INV. - CRIMES CIBERNÉTICOS E COMPUTAÇÃO FORENSE

Bernadete Carvalho

09/05/2021

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Investigação - Crimes Cibernéticos e Computação Forense

587 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

AULA 1 - COLETA, ANÁLISE, AVALIAÇÃO, VALIDAÇÃO E USO DE DADOS COLETADOS
CONCEITOS FUNDAMENTAIS
Você sabe o que são dados? E informação?
Sabia que um conjunto de informações forma o que chamamos de conhecimento?
A partir da observação do esquema a seguir vamos definir alguns conceitos fundamentais para o trabalho com investigação:
Vamos conceituar alguns itens desse esquema. São eles:
DADO:
Matéria-prima para ter informações.
INFORMAÇÃO:
Dados processados, trabalhados.
CONHECIMENTO:
Várias informações sobre um determinado assunto.
MINERAÇÃO DE DADOS:
Também conhecida como DATA MINING, é o processo de explorar grandes quantidades de dados ou informações à procura de padrões consistentes, como regras de associação ou sequências temporais, para detectar relacionamentos sistemáticos entre variáveis, detectando, assim, novos subconjuntos de dados.
CONCEITO DE COLETA DE DADOS
Os dados e informações serão trabalhados através da técnica de coleta de dados, que conhecemos ao estudar estatística.
Coletar dados é o ato de pesquisar, juntar, procurar e agrupar dados, com a finalidade de criar uma referência sobre um determinado assunto ou tema. Ajuda na análise de situações pontuais ou fatos que estão ou irão ocorrer. É o ponto de partida para começar uma pesquisa.
Quando os dados são coletados adequadamente e com segurança, as informações geradas têm qualidade. Logo, podemos fazer uso delas da forma adequada.
Agora reflita:
A fonte da informação importa na coleta de dados?
PRINCIPAIS TÉCNICAS DE COLETAS DE DADOS
Agora vamos conhecer as principais técnicas de coletas de dados para escolher uma ou até combinar mais de uma para executar o trabalho.
Torna-se importante, portanto, experimentar a técnica que melhor vai nos dar um resultado mais preciso e seguro.
Entrevista:
Técnica comum, muito popular e bastante eficiente para pesquisa de mercado, opinião pública. Pode ser trabalhada inclusive para aprofundar determinado assunto.
O que necessitamos destacar é a necessidade de filtrar os dados e informações mais relevantes. Pode ser falada, escrita ou por vídeo, respondendo a algum questionamento feito de forma prévia.
Questionário:
Muito parecido com a entrevista. Trabalhado em uma escala maior. Atende a um grande grupo, inclusive geograficamente distante.
Para não ser cansativo e por ter necessidade de resposta escrita, é indicado fazer uso apenas de uma pequena quantidade de questões.
Formulário:
Seria um instrumento que mescla a entrevista e o questionário. Pode ser preenchido também de forma presencial ou virtual. Porém, quem o preenche é o pesquisador.
Observação:
Técnica bem simples utilizada por qualquer área em estudo e em qualquer situação. É muito importante para formular o conhecimento. Pode ser formal, informal, ocasional, espontânea ou acidental.
A observação é a técnica mais fácil de aplicar. Porém, nela é mais difícil apurar os dados e informações, pois trata-se de dedução, tendendo a opiniões pré-definidas ou pessoais.
Análise documental:
Utiliza documentos concretos, como jornais, revistas, apontamentos, dados estatísticos, biografias e arquivos históricos. Fontes escritas e impressas em geral.
São dados e/ou informações mais precisos. Por ser uma técnica que trata de fontes ricas, minimiza a perda de tempo na pesquisa e no trato dos dados.
Importante destacar que a investigação social só é possível através desta técnica.
Amostragem:
Esta técnica trabalha com princípios e fundamentos científicos da estatística.
Há dois tipos de amostragem:
• Probabilística: rigorosamente científica - tratando com precisão; e
• Não probabilística: não apresenta formatos científicos e necessita dos critérios determinados pelo “pesquisador”. No caso da investigação, o cenário pode mudar quase 100%.
Escalas sociais:
Ainda existem os testes, utilizados como avaliações para medir o potencial de indivíduos ou produtos.
Outra técnica é conhecida como experiência do usuário ou experiência de vida. Nela, é estudado o impacto de interação social e como ele poderá afetar ou influenciar no estudo. Bem como o efeito que poderá ter, caso ocorra uma tomada de decisão.
