Questão jurídica sobre a mobilidade
Transcrição
Questão jurídica sobre a mobilidade
Escola Superior de Tecnologia e Gestão de Leiria CRSC´2006 Questões jurídicas sobre a mobilidade Francisco Luís, Inspector Secção Central de Investigação da Criminalidade de Alta Tecnologia da Polícia Judiciária Sumário z Legislação nacional • Ciberconvenção z Obtenção de prova • Dificuldades na obtenção de prova z Mobilidade • Ataques e ferramentas © PJ - CRSC´2006 2 Legislação nacional z z z z z z z z Lei 109/91, de 17/08 – Criminalidade Informática Lei 67/98, de 26/10 – Protecção Dados Pessoais face à Informática Lei 45/2004, de 18/08 – Regula o Tratamento dos Dados Pessoais e a Protecção da Privacidade nas Telecomunicações Electrónicas Lei 5/2004, de 10/02 – Lei das Comunicações Electrónicas Lei 7/2004, de 07/01 – Comércio Electrónico Lei 122/00,de 04/07 – Protecção Jurídica Base Dados DL 252/94, de 20/10 – Protecção Jurídica do Software Código Penal • • • • • Art.º 153.º – Ameaça Art.º 172.º, n.º 3 e 4 – Abuso Sexual de Menores Art.º 180.º – Difamação Art.º 193.º – Devassa por Meio de Informática Art.º 221.º – Burla Informática e nas Telecomunicações © PJ - CRSC´2006 3 Ciberconvenção z Convenção da CE e tem três grandes objectivos • A harmonização de legislação relativa ás • • infracções conexas com a criminalidade informática, ou seja a parte substantiva Definição de normas processuais penais para beneficiar e facilitar a investigação criminal Propiciar e facilitar, um regime mais eficaz de cooperação internacional © PJ - CRSC´2006 4 Lei geral e abstracta z Lei 109/91, de 17/08 – Criminalidade Informática z Art.º 2.º - Definições a) Rede informática - um conjunto de dois ou mais computadores interconectados; b) Sistema informático - um conjunto constituído por um ou mais computadores, equipamento periférico e suporte lógico que assegura o processamento de dados; © PJ - CRSC´2006 5 Obtenção de provas © PJ - CRSC´2006 6 Obtenção de prova z A prova informática é como qualquer outra e deve ser: • • • • z Admissível Autêntica Precisa Completa Mas como lidar com prova que assume carácter temporário, fungível e de grande volatilidade? © PJ - CRSC´2006 7 Dificuldades na obtenção de prova Cifra z Recuperação de ficheiros apagados z Informação em PC’s remotos z Cooperação interna (ISP’s) z Cooperação internacional z © PJ - CRSC´2006 8 Tipos de Dados z Dados de Tráfego - origem da comunicação, o destino, os trajectos, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente z Dados de Base - Dados pessoais relativos à conexão à rede de comunicações, designadamente número, identidade e morada de assinante, bem como a listagem de movimentos de comunicações z Dados de Conteúdo - Dados relativos ao conteúdo da comunicação ou de uma mensagem © PJ - CRSC´2006 9 Regime de acesso aos dados de conteúdo z z z z Equiparação total ao regime das intercepções telefónicas, Art.º 187.º a 190.º do CPP Extensão do Art.º 190.º, ao correio electrónico ou qualquer outra forma de transmissão de dados por via telemática A nova proposta de revisão do CPP “O disposto nos artigos 187.º, 188.º e 189.