, criada para acompanhar o desempenho do processador.
39
É possível verificar que o trabalho de um perito na área de computação é
delicado e exige bastante atenção, conhecimento das técnicas e do sistema
operacional, dos procedimentos e metodologia utilizada, pois uma operação feita
erroneamente pode causar conseqüências graves e perda definitiva de possíveis
provas.
Na realização da perícia em uma máquina que já esteja desligada, várias
informações, possivelmente importantes, já terão sido perdidas, restando ao
profissional a busca pelas evidências sobre os dados não voláteis.
Em relação a ferramentas, há uma grande quantidade utilizada para
diagnósticos, recuperação de dados e diversos tipos de análises feitas no sistema
operacional a ser analisado. Neste trabalho as ferramentas mostradas são de uso,
não somente, no sistema operacional Windows.
Abaixo segue uma breve descrição de algumas utilizadas por peritos para
obtenção de evidências em uma fraude:
4.1 Forensic and Incident Response Environment (Fire)
É uma ferramenta que também possui o recurso de live-cd46 e pode ser
utilizada para resposta a incidentes, recuperação de dados de partições perdidas,
procura por vírus e vulnerabilidades, pois prepara o ambiente para a realização
dessas tarefas. Devido a esse recurso a ferramenta provê maior segurança na
integridade dos dados, pois pode ser utilizada sem modificar qualquer informação na
máquina analisada. Pode ser encontrada em http://fire.dmzs.com/.
4.2 Trinux
Trata-se de uma ferramenta, localizada em http://www.trinux.org, que fica
armazenada em 3 disquetes, ou em um cd, e traz consigo vários softwares como
tcdump, ntop, nmap, iptraf, netcat e vários outros incluindo sniffers, scanners que
46
Live-cd é um cd que contém um sistema operacional linux que não precisa ser instalado para ser utilizado.
Basta reiniciar o computador com o cd dentro da unidade de leitura que é possível utilizar o sistema operacional
como se estivesse instalado no disco rígido do computador.
40
buscam por vulnerabilidades que são utilizados para diagnóstico da rede, backup e
recuperação de dados, entre outros. Assim como outros utilitários citados, ele
também se utiliza apenas da memória RAM, ou seja, nada é alterado no disco rígido
da máquina, preservando assim a integridade dos dados.
4.3 The Sleuth Kit (TSK)
Antigamente conhecida como TASK, é um conjunto de ferramentas que pode
ser utilizado em sistema linux e Windows para recuperação de arquivos apagados.
Além de ser gratuito, seu código é aberto e possui o recurso de live-cd que permite
gerar um cd de boot capaz de carregar a ferramenta sem necessidade de ser
instalada no sistema operacional da máquina analisada. O download pode ser
encontrado em http://www.sleuthkit.org/sleuthkit/.
4.4 Autopsy Forensic Browser (AFB)
Ferramenta utilizada em conjunto com a TASK para prover interface gráfica,
sendo também gratuita e de código aberto. Com essa ferramenta, encontrada em
http://www.sleuthkit.org/autopsy/index.php, é possível visualizar de maneira mais
amigável os dados apagados, detalhes de arquivos e estrutura de arquivos, através
de qualquer visualizador HTML.
4.5 Cygwin Tools
Essa ferramenta é um ambiente de compilação, utilizada para fazer uma
transferência de programas baseados em linux/unix para a plataforma Windows.
Com ele é possível executar utilitários e comandos feitos somente para linux, em um
ambiente Windows, transformando (compilando) esses utilitários em programas
reconhecidos pelo Windows, com extensão .exe, por exemplo. É possível utilizar
41
tanto a linha de comando (shell) do Windows quanto do linux e pode ser encontrada
e obtida em http://sources.redhat.com/cygwin/.
4.6 MS-Diskedit
Essa ferramenta faz parte do service pack 4 do Windows NT, é integrante do
pacote SDK (Software Development Kit) e pode ser encontrado e baixado no
endereço:
http://www.microsoft.com/downloads/details.aspx?familyid=3755582A-
A707-460A-BF21-1373316E13F0&displaylang=en. Ela consegue explorar com
detalhes de informações, a estrutura de um disco NTFS permitindo visualizar os
atributos dos dados em hexadecimal.
4.7 MD5summer
Usado para geração de hash, essa ferramenta, é gratuita, baseada em
sistema linux, e pode ser encontrada em http://www.md5summer.org/. Para garantir
que uma cópia de um sistema de arquivos, uma imagem ISO, é realmente íntegra,
ou seja, foi copiado fielmente, se utiliza ferramentas deste tipo, que geram e
verificam checksum MD547.
4.8 Strings
Essa ferramenta é capaz de localizar uma string em um determinado arquivo
que programas baseados em ASCII não conseguiriam encontrar como o comando
grep do linux ou outro programa que busca por caracteres ASCII.
Com a ferramenta strings é possível localizar uma determinada string a partir
de arquivos executáveis, do tipo UNICODE ou ASCII, funcionando também em
Windows 95. É interessante para saber quais comandos e instruções um
47
MD5 é uma função de hash. É gerado um valor baseado no tamanho do conjunto de dados. A partir da cópia,
é gerado novamente esse valor e comparado com o original para certificar-se de que se trata de uma cópia
íntegra.
42
determinado executável está programado para realizar.
Pode-se obter mais
detalhes e efetuar o download em www.sysinternals.com/files/strings.zip.
4.9 FTK (Forensic Toolkit)
Trata-se
de
uma
ferramenta
(http://www.accessdata.com/products/ftk/),
comercializada
com
o
valor
pela
Access
aproximado
de
Data
U$S
1,000.00. Tem como funcionalidades, dentre outras: recuperar arquivos excluídos e
partições, gerar registros para auditoria e relatórios e possui um algoritmo poderoso
de busca por binários padrão, e-mails, mensagens e anexos. Realiza recuperação
de senhas, gera hash, analisa arquivos compactados, ou seja, em resumo, realiza
vários tipos de exames no sistema.
4.10 ImageMASSter Solo-3
Existem ainda soluções que não são apenas um software e sim um hand-held
específico para essa finalidade de perícia forense computacional. É o caso do kit
chamado ImageMASSter Solo-3 Forensic kit, que trata-se de um kit com hardware e
uma maleta com vários dispositivos e acessórios, com valor de venda aproximado
de US$ 4.000,00.
Com esse kit é possível capturar os dados suspeitos numa velocidade de 3
GB por minuto garantindo a integridade dos dados, realizar hash com MD5 ou
CRC32, proteger os dados originais contra operação de gravação, transferir dados
simultâneos de 2 discos suspeitos, dentre outros recursos.
É comercializado pela empresa Intelligent Computer Solutions e detalhes
podem ser vistos no endereço http://www.icsforensic.com/.
4.11 ENCASE
43
É uma ferramenta desenvolvida pela Guidance Software, encontrada em
detalhes no endereço www.encase.com, que abrange muitos recursos, gráficos,
voltados para a análise forense como: recuperação de dados perdidos ou apagados
no computador apreendido, protegendo os dados contra escrita, não realizando
alterações nos discos originais e sim, criando discos virtuais.
É possível criar uma imagem das diversas unidades de armazenamento na
máquina e reuní-las para realizar as pesquisas de maneira integrada e simultânea
com todas as unidades. Pode ser visualizado remotamente a partir da rede ou
interface paralela, verifica assinaturas criptográficas, possui vários recursos de
busca e filtragem por expressões e palavras chave, possibilidade de pesquisar no
registro do Windows, entre outros.
Diante de tantas ferramentas disponíveis e outras existentes, mas que não
foram citadas, pois são vastas, percebe-se que não é recomendada a escolha por
uma ou outra, pois várias delas devem ser utilizadas em conjunto para obtenção de
todas as informações possíveis diante do sistema analisado. Caso tenha que ser
escolhida uma ferramenta que tem o mesmo objetivo final de recuperação ou
diagnóstico, por exemplo, deve-se dar preferência por aquelas que são executadas
em cd ou disquete, preservando assim os dados contidos no disco analisado.
Outros pontos que devem ser relevantes são: a facilidade de uso e interface
amigável, caso as ferramentas em questão tenham esse diferencial, o suporte do
fabricante, as opções de customização48, preço, integração com outras ferramentas,
de relatório, por exemplo.
Com a utilização dessas ferramentas, levantamento e armazenamento das
provas, o profissional deverá partir para a tentativa de identificação da autoria do
crime cometido. Com base nessas provas ele começará as investigações e precisará
contar com a ajuda dos provedores de Internet que devem manter informações
importantes em seus arquivos de registros e com a colaboração de outros países em
caso de acessos derivados de provedores internacionais. No capítulo que se segue,
será possível entender mais sobre esses procedimentos e dificuldades encontradas
pelos investigadores.
48
Customização de um software é a flexibilidade que ele possui de deixar o profissional adequá-lo para melhor
atingir seu objetivo, através de escolhas de opções que estão disponíveis quando um software é criado
permitindo essas configurações personalizadas.
44
5. COMO IDENTIFICAR A AUTORIA DE CRIMES
A identificação de autoria de um crime virtual ainda é uma tarefa complexa e
precisa de uma investigação minuciosa, pois qualquer informação pode ser uma
pista importante. Muitas vezes uma máquina que não contenha vestígios de um
ataque, pode ter sido atacada ou é possível ocorrer o contrário, uma máquina que
pareça ter sido atacada, mas não foi.
Devido a não existência de uma lei específica obrigando os provedores de
Internet no Brasil a manterem um registro detalhado, de todos os acessos e
conexões realizadas, há um significativo prejuízo nas investigações realizadas. A
falta de arquivos de registros que deveriam ser armazenados pelos provedores
dificulta a investigação da autoria do ataque ou fraude, pois elimina possíveis pistas
e provas importantes para o início das atividades do investigador.
Em qualquer tipo de conexão à Internet, seja via ADSL49, rádio, wireless50, é
possível detectar qual o provedor foi utilizado e as informações referentes à
autenticação do usuário, pois necessita de uma identificação única para liberar o
acesso. Mesmo em conexões realizadas através de linha telefônica o provedor
consegue manter um registro também do número do telefone utilizado para a
conexão.
Segundo COSTA, “Para acessar a Internet, qualquer pessoa precisa
conectar-se a um provedor utilizando uma conta de acesso formada pelo nome de
usuário e senha. No ato da conexão, o provedor atribui um endereço IP ao usuário,
que o utilizará até encerrar a conexão. Através do endereço IP, o provedor registra
cada acesso do usuário, guarda seu nome de usuário, data e hora da conexão e
desconexão” (2004, p.01).
“Quando o acesso é feito através de ligação telefônica, os provedores
também guardam, por meio de um sistema de identificação de chamadas, o número
do telefone utilizado para estabelecer a conexão, o que garantiria a identificação em
provedores gratuitos que utilizam uma conta padrão para o acesso à Internet” (2004,
p.01).
49
ADSL (Asymmetric Digital Subscriber Line) é o tipo de acesso à Internet banda larga muito utilizado, pois além
de ser mais veloz que o acesso via conexão por linha telefone, permite que a linha telefônica fique desocupada e
não gera gastos de pulsos telefônicos, visto que não realiza ligações.
50
Wireless é o termo utilizado para especificar uma conexão sem fio. Atualmente vários provedores oferecem
essa conexão seja em aeroportos, livrarias, shoppings, hotéis e outros.
45
Assim que detectada uma fraude e obtidas as informações referentes ao
provedor utilizado para a conexão com a Internet (através do endereço IP de origem
da fraude, ataque ou e-mail fraudulento enviado), a polícia recorre à Justiça em
busca de uma ordem judicial solicitando os arquivos de registros junto ao provedor, a
fim de conseguir identificar informações relativas à conta utilizada para conexão, que
recebeu o IP naquele momento do envio do e-mail.
O problema é que mesmo de posse de uma ação judicial, determinando que o
provedor deva disponibilizar os arquivos de registros, os mesmos alegam não
possuir mais essas informações referentes ao período solicitado, pois já foram
substituídos por arquivos mais recentes, devido à falta de espaço em disco ou de
mídias de armazenamento. Como não é obrigatório por lei, os provedores não são
responsabilizados por essa falta de armazenamento de possíveis provas importantes
(COSTA, 2004, p.01).
Para que a investigação em busca da identidade do autor do crime seja cada
vez mais eficaz e consiga desvendar grande parte dos crimes cometidos, é
necessário também, que haja uma interação entre as polícias de todos os países.