A sociometria também é uma técnica que auxilia no estudo de relações pessoais entre grupos de indivíduos, explicando, de forma quantitativa. Isso permite não só a análise dos grupos como também a identificação de líderes, subgrupos e desvios.
DICA:
Não é possível garantir a qualidade de um trabalho de investigação sem coletar dados. Tão pouco sem fazer uso da computação forense. Assim, coletar dados e saber trabalhar com eles e com as informações fará todo o diferencial.
Os dados são utilizados através de procedimentos que garantirão ao trabalho resultados com critérios de qualidade (segurança e confiabilidade) que jamais serão questionados.
PROCEDIMENTOS
Os procedimentos de coleta de dados permitirão o estudo de uma variada quantidade de eventos e ou ocorrências, inclusive que o conjunto de dados e informações tenha sua análise de forma individual e comportamental.
Qual perfil deve ter o profissional que trabalhar nessa fase?
Deverá ser observador e detalhista, pois qualquer pormenor perdido invalidará todo processo de coleta de dados.
Agora, vamos conhecer os procedimentos a serem adotados na coleta de dados.
PROCEDIMENTOS PRINCIPAIS:
a) Coletar dados;
b) Analisar dados;
c) Avaliar dados;
d) Verificar dados;
e) Validar dados;
f) Certificar dados.
Esses procedimentos são essenciais para a fase inicial de um trabalho com crimes cibernéticos. Através deles, construiremos o relatório inicial.
Não podemos deixar de destacar a necessidade de prosseguir com procedimentos mais aprofundados por conta da construção do cenário que será apresentado na atividade de Computação Forense.
PROCEDIMENTOS AVANÇADOS:
a) Construir hipóteses;
b) Validar hipóteses;
c) Converter hipóteses em amostras;
d) Validar amostras.
Após executar os procedimentos avançados, será necessário construir o documento no formato textual de forma inalterável, para apresentar, contextualizadamente, o cenário e os pontos que se destacaram na coleta de dados. O que mais a frente vamos chamar de trilha de auditoria.
PROCEDIMENTOS PARA CONTEXTUALIZAÇÃO:
a) Descrever o cenário;
b) Apontar situações de destaque;
c) Relatar objetos com comportamentos destacados.
A construção do relatório com esses procedimentos é a peça-chave para o trabalho que certificará a atividade da computação forense. Inclusive, alguns profissionais são capacitados em cenários lúdicos. Nesse aspecto, a gamificação e os jogos digitais estão colaborando para aperfeiçoamento.
CONCEITOS DE POPULAÇÃO E AMOSTRA
A ciência da estatística orienta que, para realizar de forma correta a coleta de dados, é importante conhecer conceitos como: população e amostra.
POPULAÇÃO
Composta por elementos agregados, finitos ou não, dos quais o “pesquisador” deseja conhecer uma ou mais características.
AMOSTRA
Parte da população que terá informações sobre esta população.
Esses conceitos se aplicam a qualquer área. Inclusive, nas atividades de investigação. O importante é estar atento para que não ocorra distorção na análise dos resultados.
Para o trabalho, portanto, é necessário interpretar os resultados e classificar suas variáveis, que serão uma ou mais características específicas de uma população.
As varáveis, por serem distintas, têm sua associação por categorias. São classificadas como:
Quantitativas - São números e podem ser medidas ou contadas.
Qualitativas - Não podem ser medidas, porém podem ser observadas.
PLANEJAMENTO DA COLETA DE DADOS POR MEIO DE PERGUNTAS
A atividade de coleta de dados não pode deixar de ser planejada. Isso pode ser feito respondendo praticamente às seguintes questões:
1 - Qual pergunta deve ser respondida?
2 - Como informar ou comunicar a resposta obtida?
3 - Qual ferramenta será utilizada?
4 - Como os resultados obtidos serão utilizados?
5 - Como coletar dados com o mínimo de esforço?
6 - A coleta não terá erros?
7 - Onde buscar os dados?
8 - Quando os dados serão coletados?Depois de responder a essas questões, as ações seguintes são:
1 - Ter certeza que todos os dados e informações são válidos e certificá-los através de uma metodologia;
2 - Manter a ética e a seriedade na coleta de dados, garantindo, assim, de forma honesta, sua consistência;
3 - Verificar o cronograma adequado para a coleta de dados;
4 - Definir se informações complementares serão necessárias para trabalhos futuros ou como referência ou reconhecimento.
