Sorocaba Ana Cristina Trevenzoli Perícia forense computacional
Transcrição
Sorocaba Ana Cristina Trevenzoli Perícia forense computacional
FACULDADES SENAC - Sorocaba Ana Cristina Trevenzoli Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas Sorocaba 2006 ANA CRISTINA TREVENZOLI Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas Trabalho de conclusão de curso, da Faculdade Senac de Sorocaba, como exigência parcial para a obtenção do Diploma de Especialização em Segurança de Redes e Sistemas. Orientador: Prof. Marcelo Lau Sorocaba 2006 Trevenzoli, Ana Cristina Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas das ameaças sobre o ambiente operacional – Sorocaba, 2006. 89 f. Trabalho de Conclusão de Curso – Centro Universitário Orientador: Prof. Marcelo Lau 1.Crime digital 2. Forense em computação 3.Vírus CDD. 364.168 Senac Aluna: Ana Cristina Trevenzoli Título: Perícia forense computacional – ataques, identificação da autoria, leis e medidas preventivas. Trabalho de conclusão de curso apresentado ao Centro Universitário Senac – Campus Sorocaba, como exigência parcial para obtenção de grau de Especialista em Segurança de Redes e Sistemas. Orientador Prof. Marcelo Lau A banca examinadora dos Trabalhos de Conclusão em sessão pública realizada em __/__/____, considerou o(a) candidato(a): 1) Examinador(a) 2) Examinador(a) 3) Presidente Dedicatória Dedico este trabalho a Deus, meus pais, meu marido Jorge e a todos os colegas do curso de pósgraduação em Segurança de Redes e Sistemas do Senac pela ajuda, incentivo e apoio durante a sua realização. Agradecimentos Ao Professor e Mestre Marcelo Lau pela orientação, apoio, esclarecimentos e ensinamentos técnicos durante todo o decorrer do trabalho. Aos amigos que contribuíram de alguma maneira para a elaboração do trabalho como a advogada Lídia Adriana Macedo com explicações em assuntos jurídicos. Aos colegas do curso de Pós Graduação em Segurança de Redes e Sistemas do Senac Sorocaba pela ajuda na obtenção de bibliografia para a realização das pesquisas. RESUMO Este trabalho apresenta os procedimentos que são utilizados atualmente ou aplicados em futuro próximo para a realização de uma fraude com objetivo de desvio de dinheiro através do computador do cliente de um banco no momento da realização de uma transação financeira. Este trabalho também mostra como um perito computacional trabalha em busca de provas e evidências que serão utilizadas num processo criminal e quais os requisitos e conhecimentos ele precisa ter para ser capaz de realização deste trabalho. Como a polícia utiliza as provas e pistas encontradas pelos peritos para chegar ao autor do crime, descrevendo as dificuldades encontradas neste processo como a identificação da autoria, enquadramento e julgamento dos fraudadores nas leis existentes e quais são os projetos de leis em trâmite que visam regularizar o delito virtual. Finalizando são mostradas as medidas preventivas realizadas pelas instituições financeiras com o objetivo de diminuir as ocorrências dos crimes e quais são as maiores dificuldades para eliminação desse problema que vem crescendo nos últimos anos. ABSTRACT The main purpose of this study is to present the procedures, currently being used or intended to be applied in the future, used to perform frauds and to which goal is to deviate money through the misuse of a bank customer computer while he is doing his financial transactions with the bank. This research also presents the work of a computer forensics specialist in the search for evidences and probes that are going to be used in a legal process and which requirements and knowledge are needed in order to accomplish his work. How the Police uses the probes and tracks found by the computer forensics specialists to get to the author of the crime, describing the difficulties met in this process such as the identification of the authorship, legal framework and judgment of the people commiting barratry of the existing laws and what are the projects of laws being discussed in order to regularize issues of virtual frauds. At last, writs of prevention done by the financial institutions are presented along with the purpose of diminishing the occurrences of computer crimes and what are the major difficulties in order to solve this crescent problem. SUMÁRIO 1. INTRODUÇÃO.............................................................................................10 1.1 CONCEITOS .......................................................................................................................................... 10 1.1.1 Perícia forense ......................................................................................................................................... 10 1.1.2 Perito computacional ............................................................................................................................... 11 1.1.3 Crime Digital ........................................................................................................................................... 11 1.2 JUSTIFICATIVA ............................................................................................................................................ 12 1.3 OBJETIVO DO TRABALHO......................................................................................................................... 12 1.4 METODOLOGIA DA PESQUISA................................................................................................................. 13 1.5 ESTRUTURA DO TRABALHO .................................................................................................................... 13 2. INÍCIO DO ATAQUE: ROUBO DE SENHA E INFORMAÇÕES ..............................................................................................15 2.1. Vírus ............................................................................................................................................................... 15 2.2. Cavalo de tróia................................................................................................................................................ 16 2.3. Worm.............................................................................................................................................................. 17 2.4. Spyware.......................................................................................................................................................... 18 2.5. Keyloggers...................................................................................................................................................... 19 2.6. SCAM............................................................................................................................................................. 19 2.7. Pharming e alteração do arquivo hosts ........................................................................................................... 20 2.8. Phishing.......................................................................................................................................................... 21 2.9 Engenharia Social............................................................................................................................................ 23 3. MÉTODOS ANTI-FORENSE PARA INIBIÇÃO DO TRABALHO DO PERITO ............................................................................26 3.1 Criptografia ..................................................................................................................................................... 26 3.2 Rootkits ........................................................................................................................................................... 27 3.3 Esteganografia ................................................................................................................................................. 28 3.4 Ferramentas wipe para apagar os dados .......................................................................................................... 30 3.5 Fluxo de dados alternativo (ADS) ................................................................................................................... 30 3.6 Slack Space...................................................................................................................................................... 31 3.7 Botnet .............................................................................................................................................................. 32 4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS..............34 4.1 Forensic and Incident Response Environment (Fire) ...................................................................................... 39 4.2 Trinux .............................................................................................................................................................. 39 4.3 The Sleuth Kit (TSK) ...................................................................................................................................... 40 4.4 Autopsy Forensic Browser (AFB)................................................................................................................... 40 4.5 Cygwin Tools .................................................................................................................................................. 40 4.6 MS-Diskedit .................................................................................................................................................... 41 4.7 MD5summer.................................................................................................................................................... 41 4.8 Strings.............................................................................................................................................................. 41 4.9 FTK (Forensic Toolkit) ................................................................................................................................... 42 4.10 ImageMASSter Solo-3 .................................................................................................................................. 42 4.11 ENCASE ....................................................................................................................................................... 42 5. COMO IDENTIFICAR A AUTORIA DE CRIMES .......................44 6. LEIS E PROJETOS DE LEIS ...............................................................50 7. MEDIDAS DE PREVENÇÃO................................................................66 8. CONSIDERAÇÕES FINAIS ..................................................................72 8.1 CONCLUSÃO................................................................................................................................................. 72 8.2 TRABALHOS FUTUROS.............................................................................................................................. 75 REFERÊNCIAS ................................................................................................77 10 1. INTRODUÇÃO A falta de softwares1 específicos e procedimentos de segurança da informação em computadores pessoais ou mesmo pertencentes a empresas, ajudam no aumento dos crimes digitais2, pois facilitam a obtenção de senhas, números de contas, cartões e outras informações sigilosas. O fraudador consegue obter informações importantes das pessoas que utilizam computador com acesso a serviços disponíveis na Internet, através de programas como spywares, keyloggers, e técnicas como scams, phishings, todos discutidos melhor no capítulo 2, e outras ferramentas com código malicioso que são instaladas nos computadores das vítimas, que reflete o elo mais fraco numa transação financeira online, onde fazem parte também, a entidade financeira e o meio de transmissão das informações, que geralmente são mais seguros. 1.1 CONCEITOS Para que haja um melhor entendimento sobre os termos utilizados no trabalho, serão descritos alguns conceitos importantes. 1.1.1 Perícia forense O termo perícia forense computacional refere-se aos métodos utilizados por profissionais para, obtenção, preservação, análise, e documentação de provas digitais com o objetivo de reuni-las, para reconstruir o cenário no momento da fraude, utilizando em um processo judicial as evidências encontradas. As provas podem ser as mais diversas possíveis como e-mails, arquivos de registros (conhecidos como logs), arquivos temporários com informações pessoais, conexões abertas3, processos em execução4, e outras evidências que possam existir 1 Softwares é o nome em inglês dado aos programas de computadores, que são os aplicativos que utilizamos no computador como Word, Excel, Outlook. 2 O termo crimes digitais está detalhado no decorrer deste capítulo. 3 Quando um computador se conecta com algum outro através da rede, seja local ou pela Internet, uma conexão é criada tanto na máquina de origem (cliente), quanto na máquina de destino (servidor). Dependendo da aplicação ou serviço ao qual o computador cliente quer se conectar, uma conexão é estabelecida, com uma 11 na máquina, mas para serem aceitas num processo jurídico, devem ter sido obtidas de forma lícita. No entanto, pode haver contestações devido às falhas na argumentação e principalmente porque muitas vezes a vítima ou o criminoso estão em países diferentes envolvendo legislações distintas. A eliminação de fronteiras, conseguida através da Internet traz várias vantagens para as pessoas que fazem utilização da Internet, pois permite a troca de informações com países do mundo inteiro, mas também causa problemas devido a políticas diferentes de cada país. 1.1.2 Perito computacional É o profissional capacitado e preparado para realizar uma perícia sendo que uma das habilidades necessárias para um perito nesta área é possuir conhecimentos sobre o funcionamento do sistema operacional a ser pesquisado. Com base nesse conhecimento, o perito tem maior capacitação para reconstituir o cenário do passado (procedimento utilizado para o perito traçar o caminho feito pelo fraudador e facilitar a compreensão do ocorrido) onde há o suspeito crime digital. 1.1.3 Crime Digital Crime digital refere-se a fraudes ou roubos cometidos utilizando-se de computadores e do meio Internet. O fraudador invade um computador, obtém senhas e/ou outros dados confidenciais e realiza um desvio de dinheiro. Há outros crimes realizados como pedofilia, difamação, roubo de identidade, racismo, tráfico de drogas, que se enquadram no termo crime digital, mas não serão citados neste trabalho. porta de comunicação específica da aplicação desejada. Ao encerrar a comunicação, a conexão é fechada, mas enquanto ela permanece ativa chamamos de “conexão aberta”. 4 Ao executar um programa no computador, é criado um processo do mesmo, ou seja, o programa é carregado na memória e começa sua execução, e por isso ele cria um processo que é carregado para que possa funcionar. Caso o processo continue em execução significa que o programa está em atividade. 12 1.2 JUSTIFICATIVA A engenharia social e a inocência dos usuários trabalham em benefício dos criminosos que conseguem induzir um cliente a acessar uma página falsa do seu banco. Apesar de que nos dias atuais o cavalo de tróia5 é o método mais utilizado para fraudes financeiras (LAU, 2006a, p.87). De posse das informações necessárias um fraudador realiza o ataque desviando dinheiro das contas fraudadas e o perito terá que utilizar pistas e falhas deixadas por esses criminosos para conseguir obter provas e chegar até eles. Muitas empresas e entidades financeiras são ameaçadas por esses fraudadores que estão cada vez mais eficientes devido ao avanço tecnológico e à facilidade de obtenção de informações na Internet com a divulgação de técnicas e softwares para pessoas até sem conhecimentos mínimos de informática consigam praticar esses crimes. A falta da existência de leis específicas para crimes virtuais, e o fato do invasor não estar fisicamente no local do crime, gera a sensação de anonimato, tornando os crimes virtuais cada vez mais comuns e elaborados. 1.3 OBJETIVO DO TRABALHO O objetivo deste trabalho é apresentar se houve evolução nos métodos utilizados pelos fraudadores para a realização de uma fraude visando o desvio de dinheiro através da Internet, propondo também identificar se as técnicas para eliminação de provas são eficazes e podem resultar no sucesso do fraudador. Deverá apresentar as qualidades necessárias de um perito para a realização do trabalho investigativo e o que pode ser esperado no futuro em relação à ética desse profissional com o aumento de seu conhecimento técnico. É necessário esclarecer se a identificação da autoria dos crimes é possível ou se o anonimato é garantido. Em casos de sucesso na identificação do autor do crime como estão as leis atuais para julgamento e projetos de leis existentes. 13 Apontar os investimentos em segurança da informação sendo realizados pelos bancos, medidas tomadas com o objetivo de diminuição das fraudes, verificando se as campanhas realizadas, com a finalidade de conscientização dos clientes, estão surtindo efeito, e a maneira como as instituições financeiras agem em relação às perdas de dinheiro e o ressarcimento dos clientes é um outro ponto abordado no trabalho. Além disso, o objetivo é mostrar as medidas preventivas que poderiam ser tomadas com a intenção de resolver ou pelo menos diminuir o problema e qual seria a solução efetiva (se existir) provida pelas instituições financeiras em conjunto com o cliente para eliminação das fraudes virtuais. 1.4 METODOLOGIA DA PESQUISA Este trabalho está baseado em informações disponibilizadas por profissionais da área de segurança da informação e jurídica, sites6 com informações dessa natureza e casos ocorridos que por ventura foram divulgados, bem como experiências de diversos outros profissionais que possam ter envolvimento no trabalho de perícia forense computacional. 1.5 ESTRUTURA DO TRABALHO Os vários tipos de códigos maliciosos utilizados pelos fraudadores e a maneira como a engenharia social contribui para a realização de uma fraude são identificados no capítulo dois. Ao ser realizada uma fraude, na tentativa de eliminação das evidências e garantia da permanência e acesso do fraudador ao computador já invadido, assim como, técnicas conhecidas como anti-forense, discutidas no capítulo três. Diante da ocorrência e denúncia de uma fraude, cometida através dos códigos maliciosos ou engenharia social, o passo seguinte em uma perícia forense computacional é a tentativa de detecção da fraude, no qual estão detalhadas no 5 6 Termo detalhado e explicado no decorrer do trabalho Site é o termo em inglês utilizado para referenciar uma página ou conjunto de páginas na Internet 14 capítulo quatro algumas técnicas, procedimentos e ferramentas utilizadas pelos peritos para a realização do trabalho em busca das evidências. Ao serem encontradas as possíveis provas e evidências da fraude cometida, os passos e procedimentos realizados em busca da identificação da autoria estão detalhados no capítulo cinco. Caso o fraudador seja localizado e responda por processo criminal será necessário o uso de leis atuais para o julgamento, que estão discutidas no capítulo seis, juntamente com os projetos de leis para crimes virtuais. Com a intenção de prevenir os crimes financeiros realizados a partir da Internet, são discutidas no capítulo sete as medidas preventivas adotadas para minimização das ocorrências dessas fraudes. E, no último capítulo está a conclusão do trabalho e recomendações de trabalhos futuros. 15 2. INÍCIO DO ATAQUE: ROUBO DE SENHA E INFORMAÇÕES O fraudador consegue, além do uso de engenharia social, descrito melhor no item 2.9 deste capítulo, obter informações importantes de contas, números de cartões, senhas das pessoas através de programas como vírus, spyware, keylogger, scam, phishing e outras ferramentas com código malicioso. De posse das informações necessárias ele realiza o ataque desviando dinheiro da conta corrente da vítima. Abaixo seguem exemplos de alguns códigos maliciosos utilizados pelos fraudadores para obtenção das informações sigilosas em ordem cronológica de surgimento: 2.1. Vírus É o primeiro código malicioso criado, em 1986 (HSBC, 2004, p.01) e trata-se de um programa de computador projetado para causar algum dano ao computador realizando alterações sem permissão. Cada vírus tem uma característica principal que pode ser: a coleta de informações, destruição de dados, alteração do código de algum programa de computador, fazendo-o se comportar de maneira diferente, ou o auto envio por e-mail para todos os endereços encontrados na máquina, geralmente forjando o nome do remetente para dificultar ainda mais a detecção do computador realmente infectado. Essa última característica é a predominante nos vírus atuais. Quando uma mensagem infectada com um vírus, é recebida por um servidor de e-mails, que possui algum antivírus, uma mensagem é enviada com um alerta de vírus para o remetente. No entanto, como o remetente foi forjado, a pessoa que recebe esse alerta não foi quem realmente enviou o vírus. Com isso, esta passa a ter uma preocupação grande por pensar que seu computador está infectado e com isso irá procurar atualizar ou instalar um antivírus, procurar por vestígios de infecção, etc, gerando assim perda de tempo e produtividade. 