Além dessa cooperação entre os países é necessária a redução no tempo de
solicitação de arquivos de registros, pois devido a essa demora em conseguir uma
ação judicial que permita a polícia solicitar os arquivos e logs51, perante os
provedores de acesso à Internet, os dados são perdidos, pois as mídias contendo os
arquivos de datas mais antigas vão sendo substituídas por registros mais novos.
Essa demora ocorre tanto para solicitação de informações aos provedores de
acesso à Internet dentro do país quanto para aqueles localizados fora, pois os
procedimentos necessários para liberação desse pedido têm um tempo demorado
dentro do país e para ter acesso aos registros pertencentes a provedores no exterior
é necessária emissão de Carta Rogatória52 que também leva um tempo para ser
51
Log (do verbo em inglês to log que significa documentar) é o nome dado para os arquivos criados nos
sistemas de computador para registrar e documentar as ações ocorridas nesse sistema. É possível configurar o
registro desses logs com as informações importantes que o administrador do sistema deseja. Eles são criados
com informações de data e hora, dentre outras.
52
É a carta expedida pelo juiz quando dirigida à autoridade judiciária estrangeira para cumprimento de atos
processuais no território estrangeiro. Tem como requisitos essenciais: a indicação dos juízes de origem e de
cumprimento do ato; o inteiro teor da petição, do despacho judicial e do instrumento do mandato conferido ao
advogado; a menção do ato processual, que lhe constitui o objeto; o encerramento com a assinatura do juiz. Veja
Arts. 201 e seguintes do Código de Processo Civil – DIREITONET – Dicionário jurídico. Disponível em: <
http://www.direitonet.com.br/dicionario_juridico/x/57/77/57/> Acessado em 26/09/2006.
46
emitida. Tempo esse que supera o obrigado por lei nos outros países para
armazenamento dos registros (SILVA, 2004, p.171).
Mesmo que o provedor de acesso à Internet localizado no exterior tenha uma
filial no Brasil, não é isenta a necessidade de emissão de Carta Rogatória, pois pode
haver alegação do provedor de que as informações solicitadas estejam
armazenadas nos provedores situados fora do país (SILVA, 2004, p.171).
Há uma proposta brasileira com o objetivo de resolver esse problema que
consiste na criação de uma cooperação entre todos os países visando agilizar a
disponibilização de provas e criando uma “nacionalização de evidências”. Segundo
SILVA, “A proposta brasileira consiste no estabelecimento de cooperação
hemisférica, por meio da adoção de mecanismos ágeis no combate aos delitos
cibernéticos, especialmente aos que tem repercussão internacional. Os mecanismos
propostos procuram evitar, sempre que possível, todos os procedimentos
burocráticos e morosos, incompatíveis com a velocidade que experimentam os
crimes cibernéticos e com a agilidade dos criminosos do espaço cibernético” (2004,
p.171).
Um episódio ocorrido com o site do Google, no ano de 2006, foi bastante
comentado, pois, devido à criação de um grande número de comunidades no Orkut
(site de propriedade da empresa Google) com apologias a drogas, racismo,
pornografia infantil e outros crimes, a Polícia Federal solicitou ao Google Brasil que
disponibilizasse mais informações sobre contas e usuários para ajudá-los na
investigação e chegar até os criminosos virtuais responsáveis pela criação das
comunidades (OLIVEIRA, 2006, p.01).
O Google Brasil não forneceu essas informações e alega não possuí-las, pois
são de propriedade da matriz nos EUA e por isso não teria como cumprir com esse
pedido, visto que as leis brasileiras não se aplicam nos EUA (OLIVEIRA, 2006,
p.01). Trata-se de um caso de grande repercussão, mas provavelmente muitos
outros problemas desse mesmo caráter devem ter ocorrido quando é necessário
obter informações armazenadas em território estrangeiro.
No entanto, partindo do suposto de que o provedor tenha os dados e coopere
com a polícia é possível uma maior colaboração no rastreamento através das
informações disponibilizadas.
“Por exemplo: um cidadão recebe um e-mail anônimo ameaçando-lhe a vida.
Ameaça, independente do meio pela qual é feita, é ilícito penal tipificado no art. 147
47
do Código Penal. O texto do e-mail – e seu cabeçalho – servem como prova do fato
típico. Por meio desta prova é possível localizar a origem do e-mail. Se o e-mail foi
anônimo do ponto de vista técnico da Informática, existirá nele um número de origem
chamado IP o qual poderá ser utilizado para rastrear o emissário do e-mail”,
conforme Foina e Reis (2003, p.01).
É neste ponto que entram as informações muito valiosas que devem estar
armazenadas nos provedores de acesso à Internet, que são os arquivos de
registros, ou logs.
“É por meio da inspeção desses longos registros de tráfego, denominados
“logs” que o perito poderá afirmar de que servidor veio o e-mail, em que horário e por
qual linha telefônica. Conseguido isso, o Juiz pode solicitar à companhia telefônica
que identifique o número do telefone que estava enviando o e-mail naquele horário
bem como fornecer o endereço do local da instalação da linha para que o policial
possa diligenciar-se até o local e inquirir as pessoas que lá residem quanto ao
indivíduo que estava utilizando computador em data e hora certa, e pronto,
localizamos o autor de nossa ameaça”, segundo FOINA e REIS (2003, p.02).
Não é somente com a finalidade de rastrear um e-mail que são utilizados
esses procedimentos, mas um ataque a um servidor de uma empresa também ou a
um computador para roubo de senha ou outras informações, pois sempre que
houver um registro com o IP de origem é possível iniciar uma investigação, sendo
que esse é um ponto de partida para a descoberta da autoria do ataque.
Especificamente no âmbito de fraudes bancárias deve-se analisar o
computador da vítima que teve seu dinheiro desviado para colher informações e
arquivos de registros em busca de endereço IP de origem para iniciar as buscas.
Se o crime foi efetuado a partir de um computador de um cyber-café ou uma
lan-house, ao contrário do que se pensa não é impossível um rastreamento. É claro
que a investigação pode ser mais complexa, mas ainda assim há rastros para
tentativa de identificação. Por exemplo, o fraudador muitas vezes ao iniciar o uso no
computador pode querer ler seus e-mails particulares, trocar informações com outros
fraudadores como telefone, endereço, conversas em bate-papo que tenham mais
informações importantes ou consultar algum outro site que tenha solicitado
autenticação do mesmo. Se isso foi feito, algum tipo de identificação, seja usuário e
senha, endereço de e-mail, algum arquivo aberto, data e hora do acesso, ou outras
48
informações poderão ficar gravadas no computador, oferecendo a polícia uma pista
para início das investigações.
No entanto nem todos os estabelecimentos que disponibilizam acesso a
Internet realizam um cadastro do usuário com informações pessoais e apresentação
de documentos. Essa falta de documentação prejudica as buscas, mas partindo-se
do pressuposto de que foi realizado um cadastro, e as informações são verídicas a
polícia pode relacionar todas as pessoas que fizeram uso dos computadores na data
e hora em que foi cometida a fraude e iniciar uma busca com os possíveis suspeitos.
Mesmo em caso de apresentação de documentos falsos já é uma pista, pois a
polícia pode tentar descobrir em que outros estabelecimentos essa pessoa pode ter
utilizado esses mesmos documentos.
Ao ter alguns nomes suspeitos a polícia pode utilizar os mesmos recursos das
investigações de crimes no mundo real, como instalar uma escuta telefônica nos
telefones utilizados pelas pessoas suspeitas, realizar investigações da vida pessoal
e profissional, seguir os passos em busca de ligações com outras pessoas, e outros
procedimentos rotineiros de investigadores de polícia.
Atualmente não há uma lei nacional tornando obrigatório o cadastro de
usuários pelos estabelecimentos de provimento de acesso à Internet. No Estado de
São Paulo, este ano, foi sancionado a Lei nº 12228/06 (L12228/06, 2006, p.01) que
torna obrigatório o cadastro, no entanto, a nível nacional há apenas um Projeto de
Lei para regularizar esse procedimento, como está detalhado no próximo capítulo.
Outros métodos são utilizados para prejudicar o trabalho de rastreamento da
polícia em busca da origem e autoria de uma mensagem. Por exemplo, um
fraudador pode configurar um servidor proxy53 em sua máquina, fazendo com que
todas as conexões originadas de sua máquina passem pelo proxy. Ao chegar ao
destino, o endereço IP que consta como remetente ou origem será o IP do servidor
proxy que pode estar em qualquer país, dificultando o rastreamento, pois para saber
o IP real da origem, é necessário que o responsável pelo servidor de proxy
disponibilize essa informação.
53
Um servidor proxy disponibiliza o serviço de navegação para as máquinas em uma rede local. Com isso ao
realizar uma conexão com a Internet, a máquina da rede local se conecta primeiro ao servidor proxy. Este, por
sua vez substituirá o endereço IP da máquina origem, pelo IP dele. Com isso a máquina de destino entende que
a conexão originou do IP do proxy, deixando a máquina de origem oculta. Apenas o servidor proxy sabe o IP da
máquina de origem.
49
Computadores infectados com determinado código malicioso podem permitir
que um fraudador consiga acesso total a ele utilizando-o como se estivesse na frente
dele, realizando acessos que ficarão registrados como saindo desse computador
infectado e não do fraudador que está manipulando essa máquina. Isso dificulta o
rastreamento, já que o acesso para a realização de uma fraude veio dessa máquina,
mas quem efetuou o crime não foi o dono dela, pois estava servindo apenas como
intermediária nesse processo. Se logo depois do ataque, o fraudador conseguiu
limpar os rastros e os arquivos de log, a localização dele ficará mais difícil de ser
realizada.
É possível verificar que da mesma maneira que há várias técnicas para
prejudicar ou atrapalhar as investigações, também há os pontos positivos, pois
mesmo que o fraudador tente pensar em várias maneiras para eliminar as pistas, ele
pode acabar esquecendo algum detalhe. A frase já conhecida de que não existe
crime perfeito também se aplica para o ambiente virtual, já que o fraudador
fatalmente deixa rastros, que devem ser localizados e analisados pelos peritos que
podem fazer uso para chegar a provas mais concretas.
De posse das provas e da identificação da autoria do crime, o fraudador pode
ser enquadrado em algumas leis existentes para ser condenado. No capítulo
seguinte estão relacionadas algumas leis utilizadas na atualidade para julgamento
de crimes virtuais e diversos Projetos de Lei que visam melhorar o enquadramento
dos crimes deixando mais específicas às ações consideradas delitos no mundo
virtual.
50
6. LEIS E PROJETOS DE LEIS
Ainda não há uma lei específica abordando crimes digitais, mas são aplicadas
as leis existentes que podem ser interpretadas para o meio digital. Os crimes digitais
têm sido enquadrados na lei com os itens como: estelionato, formação de quadrilha,
quebra de sigilo, dano, escuta telemática, entre outros.
Abaixo estão relacionadas algumas leis utilizadas para punir os criminosos
digitais:
Lei nº 9296: é crime uma pessoa interceptar ou apenas monitorar tráfego de
comunicação de outra pessoa sem possuir uma autorização judicial.
“Art.10. Constitui crime realizar interceptação de comunicações telefônicas, de
informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou
com objetivos não autorizados em lei” (L9296/96).
Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para
conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele
precisará interceptar ou monitorar o tráfego de Internet para roubar as informações
quando a vítima digitar ou enviar para outra pessoa.
O acesso às informações pessoais da vítima, seja descobrindo sua senha
para acessar seus e-mails, invadindo servidores para busca de informações pessoas
de uma pessoa ou um grupo, ou apenas com a intenção de analisar o tráfego em
uma rede privada, com o auxílio de ferramentas de monitoração de tráfego de rede,
pode ser classificado como infração do artigo em questão, pois em um tráfego de
uma rede provavelmente terão muitos dados privados ou até secretos, como senhas.
A criação de cookies54 na máquina de um usuário que tem como função o
monitoramento do hábito de navegação das pessoas pode ser classificada neste
artigo, pois se trata de violação de privacidade.
Lei nº 2848 no artigo 153 "Divulgar alguém, sem justa causa, conteúdo de
documento particular, ou de correspondência confidencial, de que é destinatário ou
detentor, e cuja divulgação possa produzir dano a outrem" (L2848/40).