Concluímos, então, nossa análise da rotina de coleta de dados. Essa atividade, portanto, deve ser dividida nas seguintes etapas:
ATIVIDADES
1. A ciência da estatística orienta que, para realizar de forma correta a coleta de dados, é importante conhecer conceitos como: ___________________.
Marque a opção que complementa a lacuna CORRETAMENTE:
- população e amostra
2. As variáveis classificadas como quantitativas são números e podem ser _____________________. Enquanto as qualitativas não podem ser medidas, mas ____________________.
- contadas; observadas
3. Os dados são utilizados através de procedimentos que garantirão ao trabalho resultados com critérios de qualidade (____________ e ____________) que jamais serão questionados.
Em relação aos critérios de qualidade, marque a opção que complementa a lacuna CORRETAMENTE:
- segurança e confiabilidade
AULA 2 - CONCEITOS E FUNDAMENTOS DE MUNDO VIRTUAL
MUNDO VIRTUAL
Vamos começar esta aula entendendo alguns conceitos que podem parecer comuns e básicos, mas são muito importantes para o trabalho com investigação.
Você já ouviu falar que as pessoas vivem em outro mundo?
Que mundo é esse que não é o real?
Como alguém pode viver em um mundo virtual?
A sociedade evoluiu, inclusive mudando a forma de viver e conviver. Hoje, estar nas redes sociais e vivenciar o mundo virtual é um hábito. Nossa vida está cercada de mundos virtuais.
MUNDO VIRTUAL X MUNDO REAL
Vamos ver a partir de agora como, com a globalização e a Internet, as pessoas começaram a conviver no mundo virtual, que trouxe muitas atividades comuns no mundo real. Fato que deu naturalidade ao processo.
Redes sociais:
Como a sociedade atual é interativa e vive conectada, o mundo virtual privilegiou espaços compostos por redes sociais e outros ambientes de vivência, que antes só eram possíveis pessoalmente.
Operações Bancárias:
Antes todas as operações eram realizadas nas agências físicas. Aos poucos, algumas operações foram migrando para a forma online/virtual.
Hoje, a maioria das agências físicas foram substituídas por agências virtuais, que ficam concentradas em “escritórios” ainda físicos. Porém, em breve, esses espaços também estarão no mundo virtual.
Já existem inclusive operações controladas por atendentes virtuais, o que permite atender a uma gama maior de solicitações. Isso é monitorado por analistas de ações virtuais.
Ambientes Virtuais de Aprendizagem:
Nos Ambientes Virtuais de Aprendizagem (AVA), os professores são mediadores, interagindo com o aluno em situações pontuais e específicas.
Mesmo sendo virtual, é possível a realização de atividades práticas através de laboratórios virtuais e simuladores.
FRAGILIDADES DO MUNDO VIRTUAL
Antes as pessoas esqueciam a porta da casa aberta, hoje esquecem o e-mail, a rede social e outros ambientes virtuais.
Contudo, com a mobilidade dos smartphones e tablets, o perigo não está mais só em casa. Como estamos conectados ao mundo virtual o tempo inteiro, em todos os lugares, ficamos mais vulneráveis.
O fato de mantermos abertos, em nossos dispositivos móveis, aplicativos e redes sociais torna a segurança ainda mais frágil, liberando o acesso e facilitando os crimes cibernéticos. Observe a imagem a seguir:
Como, então, aumentar a proteção?
Para evitar problemas na vida virtual, deveríamos ter o hábito de Logar no ambiente, realizando as seguintes operações:
Log-In:
Acesso ao ambiente virtual com usuário e senha para validação e acesso.
Conhecido como Entrar.
Log-Out:
Saída do ambiente. Ato de desligar, interromper o acesso e, assim, desconectar o usuário que foi validado na atividade de Log-In.
Conhecido como Sair.
Além disso, a maioria das pessoas já criou o hábito de cadastrar uma senha para ter acesso às funções do celular.
Essa é uma boa forma de proteção, mas, caso ocorra um problema com o proprietário do aparelho e mais ninguém conheça a senha, o dispositivo terá que ser reiniciado com o risco de perda total das informações.
Não ter hábitos de segurança no mundo virtual pode nos levar a invasões e outros tipos de crimes cibernéticos.
