Modelo de coleta e análise de evidências em sistemas computacionais

CAROLINA GWOZDZ POERSCH GIULLYAN METZKER KUNTZE

MODELO DE COLETA E ANÁLISE DE EVIDÊNCIAS EM SISTEMAS COMPUTACIONAIS

Palhoça 2010

GIULLYAN METZKER KUNTZE

MODELO DE COLETA E ANÁLISE DE EVIDÊNCIAS EM SISTEMAS COMPUTACIONAIS

Trabalho de Conclusão de Curso apresentado ao Curso de Graduação em Ciência da Computação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de bacharel em Ciência da Computação.

Orientador Prof. Msc. Luiz Otávio Botelho Lento.

Palhoça 2010

GIULLYAN METZKER KUNTZE

MODELO DE COLETA E ANÁLISE DE EVIDÊNCIAS EM SISTEMAS COMPUTACIONAIS

Trabalho de Conclusão de Curso apresentado ao Curso de Graduação em Ciência da Computação da Universidade do Sul de Santa Catarina, como requisito parcial à obtenção do título de bacharel em Ciência da Computação.

Palhoça, 14 de junho de 2010.

______________________________________________________ Professor e orientador Luiz Otávio Botelho Lento, Msc.

Universidade do Sul de Santa Catarina

______________________________________________________ Professora Maria Inés Castiñera, Drª.

Universidade do Sul de Santa Catarina

______________________________________________________ Professor Mário G. M. Magno Jr, Msc.

Agradeço a todos os meus familiares e amigos que me auxiliaram na medida do possível para tornar isto uma realidade, e em especial a Deus por mais esta conquista.

Giullyan Metzker Kuntze.

Agradeço, em especial, aos meus pais que tornaram isso possível e aos meus irmãos que sempre me incentivaram.

Agradecemos aos familiares que suportaram todas as crises e as ausências durante todo o período de elaboração da pesquisa.

Ao orientador Prof. Msc. Luiz Otávio Botelho Lento que nos apoiou ao longo de todo o projeto e, acima de tudo, sempre nos incentivou.

À Prof. Drª. Maria Inés que, quando precisamos, estava sempre a disposição para nos ajudar, ensinar e incentivar no decorrer de todo o curso.

Ao Cesar Augusto por nos auxiliar na elaboração do estudo de caso.

Giullyan Metzker Kuntze Carolina Gwozdz Poersch

A forense computacional é a ciência de adquirir, preservar, recuperar e exibir dados que foram eletronicamente processados e armazenados digitalmente. Este trabalho visa elaborar um modelo em auditoria forense computacional focado na obtenção e análise de evidências em sistemas computacionais voltado às corporações. Para dar suporte ao modelo, foram estudados os assuntos sobre segurança da informação, seus conceitos, suas características, mecanismos, políticas de segurança e dispositivos de proteção. Sobre forense computacional, foram estudadas suas implicações legais, como adquirir, preservar, analisar e apresentar os dados de uma investigação. Com todo o embasamento teórico, foi criado o modelo que propõe um dinamismo maior, se comparado aos modelos estudados, e que direciona o trabalho dos peritos. Foi apresentado através de fluxogramas e cada etapa foi descrita detalhadamente. Para a validação do modelo foi realizado um estudo de caso empírico.

The computer forensics is the science of acquiring, preserving, recovering and eletronical processed and stored data. This project aimed to develop a model in computer forensic audit focused on obtaining and analyzing evidences from computer systems in corporations. To support the model, some important subjects were analyzed, such as, information security concepts, characteristics, mechanisms, security policies and protection devices. About the computer forensics, were analyzed the legal implications, how to acquire and preserve, analyze and present data from an investigation. With all the theoretical foundation, was created the model that proposes a greater dynamism compared to models studied, and that directs the forensics expert‘s work. The studied is presented by the flowcharts and, each step was described in detail. To validate the model, was accomplished a study of empirical case.

Figura 1: Fluxograma do projeto. ... 18

Figura 2: Chave simétrica ... 24

Figura 3: Chave assimétrica ... 26

Figura 4: Modelo hierárquico. ... 44

Figura 5: Collecting Digital Evidence Flow Chart. ... 59

Figura 6: Proposta do modelo computacional. ... 61

Figura 7: Modelo de coleta e de análise de evidências... 63

Figura 8: Modelo de coleta de dados ... 65

Figura 9: Modelo de coleta de dados voláteis. ... 68

Figura 10: Modelo de coleta de dados não voláteis. ... 70

Figura 11: Modelo de exame de dados. ... 71

Figura 12: Modelo de análise de dados. ... 72

Figura 13: Tela mostrando os acessos ao servidor. ... 76

Figura 14: Tela do comando, utilizado para fazer o download do projeto. ... 76

Figura 15: Tela do programa de recuperação de arquivos... 78

1 INTRODUÇÃO... 11 1.1 PROBLEMÁTICA ... 12 1.2 OBJETIVOS ... 13 1.2.1 Objetivo geral ... 13 1.2.2 Objetivos específicos ... 13 1.3 JUSTIFICATIVA ... 14 1.4 ESTRUTURA DA MONOGRAFIA ... 14 2 OS MÉTODOS... 16

2.1 CARACTERISTICAS DO TIPO DE PESQUISA ... 16

2.1.1 Pesquisa Aplicada ... 16 2.1.2 Pesquisa Bibliográfica ... 16 2.1.3 Estudo de Caso ... 17 2.2 ETAPAS METODOLÓGICAS ... 18 2.3 DELIMITAÇÃO ... 19 3 SEGURANÇA ... 20 3.1 CARACTERÍSTICAS ... 21 3.2 CONCEITOS BÁSICOS ... 21 3.3 MECANISMOS ... 22 3.3.1 Criptografia ... 23 3.3.1.1 Terminologia ... 23 3.3.1.2 Chave Simétrica... 24 3.3.1.3 Chave Assimétrica ... 25 3.3.1.4 Criptoanálise ... 26 3.3.1.5 Protocolos ... 28 3.3.1.5.1 IPSec ... 28 3.3.1.5.2 SSL ... 29 3.4 DISPOSITIVOS DE PROTEÇÃO ... 29 3.4.1 Firewall ... 30

3.6 POLÍTICA DE SEGURANÇA ... 33

3.6.1 Análise de Risco ... 34

3.6.2 Plano de Continuidade dos Negócios ... 36

3.7 AUDITORIA NA SEGURANÇA DA INFORMAÇÃO ... 36

3.7.1 Auditoria da Tecnologia da informação... 38

3.7.1.1 Controles Organizacionais... 38

3.7.1.2 Política, padrões e procedimentos. ... 40

3.7.1.3 Gerência de Recursos Computacionais ... 41

3.7.2 Importância nas Organizações ... 41

4 FORENSE COMPUTACIONAL ... 43

4.1 INTRODUZINDO A FORENSE ... 43

4.2 IMPLICAÇÕES LEGAIS ... 45

4.3 METODOLOGIA FORENSE PARA OBTENÇÃO DE EVIDÊNCIAS ... 46

4.3.1 Identificação (Aquisição de Dados) ... 48

4.3.2 Preservação ... 50

4.3.3 Análise ... 51

4.3.3.1 Análise ao Vivo (Live Forensics) ... 53

4.3.4 Apresentação... 54

4.3.4.1 Conteúdo do Laudo ... 54

4.4 EQUIPE FORENSE ... 56

4.5 CONSIDERAÇÕES FINAIS ... 57

5 ESTRATÉGIA DE COLETA E ANÁLISE DE EVIDÊNCIAS EM SISTEMAS COMPUTACIONAIS ... 58

5.1 MODELOS ESTUDADOS ... 58

5.2 PROPOSTA DA SOLUÇÃO ... 60

5.3 TERMINOLOGIA ... 61

5.4 DESCRIÇÃO DO MODELO PROPOSTO... 62

5.5 CONSIDERAÇÕES FINAIS ... 73

6 ESTUDO DE CASO ... 74

6.1 APRESENTAÇÃO DO CASO ... 74

7 CONCLUSÕES E TRABALHOS FUTUROS ... 81

7.1 CONCLUSÕES ... 81

7.2 TRABALHOS FUTUROS ... 82

1 INTRODUÇÃO

O surgimento da internet trouxe vários benefícios, porém, também, proporcionou o surgimento de práticas ilícitas como phishing (captação de dados de forma fraudulenta) e

malwares (tipos de softwares maliciosos) que afetam computadores pessoais e corporativos.