16 Os computadores infectados por vírus possuem, na grande maioria, o sistema operacional Windows, da Microsoft, por ser o mais usado atualmente pela população e por possuir maior número de vulnerabilidades expostas e divulgadas com freqüência. Há vírus para outras plataformas como Macintosh7 e baseados em Linux8 mas além de raros, possuem limitações nos estragos causados. Os métodos de infecção por vírus são vários, desde disquetes, rede local9, programas de compartilhamento de arquivos, execução de programas contaminados, recebidos através de e-mails, entre outros. O vírus muitas vezes coloca uma falsa extensão no arquivo10 para esconder a verdadeira extensão e fazer com que o destinatário pense que se trata de um arquivo inofensivo, encorajando-o a abri-lo. Outro motivo que leva o destinatário a executar o arquivo é a confiança de que realmente foi recebido de uma pessoa conhecida, pois o nome dessa pessoa pode constar no campo de remetente, e muitas vezes também porque o conteúdo do assunto coincide com o que é habitualmente tratado com o destinatário. Os vírus estão mais inteligentes e com isso além de forjarem o remetente, ainda retiram trechos de textos de e-mails já enviados ou recebidos e que podem coincidir com algum assunto já tratado entre o destinatário e o remetente, fazendo com que a mensagem pareça legítima e vinda da pessoa de nome forjado. No entanto não é só por e-mail que um vírus pode aparecer. Algumas falhas de segurança dos sistemas operacionais ou de outros programas instalados na máquina podem permitir que determinados vírus entrem na máquina sem que o usuário possa resolver executar ou não o arquivo contaminado. 2.2. Cavalo de tróia Logo após a criação dos vírus, no mesmo ano, em 1986 (HSBC, 2004, p.01) surgiu o cavalo de tróia. Esse nome foi herdado da lenda, que gerou a expressão “presente de grego”, na qual os soldados gregos haviam presenteado os troianos 7 Computador pessoal desenvolvido pelo fabricante Apple cujo sistema operacional é diferente do Windows, da Microsoft e de sistemas baseados em Linux. 8 Sistema operacional com características do Unix. É gratuito e de domínio público, ao contrário do Windows e Macintosh. 9 É uma rede (interligação de computadores) geralmente limitada a um prédio ou instituição. 10 São as três letras subseqüentes ao ponto que identificam o tipo de arquivo e o software que pode interagir com o mesmo. 17 com um enorme cavalo de madeira que simbolizava a desistência dos mesmos da guerra. Dentro deste cavalo havia soldados gregos que saíram de dentro dele à noite para abrir as portas da cidade de Tróia para entrada de muitos outros soldados para o ataque. Os programas denominados cavalos de tróia, assim como os spywares, também são mal intencionados e têm por objetivo obter informações sigilosas (senhas, números de cartões e contas, certificados digitais, etc) enviando-as para o fraudador. Uma vez ativo, ele monitora a navegação do internauta e mostra uma falsa tela quando este último acessa as páginas seguras de bancos. Dependendo de outras características, essa praga pode permitir que o computador seja acessado remotamente pelo atacante. Além disso, pode possuir outras funções como capturar dados, parar a execução do antivírus e de outros programas relacionados à segurança, apagar arquivos ou modificá-los, atacar outros servidores, entre outras. Como se não bastasse ele ainda possibilita a abertura de portas de comunicação do computador para que outras pessoas possam invadi-lo ou ainda enviar vírus e outros programas mal intencionados. Com isso, a máquina se torna uma presa fácil para hackers11 invadirem e realizarem outros estragos que desejarem tais como, formatá-la, apagar seus arquivos de dados, etc. A infecção por um cavalo de tróia é possível através da instalação de outros programas considerados inofensivos como, por exemplo, jogos, utilitários, programas de computador gratuitos ou, na maior parte das vezes, através de scam (e-mails falsos que fingem ter como remetentes bancos, receita federal, serasa, etc) (BRADESCO, p.03). Aliás, esse método de infecção através de scam12 é usado exclusivamente pelo cavalo de tróia, o que o diferencia dos spywares que não utilizam esse método. 2.3. Worm 11 Nome dado a pessoas que possuem um bom conhecimento de informática, mas os utilizam para fins ilícitos. São e-mails fraudulentos imitando comunicados de bancos, lojas virtuais e outros no qual induz a pessoa a entrar em sites falsos que contém arquivos suspeitos que infectam a máquina. 12 18 Worm, que significa “verme” em inglês, trata-se de um vírus “inteligente”, diferenciando-o dos tipos mais comuns, e foi criado em 1988 (HSBC, 2004, p.01). Essa inteligência está relacionada à maneira com que ele é disseminado. A rapidez com que contamina outras máquinas é mais eficiente sendo feita de várias maneiras, mas principalmente com envio de e-mails para todos os endereços armazenados localmente, podendo até usar um SMTP13 próprio e através da rede local utilizando-se de pastas compartilhadas. Podem ainda se espalhar com auxílio de outros programas que possuem alguma facilidade, por abrirem algumas portas de comunicação, como programas para download14 e upload15 de arquivos como o Kazaa ou canais de bate-papo como IRC. 2.4. Spyware Um spyware, com surgimento no ano de 2002 (Kaspersky, 2005, P.01), e aprimorado com o passar do tempo, é um software que rouba informações confidenciais (senhas de cartões e de banco, por exemplo) e pessoais, enviando para uma outra pessoa através da Internet, provavelmente o editor do spyware, sem que o dono do computador e das informações tome conhecimento. Ele pode também colher informações sobre hábitos na Internet, como sites mais acessados, preferência de compras, estilo musical, etc. Pode-se considerar que o spyware é um software de dupla funcionalidade porque ele se instala a partir de outro aplicativo, ou seja, o usuário faz download na Internet de algum programa de computador gratuito interessante, por exemplo, para download de músicas, um utilitário, um jogo, etc e junto com o software vem um spyware. Ao instalar um desses programas vindos da Internet, além das funções desejadas do programa em questão, são instaladas funções de espionagem que são realizadas pelo spyware. 13 SMTP – Simple Mail Transfer Protocol. Protocolo padrão utilizado para entrega de e-mails. Copiar arquivos de um computador remoto para um local. 15 Transferir um arquivo do computador local para um outro remoto, através da Internet. 14 19 Estas ameaças também podem ser instaladas através de programas solicitados enquanto se faz uma navegação na Internet, como por exemplo, plug-in16 ou alguma correção ou recurso do browser17 para permitir corretamente a navegação de um determinado site, ou ainda através da instalação automática de alguns programas que são iniciados ao entrar em determinado site. Os browsers costumam solicitar confirmação para essas instalações, mas caso o sistema operacional esteja sem atualizações recentes de segurança ou estiverem em versões muito antigas, o computador pode não solicitar essa permissão. Outra fonte de infecção ocorre quando a máquina já está infectada por algum vírus, worm, ou cavalo de tróia. Esses códigos maliciosos podem deixar a máquina com brechas de segurança através de portas de comunicação abertas para invasões. 2.5. Keyloggers São aplicativos, como um cavalo de tróia, que tem como objetivo roubar senhas digitadas no teclado, pois possuem recursos para detectar qual tecla o usuário pressionou na hora da digitação da senha para algum acesso confidencial ou sigiloso. Ele mapeia a posição das teclas de uma maneira que possibilite saber exatamente o que foi digitado, e essas informações são enviadas para o atacante. Seu uso em técnicas de cavalo de tróia para furto de informações bancárias foi identificado em 2002 e tem sido aprimorado desde então, “permitindo associação da identificação de tela da aplicação com o dado capturado”, segundo LAU (2004, p.11). 2.6. SCAM 16 Utilitários adicionais que devem ser instalados para visualização de recursos implementados no site visitado. Paginador ou navegador é um programa utilizado para visualizar as páginas na Internet. Exemplo de browser: Internet explorer, netscape. 17 20 É o método atual mais utilizado para fraudes em Internet Banking no Brasil (LAU; SANCHEZ, 2006, p.03). São e-mails indesejáveis, assim como o spam18, no entanto não chegam apenas com a intenção de vender algum produto, e sim carregam com eles arquivos com cavalos de tróia na tentativa de roubar senhas ou outras informações sigilosas e confidenciais. Inicialmente, criados em 2002, traziam texto forjando ser de uma instituição financeira, e assim, induzindo e tentando convencer a vítima ao acesso, contando com a credibilidade da instituição. Posteriormente passaram a não utilizar somente nomes de instituições financeiras e sim várias outras entidades que poderiam levar a vítima a acessar o site apostando na curiosidade ou preocupação, dependendo do argumento utilizado (LAU, 2004, p.11). O golpe busca atingir a vítima, através da instalação acidental de um programa existente no link19 forjado. A partir da instalação deste agente, os dados são coletados no computador infectado por meio de digitação ou ações realizadas a partir do mouse. Estes programas também são conhecidos como cavalos de tróia. O processo de captura de credenciais pode ser imperceptível a vitima, ou se apresentar na forma de uma tela sobreposta sobre os aplicativos do computador, induzindo a vítima a colaborar voluntariamente com o fornecimento de dados pessoais. “Em geral, os dados capturados são enviados ao fraudador por meio de protocolos de transferência de arquivos (ftp - file transfer protocol), ou protocolos de envio de mensagens (smtp – simple mail transfer protocol)”, segundo Lau e Sanchez (2006, p.02). 2.7. Pharming e alteração do arquivo hosts Surgiram em 2002 e 2003 (LAU; SANCHEZ, 2006, p.04) cavalos de tróia que realizavam alterações no arquivo hosts (arquivo do sistema operacional Windows, verificado inicialmente quando um acesso à rede externa for solicitado) direcionando 18 Spam são mensagens indesejadas, em sua maioria com propagandas de produtos, que chegam às caixas de correio das pessoas sem que elas tenham solicitado ou autorizado esse recebimento. 19 Link é o endereço para um site na Internet no qual basta clicar para que o site vinculado ao link seja aberto. 21 a vítima para um site forjado, ou seja, o acesso não é feito ao site idôneo e sim a um outro definido pelo atacante. A vítima acessa um site forjado, mas ao contrário do phishing (explicado no próximo item, no qual o fraudador precisa convencer a vítima a acessar o site contido no e-mail), no pharming (nome criado apenas em 2005 (LAU; SANCHEZ, 2006, p.04)) a alteração é feita no serviço DNS, que é utilizado pelo sistema operacional para saber o endereço IP20 do servidor do site requisitado. Como o serviço DNS contém informações errôneas referentes ao site procurado pelo sistema operacional, ele carregará as informações da página forjada, na qual o fraudador possui, controle total, e meios para roubar as informações da vítima como senha, número da conta, número de cartão de crédito ou outras confidenciais. 2.8. Phishing Uma das fraudes mais recentes e atualmente a mais utilizada no exterior para fraudes (LAU; SANCHEZ, 2006, p.04), criada em 2003 (LAU, 2004, p.11), é o phishing. São e-mails que chegam à caixa de entrada do destinatário e contém convites para acesso a páginas falsas. Essas páginas são muito bem elaboradas, a ponto de realmente serem confundidas com a página oficial que está sendo forjada, seja do banco, da receita federal, de revistas, jornais ou de alguma loja virtual. No entanto, assim que o destinatário digita suas informações pessoais ou sigilosas, como senhas, números de cartões de crédito, nesse site falso, o remetente da mensagem ou fraudador captura todas essas informações, para serem utilizadas em fraudes, roubos, desvios de dinheiro, etc. 20 O endereço IP é composto por um conjunto de quatro octetos com o formato xxx.yyy.zzz.www. Os valores variam de 0 a 255, formando um endereço único que permitirá ao usuário enviar e receber pacotes de dados pela rede mundial, identificando o remetente e destinatário dos mesmos. COSTA, Marcelo A. Sampaio Lemos. Mundo Virtual sem Lei, 04/02/2004. Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia Técnica da Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70> Acessado em 27/09/2006 22 Muitas pessoas podem ser enganadas com esses e-mails, pois além de parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo. O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima a acreditar que realmente está realizando uma conexão segura. “Os dados capturados são enviados ao fraudador por meio dos protocolos de hipertexto (http – hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03). Analisando os códigos maliciosos apresentados, é nítida a evolução ocorrida ao longo do tempo, desde os vírus que chegavam as caixas de correios com nomes estranhos e, portanto de fácil detecção para as pessoas com um pouco mais de conhecimento na área de informática, e hoje os phishings e scams se tornaram um método mais eficaz, pois confundem e enganam até profissionais da área, pois buscam assuntos atuais e de interesse da vítima. Até mesmo os cavalos de tróia acabam sendo eficazes, pois devido a uma grande oferta de programas interessantes freeware21 na Internet, cada vez mais as pessoas buscam por essas facilidades e novidades na Internet, como jogos, programas peer-to-peer22 para aquisição de músicas, ferramentas diversas para melhorar performance das máquinas, e outros programas que parecem tentadores e por isso são instalados nas máquinas e trazendo, muitas vezes os códigos maliciosos que fazem os estragos já citados. Os criminosos virtuais estão se especializando cada vez mais e criando códigos de programas mais fáceis de serem infiltrados nas máquinas das vítimas, resultando em cada vez mais sucesso nas tentativas de invasão. O que é preciso acontecer em contrapartida, são os usuários de informática buscarem mais conhecimentos sobre esse mundo digital para conseguirem se defender melhor. 21 Freeware é um tipo de licença de software que permite que o usuário possa instalar em quantas máquinas desejar, não precisa pagar pela licença de uso, mas não pode alterar o código do programa, a não ser que além de freeware o programa também seja open source (código aberto). 22 Peer-to-peer é a tecnologia utilizada por programas como kazaa e Emule para a troca de arquivos de multimídia entre as pessoas. Nesta tecnologia toda máquina é ao mesmo tempo cliente e servidor. Isso significa que a sua máquina estará comas portas de comunicação abertas para que outras pessoas possam se conectar e fazer o download de um arquivo. Com essa brecha de segurança a máquina fica mais vulnerável a um ataque. 23 2.9 Engenharia Social A curiosidade é o que leva a vítima a acessar, na maioria das vezes, um site contido dentro de um scam. Os fraudadores no Brasil procuram conteúdos atuais, apelativos, como sexo ou nudez, preocupantes como nome no Serasa23 ou débito em lojas para que a vítima não questione se o conteúdo é muito estranho e não hesite em abrir. Engenharia social, segundo Cert.br (2005a, p.08) é: “O termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações”. O sucesso da engenharia social na área de informática se dá também pelo fato de que muitas pessoas que hoje tem acesso a computadores e Internet, ainda não têm conhecimentos mínimos sobre segurança no meio digital e não tem a consciência de que é um meio altamente inseguro. Pensa-se muito na falta de segurança para utilizar um caixa eletrônico do banco, por ser um acesso físico, mas ainda não possuem conhecimento adequado para saber o real perigo de acesso confidencial em máquinas inseguras. Decorrente disso, essas pessoas nem sempre estão tão protegidas contra golpes virtuais quanto golpes reais e por isso não acreditam que uma mensagem aparentemente inocente possa causar tanto mal. A engenharia social conta com a curiosidade das pessoas, como disse MITNIK em seu livro: “One method used by attackers to install malicious code is to place programs onto a floppy or CD-ROM and label it with something very enticing (for example, “Personnel Payroll Data – Confidential”). They then drop several copies in areas used by employees. If a single copy is inserted into a computer and the files on it opened, the attacker´s malicious code is executed. This may create a backdoor24, which is used to compromise the system, or may cause other damage to the network” (2002; p.523). 23 Uma das maiores empresas do mundo em análises e informações para decisões de crédito e apoio a negócios. 24 Backdoor tem como tradução exata “porta dos fundos” é uma brecha que pode ter em um sistema operacional que consiste na abertura de portas de comunicação que, por segurança deveriam estar fechadas, e que podem ser exploradas por um invasor devido à facilidade de penetração no sistema por estarem abertas. 24 A curiosidade das pessoas em tomar conhecimento de dados alheios e principalmente confidenciais, faz com que elas não parem para analisar que esse disquete ou cd-rom, conforme citou Mitnik, pode conter códigos maliciosos e se tratar de um golpe, pois estão ansiosas para abri-lo logo e verificar todas as informações que lhe interessam. Como se não bastasse o aproveitamento da falta de conhecimento dos usuários, os fraudadores que se utilizam desse método, ainda contam com funcionários descontentes, invejosos, ambiciosos que acabam passando informações importantes para os bandidos em troca de dinheiro, vingança ou até mesmo de conseguir melhor cargo prejudicando o colega de trabalho. Em outros casos, esses funcionários podem passar informações em troca de algum agrado e também porque julgam que não se trata de uma informação sigilosa, que pode causar algum problema, subestimando o poder de fraudadores em utilizar uma simples informação para um grande golpe, na junção de várias informações de fontes diferentes. Além desses códigos maliciosos, e outros que podem vir a surgir, ainda existem programas para entretenimento e bate-papo como ICQ e MSN, de download de músicas, filmes, clipes como Kazaa e E-mule, que tornam as máquinas mais vulneráveis a ataques. Segundo Cert.br os programas como Kazaa e E-mule oferecem vários riscos à segurança, dentre eles: “Acesso não autorizado: o programa de distribuição de arquivos pode permitir o acesso não autorizado ao seu computador, caso esteja mal configurado ou possua alguma vulnerabilidade. Softwares ou arquivos maliciosos: os softwares ou arquivos distribuídos podem ter finalidades maliciosas. Podem, por exemplo, conter vírus, ser um bot25ou cavalo de tróia, ou instalar backdoors em um computador” (2005c, p.13). Softwares de bate-papo também oferecem riscos de acordo com o Cert.br: “Programas, tais como ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN Messenger, por se comunicarem constantemente com um servidor (senão não teriam como saber quem está no ar), ficam mais expostos e sujeitos a ataques, caso possuam alguma vulnerabilidade” (2005c, p.11). 25 Termo explicado com mais detalhes no decorrer do trabalho. 25 Acesso a sites de relacionamento como orkut também podem acarretar um risco de segurança, pois é uma fonte de disseminação de vírus, devido ao fato de um link estar disponibilizado com textos que inspiram a curiosidade e parecer ter sido colocado por um amigo pode ser aparentemente inofensivo, conforme Lau: “Eles colocam mensagens na página de recados da pessoa (scraps) pedindo que acesse determinado endereço, mas caso ela faça isso, poderá instalar um trojan na própria máquina” (2006b, p.02). Muitos desses códigos maliciosos e técnicas para invasão em um computador podem deixar rastros e pistas importantes para os peritos iniciarem uma investigação. Na tentativa de ocultar ou até mesmo apagar essas pistas, o fraudador utiliza técnicas e ferramentas capazes de inibir o trabalho do perito. Além do objetivo de despistar o perito, o fraudador se utiliza desses métodos para garantir a sua presença novamente no computador invadido sem que ele necessite novamente realizar todos os passos executados para a primeira invasão. Mais detalhes sobre esse assunto está sendo exibido no próximo capítulo. 