Veja alguns casos onde é importante se garantir a segurança:
SEGURANÇA NO E-MAIL:
O e-mail ainda é uma forma de comunicação importante.
Até pouco tempo, as pessoas acessavam suas contas por meio de computadores. Porém, hoje também acessam de seus dispositivos móveis.
Isso seria apenas um facilitador. Contudo, como comentamos, o hábito de se manter logado para permitir que as mensagens sejam recebidas e respondidas instantaneamente, possibilita que uma pessoa mal-intencionada use o dispositivo para entrar de forma indevida em uma conta de e-mail.
Além disso, há outros cuidados que devem ser tomados em relação a conteúdos suspeitos (SPAM), que, geralmente, são direcionados para a caixa de lixo eletrônico (existe a opção de colocar um alerta).
SEGURANÇA NOS APLICATIVOS BANCÁRIOS:
Os aplicativos dos bancos são um pouco mais seguros pois permitem apenas que os dados da agência e da conta sejam armazenados, não a senha. Logo, para ter acesso, é necessário inserir a senha.
Há, ainda, para algumas operações, a validação com um código de segurança.
SEGURANÇA NAS REDES SOCIAIS:
Também é comum as pessoas se manterem conectadas o tempo todo em suas redes sociais por meio dos dispositivos móveis, possibilitando que invadam a sua privacidade.
Porém, aqui ainda há uma preocupação enorme em relação ao conteúdo publicado pelo usuário.
No trabalho da investigação, observar e coletar dados nas redes sociais é imprescindível para construir a trilha que, muitas vezes, levará à solução.
SEGURANÇA NO WHATSAPP:
O WhatsApp também é uma rede social, porém algumas pessoas apenas o enxergam como um canal virtual de comunicação. Seu uso é bastante elevado, inclusive em ambientes corporativos, embora já haja aplicativos similares bem populares.
O WhatsApp tem grande evolução em suas atualizações. Inclusive, apesar de integrado diretamente ao número do celular, já pode ser usado em computadores.
Como é um aplicativo de mensagens instantâneas, fica logado o tempo todo, possibilitando o acesso indevido ao seu conteúdo.
GOVERNANÇA DE TI
Redes sociais corporativas são da empresa e devem seguir os critérios da política institucional e do código de ética. O uso do e-mail institucional também segue padrões corporativos próprios.
Empresas que possuem uma forma interativa de comunicação, redes sociais e ambientes virtuais, na maioria das vezes, possuem o que chamamos de Governança de TI.
Sua atuação na empresa é de grande importância, principalmente para trabalhar a política de privacidade de uso de meios virtuais e canais, como softwares e outros padrões do mundo virtual corporativo, garantindo a integridade e as boas práticas.
ATIVIDADES
1. Para evitar problemas na vida virtual, deveríamos ter o hábito de Logar no ambiente, realizando a operação ____________ para permitir o acesso.
- Log-In
2. Para aumentar a proteção no mundo virtual, deveríamos ter o hábito de Logar no ambiente, realizando a operação ____________ para desconectar o acesso.
- Log-Out
AULA 3 - CRIMES CIBERNÉTICOS
CRIME CIBERNÉTICO - DEFINIÇÕES
Vamos começar esta aula analisando algumas definições de crime cibernético.
Segundo Lucyana Machado:
O uso indevido dos computadores e da tecnologia em geral constitui verdadeira ameaça global. ‘Cibercrimes’, ‘Crimes Cibernéticos’, ‘Crimes Digitais’, ‘Crimes Informáticos’, ‘Crimes Eletrônicos’, são termos para definir os delitos praticados contra ou por intermédio de computadores (dispositivos informáticos, em geral),importam nas menções às condutas de acesso não autorizado a sistemas informáticos, ações destrutivas nesses sistemas, a interceptação de comunicações, modificações de dados, infrações a direitos de autor, incitação ao ódio e descriminação, escárnio religioso, difusão de pornografia infantil, bullying, terrorismo, entre outros.
Já a empresa Norton by Symantec, líder de mercado de segurança, define o crime cibernético de forma técnica e pontual, tendo como premissa sua identificação através das análises de ações.