Tornou-se corriqueiro pessoas má intencionadas com relação ao acesso de informações e de dados privados, através de meios eletrônicos, em se tratando de comércio eletrônico, Internet Banking ou até mesmo de funcionários no ambiente corporativo.

Segundo relatórios apresentados pela IBM (2008, tradução nossa), houve um aumento significativo na sofisticação dos ataques criminosos a usuários de Internet no mundo inteiro.

Através de ataques aos usuários, os cibercriminosos estão roubando as identidades e controlando os computadores a um ritmo nunca antes visto na Internet. Ainda, em 2006, apenas uma pequena porcentagem de criminosos utilizavam-se de ferramentas para auxiliar a camuflagem dos ataques à browsers. Comparando o primeiro semestre de 2007 em relação a 2008, esses ataques subiram para 80 por cento e chegou a quase 100 por cento até ao final desse mesmo ano.

Com os ataques, há casos em que se tem perda ou alteração de dados importantes para uma organização, e deve-se estar ciente de que nem sempre os causadores dessas perdas são pessoas, como posto acima, mas, também, falhas do sistema. Deve-se, ainda, saber chegar à conclusão correta para solucionar tal problema. Com isso, a segurança vem para auxiliar na tentativa de resolução do problema que é, quem, ou o que ocasionou determinado problema.

Assim, este trabalho tem por objetivo a criação de um modelo para apoiar a implementação de técnicas forense como coleta e análise de evidencias em uma empresa. ―A forense computacional é a ciência responsável por adquirir, preservar, identificar, extrair, restaurar e documentar evidências computacionais, processadas eletronicamente e armazenadas em mídias computacionais‖ (ATÍLIO, 2003 apud SOUSA et al., 2006).

Para isso, foi estudada a área de segurança, abordando técnicas para garantir a segurança das informações dentro de uma empresa, a área de auditoria que dará apoio internamente à segurança e tem por objetivo implantar políticas de segurança para prevenção e melhorias no sistema, a área de legislação, esteganografia que, é uma técnica de esconder a existência de uma mensagem ou informação valiosa, forense computacional, ferramentas para auxiliar na investigação e coleta de dados negados, como analisá-los, mantê-los e armazená-los.

Após o embasamento teórico, foi apresentado um estudo de caso em cima de um modelo forense computacional criado, colocando em prática toda a teoria aprendida ao longo do projeto.

1.1 PROBLEMÁTICA

Segundo Farmer et al. (2000, tradução nossa), a forense surgiu com o objetivo de suprir as necessidades das instituições legais referente à manipulação de novas formas de evidências eletrônicas. Esta necessidade pode ser constatada com o crescente número de pessoas que fazem uso indevido dos dados que são armazenados, acessados, alterados e que trafegam na rede. A segurança é algo indispensável para qualquer usuário independente de seu objetivo.

Conforme Ng (2007), em algumas organizações, as práticas forenses computacionais são iniciadas de forma isolada. Apesar de ser uma boa iniciativa, essas áreas não realizam as atividades da melhor forma, pois, por não possuírem o conhecimento especializado, fazem com que o processo de análise forense não tenha a qualidade necessária.

Ainda, Noblett et al. (2000, tradução nossa) diz que, para resolver um mistério computacional, é necessário observar o sistema como um detetive examina a cena de um crime, e não somente como um usuário comum.

Por conseguinte, o pouco conhecimento dos usuários em relação à Forense Computacional torna-se um problema, pois técnicas de segurança os auxiliariam na minimização de fraudes e perdas, ou seja, há a dificuldade da implementação de um modelo forense em uma empresa. Por isso, é importante a criação de uma cultura dentro da empresa que adote práticas forenses.

1.2 OBJETIVOS

Os objetivos dividem-se em:

1.2.1 Objetivo geral

Desenvolver um modelo forense focado em técnicas para buscar informações e coletar dados que comprovem fraudes computacionais e, com base nisso, realizar um estudo de caso.

1.2.2 Objetivos específicos

Os objetivos específicos deste trabalho são:

- estudar conceitos e mecanismos de segurança; - estudar política de segurança de informações; - estudar auditoria da tecnologia da informação; - definir conceitos de forense computacional; - desenvolver o modelo forense;

1.3 JUSTIFICATIVA

Para Ng (2007), se dentro das organizações a prática de forense computacional fizer parte do processo geral de controles, bem como no sistema de gestão de segurança, é possível direcionar os investimentos e aumentar a chance de identificar melhorias.

Com essas práticas, pretende-se prover qualidade e, por fim, retorno sobre os investimentos (ROI).

A área de segurança computacional vem sendo cada vez mais requisitada e, por ser uma área em desenvolvimento, há uma procura de profissionais especializados, tendo em vista o crescimento de fraudes em empresas, podendo ocasionar perdas financeiras, vazamento de informações e prejuízo da imagem.

Conforme Ng (2007), é extremamente necessário que, para cada uma das atividades realizadas por uma equipe de investigação, existam procedimentos definidos para evitar surpresas e, consequentemente, problemas para o perito, para a investigação e para a organização.

Escolheu-se o tema por abordar aspectos como análise da cena do crime, técnicas de invasão local ou remota, técnicas de busca de dados negados, como coletá-los para garantir que houve fraude, técnicas de armazenamento desses dados coletados e a necessidade de criar um modelo que auxilie nesse processo de análise forense.

1.4 ESTRUTURA DA MONOGRAFIA

Este capítulo apresenta a introdução e encontra-se definido pelo tema, problemática, objetivos e justificativa.

O capítulo dois compreende as características dos tipos de pesquisa do trabalho, as etapas metodológicas e sua delimitação.

No capitulo três, foram abordados temas relativos à segurança computacional como conceitos de segurança, características, mecanismos usados para manter dados seguros e políticas de segurança.

No capítulo quatro, foram estudados assuntos relacionados à forense computacional como implicações legais, identificação, preservação, análise e apresentação dos dados, bem como o laudo pericial e as equipes forense.

No capítulo cinco, foi apresentada a proposta de solução, foram descritas algumas terminologias utilizadas em computação e apresentados os fluxogramas criados para o modelo de auditoria forense.

No capitulo seis, foi feito um estudo de caso em cima dos fluxogramas mostrados no capítulo cinco. Em seguida, foram feitas as conclusões do estudo sobre o modelo de coleta e análise de dados.

2 OS MÉTODOS

2.1 CARACTERISTICAS DO TIPO DE PESQUISA

Essa pesquisa caracteriza-se principalmente por ser dos tipos: Aplicada, bibliográfica e por conter um estudo de caso.

