sexta-feira, 5 de fevereiro de 2010

Fornecimento de informações no combate ao cibercrime – investigação em redes corportativas

Uma situação interessante ocorre durante uma investigação policial, quando nos deparamos - através de respostas dos provedores de serviços de internet (PSI) ou de conteúdo (PSC) - que o endereço IP do computador usado para  cometimento do delito está alocado para uma empresa, universidade ou outro órgão que possui uma rede de computadores administrada internamente.

São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não  haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso. Às vezes sequer a empresa tem um administrador de rede, - terceirizando os serviços - o que torna o trabalho, resguardado pelo sigilo, ainda mais difícil.

Embora possa a empresa - leia-se "setor jurídico" - pensar que em alguns casos não há obrigatoriedade de fornecimento destes dados às autoridades, esse atendimento às determinações judiciais é necessário. O exemplo das diversas regulamentações nos EUA - como a da indústria de cartão de crédito (PCI - Payment Card Industry), a de empresas com ações na bolsa americana (SOX - Sarbanes Oxley), dentre outras - forçaram empresas brasileiras a se preparar adequadamente para este tipo de solicitação, também atendendo aos ditames da CF/88 e leis esparsas, principalmente a Lei 9.296/96, que trata dentre outros assuntos dos dados telemáticos. Nesta situação, a responsabilidade de prestar informações passa a ser dos executivos das empresas, que investem pesadamente para se adequar a esta nova realidade - que acaba refletindo em melhorias de segurança nos departamentos de T.I.

Uma abordagem simples e comumente adotada é a implementação de servidores centralizados para armazenagem de registros importantes (ou logs). Em muitas empresas com uma maior maturidade de segurança este sistema evolui naturalmente para soluções mais avançadas de correlação de eventos de segurança (SIEM/SEM) ou similares.

Uma preocupação e pré-requisito básico  para a correta utilização de tais tecnologias é a utilização um servidor central de tempo (NTP) corporativo, que possibilita que todas os computadores e sistemas da empresa estejam sincronizados no horário oficial de Brasília - evitando assim enganos na atribuição de responsabilidade de delitos quando estes registros são fornecidos à polícia e/ou à justiça para serem utilizados durante uma investigação. Por existirem várias configurações no formato de resguardo de logs, o importante é que quando esses dados sejam repassados às autoridades haja um tutorial específico de leitura e/ou que eles venham adaptados para fácil leitura.

Nestas empresas mais maduras - seja por necessidade de adequação à regulamentações específicas, seja por maturidade da disciplina "segurança da informação" - existem mais recursos humanos e de tecnologias disponíveis e normalmente é muito fácil conseguir os registros de acesso e identificar a máquina utilizada. Munidos destas informações, dos logs de acesso e de conteúdo e/ou, ainda, das imagens do sistema fechado de circuito de TV, em inúmeros casos é possível encontrar o autor do delito.

Porém, pelas próprias características de conectividade da Internet, há um grande impacto negativo no processo investigativo quando não existem quaisquer dados ou informações disponíveis a respeito do uso de computadores em uma rede corporativa. Muitas vezes este problema acaba levando ao fechamento de investigações importantes - e em outros casos pode ser necessário reiniciá-la, utilizando outras técnicas (até porque o “ser humano é um animal de hábitos” e, espera-se, deve cometer algum erro na sua sequência criminosa).

Dito isto, é fundamental que tanto os administradores de sistemas quanto os advogados responsáveis pelo setor jurídico da empresa, agindo de acordo com uma política de uso aceitável adequada, resguardem corretamente os registros (logs) necessários ao correto repasse de informações solicitadas pelas autoridades. Agindo assim estará garantido o resguardo da empresa, pois pode ocorrer de ser ela acionada civilmente para a recomposição de danos, quando, então, poderá chamar ao processo o “colaborador criminoso”, eximindo-se da reparação civil.

Exemplos de registros importantes a se resguardar em uma rede corporativa:

- Registros de conexões VPN - que podem atribuir o IP externo responsável pelo acesso feito através da rede corporativa.

- Registros de servidores de Proxy - que podem indicar o usuário, endereço interno e computador responsável por acesso a sites externos à empresa.

- Registros de atribuição de endereços IP dinâmicos (DHCP) - que podem indicar o hostname que possuia um IP interno em uma data e hora específicas.