Tal como a criminalidade tradicional, a cibercriminalidade pode assumir muitas formas e pode ocorrer quase a qualquer hora ou lugar. Os criminosos cibernéticos usam métodos diferentes segundo suas habilidades e seus objetivos. Esse fato não deveria ser surpreendente, afinal, o crime cibernético é nada mais que um ‘crime’ com um ingrediente ‘informático’ ou ‘cibernético’.
O Tratado do Conselho Europeu sobre Crime Cibernético usa o termo “cibercrime” para definir delitos que vão de atividades criminosas contra dados até infrações de conteúdo e de copyright (KRONE, 2005).
No entanto, outros autores, como Zeviar-Geese (1997-98) sugerem que a definição é mais ampla e inclui atividades como fraude, acesso não autorizado, pornografia infantil e cyberstalking (assédio na Internet).
O Manual de Prevenção e Controle de Crimes Informáticos das Nações Unidas (1995) inclui fraude, falsificação e acesso não autorizado em sua definição de cibercrime.
A Symantec, com base nas diferentes definições, determina, de forma precisa, crime cibernético como:
Qualquer delito em que tenha sido utilizado um computador, uma rede ou um dispositivo de hardware.
Como é possível observar a partir dessas definições, o cibercrime pode englobar uma gama muito ampla de ataques. Compreender essa variedade é importante visto que os diferentes tipos de crimes cibernéticos requerem atitudes diferentes para melhorar a segurança do seu computador.
CATEGORIAS GERAIS
O computador ou o dispositivo pode ser o agente, o facilitador ou a vítima do crime.
Para compreender melhor a ampla variedade de crimes cibernéticos é preciso dividi-los em duas categorias gerais, que aqui chamaremos de crimes cibernéticos do tipo I e II.
CRIMES CIBERNÉTICOS DO TIPO I
Do ponto de vista da vítima, trata-se de um evento que acontece geralmente apenas uma vez.
Vejamos um exemplo:
A vítima baixa sem saber um Cavalo de Troia que instala um programa de registro de digitação no computador. Também é possível que a vítima receba um e-mail contendo o que parece ser um link para uma entidade conhecida, mas que na realidade é um link para um site malicioso.
Isso é frequentemente facilitado por software de atividades ilegais, tais como programas de registro de digitação, vírus, rootkits ou Cavalos de Troia.
CRIMES CIBERNÉTICOS DO TIPO II
Os crimes cibernéticos do tipo II incluem:
· Atividades como assédio e molestamento na Internet;
· Violência contra crianças;
· Extorsão;
· Chantagem;
· Manipulação do mercado de valores;
· Espionagem empresarial complexa;
· Planejamento ou execução de atividades terroristas.
Trata-se geralmente de uma série contínua de eventos envolvendo interações repetidas com a vítima.
Por exemplo, o criminoso entra em contato com a vítima em uma sala de bate-papo para estabelecer uma relação. Com o tempo, o criminoso aproveita para cometer um crime.
Membros de uma célula terrorista ou organização criminosa podem usar mensagens ocultas para se comunicarem em um fórum público e planejarem atividades ou discutirem sobre localizações para lavagem de dinheiro.
Geralmente, eles usam programas que não estão incluídos na classificação de atividades ilegais. As conversas, por exemplo, podem acontecer usando clientes de IM (mensagens instantâneas) ou arquivos podem ser transferidos usando FTP.
CRIMES CIBERNÉTICOS SÃO COMUNS?
Os crimes cibernéticos acontecem de forma muito mais corriqueira do que se pensa. Sobre isso, analise os exemplos a seguir:
· Acessar o perfil de uma pessoa e fazer um comentário ofensivo por não concordar com a posição dela;
· Encontrar uma conta de rede social aberta e, ao invés de sair, ler as conversas e dados do perfil;
· Usar o Wi-fi de terceiros através de uma senha que não foi concedida pelo proprietário;
· Passar-se por outra pessoa em uma ligação para executar uma operação bancária.
TRABALHO DE INVESTIGAÇÃO
No trabalho de investigação, é muito importante saber identificar as ações criminosas e registrar o acontecido para fomentar a documentação que será entregue ao profissional que trabalhará com a Perícia Forense.
Os relatórios são documentos imprescindíveis. Atualmente tem sido comum fazer uma captura da “tela” para compor esse relatório. As provas analisadas dependerão da contextualização que o relatório apresentará.