26 3. MÉTODOS ANTI-FORENSE PARA INIBIÇÃO DO TRABALHO DO PERITO Existem atualmente ferramentas e técnicas que podem ser utilizadas pelos fraudadores mais experientes para inibir o trabalho do perito ou até mesmo destruir por completo as possíveis provas. São conhecidos como métodos anti-forense e estão melhores discutidos no decorrer deste capítulo (WENDEL, p.02). Atualmente a técnica anti-forense que já foi encontrada sendo utilizada pelos fraudadores é a criptografia. As demais, citadas neste capítulo, ainda não foram utilizadas pelos fraudadores, mas podem ser métodos fortemente adquiridos para uso num futuro próximo, pois assim como as técnicas para aumento de segurança estão sofrendo avanços, os fraudadores também têm que buscar inovações. Além disso, talvez hoje os fraudadores não precisem de muita técnica para despistar o perito, pois as dificuldades para descoberta da autoria do crime, devido à falta de arquivos de registros pelos provedores e de leis específicas ainda trazem certo conforto e um sentimento de impunidade26. 3.1 Criptografia É um método utilizado para dificultar o acesso do perito a arquivos de registros do sistema, pois torna o arquivo ilegível caso o perito não consiga decriptálo. Muitas vezes o fraudador pode precisar manter um arquivo executável ou algum de outro tipo para facilitar a sua entrada novamente, mas para não deixar suspeitas ele precisa manter em sigilo o conteúdo desse arquivo para que o administrador da máquina não descubra que houve um ataque. Mesmo que seja interceptada uma mensagem enviada do computador da vítima para o fraudador, será muito difícil de ser decifrada então não é possível um perito utilizar essa informação como prova, pois o conteúdo é desconhecido, dificultando o seu trabalho. Para entender melhor sobre isso, segue uma breve explicação de como funciona um processo de criptografia e decifragem. 26 Problemas para identificação de autoria e legislação vigente estão discutidos nos próximos capítulos. 27 A criptografia consiste na substituição do texto claro (legível) por outros caracteres que tornam impossível a leitura, pois se trata de um “embaralhamento” que é determinado pelo algoritmo de criptografia utilizado e por uma chave que pode ser convencional ou pública. Uma criptografia de chave convencional se baseia no uso da mesma chave para criptografar e decifrar. Para que o destinatário possa decifrar a mensagem, ele necessita conhecer a chave utilizada pelo remetente. Uma das dificuldades encontradas nesse tipo de criptografia é estabelecer um canal seguro para troca da chave entre os parceiros. Esse problema já não é encontrado em uma criptografia de chave pública, pois neste método, o remetente possui um par de chaves, denominadas: pública e privada e o destinatário também possui duas chaves. Trata-se de um par de chaves onde apenas a chave privada desse par consegue decifrar uma mensagem cifrada pela chave pública desse mesmo par. Para que o remetente envie uma mensagem cifrada para o destinatário, ele utiliza-se da chave pública do destino e, ao chegar, o mesmo decifra a mensagem utilizando a sua chave privada. Neste método para que a mensagem cifrada seja vista e compreendida por um atacante ou fraudador, ele terá que ter conhecimento da chave privada do destinatário da mensagem. O objetivo deste trabalho não é detalhar o uso e funcionamento das técnicas de criptografia, pois se trata de um tema amplo e não se aplica no contexto. Apenas se fez necessário uma breve descrição para que seja entendido o motivo da garantia de sigilo em informações cifradas. 3.2 Rootkits Após a intrusão em um sistema, o fraudador pode utilizar técnicas, programas e ferramentas capazes de esconder os vestígios do ataque ou apagar esses rastros para que o ataque não tenha evidências e possa manter o fraudador invisível no sistema atacado. O conjunto dessas ferramentas, conhecido como rootkits tem essa funcionalidade e pode ajudar o fraudador a apagar as pistas e também a criar condições para que ele possa atacar novamente o sistema em questão através de 28 facilidades que essas ferramentas proporcionam, instalando backdoors, por exemplo. Elas são capazes de ocultar processos maliciosos em execução, conexões estabelecidas, placas de rede em modo promíscuo27, arquivos de registros do sistema, e até de alterar o funcionamento padrão de executáveis no sistema operacional, scripts de inicialização, fazendo com que, ao utilizar um determinado arquivo executável, o usuário ou administrador da rede possa enviar informações ou abrir portas de comunicação para os fraudadores, dependendo de qual alteração o fraudador configurou no executável padrão do sistema (BERNARDO; 2006; p. 58). Com o uso de rootkits, o executável padrão no sistema operacional pode ser substituído por outros que realizam a tarefa esperada, mas não é confiável, por exemplo, se o comando DIR28 foi substituído, quando o dono do computador executa esse comando pode ser listado tudo menos algum arquivo que identifique ser um cavalo de tróia, ou ao executar um netstat29 são mostradas apenas as conexões que não identifiquem um backdoor. Esse conjunto de ferramentas pode auxiliar o fraudador a manter acesso ao sistema invadido sem necessitar executar os mesmos passos para o primeiro ataque, ou seja, após ter conseguido o ataque, essas ferramentas deixarão o sistema com portas de comunicação abertas ou com configuração previamente facilitada, permitindo ao fraudador ter acesso novamente, sem maiores dificuldades que possam ter sido encontradas no primeiro ataque. 3.3 Esteganografia É a arte de esconder informações em arquivos de multimídia30 utilizando os últimos bits menos significativos do arquivo, pois mesmo alterados não são 27 Uma placa de rede configurada em modo promíscuo permite a captura de todos os dados trafegados na rede. Caso haja um software de sniffer (que captura todos os dados na rede e armazena para análise) nessa máquina, até mesmo senhas trafegadas na rede local podem ser capturadas. 28 Dir é o comando utilizado no sistema operacional Windows que lista os arquivos existentes dentro da pasta especificada junto com o comando. 29 É o comando no sistema operacional que mostra o mapa de conexões, ou seja, todas as conexões existentes na máquina e seu status. 30 O termo multimídia é utilizado para mencionar arquivos de som, imagem, fotografia e vídeo, pois utilizam mais de um sentido do ser humano como audição e visão. 29 percebidos pelos seres humanos, pois as alterações em arquivos áudio, imagem e vídeo, são insignificantes prejudicando muito sensivelmente a qualidade. “Esteganografia é uma palavra de origem grega, onde Stegano significa escondido ou secreto e Grafia: escrita ou desenho”, conforme Coelho e Bento (2004; p.15). Com essa ferramenta um fraudador pode esconder arquivos textos, senhas, códigos binários31 ou qualquer outra informação em arquivos que já existem no sistema, como arquivos de som do Windows e apenas quem está destinado a receber este arquivo consegue decifrar, pois aos olhos de outras pessoas provavelmente não será detectado. Ele pode também fazer uso da esteganografia no caso de fraude utilizando imagens do próprio Windows, como proteção de tela que são arquivos do tipo bitmap (bmp), como imagens de florestas, rios, paisagens, etc, alterando-os com o objetivo de inclusão de dados esteganografados como informações de número de cartão de crédito, senha e outras, e o sistema em algum momento poderia enviar esse arquivo para o fraudador. Com isso dificultaria a detecção de um possível ataque e roubo de informações, pois essas imagens já estão gravadas no sistema operacional e são, aparentemente inofensivas. Esta pode ser uma utilização com objetivos maliciosos da esteganografia, mas é uma técnica que também pode ser utilizada para fins lícitos, como o uso de marcas d´água nos arquivos multimídia. O uso disso tem como objetivo a identificação do dono dos direitos autorais do arquivo em questão devido à facilidade atual de envio de arquivos pela Internet, muitas vezes as informações referentes à criação do arquivo são perdidas. Não é de objetivo deste trabalho se aprofundar em técnicas de esteganografia, portanto foi apenas citado para que o leitor conheça mais uma das opções que podem ser utilizadas por fraudadores para troca de mensagens e de informações de maneira sigilosa e escondida. 31 Códigos binários é um sistema utilizado por apenas dois números, o zero e o um. O termo binário é muito utilizado por profissionais de informática para fazer referência a programas executáveis (que executam ou realizam alguma tarefa). 30 3.4 Ferramentas wipe para apagar os dados A tradução para a palavra wipe em dicionários seria de: apagar, limpar e, no contexto da informática o termo é utilizado para definir ferramentas que tem o objetivo de apagar um arquivo efetivamente de um disco rígido, pois não basta apenas executar um comando delete32 no sistema operacional ou limpar a lixeira do Windows para ter um arquivo apagado definitivamente. Ao se executar um comando para apagar um arquivo, o sistema operacional apenas marca o bloco ou setor do disco como disponível para gravação de outros dados e não apaga fisicamente os dados referentes àquela informação no disco rígido. As ferramentas wipe se destinam a escrever várias vezes sobrescrevendo a informação que se deseja apagar completamente. Cada ferramenta possui sua rotina, mas o objetivo é sobrescrever diversas vezes até que seja praticamente impossível de recuperação. Não é possível garantir que não haja alguma maneira de recuperação, pois há também ferramentas destinadas a esse propósito, mas certamente vai garantir um trabalho maior e ferramentas mais poderosas para conseguir uma recuperação aceitável dessas informações. Dependendo de vários fatores como data de exclusão, tamanho do arquivo, ferramenta wipe utilizada e outros, pode ser possível recuperar apenas partes do arquivo que podem não ser suficiente para um entendimento legível. Há ferramentas gratuitas de wipe e de recuperação de arquivos disponíveis para download na Internet33. 3.5 Fluxo de dados alternativo (ADS) Em sistemas operacionais que utilizam o sistema de arquivos NTFS, há uma parte que o compõe chamado de “Alternate Data Streams” que se trata de informações ocultas que não são listadas com o comando dir do Windows. 32 O comando delete, palavra herdada do inglês, é o mesmo que apagar, sendo utilizado para exclusão de informações no computador. 33 Uma delas, freeware de nome Dariks Boot pode ser encontrada em http://dban.sourceforge.net e outra de nome Active Kill Disk também freeware pode ser encontrada em http://www.killdisk.com. 31 Explicando em detalhes, tomamos por base um arquivo comum, que possui vários atributos, sendo um deles chamado de DATA, que é um apontamento para os dados do arquivo ou informações de segurança, sendo possível estar apontando para um ou mais arquivos. Esses arquivos adicionais são chamados de fluxo de dados alternados e ficam ocultos. (MARES; p.01). Esses arquivos não serão exibidos no Windows Explorer e, em decorrência disso, o conteúdo deles não será mostrado. Devido ao tamanho ser provavelmente insignificante, não haverá suspeita da existência deles devido ao espaço em disco sendo utilizado misteriosamente (MARES; p.01). Para criar um arquivo ADS basta utilizar o bloco de notas com o seguinte comando: C:>notepad test.txt:alternate.txt. Com isso o arquivo principal será o test.txt o e ADS será o alternate.txt. É possível, posteriormente alterar o conteúdo do alternate.txt com o comando: C:>notepad test.txt:alternate.txt. (MARES; p.02). Com este exemplo foi possível imaginar o uso que um fraudador pode fazer deste atributo do sistema de arquivos NTFS. Ele pode gerar um arquivo de senha ou qualquer outra informação, como um programa malicioso e esconder no sistema de arquivos com o uso do ADS para que nem o Windows Explorer possa encontrar. O fraudador pode anexar arquivos binários a outros comuns existentes no sistema, e que por isso, parecem inofensivos, com o comando: C:>type binary.file >> test.txt:binary.ADS (MARES; p.02). 3.6 Slack Space Outro método que poderá ser utilizado pelos fraudadores para ocultar informações importantes para ele, é através de slack space. Segundo OLIVEIRA (2002b; p.89-90), “Os sistemas operacionais da Microsoft armazenam seus arquivos em disco utilizando blocos de dados de tamanho fixo chamados clusters, contudo, os arquivos em um disco podem ter os mais variados tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um arquivo é múltiplo do tamanho de um cluster, o que impede o armazenamento ideal. Sendo assim, é comum que o último cluster associado a um arquivo não seja 32 totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos arquivos possam ser capturados e analisados”. Para acesso a arquivos gravados nesses espaços com a intenção de sigilo e ocultação, é necessário o uso de ferramentas específicas com acesso ao disco em baixo nível. Essa técnica atrapalha a ação do perito, pois é sempre mais um obstáculo, e mais um lugar necessário para procura de evidências, mas também existem ferramentas com o objetivo de eliminar esse problema (OLIVEIRA, 2002b, p.90). 3.7 Botnet O termo botnet vem da junção de duas palavras em inglês, Robot e Network, que expressam neste termo uma rede de robôs, na qual o atacante controla todas as máquinas infectadas por esse código malicioso tornando-as zumbis para realizarem um ataque juntas a um mesmo alvo. O computador é infectado através de vulnerabilidades no sistema operacional ou em falhas em programas instalados e mal configurados. Uma vez que infectaram o computador, esses bots, geralmente se conectam a servidores de IRC (Internet Relay Chat) no qual o invasor ao estar conectado pode enviar os comandos que quiser e serão interpretados pelo bot (CERT.br, 2005b, p.16). Segundo Aquino, “Em 2005, o número de computadores zumbis cresceu de 50% a 60% em todo o mundo, segundo a fabricante de antivírus McAfee. Zumbi é uma máquina seqüestrada por um cracker. Isso significa que o PC foi infectado por um código malicioso (do tipo bot), que permite que outra pessoa o controle de longe, sem o usuário saber. A máquina serve de marionete para o invasor, que poderá acessar dados privados (como senhas do usuário), e usá-la (a máquina) em ataques a sistemas alheios” (2005, p.01). Atualmente o uso dessa ameaça é aplicada para realização de ataques em massa, mas por tratar-se de um código que permite o controle total do atacante ao computador, pode ser utilizado futuramente pelos fraudadores com o objetivo de apagar as evidências e vestígios de ataque a um computador, através de uma 33 formatação da máquina ou destruição como programas do tipo wipe em arquivos que podem ser provas. Foi possível perceber que existem várias técnicas e brechas no sistema operacional Windows que permitem diversas maneiras de ocultação de provas e evidências. Além dessas, existem outras maneiras, ferramentas, métodos e técnicas para tentativa de dificultar o trabalho dos peritos que não foram citados e outros que provavelmente surgirão com o tempo, pois os fraudadores estão se especializando cada vez mais em busca de técnicas novas. Segundo Lau: “Com o passar do tempo, a segurança dos Internet banking aumentou. Conseqüentemente, a técnica dos fraudadores também evoluiu. Quando as instituições financeiras passaram a oferecer os "teclados virtuais", os criminosos criaram os screenloggers, que conseguem capturar dados por meio da imagem apresentada na tela” (2006b, p.02). Devido a isso, um bom perito deve estar sempre atualizado com as novas técnicas de ataque para conseguir identificar possíveis evidências escondidas no sistema operacional analisado. Apesar dessas ferramentas ainda não estarem sendo utilizadas pelos fraudadores, elas constituem várias opções novas que poderão prejudicar significativamente o trabalho dos peritos em busca das provas e novas brechas de segurança são descobertas, sendo que essa divulgação pode ser feita depois que um atacante já se beneficiou com elas. No entanto, de acordo com o dito popular de que não há crime perfeito, mesmo com o uso de métodos, na tentativa de despistar o perito com o uso de pistas falsas ou com ocultação de provas, uma brecha ou outra pista pode ajudá-lo a conseguir mais informações que o levarão a alguma prova. Em decorrência da variedade de métodos, códigos maliciosos existentes e técnicas anti-forense, um computador pode ser infectado e utilizado para fraude seja para danos ao do dono desse computador atacado ou para realização de fraude em outra máquina. Depois de ter sido realizado o ataque, o perito deverá iniciar as investigações em busca de provas e pistas deixadas pelo fraudador. Para a realização desse trabalho o perito conta com várias ferramentas e métodos que o auxiliam, como podem ser vistos no capítulo seguinte. 34 4. TÉCNICAS, PROCEDIMENTOS E FERRAMENTAS O que deve ser feito inicialmente é buscar a preservação das evidências, por isso a primeira técnica a ser aplicada é assegurar a integridade dos discos rígidos, disquetes, cds, pen drives34 ou qualquer outro meio de armazenamento de informações digitais que se deseja rastrear para localização de provas. A maneira como as mídias são armazenadas e manipuladas, é fato determinante para a realização de uma perícia com sucesso ou a perda de informações valiosas, resultando na destruição das provas digitais. Deve-se seguir a RFC 3227 que se trata de um guia, um passo a passo a ser seguido para coleta e armazenamento de evidências de maneira adequada (RFC3227, 2002, p.02). “É sabido que, em se tratando de crimes que envolvam computadores como meio, a coleta, manipulação e exame de provas sem os devidos cuidados podem acarretar na falta de integridade da prova. A coleta e manipulação de equipamentos e mídias sem a observação de condições mínimas de segurança no manuseio podem acarretar danos irrecuperáveis no material coletado. Discos rígidos não suportam golpes35, mídias magnéticas podem apresentar perda de dados se submetidas a campos magnéticos, a superfície pode apresentar desgaste se exposta a calor, umidade e poeira, e assim por diante”, segundo Costa (p.01). "O perito deverá preservar todos os dispositivos de armazenamento de dados, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash36 para comprovação da integridade dos dados e, quando necessário, elaborar uma ata notarial37".38 O profissional deve possuir conhecimentos técnicos e procedimentos para a realização do trabalho, protegendo as provas de incidentes, gravações acidentais, 34 Pen drives são unidades de armazenamento de capacidade bem maior que disquetes e que possuem tamanho semelhante a um chaveiro, possibilitando ser carregado no bolso. 35 Golpe neste contexto é o mesmo que queda, pancada, ou qualquer outro acidente físico potencialmente forte para danificar a parte física do equipamento em questão. 36 Processo de verificação de integridade para saber se uma versão de arquivos ou sistema de arquivos é exatamente igual a original ou fonte. 37 Ata notarial é um procedimento legal, no qual a pessoa, devidamente competente, narra os fatos de uma maneira imparcial e verídica, deixando tudo registrado para uso em processo judicial ou como prova, também em processos privados. É necessário quando um fato deve ser devidamente registrado, narrado e documentado para uma ação judicial. 38 Rocha (2003, p.03) apud THEIL. 