2.1.1 Pesquisa Aplicada

Segundo Cervo e Bervian (2002, p.65) "na pesquisa aplicada o investigador é movido pela necessidade de contribuir para fins práticos mais ou menos imediatos, buscando soluções para problemas concretos".

Há características de pesquisa aplicada, pois busca gerar conhecimento sobre um assunto específico buscando solucionar um problema definido. Será realizado um estudo de caso do modelo de auditoria forense computacional, por isso, trata-se de uma pesquisa aplicada.

2.1.2 Pesquisa Bibliográfica

Este projeto tem a característica de uma pesquisa bibliográfica, pois, para a elaboração deste, foram realizadas pesquisas de fontes diversas de informações escritas para conhecer as diferentes contribuições científicas disponíveis e assim, coletar dados gerais ou específicos a respeito de um assunto.

―A pesquisa bibliográfica consiste na ―varredura‖ do que existe sobre um assunto e o conhecimento dos autores que tratam desse assunto, a fim de que o estudioso não ―reinvente a roda‖! (MACEDO, 1995, p. 13).

A pesquisa abrangeu publicações impressas e digitais, incluindo base de dados, em forma de livros, periódicos, resenhas, monografias, dicionários, enciclopédias, slides, dissertações, teses, apostilas, etc.

Assim, todo esse estudo dá suporte para a identificação do problema, a definição dos objetivos, a elaboração da justificativa, a criação de um modelo e a elaboração de todo o projeto.

2.1.3 Estudo de Caso

O trabalho realizou um estudo de caso do modelo de auditoria forense computacional. Yin (2003) diz que um estudo de caso deve ser aplicado para:

explicar ligações causais em intervenções ou situações da vida real que são complexas demais para tratamento através de estratégias experimentais ou de levantamento de dados;

descrever um contexto de vida real no qual uma intervenção ocorreu;

avaliar uma intervenção em curso e modificá-la com base em um Estudo de Caso ilustrativo;

explorar aquelas situações nas quais a intervenção não tem clareza no conjunto de resultados.

2.2 ETAPAS METODOLÓGICAS

Na figura 1, será apresentado um fluxograma de todas as tarefas que deverão ser realizadas ao longo do projeto para atingir o objetivo desejado.

Figura 1: Fluxograma do projeto. Fonte: Autores (2010).

As etapas metodológicas iniciam-se em uma pesquisa sobre segurança da informação e sobre forense computacional. Após esses dois estudos, será avaliado se há informações

suficientes e será criado um modelo de auditoria forense computacional. Em seguida, será realizado um estudo de caso do modelo para uma avaliação e apresentação dos resultados.

2.3 DELIMITAÇÃO

Esse trabalho tem como objetivo a criação de um modelo forense computacional, utilizando como embasamento a pesquisa sobre assuntos de segurança e forense computacional, para dar validação do mesmo foi realizado um estudo de caso. Esse projeto se limitará segundo especificações abaixo:

no desenvolvimento do projeto pretende-se criar um modelo que vise a coleta e analise de dados negados (evidências) em uma empresa;

o projeto traz uma proposta, juntamente com os assuntos estudados, de uma melhoria dos modelos existentes e facilidade de implementação;

não será desenvolvido nenhum software para dar suporte ao modelo, uma vez que este se utilizará de softwares já existentes;

na busca de dados negados há uma grande variedade de informações a serem levadas em conta, muitas destas não serão abordadas a fundo, por suas complexidades, como por exemplo, relatórios e reuniões de gerência.

3 SEGURANÇA

Com o surgimento das máquinas de tempo compartilhado que permitem que mais de uma pessoa faça uso do computador ao mesmo tempo, a segurança ganhou força. Devido ao grande número de usuários conectados à rede, há um grande tráfego de informações, assim, o número de incidentes de segurança vem crescendo consideravelmente com o passar dos anos. De acordo com Vacca (2005, tradução nossa), os ataques são feitos por basicamente três grupos de pessoas:

as que veem o ataque a um sistema de informação da corporação como um desafio tecnológico;

as que veem o ataque a um sistema de informação da corporação como uma oportunidade de vandalismo de alta tecnologia;

as associadas com um concorrente corporativos ou adversário político, que veem o sistema de informação da corporação como um alvo legítimo estratégico.

Segundo a NBR ISO/IEC 27001:2006 (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2006, p.2), a segurança da informação é a "preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas".

Com isso, a segurança tem por intuito garantir que dados armazenados permanecerão em seu devido lugar, sem alteração ou acesso de pessoas não autorizadas ao seu conteúdo.

O conceito de segurança não se aplica somente a sistemas computacionais ou informações eletrônicas, mas, também, a todos os aspectos de proteção de informações e dados.

―A segurança visa, também, a aumentar a produtividade dos usuários através de um ambiente mais organizado, maior controle sobre os recursos de informática e, finalmente, viabilizar aplicações críticas das empresas.‖ (KAMINSKI, 2009, p. 1).

3.1 CARACTERÍSTICAS

São características básicas da segurança da informação atributos como o de confidencialidade, integridade e disponibilidade. Esses três princípios são de extrema importância quando se fala em segurança e, segundo Longo (2009), são definidos da seguinte forma:

confidencialidade: significa que a informação só deve ser acessada a quem lhe é direito. Não deve permitir que informações sejam descobertas por pessoas não autorizadas;

integridade: está ligado ao estado da informação no momento de sua geração e resgate. Não se prende ao conteúdo, que pode estar errado, mas a variações entre o processo. Uma informação estará íntegra se, em tempo de resgate, estiver fiel ao estado original; disponibilidade: a informação deve estar sempre disponível para usuários autorizados, quando for preciso acessá-la.

3.2 CONCEITOS BÁSICOS

Dentro da área de segurança da informação é necessário conhecer alguns termos técnicos e conceituais para uma melhor concepção do assunto. Alguns desses termos, Longo (2009) define como:

vulnerabilidade: ponto pelo qual alguém pode ser atacado ou ter suas informações corrompidas;

ameaça: explorar as vulnerabilidades de um sistema e, com isso, fazer algo que possa provocar danos à segurança da informação e prejudicar as ações da empresa;

ataque: efetivação da ameaça;

ativo: qualquer coisa que manipule direta ou indiretamente uma informação;

risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa;

autenticidade: garante que a informação ou o usuário sejam autênticos, visando a estabelecer a validade da transmissão. Define-se pela veracidade do emissor e receptor de informações trocadas, isto é, comprova a origem e autoria de um determinado documento;

não-repúdio: visa a garantir que o autor não negue ter criado e assinado um documento;

legalidade: trata-se do embasamento legal (jurídico) da informação; consistência: software deve atuar conforme o esperado pelo usuário; isolamento ou uso legítimo: regular o acesso ao sistema;

confiabilidade: garante que o sistema irá atuar conforme o esperado.

Se os princípios básicos de segurança foram aplicados corretamente, as empresas terão um maior controle sobre ativos e podem garantir a funcionalidade de processos críticos.

3.3 MECANISMOS

Há inúmeros mecanismos para que uma informação seja mantida em segurança. Para manter a confidencialidade de uma informação, há mecanismos para identificar um usuário e controlar o acesso que ele tem às informações. Criptografia, assinatura digital e detecção de intrusos, também, podem fazer parte do dia a dia de uma empresa que deseja manter os seus dados seguros. Além disso, alguns softwares capazes de detectar e excluir arquivos ou programas nocivos de e-mails e demais recursos podem ser utilizados para reforçar a integridade dos dados armazenados na empresa.