ATIVIDADES
1. Invadir dispositivos informáticos alheios é crime. Sabemos que este possui pena a ser cumprida. Sobre isso, marque a opção CORRETA:
- De 3 meses a 1 ano e multa
2. O documento de grande importância na investigação do crime cibernético para apresentar ao profissional de Computação Forense é:
- Relatório
AULA 4 - AUDITORIA - A IMPORTÂNCIA DA CONSTRUÇÃO DA TRILHA
AUDITORIA
Nosso estudo está ficando cada vez mais interessante e chegou a hora de estudarmos o conceito de auditoria.
Pense um pouco:
A auditoria é aplicada apenas na área de gestão e contábil?
É importante desmistificar esse pensamento de que a Auditoria é aplicada apenas na área de gestão e contábil, pois fazemos uso da auditoria também para examinar ações que darão origem a relatórios para esclarecer fatos ocorridos.
A auditoria, portanto, é uma prática que identifica se os processos e os controles ocorrem conforme o esperado ou mostra o que ocorreu, dando base ao trabalho de investigação para apurar os fatos.
Se a investigação sobre crimes cibernéticos tiver como objeto sistemas, principalmente digitais online ou off-line, a auditoria verificará os pontos importantes para construir o que chamamos de trilha de auditoria¹.
Caso ocorra insuficiência de fatos relevantes, é indício de que ainda existe a possibilidade de alguma ação “indevida”. Logo, deve-se começar o monitoramento e a observação dos protocolos de análise e segurança.
(¹ Caminho das ações que ocorreram para chegar a um determinado ponto.)
Neste ponto, as perguntas que devem ser feitas são:
As políticas de segurança são adequadas?
Os controles estão de acordo com a política de segurança?
São feitas manutenções efetivas nos controles?
São feitas manutenções e implementações na política de segurança?
É importante lembrar que a última pergunta deve ser observada com um olhar mais reflexivo, por conta dos cenários que se modificam com a evolução de toda a convergência digital e novas ações.
CONTROLE DOS NOSSOS ACESSOS
Hoje, fora do ambiente corporativo, praticamente não usamos mais e-mail. Em compensação, o número de redes sociais e aplicativos é bem maior.
Notamos claramente que a vida virtual evoluiu. Dessa forma, a política e os controles de segurança também precisaram evoluir. Nesse sentido, podemos refletir:
Quantos sistemas, aplicativos, e-mails e redes sociais acessamos?
Como é feito o controle desses acessos?
O ideal é que se tenha como protocolo a revisão e a atualização constante ou periódica dos controles e políticas de segurança.
Não se esqueça de que, em uma empresa de grande porte, deve haver um departamento denominado, na maioria das vezes, de Governança de TI.
Porém, para evitar transtornos, é importante que o usuário comum também crie a cultura de ter sua política de segurança e controle de acessos dentro de padrões seguros. Isso permitirá que eventos inesperados sejam identificados como crimes cibernéticos e não apenas fruto da falta de cuidado.
EXEMPLO:
É muito comum acessarmos nossas redes sociais em computadores públicos e, ao terminarmos, não finalizarmos com a opção fechar ou sair.
Isso ocorre pelo costume de, em casa ou no celular, deixarmos os nossos acessos abertos, muitas vezes para evitar digitara senha novamente.
Contudo, essa falta de cuidado pode permitir que uma pessoa com má-intenção acesse a nossa conta e envie uma foto pornográfica para os nossos contatos, por exemplo.
Com certeza, algum conhecido seu já postou informes sobre uma ação praticada por terceiros na conta dele, alertando sobre a invasão que sofreu.
PADRÃO DO QUE É OU NÃO ACEITÁVEL
É necessário definir um padrão do que é ou não aceitável, com base nos princípios pessoais ou da filosofia da empresa:
Veja os itens que nos ajudarão a compor essa definição:
· As ações aceitáveis deverão estar definidas na política de segurança;
· Os padrões poderão ser criados com base em políticas de segurança já existentes ou normas pré-definidas;
· Modelo de comunicação aceitável;
· Ações e comunicações proibidas;
· Ações inaceitáveis que gerem punições imediatas e irreversíveis em caso de empresas;
· Ações que vão denegrir a imagem ou gerar danos irreversíveis.
O esquema a seguir nos auxilia na definição do padrão do que é ou não aceitável.
Com base nessas ações aceitáveis e não aceitáveis, vamos sugerir a tomada de decisão conforme o fluxograma.