35 destruição, transporte e armazenamento inseguro, e para não precisar tomar uma decisão importante durante esse processo. As decisões geralmente precisam ser tomadas com urgência e sob pressão39, pois dessas decisões depende a integridade das provas devendo-se tomar os devidos cuidados para não invalidá-las juridicamente. Deve possuir também conhecimentos sobre as leis vigentes e importantes para a realização desse trabalho que precisa seguir um padrão para que as provas obtidas sejam válidas perante a lei. Antes de efetuar o desligamento da máquina, com o processo de simplesmente tirá-la da tomada para que não haja alterações de data e hora, é necessário fazer o registro dos dados voláteis, como exemplo conexões estabelecidas, processos em execução, informações na memória RAM40, tabela arp e de roteamento, arquivos de registros e temporários criados pelo sistema operacional ou outro programa executado. Logo após terem sido recuperados os dados mais voláteis, o perito deve realizar a criação de uma imagem da mídia a ser analisada. Para isso deve desligar o computador diretamente da tomada, e não efetuar o desligamento correto41, pois este procedimento realiza alterações nos arquivos, como a data e hora, por exemplo. Ao iniciar o computador, deve-se utilizar alguma ferramenta que permite realizar a inicialização a partir de um cd-rom, como citado nas ferramentas neste capítulo, para não haver qualquer alteração nos arquivos do computador analisado. Antes de iniciar a coleta dos dados e geração da cópia para ser utilizada para análise, deve-se seguir uma metodologia na qual é necessário, respeitar a ordem de volatilidade para a coleta das evidências. Caso essa ordem não seja seguida algumas provas podem ser perdidas, pois uma ação fora de ordem pode alterar ou até apagar outros registros. “A coleta de informações deve seguir a risca a ordem de volatilidade em que os dados estão armazenados, indo dos dispositivos mais 39 “Durante um incidente, dificilmente conseguimos determinar, devido à pressão natural em tal situação, qual a melhor atitude a ser tomada, já que as ações devem ser decididas rapidamente. Temos que ter em mente que qualquer procedimento executado de forma errada pode destruir as provas obtidas ou invalidá-las perante um tribunal”, segundo Pellegrini; Bertacchi e Vita (2005, p.10). 40 Memória RAM é aquela na qual os dados são colocados para terem maior ganho de performance, mas ao desligar o computador, todos os dados contidos nessa memória são perdidos. Por isso é volátil. 41 Quando um computador é desligado corretamente, ou seja, no caso do sistema operacional Windows, ao clicar em iniciar e depois desligar, será executado um procedimento padrão que consiste no fechamento de todos os arquivos abertos, encerramento das conexões existentes, parada dos serviços em execução e qualquer outra ação que o sistema julga correto para o desligamento. Para os procedimentos do perito esse desligamento não é interessante, pois ao fechar os arquivos eles serão modificados nesta hora prejudicando algumas análises. 36 voláteis para os menos voláteis”, segundo Pelegrini, Bertacchi e Vita (2005, p.11), como se segue: 1 – Registradores e memória cache. 2 – Tabela de roteamento, tabela arp e de processos, conexões estabelecidas e pendentes e portas de comunicação abertas. 3 – Sistemas de arquivos temporários. 4 – Discos rígidos. 5 – Registro e monitoramento dos dados relevantes para o sistema comprometido. 6 – Configuração física e topologia da rede. 7 – Mídia de backup (Pelegrini; Bertacchi; Vita, 2005, p.11). Os itens de 1 a 3 devem ser realizados com a máquina ainda ligada e os demais, após a geração da imagem, pois é em cima da cópia da imagem que devem ser realizados todos os procedimentos em busca das provas. Além de seguir a ordem mencionada acima, outros procedimentos devem ser seguidos para garantir a integridade e a validade das evidências. São eles: • Caso a máquina esteja ainda ligada, o perito deve realizar a extração da imagem da tela do computador através de registro fotográfico, que pode servir como prova caso esteja com algum programa aberto ou alguma operação sendo realizada ou finalizada com informações importantes. • O perito deve utilizar apenas ferramentas trazidas com ele e não as que possam existir na mídia a ser analisada, pois podem estar alteradas para realização de uma instrução diferente do padrão da ferramenta. • Ele também não deve utilizar ferramentas que possam alterar as datas de último acesso dos arquivos existentes. • Todos os procedimentos realizados com o objetivo de obtenção de provas devem ser feitos mediante testemunhas para garantir que não tenha perda de validade legal42. 42 O termo legal está relacionado com a legislação do país. 37 • Devem ser respeitados os direitos de privacidade não expondo dados confidenciais para pessoas que não teriam acesso a essas informações de outra maneira. • Todo o processo para obtenção das provas deve ser bem documentado para que, se necessário, um outro perito possa refazer todos os testes para comparar o resultado final em caso de dúvidas ou contestações. A data de início e término dos procedimentos também deve ser documentada e o nome das pessoas que manipularam as informações, bem como o local, também devem ser registrados. • A guarda de todo o material analisado deve ser feito em local seguro e deve-se provar que apenas pessoas autorizadas, sendo um número restrito, possam ter acesso a elas. • De posse de todos os dados o perito inicia os trabalhos utilizando a imagem criada com a cópia fiel do sistema analisado. Para conseguir construir o cenário no momento do incidente, ele inicia a busca pelas provas analisando: Os arquivos de registro. Devem ser analisados todos os arquivos de registro da máquina mesmo que eles possam ter sido alterados pelo fraudador. Para essa análise são utilizadas ferramentas específicas para cada tipo de registro. O sistema de arquivos. O sistema de arquivos deve ser analisado verificando os possíveis arquivos e pastas excluídas na tentativa de recuperar tudo o que for possível utilizando-se de ferramentas especializadas nesse tipo de processo. Arquivos criptografados. São informações cifradas utilizando uma chave secreta que deve ser utilizada para a decifragem da mensagem. Devido ao fato de ser secreta, e o perito provavelmente não ter conhecimento dela, são utilizadas outras técnicas como, por exemplo, força bruta. 38 Arquivos esteganografados São arquivos de imagem que possuem informações escondidas utilizando-se de bits menos significativos, que por isso não alteram a qualidade da imagem visivelmente. Há ferramentas para detecção dessas informações que são detalhadas no capítulo 3. Procura por rootkits. Trata-se de um conjunto de ferramentas, com a funcionalidade de ajudar o fraudador a apagar as pistas e também a criar condições para que ele possa atacar novamente o sistema. Está explicado em detalhes no capítulo 3. Busca por detalhes dos processos que estavam sendo executados, tabela de roteamento43, tabela arp44, memória cache45. Neste procedimento o perito utiliza ferramentas específicas para determinar os processos (programa em execução) que estavam ativos e quais informações estão contidas nas tabelas de roteamento e arp e qual o conteúdo da memória cache. Verificação se os executáveis estavam realizando tarefas fora do padrão (engenharia reversa). Este procedimento consiste em localizar programas executáveis no sistema analisado, que podem estar escondidos e convertêlos para o sistema binário com a intenção de verificar qual a função que o código tem como objetivo realizar. É basicamente voltar o programa final para código fonte, o que seria o procedimento contrário da criação de um programa. 43 Tabela de roteamento fica localizada no computador e é utilizada para encaminhar a mensagem/informação de uma rede à outra. Para que o computador saiba para onde deve encaminhar a mensagem ele deve consultar a tabela de roteamento para determinar o destino que a mensagem deve percorrer. 44 Tabela arp é utilizada pelo computador para associar o endereço de máquina de um equipamento na rede com seu endereço IP. 45 Memória de alta velocidade, criada para acompanhar o desempenho do processador. 39 É possível verificar que o trabalho de um perito na área de computação é delicado e exige bastante atenção, conhecimento das técnicas e do sistema operacional, dos procedimentos e metodologia utilizada, pois uma operação feita erroneamente pode causar conseqüências graves e perda definitiva de possíveis provas. Na realização da perícia em uma máquina que já esteja desligada, várias informações, possivelmente importantes, já terão sido perdidas, restando ao profissional a busca pelas evidências sobre os dados não voláteis. Em relação a ferramentas, há uma grande quantidade utilizada para diagnósticos, recuperação de dados e diversos tipos de análises feitas no sistema operacional a ser analisado. Neste trabalho as ferramentas mostradas são de uso, não somente, no sistema operacional Windows. Abaixo segue uma breve descrição de algumas utilizadas por peritos para obtenção de evidências em uma fraude: 4.1 Forensic and Incident Response Environment (Fire) É uma ferramenta que também possui o recurso de live-cd46 e pode ser utilizada para resposta a incidentes, recuperação de dados de partições perdidas, procura por vírus e vulnerabilidades, pois prepara o ambiente para a realização dessas tarefas. Devido a esse recurso a ferramenta provê maior segurança na integridade dos dados, pois pode ser utilizada sem modificar qualquer informação na máquina analisada. Pode ser encontrada em http://fire.dmzs.com/. 4.2 Trinux Trata-se de uma ferramenta, localizada em http://www.trinux.org, que fica armazenada em 3 disquetes, ou em um cd, e traz consigo vários softwares como tcdump, ntop, nmap, iptraf, netcat e vários outros incluindo sniffers, scanners que 46 Live-cd é um cd que contém um sistema operacional linux que não precisa ser instalado para ser utilizado. Basta reiniciar o computador com o cd dentro da unidade de leitura que é possível utilizar o sistema operacional como se estivesse instalado no disco rígido do computador. 40 buscam por vulnerabilidades que são utilizados para diagnóstico da rede, backup e recuperação de dados, entre outros. Assim como outros utilitários citados, ele também se utiliza apenas da memória RAM, ou seja, nada é alterado no disco rígido da máquina, preservando assim a integridade dos dados. 4.3 The Sleuth Kit (TSK) Antigamente conhecida como TASK, é um conjunto de ferramentas que pode ser utilizado em sistema linux e Windows para recuperação de arquivos apagados. Além de ser gratuito, seu código é aberto e possui o recurso de live-cd que permite gerar um cd de boot capaz de carregar a ferramenta sem necessidade de ser instalada no sistema operacional da máquina analisada. O download pode ser encontrado em http://www.sleuthkit.org/sleuthkit/. 4.4 Autopsy Forensic Browser (AFB) Ferramenta utilizada em conjunto com a TASK para prover interface gráfica, sendo também gratuita e de código aberto. Com essa ferramenta, encontrada em http://www.sleuthkit.org/autopsy/index.php, é possível visualizar de maneira mais amigável os dados apagados, detalhes de arquivos e estrutura de arquivos, através de qualquer visualizador HTML. 4.5 Cygwin Tools Essa ferramenta é um ambiente de compilação, utilizada para fazer uma transferência de programas baseados em linux/unix para a plataforma Windows. Com ele é possível executar utilitários e comandos feitos somente para linux, em um ambiente Windows, transformando (compilando) esses utilitários em programas reconhecidos pelo Windows, com extensão .exe, por exemplo. É possível utilizar 41 tanto a linha de comando (shell) do Windows quanto do linux e pode ser encontrada e obtida em http://sources.redhat.com/cygwin/. 4.6 MS-Diskedit Essa ferramenta faz parte do service pack 4 do Windows NT, é integrante do pacote SDK (Software Development Kit) e pode ser encontrado e baixado no endereço: http://www.microsoft.com/downloads/details.aspx?familyid=3755582A- A707-460A-BF21-1373316E13F0&displaylang=en. Ela consegue explorar com detalhes de informações, a estrutura de um disco NTFS permitindo visualizar os atributos dos dados em hexadecimal. 4.7 MD5summer Usado para geração de hash, essa ferramenta, é gratuita, baseada em sistema linux, e pode ser encontrada em http://www.md5summer.org/. Para garantir que uma cópia de um sistema de arquivos, uma imagem ISO, é realmente íntegra, ou seja, foi copiado fielmente, se utiliza ferramentas deste tipo, que geram e verificam checksum MD547. 4.8 Strings Essa ferramenta é capaz de localizar uma string em um determinado arquivo que programas baseados em ASCII não conseguiriam encontrar como o comando grep do linux ou outro programa que busca por caracteres ASCII. Com a ferramenta strings é possível localizar uma determinada string a partir de arquivos executáveis, do tipo UNICODE ou ASCII, funcionando também em Windows 95. É interessante para saber quais comandos e instruções um 47 MD5 é uma função de hash. É gerado um valor baseado no tamanho do conjunto de dados. A partir da cópia, é gerado novamente esse valor e comparado com o original para certificar-se de que se trata de uma cópia íntegra. 42 determinado executável está programado para realizar. Pode-se obter mais detalhes e efetuar o download em www.sysinternals.com/files/strings.zip. 4.9 FTK (Forensic Toolkit) Trata-se de uma ferramenta (http://www.accessdata.com/products/ftk/), comercializada com o valor pela Access aproximado de Data U$S 1,000.00. Tem como funcionalidades, dentre outras: recuperar arquivos excluídos e partições, gerar registros para auditoria e relatórios e possui um algoritmo poderoso de busca por binários padrão, e-mails, mensagens e anexos. Realiza recuperação de senhas, gera hash, analisa arquivos compactados, ou seja, em resumo, realiza vários tipos de exames no sistema. 4.10 ImageMASSter Solo-3 Existem ainda soluções que não são apenas um software e sim um hand-held específico para essa finalidade de perícia forense computacional. É o caso do kit chamado ImageMASSter Solo-3 Forensic kit, que trata-se de um kit com hardware e uma maleta com vários dispositivos e acessórios, com valor de venda aproximado de US$ 4.000,00. Com esse kit é possível capturar os dados suspeitos numa velocidade de 3 GB por minuto garantindo a integridade dos dados, realizar hash com MD5 ou CRC32, proteger os dados originais contra operação de gravação, transferir dados simultâneos de 2 discos suspeitos, dentre outros recursos. É comercializado pela empresa Intelligent Computer Solutions e detalhes podem ser vistos no endereço http://www.icsforensic.com/. 4.11 ENCASE 43 É uma ferramenta desenvolvida pela Guidance Software, encontrada em detalhes no endereço www.encase.com, que abrange muitos recursos, gráficos, voltados para a análise forense como: recuperação de dados perdidos ou apagados no computador apreendido, protegendo os dados contra escrita, não realizando alterações nos discos originais e sim, criando discos virtuais. É possível criar uma imagem das diversas unidades de armazenamento na máquina e reuní-las para realizar as pesquisas de maneira integrada e simultânea com todas as unidades. Pode ser visualizado remotamente a partir da rede ou interface paralela, verifica assinaturas criptográficas, possui vários recursos de busca e filtragem por expressões e palavras chave, possibilidade de pesquisar no registro do Windows, entre outros. Diante de tantas ferramentas disponíveis e outras existentes, mas que não foram citadas, pois são vastas, percebe-se que não é recomendada a escolha por uma ou outra, pois várias delas devem ser utilizadas em conjunto para obtenção de todas as informações possíveis diante do sistema analisado. Caso tenha que ser escolhida uma ferramenta que tem o mesmo objetivo final de recuperação ou diagnóstico, por exemplo, deve-se dar preferência por aquelas que são executadas em cd ou disquete, preservando assim os dados contidos no disco analisado. Outros pontos que devem ser relevantes são: a facilidade de uso e interface amigável, caso as ferramentas em questão tenham esse diferencial, o suporte do fabricante, as opções de customização48, preço, integração com outras ferramentas, de relatório, por exemplo. Com a utilização dessas ferramentas, levantamento e armazenamento das provas, o profissional deverá partir para a tentativa de identificação da autoria do crime cometido. Com base nessas provas ele começará as investigações e precisará contar com a ajuda dos provedores de Internet que devem manter informações importantes em seus arquivos de registros e com a colaboração de outros países em caso de acessos derivados de provedores internacionais. No capítulo que se segue, será possível entender mais sobre esses procedimentos e dificuldades encontradas pelos investigadores. 48 Customização de um software é a flexibilidade que ele possui de deixar o profissional adequá-lo para melhor atingir seu objetivo, através de escolhas de opções que estão disponíveis quando um software é criado permitindo essas configurações personalizadas. 44 5. COMO IDENTIFICAR A AUTORIA DE CRIMES A identificação de autoria de um crime virtual ainda é uma tarefa complexa e precisa de uma investigação minuciosa, pois qualquer informação pode ser uma pista importante. Muitas vezes uma máquina que não contenha vestígios de um ataque, pode ter sido atacada ou é possível ocorrer o contrário, uma máquina que pareça ter sido atacada, mas não foi. Devido a não existência de uma lei específica obrigando os provedores de Internet no Brasil a manterem um registro detalhado, de todos os acessos e conexões realizadas, há um significativo prejuízo nas investigações realizadas. A falta de arquivos de registros que deveriam ser armazenados pelos provedores dificulta a investigação da autoria do ataque ou fraude, pois elimina possíveis pistas e provas importantes para o início das atividades do investigador. Em qualquer tipo de conexão à Internet, seja via ADSL49, rádio, wireless50, é possível detectar qual o provedor foi utilizado e as informações referentes à autenticação do usuário, pois necessita de uma identificação única para liberar o acesso. Mesmo em conexões realizadas através de linha telefônica o provedor consegue manter um registro também do número do telefone utilizado para a conexão. Segundo COSTA, “Para acessar a Internet, qualquer pessoa precisa conectar-se a um provedor utilizando uma conta de acesso formada pelo nome de usuário e senha. No ato da conexão, o provedor atribui um endereço IP ao usuário, que o utilizará até encerrar a conexão. Através do endereço IP, o provedor registra cada acesso do usuário, guarda seu nome de usuário, data e hora da conexão e desconexão” (2004, p.01). “Quando o acesso é feito através de ligação telefônica, os provedores também guardam, por meio de um sistema de identificação de chamadas, o número do telefone utilizado para estabelecer a conexão, o que garantiria a identificação em provedores gratuitos que utilizam uma conta padrão para o acesso à Internet” (2004, p.01). 49 ADSL (Asymmetric Digital Subscriber Line) é o tipo de acesso à Internet banda larga muito utilizado, pois além de ser mais veloz que o acesso via conexão por linha telefone, permite que a linha telefônica fique desocupada e não gera gastos de pulsos telefônicos, visto que não realiza ligações. 50 Wireless é o termo utilizado para especificar uma conexão sem fio. Atualmente vários provedores oferecem essa conexão seja em aeroportos, livrarias, shoppings, hotéis e outros. 45 Assim que detectada uma fraude e obtidas as informações referentes ao provedor utilizado para a conexão com a Internet (através do endereço IP de origem da fraude, ataque ou e-mail fraudulento enviado), a polícia recorre à Justiça em busca de uma ordem judicial solicitando os arquivos de registros junto ao provedor, a fim de conseguir identificar informações relativas à conta utilizada para conexão, que recebeu o IP naquele momento do envio do e-mail. O problema é que mesmo de posse de uma ação judicial, determinando que o provedor deva disponibilizar os arquivos de registros, os mesmos alegam não possuir mais essas informações referentes ao período solicitado, pois já foram substituídos por arquivos mais recentes, devido à falta de espaço em disco ou de mídias de armazenamento. Como não é obrigatório por lei, os provedores não são responsabilizados por essa falta de armazenamento de possíveis provas importantes (COSTA, 2004, p.01). Para que a investigação em busca da identidade do autor do crime seja cada vez mais eficaz e consiga desvendar grande parte dos crimes cometidos, é necessário também, que haja uma interação entre as polícias de todos os países. Além dessa cooperação entre os países é necessária a redução no tempo de solicitação de arquivos de registros, pois devido a essa demora em conseguir uma ação judicial que permita a polícia solicitar os arquivos e logs51, perante os provedores de acesso à Internet, os dados são perdidos, pois as mídias contendo os arquivos de datas mais antigas vão sendo substituídas por registros mais novos. Essa demora ocorre tanto para solicitação de informações aos provedores de acesso à Internet dentro do país quanto para aqueles localizados fora, pois os procedimentos necessários para liberação desse pedido têm um tempo demorado dentro do país e para ter acesso aos registros pertencentes a provedores no exterior é necessária emissão de Carta Rogatória52 que também leva um tempo para ser 51 Log (do verbo em inglês to log que significa documentar) é o nome dado para os arquivos criados nos sistemas de computador para registrar e documentar as ações ocorridas nesse sistema. É possível configurar o registro desses logs com as informações importantes que o administrador do sistema deseja. Eles são criados com informações de data e hora, dentre outras. 