54
Cookies são arquivos enviados por algum servidor ou site visitado e ficam armazenados na máquina, podendo
ter como função, a análise dos hábitos do usuário para se beneficiar com essa informação de alguma maneira,
sendo uma delas o envio para empresas que comercializam produtos de interesse do usuário.
51
Há certos vírus que tem como característica enviar e-mails para as pessoas
do catálogo de endereços da vítima, com trechos de e-mails enviados ou recebidos
por outras pessoas ou colocar no corpo da mensagem fragmentos de textos que
podem ser confidenciais.
Neste caso o criminoso responsável pelo envio do e-mail poderia ser punido
com base neste artigo, pois estaria divulgando informações confidenciais, sigilosas
ou simplesmente particulares.
Lei nº 2848 no artigo 155 “Subtrair, para si ou para outrem, coisa alheia
móvel" (L2848/40).
Quando um fraudador obtém, de forma ilícita, os dados e a senha da vítima e
realiza um desvio de dinheiro de contas bancárias, está cometendo um delito que
pode ser classificado nesse artigo, pois se trata de um furto.
Se houver destruição ou rompimento de obstáculo para o roubo da
informação, ou se a vítima de alguma maneira facilitar o acesso às informações
devido a confiança que tem no ladrão, ou quando o roubo é feito mediante tentativa
de enganar a vítima são várias maneiras de conseguir o sucesso no furto e pode
gerar uma ação judicial baseada neste artigo.
Lei nº 2848 no artigo 156 “Subtrair o condômino, co-herdeiro ou sócio, para
si ou para outrem, a quem legitimamente a detém, a coisa comum" (L2848/40).
Quando o atacante obtém arquivos, dados pessoais confidenciais ou qualquer
outra informação que seja pessoal e sigilosa, ele pode ser enquadrado nesse artigo,
pois se caracteriza um roubo, visto que a vítima não deixou explícito que concordava
com isso.
Lei nº 2848 (1940) no artigo 163 “Destruir, inutilizar ou deteriorar coisa
alheia" (L2848/40).
O fraudador que criar ou propagar um vírus destruidor, que formate o HD ou
destrua os arquivos pessoais da vítima, pode ser punido com base neste artigo.
Não apenas vírus, mas outros códigos maliciosos como spywares, cavalos de
tróia, worms, keyloggers, ou alterações em arquivos do sistema operacional podem
destruir o computador da vítima.
52
Por exemplo, através de um cavalo de tróia enviado por um fraudador, outros
atacantes podem se aproveitar desse código malicioso instalado para abrir as portas
de comunicação da vítima podendo além de roubar informações, enviar comandos
para destruir todos os dados contidos no computador.
Se um hacker realizar um ataque de negação de serviço55, invadir um sistema
de informática de uma empresa, ou um computador pessoal e realizar algum dano,
que inviabilize o funcionamento do sistema operacional ou de algum programa de
computador específico, interromper os serviços do antivírus e outros softwares de
segurança, ele pode ser classificado neste artigo, pois fatalmente vai gerar algum
dano para o sistema de informática atacado.
Há alguns ataques a redes de empresas, realizadas a pedido de outra
empresa concorrente, que tem a intenção de alterar dados verdadeiros para
prejudicar de diversas maneiras a empresa atacada devido ao fato da empresa
poder tomar decisões baseadas em dados errôneos. Esse ato pode ser classificado
neste artigo.
Lei nº 2848 (1940) no artigo 171 “Obter, para si ou para outrem, vantagem
ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício,
ardil, ou qualquer outro meio fraudulento" (L2848/40).
A obtenção de vantagens sendo através de roubo de senha, cartão de
crédito, acarretando desvio de dinheiro pode ser enquadrado nesse artigo, pois
esses crimes visam o benefício financeiro do criminoso.
No estelionato o fraudador engana a vítima com o objetivo de conseguir
vantagem patrimonial indevida acarretando em prejuízo, por isso muitos phishings
são enviados trazendo um texto na tentativa de iludir a vítima para, que a mesma
acesse o link recebido no scam. Com isso, se for um site de banco, essa pessoa
digitará sua senha em um ambiente fraudulento, levando essa informação ao
conhecimento do fraudador.
Devido a ele ter se utilizado de mentiras para induzir a vítima a fornecer seus
dados, seja num link de banco ou outro qualquer, que se trate de uma fraude, pode
ser classificado neste artigo, pois se caracteriza um estelionato.
55
Ataque de negação de serviço consiste no objetivo do atacante de parar algum serviço disponibilizado no
servidor, por exemplo, serviço de web de algum site. Após o ataque obter sucesso, as pessoas não conseguirão
acessar o site disponível em tal servidor, pois o serviço de web estará desativado ou fora do ar.
53
Lei nº 2848 (1940) no artigo 307 “Atribuir-se ou atribuir a terceiro falsa
identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano
a outrem" (L2848/40).
Quando um fraudador obtém a senha de alguma pessoa e a utiliza se
fazendo passar pela pessoa, dona da senha, ele está realizando um crime, previsto
nesse artigo, pois fingir ser uma pessoa é se atribuir de falsa identidade.
O envio de e-mails, forjando a identidade de outra pessoa, também pode ser
enquadrado nesta lei, pois se trata de utilização de falsa identidade, o que leva o
remetente a abrir o e-mail, provavelmente carregando código malicioso, confiandose na identidade do remetente.
Outra situação de enquadramento neste artigo refere-se à informação de
dados falsos ao realizar uma compra em alguma loja virtual. Como se trata de um
cadastro de dados pessoais, sendo possivelmente criada uma cobrança no nome do
cliente, a informação de dados falsos pode ser considerada crime.
Lei nº 2848 (1940) no artigo 288 “Associarem-se mais de três pessoas, em
quadrilha ou bando, para o fim de cometer crimes" (L2848/40).
O crime de quadrilha ou bando configura-se quando mais de três pessoas, ou
seja, no mínimo quatro pessoas, se organizam para a prática do crime.
Se quatro ou mais pessoas se unem para a prática de um crime de
informática, por exemplo, o desvio de dinheiro de várias contas em um banco, todos
podem ser enquadrados com base neste artigo, pois se trata de uma união estável
de quatro pessoas com o mesmo propósito, de cometer aquele crime juntos.
Lei nº 2848 (1940) no artigo 313-A “Inserir ou facilitar, o funcionário
autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados
corretos nos sistemas informatizados ou bancos de dados da Administração Pública
com o fim de obter vantagem indevida para si ou para outrem ou para causar dano"
(L2848/40).
Podem ser classificados neste artigo, os funcionários autorizados que inserem
ou facilitam a inserção de dados falsos, ou que exclui ou altera dados corretos em
um sistema de banco de dados da Administração Pública.
54
Um exemplo disso é o caso do estagiário, estudante de direito, George
Moreira Filho, que desviou três milhões de reais do INSS através de inserção de
dados falsos realizando transações que beneficiavam seus familiares e amigos, com
senhas de outros servidores, que ele descobriu de alguma forma (DACAUAZILIQUÁ,
2005, p.01).
De acordo com Lentulus, uma das alegações do réu pode ser o argumento de
que sua máquina estava comprometida por vírus e conseqüentemente não apenas
ele poderia ter cometido o crime, mas algum invasor que aproveitou de
vulnerabilidades para tomar o controle do computador e realizar o delito: “No
julgamento de casos recentes os réus levantaram novas linhas de defesa, baseadas
em questões técnicas de difícil solução. Em um dos casos mais famosos, julgado por
uma corte da Inglaterra no ano passado, o réu foi absolvido da acusação de ter
atacado o servidor de uma empresa. Ele alegou que seu computador foi tomado por
um vírus do tipo trojan e, dessa forma, utilizado remotamente por um terceiro para o
cometimento do crime“ (2005, p.05).
Neste capítulo foram citadas apenas algumas leis, nas quais o criminoso
virtual pode ser enquadrado, mas há várias outras leis que podem ser utilizadas para
a finalidade de punição de crime virtual.
Não foram citadas leis específicas de delitos como: calúnia, difamação,
injúria, pornografia, ameaça, pirataria, direitos autorais, pedofilia entre outros, pois
fogem do contexto do trabalho que objetiva a fraude através invasão de
computadores e sistemas, feitos por fraudadores com intenção de desvio de dinheiro
e outros danos de cunho financeiro.
O aumento de tentativas de fraudes é uma realidade segundo o jornal
Estadão: “No terceiro trimestre de 2006, administradores de rede indicaram um
aumento de 20% em ataques de vírus e tentativas de invasões, em relação ao
trimestre anterior”. (2006, p.01).
Decorrente disso deveria ter uma maior agilidade para transformar em lei os
projetos existentes, pois a polícia federal tem a possibilidade de enquadrar alguns
desses crimes nas leis existentes, mas outros não, pois são novos e as leis
existentes estão desatualizas e são estáticas, havendo lacunas que devem fechadas
com a criação de novas leis ou adaptação das existentes.
Devido a essa desatualização das leis, há divergências entre advogados e
outros profissionais da área, referentes aos delitos cometidos na área de informática
55
e a possibilidade ou não de classificá-los em alguma lei existente, pois a
interpretação pode ser diferente para cada pessoa, restando dúvidas e controvérsias
neste assunto.
Não bastando isso, para conseguir classificar um crime virtual em alguma lei
existente, pode se fazer necessário o uso de analogias, que perante a lei, só podem
ser utilizadas em benefício do réu e não contra ele (CONCERINO, 2001, p.78).
Na tentativa de driblar esse problema referente às analogias, o argumento
utilizado é o modus operandi, ou seja, em caso de um furto, por exemplo, não
importa a maneira que o bem foi furtado, seja se apoderando fisicamente ou através
da Internet, pois o resultado é o mesmo se um criminoso furta um dinheiro guardado
na casa da vítima ou furta seu dinheiro guardado no banco, através de acesso ilícito
a sua conta (DAOUN; BLUM, 2001, p.126 e 127).
Apesar de muitos crimes virtuais já serem cometidos similarmente na vida
real, há vários crimes de informática novos que não possuem uma versão real, são
realmente atuais, gerando a necessidade de alterações nas leis existentes para uma
“atualização”, até mesmo dos termos, por exemplo, ampliando a definição do termo
coisa para “dados”, “informação” e “senha”, segundo REINALDO FILHO (2004, p.
01).
Devido a esses problemas citados, há a necessidade de alterações ou criação
de novas Leis visando uma atualização com o mundo da informática.
Projetos de Lei foram criados e estão em andamento na Câmara dos
Deputados ou no Senado. Outros podem surgir e os atuais podem sofrer alterações.
Abaixo seguem alguns:
Projeto de Lei nº 89, de 2003 (antigo 84/99), do deputado Luiz Piauhylino
(PSDB-PE).
"O projeto, que hoje está na Comissão de Educação do Senado Federal para
apreciação, caracteriza como crime os ataques praticados por hackers e crackers,
em especial as alterações de home-pages e a utilização indevida de senhas"
(PL89/03).
Este Projeto de Lei prevê mudanças no Decreto de Lei nº 2848 e pode ser o
primeiro Projeto a tornar-se Lei, tipificando os crimes de informática no Código
Penal, pois define vários tipos de crimes cometidos atualmente no ambiente Internet,
dentre eles:
56
•
Acesso indevido a meio eletrônico;
•
Manipulação indevida de informação eletrônica;
•
Difusão de vírus eletrônico;
•
Pornografia infantil;
•
Atentado contra a segurança de serviço de utilidade pública;
•
Interrupção ou perturbação de serviço telegráfico ou telefônico;
•
Falsificação de cartão de crédito;
•
Falsificação de telefone celular ou meio de acesso a sistema
eletrônico.
O Senador Marcelo Crivella, membro da Comissão de Constituição, Justiça e
Cidadania do Senado Federal, apresentou algumas mudanças nesse Projeto de Lei,
criando os termos “falsidade informática” e “sabotagem informática”, explicados
respectivamente a seguir nas emendas sugeridas por ele:
“Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou,
de qualquer forma, interferir no tratamento informático de dados, com o fim de obter,
para si ou para outrem, vantagem indevida de qualquer natureza, induzindo a erro
os usuários ou destinatários” (REINALDO FILHO, 2004, p.02).
“Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou,
de qualquer forma, interferir em sistema informatizado, com o fim de desorientar,
embaraçar, dificultar ou obstar o funcionamento de um sistema informatizado ou de
comunicação de dados à distância” (REINALDO FILHO, 2004, p.02).