No caso de contratar um profissional específico para investigar o ocorrido, é importante deixar claro que este fará as verificações e encaminhará via relatório.
As ações corretivas e preventivas poderão ser sugeridas. Porém, devem estar de acordo com a empresa ou com a pessoa que tomará as decisões.
A decisão final se dará com base nos princípios de tomada de decisão das teorias da Computação Forense.
NÍVEIS DE PERMISSÃO
Para evitar os riscos, os controles precisam estar atualizados e, de forma eficiente e eficaz, estar alinhados com a política de segurança, garantindo um bom trabalho do profissional de investigação que executará o processo de auditoria.
Existem níveis de permissão que estão combinados com a estrutura de segurança. Eles são observados antes de se qualificar o ocorrido como crime cibernético.
Esses níveis estão de acordo com os controles que serão permitidos e autorizados para determinado usuário. São eles:
A auditoria pode ser de um espaço delimitado ou abrangente, dependendo do que ocorreu e do impacto causado.
É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Afinal, a auditoria irá rever todos os riscos e se estes poderiam ser evitados.
Veja como verificar os controles:
APROPRIADOS:
O controle é adequado para o risco que ele poderá sofrer ou enfrentar?
INSTALADOS CORRETAMENTE:
• O controle está no local correto?
• O controle foi testado e funciona bem?
FINALIDADE:
Os controles são efetivos ao risco que poderá sofrer ou enfrentar?
PADRÃO DE REFERÊNCIA (BENCHMARK)
A auditoria deverá seguir um padrão de referência (benchmark), que verificará, antes de qualquer processo, se a configuração está segura.
Isso significa que as instruções indicadas devem evitar eventos inesperados, inclusive os que poderão ser qualificados como crimes cibernéticos.
Os principais padrões de referências são:
ISO 27002;
ITIL;
COBIT;
NIST SP 800;
COSO.
COLETA DE DADOS E INFORMAÇÕES
Será necessário identificar e coletar dados e informações. Isso é feito de diversas maneiras, mas os principais métodos são:
· Questionários;
· Entrevistas;
· Observação;
· Listas de verificação;
· Documentação de revisão;
· Configurações de revisão;
· Política de revisão;
· Testes de segurança.
VERIFICAÇÃO DE CONTROLE E GERENCIAMENTO DE IDENTIDADE
Outro ponto que o auditor especializado não poderá deixar de observar é a verificação de controle e gerenciamento de identidade.
Veja os principais pontos:
Processo de aprovação;
Mecanismo de autenticação;
Política e imposição de senha;
Monitoramento;
Sistemas de acesso remoto.
RELATÓRIOS
São os relatórios que nos darão as informações necessárias para fazer a análise de todo o cenário e estudar a melhor estratégia para a solução.
Os relatórios de auditoria devem ter, pelo menos, a seguinte estrutura:
1
Descobertas
2
Recomendações
3
Linha de tempo para implementação¹
4
Nível de risco
5
Resposta ao auditado²
6
Acompanhamento
(¹ Em caso de recomendações de mudanças.)
(² Todo auditado e/ou investigado tem direito a resposta.)
MONITORAMENTO
É importante verificar os monitoramentos e averiguar se estes não impedem um trabalho adequado.
Em alguns casos, os monitoramentos dificultam a investigação por permitir excluir históricos ou possuir métodos de bloqueios agressivos como, por exemplo, a criptografia.
Isso encarece o trabalho e cria dificuldade por conta da necessidade de usar outros tipos de recursos e estratégias. Em alguns casos, precisam ser contratados profissionais especializados e estender o tempo.
Observar o histórico de “anomalias” é primordial para determinar se realmente os eventos são ataques reais qualificados como crimes cibernéticos ou apenas atividades que geraram ruídos ou eventos secundários.
ATIVIDADES
1. Em alguns casos, os monitoramentos dificultam por permitir excluir históricos ou por possuir métodos de bloqueios agressivos. Marque a opção do PRINCIPAL EXEMPLO deste método:
- Criptografia
2. A auditoria, para ser melhor trabalhada, deverá seguir um padrão de referência que verificará, antes de qualquer processo, se a configuração está segura. Marque a opção que possui o NOME TÉCNICO deste padrão de referência:
- Benchmark
3. Dependendo do que ocorreu e do impacto causado, o que será auditado pode ser um espaço delimitado ou abrangente. É possível, inclusive, auditar o processo para avaliar o nível de vulnerabilidade provocado. Marque a opção que apresenta o MAIOR NÍVEL DE VULNERABILIDADE:
- Paranoico
AULA 5 - SEGURANÇA DA INFORMAÇÃO
MONITORAMENTO DE SEGURANÇA
Com o avançar dos nossos estudos, vamos conhecendo conteúdos mais interessantes que mostram a importância dos cenários para trabalhar com qualidade na investigação e identificação de crimes cibernéticos e para a prática da Computação Forense.