52 É a carta expedida pelo juiz quando dirigida à autoridade judiciária estrangeira para cumprimento de atos processuais no território estrangeiro. Tem como requisitos essenciais: a indicação dos juízes de origem e de cumprimento do ato; o inteiro teor da petição, do despacho judicial e do instrumento do mandato conferido ao advogado; a menção do ato processual, que lhe constitui o objeto; o encerramento com a assinatura do juiz. Veja Arts. 201 e seguintes do Código de Processo Civil – DIREITONET – Dicionário jurídico. Disponível em: < http://www.direitonet.com.br/dicionario_juridico/x/57/77/57/> Acessado em 26/09/2006. 46 emitida. Tempo esse que supera o obrigado por lei nos outros países para armazenamento dos registros (SILVA, 2004, p.171). Mesmo que o provedor de acesso à Internet localizado no exterior tenha uma filial no Brasil, não é isenta a necessidade de emissão de Carta Rogatória, pois pode haver alegação do provedor de que as informações solicitadas estejam armazenadas nos provedores situados fora do país (SILVA, 2004, p.171). Há uma proposta brasileira com o objetivo de resolver esse problema que consiste na criação de uma cooperação entre todos os países visando agilizar a disponibilização de provas e criando uma “nacionalização de evidências”. Segundo SILVA, “A proposta brasileira consiste no estabelecimento de cooperação hemisférica, por meio da adoção de mecanismos ágeis no combate aos delitos cibernéticos, especialmente aos que tem repercussão internacional. Os mecanismos propostos procuram evitar, sempre que possível, todos os procedimentos burocráticos e morosos, incompatíveis com a velocidade que experimentam os crimes cibernéticos e com a agilidade dos criminosos do espaço cibernético” (2004, p.171). Um episódio ocorrido com o site do Google, no ano de 2006, foi bastante comentado, pois, devido à criação de um grande número de comunidades no Orkut (site de propriedade da empresa Google) com apologias a drogas, racismo, pornografia infantil e outros crimes, a Polícia Federal solicitou ao Google Brasil que disponibilizasse mais informações sobre contas e usuários para ajudá-los na investigação e chegar até os criminosos virtuais responsáveis pela criação das comunidades (OLIVEIRA, 2006, p.01). O Google Brasil não forneceu essas informações e alega não possuí-las, pois são de propriedade da matriz nos EUA e por isso não teria como cumprir com esse pedido, visto que as leis brasileiras não se aplicam nos EUA (OLIVEIRA, 2006, p.01). Trata-se de um caso de grande repercussão, mas provavelmente muitos outros problemas desse mesmo caráter devem ter ocorrido quando é necessário obter informações armazenadas em território estrangeiro. No entanto, partindo do suposto de que o provedor tenha os dados e coopere com a polícia é possível uma maior colaboração no rastreamento através das informações disponibilizadas. “Por exemplo: um cidadão recebe um e-mail anônimo ameaçando-lhe a vida. Ameaça, independente do meio pela qual é feita, é ilícito penal tipificado no art. 147 47 do Código Penal. O texto do e-mail – e seu cabeçalho – servem como prova do fato típico. Por meio desta prova é possível localizar a origem do e-mail. Se o e-mail foi anônimo do ponto de vista técnico da Informática, existirá nele um número de origem chamado IP o qual poderá ser utilizado para rastrear o emissário do e-mail”, conforme Foina e Reis (2003, p.01). É neste ponto que entram as informações muito valiosas que devem estar armazenadas nos provedores de acesso à Internet, que são os arquivos de registros, ou logs. “É por meio da inspeção desses longos registros de tráfego, denominados “logs” que o perito poderá afirmar de que servidor veio o e-mail, em que horário e por qual linha telefônica. Conseguido isso, o Juiz pode solicitar à companhia telefônica que identifique o número do telefone que estava enviando o e-mail naquele horário bem como fornecer o endereço do local da instalação da linha para que o policial possa diligenciar-se até o local e inquirir as pessoas que lá residem quanto ao indivíduo que estava utilizando computador em data e hora certa, e pronto, localizamos o autor de nossa ameaça”, segundo FOINA e REIS (2003, p.02). Não é somente com a finalidade de rastrear um e-mail que são utilizados esses procedimentos, mas um ataque a um servidor de uma empresa também ou a um computador para roubo de senha ou outras informações, pois sempre que houver um registro com o IP de origem é possível iniciar uma investigação, sendo que esse é um ponto de partida para a descoberta da autoria do ataque. Especificamente no âmbito de fraudes bancárias deve-se analisar o computador da vítima que teve seu dinheiro desviado para colher informações e arquivos de registros em busca de endereço IP de origem para iniciar as buscas. Se o crime foi efetuado a partir de um computador de um cyber-café ou uma lan-house, ao contrário do que se pensa não é impossível um rastreamento. É claro que a investigação pode ser mais complexa, mas ainda assim há rastros para tentativa de identificação. Por exemplo, o fraudador muitas vezes ao iniciar o uso no computador pode querer ler seus e-mails particulares, trocar informações com outros fraudadores como telefone, endereço, conversas em bate-papo que tenham mais informações importantes ou consultar algum outro site que tenha solicitado autenticação do mesmo. Se isso foi feito, algum tipo de identificação, seja usuário e senha, endereço de e-mail, algum arquivo aberto, data e hora do acesso, ou outras 48 informações poderão ficar gravadas no computador, oferecendo a polícia uma pista para início das investigações. No entanto nem todos os estabelecimentos que disponibilizam acesso a Internet realizam um cadastro do usuário com informações pessoais e apresentação de documentos. Essa falta de documentação prejudica as buscas, mas partindo-se do pressuposto de que foi realizado um cadastro, e as informações são verídicas a polícia pode relacionar todas as pessoas que fizeram uso dos computadores na data e hora em que foi cometida a fraude e iniciar uma busca com os possíveis suspeitos. Mesmo em caso de apresentação de documentos falsos já é uma pista, pois a polícia pode tentar descobrir em que outros estabelecimentos essa pessoa pode ter utilizado esses mesmos documentos. Ao ter alguns nomes suspeitos a polícia pode utilizar os mesmos recursos das investigações de crimes no mundo real, como instalar uma escuta telefônica nos telefones utilizados pelas pessoas suspeitas, realizar investigações da vida pessoal e profissional, seguir os passos em busca de ligações com outras pessoas, e outros procedimentos rotineiros de investigadores de polícia. Atualmente não há uma lei nacional tornando obrigatório o cadastro de usuários pelos estabelecimentos de provimento de acesso à Internet. No Estado de São Paulo, este ano, foi sancionado a Lei nº 12228/06 (L12228/06, 2006, p.01) que torna obrigatório o cadastro, no entanto, a nível nacional há apenas um Projeto de Lei para regularizar esse procedimento, como está detalhado no próximo capítulo. Outros métodos são utilizados para prejudicar o trabalho de rastreamento da polícia em busca da origem e autoria de uma mensagem. Por exemplo, um fraudador pode configurar um servidor proxy53 em sua máquina, fazendo com que todas as conexões originadas de sua máquina passem pelo proxy. Ao chegar ao destino, o endereço IP que consta como remetente ou origem será o IP do servidor proxy que pode estar em qualquer país, dificultando o rastreamento, pois para saber o IP real da origem, é necessário que o responsável pelo servidor de proxy disponibilize essa informação. 53 Um servidor proxy disponibiliza o serviço de navegação para as máquinas em uma rede local. Com isso ao realizar uma conexão com a Internet, a máquina da rede local se conecta primeiro ao servidor proxy. Este, por sua vez substituirá o endereço IP da máquina origem, pelo IP dele. Com isso a máquina de destino entende que a conexão originou do IP do proxy, deixando a máquina de origem oculta. Apenas o servidor proxy sabe o IP da máquina de origem. 49 Computadores infectados com determinado código malicioso podem permitir que um fraudador consiga acesso total a ele utilizando-o como se estivesse na frente dele, realizando acessos que ficarão registrados como saindo desse computador infectado e não do fraudador que está manipulando essa máquina. Isso dificulta o rastreamento, já que o acesso para a realização de uma fraude veio dessa máquina, mas quem efetuou o crime não foi o dono dela, pois estava servindo apenas como intermediária nesse processo. Se logo depois do ataque, o fraudador conseguiu limpar os rastros e os arquivos de log, a localização dele ficará mais difícil de ser realizada. É possível verificar que da mesma maneira que há várias técnicas para prejudicar ou atrapalhar as investigações, também há os pontos positivos, pois mesmo que o fraudador tente pensar em várias maneiras para eliminar as pistas, ele pode acabar esquecendo algum detalhe. A frase já conhecida de que não existe crime perfeito também se aplica para o ambiente virtual, já que o fraudador fatalmente deixa rastros, que devem ser localizados e analisados pelos peritos que podem fazer uso para chegar a provas mais concretas. De posse das provas e da identificação da autoria do crime, o fraudador pode ser enquadrado em algumas leis existentes para ser condenado. No capítulo seguinte estão relacionadas algumas leis utilizadas na atualidade para julgamento de crimes virtuais e diversos Projetos de Lei que visam melhorar o enquadramento dos crimes deixando mais específicas às ações consideradas delitos no mundo virtual. 50 6. LEIS E PROJETOS DE LEIS Ainda não há uma lei específica abordando crimes digitais, mas são aplicadas as leis existentes que podem ser interpretadas para o meio digital. Os crimes digitais têm sido enquadrados na lei com os itens como: estelionato, formação de quadrilha, quebra de sigilo, dano, escuta telemática, entre outros. Abaixo estão relacionadas algumas leis utilizadas para punir os criminosos digitais: Lei nº 9296: é crime uma pessoa interceptar ou apenas monitorar tráfego de comunicação de outra pessoa sem possuir uma autorização judicial. “Art.10. Constitui crime realizar interceptação de comunicações telefônicas, de informática ou telemática, ou quebrar segredo da Justiça, sem autorização judicial ou com objetivos não autorizados em lei” (L9296/96). Muitos fraudadores poderiam ser enquadrados nesse artigo, pois para conseguirem obter senhas e/ou outras informações confidenciais da vítima, ele precisará interceptar ou monitorar o tráfego de Internet para roubar as informações quando a vítima digitar ou enviar para outra pessoa. O acesso às informações pessoais da vítima, seja descobrindo sua senha para acessar seus e-mails, invadindo servidores para busca de informações pessoas de uma pessoa ou um grupo, ou apenas com a intenção de analisar o tráfego em uma rede privada, com o auxílio de ferramentas de monitoração de tráfego de rede, pode ser classificado como infração do artigo em questão, pois em um tráfego de uma rede provavelmente terão muitos dados privados ou até secretos, como senhas. A criação de cookies54 na máquina de um usuário que tem como função o monitoramento do hábito de navegação das pessoas pode ser classificada neste artigo, pois se trata de violação de privacidade. Lei nº 2848 no artigo 153 "Divulgar alguém, sem justa causa, conteúdo de documento particular, ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem" (L2848/40). 54 Cookies são arquivos enviados por algum servidor ou site visitado e ficam armazenados na máquina, podendo ter como função, a análise dos hábitos do usuário para se beneficiar com essa informação de alguma maneira, sendo uma delas o envio para empresas que comercializam produtos de interesse do usuário. 51 Há certos vírus que tem como característica enviar e-mails para as pessoas do catálogo de endereços da vítima, com trechos de e-mails enviados ou recebidos por outras pessoas ou colocar no corpo da mensagem fragmentos de textos que podem ser confidenciais. Neste caso o criminoso responsável pelo envio do e-mail poderia ser punido com base neste artigo, pois estaria divulgando informações confidenciais, sigilosas ou simplesmente particulares. Lei nº 2848 no artigo 155 “Subtrair, para si ou para outrem, coisa alheia móvel" (L2848/40). Quando um fraudador obtém, de forma ilícita, os dados e a senha da vítima e realiza um desvio de dinheiro de contas bancárias, está cometendo um delito que pode ser classificado nesse artigo, pois se trata de um furto. Se houver destruição ou rompimento de obstáculo para o roubo da informação, ou se a vítima de alguma maneira facilitar o acesso às informações devido a confiança que tem no ladrão, ou quando o roubo é feito mediante tentativa de enganar a vítima são várias maneiras de conseguir o sucesso no furto e pode gerar uma ação judicial baseada neste artigo. Lei nº 2848 no artigo 156 “Subtrair o condômino, co-herdeiro ou sócio, para si ou para outrem, a quem legitimamente a detém, a coisa comum" (L2848/40). Quando o atacante obtém arquivos, dados pessoais confidenciais ou qualquer outra informação que seja pessoal e sigilosa, ele pode ser enquadrado nesse artigo, pois se caracteriza um roubo, visto que a vítima não deixou explícito que concordava com isso. Lei nº 2848 (1940) no artigo 163 “Destruir, inutilizar ou deteriorar coisa alheia" (L2848/40). O fraudador que criar ou propagar um vírus destruidor, que formate o HD ou destrua os arquivos pessoais da vítima, pode ser punido com base neste artigo. Não apenas vírus, mas outros códigos maliciosos como spywares, cavalos de tróia, worms, keyloggers, ou alterações em arquivos do sistema operacional podem destruir o computador da vítima. 52 Por exemplo, através de um cavalo de tróia enviado por um fraudador, outros atacantes podem se aproveitar desse código malicioso instalado para abrir as portas de comunicação da vítima podendo além de roubar informações, enviar comandos para destruir todos os dados contidos no computador. Se um hacker realizar um ataque de negação de serviço55, invadir um sistema de informática de uma empresa, ou um computador pessoal e realizar algum dano, que inviabilize o funcionamento do sistema operacional ou de algum programa de computador específico, interromper os serviços do antivírus e outros softwares de segurança, ele pode ser classificado neste artigo, pois fatalmente vai gerar algum dano para o sistema de informática atacado. Há alguns ataques a redes de empresas, realizadas a pedido de outra empresa concorrente, que tem a intenção de alterar dados verdadeiros para prejudicar de diversas maneiras a empresa atacada devido ao fato da empresa poder tomar decisões baseadas em dados errôneos. Esse ato pode ser classificado neste artigo. Lei nº 2848 (1940) no artigo 171 “Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento" (L2848/40). A obtenção de vantagens sendo através de roubo de senha, cartão de crédito, acarretando desvio de dinheiro pode ser enquadrado nesse artigo, pois esses crimes visam o benefício financeiro do criminoso. No estelionato o fraudador engana a vítima com o objetivo de conseguir vantagem patrimonial indevida acarretando em prejuízo, por isso muitos phishings são enviados trazendo um texto na tentativa de iludir a vítima para, que a mesma acesse o link recebido no scam. Com isso, se for um site de banco, essa pessoa digitará sua senha em um ambiente fraudulento, levando essa informação ao conhecimento do fraudador. Devido a ele ter se utilizado de mentiras para induzir a vítima a fornecer seus dados, seja num link de banco ou outro qualquer, que se trate de uma fraude, pode ser classificado neste artigo, pois se caracteriza um estelionato. 55 Ataque de negação de serviço consiste no objetivo do atacante de parar algum serviço disponibilizado no servidor, por exemplo, serviço de web de algum site. Após o ataque obter sucesso, as pessoas não conseguirão acessar o site disponível em tal servidor, pois o serviço de web estará desativado ou fora do ar. 53 Lei nº 2848 (1940) no artigo 307 “Atribuir-se ou atribuir a terceiro falsa identidade para obter vantagem, em proveito próprio ou alheio, ou para causar dano a outrem" (L2848/40). Quando um fraudador obtém a senha de alguma pessoa e a utiliza se fazendo passar pela pessoa, dona da senha, ele está realizando um crime, previsto nesse artigo, pois fingir ser uma pessoa é se atribuir de falsa identidade. O envio de e-mails, forjando a identidade de outra pessoa, também pode ser enquadrado nesta lei, pois se trata de utilização de falsa identidade, o que leva o remetente a abrir o e-mail, provavelmente carregando código malicioso, confiandose na identidade do remetente. Outra situação de enquadramento neste artigo refere-se à informação de dados falsos ao realizar uma compra em alguma loja virtual. Como se trata de um cadastro de dados pessoais, sendo possivelmente criada uma cobrança no nome do cliente, a informação de dados falsos pode ser considerada crime. Lei nº 2848 (1940) no artigo 288 “Associarem-se mais de três pessoas, em quadrilha ou bando, para o fim de cometer crimes" (L2848/40). O crime de quadrilha ou bando configura-se quando mais de três pessoas, ou seja, no mínimo quatro pessoas, se organizam para a prática do crime. Se quatro ou mais pessoas se unem para a prática de um crime de informática, por exemplo, o desvio de dinheiro de várias contas em um banco, todos podem ser enquadrados com base neste artigo, pois se trata de uma união estável de quatro pessoas com o mesmo propósito, de cometer aquele crime juntos. Lei nº 2848 (1940) no artigo 313-A “Inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano" (L2848/40). Podem ser classificados neste artigo, os funcionários autorizados que inserem ou facilitam a inserção de dados falsos, ou que exclui ou altera dados corretos em um sistema de banco de dados da Administração Pública. 