Projeto de Lei substitutivo elaborado pelo Senador Eduardo Azeredo tem
como objetivo a aprovação dos projetos de Lei nº 89, de 2003, nº 137, de 2000 e nº
76, de 2000. Ambos os dois últimos projetos de Lei tramitam em conjunto com o PL
nº 89, de 2003. (Senado Federal, 2005, p.02).
Os projetos de lei em conjunto visam tipificar crimes de Internet, estabelecer
período de armazenamento de registros de acessos pelos provedores e,
principalmente criar obrigatoriedade no cadastramento para que haja identificação
do internauta assim que ele solicita acesso a um provedor. Este é o tema mais
discutido em relação à aprovação do PL.
57
Conforme Max Morais, assessor parlamentar do Serpro essa matéria será
alvo de muitas discussões antes de ser aprovada em plenário: “O Congresso
Nacional é um local onde o diálogo e a negociação são fatores fundamentais. Esse
projeto gera muito polêmica, visto que existem muitos conflitos de interesses, nos
quais segmentos da sociedade civil e diversas instituições buscam defender suas
idéias e suas posições. Mas sinto que é uma matéria que está gerando uma grande
preocupação por parte dos parlamentares, e a maioria quer, sim, buscar estabelecer
mecanismos que definam com clareza os crimes na área de TIC”. (Serpro, 2006,
p.04).
E, realmente essa se tornou a maior preocupação entre os provedores e
donos de estabelecimento que provêem acesso à Internet, pois deverão ser os
responsáveis pelo cadastramento. Em caso de algum acesso anônimo seriam
punidos, conforme Lobato da Folha de São Paulo: “Os provedores ficariam
responsáveis pela veracidade dos dados cadastrais dos usuários e seriam sujeitos à
mesma pena (reclusão de dois a quatro anos) se permitissem o acesso de usuários
não-cadastrados. O texto é defendido pelos bancos e criticado por ONGs
(Organizações Não-Governamentais), por provedores de acesso à Internet e por
advogados.” (2006, p.01)
Os usuários de Internet também temem que haja uma quebra de privacidade
com informações pessoais para cadastros nos provedores de Internet, pois seriam
dados como nome, endereço, cpf, rg, que além de fornecidos, deveriam ser
entregues também as suas respectivas cópias físicas para que o provedor possa
comprovar a veracidade dos dados.
Isso seria um risco, visto que uma vez que um provedor tivesse seus dados
violados por um fraudador, os usuários registrados teriam todos os seus dados
pessoais extraviados, ajudando em uma futura fraude com o uso dessas
informações.
O Projeto de Lei não foi votado no dia 08 de novembro de 2006, como estava
previsto, e sim retirado de pauta da Comissão de Constituição e Justiça com pedido
de adiamento, com a alegação de que deve ser melhor estudado pelos senadores, e
talvez porque não tenha sido bem entendido pelas entidades envolvidas e pelas
pessoas que acessam a Internet. (Zimmermann, 2006, p.01)
Projeto de Lei nº 3301, de 2004, do deputado Marcos Abramo (PFL-SP).
58
Uma política de segurança contendo regras de conduta para o usuário deverá
ser criada pelos provedores, mediante a aprovação deste Projeto de Lei e
esclarecidas aos usuários para que os mesmos fiquem cientes das penalidades
aplicadas na infração dessa política de segurança.
Deverá ser mantido, pelos provedores, o cadastro dos usuários e um registro
de todos os acessos feitos por eles, pelo período de no mínimo um ano e caso as
regras não sejam seguidas, os provedores de Internet poderão ser multados.
Os estabelecimentos que oferecem acesso à Internet devem exigir cadastro
das pessoas que desejam utilizar os computadores, e armazenar tanto esse
cadastro como todo o histórico de acessos realizados por elas, por um período de no
mínimo um ano.
Esse Projeto de Lei exigirá também que os órgãos públicos e escolas públicas
e particulares preparem a rede com dispositivos eficientes para bloquear acessos a
sites que não estiverem relacionados às atribuições das instituições.
Os sites de conteúdo impróprio para menores deverão possuir algum recurso
que impossibilite crianças e adolescentes de acessarem essas informações, seja
através de senha ou qualquer outra restrição eficiente e deverão manter
armazenadas informações referentes aos usuários que acessam esse conteúdo.
Projeto de Lei nº 3303, de 2000, do deputado Antonio Feijão (PST-AP),
apensado ao Projeto de Lei nº 3301, de 2004.
Este projeto de lei tem como objetivo obrigar os provedores a realizar
configurações para garantir a segurança nas conexões dos clientes, bem como
impedir o envio e disseminação de vírus e protegendo os dados dos usuários.
Além da segurança, os provedores devem possuir sistemas ou rotinas
capazes de identificar possíveis ataques gerados em uma conexão feita por um
cliente, e armazenar durante o período de 2 anos todas as informações referentes as
conexões realizadas, como IP utilizado, tempo da conexão, data e hora a fim de
facilitar a identificação em caso de um ataque gerado nesse provedor.
Projeto de Lei nº 6557, de 2002, do deputado Valdemar Costa Neto (PL-SP).
Ao entrar em alguma sala virtual para bate papo ou realizar troca de imagens,
o usuário deve preencher um cadastro completo no provedor para fins de
identificação, que deverá ser armazenado por um período determinado pelo Poder
Público. Essa é a obrigação prevista nesse Projeto de Lei.
59
Projeto de Lei nº 3891, de 2000, do deputado Júlio Semeghini (PSDB-SP),
apensado ao Projeto de Lei nº 6557, de 2002.
O objetivo desse Projeto de Lei, assim como vários outros, é de obrigar os
provedores a manterem, pelo período não inferior a três anos, todos os registros de
conexões efetuadas pelos usuários, bem como todos os dados cadastrais dos
mesmos.
Projeto de Lei nº 4972, de 2001, do deputado José Carlos Coutinho (PFLRJ).
Neste Projeto de Lei o prazo para armazenamento de informações de
conexão e pessoais dos usuários deverá ser mantido por um período de no mínimo
cinco anos.
As empresas de telefonia somente poderão disponibilizar linhas para conexão
a Internet aos provedores, caso eles comprovem estarem tecnicamente capazes de
cumprir as exigências previstas nesse projeto de lei. Neste caso são abrangidos
apenas os provedores que oferecem conexão discada e não aqueles que oferecem
banda larga, pois nem sempre utilizam linha telefônica para disponibilizar acesso de
banda larga.
Projeto de Lei nº 5977, de 2001, do deputado Divaldo Suruagy (PST-AL).
“Ficam os estabelecimentos de ensino e os órgãos públicos em geral
obrigados a observar procedimentos que disciplinem o acesso e o uso dos serviços
da Internet" (PL5977/01).
Trata-se de um Projeto de Lei com intenção importante para tentativa de
controle de uso em estabelecimentos de ensino e órgãos públicos, no entanto
acredito que, se aprovado, pode não atingir o objetivo necessário, pois o que seria
“observar os procedimentos”, talvez precise ser mais claro e com regras mais
detalhadas para comprovar a eficácia.
Projeto de Lei nº 7461, de 2002, do deputado Eni Voltolini (PPB-SC).
“Os provedores de acesso a redes públicas de computadores são obrigados a
manter cadastro de seus usuários, bem como registro das transações efetuadas
utilizando sua infra-estrutura” (PL7461/02).
60
Assim como quase todos os outros Projetos de Lei, esse também tem como
objetivo o armazenamento das informações pessoais do usuário e as conexões
estabelecidas, durante dois anos.
Projeto de Lei nº 480, de 2003, do deputado Pompeo de Mattos (PDT-RS).
“Ficam obrigadas as empresas provedoras de serviços de Internet a
cadastrarem todos os usuários de serviços de acesso à Internet e hospedagem de
web sites pessoais”.
“O cadastramento previsto no caput, deste artigo, inclui os usuários dos
serviços de Internet e hospedagem gratuitos“ (PL480/03).
Projeto de Lei nº 1256, de 2003, do deputado Takayama (PSB-PR).
O objetivo desse Projeto de Lei é exigir a identificação das pessoas que
participam de salas de bate-papo com assuntos relacionados a sexo. Dentre esses
dados deve estar o número do cpf, no entanto, não há garantias de que o usuário
informou o cpf verdadeiro.
Projeto de Lei nº 2196, de 2003, do deputado Waldemir Moka (PMDB-MS).
“Esta lei dispõe sobre os limites à divulgação de mensagens pelos usuários
de provedores na Internet e demais redes de computadores abertas ao uso do
público”.
“O conteúdo das mensagens é de responsabilidade de seus autores, cabendo
ao provedor solicitar e comprovar sua identidade” (PL2196/03)
Com esse Projeto de Lei, os provedores deverão ser responsáveis pelo
conteúdo de informações postadas em suas listas de discussão. Para isso
precisarão monitorar com mais rigor todas as mensagens postadas pelos usuários.
Projeto de Lei nº 4562, de 2004, do deputado Silas Brasileiro (PMDB-MG).
Os provedores que oferecem serviço de correio eletrônico devem ser
responsáveis pela atualização, coleta e arquivamento de dados pessoais para os
usuários que recebem um endereço de correio eletrônico, por um período de no
mínimo um ano.
Projeto de Lei nº 5009, de 2005, do deputado Cabo Júlio (PMDB-MG).
61
Devido ao aumento de estabelecimentos oferecendo acesso a Internet para
qualquer pessoa, os chamados cyber-café ou lan-house, há a necessidade de tentar
manter um cadastro para identificação dessas pessoas.
Esse Projeto de Lei obriga esses estabelecimentos a manterem um cadastro
com dados das pessoas que utilizam esses computadores como: nome, rg, cpf,
endereço, data de nascimento e telefone, por um período de um ano.
Projeto de Lei nº 6827, de 2006, do deputado Jefferson Campos (PTD-SP).
Neste Projeto de Lei é exigido não apenas os registros de identificação dos
usuários que obtém uma conta de correio eletrônico, mas todas as mensagens
enviadas por esse usuário, dentro do período mínimo de um ano, devem ser
armazenadas com as seguintes informações: endereço eletrônico do destinatário,
data e hora do envio da mensagem e endereço IP utilizado pelo computador, no
momento do envio do e-mail.
Projeto de Lei nº 3016, de 2000, do deputado Antonio Carlos Pannunzio
(PSDB-SP), apensados os Projetos de Lei nº 3303, de 2000, nº 3891, de 2000, nº
4972, de 2001, nº 5977, de 2001, nº 7461, de 2002, nº 480, de 2003, nº 1256, de
2003, nº 2196, de 2003, nº 4562, de 2004, nº 5009, de 2005 e nº 6827, de 2006.
“Os provedores de acesso a redes de computadores destinadas ao uso
público, inclusive a Internet, deverão manter controle dos usuários de seus sistemas
e registro das transações efetuadas, nos termos desta lei" (PL3016/00).
Projeto de Lei nº 18, de 2003, da deputada Iara Bernardi (PT-SP).
A tentativa desse Projeto de Lei é manter um registro dos responsáveis pelas
páginas de Internet hospedadas nos provedores que oferecem esse tipo de serviço.
Visa disponibilizar essas informações para um domínio público para ser
consultado por qualquer pessoa que tenha interesse.
Outra exigência desse Projeto de Lei é manter um cadastro dos dados dos
titulares ou responsáveis pelos provedores que oferecem serviço de correio
eletrônico localizados em território nacional. Esse registro deverá ser disponibilizado
para qualquer pessoa que tiver interesse.
Projeto de Lei nº 6024, de 2005, do deputado Antonio Carlos Mendes Thame
(PSDB-SP).
62
Projeto de Lei que visa, além de exigir armazenamento de conexões e
cadastros dos usuários por um período de 5 anos pelos provedores, alterar o
Decreto de Lei nº 2848, acrescentando o capítulo 7 com o seguinte conteúdo:
-
“Inserir ou facilitar a inserção de dados falsos, alterar ou excluir
indevidamente dados corretos ou capturar dados protegidos, nos
sistemas informatizados ou bancos de dados públicos ou privados,
ainda que por acesso remoto ou mediante uso de meios insidiosos
com o fim de causar dano ou obter vantagem indevida para si ou
para outrem.”
-
“Modificar ou alterar arquivo, sistemas de informação ou programa
de informática sem autorização ou solicitação de autoridade
competente ou do usuário” (PL6024/05).
