Webcommerce: Cuidados que podem garantir uma compra segura

Em breve algumas dicas que poderão lhe ajudar a realizar compras segura pela internet.

Forense em Windows: características, ferramentas e desafios - Por Luis Fernando Rocha

Na aventura policial "Um Estudo em Vermelho (A Study in Scarlet)", do escritor Arthur Conan Doyle, ao se deparar pela primeira vez com uma possível prova, o detetive Sherlock Holmes filosofa com seu fiel companheiro Watson: "é um erro capital teorizar antes de ter todas as evidências, pois isso influencia no julgamento". O pensamento do detetive (fictício) mais famoso do mundo serve como uma boa lição para os profissionais de Segurança da Informação que se deparam com a tarefa de executar investigações de incidentes. Conhecida como perícia forense computacional, tal ciência é fundamental na recuperação de evidências que ajudem a resolver casos envolvendo ambientes eletrônicos. "A posterior análise destas evidências irá permitir desde a criação de novos e melhores procedimentos de segurança para prevenir ou minimizar tais incidentes até a identificação e responsabilização dos envolvidos", afirma Walter Hannemann, diretor da Ciashop Soluções para Comércio Eletrônico. "Isto quer dizer também que alguma informação pode surgir sobre possível intervenção humana no processo, ou se o problema está relacionado a falhas em equipamentos ou programas. A conseqüência imediata é sua utilidade em processos judiciais, pois mesmo não suprimindo os exames conduzidos por peritos oficiais, pode ser aproveitada em diversas situações", acrescenta André Caricatti, coordenador geral do CTIR Gov (Centro de Tratamento de Incidentes de Segurança em Redes de Computadores da Administração Pública Federal). Importância da forense para os CSIRTs Para se ter uma idéia da importância de tais processos, a realização de uma análise forense agrega uma série de resultados para os grupos de resposta a incidentes de segurança (CSIRT). "Durante estes processos são identificadas novas ferramentas hackers, métodos de ataque e de ocultação, controle e abuso do sistema comprometido, sem falar no aprendizado ao estudar o modus-operandi do atacante", explica Jacomo Piccolini, analista de segurança sênior do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (CAIS/RNP). Mas os benefícios não param por aí. "É comum, após a realização desses processos, que os resultados sejam incorporados nas atividades diárias dos grupos. Posso citar como exemplo a geração de um boletim de alerta informando os administradores que tal sistema está sendo comprometido através da exploração da nova ferramenta X e que esta deixa determinadas evidências em um sistema. Outro resultado é que a coleta de informações permite correlacionar incidentes que estão ocorrendo e a publicação de ferramentas, exploits e a divulgação de vulnerabilidades", complementa. O papel da forense no tratamento de incidentes De início, o profissional de Segurança da Informação precisa ter em mente que a análise forense é a segunda etapa no tratamento de incidentes. "É uma atividade posterior, que ocorre sempre em razão do recebimento de uma notificação de incidente de segurança ou em função de alertas gerados por mecanismos de detecção como, por exemplo, um IDS. No entanto, sua realização é uma atividade extremamente custosa, principalmente em razão do tempo necessário para a análise. Vale a pena ressaltar que a sua realização deve ser amparada por instrumentos legais", revela Jacomo. Neste ponto, um detalhe fundamental são os procedimentos adotados pelo analista, que evitam a ocorrência de erros que comprometam o trabalho. "Ou seja, estamos falando da necessidade de existirem procedimentos para as diversas etapas da atividade e que estes procedimentos já tenham sido validados tecnicamente e juridicamente. Durante uma análise não é recomendável necessitar tomar decisões técnicas. A atividade deve estar sempre embasada em procedimentos", orienta. Assim, o processo da análise forense pode acontecer de duas formas: a "educacional", realizada somente com fins de coletar informações relacionadas com a atividade maliciosa sem que se busquem ações legais, e a conhecida como "pericial", utilizada no ambiente judicial e policial. Em ambas, o analista terá os subsídios para traçar as características das ações realizadas por invasores. "De uma forma geral, estas atividades estão ligadas ao comprometimento de sistema, instalação de ferramentas, remoção de evidências e manutenção do controle sobre o sistema