- Registros de utilização de sistemas de mensagens que possam ser utilizados para cometimento de delitos. Exemplos: Fórum, Wiki, Listserv.

- Outros possíveis exemplos são os logs de WINS (resolução Windows), NAT (tradução de endereços), FIREWALL (filtro de pacotes) e Active Directory.

Para empresas que lidam com registros que são base usual de solicitações judiciais, como grandes provedores de acesso e conteúdo - e também instituições financeiras – existem soluções corporativas como a Centera-Compliace-Plus, da EMC, que utiliza discos com a tecnologia WORM (Write Once Read Many) para garantir a integridade das informações guardadas e para facilitar a cadeia de custódia dos dados que são fornecidos à Justiça/Polícia.

Do ponto de vista normativo e regulatório, serve como modelo de referência o projeto de lei de cibercrimes que tramita (há dez anos!) no Congresso Nacional - que em seu estágio atual, propõe:

Art. 22. O responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público é obrigado a:

I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial;

II – preservar imediatamente, após requisição judicial, outras informações requisitadas em curso de investigação, respondendo civil e penalmente pela sua absoluta confidencialidade e inviolabilidade;

III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade.

§ 1º Os dados de que cuida o inciso I deste artigo, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento.

§ 2º O responsável citado no caput deste artigo, independentemente do ressarcimento por perdas e danos ao lesado, estará sujeito ao pagamento de multa variável de R$ 2.000,00 (dois mil reais) a R$ 100.000,00 (cem mil reais) a cada requisição, aplicada em dobro em caso de reincidência, que será imposta pela autoridade judicial desatendida, considerando-se a natureza, a gravidade e o prejuízo resultante da infração, assegurada a oportunidade de ampla defesa e contraditório.

§ 3º Os recursos financeiros resultantes do recolhimento das multas estabelecidas neste artigo serão destinados ao Fundo Nacional de Segurança Pública, de que trata a Lei nº 10.201, de 14

Autores:

Emerson Wendt, Delegado de Polícia Civil do Rio Grande do Sul e responsável pelo Blog do Emerson Wendt

Sandro Süffert, Consultor em Segurança e Forense Computacional e responsável pelo Blog SSegurança

4 comentários:

Lucas Donato disse...

Ola Emerson e Sandro,

Concordo com os pontos mencionados no artigo. Na última edição do ICCyber, a Polícia Federal frisou esta dificuldade em obter os registros de conexão necessários para a investigação. "Não há log" é uma resposta muito comum, infelizmente.

Uma vez que esta configuração encontrada em boa parte dos ambiente de TI acaba servindo como "cúmplice" do criminoso (e até como um estímulo), a saída realmente é direcionar a responsabilidade aos executivos da empresa, os quais necessitam seguir os princípios de "due care" e "due diligence".

Muito interessante o comentário "o ser humano é um animal de hábitos e, espera-se, deve cometer algum erro na sua sequencia criminosa". Eu escrevi um artigo justamente sobre isso (disponível em http://bit.ly/cUqN8s ). Podemos trocar uma idéia depois sobre esta questão. :)

Grande Abraço!

Lucas Donato

Sandro Süffert disse...

Olá Lucas (e Emerson). Primeiramente obrigado pelo comentário.

Tive a oportunidade de participar do painel plenário que você citou - onde foram discutidas estas questões no último ICCyber (Natal, RN).

Nesta oportunidade, juntamente com representantes da Febraban, do Departamento de Polícia Federal e do Gabinete de Segurança Institucional - tivemos a oportunidade de discutir o tema do fornecimento de informações no combate ao cibercrime.

Obrigado pela contribuição e pelo link fornecido.

[ ]s,

Sandro Süffert

Marco Botelho disse...

Olá pessoal, boa noite!

Imagino que nem sempre seja possível confiar nos logs armazenados pelo responsável pela rede ou segurança do ambiente.

Como evitar isto? Existem, na lei citada no artigo, alguma recomendação e/ou norma técnica para tal procedimento? Ou simplesmente manter os relógios atualizados (NTP) e copiá-los para uma área "segura".

Até mais.

Marco Antônio

Blog do Emerson disse...

Marco,

Não existe um padrão. Eventual lei também não preverá isso. Porém, a regulamentação da lei pode prever sim. No caso, o conveniente ao administrador é informar como são guardados e como foram catalogados para a resposta ao juízo. Isso propiciará uma leitura a posterior sobre como foi feito o procedimento.

Abraço.