Esses mecanismos são divididos em dois mecanismos: os de controles físicos que são barreiras que limitam o contato direto à informação como portas, chaves e trancas. E os de controles de acessos lógicos, como criptografia, controle de acesso, mecanismos de certificação, honeypot e o gerenciamento de identidade. Alguns desses mecanismos lógicos serão abordados, mais a fundo, ao longo do trabalho.

3.3.1 Criptografia

―Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código.‖ (COMITÊ GESTOR DA INTERNET NO BRASIL, 2006, p. 10).

Presente em diversos ramos, a criptografia tem grande importância em termos militares, em negociações, em transações bancárias e em trocas de mensagens efetuadas via internet.

Sempre existirão pessoas capazes de quebrar as chaves e decifrar os códigos e é por isso que novas técnicas são criadas e aperfeiçoadas. A criptografia é utilizada por todos, mas, na computação, ela é aplicada sem que você se dê conta disso.

Para Veloso (2002), a criptografia é tão importante pois, ―se considerarmos que atualmente os volumes de transações on-line apresentam perspectivas de movimentar centenas de milhões de dólares por ano, entendemos a necessidade de tornar este canal de informação o mais seguro possível‖.

A criptografia consiste em técnicas que procuram tornar possível a comunicação secreta entre dois agentes, sobre um canal aberto, permitindo que, no caso de intromissão, a mensagem não seja legível. Essa leitura só é possível se o destinatário possuir uma chave que decodificará os dados criptografados para o seu estado original, tendo, assim, o conhecimento da informação.

Alguns fatores que levam a utilização de criptografia são: privacidade e

autoproteção.

As empresas necessitam em muito dessas proteções, seja para proteger informações estratégicas, previsões de vendas, detalhes técnicos e até para resultados de pesquisa de mercado.

3.3.1.1 Terminologia

Algumas terminologias utilizadas para entendimento da criptografia: texto limpo: mensagem a transmitir;

cifra: operação realizada através de algoritmo que transforma o texto limpo numa mensagem com significado não entendível, através de uma chave;

chave: ―A chave é uma seqüência de caracteres, que podem conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens.‖ (COMITÊ GESTOR DA INTERNET NO BRASIL, 2006, p. 10);

código: ―sistema preestabelecido de substituição de palavras ou de parágrafos.‖ (VELOSO, 2002, p. 4);

intruso: entidade que personifica quem pretende comprometer os objetivos da técnica criptográfica.

3.3.1.2 Chave Simétrica

A chave simétrica, também chamada de criptografia de chave secreta, define-se no fato de permitir relação apenas entre o emissor e o receptor, em que ambos possuem a mesma chave, funcionando como uma tradução por parte do receptor da mensagem criptografada enviada pelo emissor, ou seja, não importa quem enviou a mensagem, ambos conseguem codificá-la e traduzi-la.

A figura a seguir representa o funcionamento da chave simétrica, segundo Sampaio (2008):

Figura 2: Chave simétrica Fonte: Sampaio (2008)

De acordo com a figura 2, o dado original passa por um algoritmo de criptografia que é codificado através de uma chave privada. Após essa codificação, é impossível, para uma pessoa que não possui a chave, ler a mensagem. A decodificação só poderá ser realizada pela mesma chave que foi usada para criptografar, como mostrado acima.

Um exemplo claro de chave simétrica é a utilizada em e-mails em que qualquer um pode enviar e receber mensagens legíveis, mas, no caso de interceptação e intromissão, esta não passará de um texto confuso, com caracteres sem significado.

Esta ―possui vantagens que ainda a fazem ser utilizada até hoje, como a velocidade na codificação e decodificação. Ela, também, é vantajosa quando a troca de chaves secretas não é um problema, como no armazenamento local de arquivos criptografados.‖ (Francese, 2008, p.1).

3.3.1.3 Chave Assimétrica

A chave assimétrica, ou criptografia de chave pública, utiliza duas chaves distintas em que uma é publica e outra privada. A pública, como o próprio nome já supõe, é de livre utilização e só tem o intuito de codificar a mensagem, diferenciando-se da chave simétrica, e sua decodificação é somente realizada pela chave privada, sendo assim, só o receptor é capaz de traduzir o que for codificado.

Esse tipo de criptografia é utilizado, por exemplo, nas senhas de cartões de crédito. A figura, a seguir, representa o funcionamento da chave simétrica explicado no parágrafo anterior, segundo Sampaio (2008):

Figura 3: Chave assimétrica Fonte: Sampaio (2008)

Ainda, Francese (2008, p. 1) diz que:

A criptografia assimétrica tem como principal vantagem aquele que era o ponto fraco da criptografia simétrica: as chaves de codificação e decodificação são diferentes, eliminando o problema da comunicação. Os algoritmos usados no processo de criptografia são relacionados, porém um é de resolução muito mais fácil que o outro (chamados funções de mão única) – a chave original, chamada de chave privada, pode dar origem à chave que é divulgada, chamada de chave pública, mas o inverso não é possível em tempo hábil.

3.3.1.4 Criptoanálise

―Criptoanálise é o estudo de como ‗quebrar‘ os mecanismos criptográficos, podendo, assim, revelar o conteúdo das mensagens cifradas.‖ (VELOSO, 2002, p. 4).

Com isso, a criptoanálise surge para estudar formas de mensagens codificadas ou cifradas tornarem-se legíveis sem conhecer o seu algoritmo de conversão.

Para Quaresma e Pinho (2009), vale ressaltar que a criptoanálise e decifrar uma mensagem cifrada não são a mesma coisa. Este último é um processo ―normal‖ de, a partir de um texto cifrado, obter o texto original, ou seja, o decifrador pertence ao mesmo grupo que o cifrador e tem a informação necessária para obter a mensagem original a partir da mensagem cifrada. Já, na criptoanálise trata-se de um elemento de um grupo contrário que, ou não tem nenhum conhecimento sobre o processo de cifração, ou tem um conhecimento parcial.

De acordo com Simplício Junior (2008), a criptoanálise de uma cifra pode assumir duas formas:

parcial: o atacante descobre o texto claro correspondente a um ou vários textos cifrados, mas não pode fazê-lo para todos os textos possíveis;

total: o atacante é capaz de decriptar todo e qualquer texto gerado pela cifra (por meio da recuperação da chave completa utilizada, por exemplo).

Além disto, Simplício Junior (2008) defende que há algumas modalidades de ataques criptoanalíticos:

ataque de texto cifrado puro: o atacante tem acesso apenas a textos cifrados, ou partes deles, trocados entre pares comunicantes;

ataque de texto claro conhecido: o atacante dispõe de um ou vários pares de textos cifrados e claros correspondentes (ou parte deles);

ataque de texto escolhido (claro ou cifrado): o atacante é capaz de gerar certa quantidade de textos claros e de obter seus correspondentes textos cifrados ou vice-versa;

ataque adaptativo de texto escolhido: o atacante não apenas é capaz de escolher quais textos claros ele deseja encriptar, mas também pode fazê-lo de maneira interativa, ou seja, ele pode escolher quais textos ele deseja que sejam encriptados a partir do conhecimento dos pares de textos claros/cifrados gerados anteriormente;

ataque de chave relacionada: o atacante é capaz de observar a operação da cifra usando algumas chaves diferentes, de valores inicialmente desconhecidos, mas relacionadas, matematicamente, entre si de maneira conhecida.

A criptoanálise utiliza-se de algumas técnicas e algoritmos para realizar esses ataques como: ataques de força bruta, criptoanálise linear, criptoanálise diferencial, ataque de interpolação, ataque de extensão geral, ataque de saturação entre outros.