54 Um exemplo disso é o caso do estagiário, estudante de direito, George Moreira Filho, que desviou três milhões de reais do INSS através de inserção de dados falsos realizando transações que beneficiavam seus familiares e amigos, com senhas de outros servidores, que ele descobriu de alguma forma (DACAUAZILIQUÁ, 2005, p.01). De acordo com Lentulus, uma das alegações do réu pode ser o argumento de que sua máquina estava comprometida por vírus e conseqüentemente não apenas ele poderia ter cometido o crime, mas algum invasor que aproveitou de vulnerabilidades para tomar o controle do computador e realizar o delito: “No julgamento de casos recentes os réus levantaram novas linhas de defesa, baseadas em questões técnicas de difícil solução. Em um dos casos mais famosos, julgado por uma corte da Inglaterra no ano passado, o réu foi absolvido da acusação de ter atacado o servidor de uma empresa. Ele alegou que seu computador foi tomado por um vírus do tipo trojan e, dessa forma, utilizado remotamente por um terceiro para o cometimento do crime“ (2005, p.05). Neste capítulo foram citadas apenas algumas leis, nas quais o criminoso virtual pode ser enquadrado, mas há várias outras leis que podem ser utilizadas para a finalidade de punição de crime virtual. Não foram citadas leis específicas de delitos como: calúnia, difamação, injúria, pornografia, ameaça, pirataria, direitos autorais, pedofilia entre outros, pois fogem do contexto do trabalho que objetiva a fraude através invasão de computadores e sistemas, feitos por fraudadores com intenção de desvio de dinheiro e outros danos de cunho financeiro. O aumento de tentativas de fraudes é uma realidade segundo o jornal Estadão: “No terceiro trimestre de 2006, administradores de rede indicaram um aumento de 20% em ataques de vírus e tentativas de invasões, em relação ao trimestre anterior”. (2006, p.01). Decorrente disso deveria ter uma maior agilidade para transformar em lei os projetos existentes, pois a polícia federal tem a possibilidade de enquadrar alguns desses crimes nas leis existentes, mas outros não, pois são novos e as leis existentes estão desatualizas e são estáticas, havendo lacunas que devem fechadas com a criação de novas leis ou adaptação das existentes. Devido a essa desatualização das leis, há divergências entre advogados e outros profissionais da área, referentes aos delitos cometidos na área de informática 55 e a possibilidade ou não de classificá-los em alguma lei existente, pois a interpretação pode ser diferente para cada pessoa, restando dúvidas e controvérsias neste assunto. Não bastando isso, para conseguir classificar um crime virtual em alguma lei existente, pode se fazer necessário o uso de analogias, que perante a lei, só podem ser utilizadas em benefício do réu e não contra ele (CONCERINO, 2001, p.78). Na tentativa de driblar esse problema referente às analogias, o argumento utilizado é o modus operandi, ou seja, em caso de um furto, por exemplo, não importa a maneira que o bem foi furtado, seja se apoderando fisicamente ou através da Internet, pois o resultado é o mesmo se um criminoso furta um dinheiro guardado na casa da vítima ou furta seu dinheiro guardado no banco, através de acesso ilícito a sua conta (DAOUN; BLUM, 2001, p.126 e 127). Apesar de muitos crimes virtuais já serem cometidos similarmente na vida real, há vários crimes de informática novos que não possuem uma versão real, são realmente atuais, gerando a necessidade de alterações nas leis existentes para uma “atualização”, até mesmo dos termos, por exemplo, ampliando a definição do termo coisa para “dados”, “informação” e “senha”, segundo REINALDO FILHO (2004, p. 01). Devido a esses problemas citados, há a necessidade de alterações ou criação de novas Leis visando uma atualização com o mundo da informática. Projetos de Lei foram criados e estão em andamento na Câmara dos Deputados ou no Senado. Outros podem surgir e os atuais podem sofrer alterações. Abaixo seguem alguns: Projeto de Lei nº 89, de 2003 (antigo 84/99), do deputado Luiz Piauhylino (PSDB-PE). "O projeto, que hoje está na Comissão de Educação do Senado Federal para apreciação, caracteriza como crime os ataques praticados por hackers e crackers, em especial as alterações de home-pages e a utilização indevida de senhas" (PL89/03). Este Projeto de Lei prevê mudanças no Decreto de Lei nº 2848 e pode ser o primeiro Projeto a tornar-se Lei, tipificando os crimes de informática no Código Penal, pois define vários tipos de crimes cometidos atualmente no ambiente Internet, dentre eles: 56 • Acesso indevido a meio eletrônico; • Manipulação indevida de informação eletrônica; • Difusão de vírus eletrônico; • Pornografia infantil; • Atentado contra a segurança de serviço de utilidade pública; • Interrupção ou perturbação de serviço telegráfico ou telefônico; • Falsificação de cartão de crédito; • Falsificação de telefone celular ou meio de acesso a sistema eletrônico. O Senador Marcelo Crivella, membro da Comissão de Constituição, Justiça e Cidadania do Senado Federal, apresentou algumas mudanças nesse Projeto de Lei, criando os termos “falsidade informática” e “sabotagem informática”, explicados respectivamente a seguir nas emendas sugeridas por ele: “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, de qualquer forma, interferir no tratamento informático de dados, com o fim de obter, para si ou para outrem, vantagem indevida de qualquer natureza, induzindo a erro os usuários ou destinatários” (REINALDO FILHO, 2004, p.02). “Introduzir, modificar, apagar ou suprimir dado ou sistema informatizado, ou, de qualquer forma, interferir em sistema informatizado, com o fim de desorientar, embaraçar, dificultar ou obstar o funcionamento de um sistema informatizado ou de comunicação de dados à distância” (REINALDO FILHO, 2004, p.02). Projeto de Lei substitutivo elaborado pelo Senador Eduardo Azeredo tem como objetivo a aprovação dos projetos de Lei nº 89, de 2003, nº 137, de 2000 e nº 76, de 2000. Ambos os dois últimos projetos de Lei tramitam em conjunto com o PL nº 89, de 2003. (Senado Federal, 2005, p.02). Os projetos de lei em conjunto visam tipificar crimes de Internet, estabelecer período de armazenamento de registros de acessos pelos provedores e, principalmente criar obrigatoriedade no cadastramento para que haja identificação do internauta assim que ele solicita acesso a um provedor. Este é o tema mais discutido em relação à aprovação do PL. 57 Conforme Max Morais, assessor parlamentar do Serpro essa matéria será alvo de muitas discussões antes de ser aprovada em plenário: “O Congresso Nacional é um local onde o diálogo e a negociação são fatores fundamentais. Esse projeto gera muito polêmica, visto que existem muitos conflitos de interesses, nos quais segmentos da sociedade civil e diversas instituições buscam defender suas idéias e suas posições. Mas sinto que é uma matéria que está gerando uma grande preocupação por parte dos parlamentares, e a maioria quer, sim, buscar estabelecer mecanismos que definam com clareza os crimes na área de TIC”. (Serpro, 2006, p.04). E, realmente essa se tornou a maior preocupação entre os provedores e donos de estabelecimento que provêem acesso à Internet, pois deverão ser os responsáveis pelo cadastramento. Em caso de algum acesso anônimo seriam punidos, conforme Lobato da Folha de São Paulo: “Os provedores ficariam responsáveis pela veracidade dos dados cadastrais dos usuários e seriam sujeitos à mesma pena (reclusão de dois a quatro anos) se permitissem o acesso de usuários não-cadastrados. O texto é defendido pelos bancos e criticado por ONGs (Organizações Não-Governamentais), por provedores de acesso à Internet e por advogados.” (2006, p.01) Os usuários de Internet também temem que haja uma quebra de privacidade com informações pessoais para cadastros nos provedores de Internet, pois seriam dados como nome, endereço, cpf, rg, que além de fornecidos, deveriam ser entregues também as suas respectivas cópias físicas para que o provedor possa comprovar a veracidade dos dados. Isso seria um risco, visto que uma vez que um provedor tivesse seus dados violados por um fraudador, os usuários registrados teriam todos os seus dados pessoais extraviados, ajudando em uma futura fraude com o uso dessas informações. O Projeto de Lei não foi votado no dia 08 de novembro de 2006, como estava previsto, e sim retirado de pauta da Comissão de Constituição e Justiça com pedido de adiamento, com a alegação de que deve ser melhor estudado pelos senadores, e talvez porque não tenha sido bem entendido pelas entidades envolvidas e pelas pessoas que acessam a Internet. (Zimmermann, 2006, p.01) Projeto de Lei nº 3301, de 2004, do deputado Marcos Abramo (PFL-SP). 58 Uma política de segurança contendo regras de conduta para o usuário deverá ser criada pelos provedores, mediante a aprovação deste Projeto de Lei e esclarecidas aos usuários para que os mesmos fiquem cientes das penalidades aplicadas na infração dessa política de segurança. Deverá ser mantido, pelos provedores, o cadastro dos usuários e um registro de todos os acessos feitos por eles, pelo período de no mínimo um ano e caso as regras não sejam seguidas, os provedores de Internet poderão ser multados. Os estabelecimentos que oferecem acesso à Internet devem exigir cadastro das pessoas que desejam utilizar os computadores, e armazenar tanto esse cadastro como todo o histórico de acessos realizados por elas, por um período de no mínimo um ano. Esse Projeto de Lei exigirá também que os órgãos públicos e escolas públicas e particulares preparem a rede com dispositivos eficientes para bloquear acessos a sites que não estiverem relacionados às atribuições das instituições. Os sites de conteúdo impróprio para menores deverão possuir algum recurso que impossibilite crianças e adolescentes de acessarem essas informações, seja através de senha ou qualquer outra restrição eficiente e deverão manter armazenadas informações referentes aos usuários que acessam esse conteúdo. Projeto de Lei nº 3303, de 2000, do deputado Antonio Feijão (PST-AP), apensado ao Projeto de Lei nº 3301, de 2004. Este projeto de lei tem como objetivo obrigar os provedores a realizar configurações para garantir a segurança nas conexões dos clientes, bem como impedir o envio e disseminação de vírus e protegendo os dados dos usuários. Além da segurança, os provedores devem possuir sistemas ou rotinas capazes de identificar possíveis ataques gerados em uma conexão feita por um cliente, e armazenar durante o período de 2 anos todas as informações referentes as conexões realizadas, como IP utilizado, tempo da conexão, data e hora a fim de facilitar a identificação em caso de um ataque gerado nesse provedor. Projeto de Lei nº 6557, de 2002, do deputado Valdemar Costa Neto (PL-SP). Ao entrar em alguma sala virtual para bate papo ou realizar troca de imagens, o usuário deve preencher um cadastro completo no provedor para fins de identificação, que deverá ser armazenado por um período determinado pelo Poder Público. Essa é a obrigação prevista nesse Projeto de Lei. 59 Projeto de Lei nº 3891, de 2000, do deputado Júlio Semeghini (PSDB-SP), apensado ao Projeto de Lei nº 6557, de 2002. O objetivo desse Projeto de Lei, assim como vários outros, é de obrigar os provedores a manterem, pelo período não inferior a três anos, todos os registros de conexões efetuadas pelos usuários, bem como todos os dados cadastrais dos mesmos. Projeto de Lei nº 4972, de 2001, do deputado José Carlos Coutinho (PFLRJ). Neste Projeto de Lei o prazo para armazenamento de informações de conexão e pessoais dos usuários deverá ser mantido por um período de no mínimo cinco anos. As empresas de telefonia somente poderão disponibilizar linhas para conexão a Internet aos provedores, caso eles comprovem estarem tecnicamente capazes de cumprir as exigências previstas nesse projeto de lei. Neste caso são abrangidos apenas os provedores que oferecem conexão discada e não aqueles que oferecem banda larga, pois nem sempre utilizam linha telefônica para disponibilizar acesso de banda larga. Projeto de Lei nº 5977, de 2001, do deputado Divaldo Suruagy (PST-AL). “Ficam os estabelecimentos de ensino e os órgãos públicos em geral obrigados a observar procedimentos que disciplinem o acesso e o uso dos serviços da Internet" (PL5977/01). Trata-se de um Projeto de Lei com intenção importante para tentativa de controle de uso em estabelecimentos de ensino e órgãos públicos, no entanto acredito que, se aprovado, pode não atingir o objetivo necessário, pois o que seria “observar os procedimentos”, talvez precise ser mais claro e com regras mais detalhadas para comprovar a eficácia. Projeto de Lei nº 7461, de 2002, do deputado Eni Voltolini (PPB-SC). “Os provedores de acesso a redes públicas de computadores são obrigados a manter cadastro de seus usuários, bem como registro das transações efetuadas utilizando sua infra-estrutura” (PL7461/02). 60 Assim como quase todos os outros Projetos de Lei, esse também tem como objetivo o armazenamento das informações pessoais do usuário e as conexões estabelecidas, durante dois anos. Projeto de Lei nº 480, de 2003, do deputado Pompeo de Mattos (PDT-RS). “Ficam obrigadas as empresas provedoras de serviços de Internet a cadastrarem todos os usuários de serviços de acesso à Internet e hospedagem de web sites pessoais”. “O cadastramento previsto no caput, deste artigo, inclui os usuários dos serviços de Internet e hospedagem gratuitos“ (PL480/03). Projeto de Lei nº 1256, de 2003, do deputado Takayama (PSB-PR). O objetivo desse Projeto de Lei é exigir a identificação das pessoas que participam de salas de bate-papo com assuntos relacionados a sexo. Dentre esses dados deve estar o número do cpf, no entanto, não há garantias de que o usuário informou o cpf verdadeiro. Projeto de Lei nº 2196, de 2003, do deputado Waldemir Moka (PMDB-MS). “Esta lei dispõe sobre os limites à divulgação de mensagens pelos usuários de provedores na Internet e demais redes de computadores abertas ao uso do público”. “O conteúdo das mensagens é de responsabilidade de seus autores, cabendo ao provedor solicitar e comprovar sua identidade” (PL2196/03) Com esse Projeto de Lei, os provedores deverão ser responsáveis pelo conteúdo de informações postadas em suas listas de discussão. Para isso precisarão monitorar com mais rigor todas as mensagens postadas pelos usuários. Projeto de Lei nº 4562, de 2004, do deputado Silas Brasileiro (PMDB-MG). Os provedores que oferecem serviço de correio eletrônico devem ser responsáveis pela atualização, coleta e arquivamento de dados pessoais para os usuários que recebem um endereço de correio eletrônico, por um período de no mínimo um ano. Projeto de Lei nº 5009, de 2005, do deputado Cabo Júlio (PMDB-MG). 61 Devido ao aumento de estabelecimentos oferecendo acesso a Internet para qualquer pessoa, os chamados cyber-café ou lan-house, há a necessidade de tentar manter um cadastro para identificação dessas pessoas. Esse Projeto de Lei obriga esses estabelecimentos a manterem um cadastro com dados das pessoas que utilizam esses computadores como: nome, rg, cpf, endereço, data de nascimento e telefone, por um período de um ano. Projeto de Lei nº 6827, de 2006, do deputado Jefferson Campos (PTD-SP). Neste Projeto de Lei é exigido não apenas os registros de identificação dos usuários que obtém uma conta de correio eletrônico, mas todas as mensagens enviadas por esse usuário, dentro do período mínimo de um ano, devem ser armazenadas com as seguintes informações: endereço eletrônico do destinatário, data e hora do envio da mensagem e endereço IP utilizado pelo computador, no momento do envio do e-mail. Projeto de Lei nº 3016, de 2000, do deputado Antonio Carlos Pannunzio (PSDB-SP), apensados os Projetos de Lei nº 3303, de 2000, nº 3891, de 2000, nº 4972, de 2001, nº 5977, de 2001, nº 7461, de 2002, nº 480, de 2003, nº 1256, de 2003, nº 2196, de 2003, nº 4562, de 2004, nº 5009, de 2005 e nº 6827, de 2006. “Os provedores de acesso a redes de computadores destinadas ao uso público, inclusive a Internet, deverão manter controle dos usuários de seus sistemas e registro das transações efetuadas, nos termos desta lei" (PL3016/00). Projeto de Lei nº 18, de 2003, da deputada Iara Bernardi (PT-SP). A tentativa desse Projeto de Lei é manter um registro dos responsáveis pelas páginas de Internet hospedadas nos provedores que oferecem esse tipo de serviço. Visa disponibilizar essas informações para um domínio público para ser consultado por qualquer pessoa que tenha interesse. Outra exigência desse Projeto de Lei é manter um cadastro dos dados dos titulares ou responsáveis pelos provedores que oferecem serviço de correio eletrônico localizados em território nacional. Esse registro deverá ser disponibilizado para qualquer pessoa que tiver interesse. Projeto de Lei nº 6024, de 2005, do deputado Antonio Carlos Mendes Thame (PSDB-SP). 62 Projeto de Lei que visa, além de exigir armazenamento de conexões e cadastros dos usuários por um período de 5 anos pelos provedores, alterar o Decreto de Lei nº 2848, acrescentando o capítulo 7 com o seguinte conteúdo: - “Inserir ou facilitar a inserção de dados falsos, alterar ou excluir indevidamente dados corretos ou capturar dados protegidos, nos sistemas informatizados ou bancos de dados públicos ou privados, ainda que por acesso remoto ou mediante uso de meios insidiosos com o fim de causar dano ou obter vantagem indevida para si ou para outrem.” - “Modificar ou alterar arquivo, sistemas de informação ou programa de informática sem autorização ou solicitação de autoridade competente ou do usuário” (PL6024/05). Projeto de Lei nº 6931, de 2006, do deputado João Batista (PP-SP). De acordo com o Projeto de Lei anterior, este também sugere alterações no Decreto de Lei nº 2848 para tipificar crimes de condutas na Internet. São elas: - “Interceptar, sem autorização, por meios técnicos, comunicação que se processe no interior de um sistema informático, a ele destinada ou dele proveniente”. - “Apagar, destruir, no todo ou em parte, danificar, suprimir ou tornar não utilizáveis dados ou programas informáticos alheios ou, por qualquer forma, afetar-lhes a capacidade de uso, com o intuito de causar prejuízo a outrem ou obter benefício ilegítimo para si ou para terceiros”. - “Obstruir, sem autorização, o funcionamento de um sistema informático, por meio da introdução, transmissão, danificação, eliminação, deterioração, modificação ou supressão de dados informáticos”. - “Manufaturar, distribuir, comercializar, enviar ou fazer propaganda de dispositivos de interceptação de telecomunicações de qualquer tipo”. - “Manter, fornecer, comercializar, reproduzir ou divulgar indevidamente ou sem autorização, dado ou informação obtida em meio eletrônico ou sistema informático”. 63 - “Usar nome de domínio falso ou enganador, com a intenção de iludir pessoas, para fornecer-lhes visão de materiais obscenos, pornográficos ou prejudiciais aos menores” (PL6931/06). Projeto de Lei nº 4144, de 2004, do deputado Marcos Abramo (PFL-SP), apensados os Projetos de Lei nº 6024, de 2005 e nº 6931, de 2006. Com mais riqueza em detalhes para se julgar um crime de informática, esse Projeto de lei visa alterar as Leis nº 8069, nº 9296 e o Decreto de Lei nº 2848. Considera-se crime ou sabotagem em informática quando houver ações do tipo: - “Impedir o funcionamento ou interferir na operação de um sistema informatizado por meio de invasão, introdução, transmissão, dano, apagamento, deterioração, alteração ou supressão de dados informáticos com o objetivo de dificultar, embaraçar ou impedir o funcionamento do sistema informatizado”. - “Danificar, alterar, apagar, introduzir ou suprimir dados informáticos de modo a obter ou produzir dados não autênticos para induzir terceiros a erro com a finalidade de obter, para si ou para outrem, vantagem indevida”. - “Causar a perda de coisa alheia com intenção fraudulenta de obter, para si ou para outrem, benefício econômico por meio de: I – dano, alteração, apagamento, introdução ou supressão de dados informáticos; ou II – interferência no funcionamento de um sistema informático” (PL4144/04). Projeto de Lei nº 5403, de 2001, do deputado Luiz Estevão (PMDB-DF), apensados os Projetos de Lei nº 3.016, de 2000, nº 18, de 2003, nº 4144, de 2004. Este Projeto de Lei tem como objetivo acabar com os problemas de falta de registro de acessos e cadastro atualizado com dados dos usuários nos provedores. Todos esses Projetos de Lei que estão apensados têm como objetivo tornar obrigatório o registro de acessos, por isso estão todos incorporados. O artigo 2 se refere às empresas telefônicas, que somente podem liberar linhas de acesso para os provedores que possuem capacidade técnica comprovada para manter os registros de acessos e cadastro dos usuários pelo período de um ano, conforme também exigido no Projeto de Lei nº 4972, de 2001. 64 Após tomar conhecimento do objetivo e detalhes de cada Projeto de Lei, é possível verificar que não eliminarão o problema de identificação de autoria dos crimes virtuais. Os Projetos de Lei são criados pelos políticos, que não possuem um conhecimento avançado sobre essa área, e acreditam que obrigar os provedores a exigirem o CPF do usuário pode ajudar na buscar pela autoria de um crime. No entanto, é de conhecimento popular que na Internet ou na vida real um fraudador muito provavelmente utilizará dados falsos na criação de qualquer cadastro, e caso os provedores brasileiros forem obrigados a exigir esses dados, o usuário pode, facilmente criar um endereço eletrônico em provedores fora do país que não exigem essas informações. Os Projetos de Lei, depois de aprovados, podem não eliminar os problemas de autoria, mas serão muito importantes no auxílio à busca pela autoria dos crimes. Essa ajuda não será devido ao cadastro dos usuários, mas sim pelas informações de conexão como tempo, data e hora, endereço IP utilizado, linha de telefone utilizada em caso de conexão discada, entre outras que podem junto com outras pistas auxiliar a polícia. Por outro lado, os Projetos de Lei que visam alterar Leis já existentes poderão ajudar bastante na punição das ações fraudulentas, pois estão atualizando o conceito de crimes reais incluindo os crimes virtuais. Com isso a Lei fica mais clara quanto à classificação de um crime virtual, tentando eliminar as brechas sendo que atualmente só há tipificação de crimes reais dentro da Lei. Até o momento nenhum Projeto de Lei tipificando os crimes virtuais, solicitando o registro dos acessos e cadastro ou obrigando os provedores a prover segurança na conexão, dentre outros foi aprovado, pois sempre novos itens e tipos de crimes vão surgindo e acabam sendo acrescentados aos Projetos de Leis existentes, atrasando a sua aprovação. É necessário aprovar o quanto antes alguma Lei específica para crimes virtuais na intenção de diminuir as ocorrências ou intimidar os fraudadores. “Nos EUA existe uma lei de crimes informáticos há 14 anos, o Computer Misuse Act (CMA). O debate que se trava lá no momento é sobre a necessidade de atualizá-la, sobretudo para fazer face aos crimes cometidos em redes informáticas abertas. Mas ela é uma lei básica que vem servindo (pelo menos até agora) eficazmente” (REINALDO FILHO, 2004, p.05). 