comprometido. Tanto os métodos utilizados como os sistemas alvo dos ataques mudam constantemente, da mesma forma que um processo de comprometimento de um sistema Linux possui diferenças quando comparado a de um sistema Windows. É aqui que a atividade de análise forense 'educacional' mostra seu valor, pois permite o acesso a informações vitais para os grupos de segurança", diz. A experiência de casos já tratados pelo CAIS/RNP serve como um bom exemplo desse cenário. "Há algum tempo, nosso grupo foi contatado sobre um ataque de negação de serviço (DDoS) que estava sendo realizado contra uma grande empresa de Internet. Na época, fomos o único grupo que conseguiu realizar uma análise forense em um sistema que foi utilizado no ataque, em que foi recuperada a ferramenta hacker. A análise desta ferramenta permitiu mitigar o ataque que estava acontecendo", cita. Características e desafios na forense em sistemas Windows Como salientado anteriormente, os ataques cujo alvo sejam sistemas Windows diferem dos ataques voltados contra sistemas Linux. Dessa forma, o processo de forense em ambientes Windows apresentará algumas particularidades. A primeira é não negligenciar o processo de custódia legal. "Esta etapa refere-se aos controles relacionados com a manutenção segura e controlada de todas as informações e equipamentos coletados", explica Jacomo. Outra característica envolve a coleta das informações. Segundo o especialista, a experiência do CAIS tem mostrado que, em plataformas Windows, a preferência é que o sistema ainda esteja vivo (com a energia ligada, processos executando, disco sendo acessado, tráfego na rede e conteúdo na tela). "Entre as informações mais interessantes nesta etapa, temos o conteúdo da memória, que pode ser utilizada para mostrar que um determinado programa foi executado ou que uma informação específica foi acessada. A única oportunidade de coletar estas informações é antes de desligar o sistema. Mais uma vez este procedimento somente é válido se sua política e procedimentos indicarem que um sistema comprometido deve ser mantido ligado até a coleta das informações", orienta. A terceira particularidade relaciona-se com o aumento da capacidade de armazenamento disponível nas estações de trabalho. "É muito comum encontrar computadores pessoais com discos de 120 gigas, sendo que já existem no mercado discos de 500 gigas. Se for necessária a preservação de uma imagem do disco rígido, o desafio atual é conseguir espaço de armazenamento. Uma coisa é gerar uma imagem de um disco de 80 gigas e armazená-la, mas isto se torna um problema muito sério quando o número de máquinas é 40", relata Jacomo. É preciso observar também outras questões existentes em ambientes Windows. "O sistema de arquivos NTFS é bastante sofisticado, com suas listas de controle de acesso que permitem individualizar atividades executadas. Detalhes como as datas de exclusão de objetos podem ser bastante úteis. Ainda sobre arquivos, o suporte nativo a encriptação de dados pode representar uma enorme barreira em alguns casos", alerta André Caricatti, do CTIR Gov. O especialista destaca que estruturas de dados próprias no sistema, em particular o "REGISTRY", merecem estudo aprofundado. "Os registros de atividades (logs) são codificados no armazenamento, ao contrário do que acontece na maioria dos registros em ambientes UNIX. Embora isto represente economia de espaço em disco num primeiro momento, as buscas em exames forenses são uma constante que se tornam bem mais complexas", completa. Por último, Jacomo, do CAIS/RNP, lembra que é preciso ficar atento ao crescimento da utilização de rootkits nestes ambientes. "Tradicionalmente, os rootkits, ferramentas que permitem ocultar a presença de um invasor são sempre associados ao ambiente Unix. No entanto, da mesma forma que existem rootkits de Unix, existem os de Windows, e o seu uso está aumentando, o que tem exigido que os profissionais da área de Windows se eduquem sobre as tecnologias rootkit", alerta. Ferramentas forenses Sobre as ferramentas disponíveis para realização de uma forense em Windows, o especialista do CAIS diz que existe uma variedade de ferramentas: muitas gratuitas, outras comerciais e algumas de uso exclusivo e que não são disponibilizadas. "A recomendação do nosso grupo é que seja utilizado um pacote de ferramentas, composto por ferramentas gratuitas e que foram desenvolvidas exclusivamente para o ambiente Windows e ferramentas gratuitas que foram portadas do ambiente Unix para o Windows. A utilização de aplicativos