|
|
|
|
| Leonardo Scudere - Presidente da HTCIA Capítulo Brasil |
|
|
|
|
Tecnicas de Estruturação de Evidencias para Solução de Delitos Digitais |
|
|
|
|
|
|
|
|
Tecnicas de Estruturação de Evidencias para Solução de Delitos Digitais
Inicio este espaco articulando ideais e pensamentos sobre dois temas em especial: Analise Forense e Gestao de Respostas à Incidentes. Neste primeiro artigo, concentro algumas das ideias principais sobre o crescente tema da Analise Forense. Gradualmente pretendo detalha-las, segmentando este novo, amplo porem fascinante tema.
O profissional que seguirá este objetivo de especialização, irá enfrentar diariamente os mais diversos tipos de casos envolvendo fraudes, invasoes e incidentes, onde o meio digital foi em algum momento utilizado para estes fins. Em alguns casos toda a fraude ocorreu neste ambiente e em outros apenas parcial ou como em suporte às atividades de inteligencia associadas. Nossa missão como profissionais de segurança é a obtenção das evidencias materiais, chamadas provas irrefutaveis, as quais irão se tornar o elemento chave na decisão de situações de conflito ou contencioso entre as partes envolvidas.
Para tal é fator critico perseguir a execucao das diversas fases atraves de uma metodologia criteriosa e estruturada visando a obtenção do sucesso possivel nestes projetos, sem que se corra o risco da perda da propria evidencia ou sua simples descarecterizacao pela outra parte, por eventuais falhas nos procedimentos. Seguem alguns passos basicos que estaremos aprofundando na sequencia destes dialogos:
1. Identificação:
Dentre os varios fatores envolvidos num determinado caso é necessario estabelecer-se com clareza e desde o principio quais são as conexões relevantes, datas, nomes de pessoas, empresas, orgãos publicos, autarquias, instituições, etc dentre as quais foi, em algum momento, estabelecida um comunicação digital. Discos rigidos em computadores e todos novos tipos de dispositivos moveis (celulares, PDAs, iPods, etc) podem trazer, apos os processos de recuperação de dados à sua origem, imensas quantidades de informações. Fundamental portanto que o cliente demandante das analises, defina a priori qual linha principal das pesquisas para podermos focar o trabalho e obter efetividade nos seus resultados;
2. Preservação:
Todas as evidencias encontradas precisam obrigatoriamente serem legitimas, para poderem vir a ter sustentação e validade juridica. Sendo assim, todo o processo relativo a coleta das mesmas, sejam nos artefatos fisicos (computadores e elementos de rede) ou logicos (mapas de armazenamento de memoria de dados) deve seguir as normas internacionais. A produção da chamada “copia logica”, base das analises, deve estar registrada em detalhes alem da preservacao do elemento fisico original. Devemos sempre partir do principio que a outra parte envolvida no caso poderá e deverá pedir as respectivas contra-provas, sobre os mesmos elementos fisicos, então o profissionalismo destas tarefas será critico na sequencia do processo, lembrando sempre que numa situacao de exposicao do caso a juizo e este não validando a evidencia, esta não poderá ser re-apresentada;
3. Analise:
Será a pesquisa propriamente dita, onde todos os filtros de camadas de informação já foram transpostos e podemos nos deter especificamente nos elementos relevantes ao caso em questão. Devemos estar atentos aos detalhes e como alguns especialistas chamam de intuicao ou mesmo arte. Prefiro manter o aspecto cientifico destes trabalhos, já que nossa tarefa esta sempre voltada à obtenção da chamada “evidencia legitima”, a qual consiste-se numa demonstração inquestionavel dos registros e elementos da comunicação entre as partes envolvidas alem da recuperacao do maximo possivel do seu teor original, sempre associadas as respectivas trilhas fisicas dos segmentos de disco utilizados.
A evolucao das tecnologias de Analise Forense nos permitem agora tambem analisar trafego ativo, de forma passiva ou seja não intrusiva, em redes de comunicacao IP, sejam elas internas ou externas, bem como observar e analisar trafego relevante em ambientes Wireless e VoIP. Tem sido crescente a demanda por novas tecnologias de analise forense chamadas, proativas e preventidas, visando conter a efetivação de fraudes diversas. Estarei desenvolvendo em breve um texto especifico sobre esta nova geracao tecnologica de analises.
4. Apresentação:
A tecnicamente chamada “substanciação da evidencia”, consiste no enquadramento das evidencias dentro do formato juridico que o caso será tratado, mesmo que este não seja levado efetivamente à corte publica. Os advogados de cada uma das partes ou mesmo o juiz do caso poderão enquadra-lo nas esferas adequadas, em geral civil em se tratando de fraudes corporativas. Desta forma quando temos a certeza material das evidencias atuamos em conjunto com uma das partes acima descritas para a apresentação e defesas das mesmas, ou auxiliando o juiz do caso na condição de peritos.
Tenho constatado diariamente executivos de medio-alto escalão conseguirem acesso indevido ou não-autorizado a servidores criticos corporativos, fornecendo posteriormente e por diversos mecanismos esta informacao à grupos de usuarios externos. Numa analise inicil sobre situações de ataques disruptivos, como negação de serviço por exemplo, pode-se, superficialmente concluir, que apenas entidades externas à corporacao seriam os autores isolados de tentativas de acessos não-autorizados às bases de dados e aplicações, mascarando atividades preliminares internas de acesso aos servidores nao autorizados.
O status desta dinamica pode perdurar por anos sem que haja qualquer ameaca ou cerceamento de acoes aos grupos internos interessados. As tecnicas de “analise forense” porem, se bem executadas, nao devem distrair-se por este formato. As analises tem a missão e estruturar evidencias materiais, as quais devem ser por definicao isentas de subjectividade ou julgamentos precipitados. O fraudador pode, e em geral esta, a poucos metros do centro de decisao corporativa. O meio digital em extensao nao é abstrato ou hetereo como poderia-se supor. As informacoes sao armazenadas, registradas e codificadas em estruturas semelhantes ao ambiente fisico.
Por mais improprio que possa parecer, é tecnicamente simples para um profissional de nivel medio, conseguir acesso a todo ambiente da rede de dados e utiliza-la, sem qualquer visibilidade do administrador de sistemas como plataforma de comunicacao previa para futuras atividades não-autorizadas. O mesmo perfil de relaxamento acontece no ambiente digital quando estes profissionais percebem a fragilidade ou ausencia completa de vigilancia nos acesso e controles dos sistemas e aplicações criticas.
As tecnicas de Analise Forense nos revelam em detalhes todos estes comportamentos e recuperam estes movimentos, dados e os respectivos autores.
A estarrecedora recuperacao das evidencias de comunicacao traz sempre um grande sentimento de frustação à alta gestão, em geral por envolver profissionais até então tidos como exemplares, enfatizando mais uma vez o perfil de relaxamento descrito. Em geral os envolvidos tem grande conviccao de que jamais serão descobertos e podem vir a cometer falhas. A estruturação correta das provas forenses porem são legitimas e defensaveis, demonstrando com clareza os mecanismos adotados para a execução de um determinado incidente.
Executivos e gestores em todo mundo estao rapidamente percebendo a importancia da integracao da questoes de seguranca digital com a estrategia corporativa e o modelo operacional de negocios. A Analise Forense Computacional será sem duvida uma poderosa ferramenta desta nova arquitetura de gestao corporativa.
|
|
|
|