Projeto de Lei nº 6931, de 2006, do deputado João Batista (PP-SP).
De acordo com o Projeto de Lei anterior, este também sugere alterações no
Decreto de Lei nº 2848 para tipificar crimes de condutas na Internet. São elas:
-
“Interceptar, sem autorização, por meios técnicos, comunicação que
se processe no interior de um sistema informático, a ele destinada
ou dele proveniente”.
-
“Apagar, destruir, no todo ou em parte, danificar, suprimir ou tornar
não utilizáveis dados ou programas informáticos alheios ou, por
qualquer forma, afetar-lhes a capacidade de uso, com o intuito de
causar prejuízo a outrem ou obter benefício ilegítimo para si ou para
terceiros”.
-
“Obstruir, sem autorização, o funcionamento de um sistema
informático, por meio da introdução, transmissão, danificação,
eliminação, deterioração, modificação ou supressão de dados
informáticos”.
-
“Manufaturar, distribuir, comercializar, enviar ou fazer propaganda
de dispositivos de interceptação de telecomunicações de qualquer
tipo”.
-
“Manter,
fornecer,
comercializar,
reproduzir
ou
divulgar
indevidamente ou sem autorização, dado ou informação obtida em
meio eletrônico ou sistema informático”.
63
-
“Usar nome de domínio falso ou enganador, com a intenção de iludir
pessoas,
para
fornecer-lhes
visão
de
materiais
obscenos,
pornográficos ou prejudiciais aos menores” (PL6931/06).
Projeto de Lei nº 4144, de 2004, do deputado Marcos Abramo (PFL-SP),
apensados os Projetos de Lei nº 6024, de 2005 e nº 6931, de 2006.
Com mais riqueza em detalhes para se julgar um crime de informática, esse
Projeto de lei visa alterar as Leis nº 8069, nº 9296 e o Decreto de Lei nº 2848.
Considera-se crime ou sabotagem em informática quando houver ações do
tipo:
-
“Impedir o funcionamento ou interferir na operação de um sistema
informatizado por meio de invasão, introdução, transmissão, dano,
apagamento, deterioração, alteração ou supressão de dados
informáticos com o objetivo de dificultar, embaraçar ou impedir o
funcionamento do sistema informatizado”.
-
“Danificar, alterar, apagar, introduzir ou suprimir dados informáticos
de modo a obter ou produzir dados não autênticos para induzir
terceiros a erro com a finalidade de obter, para si ou para outrem,
vantagem indevida”.
-
“Causar a perda de coisa alheia com intenção fraudulenta de obter,
para si ou para outrem, benefício econômico por meio de: I – dano,
alteração, apagamento, introdução ou supressão de dados
informáticos; ou II – interferência no funcionamento de um sistema
informático” (PL4144/04).
Projeto de Lei nº 5403, de 2001, do deputado Luiz Estevão (PMDB-DF),
apensados os Projetos de Lei nº 3.016, de 2000, nº 18, de 2003, nº 4144, de 2004.
Este Projeto de Lei tem como objetivo acabar com os problemas de falta de
registro de acessos e cadastro atualizado com dados dos usuários nos provedores.
Todos esses Projetos de Lei que estão apensados têm como objetivo tornar
obrigatório o registro de acessos, por isso estão todos incorporados.
O artigo 2 se refere às empresas telefônicas, que somente podem liberar
linhas de acesso para os provedores que possuem capacidade técnica comprovada
para manter os registros de acessos e cadastro dos usuários pelo período de um
ano, conforme também exigido no Projeto de Lei nº 4972, de 2001.
64
Após tomar conhecimento do objetivo e detalhes de cada Projeto de Lei, é
possível verificar que não eliminarão o problema de identificação de autoria dos
crimes virtuais.
Os Projetos de Lei são criados pelos políticos, que não possuem um
conhecimento avançado sobre essa área, e acreditam que obrigar os provedores a
exigirem o CPF do usuário pode ajudar na buscar pela autoria de um crime. No
entanto, é de conhecimento popular que na Internet ou na vida real um fraudador
muito provavelmente utilizará dados falsos na criação de qualquer cadastro, e caso
os provedores brasileiros forem obrigados a exigir esses dados, o usuário pode,
facilmente criar um endereço eletrônico em provedores fora do país que não exigem
essas informações.
Os Projetos de Lei, depois de aprovados, podem não eliminar os problemas
de autoria, mas serão muito importantes no auxílio à busca pela autoria dos crimes.
Essa ajuda não será devido ao cadastro dos usuários, mas sim pelas informações
de conexão como tempo, data e hora, endereço IP utilizado, linha de telefone
utilizada em caso de conexão discada, entre outras que podem junto com outras
pistas auxiliar a polícia.
Por outro lado, os Projetos de Lei que visam alterar Leis já existentes poderão
ajudar bastante na punição das ações fraudulentas, pois estão atualizando o
conceito de crimes reais incluindo os crimes virtuais. Com isso a Lei fica mais clara
quanto à classificação de um crime virtual, tentando eliminar as brechas sendo que
atualmente só há tipificação de crimes reais dentro da Lei.
Até o momento nenhum Projeto de Lei tipificando os crimes virtuais,
solicitando o registro dos acessos e cadastro ou obrigando os provedores a prover
segurança na conexão, dentre outros foi aprovado, pois sempre novos itens e tipos
de crimes vão surgindo e acabam sendo acrescentados aos Projetos de Leis
existentes, atrasando a sua aprovação. É necessário aprovar o quanto antes alguma
Lei específica para crimes virtuais na intenção de diminuir as ocorrências ou
intimidar os fraudadores.
“Nos EUA existe uma lei de crimes informáticos há 14 anos, o Computer
Misuse Act (CMA). O debate que se trava lá no momento é sobre a necessidade de
atualizá-la, sobretudo para fazer face aos crimes cometidos em redes informáticas
abertas. Mas ela é uma lei básica que vem servindo (pelo menos até agora)
eficazmente” (REINALDO FILHO, 2004, p.05).
65
“A falta de leis de informática alimenta a impunidade, desmoraliza o Brasil no
mundo e, o mais grave, a criminalidade via Internet tem um grande potencial para
atrair ilícitos maiores, como o narcotráfico e o terrorismo” (COSTA, 2004, p.02).
A aprovação dos Projetos de Lei será muito importante para preencher as
lacunas existentes nas Leis atuais para crimes virtuais, no entanto a prevenção
ainda é o melhor caminho, pois, como já foi visto ainda há casos no qual a
identificação da autoria não pode ser realizada, deixando o fraudador impune.
Devido a essa triste realidade, as instituições financeiras concentram esforços na
conscientização e prevenção desses crimes, os quais estão relatados no próximo
capítulo.
66
7. MEDIDAS DE PREVENÇÃO
Os criminosos virtuais dedicam seu tempo e focam seus ataques na tentativa
de enganar os usuários, pois geralmente quando ocorre uma fraude é decorrente de
falta de prevenção e conhecimento do usuário.
Usuários com pouco conhecimento, ou até mesmo os mais experientes,
geralmente não lêem todas as telas de tomadas de decisão quando acessam um
site. Solicitações de instalações de plug-ins, active X56, e outras ferramentas, muitas
vezes podem ser instalações de programas com código malicioso que o usuário nem
se dá ao trabalho de ler e clica no botão padrão em evidência que geralmente é o
“Sim”.
O criminoso pode tentar atacar a entidade bancária, mas é muito mais fácil
atacar a outra extremidade, o usuário. Além de realizar seus acessos confidenciais
(bancos, compras, etc) de uma máquina insegura, muitas vezes sem firewall57 e com
antivírus desatualizado, os criminosos ainda contam com a engenharia social a favor
deles, pois ludibriar usuários com poucos conhecimentos em informática não é uma
tarefa muito difícil, infelizmente.
A FEBRABAN (Federação Brasileira dos Bancos) iniciou um processo de
conscientização dos usuários de Internet Banking com a intenção de mostrar aos
usuários exatamente o que é uma fraude bancária, visando melhorar os
conhecimentos das pessoas no intuito de diminuir o número de fraudes nesse
serviço.
Conforme Lau e Sanchez, “Nos Estados Unidos, ocorre há alguns anos o
processo de conscientização dos usuários em relação aos exemplos de fraude
praticados no ambiente Internet Banking. Apesar de esta ação preceder o processo
de conscientização adotado no Brasil, percebeu-se que esta ação não foi efetiva na
mitigação dos ataques aos clientes destes serviços. Partindo deste caso, questionase a efetividade de campanhas de conscientização como ferramenta eficaz na
mitigação das fraudes” (2006, p.05).
56
É um conjunto de tecnologias (software) criado pela Microsoft para facilitar a integração entre diversas
aplicações.
57
É uma solução extremamente necessária para qualquer computador que se conecta a Internet. Tem como
funcionalidade principal a proteção da rede ou da máquina (no caso de um firewall pessoal) contra ataques mal
intencionados de pessoas através da Internet.
67
Como o usuário é ainda o elo mais fraco e geralmente o atacado numa fraude
eletrônica de Internet Banking, há soluções adicionais adotadas pelas instituições
financeiras como exemplo: adoção de dispositivos como OTP (One Time Password)
no qual o usuário recebe esse dispositivo que lhe informa uma nova senha a cada
acesso ao Internet Banking,
Outra opção adotada é a certificação digital, “composto por uma chave
privada58, que pode ser armazenada no sistema operacional ou dispositivo que
permite apenas a inserção do dado cifrado resultando sua decriptação, não
permitindo extração ou leitura da chave privada”, de acordo com Lau e Sanchez
(2006, p.05).
O incentivo pelos bancos para o uso de certificado digital pode gerar problemas
no futuro para o cliente, pois o armazenamento da chave privada, contida no
certificado, é de responsabilidade do cliente. Caso essa chave seja roubada e
utilizada para uma transação indevida, a instituição financeira pode tentar se isentar
da responsabilidade e ter um argumento para não ser obrigado por lei a efetuar a
restituição.
Na realidade para conseguir essa isenção, a instituição financeira pode tentar
responsabilizar o cliente se conseguir provar que ele fez mal uso do certificado, não
seguindo os procedimentos de segurança e que houve negligência, imprudência,
mas normalmente isso não ocorre pois elas preferem evitar o abalo à sua imagem,
podendo ter perdas significativas se houver uma propaganda negativa em relação a
esse assunto.
No entanto, mesmo que houvesse interesse em não efetuar o pagamento, esse
assunto ainda é algo que poderá gerar discussão no futuro, pois mesmo que o
cliente não tenha seguido as orientações do banco para armazenamento seguro de
seu certificado, ele pode alegar que não desconhecia os cuidados necessários e não
entende de informática para saber se sua máquina está atualizada e com softwares
de segurança necessários e por isso pode ter sido vítima de um espião.
O
objetivo
das
instituições
financeiras
não
é
de
se
isentar
das
responsabilidades e sim de tentar garantir a segurança nas transações bancárias, no
58
Chave privada é uma das chaves utilizadas no processo de criptografia assimétrica. Neste processo são
utilizados pares de chaves público e privado. A chave pública é divulgada aos membros que realizam
comunicação e são utilizados para a encriptação de dados. A chave privada é gerada e armazenada ao junto
com ao dispositivo do usuário que responsável pela guarda do certificado. É necessário lembrar que apenas a
chave privada consegue decriptar uma mensagem encriptada pela chave pública.
68
entanto a adoção do uso do certificado digital pode ser perigosa para os usuários
que não entendem o seu funcionamento. Mesmo que o uso do certificado digital
dificulte bastante as fraudes ele não as isenta porque ele pode ser roubado,
principalmente se for do tipo A1, que se trata do mais inseguro.
Existem vários tipos de certificados, os quais se diferem pela maneira como
foram gerados, onde são armazenados e pelo valor pago para emissão. O
certificado com menor valor é o chamado A1, que fica armazenado no próprio
computador, podendo ser roubado caso o computador esteja infectado com algum
código malicioso, provavelmente um cavalo de tróia, que permita um acesso maior
de controle ao computador.
Segundo publicado no site Tiinside por Claudio Ferreira, Júlio Cosentino, diretor
da Certisign relatou uma ocorrência de fraude em um computador que armazenava
um certificado do tipo A1: “Entre os bancos que utilizam certificação digital desde
2000 só existe o registro de um caso. Ele utilizava a certificação A1 que ficava no
browser. O fraudador fez um cavalo de tróia e conseguiu. Mas foi um caso único e
isolado” (FERREIRA, 2006, p.02). Apesar de tratar-se de apenas um caso isolado,
isso serve como comprovação de que a segurança aumenta, mas não elimina a
possibilidade de fraude.