Unix portados para Windows é muito interessante, pois permite que um analista forense que tem sólidos conhecimentos nas ferramentas Unix as utilize no ambiente Windows. Outro ponto favorável é que estas ferramentas já foram testadas e avaliadas e são consideradas como confiáveis para a realização do trabalho", relata. O que devo aprender? Mas nem só de desafios e ferramentas vive um processo de análise forense. Para que o trabalho seja bem feito, é fundamental que o profissional se mantenha em dia sobre os aspectos que envolvem a aplicação de tal ciência. "Como princípios técnicos podemos indicar um vasto conhecimento de sistemas operacionais e aplicativos, bom conhecimento de aspectos operacionais de sistemas de informação nas empresas, domínio de tecnologias de rede e internet e, acima de tudo, conhecimento dos procedimentos corretos de levantamento e preservação das evidências. Se as evidências não forem corretamente preservadas e manipuladas durante a análise, elas podem perder o valor jurídico", alerta Hannemann. Já o perito criminal federal Jorilson Rodrigues aponta outras características fundamentais. "O profissional deve ser objetivo, célere, ter capacidade de sintetizar em alguns parágrafos o resultado das análises que realizou, redigindo de maneira clara e direcionada para público leigo em informática. Deve ser sempre imparcial, relatando os seus achados de maneira específica. Nunca especular sobre elementos que não sejam materiais e não encontrados nos equipamentos recebidos para análise", completa. Para que isso aconteça, a dica é buscar treinamento e formação técnica específica. "Porém, tão importante quanto isto, é que o profissional possua um padrão ético que lhe permita ter acesso a informações sigilosas e/ou confidenciais", finaliza Jacomo.

Forense Computacional: a ciência da investigação eletrônica - Por Luis Fernando Rocha

Ao mesmo tempo em que os serviços on-line facilitaram a vida do cidadão, as ameaças e os riscos também foram transferidos e adaptados do meio físico para o meio tecnológico. Diante deste novo cenário, foi criado o conceito de Forense Computacional. No documento Forense Computacional: Aspectos Legais e Padronização, elaborado por quatro especialistas do Instituto de Computação da Unicamp (Célio Cardoso, Flávio Oliveira, Marcelo Abdalla e Paulo Lício), este conceito é descrito como "a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional". Assim, o advento dos meios eletrônicos trouxe uma série de modificações para a profissão de perito criminal. "A grande mudança, na verdade, é a necessidade de conhecimentos profundos de Tecnologia da Informação, espírito de pesquisa, curiosidade investigativa, conhecimento dos seres humanos e atualização constante de novas tecnologias (hardware e software)", diz Ricardo Theil, perito digital e diretor-presidente do IPDI (Instituto de Peritos em Tecnologias Digitais e Telecomunicações). Segundo Claudemir Santos, perito criminal e professor de Processamento de Dados da Academia de Polícia Civil do Estado de São Paulo, essas modificações incluem também a facilidade da divulgação de técnicas criminosas. "Criou-se mais um meio para preocupar a Justiça com questões como pedofilia, fraudes no sistema financeiro, e até tráfico de drogas. Contudo, engana-se quem acha que não estamos prontos para o contra-ataque", alerta. Campos de atuação Primeiro é preciso entender em que áreas dos processos - cível e penal - um perito estará apto a atuar. Em ações penais, o Código Penal exige que o perito criminal seja um servidor público concursado, salvo exceções. "Antes de começar a atuar, o profissional passará por um curso de formação na Academia de Polícia", revela Claudemir Santos. Há também casos poucos freqüentes, em que uma região não conta com peritos oficiais habilitados para realização de uma perícia criminal. Assim, a legislação permite que as autoridades envolvidas no processo recorram à figura de um perito ad hoc. Já nos casos de ações julgadas em âmbito cível, o Código Cível permite que o juiz indique um servidor do Estado ou um especialista de confiança, que tenha formação comprovada em determinada área técnica. A lei prevê ainda que as partes envolvidas no processo também poderão contratar assistentes técnicos para elaboração de perícias forenses. Nesses casos, o intuito é comprovar argumentos expostos durante o julgamento do caso ou ação. Habilidades e ferramentas necessárias Inicialmente, Ricardo Theil diz que é importante adquirir tanto conhecimentos teóricos