65 “A falta de leis de informática alimenta a impunidade, desmoraliza o Brasil no mundo e, o mais grave, a criminalidade via Internet tem um grande potencial para atrair ilícitos maiores, como o narcotráfico e o terrorismo” (COSTA, 2004, p.02). A aprovação dos Projetos de Lei será muito importante para preencher as lacunas existentes nas Leis atuais para crimes virtuais, no entanto a prevenção ainda é o melhor caminho, pois, como já foi visto ainda há casos no qual a identificação da autoria não pode ser realizada, deixando o fraudador impune. Devido a essa triste realidade, as instituições financeiras concentram esforços na conscientização e prevenção desses crimes, os quais estão relatados no próximo capítulo. 66 7. MEDIDAS DE PREVENÇÃO Os criminosos virtuais dedicam seu tempo e focam seus ataques na tentativa de enganar os usuários, pois geralmente quando ocorre uma fraude é decorrente de falta de prevenção e conhecimento do usuário. Usuários com pouco conhecimento, ou até mesmo os mais experientes, geralmente não lêem todas as telas de tomadas de decisão quando acessam um site. Solicitações de instalações de plug-ins, active X56, e outras ferramentas, muitas vezes podem ser instalações de programas com código malicioso que o usuário nem se dá ao trabalho de ler e clica no botão padrão em evidência que geralmente é o “Sim”. O criminoso pode tentar atacar a entidade bancária, mas é muito mais fácil atacar a outra extremidade, o usuário. Além de realizar seus acessos confidenciais (bancos, compras, etc) de uma máquina insegura, muitas vezes sem firewall57 e com antivírus desatualizado, os criminosos ainda contam com a engenharia social a favor deles, pois ludibriar usuários com poucos conhecimentos em informática não é uma tarefa muito difícil, infelizmente. A FEBRABAN (Federação Brasileira dos Bancos) iniciou um processo de conscientização dos usuários de Internet Banking com a intenção de mostrar aos usuários exatamente o que é uma fraude bancária, visando melhorar os conhecimentos das pessoas no intuito de diminuir o número de fraudes nesse serviço. Conforme Lau e Sanchez, “Nos Estados Unidos, ocorre há alguns anos o processo de conscientização dos usuários em relação aos exemplos de fraude praticados no ambiente Internet Banking. Apesar de esta ação preceder o processo de conscientização adotado no Brasil, percebeu-se que esta ação não foi efetiva na mitigação dos ataques aos clientes destes serviços. Partindo deste caso, questionase a efetividade de campanhas de conscientização como ferramenta eficaz na mitigação das fraudes” (2006, p.05). 56 É um conjunto de tecnologias (software) criado pela Microsoft para facilitar a integração entre diversas aplicações. 57 É uma solução extremamente necessária para qualquer computador que se conecta a Internet. Tem como funcionalidade principal a proteção da rede ou da máquina (no caso de um firewall pessoal) contra ataques mal intencionados de pessoas através da Internet. 67 Como o usuário é ainda o elo mais fraco e geralmente o atacado numa fraude eletrônica de Internet Banking, há soluções adicionais adotadas pelas instituições financeiras como exemplo: adoção de dispositivos como OTP (One Time Password) no qual o usuário recebe esse dispositivo que lhe informa uma nova senha a cada acesso ao Internet Banking, Outra opção adotada é a certificação digital, “composto por uma chave privada58, que pode ser armazenada no sistema operacional ou dispositivo que permite apenas a inserção do dado cifrado resultando sua decriptação, não permitindo extração ou leitura da chave privada”, de acordo com Lau e Sanchez (2006, p.05). O incentivo pelos bancos para o uso de certificado digital pode gerar problemas no futuro para o cliente, pois o armazenamento da chave privada, contida no certificado, é de responsabilidade do cliente. Caso essa chave seja roubada e utilizada para uma transação indevida, a instituição financeira pode tentar se isentar da responsabilidade e ter um argumento para não ser obrigado por lei a efetuar a restituição. Na realidade para conseguir essa isenção, a instituição financeira pode tentar responsabilizar o cliente se conseguir provar que ele fez mal uso do certificado, não seguindo os procedimentos de segurança e que houve negligência, imprudência, mas normalmente isso não ocorre pois elas preferem evitar o abalo à sua imagem, podendo ter perdas significativas se houver uma propaganda negativa em relação a esse assunto. No entanto, mesmo que houvesse interesse em não efetuar o pagamento, esse assunto ainda é algo que poderá gerar discussão no futuro, pois mesmo que o cliente não tenha seguido as orientações do banco para armazenamento seguro de seu certificado, ele pode alegar que não desconhecia os cuidados necessários e não entende de informática para saber se sua máquina está atualizada e com softwares de segurança necessários e por isso pode ter sido vítima de um espião. O objetivo das instituições financeiras não é de se isentar das responsabilidades e sim de tentar garantir a segurança nas transações bancárias, no 58 Chave privada é uma das chaves utilizadas no processo de criptografia assimétrica. Neste processo são utilizados pares de chaves público e privado. A chave pública é divulgada aos membros que realizam comunicação e são utilizados para a encriptação de dados. A chave privada é gerada e armazenada ao junto com ao dispositivo do usuário que responsável pela guarda do certificado. É necessário lembrar que apenas a chave privada consegue decriptar uma mensagem encriptada pela chave pública. 68 entanto a adoção do uso do certificado digital pode ser perigosa para os usuários que não entendem o seu funcionamento. Mesmo que o uso do certificado digital dificulte bastante as fraudes ele não as isenta porque ele pode ser roubado, principalmente se for do tipo A1, que se trata do mais inseguro. Existem vários tipos de certificados, os quais se diferem pela maneira como foram gerados, onde são armazenados e pelo valor pago para emissão. O certificado com menor valor é o chamado A1, que fica armazenado no próprio computador, podendo ser roubado caso o computador esteja infectado com algum código malicioso, provavelmente um cavalo de tróia, que permita um acesso maior de controle ao computador. Segundo publicado no site Tiinside por Claudio Ferreira, Júlio Cosentino, diretor da Certisign relatou uma ocorrência de fraude em um computador que armazenava um certificado do tipo A1: “Entre os bancos que utilizam certificação digital desde 2000 só existe o registro de um caso. Ele utilizava a certificação A1 que ficava no browser. O fraudador fez um cavalo de tróia e conseguiu. Mas foi um caso único e isolado” (FERREIRA, 2006, p.02). Apesar de tratar-se de apenas um caso isolado, isso serve como comprovação de que a segurança aumenta, mas não elimina a possibilidade de fraude. O tipo A2 e A3 têm chave assimétrica de 1024 bits, enquanto o A4 possui uma chave de 2048 bits e são gerados e armazenados em hardware, precisando de um leitor específico para sua utilização, e são mais seguros, pois precisam estar conectados ao computador no momento da transação bancária, no entanto o preço é bem superior ao A1 para emissão. Em decorrência disso é questionável se o cliente está ciente de que em caso de uma fraude com sua conta bancária a prova de que ele foi roubado talvez precise ser apresentada por ele. De acordo com Siqueira: “Há uma boa e uma má notícia para os correntistas que utilizam, ou ainda vão usar, meios eletrônicos para se comunicar com os bancos. A primeira é que, segundo especialistas e as próprias instituições financeiras, as novas ferramentas de segurança são capazes, pela primeira vez, de reduzir sensivelmente os casos de fraude on-line, que até agora cresceram sem parar. Diante dessa mudança de realidade, por outro lado, os bancos se sentem cada vez menos obrigados a ressarcir os prejuízos de transações indevidas quando há sinais claros de negligência, imprudência ou imperícia do cliente no manuseio das 69 senhas, contra-senhas, cartões inteligentes, tokens e outras das várias ferramentas de proteção disponíveis” (SIQUEIRA, 2006, p.01). Várias outras opções podem ser adotadas como: uso de um cartão plástico contendo uma matriz de números, limitação de transações em função a volumes financeiros, solicitação de senhas adicionais no processo de validação de transações, instalação de software anti-trojan nos clientes, teclado virtual, criptografia, cadastro de um número pequeno e limitado de computadores com permissão para acessar o Internet Banking e outras existentes, usadas dependendo do objetivo desejado e dos custos envolvidos (LAU; SANCHEZ, 2006, p.06). Há também o uso de biometria que pode ser uma boa opção no futuro quando os equipamentos para leitura biométrica estiverem com os preços mais acessíveis. A biometria trata-se de uma maneira de autenticação, se refere aos métodos automatizados para identificação de pessoas com base em suas características físicas únicas. O ser humano possui características corporais únicas e que são de certa forma, estáveis. Por exemplo, a impressão digital, a retina, a íris, formação da face, geometria da mão e outras. É como uma chave de segurança que não pode ser entregue ou tomada por nenhuma outra pessoa porque “está” no próprio corpo, no entanto para garantir maior confiabilidade no processo de autenticação, é necessário o uso em conjunto de três métodos que compõe uma autenticação forte. São eles: a biometria (o que a pessoa é ou faz), o uso de senha (o que ela sabe) e de um cartão ou token (o que ela possui). Essa é uma opção dentre outras que provavelmente surgirão, no entanto os leitores biométricos ainda têm um custo alto para a implantação em cada cliente. Uma medida de prevenção atual deveria consistir no impedimento pelos bancos do acesso ao Internet Banking a partir de computadores pertencentes a lan-houses ou cyber-cafés, pois são utilizadas por muitas pessoas e muitas vezes mal intencionadas que podem instalar códigos maliciosos na intenção de roubo de senha, configurações para desvio da página do banco para outro fraudado (pharming) ou diversas outras armadilhas. Se o acesso realizado em computadores localizados na casa do cliente e no trabalho já oferece riscos, em estabelecimentos desse tipo o risco é muito maior. É possível verificar que há diversos métodos, ferramentas com tecnologia avançada que podem ser usadas isoladamente ou em conjunto para garantir maior 70 eficiência na tentativa de inibir as fraudes, no entanto, de nada adianta fortalecer o meio digital com recursos muitas vezes de alto custo se a extremidade mais vulnerável – a do usuário, o ser humano, continuar com o mesmo nível baixo de conhecimento técnico. Para tentar atingir o objetivo de melhorar a segurança nas transações bancárias, as instituições financeiras devem investir ainda muito mais no aumento de conhecimento dos clientes para que os mesmos sejam mais desconfiados com o que lêem na Internet, como são atualmente na vida real. Se um cliente está em um caixa eletrônico do banco e alguém se aproxima e oferece ajuda, o cliente ficará desconfiado, pois já deve ter ouvido casos de pessoas que realizam roubos dessa maneira. Mas se ele recebe um phishing via e-mail não se questiona tanto e pode acabar clicando no link fraudulento. A diferença entre esses dois casos se dá pelo fato de que os golpes envolvendo roubos em caixas eletrônicos foram mais divulgados e trata-se de uma abordagem suspeita real, pois as pessoas costumam temer outras pessoas estranhas dependendo do local onde estão, são vivências de crimes comuns. Segundo Lau: “E, aos fraudadores, é preciso que os órgãos públicos de repressão atuem constantemente na investigação e punição, com apoio da imprensa para divulgar as operações” (2006b, p.01). Os crimes virtuais estão ficando cada vez mais freqüentes, no entanto não há divulgação desse tipo de crime para não comprometer a imagem da instituição financeira e desencorajar os clientes a utilizarem o Internet Banking, e o número de campanhas efetivas para conscientização dos clientes dos perigos que o uso da Internet acarreta ainda é insuficiente. De acordo com Melo, “Assim como o cliente aprendeu a sacar dinheiro em caixa eletrônico e não sair contando na rua, ele também deve aprender a não andar por qualquer canto da Internet ou acreditar em qualquer anúncio que lhe é oferecido” (2006, p.01). Como medida de prevenção é necessário concentrar forças com o objetivo de mostrar aos clientes exatamente quais são os riscos que ela corre ao realizar um acesso ao banco a partir de um computador sem o mínimo de segurança recomendável. Devem ser realizadas campanhas com uma linguagem de fácil entendimento aos leigos e talvez até a criação de um curso básico de segurança de computador pessoal apoiado pelas instituições financeiras a ser realizado para todos 71 os clientes que fazem uso da Internet para transações financeiras. Seria interessante entregar um cd-rom com programas de segurança freeware como antivírus, antispyware, firewall e instruções de instalação, atualização e configuração. 72 8. CONSIDERAÇÕES FINAIS 8.1 CONCLUSÃO Foi possível identificar que os métodos utilizados pelos fraudadores para realização de uma fraude, com o objetivo de ganhos financeiros evoluíram com o passar do tempo, pois essas técnicas e métodos utilizados por eles, tornaram-se ultrapassados, dificultando a obtenção de sucesso em uma fraude. O avanço nos métodos utilizados em fraudes digitais pelos fraudadores é realizado em sintonia com o aprimoramento das técnicas de segurança utilizadas pelas instituições financeiras. De um lado as instituições investem em tecnologia visando um aumento na segurança das transações on-line e do outro lado os fraudadores descobrem maneiras de quebrar essa segurança, com o aprimoramento de suas técnicas. Mesmo com a existência de várias ferramentas e técnicas para destruição de provas, prejudicando o trabalho do perito, muitas vezes a eliminação total das provas pode não ser conseguida. Isso pode acontecer devido à ocorrência de falha humana por parte do fraudador na execução de determinada ferramenta, pela ineficiência da mesma, ou pelo esquecimento de eliminação de alguma pista ou evidência. No entanto, dependendo do conhecimento técnico, cuidado tomado e ferramentas eficientes utilizadas do fraudador, por exemplo, uma formatação com ferramentas conhecidas como wipe, o trabalho do perito pode ser muito prejudicado podendo resultar na destruição total das provas. Um bom perito na área de perícia computacional deve sempre estar atualizado, tanto com as novas técnicas de segurança das instituições, quanto com os avanços conseguidos pelos fraudadores. Deve também entender, dentre outras coisas, as ferramentas de análise existentes, procedimentos de trabalho estabelecidos, noções de direito criminal, se possível e do sistema operacional a ser investigado, bem como das suas vulnerabilidades existentes. Uma das contestações mais recentes de defesa em um julgamento é o acusado alegar que a máquina, de propriedade dele, utilizada para a realização do crime possa ter sido atacada por hackers e com isso provocado falsas provas ou 73 falsa autoria. Isso realmente pode acontecer. Neste caso a máquina de onde partiu a realização da fraude deverá conter algum código malicioso que permitiu o controle sobre ela, e através desse código ela poderia ter sido utilizada por um terceiro para o cometimento da fraude. Devido a essa contestação, e a existência de ferramentas para eliminação de provas, pode-se prever o risco de aparecimento de uma nova modalidade de criminoso virtual, composta por peritos experientes, de caráter duvidoso, utilizando o seu conhecimento para ajudar os criminosos a forjarem provas e incriminarem outras pessoas. Um perito experiente pode realizar um ataque a uma máquina, realizar uma fraude a partir dela, e depois apagar os vestígios para que a alegação citada anteriormente não seja aceita. Se não há vestígios do ataque pode não ser possível provar que ele realmente existiu. A identificação da autoria é possível de ser realizada, mas ainda não é uma tarefa simples, pois disso depende o armazenamento, por um período determinado, de arquivos de registros pelos provedores, colaboração dos mesmos, uma cooperação mútua entre todos os países, aprovação de projetos de leis exigindo armazenamento por determinado período de tempo pelos provedores e cadastro de usuários de cyber-cafés e lan-houses. Quanto à condenação do fraudador, é possível afirmar que o mesmo pode ser enquadrado em vários artigos existentes no código penal, mas outros tipos de crimes possuem conceitos novos, não sendo possível a sua classificação ou analogia diante das leis atuais. Por isso para acabar com a sensação de impunidade e fechar essas lacunas da lei é necessário a aprovação o quanto antes de alguns projetos de leis que visam classificar com maior precisão os crimes digitais. Mesmo com todas essas medidas tomadas pelas instituições financeiras, a prevenção ainda é a melhor solução, por isso no âmbito de Internet Banking, os bancos estão investindo em segurança com medidas como: adoção de dispositivos como OTP (One Time Password), uso de cartão plástico contendo uma matriz de números, limitação de transações em função a volumes financeiros, solicitação de senhas adicionais no processo de validação de transações, instalação de software anti-trojan nos clientes, teclado virtual, criptografia, cadastro de um número pequeno e limitado de computadores com permissão para acessar o Internet Banking. A Febraban também estimula o aumento de conhecimento dos usuários, mas, infelizmente ainda não foi atingido o objetivo de diminuição da ocorrência das 74 fraudes, pois se percebe que muitas pessoas ainda não entendem o básico sobre segurança da informação de seu computador e por isso não sabem como se proteger, faltando conhecimentos essenciais para se atingir o objetivo de conscientização. Os bancos geralmente ressarcem seus clientes prejudicados, pois se trata de uma obrigação, prevista no código de defesa do consumidor, conforme afirma Maira Feltrin, “Dessa forma, pode o consumidor solicitar, com base nos arts. 6º, VI, 14 e 20, do Código de Defesa do Consumidor a reparação de todos os prejuízos que eventualmente sofrer” 59, em IDEC (2005, p.02). Além disso, as instituições bancárias têm interesse em não revelar o total de fraudes ocorridas, para não prejudicar a sua imagem referente à segurança no uso da Internet para transações financeiras, pois pode induzir outros clientes a deixarem de utilizar o Internet Banking por medo de fraude. Essa atitude em ocultar as ocorrências de fraudes deixa os clientes com a falsa impressão de que estão seguros e que os roubos de dinheiro através da Internet são casos raros, diferentes dos roubos no mundo real, que são divulgados, com detalhes de como ocorreu, deixando assim, as pessoas melhor informadas de como proceder para não serem as próximas vítimas. Talvez, se as fraudes fossem divulgadas, como são feitas com as fraudes no mundo real, outras pessoas poderiam aprender com essas informações e adquiririam mais procedimentos de defesa, como é feito hoje no ambiente físico. Por exemplo, a precaução que as pessoas têm de irem a um caixa eletrônico à noite fora de shoppings ou estabelecimentos comerciais, foi conseguida através divulgação de exemplos de roubos nessa determinada situação. Na tentativa de garantir uma maior segurança em uma conexão virtual sigilosa o ideal é que as pessoas tenham em casa dois computadores. Um computador para realização das transações financeiras, compras on-line com cartão de crédito, trabalho em casa através do uso de VPN60 da empresa, ou qualquer outra atividade que seja confidencial e outro computador para entrar em bate papo, 59 FELTRIN apud IDEC (2005). VPN é a sigla utilizada para Virtual Private Network que consiste num recurso disponibilizado por softwares que permitem que uma pessoa que esteja fisicamente fora da empresa possa acessar todos os recursos que são disponibilizados para os funcionários que estão dentro da empresa, como se ele estivesse fisicamente dentro da empresa, conectado na rede local. 