O tipo A2 e A3 têm chave assimétrica de 1024 bits, enquanto o A4 possui uma
chave de 2048 bits e são gerados e armazenados em hardware, precisando de um
leitor específico para sua utilização, e são mais seguros, pois precisam estar
conectados ao computador no momento da transação bancária, no entanto o preço
é bem superior ao A1 para emissão. Em decorrência disso é questionável se o
cliente está ciente de que em caso de uma fraude com sua conta bancária a prova
de que ele foi roubado talvez precise ser apresentada por ele.
De acordo com Siqueira: “Há uma boa e uma má notícia para os correntistas
que utilizam, ou ainda vão usar, meios eletrônicos para se comunicar com os
bancos. A primeira é que, segundo especialistas e as próprias instituições
financeiras, as novas ferramentas de segurança são capazes, pela primeira vez, de
reduzir sensivelmente os casos de fraude on-line, que até agora cresceram sem
parar. Diante dessa mudança de realidade, por outro lado, os bancos se sentem
cada vez menos obrigados a ressarcir os prejuízos de transações indevidas quando
há sinais claros de negligência, imprudência ou imperícia do cliente no manuseio das
69
senhas, contra-senhas, cartões inteligentes, tokens e outras das várias ferramentas
de proteção disponíveis” (SIQUEIRA, 2006, p.01).
Várias outras opções podem ser adotadas como: uso de um cartão plástico
contendo uma matriz de números, limitação de transações em função a volumes
financeiros, solicitação de senhas adicionais no processo de validação de
transações, instalação de software anti-trojan nos clientes, teclado virtual,
criptografia, cadastro de um número pequeno e limitado de computadores com
permissão para acessar o Internet Banking e outras existentes, usadas dependendo
do objetivo desejado e dos custos envolvidos (LAU; SANCHEZ, 2006, p.06).
Há também o uso de biometria que pode ser uma boa opção no futuro quando
os equipamentos para leitura biométrica estiverem com os preços mais acessíveis. A
biometria trata-se de uma maneira de autenticação, se refere aos métodos
automatizados para identificação de pessoas com base em suas características
físicas únicas. O ser humano possui características corporais únicas e que são de
certa forma, estáveis. Por exemplo, a impressão digital, a retina, a íris, formação da
face, geometria da mão e outras.
É como uma chave de segurança que não pode ser entregue ou tomada por
nenhuma outra pessoa porque “está” no próprio corpo, no entanto para garantir
maior confiabilidade no processo de autenticação, é necessário o uso em conjunto
de três métodos que compõe uma autenticação forte. São eles: a biometria (o que a
pessoa é ou faz), o uso de senha (o que ela sabe) e de um cartão ou token (o que
ela possui). Essa é uma opção dentre outras que provavelmente surgirão, no
entanto os leitores biométricos ainda têm um custo alto para a implantação em cada
cliente.
Uma medida de prevenção atual deveria consistir no impedimento pelos bancos
do acesso ao Internet Banking a partir de computadores pertencentes a lan-houses
ou cyber-cafés, pois são utilizadas por muitas pessoas e muitas vezes mal
intencionadas que podem instalar códigos maliciosos na intenção de roubo de
senha, configurações para desvio da página do banco para outro fraudado
(pharming) ou diversas outras armadilhas. Se o acesso realizado em computadores
localizados na casa do cliente e no trabalho já oferece riscos, em estabelecimentos
desse tipo o risco é muito maior.
É possível verificar que há diversos métodos, ferramentas com tecnologia
avançada que podem ser usadas isoladamente ou em conjunto para garantir maior
70
eficiência na tentativa de inibir as fraudes, no entanto, de nada adianta fortalecer o
meio digital com recursos muitas vezes de alto custo se a extremidade mais
vulnerável – a do usuário, o ser humano, continuar com o mesmo nível baixo de
conhecimento técnico.
Para tentar atingir o objetivo de melhorar a segurança nas transações
bancárias, as instituições financeiras devem investir ainda muito mais no aumento de
conhecimento dos clientes para que os mesmos sejam mais desconfiados com o
que lêem na Internet, como são atualmente na vida real. Se um cliente está em um
caixa eletrônico do banco e alguém se aproxima e oferece ajuda, o cliente ficará
desconfiado, pois já deve ter ouvido casos de pessoas que realizam roubos dessa
maneira. Mas se ele recebe um phishing via e-mail não se questiona tanto e pode
acabar clicando no link fraudulento.
A diferença entre esses dois casos se dá pelo fato de que os golpes
envolvendo roubos em caixas eletrônicos foram mais divulgados e trata-se de uma
abordagem suspeita real, pois as pessoas costumam temer outras pessoas
estranhas dependendo do local onde estão, são vivências de crimes comuns.
Segundo Lau: “E, aos fraudadores, é preciso que os órgãos públicos de repressão
atuem constantemente na investigação e punição, com apoio da imprensa para
divulgar as operações” (2006b, p.01).
Os crimes virtuais estão ficando cada vez mais freqüentes, no entanto não há
divulgação desse tipo de crime para não comprometer a imagem da instituição
financeira e desencorajar os clientes a utilizarem o Internet Banking, e o número de
campanhas efetivas para conscientização dos clientes dos perigos que o uso da
Internet acarreta ainda é insuficiente.
De acordo com Melo, “Assim como o cliente aprendeu a sacar dinheiro em
caixa eletrônico e não sair contando na rua, ele também deve aprender a não andar
por qualquer canto da Internet ou acreditar em qualquer anúncio que lhe é oferecido”
(2006, p.01).
Como medida de prevenção é necessário concentrar forças com o objetivo de
mostrar aos clientes exatamente quais são os riscos que ela corre ao realizar um
acesso ao banco a partir de um computador sem o mínimo de segurança
recomendável. Devem ser realizadas campanhas com uma linguagem de fácil
entendimento aos leigos e talvez até a criação de um curso básico de segurança de
computador pessoal apoiado pelas instituições financeiras a ser realizado para todos
71
os clientes que fazem uso da Internet para transações financeiras. Seria interessante
entregar um cd-rom com programas de segurança freeware como antivírus,
antispyware, firewall e instruções de instalação, atualização e configuração.
72
8. CONSIDERAÇÕES FINAIS
8.1 CONCLUSÃO
Foi possível identificar que os métodos utilizados pelos fraudadores para
realização de uma fraude, com o objetivo de ganhos financeiros evoluíram com o
passar do tempo, pois essas técnicas e métodos utilizados por eles, tornaram-se
ultrapassados, dificultando a obtenção de sucesso em uma fraude.
O avanço nos métodos utilizados em fraudes digitais pelos fraudadores é
realizado em sintonia com o aprimoramento das técnicas de segurança utilizadas
pelas instituições financeiras. De um lado as instituições investem em tecnologia
visando um aumento na segurança das transações on-line e do outro lado os
fraudadores descobrem maneiras de quebrar essa segurança, com o aprimoramento
de suas técnicas.
Mesmo com a existência de várias ferramentas e técnicas para destruição de
provas, prejudicando o trabalho do perito, muitas vezes a eliminação total das provas
pode não ser conseguida. Isso pode acontecer devido à ocorrência de falha humana
por parte do fraudador na execução de determinada ferramenta, pela ineficiência da
mesma, ou pelo esquecimento de eliminação de alguma pista ou evidência.
No entanto, dependendo do conhecimento técnico, cuidado tomado e
ferramentas eficientes utilizadas do fraudador, por exemplo, uma formatação com
ferramentas conhecidas como wipe, o trabalho do perito pode ser muito prejudicado
podendo resultar na destruição total das provas.
Um bom perito na área de perícia computacional deve sempre estar
atualizado, tanto com as novas técnicas de segurança das instituições, quanto com
os avanços conseguidos pelos fraudadores. Deve também entender, dentre outras
coisas, as ferramentas de análise existentes,
procedimentos de trabalho
estabelecidos, noções de direito criminal, se possível e do sistema operacional a ser
investigado, bem como das suas vulnerabilidades existentes.
Uma das contestações mais recentes de defesa em um julgamento é o
acusado alegar que a máquina, de propriedade dele, utilizada para a realização do
crime possa ter sido atacada por hackers e com isso provocado falsas provas ou
73
falsa autoria. Isso realmente pode acontecer. Neste caso a máquina de onde partiu a
realização da fraude deverá conter algum código malicioso que permitiu o controle
sobre ela, e através desse código ela poderia ter sido utilizada por um terceiro para o
cometimento da fraude.
Devido a essa contestação, e a existência de ferramentas para eliminação de
provas, pode-se prever o risco de aparecimento de uma nova modalidade de
criminoso virtual, composta por peritos experientes, de caráter duvidoso, utilizando o
seu conhecimento para ajudar os criminosos a forjarem provas e incriminarem outras
pessoas. Um perito experiente pode realizar um ataque a uma máquina, realizar
uma fraude a partir dela, e depois apagar os vestígios para que a alegação citada
anteriormente não seja aceita. Se não há vestígios do ataque pode não ser possível
provar que ele realmente existiu.
A identificação da autoria é possível de ser realizada, mas ainda não é uma
tarefa simples, pois disso depende o armazenamento, por um período determinado,
de arquivos de registros pelos provedores, colaboração dos mesmos, uma
cooperação mútua entre todos os países, aprovação de projetos de leis exigindo
armazenamento por determinado período de tempo pelos provedores e cadastro de
usuários de cyber-cafés e lan-houses.
Quanto à condenação do fraudador, é possível afirmar que o mesmo pode ser
enquadrado em vários artigos existentes no código penal, mas outros tipos de
crimes possuem conceitos novos, não sendo possível a sua classificação ou
analogia diante das leis atuais. Por isso para acabar com a sensação de impunidade
e fechar essas lacunas da lei é necessário a aprovação o quanto antes de alguns
projetos de leis que visam classificar com maior precisão os crimes digitais.
Mesmo com todas essas medidas tomadas pelas instituições financeiras, a
prevenção ainda é a melhor solução, por isso no âmbito de Internet Banking, os
bancos estão investindo em segurança com medidas como: adoção de dispositivos
como OTP (One Time Password), uso de cartão plástico contendo uma matriz de
números, limitação de transações em função a volumes financeiros, solicitação de
senhas adicionais no processo de validação de transações, instalação de software
anti-trojan nos clientes, teclado virtual, criptografia, cadastro de um número pequeno
e limitado de computadores com permissão para acessar o Internet Banking.
A Febraban também estimula o aumento de conhecimento dos usuários, mas,
infelizmente ainda não foi atingido o objetivo de diminuição da ocorrência das
74
fraudes, pois se percebe que muitas pessoas ainda não entendem o básico sobre
segurança da informação de seu computador e por isso não sabem como se
proteger, faltando conhecimentos essenciais para se atingir o objetivo de
conscientização.
Os bancos geralmente ressarcem seus clientes prejudicados, pois se trata de
uma obrigação, prevista no código de defesa do consumidor, conforme afirma Maira
Feltrin, “Dessa forma, pode o consumidor solicitar, com base nos arts. 6º, VI, 14 e
20, do Código de Defesa do Consumidor a reparação de todos os prejuízos que
eventualmente sofrer” 59, em IDEC (2005, p.02).
Além disso, as instituições bancárias têm interesse em não revelar o total de
fraudes ocorridas, para não prejudicar a sua imagem referente à segurança no uso
da Internet para transações financeiras, pois pode induzir outros clientes a deixarem
de utilizar o Internet Banking por medo de fraude. Essa atitude em ocultar as
ocorrências de fraudes deixa os clientes com a falsa impressão de que estão
seguros e que os roubos de dinheiro através da Internet são casos raros, diferentes
dos roubos no mundo real, que são divulgados, com detalhes de como ocorreu,
deixando assim, as pessoas melhor informadas de como proceder para não serem
as próximas vítimas.
Talvez, se as fraudes fossem divulgadas, como são feitas com as fraudes no
mundo real, outras pessoas poderiam aprender com essas informações e
adquiririam mais procedimentos de defesa, como é feito hoje no ambiente físico. Por
exemplo, a precaução que as pessoas têm de irem a um caixa eletrônico à noite fora
de shoppings ou estabelecimentos comerciais, foi conseguida através divulgação de
exemplos de roubos nessa determinada situação.