como práticos na área de hardware e software. O especialista cita também outras características fundamentais. "É preciso ter espírito de pesquisa e dedicação. Conhecimentos jurídicos são sempre interessantes, porém não essenciais. Vale lembrar um preceito jurídico e constitucional: toda prova é aceita e válida, desde que obtida de forma lícita e/ou legal. Não podemos invadir sistemas e computadores para obter indícios, provas ou qualquer informação, pois sua validade jurídica será nula", ressalta. Tanto Claudemir quanto Ricardo são uníssonos em afirmar que antes do uso de quaisquer ferramentas (hardware e software), o perito realizará um melhor trabalho identificando o cenário a ser analisado. "Após esse entendimento, é possível planejar e executar as ações necessárias", explica Theil. "A perícia não faz espionagem, analisa provas. Desta forma, as melhores ferramentas consistem no conhecimento dos protocolos de comunicações em redes e do funcionamento dos sistemas operacionais", completa Claudemir Santos. No Instituto de Peritos em Tecnologias Digitais e Telecomunicações, diz Theil, os especialistas utilizam algumas ferramentas, como dumpers, debugers, analisadores de HD, drive lock, analisadores de pacotes, ferramentas de clonagem, microscópio eletrônico, sistema operacional preparado para propósito Forense, analisadores de log, scanner etc. "O Encase, por exemplo, é uma ferramenta usada no Núcleo de Informática em São Paulo que vem dando bons resultados", acrescenta Claudemir. Aspectos legais no levantamento de evidências Em termos jurídicos, o advogado Renato Opice Blum recomenda que o trabalho de perícia siga três conceitos principais: autenticidade, integridade e licitude da evidência. "A preservação é fundamental. Se feita de forma adequada, restringe a impugnação. Em alguns casos, recomenda-se prova pericial judicial, rápida, de forma liminar e sob o crivo do Judiciário, o que dará mais substância e segurança. Tudo com acompanhamento do perito contratado, chamado de Assistente Técnico, na forma legal. Normalmente os Magistrados concedem a medida em horas, o que possibilita a verificação quase que em tempo real", explica. Há de se ressaltar que o Brasil ainda não conta com uma norma específica regendo essa ciência. Assim, os especialistas explicam que é fundamental que o perito entenda dois artigos descritos no Código de Processo Penal ("Capítulo II - Do Exame do Corpo de Delito, e das Perícias em Geral"), evitando que as evidências coletadas sejam consideradas ilegais: - Artigo 170: "Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas"; e - Artigo 171: "Nos crimes cometidos com destruição ou rompimento de obstáculo a substração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado". Definidos os preceitos legais envolvendo a profissão, Ricardo Theil enumera algumas das etapas técnicas mais importantes no levantamento de evidências. "O perito deverá preservar todos os dispositivos, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash para comprovação da integridade dos dados e, quando necessário, elaborar uma ata notarial", diz. Recomendações Segundo Ricardo Theil, a preservação dos logs de todo(s) o(s) equipamento(s) envolvidos na investigação é fundamental. "De preferência, sem desligar os mesmos e não utilizá-los, visto que o simples ato de ligar e desligar um computador gera gravação, subscrição e/ou modificação de dados, causando eventualmente a perda de dados importantes ou mesmo vitais para uma perfeita, rápida e fácil investigação", explica. Já Claudemir Santos diz que é importante que as empresas mantenham uma política de segurança fundamentada e documentada. "Não existe uma apuração sem provas, pois é preciso uma prática de segurança e não um papel fornecido às vésperas do boletim de ocorrência. É necessário mostrar a justiça que existe por parte da empresa uma política de segurança e por isso um delito foi detectado e não uma resposta a um incidente isolado. O que vemos em diversos incidentes no mundo são provas casuísticas (de última hora) que precisam ser avaliadas com cautela e normalmente não são bem vistas por um policial experiente", diz. Para finalizar, Theil cita a importância da adoção da certificação digital nessa área. "Ressaltamos que o mercado brasileiro já disponibiliza um meio que, em nosso entender, proporciona garantias como confidencialidade (criptografia), integridade e plena validade jurídica a todos os atos praticados neste novo mundo digital, que é a Assinatura e Certificado Digital", orienta.