Por isso que, quando se fala em segurança, não se pode deixar de citar a criptoanálise, uma vez que se ocupa em quebrar sistemas.

3.3.1.5 Protocolos

Protocolo é um conjunto de normas, regras e procedimentos técnicos para intercâmbio de dados entre computadores ligados em rede. Neste tópico serão abordados protocolos de criptografia que provêm disponibilidade, sigilo, controle de acesso, autenticidade, integridade e não-repúdio.

Alguns desses protocolos são: IPSec e SSL.

3.3.1.5.1 IPSec

O Protocolo de Segurança de IP, ou IP Security Protocol (IPSec), é uma estrutura de padrões abertos que busca garantir a confidencialidade, autenticidade e integridade das informações de uma rede IP. Ou seja, protege na prática o tráfego entre máquinas.

―Não é um mecanismo de encriptação ou autenticação, mas sim o que vem gerenciar estes. Em poucas palavras, é um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa a garantir uma comunicação segura em redes IP.‖ (REZENDE, 2003)

Ainda, Rezende (2003) afirma que para que a segurança atue de forma transparente para o usuário, a implementação de IPSec deve ser feita nos roteadores de borda, por onde passa todo o tráfego externo de uma empresa/instituição. Deste modo, para que não sejam necessárias modificações nos terminais (host) ou aplicativos, o IPSec trata de todas as ameaças na própria camada de rede (camada Internet do modelo TCP/IP).

Com uso do IPSec, somente quem envia ou quem recebe os dados conhecem a criptografia, sendo somente esses capazes de interpretar a informação, podendo assim os dados trafegarem na rede publica sem riscos de interceptação.

Assim, o protocolo pode ser usado para proteger fluxos de dados entre dois computadores, ou entre dois security gateways, ou ainda entre um computador e um security

3.3.1.5.2 SSL

O protocolo SSL, Secure Socket Layer, é um protocolo de comunicação e tem como função estabelecer um túnel seguro para comunicação de aplicações na internet, ou seja, gerenciar um canal seguro entre o cliente e o servidor. Assim, a interceptação de dados confidenciais é evitada.

O Objetivo do SSL é ―permitir a autenticação de servidores, encriptação de dados, integridade de mensagens e, como opção, a autenticação do cliente, operando nas comunicações entre aplicativos de forma interoperável.‖ (LARGURA, 2000, p. 2).

Almeida e Silva (2000, p. 128) afirmam que:

Enquanto o protocolo TCP/IP padrão tem apenas a função de enviar um fluxo de informações anônimo entre dois computadores (ou entre dois processos no mesmo computador), a SLL, sendo uma camada que existe entre o protocolo TCP/IP e o aplicativo, adiciona numerosos recursos e esse fluxo.

Com isso, o SLL torna a comunicação entre duas aplicações (Cliente-Servidor) mais segura, pois as informações passam a serem trocadas de forma codificada, ou seja, criptografada. Portanto, o protocolo SLL, hoje em dia, tornou-se um padrão de segurança para transações comerciais na Internet.

3.4 DISPOSITIVOS DE PROTEÇÃO

Hoje em dia, com o avanço da internet, os ataques estão tomando grandes proporções e, cada vez, surgem mais códigos maliciosos, explorando vulnerabilidades em curto espaço de tempo.

Para combater isso, existem diversos dispositivos que podem ser usados para manter uma rede em segurança. É possível criar uma barreira contra o mundo externo, impedindo que alguém acesse a sua rede, como, também, acompanhar quando e quantas tentativas de invasões são realizadas a ela.

3.4.1 Firewall

Quando uma organização conecta uma rede privada na internet, segurança deve ser uma das principais preocupações. Para essa segurança, é necessário a utilização de um

firewall.

Um firewall nada mais é que um dispositivo projetado para que pessoas indevidas não acessem a informações contidas em uma determinada rede. Eles se utilizam de softwares e

hardwares, seguindo uma política de segurança da empresa.

―Firewalls são barreiras interpostas entre a rede privada e a rede externa com a finalidade de evitar intrusos, ou seja, são mecanismos de segurança que protegem os recursos de hardware e software da empresa dos perigos aos quais o sistema está exposto.‖ (CARVALHO, 2001, p. 2).

Conforme Carvalho (2001), há diversas razões para se usar um firewall, porque ele: é um foco para as decisões referentes à segurança;

é o ponto de conexão com o mundo externo, tudo o que chega à rede interna passa pelo firewall;

pode aplicar a política de segurança; pode logar as atividades na Internet;

limita a exposição da empresa ao mundo externo.

Em contra partida, há várias situações em que a utilização de um firewall não é eficaz como: um firewall não pode proteger a empresa contra usuários internos mal intencionados, não pode proteger a empresa de conexões que não passam por ele e não pode proteger contra vírus.

Apesar dos contras, é muito importante a utilização de um firewall para filtrar dados de acordo com um conjunto de regras, permitindo apenas serviços autorizados fortalecendo, assim, a política de segurança da empresa.

3.4.2 IDS (Intrusion Detection System)

Segundo Sanches e Francisco Júnior (2006), o IDS, Sistema de Detecção de Intrusão, detecta e notifica as tentativas de intrusão, analisando e capturando os pacotes que estão trafegando na rede, procurando identificar as evidências de um ataque em andamento, podendo emitir alarmes, ou executando uma ação automática, como, por exemplo, a desativação do link, a depender da ferramenta.

Uma ferramenta IDS é utilizada para a detecção de intrusão, ou seja, detectar o uso não autorizado de ataques a um sistema ou rede. Utiliza-se, também, para saber informações sobre a rede, quantas tentativas de ataques foram recebidas e que tipo de ataque foi usado.

Essas ferramentas estão se tornando cada vez mais necessária nas empresas, uma vez que apenas o firewall e antivírus não conseguem dar total segurança devido à grande quantidade e a variedade dos ataques que surgem diariamente na Internet.

Segundo Caswell (2003 apud SANCHES; FRANCISCO JÚNIOR, 2006), os IDSs trabalham com as seguintes estratégias de análise:

detecção de assinatura: usam um banco de dados de padrões de tráfego, ou atividades relacionadas a ataques conhecidos, como assinaturas de ataques. É semelhante aos programas de antivírus que trabalham com as assinaturas de vírus para reconhecer se um arquivo está infectado; e

detecção de anomalia: utilizam regras ou conceitos predefinidos sobre atividade de um sistema padrão, funcionando e trabalhando, normalmente; e um sistema fora do padrão, funcionando e trabalhando diferente do sistema padrão, para diferenciar o fluxo de dados.

A utilização de uma ferramenta como esta auxilia na segurança de redes de computadores, pois analisam as tentativas de ataques. Com isso, sabe-se de onde está partindo um ataque, podendo assim bloquear a comunicação com a origem, evitando a invasão.

3.5 HONEYPOT

Honeypots podem fornecer um alerta sobre um novo ataque e a tendência de uma

exploração pode distrair os adversários em uma rede e permitem uma análise dos adversários durante e depois da exploração de um honeypot.

Honeypot são recursos computacionais dedicados a serem sondados, atacados ou

comprometidos, num ambiente que permita o registro e controle dessas atividades. (SPITZNER, 2002, p. 49, tradução nossa).

É uma ferramenta de segurança altamente flexível com diferentes aplicações para a segurança, tais como prevenção, detecção ou coleta de informações. Sua utilização não deve ter qualquer produção ou atividade autorizada, isto é, a implantação de honeypot em uma rede não deve afetar os serviços críticos de rede e aplicações.