60 75 conversar pelo MSN, instalar programas peer-to-peer para download de músicas e acessar sites de relacionamento como orkut. Esses programas citados acima trazem insegurança ao computador, por isso neste caso o primeiro computador deveria conter apenas os programas necessários para as atividades que necessitam de sigilo, e todos os programas de segurança recomendados. Já o segundo computador deveria conter também os programas de segurança, mas não haveria uma preocupação maior com isso, pois as atividades que precisam de sigilo seriam realizadas apenas no computador considerado mais seguro. Resumindo, a solução para diminuição de fraudes em Internet Banking não deve se resumir em apenas uma medida, e sim na junção de várias, como já citadas, conscientização dos clientes, aumento de seus conhecimentos técnicos, investimento dos bancos em alternativas de aumento de segurança da informação, citadas anteriormente, e divulgação para os clientes estarem cientes de que uma fraude virtual não é tão rara como podem pensar e que é possível ocorrer com qualquer um se não tomarem precauções. 8.2 TRABALHOS FUTUROS Em decorrência do desenvolvimento deste trabalho, foi possível perceber que vários assuntos importantes merecem ser melhor detalhados, para compreensão mais aprofundada do tema exposto, no entanto, por não pertencerem ao escopo principal ou por serem bastante extensos, a sugestão é que sejam elaborados em trabalhos futuros. Alguns dos temas que podem ser discutidos com mais detalhes são: • Criptografia. O tema foi apenas mostrado com poucos detalhes de funcionamento, apenas para o leitor entender o motivo de ser uma técnica anti-forense. Seria interessante uma pesquisa mais aprofundada desse tema relacionando com o assunto deste trabalho, com mais exemplos e opções de uso. 76 • Esteganografia. É um assunto muito rico e, se detalhado de maneira didática proporciona uma visão mais ampla de uso para o leitor. Talvez um estudo de caso com exemplos relacionados a métodos anti-forense ofereça um conhecimento mais técnico para os pesquisadores e profissionais de perícia forense que estão iniciando nessa área. • Ferramentas para perícia em sistemas operacionais linux/Unix. Neste trabalho foi focada apenas ferramenta utilizada para o sistema operacional Windows. Algumas delas funcionam também para o linux/Unix, mas existem outras poderosas para esse sistema operacional que não foram citadas neste trabalho. Ter uma idéia de funcionamento dessas outras ferramentas poderia proporcionar para o leitor saber distinguir as diferenças e dificuldades de perícia em ambos os sistemas. • Abordagem das leis para outros crimes virtuais como pedofilia, racismo, preconceito e outros não discutidos. Como o enfoque realizado neste trabalho foi à perícia forense relacionada a crimes em Internet Banking, outros crimes são hoje, muito praticados no mundo digital e merecem atenção, pois estão em constante crescimento. Devido a ser amplo e não fazer parte do contexto, não foram citados os Projetos de Leis que visam diminuir esses crimes e nem as leis atuais a que se enquadram atualmente. 77 REFERÊNCIAS [1] L9296. LEI Nº 9.296, DE 24 DE JULHO DE 1996. Presidência da República. Disponível em: < https://www.planalto.gov.br/ccivil_03/LEIS/L9296.htm> Acessado em 09/05/2006 [2] BERNARDO, Adauto de Souza. Técnicas computacionais no auxílio à perícia forense na análise de evidências coletadas em servidores GNU/Linux, junho de 2006. Universidade do Extremo Sul Catarinense – Curso de Ciência da Computação, 06/2006. Disponível em: http://www.esnips.com/webfolder/d0961475-0b63-4ba48952-f6d3fc7f761c Acessado em 09/09/2006. [3] BRADESCO. Dicas de segurança, Banco Bradesco S/A. Disponível em: <http://www.bradesco.com.br/seguranca_informacao/dicas.html> Acessado em 01/05/2005 [4] L2848. LEI Nº 2.848, DE 07 DE DEZEMBRO DE 1940. Associação do Ministério Público do Estado do Rio de Janeiro. Disponível em: < http://www.amperj.org.br/store/legislacao/codigos/cp_DL2848.pdf> Acessado em 08/05/2006 [5] COELHO, Laura Cristina Machado; BENTO, Ricardo Jorba. Ferramentas de esteganografia e seu uso na Infowar. ICCyber´2004 – I Conferência Internacional de Perícias em Crimes Cibernéticos. Disponível em: http://www.angelfire.com/falcon/hsramos/anais_iccyber.pdf> Acessado em 10/09/2006. [6] ROCHA, Luis Fernando. Forense computacional: A ciência da investigação eletrônica. Módulo Security Magazine, 27/10/2003. Disponível em < http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2459&pagecounter=0&i diom=0> Acessado em 14/06/2006 78 [7] COSTA, Marcelo A. Sampaio Lemos. Normas e procedimentos para a computação forense. Instituto de Criminalística Afrânio Peixoto (ICAP). – Departamento de Polícia Técnica Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?ModId=70> Acessado em 10/06/2006 [8] COSTA, Marcelo A. Sampaio Lemos. Mundo virtual sem lei, 04/02/2004. Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia Técnica da Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70> Acessado em 11/06/2006 [9] HSBC – Uma curta história dos vírus. HSBC Bank Brasil AS. Disponível em: <http://www.hsbc.com.br/common/seguranca/artigo-seguranca-historia-virus.shtml> Acessado em 10/06/2006 [10] Dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Análise forense de intrusões em sistemas computacionais: técnicas, procedimentos e ferramentas, 2002. Instituto de Computação – Universidade Estadual de Campinas. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002-Periciamarcelo.reis-forense.tecnicas.procedimentos.pdf> Acessado em: 10/06/2006 [11] LAU, Marcelo. Fraude via e-mail por meio de cavalos de tróia e clonagem de sites financeiros, NIC BR Security Office, NBSO, 12/11/2004. Disponível em: <http://www.nbso.nic.br/docs/ssi2004/ssi2004-wtis-nbso-mlau.pdf> Acessado em 05/05/2006 [12] RFC 3227 – Guidelines for evidence collection and archiving, 02/2002. Internet FAQ Archives . Disponível em: < http://www.faqs.org/rfcs/rfc3227.html> Acessado em 11/06/2006 [13] LAU, Marcelo ; SANCHEZ, Pedro Luis Próspero. Técnicas utilizadas para efetivação e contenção das fraudes sobre Internet Banking no Brasil e no mundo. In: III Seminário Nacional de PerÍcia Crimes de Informática, 2006, São 79 Paulo, 2006. Disponível em: <http://www.datasecur.com.br/artigo.pdf> Acessado em 03/10/2006 [14] PELLEGRINI, Jerônimo; BERTACCHI, João Eduardo Ferreira; VITA, João Paulo Rechi. Forense computacional, 22/06/2005. Instituto de Computação – Universidade Estadual de Campinas. Disponível em: <http://www.ic.unicamp.br/~jeronimo/abstracts/forense.pdf> Acessado em 10/06/2006 [15] REINALDO FILHO, Demócrito – Juiz de Direito no Recife. Lei sobre crimes tecnológicos (PL 84/99) notas ao parecer do senador Marcelo Crivella, 15/05/2004. IMP – Instituto dos Magistrados de Pernambuco. Disponível em: <http://www.imp.org.br/webnews/noticia.php?id_noticia=334&> Acessado em 08/08/2006 [16] KASPERSKY, Eugene. Spyware, Kaspersky Lab, 03/2006. Disponível em: <http://usa.kaspersky.com/threats/spyware.php> Acessado em 01/05/2006 [17] DACAUAZILIQUÁ, José. Estagiário desvia R$ 3 milhões do INSS, Associação Nacional das Entidades Associativas dos Servidores da Polícia Federal, 30/11/2005. Disponível em: <http://www.ansef.org.br/verNoticia.php?cod=299> Acessado em 10/08/2006 [18] ALMEIDA FILHO, José Carlos de Araújo; CASTRO, Aldemario Araújo; DELLÓRTO, Cláudio Luiz Braga; LIMA NETO, José Henrique Barbosa Moreira; PORTELLA, Georgiana; BLUM, Renato M. S. Opice; BRASIL, David Paterman. Revista de direito eletrônico – Rede 01 – ISSN. Publicação Oficial do IBDE – Instituto Brasileiro de Direito Eletrônico, Jun a Ago/2003. Disponível em: <http://www.ibde.org.br/revista/index_arquivos/revistadedireitoeletronico1.pdf> Acessado em 09/08/2006 [19] DAOUN, Alexandre Jean; BLUM, Renato M. S. Opice. Cybercrimes. Coord. Newton de Lucca e Adalberto Simão Filho. Direito & Internet: aspectos jurídicos relevantes. Edipro 2001 pág. 126 e 127 80 [20] CONCERINO, Arthur José. Internet e segurança são compatíveis? Coor. Newton de Lucca e Adalberto Simão Filho. Direito & Internet: aspectos jurídicos relevantes. Edipro 2001, pág. 153 [21] Cert.br, Cartilha de segurança para Internet – parte 1 – conceitos de segurança. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – CERT.br, 09/2005a. Disponível em: <http://cartilha.cert.br/download/cartilha-01-conceitos.pdf> Acessado em 13/08/2006 [22] IDEC, Perigo em apenas um click – Instituto Brasileiro de Defesa do Consumidor, 02/2005. Disponível em: <http://www.idec.org.br/emacao.asp?id=831> Acessado em 14/08/2006 [23] SENADO FEDERAL, Projeto de Lei nº 5.403, de 2001 PLS nº 151/00. Comissão de Ciência e Tecnologia, Comunicação e Informática. Disponível em: <http://www.camara.gov.br/sileg/integras/190128.htm> Acessado em 11/06/2006 [24] KAMINSKI, Omar. 10º Seminário RNP de capacitação e inovação – Mesa Redonda – Crimes Digitais - Rede Nacional de Ensino e Pesquisa, 01/12/2004. Disponível em: < http://www.rnp.br/_arquivo/sci/2004/omar.pdf> Acessado em 08/05/2006 [27] ARGOLO, Frederico Henrique Bohm. Análise forense em sistemas GNU/Linux – Redes de Alta Velocidade - Universidade Federal do Rio de Janeiro, abril/2005. Disponível em: <http://www.ravel.ufrj.br/arquivosPublicacoes/projetofinal_fred.pdf> Acessado em: 09/05/2006 [25] – SANS Institute – Computer security education and information security training. Disponível em: <http://www.sans.org/> Acessado em 28/03/2006 81 [26] PUCCIARIELLO, Síssi. Cartilha ensina como se proteger na Internet, abril, 2003. Disponível em: < http://www.cert.br/docs/reportagens/2003/2003-04-00.html> Acessado em 01/05/2006 [27] MENDES, Sérgio Peixoto. Vírus - O Conhecimento é a prevenção, Portal do SERPRO, 2000. Disponível em: <http://www.serpro.gov.br/publicacao/tematec/2000/ttec52> Acessado em 05/05/2005 [28] PoP-SC – Vírus e worms, Segurança de Redes e Computadores, PoP-SC, Ponto de Presença da RNP em Santa Catarina. Disponível em: <http://www.popsc.rnp.br/site/seg/worms.php> Acessado em 05/05/2005 [29] SOS Informática, Suporte ao Usuário – Vírus de computador, Secretaria Geral de Informática, Universidade Federal de São Carlos, UFSCAR, 2004. Disponível em: <http://www.ufscar.br/~suporte/vir01.php> Acessado em: 05/05/2005 [30] ROCHA, Luis Fernando. Perícia forense computacional em debate – Módulo Security Magazine, 16/08/2004. Disponível em: <http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3204&pagecounter=0 &idiom=0> Acessado em: 28/04/2006 [31] GUIMARÃES, Cardoso Célio; OLIVEIRA, Flávio de Souza; dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Forense computacional: aspectos legais e padronização – Instituto de Computação – Universidade de Campinas. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveiramarcelo.reis-forense.pdf> Acessado em 01/05/2006 [32] Trinux – Packages. Disponível em: <http://trinux.sourceforge.net/tools.html> Acessado em 12/07/2006 [33] SILVA, Paulo Quintiliano. Cooperação policial internacional no combate aos crimes cibernéticos. Departamento de Polícia Federal – DPF – Associação Nacional dos Peritos Criminais Federais – APCF – ICCyber´2004 – I Conferência 82 internacional de perícias em crimes cibernéticos, set/2004. Disponível em: < http://www.angelfire.com/falcon/hsramos/anais_iccyber.pdf> Acessado em 26/09/2006 [34] OLIVEIRA, Flávio de Souza. Metodologias de análise forense para ambientes baseados em NTFS, 2001. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2001-SSI-flavio.oliveira-forense.ntfs.pdf> Acessado em 12/07/2006 [35] OLIVEIRA, Flávio de Souza; GUIMARÃES, Célio Cardoso; de GEUS, Paulo Lício. Resposta a incidentes para ambientes corporativos baseados em windows, 2002. Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002WSeg-flavio.oliveira-resposta.incidentes.pdf> Acessado em 13/07/2006 [36] Computer Forensics, Cybercrime and Steganography Resources – Forensics.nl computer forensics toolkits, digital evidence software suites. Disponível em: <http://www.forensics.nl/toolkits> Acessado em 09/07/2006 [37] Consulta Tramitação das Proposições – PL89/03 – antiga PL 84/99, Projeto de Lei nº 89, de 2003. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=15028> Acessado em 30/07/2006 [38] Senado Federal, Diário do Senado Federal, 08/2005. Disponível em: <http://www.senado.gov.br/web/cegraf/pdf/10082005/27157.pdf> Acessado em 15/11/2006 [39] Serpro. Virando Lei, 10/2006. Disponível em: <http://www.serpro.gov.br/publicacoes/tema/materias/leg_187_01> Acessado em 15/11/2006 [40] LOBATO, Elvira. Projeto quer controlar acesso à Internet. Folha de São Paulo Rio de Janeiro, 11/2006. Disponível em: 83 <http://www1.folha.uol.com.br/folha/informatica/ult124u20908.shtml> Acessado em 15/11/2006 [41] ZIMMERMANN, Patrícia. Senado adia votação de projeto que obriga identificação de usuários na Internet. Jornal Folha Online de Brasília, 11/2006. Disponível em: <http://www1.folha.uol.com.br/folha/informatica/ult124u20934.shtml> Acessado em 15/11/2006 [42] Consulta Tramitação das Proposições – PL3301/04. Projeto de Lei nº 3301, de 2004. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=159508> Acessado em 29/07/2006 [43] Consulta Tramitação das Proposições – PL3303/00. Projeto de Lei nº 3303, de 2000. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=19443> Acessado em 29/07/2006 [44] Consulta Tramitação das Proposições – PL6557/02. Projeto de Lei nº 6557, de 2002. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=49033> Acessado em 29/07/2006 [45] Consulta Tramitação das Proposições – PL3891/00. Projeto de Lei nº 3891, de 2000. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=20405> Acessado em 29/07/2006 [46] Consulta Tramitação das Proposições – PL4972/01. Projeto de Lei nº 4972, de 2001. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=31406> Acessado em 31/07/2006 84 [47] Consulta Tramitação das Proposições – PL5977/01. Projeto de Lei nº 5977, de 2001. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=42264> Acessado em: 31/07/2006 [48] Consulta Tramitação das Proposições – PL7461/02. Projeto de Lei nº 7461, de 2002. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=101782> Acessado em 29/07/2006 [49] Consulta Tramitação das Proposições – PL480/03. Projeto de Lei nº 480, de 2003. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=107806> Acessado em 31/07/2006 [50] Consulta Tramitação das Proposições – PL1256/03. Projeto de Lei nº 1256, de 2003. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=119929> Acessado em 31/07/2006 [51] Consulta Tramitação das Proposições – PL2196/03. Projeto de Lei nº 2196, de 2003. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=136951> Acessado em 02/08/2006 [52] Consulta Tramitação das Proposições – PL4562/04. Projeto de Lei nº 4562, de 2004. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=272126> Acessado em 02/08/2006 [53] Consulta Tramitação das Proposições – PL5009/05. Projeto de Lei nº 5009, de 2005. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=280666> Acessado em 02/08/2006 85 [54] Consulta Tramitação das Proposições – PL6827/06. Projeto de Lei nº 6827, de 2006. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=318885> Acessado em 02/08/2006 [55] Consulta Tramitação das Proposições – PL3016/00. Projeto de Lei nº 3016, de 2000. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=18973> Acessado em 02/08/2006 [56] Consulta Tramitação das Proposições – PL18/03. Projeto de Lei nº 18, de 2003. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=104340> Acessado em 08/08/2006 [57] Consulta Tramitação das Proposições – PL6024/05. Projeto de Lei nº 6024, de 2005. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=302629> Acessado em 08/08/2006 [58] Consulta Tramitação das Proposições – PL6931/06. Projeto de Lei nº 6931, de 2006. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=321388 Acessado em 08/08/2006 [59] Consulta Tramitação das Proposições – PL4144/04. Projeto de Lei nº 4144, de 2004. Câmara dos Deputados. Disponível em: <http://www.camara.gov.br/sileg/Prop_Detalhe.asp?id=264659 Acessado em 08/08/2006 [60] Consulta Tramitação das Proposições – PL5403/01. Projeto de Lei nº 5403, de 2001. Câmara dos Deputados. Disponível em: 86 <http://www.camara.gov.br/sileg/prop_detalhe.asp?id=34462> Acessado em 08/08/2006 [61] WENDEL, Henrique Guglielmetti. Anti forensics: dificultando análises forenses computacionais. Wendel Security, 03/2006. Disponível em: <http://ws.hackaholic.org/slides/AntiForense.ppt> Acessado em 09/09/2006 [62] MARES, Dan. Alternate data streams. Mares and Company – Computer Forensics and Data Analysis, 2005. Disponível em: <http://www.dmares.com/maresware/html/ads.htm> Acessado em 10/09/2006 [63] OLIVEIRA, Flávio de Souza. Resposta a incidentes e análise forense para redes baseadas em windows 2000. Instituto de Computação – Universidade Estadual de Campinas, 11/2002b. Disponível em: <http://www.las.ic.unicamp.br/paulo/teses/20021121-MSc-Flavio.OliveiraResposta.a.incidentes.e.analise.forense.para.redes.baseadas.em.Windows.2000.pdf > Acessado em 10/09/2006 [64] MITNIK, Kevin D. ; SIMON, William L. The art of deception – controlling the human Element of security, 2002. Disponível em: <http://files.hugepedlar.com/Kevin_Mitnick_-_Art_Of_Deception.pdf> Acessado em 10/09/2006 [65] PASSOS, Jeane dos Reis; VIEIRA, Simone Maia Prado; ROKICKI, Cristiane Camizão (organizadoras); CORRÊA, Rosa Maria Rodrigues (colaboração). Guia de normalização de monografias, dissertações e teses para alunos das faculdades Senac – São Paulo, 2005. 78p. (versão revisada) [66] OLIVEIRA, Marcelo. MPF/SP pede ao Google indenização de R$ 130 milhões. Assessoria de Comunicação – Procuradoria Geral da República em São Paulo – Ministério Público Federal, agosto/2006. Disponível em: <http://www.pgr.mpf.gov.br/pgr/imprensa/iw/nmp/public.php?publ=8014> Acessado em 27/09/2006 87 [67] FOINA, Ariel G.; REIS, Igor de V. Cavalcante. O Documento eletrônico como prova de crimes: as questões do cibercrime e da rede para o direito penal e seu processo. Instituto Nacional de Tecnologia da Informação, 2003. Disponível em: <http://www.iti.br/twiki/pub/Forum/ArtigoJ202/j06-ArielFoinaIgorReis.rtf> Acessado em 28/09/2006 [68] L12228/06. LEI Nº 12.228, DE 11 DE JANEIRO DE 2006. Ministério Público – Estado do Rio Grande do Sul. Disponível em: <http://www.mp.rs.gov.br/consumidor/legislacao/id2316.htm> Acessado em 29/09/2006. [69] SRF. Leiaute dos certificados digitais da SRF – Secretaria da Receita Federal – SRF, versão 3.0.1, jan/2003. Disponível em: <http://www.receita.fazenda.gov.br/acsrf/LeiautedeCertificadosdaSRF.pdf> Acessado em 01/10/2006 [70] Melo, Kleber, responsável pela segurança da informação do Banco HSBC – por Françoise Terzian ao Jornal Valor. Conscientização do correntista é a única saída para diminuir fraudes. Jornal Valor – Especial Segurança on-line, out/2006. Acessado em 02/10/2006. [71] FERREIRA, Cláudio. Certificação digital: bancos entram no jogo. Revista Tiinside – nº 16, ago/2006. Disponível em: http://www.tiinside.com.br/revistas/16/ecommerce.asp> Acessado em 03/10/2006 [72] SIQUEIRA, André. Tecnologia pega-ladrão – com investimento, os bancos esperam diminuir as fraudes digitais. Instituto Nacional de Tecnologia da Informação, ago/2006. Disponível em: < http://www.iti.br/twiki/bin/view/Main/MidiaClip2006Aug14A> Acessado em 03/10/06 [73] FIORESE, Maurício. Autenticação de usuários. Universidade Federal do Rio Grande do Sul. Disponível em http://penta.ufrgs.br/pesquisa/fiorese/autenticacaoeadcap2.htm. Acessado em 03/10/2006 88 [74] LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente Internet Banking. Universidade de São Paulo – Escola Politécnica, 2006a. Disponível em: <http://www.datasecur.com.br/Dissertacao.pdf> Acessado em 12/10/2006 [75] AQUINO, Tacilda. Seu computador pode ser um zumbi. Universidade Estadual de Goiás, 10/2005. Disponível em: <http://www.ueg.br/informatica_200510-27.htm> Acessado em 14/10/2006 [76] Cert.br, Cartilha de segurança para Internet – parte 8 – códigos maliciosos. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – CERT.br, 09/2005b. Disponível em: <http://cartilha.cert.br/download/cartilha-08malware.pdf> Acessado em 14/10/2006 [77] ESTADÃO. Aumentam incidentes de segurança na Web brasileira,10/2006. Disponível em: <http://www.estadao.com.br/tecnologia/internet/noticias/2006/out/06/117.htm?RSS> Acessado em 14/10/2006 [78] LENTULUS, Gabriel. A agência nacional contra crimes digitais. Revista Excelência Meritíssimo – Site Pesquisa em Ação – Revista Científica para Graduação, 10/2005. Disponível em: < http://www.pesquisaemacao.com.br/direito_artigo_a0002.pdf> Acessado em 14/10/2006 [79] Cert.br, Cartilha de segurança para Internet – Parte 2 – riscos envolvidos no uso da Internet e métodos de prevenção. Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil – CERT.br, 09/2005c. Disponível em: <http://cartilha.cert.br/download/cartilha-02-prevencao.pdf> Acessado em 14/10/2006 [80] Lau, Marcelo. Maioria das fraudes em Internet Banking aplicadas no exterior já tiveram precedente no Brasil. Universidade de São Paulo, 09/2006b. 89 Disponível em: http://www.usp.br/agen/repgs/2006/pags/197.htm> Acessado em 15/10/2006