Na tentativa de garantir uma maior segurança em uma conexão virtual
sigilosa o ideal é que as pessoas tenham em casa dois computadores. Um
computador para realização das transações financeiras, compras on-line com cartão
de crédito, trabalho em casa através do uso de VPN60 da empresa, ou qualquer
outra atividade que seja confidencial e outro computador para entrar em bate papo,
59
FELTRIN apud IDEC (2005).
VPN é a sigla utilizada para Virtual Private Network que consiste num recurso disponibilizado por softwares
que permitem que uma pessoa que esteja fisicamente fora da empresa possa acessar todos os recursos que são
disponibilizados para os funcionários que estão dentro da empresa, como se ele estivesse fisicamente dentro da
empresa, conectado na rede local.
60
75
conversar pelo MSN, instalar programas peer-to-peer para download de músicas e
acessar sites de relacionamento como orkut.
Esses programas citados acima trazem insegurança ao computador, por isso
neste caso o primeiro computador deveria conter apenas os programas necessários
para as atividades que necessitam de sigilo, e todos os programas de segurança
recomendados. Já o segundo computador deveria conter também os programas de
segurança, mas não haveria uma preocupação maior com isso, pois as atividades
que precisam de sigilo seriam realizadas apenas no computador considerado mais
seguro.
Resumindo, a solução para diminuição de fraudes em Internet Banking não
deve se resumir em apenas uma medida, e sim na junção de várias, como já citadas,
conscientização
dos
clientes,
aumento
de
seus
conhecimentos
técnicos,
investimento dos bancos em alternativas de aumento de segurança da informação,
citadas anteriormente, e divulgação para os clientes estarem cientes de que uma
fraude virtual não é tão rara como podem pensar e que é possível ocorrer com
qualquer um se não tomarem precauções.
8.2 TRABALHOS FUTUROS
Em decorrência do desenvolvimento deste trabalho, foi possível perceber que
vários assuntos importantes merecem ser melhor detalhados, para compreensão
mais aprofundada do tema exposto, no entanto, por não pertencerem ao escopo
principal ou por serem bastante extensos, a sugestão é que sejam elaborados em
trabalhos futuros. Alguns dos temas que podem ser discutidos com mais detalhes
são:
•
Criptografia. O tema foi apenas mostrado com poucos detalhes de
funcionamento, apenas para o leitor entender o motivo de ser uma
técnica
anti-forense.
Seria
interessante
uma
pesquisa
mais
aprofundada desse tema relacionando com o assunto deste trabalho,
com mais exemplos e opções de uso.
76
•
Esteganografia. É um assunto muito rico e, se detalhado de maneira
didática proporciona uma visão mais ampla de uso para o leitor. Talvez
um estudo de caso com exemplos relacionados a métodos anti-forense
ofereça um conhecimento mais técnico para os pesquisadores e
profissionais de perícia forense que estão iniciando nessa área.
•
Ferramentas para perícia em sistemas operacionais linux/Unix.
Neste trabalho foi focada apenas ferramenta utilizada para o sistema
operacional Windows. Algumas delas funcionam também para o
linux/Unix, mas existem outras poderosas para esse sistema
operacional que não foram citadas neste trabalho. Ter uma idéia de
funcionamento dessas outras ferramentas poderia proporcionar para o
leitor saber distinguir as diferenças e dificuldades de perícia em ambos
os sistemas.
•
Abordagem das leis para outros crimes virtuais como pedofilia,
racismo, preconceito e outros não discutidos. Como o enfoque
realizado neste trabalho foi à perícia forense relacionada a crimes em
Internet Banking, outros crimes são hoje, muito praticados no mundo
digital e merecem atenção, pois estão em constante crescimento.
Devido a ser amplo e não fazer parte do contexto, não foram citados os
Projetos de Leis que visam diminuir esses crimes e nem as leis atuais
a que se enquadram atualmente.
77
REFERÊNCIAS
[1] L9296. LEI Nº 9.296, DE 24 DE JULHO DE 1996. Presidência da República.
Disponível em: < https://www.planalto.gov.br/ccivil_03/LEIS/L9296.htm> Acessado
em 09/05/2006
[2] BERNARDO, Adauto de Souza. Técnicas computacionais no auxílio à perícia
forense na análise de evidências coletadas em servidores GNU/Linux, junho de
2006. Universidade do Extremo Sul Catarinense – Curso de Ciência da Computação,
06/2006. Disponível em: http://www.esnips.com/webfolder/d0961475-0b63-4ba48952-f6d3fc7f761c Acessado em 09/09/2006.
[3] BRADESCO. Dicas de segurança, Banco Bradesco S/A. Disponível em:
<http://www.bradesco.com.br/seguranca_informacao/dicas.html> Acessado em
01/05/2005
[4] L2848. LEI Nº 2.848, DE 07 DE DEZEMBRO DE 1940. Associação do Ministério
Público do Estado do Rio de Janeiro. Disponível em: <
http://www.amperj.org.br/store/legislacao/codigos/cp_DL2848.pdf> Acessado em
08/05/2006
[5] COELHO, Laura Cristina Machado; BENTO, Ricardo Jorba. Ferramentas de
esteganografia e seu uso na Infowar. ICCyber´2004 – I Conferência Internacional
de Perícias em Crimes Cibernéticos. Disponível em:
http://www.angelfire.com/falcon/hsramos/anais_iccyber.pdf> Acessado em
10/09/2006.
[6] ROCHA, Luis Fernando. Forense computacional: A ciência da investigação
eletrônica. Módulo Security Magazine, 27/10/2003. Disponível em <
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2459&pagecounter=0&i
diom=0> Acessado em 14/06/2006
78
[7] COSTA, Marcelo A. Sampaio Lemos. Normas e procedimentos para a
computação forense. Instituto de Criminalística Afrânio Peixoto (ICAP). –
Departamento de Polícia Técnica Bahia. Disponível em:
<http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?ModId=70> Acessado em
10/06/2006
[8] COSTA, Marcelo A. Sampaio Lemos. Mundo virtual sem lei, 04/02/2004.
Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia Técnica
da Bahia. Disponível em:
<http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70> Acessado
em 11/06/2006
[9] HSBC – Uma curta história dos vírus. HSBC Bank Brasil AS. Disponível em:
<http://www.hsbc.com.br/common/seguranca/artigo-seguranca-historia-virus.shtml>
Acessado em 10/06/2006
[10] Dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Análise forense de
intrusões em sistemas computacionais: técnicas, procedimentos e
ferramentas, 2002. Instituto de Computação – Universidade Estadual de Campinas.
Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002-Periciamarcelo.reis-forense.tecnicas.procedimentos.pdf> Acessado em: 10/06/2006
[11] LAU, Marcelo. Fraude via e-mail por meio de cavalos de tróia e clonagem de
sites financeiros, NIC BR Security Office, NBSO, 12/11/2004. Disponível em:
<http://www.nbso.nic.br/docs/ssi2004/ssi2004-wtis-nbso-mlau.pdf> Acessado em
05/05/2006
[12] RFC 3227 – Guidelines for evidence collection and archiving, 02/2002.
Internet FAQ Archives . Disponível em: < http://www.faqs.org/rfcs/rfc3227.html>
Acessado em 11/06/2006
[13] LAU, Marcelo ; SANCHEZ, Pedro Luis Próspero. Técnicas utilizadas para
efetivação e contenção das fraudes sobre Internet Banking no Brasil e no
mundo. In: III Seminário Nacional de PerÍcia Crimes de Informática, 2006, São
79
Paulo, 2006. Disponível em: <http://www.datasecur.com.br/artigo.pdf> Acessado em
03/10/2006
[14] PELLEGRINI, Jerônimo; BERTACCHI, João Eduardo Ferreira; VITA, João Paulo
Rechi. Forense computacional, 22/06/2005. Instituto de Computação –
Universidade Estadual de Campinas. Disponível em:
<http://www.ic.unicamp.br/~jeronimo/abstracts/forense.pdf> Acessado em
10/06/2006
[15] REINALDO FILHO, Demócrito – Juiz de Direito no Recife. Lei sobre crimes
tecnológicos (PL 84/99) notas ao parecer do senador Marcelo Crivella,
15/05/2004. IMP – Instituto dos Magistrados de Pernambuco. Disponível em:
<http://www.imp.org.br/webnews/noticia.php?id_noticia=334&> Acessado em
08/08/2006
[16] KASPERSKY, Eugene. Spyware, Kaspersky Lab, 03/2006. Disponível em:
<http://usa.kaspersky.com/threats/spyware.php> Acessado em 01/05/2006
[17] DACAUAZILIQUÁ, José. Estagiário desvia R$ 3 milhões do INSS, Associação
Nacional das Entidades Associativas dos Servidores da Polícia Federal, 30/11/2005.
Disponível em: <http://www.ansef.org.br/verNoticia.php?cod=299> Acessado em
10/08/2006
[18] ALMEIDA FILHO, José Carlos de Araújo; CASTRO, Aldemario Araújo;
DELLÓRTO, Cláudio Luiz Braga; LIMA NETO, José Henrique Barbosa Moreira;
PORTELLA, Georgiana; BLUM, Renato M. S. Opice; BRASIL, David Paterman.
Revista de direito eletrônico – Rede 01 – ISSN. Publicação Oficial do IBDE –
Instituto Brasileiro de Direito Eletrônico, Jun a Ago/2003. Disponível em:
<http://www.ibde.org.br/revista/index_arquivos/revistadedireitoeletronico1.pdf>
Acessado em 09/08/2006
[19] DAOUN, Alexandre Jean; BLUM, Renato M. S. Opice. Cybercrimes. Coord.
Newton de Lucca e Adalberto Simão Filho. Direito & Internet: aspectos jurídicos
relevantes. Edipro 2001 pág. 126 e 127
80
[20] CONCERINO, Arthur José. Internet e segurança são compatíveis? Coor.
Newton de Lucca e Adalberto Simão Filho. Direito & Internet: aspectos jurídicos
relevantes. Edipro 2001, pág. 153
[21] Cert.br, Cartilha de segurança para Internet – parte 1 – conceitos de
segurança. Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurança no Brasil – CERT.br, 09/2005a. Disponível em:
<http://cartilha.cert.br/download/cartilha-01-conceitos.pdf> Acessado em 13/08/2006
[22] IDEC, Perigo em apenas um click – Instituto Brasileiro de Defesa do
Consumidor, 02/2005. Disponível em: <http://www.idec.org.br/emacao.asp?id=831>
Acessado em 14/08/2006
[23] SENADO FEDERAL, Projeto de Lei nº 5.403, de 2001 PLS nº 151/00.
Comissão de Ciência e Tecnologia, Comunicação e Informática. Disponível em:
<http://www.camara.gov.br/sileg/integras/190128.htm> Acessado em 11/06/2006
[24] KAMINSKI, Omar. 10º Seminário RNP de capacitação e inovação – Mesa
Redonda – Crimes Digitais - Rede Nacional de Ensino e Pesquisa, 01/12/2004.