De acordo com a Honeypots.net (2002, tradução nossa), existem dois tipos gerais de

honeypots:

honeypots de produção: são fáceis de utilizar, capturam apenas uma informação limitada, e são usados principalmente por empresas ou corporações; e

honeypots de investigação: são complexos de implementar e manter, capturam informações extensas, e são usados, principalmente, para pesquisas por militares ou organizações governamentais.

Um exemplo de um honeypot é um sistema utilizado para simular um ou mais serviços de rede que você designar nas portas do seu computador. Um invasor assume que você está executando serviços vulneráveis que podem ser usados para invadir a máquina. Este tipo de

honeypot pode ser usado para registrar as tentativas de acesso às portas, incluindo as teclas

3.6 POLÍTICA DE SEGURANÇA

A política de segurança é uma medida, com implementação real, estabelecida para áreas pré definidas, normalmente, pela direção da empresa e o pessoal de gestão de sistemas e redes que, por sua vez, deve ser flexível às continuas alterações na organização para maior aproveitamento.

As políticas tentam manter um alinhamento para facilitar a implementação de mecanismos de segurança, definição dos procedimentos de segurança, processos de auditoria à segurança, estabelecimento de uma base para procedimentos legais na sequência de ataques e responsabilidades para garantir o controle e a segurança da informação na empresa.

―A política de informação deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos […]‖. (DIAS, 2000, p. 48).

Observa-se, que para proteção das empresas não basta apenas de um antivírus, muitas vezes, faz-se necessária a implementação de uma política de segurança da informação adequada à rede.

Segundo a NBR ISO 27002, a política de segurança deve seguir as seguintes orientações:

definição de segurança da informação, resumo das metas e escopo e a importância da segurança como um mecanismo que habilita o compartilhamento da informação; declaração do comprometimento da alta direção, apoiando as metas e os princípios da

segurança da informação;

breve explanação das políticas, princípios, padrões e requisitos de conformidade de importância específica para a organização, por exemplo:

o conformidade com a legislação e possíveis cláusulas contratuais; o requisitos na educação de segurança;

o prevenção e detecção de vírus e software maliciosos; o gestão de continuidade do negócio;

o conseqüências das violações na política de segurança da informação.

definição das responsabilidades gerais e específicas na gestão de segurança da informação, incluindo o registro dos incidentes de segurança;

referência à documentação que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas, áreas específicas, ou regras de segurança que os usuários devem seguir.

―Existem vários obstáculos, quando o assunto é a segurança da informação, porém a implementação de medidas de segurança, como uma política de segurança da informação, faz com que todos percebam a necessidade de segurança da informação para a organização.‖ (SPANCESKI, 2004, p. 39).

Algumas das ameaças a serem tratadas pela política de segurança são:

integridade: ameaças de ambiente, erros humanos, fraudes e erros no processamento; indisponibilidade: falhas em sistemas ou nos diversos ambientes computacionais; divulgação da informação: repasse de informações premeditadas, repasse de

informações acidentais;

alterações não autorizadas: alteração acidental e alteração premeditada.

Essas ameaças quando mal tratadas podem tornar-se um malefício, pois podem causar danos irreversíveis, como a perda dos dados.

Alguns requisitos básicos da política de segurança, para tornar a segurança mais eficiente:

agentes envolvidos na segurança da informação; classificação de informações;

política de acessos externos à instituição; política de uso da intranet;

política de uso de software; política de acesso físico; política de acesso lógico.

3.6.1 Análise de Risco

A análise de risco tenta prever ameaças futuras, através de estudos técnicos e fórmulas de mensuração que só é possível graças a levantamentos realizados do local, dos tipos de negócios, bens patrimoniais e pessoas a serem protegidas por sistemas de segurança.

É através dessa análise que pessoas especializadas poderão identificar vulnerabilidades, incertezas e minimizar impactos na quebra da segurança.

O risco necessita ser identificado e quantificado de forma técnica e estatística de acordo com uma classificação genérica da potencialidade das ameaças, sejam elas internas ou externas. Sendo assim, devemos:

estabelecer os objetivos da segurança;

definir o perímetro de proteção e os bens e pessoas a serem protegidos; simular situações de risco e estabelecer as contra-medidas correspondentes; avaliar a relação custo X benefício;

estabelecer padrões de segurança;

implantar equipamentos e/ou procedimentos e

documentar as simulações para posterior avaliação / correção da segurança.

Os benefícios recorrentes da análise de riscos são: conhecimento dos riscos da empresa, otimização de recursos e ter subsídios para um plano de ação.

Pontos importantes na Análise de Risco são:

processos de negócio: identificar junto aos gestores e colaboradores os processos de negócio existentes na empresa;

ativos: identificar os ativos que serão considerados na análise de risco: pessoas, infra-estrutura, aplicações, tecnologia e informações;

vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações;

ameaças: identificar os agentes que podem vir a ameaçar a empresa;

impacto: tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na empresa, como roubo de informação, paralisação de serviços, perdas financeiras, entre outros.

Uma análise de risco bem realizada dará informações à sua Empresa para garantir os três pilares da segurança, que são: confidencialidade, disponibilidade e integridade da suas informações.

3.6.2 Plano de Continuidade dos Negócios

Um plano de continuidade deve, a partir de atividades, prever desastre, ou ações a serem tomadas caso o desastre esteja em ocorrência e prover processos para retorno ao ponto inicial, tendo por base o custo X benefícios.

Para Silva (1990-2009, p. 4), uma definição para plano de negócio é:

Um plano para a resposta de emergência, operações backup e recuperação de ativos atingidos por uma falha ou desastre. Tem como objetivo o de assegurar a disponibilidade de recursos de sistema críticos, recuperar um ambiente avariado e promover o retorno à sua normalidade.

Alguns pontos relevantes, segundo Silva (1990-2009), são:

desastres - não se resumem somente a fogo, inundação e outras causas de dano à propriedade, eles, também, podem resultar de problemas corriqueiros, como greves ou mau funcionamento de hardware ou software e ainda que a restauração do processamento computacional seja um passo importante do processo de recuperação, outros problemas igualmente importantes, freqüentemente, precisam ser resolvidos; sobrevivência - A habilidade de um sistema de continuar em operação ou existindo,

apesar das condições adversas, inclui as ocorrências naturais, ações acidentais e ataques ao sistema.

3.7 AUDITORIA NA SEGURANÇA DA INFORMAÇÃO

Em nossa sociedade, as informações se tornam cada vez mais o principal atributo de uma organização, o que faz necessário certo cuidado sobre elas.

Com o passar dos tempos, os mecanismos de segurança passaram a necessitar de atualização periódica, pois as informações, além de aumentarem em quantidade, aumentaram em dificuldade de sigilo.

Seguindo este raciocínio, antigamente, as organizações possuíam papéis, contendo suas informações, o que facilitava, em muito, a segurança, pois bastavam cadeados, cofres,

seguranças e se tinha certeza de que nada saiu de lá sem autorização, porém os riscos de perda desses dados eram maiores, pois havia a dificuldade de backups, o que acarretou a necessidade de digitalização das informações.

Após a digitalização, as informações começaram a trafegar de uma máquina para outra com muita facilidade, e isso facilitou a intromissão de pessoas não autorizadas a essas informações. E estando os sistemas de informação conectados em redes externas, aumentaram, significativamente, os riscos.

―Atualmente, as informações contidas em sistemas são consideradas recursos críticos […] ‖. (DIAS, 2000, p. 40). Esta afirmação se refere às grandes empresas, que possuem um grande concentrado de informações.