º é correspondentemente aplicável às conversações ou comunicações transmitidas por qualquer meio técnico diferente do telefone, sem prejuízo do regime próprio de obtenção de prova digital electrónica, bem como à intercepção das comunicações entre presentes” © PJ - CRSC´2006 10 Dificuldades Ataques / Ferramentas Mobilidade © PJ - CRSC´2006 11 IP móvel z z z z Dificuldade de efectivar uma escuta Quando o MN (nó móvel) se desloca para uma rede externa E o seu endereço (COA) entra na cache do CN (nó correspondente) Deixa de passar pelo ISP © PJ - CRSC´2006 12 Wireless z z z z z Uma rede normal Wireless não é muito segura O WEP é uma chave simétrica e partilhada de 40 ou de 104 bits, a concatenar com um IV de 24 bits IV aparece em claro e existem IV fracos Factores que levam a que se consiga crackar uma rede e ter acesso aos seus serviços. ... sem falar das muitas redes domésticas instaladas sem acesso protegido! © PJ - CRSC´2006 13 Wireless - Segurança Alteração do SSID e da password z Desactivar o broadcast do SSID z • Não resulta – as frames de autenticação do cliente revelam o SSID Desactivar o DHCP - IP fixo z MAC filtering (MAC em claro) z WEP – Desaconselhado actualmente z Autenticação – WPA / WPA 2 – PSK z © PJ - CRSC´2006 14 Evolução Wireless z z z A Wi-Fi Alliance deu um contributo para a melhoria da segurança em Wireless – 802.11i. Mantém a interoperabilidade dos produtos certificados na norma WPA e WPA2 com as redes anteriores WPA 2 - Usa o algoritmo AES, com chaves de 128 bits, que substitui os algoritmos de cifra RC-4 ou TKIP, eficientes no consumo de energia mas pouco seguros. © PJ - CRSC´2006 15 Ferramentas para ataques z Detecção de Redes • Netstumbler; Wellenreiter z Captura de pacotes • Ethereal; Kismet (UNIX); Airsnort (UNIX e Windows) z Análise de pacotes • Kismet; Airsnort © PJ - CRSC´2006 16 Ferramentas para ataques z Quebra de chave WEP • WEPcrack (UNIX); WEPattack (Unix); Airsnort • WEPwedgie; BSDAirtools; AirCrack (injectam tráfego) z MAC Address Spoofing • SMAC (Windows) © PJ - CRSC´2006 17 Bluetooth z Norma 802.15 (WPAN) que rege as redes privadas ad-hoc, tais como as do Bluetooth... z Existem alguns problemas de interferência Wi-Fi e Bluetooth, mas só na norma 802.11b (2,4 Ghz). © PJ - CRSC´2006 18 Ataques Bluetooth z BlueJacking • z BlueSnarfing e BlueSnarf++ • • z Toda a informação do telefone (contactos, imagens, etc.) Top ataques: Entrega de Óscares, Paris Hilton (contactos e fotos); Serviços Secretos Americanos (documentos confidenciais) BlueBugging • z Envio de Business Cards – Just for fun Acesso comandos AT (Lê/Escreve SMS’s e Agenda) BlueSmack e BlueStab • Ataques DoS © PJ - CRSC´2006 19 Ataques Bluetooth z BluePooof • Emula um dispositivo autêntico (força o re-pairing) z z z z z BlueBump BlueDump BlueChop BluePrinting BlueTooone © PJ - CRSC´2006 20 Scanner e Sniffing z BTScanner • Detecção de dispositivos BlueTooth z Sniffing • Local Sniffing • hcidump • Piconet Sniffing • Hardware especial • Air Sniffing • Frontline • LeCroy/CatC © PJ - CRSC´2006 21 Aplicações para ataques z Blooover e Blooover II • Para ataques de BlueBugging z Car Whisperer • Usado para ligação a kits de carros (usa pin default) • Injecta e grava áudio z BlueStalker • Serviço de localização GSM, usa BlueBugging z Live CD de Linux - Blooonix © PJ - CRSC´2006 22 Consequências z Roubo de informação • Pessoal/Comercial/Industrial z Incremento dos custos no acesso à Internet z Integridade dos dados e SO’s operativos dos PC’s e telemóveis. © PJ - CRSC´2006 23 Direcção Central de Investigação da Corrupção e Criminalidade Económica e Financeira Secção Central de Investigação da Criminalidade de Alta Tecnologia Telefone + 351 21 8643900 - Fax + 351 21 3160131 [email protected] URL: www.pj.pt © PJ - CRSC´2006 24
Documentos relacionados
Wireless - Como driblar a segurança!
alguma forma prejudicar quem se sente seguro por trás do seu PC ligado ao mundo da Internet. Felizmente ou infelizmente a Internet é um berço para estas ferramentas gratuita, ferramentas que nos fo...
Leia mais