Disponível em: < http://www.rnp.br/_arquivo/sci/2004/omar.pdf> Acessado em
08/05/2006
[27] ARGOLO, Frederico Henrique Bohm. Análise forense em sistemas
GNU/Linux – Redes de Alta Velocidade - Universidade Federal do Rio de Janeiro,
abril/2005. Disponível em:
<http://www.ravel.ufrj.br/arquivosPublicacoes/projetofinal_fred.pdf> Acessado em:
09/05/2006
[25] – SANS Institute – Computer security education and information security
training. Disponível em: <http://www.sans.org/> Acessado em 28/03/2006
81
[26] PUCCIARIELLO, Síssi. Cartilha ensina como se proteger na Internet, abril,
2003. Disponível em: < http://www.cert.br/docs/reportagens/2003/2003-04-00.html>
Acessado em 01/05/2006
[27] MENDES, Sérgio Peixoto. Vírus - O Conhecimento é a prevenção, Portal do
SERPRO, 2000. Disponível em:
<http://www.serpro.gov.br/publicacao/tematec/2000/ttec52> Acessado em
05/05/2005
[28] PoP-SC – Vírus e worms, Segurança de Redes e Computadores, PoP-SC,
Ponto de Presença da RNP em Santa Catarina. Disponível em: <http://www.popsc.rnp.br/site/seg/worms.php> Acessado em 05/05/2005
[29] SOS Informática, Suporte ao Usuário – Vírus de computador, Secretaria Geral
de Informática, Universidade Federal de São Carlos, UFSCAR, 2004. Disponível em:
<http://www.ufscar.br/~suporte/vir01.php> Acessado em: 05/05/2005
[30] ROCHA, Luis Fernando. Perícia forense computacional em debate – Módulo
Security Magazine, 16/08/2004. Disponível em:
<http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3204&pagecounter=0
&idiom=0> Acessado em: 28/04/2006
[31] GUIMARÃES, Cardoso Célio; OLIVEIRA, Flávio de Souza; dos REIS, Marcelo
Abdalla; de GEUS, Paulo Lício. Forense computacional: aspectos legais e
padronização – Instituto de Computação – Universidade de Campinas. Disponível
em: <http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveiramarcelo.reis-forense.pdf> Acessado em 01/05/2006
[32] Trinux – Packages. Disponível em: <http://trinux.sourceforge.net/tools.html>
Acessado em 12/07/2006
[33] SILVA, Paulo Quintiliano. Cooperação policial internacional no combate aos
crimes cibernéticos. Departamento de Polícia Federal – DPF – Associação
Nacional dos Peritos Criminais Federais – APCF – ICCyber´2004 – I Conferência
82
internacional de perícias em crimes cibernéticos, set/2004. Disponível em: <
http://www.angelfire.com/falcon/hsramos/anais_iccyber.pdf> Acessado em
26/09/2006
[34] OLIVEIRA, Flávio de Souza. Metodologias de análise forense para
ambientes baseados em NTFS, 2001. Disponível em:
<http://www.las.ic.unicamp.br/paulo/papers/2001-SSI-flavio.oliveira-forense.ntfs.pdf>
Acessado em 12/07/2006
[35] OLIVEIRA, Flávio de Souza; GUIMARÃES, Célio Cardoso; de GEUS, Paulo
Lício. Resposta a incidentes para ambientes corporativos baseados em
windows, 2002. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002WSeg-flavio.oliveira-resposta.incidentes.pdf> Acessado em 13/07/2006
[36] Computer Forensics, Cybercrime and Steganography Resources – Forensics.nl
computer forensics toolkits, digital evidence software suites. Disponível em:
<http://www.forensics.nl/toolkits> Acessado em 09/07/2006
[37] Consulta Tramitação das Proposições – PL89/03 – antiga PL 84/99, Projeto de
Lei nº 89, de 2003. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=15028> Acessado em
30/07/2006
[38] Senado Federal, Diário do Senado Federal, 08/2005. Disponível em:
<http://www.senado.gov.br/web/cegraf/pdf/10082005/27157.pdf> Acessado em
15/11/2006
[39] Serpro. Virando Lei, 10/2006. Disponível em:
<http://www.serpro.gov.br/publicacoes/tema/materias/leg_187_01> Acessado em
15/11/2006
[40] LOBATO, Elvira. Projeto quer controlar acesso à Internet. Folha de São
Paulo Rio de Janeiro, 11/2006. Disponível em:
83
<http://www1.folha.uol.com.br/folha/informatica/ult124u20908.shtml> Acessado em
15/11/2006
[41] ZIMMERMANN, Patrícia. Senado adia votação de projeto que obriga
identificação de usuários na Internet. Jornal Folha Online de Brasília, 11/2006.
Disponível em: <http://www1.folha.uol.com.br/folha/informatica/ult124u20934.shtml>
Acessado em 15/11/2006
[42] Consulta Tramitação das Proposições – PL3301/04. Projeto de Lei nº 3301, de
2004. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=159508> Acessado em
29/07/2006
[43] Consulta Tramitação das Proposições – PL3303/00. Projeto de Lei nº 3303, de
2000. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=19443> Acessado em
29/07/2006
[44] Consulta Tramitação das Proposições – PL6557/02. Projeto de Lei nº 6557, de
2002. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=49033> Acessado em
29/07/2006
[45] Consulta Tramitação das Proposições – PL3891/00. Projeto de Lei nº 3891, de
2000. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=20405> Acessado em
29/07/2006
[46] Consulta Tramitação das Proposições – PL4972/01. Projeto de Lei nº 4972, de
2001. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=31406> Acessado em
31/07/2006
84
[47] Consulta Tramitação das Proposições – PL5977/01. Projeto de Lei nº 5977, de
2001. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=42264> Acessado em:
31/07/2006
[48] Consulta Tramitação das Proposições – PL7461/02. Projeto de Lei nº 7461, de
2002. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=101782> Acessado em
29/07/2006
[49] Consulta Tramitação das Proposições – PL480/03. Projeto de Lei nº 480, de
2003. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=107806> Acessado em
31/07/2006
[50] Consulta Tramitação das Proposições – PL1256/03. Projeto de Lei nº 1256, de
2003. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=119929> Acessado em
31/07/2006
[51] Consulta Tramitação das Proposições – PL2196/03. Projeto de Lei nº 2196, de
2003. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=136951> Acessado em
02/08/2006
[52] Consulta Tramitação das Proposições – PL4562/04. Projeto de Lei nº 4562, de
2004. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=272126> Acessado em
02/08/2006
[53] Consulta Tramitação das Proposições – PL5009/05. Projeto de Lei nº 5009, de
2005. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=280666> Acessado em
02/08/2006
85
[54] Consulta Tramitação das Proposições – PL6827/06. Projeto de Lei nº 6827, de
2006. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=318885> Acessado em
02/08/2006
[55] Consulta Tramitação das Proposições – PL3016/00. Projeto de Lei nº 3016, de
2000. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=18973> Acessado em
02/08/2006
[56] Consulta Tramitação das Proposições – PL18/03. Projeto de Lei nº 18, de
2003. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=104340> Acessado em
08/08/2006
[57] Consulta Tramitação das Proposições – PL6024/05. Projeto de Lei nº 6024, de
2005. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=302629> Acessado em
08/08/2006
[58] Consulta Tramitação das Proposições – PL6931/06. Projeto de Lei nº 6931, de
2006. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=321388 Acessado em
08/08/2006
[59] Consulta Tramitação das Proposições – PL4144/04. Projeto de Lei nº 4144, de
2004. Câmara dos Deputados. Disponível em:
<http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=264659 Acessado em
08/08/2006
[60] Consulta Tramitação das Proposições – PL5403/01. Projeto de Lei nº 5403, de
2001. Câmara dos Deputados. Disponível em:
86
<http://www.camara.gov.br/sileg/prop_detalhe.asp?id=34462> Acessado em
08/08/2006
[61] WENDEL, Henrique Guglielmetti. Anti forensics: dificultando análises
forenses computacionais. Wendel Security, 03/2006. Disponível em:
<http://ws.hackaholic.org/slides/AntiForense.ppt> Acessado em 09/09/2006
[62] MARES, Dan. Alternate data streams. Mares and Company – Computer
Forensics and Data Analysis, 2005. Disponível em:
<http://www.dmares.com/maresware/html/ads.htm> Acessado em 10/09/2006
[63] OLIVEIRA, Flávio de Souza. Resposta a incidentes e análise forense para
redes baseadas em windows 2000. Instituto de Computação – Universidade
Estadual de Campinas, 11/2002b. Disponível em:
<http://www.las.ic.unicamp.br/paulo/teses/20021121-MSc-Flavio.OliveiraResposta.a.incidentes.e.analise.forense.para.redes.baseadas.em.Windows.2000.pdf
> Acessado em 10/09/2006
[64] MITNIK, Kevin D. ; SIMON, William L. The art of deception – controlling the
human Element of security, 2002. Disponível em:
<http://files.hugepedlar.com/Kevin_Mitnick_-_Art_Of_Deception.pdf> Acessado em
10/09/2006
[65] PASSOS, Jeane dos Reis; VIEIRA, Simone Maia Prado; ROKICKI, Cristiane
Camizão (organizadoras); CORRÊA, Rosa Maria Rodrigues (colaboração). Guia de
normalização de monografias, dissertações e teses para alunos das
faculdades Senac – São Paulo, 2005. 78p. (versão revisada)
[66] OLIVEIRA, Marcelo. MPF/SP pede ao Google indenização de R$ 130
milhões. Assessoria de Comunicação – Procuradoria Geral da República em São
Paulo – Ministério Público Federal, agosto/2006. Disponível em:
<http://www.pgr.mpf.gov.br/pgr/imprensa/iw/nmp/public.php?publ=8014> Acessado
em 27/09/2006
87
[67] FOINA, Ariel G.; REIS, Igor de V. Cavalcante. O Documento eletrônico como
prova de crimes: as questões do cibercrime e da rede para o direito penal e
seu processo. Instituto Nacional de Tecnologia da Informação, 2003. Disponível
em: <http://www.iti.br/twiki/pub/Forum/ArtigoJ202/j06-ArielFoinaIgorReis.rtf>
Acessado em 28/09/2006
[68] L12228/06. LEI Nº 12.228, DE 11 DE JANEIRO DE 2006. Ministério Público –
Estado do Rio Grande do Sul. Disponível em:
<http://www.mp.rs.gov.br/consumidor/legislacao/id2316.htm> Acessado em
29/09/2006.
[69] SRF. Leiaute dos certificados digitais da SRF – Secretaria da Receita
Federal – SRF, versão 3.0.1, jan/2003. Disponível em:
<http://www.receita.fazenda.gov.br/acsrf/LeiautedeCertificadosdaSRF.pdf>
Acessado em 01/10/2006
[70] Melo, Kleber, responsável pela segurança da informação do Banco HSBC – por
Françoise Terzian ao Jornal Valor. Conscientização do correntista é a única saída
para diminuir fraudes. Jornal Valor – Especial Segurança on-line, out/2006.
Acessado em 02/10/2006.
[71] FERREIRA, Cláudio. Certificação digital: bancos entram no jogo. Revista
Tiinside – nº 16, ago/2006. Disponível em:
http://www.tiinside.com.br/revistas/16/ecommerce.asp> Acessado em 03/10/2006
[72] SIQUEIRA, André. Tecnologia pega-ladrão – com investimento, os bancos
esperam diminuir as fraudes digitais. Instituto Nacional de Tecnologia da
Informação, ago/2006. Disponível em: <
http://www.iti.br/twiki/bin/view/Main/MidiaClip2006Aug14A> Acessado em 03/10/06
[73] FIORESE, Maurício. Autenticação de usuários. Universidade Federal do Rio
Grande do Sul. Disponível em
http://penta.ufrgs.br/pesquisa/fiorese/autenticacaoeadcap2.htm. Acessado em
03/10/2006
88
[74] LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente Internet
Banking. Universidade de São Paulo – Escola Politécnica, 2006a. Disponível em:
<http://www.datasecur.com.br/Dissertacao.pdf> Acessado em 12/10/2006
[75] AQUINO, Tacilda. Seu computador pode ser um zumbi. Universidade
Estadual de Goiás, 10/2005. Disponível em: <http://www.ueg.br/informatica_200510-27.htm> Acessado em 14/10/2006
[76] Cert.br, Cartilha de segurança para Internet – parte 8 – códigos maliciosos.
Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil –
CERT.br, 09/2005b. Disponível em: <http://cartilha.cert.br/download/cartilha-08malware.pdf> Acessado em 14/10/2006
[77] ESTADÃO. Aumentam incidentes de segurança na Web brasileira,10/2006.
Disponível em:
<http://www.estadao.com.br/tecnologia/internet/noticias/2006/out/06/117.htm?RSS>
Acessado em 14/10/2006
[78] LENTULUS, Gabriel. A agência nacional contra crimes digitais. Revista
Excelência Meritíssimo – Site Pesquisa em Ação – Revista Científica para
Graduação, 10/2005. Disponível em: <
http://www.pesquisaemacao.com.br/direito_artigo_a0002.pdf> Acessado em
14/10/2006
[79] Cert.br, Cartilha de segurança para Internet – Parte 2 – riscos envolvidos
no uso da Internet e métodos de prevenção. Centro de Estudos, Respostas e
Tratamento de Incidentes de Segurança no Brasil – CERT.br, 09/2005c. Disponível
em: <http://cartilha.cert.br/download/cartilha-02-prevencao.pdf> Acessado em
14/10/2006
[80] Lau, Marcelo. Maioria das fraudes em Internet Banking aplicadas no
exterior já tiveram precedente no Brasil. Universidade de São Paulo, 09/2006b.
89
Disponível em: http://www.usp.br/agen/repgs/2006/pags/197.htm> Acessado em
15/10/2006