Para garantia dessas informações, são necessárias auditorias e não só ferramentas de segurança, como muitos imaginam. Muitas vezes, o problema é acarretado por falhas no sistema, erros cometidos por usuários, falha de hardware, sobrecarga elétrica. Casos, como esse, necessitam de intervenção manual.

Segundo Dias (2000), devem-se garantir, quanto à segurança das informações, ambientes controlados, desastres naturais, falhas estruturais, sabotagem, fraude, acesso não autorizado, dentre outros. Para isso, há a necessidade de se manter o funcionamento padronizado e garantir que qualquer intervenção inesperada possa ser descoberta e resolvida.

Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria. Isso ocorre pela gravação e manutenção de uma trilha de ações realizadas no sistema e, posteriormente, pela análise ou visualização desta, ou seja, o sistema mantém os registros de tudo o que foi feito nele de forma que, em caso de problema de segurança, alguém possa ser responsabilizado. (GARCIA et al, 2009, p. 2).

Há casos em que os responsáveis por alterações ou repasse de informações a pessoas externas ou indevidas são pessoas que têm permissão de acesso a esses dados e os utilizam de forma maliciosa. Podendo identificá-las, então se tem um caso onde será necessária auditoria para garantir a segurança.

3.7.1 Auditoria da Tecnologia da informação

A auditoria da tecnologia da informação tem por objetivo abranger os controles que podem influenciar a segurança da informação e o correto funcionamento dos sistemas de toda a organização.

Segundo Dias (2000), alguns padrões e políticas que devem ser verificados: recursos organizacionais;

disponibilidade e manutenção do ambiente computacional; utilização de recursos computacionais;

gerência de banco de dados e rede; de operação de sistemas;

sobre banco de dados; sobre microcomputadores; sobre ambiente cliente-servidor;

continuidade dos serviços de informática; aspectos físicos, lógicos e ambientais.

3.7.1.1 Controles Organizacionais

―Os controles organizacionais são as políticas, procedimentos e estrutura organizacional estabelecidos para responsabilidade dos envolvidos […]‖. (DIAS, 2000).

Para Dias (2000), esses controles são de extrema importância para a auditoria, pois servem como ponto de partida. É através deles que se sabem as políticas adotadas pela organização e como a segurança é realizada. Isto permite certa aproximação das possíveis evidências.

Os riscos mais comuns são a violação da segurança de acesso a recursos computacionais e dados, implicando em fraudes, erros, perda de dados e roubo de

equipamentos; e o planejamento inadequado do crescimento computacional, podendo acarretar desperdício de investimento ao sub-utilizar os recursos de informática ou, por outro lado, sobrecarregar o sistema atual, degradando ou tornando indisponíveis os serviços computacionais oferecidos aos usuários. (RISCO, 2005).

Lista de Controles organizacionais, segundo Risco (2005):

estabelecer e divulgar um plano estratégico de informática compatível com as estratégias de negócios da instituição, o qual deve ser periodicamente traduzido em planos operacionais que estabeleçam metas claras de curto prazo;

estabelecer, documentar e divulgar a todos os funcionários as políticas de informática e os padrões a serem adotados na instituição;

atender às obrigações legais e contratuais, em relação a aspectos administrativos e de segurança;

definir as responsabilidades de cada unidade organizacional e seus cargos hierárquicos para que os serviços de informática possam ser prestados adequadamente;

instituir política de contratação e treinamento de pessoal; monitorar e avaliar o desempenho dos funcionários; evitar a centralização excessiva de poderes e atividades;

instituir segregação de funções (evitar ter uma única pessoa em uma cadeia de funções);

estabelecer procedimentos de controle na interrupção de contratos de trabalho de funcionários;

na contratação de serviços terceirizados, estabelecer critérios rígidos para seleção, treinamento, controle de acesso a informações corporativas, controle de atividades e aceitação de produtos;

estabelecer claramente em contrato os direitos e os deveres do prestador de serviços, os padrões de qualidade e de segurança a serem seguidos;

definir uma política sobre documentação, estabelecendo padrões de qualidade e de classificação quanto à confiabilidade;

manter documentação atualizada dos sistemas, aplicativos e equipamentos utilizados; elaborar manual de instrução para o desempenho das atividades no departamento de

elaborar planos de aquisição de equipamentos baseado na análise de desempenho dos sistemas atuais, na demanda reprimida dos usuários e nos avanços tecnológicos imprescindíveis para a continuação dos negócios da instituição;

obedecer aos prazos recomendados da manutenção preventiva dos equipamentos e aplicar as correções necessárias nos pacotes de software;

estabelecer acordos a nível de serviço quanto à disponibilidade dos recursos computacionais e de seu desempenho em condições normais e emergenciais.

3.7.1.2 Política, padrões e procedimentos.

Faz-se necessária a existência da política, dos padrões e procedimentos, e deve-se saber por quem devem ser estabelecidos, para que haja o devido seguimento dessas.

Conforme Dias (2000), padrões e procedimentos devem ser estabelecidos pela alta gerência para haver um envolvimento em todas as áreas inferiores a esta. Como demonstrado, a gerencia tem grande participação na área de auditoria.

Para Dias (2000), a partir das políticas, devem-se estabelecer os padrões para aquisição de recursos computacionais, como, por exemplo:

projetos;

desenvolvimento; alteração;

documentação de sistemas;

operação do centro de informática e prestação de serviços de informática.

Por fim, são definidos os procedimentos que irão atender tanto às políticas quanto aos padrões. Segundo Dias (2000), é necessário definir todas as atividades que serão executadas, com o intuito de facilitar o entendimento dos padrões.

―Quanto mais efetivo o cumprimento às políticas da organização, maior a probabilidade de os controles organizacionais serem eficientes.‖ (Dias, 2000, p. 139).

Conforme Dias (2000), para a realização da auditoria, é importante lembrar que cada entidade tem objetivos gerenciais e organizacionais diferentes. Com isso, o auditor tem que ser totalmente flexível ao considerar entidades diferentes.

Seguindo esse raciocínio, política, procedimentos e padrões, por mais parecidos que sejam, possuem suas particularidades e devem ser analisados com seus devidos cuidados.

3.7.1.3 Gerência de Recursos Computacionais

De acordo com Dias (2000), deve haver uma gerência sobre os recursos computacionais com intuito de atender as necessidades da organização, quanto à economicidade, à eficiência e à eficácia.

Muito importante, na hora da aquisição de softwares e hardwares, é conhecer o funcionamento do produto adquirido para uma garantia de funcionamento e, se possível, uma economia.

Cabe lembrar que muitas falhas, que ocasionam grandes perdas financeiras, são em relação aos softwares e hardwares que a gerência escolhe por economia na hora da compra dos produtos e acabam por arrepender-se, pois acarretam falhas e interrupções dos processos.

Há casos em que a falta de manutenção, também, acarreta problemas. Deve-se seguir as normas estabelecidas pelo fornecedor para que os devidos problemas possam ser prevenidos.

3.7.2 Importância nas Organizações

Apesar de saber da importância da segurança e de auditorias, muitas vezes, definem-se prioridades a outras tarefas e assume-se à segurança uma prioridade inferior. Existe uma preocupação com hardwares de ponta, softwares com múltiplas funcionalidades, e a imagem de uma empresa pode ser prejudicada por falta de segurança.

Muitas vezes, a segurança só é lembrada após um desastre, o que prejudica a empresa e acaba por dificultar qualquer prática forense e, até, suas investigações.

Outras vezes, a segurança é tida como gasto desnecessário, uma vez que não há fraudes diárias e, até, por haver demora para sua utilidade.

Levando em conta que a gerência é um dos fatores principais para o sucesso de sua realização, tem que se ter uma idéia implantada da garantia que a auditoria traz, realizando um estudo na empresa quanto a seus softwares, processos realizados, pessoas autorizadas, dentre outros.

Para Allanis (2009), alguns benefícios do serviço de Segurança da informação nas organizações são:

levantamento dos sistemas de segurança e restauração atual;

levantamento exaustivo dos procedimentos de segurança da informação atuais e avaliação do sistema de restauração, em caso de falhas ou catástrofes;

identificação de potenciais falhas de segurança;

identificação e correções às potenciais falhas de segurança informática detectadas em infra-estrutura, hardware e software do sistema de informação atual;

realização de testes de segurança;

realização de testes a procedimentos de segurança atuais para verificar a sua conformidade;

realização de testes ao sistema de cópias e de restauração;

realização de testes aos procedimentos de cópia e de restauração de dados, assim como aos sistemas complementares (clusters) atuais para verificar a sua conformidade; reavaliação periódica da qualidade do sistema de segurança implementado; verificação periódica da conformidade do sistema de segurança de informática.

4 FORENSE COMPUTACIONAL

Este capítulo irá abordar o tema da forense computacional, englobando sua parte jurídica e suas metodologias que auxiliam uma perícia computacional.

Este tema vem ganhando ênfase cada vez maior em nosso cotidiano, pois cada vez mais são criados métodos e processos para roubo de informações digitais e, há um grande suporte de ferramentas que tornam possíveis corromper ou eliminar evidências que possam servir de prova.

4.1 INTRODUZINDO A FORENSE

Forense é a aplicação de técnicas científicas que dão auxílio nas investigações. São usadas para localizar provas e incriminar possíveis suspeitos.

A forense se faz presente em diversas áreas do nosso cotidiano, como, por exemplo, a química forense, utilizada para análise de disparos de armas através das reações químicas. Esta por sua vez utiliza-se das reações para chegar a possíveis resultados. No caso da forense computacional, o que muda são apenas as ferramentas utilizadas, porém o propósito é o mesmo, de localizar o maior número de provas possíveis, para tentar comprovar o que vem sendo investigado.

É um campo ainda novo, porém, em decorrência dos crimes eletrônicos e a necessidade das instituições legais em querer combatê-los, implica o desenvolvimento dessa área.

Conforme Noblett et al. (2000, tradução nossa):

A Forense Computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional.

Ainda, para Freitas (2006), pode-se definir a forense computacional como a ciência de adquirir, preservar, recuperar e exibir dados que foram eletronicamente processados e armazenados digitalmente, visando vistoriar estes dados e os componentes físicos.

É apresentado, na figura 4, um modelo de estrutura hierárquica sugerido por Reis e Geus (2001) que, é separada em dois níveis de classes: (Aspectos Legais e Aspectos Técnicos).

Figura 4: Modelo hierárquico. Fonte: Reis e Geus (2001)

Segundo os autores, no topo da hierarquia está a classe dos aspectos legais, entre os quais encontram-se as exigências legais a que devem estar sujeitos os procedimentos periciais. Já a outra pirâmide, cujos componentes referem-se às questões práticas da áera computacional, é a dos aspectos técnicos.

Assim, esse modelo visa a apresentar a necessidade de manter os aspectos legais e técnicos em união, pois para uma análise forense séria, não bastam apenas ferramentas e políticas apropriadas, tem que haver um acompanhamento para que não se infrinja a lei.

Para as empresas, é muito importante ter uma visão estratégica para identificar os fatores que influenciam diretamente o processo de análise e deve-se, sempre, definir essa estratégia, visando uma melhor organização e obtenção dos objetivos que se pretende alcançar.

Segundo Ng (2007), há diversos fatores que estimulam uma visão estratégica da forense para as empresas. Alguns deles são:

motivadores: são os principais responsáveis quando uma organização pensa em definir ou iniciar um processo de análise forense;

planejamento: é o processo que visa a determinar a direção a ser seguida para alcançar o resultado esperado;

custos de análise: muitos fatores podem influenciar os custos, como o tempo de análise e/ou a qualidade resultados.

4.2 IMPLICAÇÕES LEGAIS

Ao realizar qualquer processo de análise forense, é fundamental existir um embasamento jurídico para garantir que esse processo, dentro de uma organização, seja documentado e validado legalmente.

Ng (2007, p. 59) afirma que:

Toda atividade e procedimentos devem ser documentados, e esta documentação deve ser feita com cuidado e de forma detalhada, pois é a forma de garantir que todas as atividades foram realizadas de uma forma válida, para não gerar dúvidas quanto aos mesmos e, consequentemente, invalidar evidências no caso de um julgamento.

Caso a organização possua profissionais especializados na área jurídica, esses podem ser contratados para orientar os procedimentos que devem ser seguidos, com intuito de não violar quaisquer leis/políticas definidas na organização. É interessante, também, trazer esses profissionais para compor o grupo forense.

Contratar firmas especializadas em forense computacional é uma outra opção, pois essas firmas possuem um vasto conhecimento a respeito da legislação vigente e sobre a validade dos procedimentos que devem ser seguidos.

Não existem normas específicas no Brasil determinando os tipos de crimes e nem sua punição no que diz respeito à forense computacional. Assim, a falta de padronização, nos procedimentos e quais ferramentas podem ser usadas legalmente, abre uma margem de erro muito grande, e evidências podem passar despercebidas.

Entretanto, podem ser adotadas normas tradicionais contidas no código de processo penal que abrangem todo tipo de perícia.

De acordo com o código de processo penal brasileiro (1941), destacam-se duas normas que o perito deve seguir à risca:

Art. 170: ―Nas perícias de laboratório, os peritos guardarão material suficiente para a eventualidade de nova perícia. Sempre que conveniente, os laudos serão ilustrados com provas fotográficas, ou microfotográficas, desenhos ou esquemas.‖;

Art. 171: ―Nos crimes cometidos com destruição ou rompimento de obstáculo a subtração da coisa, ou por meio de escalada, os peritos, além de descrever os vestígios, indicarão com que instrumentos, por que meios e em que época presumem ter sido o fato praticado.‖

Para a primeira norma, sempre é possível fazer cópias digitais das mídias que estão sendo investigadas para que possam ser usadas futuramente caso necessário. Já para a segunda, é sempre necessário documentar tudo o que é feito na análise como as ferramentas de software utilizadas e identificar uma linha de tempo da época dos fatos.

―Paralelos assim podem ser feitos a fim de se garantir o valor judicial de uma prova eletrônica enquanto não se tem uma padronização das metodologias de análise forense.‖ (GUIMARÃES et al., 2001, p. 4).

Apesar de não haver uma lei para a computação forense, o perito deve tomar muito cuidado ao invadir um sistema e/ou analisar dados de um suspeito, pois sem uma ordem judicial, ele pode ser indiciado criminalmente por invasão de privacidade. É importante sempre seguir a política de segurança (caso haja) da instituição.

4.3 METODOLOGIA FORENSE PARA OBTENÇÃO DE EVIDÊNCIAS

Atualmente, há algumas dificuldades para se obter evidências, como por exemplo: o aumento na capacidade de armazenamento de dados, a não regulamentação de funcionamento de lan houses, o aumento dos crimes cibernéticos que, é muito grande em relação ao número de peritos e, as vezes, a cooperação internacional é ineficiente.

―As evidências são peças utilizadas por advogados nos tribunais e cortes do mundo inteiro, mas para que sejam consideradas provas válidas é muito importante que o perito