Não podemos deixar de destacar a importância da segurança nesse processo, principalmente quando falamos em ambientes digitais e/ou virtuais.
No trabalho com segurança, o objetivo principal é observar o comportamento, identificando e detectando se existe alguma anormalidade e se esta gerou eventos que podem provocar os crimes cibernéticos.
Podemos citar como exemplo a possibilidade de um sistema ou um ambiente com falhas em sua operação ou até a permissão de senhas com critérios “fracos” que geram fragilidades. Isso comprova que a “segurança” contribuiu para o cenário de risco e para os crimes cibernéticos.
O mecanismo que analisa se existe ou não a vulnerabilidade é chamado de monitoramento de segurança.
É muito comum esse controle ocorrer por meio de circuitos de câmeras ou sistemas que detectam comportamentos fora dos padrões.
Ao realizar a identificação, o monitoramento deve interromper imediatamente o evento ou alertar sobre tal comportamento.
Portanto, a aplicação de mecanismos de segurança eficientes, com qualidade e sem brechas pode inibir alguns ataques.
Sabemos que é muito difícil garantir totalmente a segurança e que o monitoramento em ambientes online é muito mais difícil. Porém, o monitoramento de segurança deve ser um procedimento de prevenção e apoio para recolher fatos, caso ocorra o crime cibernético.
REGISTRO DOS HISTÓRICOS DAS ATIVIDADES
Outra prática importante é registrar históricos das atividades, armazenando os dados em alguma base física com a menor vulnerabilidade possível. É indicado atualmente o armazenamento¹ em nuvens.
Não podemos esquecer da igual importância de se fazer um relatório para gerenciar os históricos, que irá colaborar para a análise das evidências. Logo, armazenar e proteger esses relatórios dos históricos é primordial.
É comum que “atacantes”, para provocar os crimes cibernéticos, costumem encher os históricos de lixos para justamente promover o seu descarte. Assim, os controles de segurança deverão ser verificados para manter o monitoramento de forma “blindada”.
(¹ Processo que registrae cria uma cópia dos dados e informações que permite realizar consulta a qualquer momento.)
Os ataques cibernéticos também podem ser chamados de atos intrusivos, que se dividem em:
· Atos visíveis - são intencionais;
· Atos ocultos - são escondidos e secretos.
CRIPTOGRAFIA
Para evitar crimes cibernéticos é importante que a equipe responsável por implantar os processos de segurança garanta que todos os dados e informações sejam transmitidos com o recurso da criptografia.
Veja o esquema do processo:
A criptografia, portanto, protege dados sigilosos ao impedir a visualização. Contudo, ela acaba dificultando o trabalho de investigação de crimes cibernéticos, pois os monitores não conseguem verificar todos os dados.
DIFERENCIAÇÃO DE ATAQUES REAIS E RUÍDOS
É preciso, dentro do processo estratégico da segurança, identificar e determinar a diferença entre ataques reais e ruídos:
TIPOS DE ERROS
Vamos analisar os dois tipos de erros:
FALSOS POSITIVOS:
Conhecidos como erro tipo 1. São alertas que parecem ser maliciosos, mas costumam ser desprezados, desviando a atenção dos ataques reais.
FALSOS NEGATIVOS:
Conhecidos como erro tipo 2 e identificados como falha ao controlar comportamentos suspeitos.
Deverão ser mais pontuais em relação ao ambiente e identificar atividades suspeitas em maior quantidade e detalhamento. Acontecem geralmente por controles configurados de forma incorreta.
VULNERABILIDADE
O teste de vulnerabilidade é importante para garantir que o processo de segurança ocorra sem falhas.
É necessário que tenha periodicidade porque um processo pode em uma determinada época ter sido seguro e atualmente não ser mais.
O teste poderá ser realizado com uma equipe interna ou externa, com componentes visíveis ou ocultos. Sem contar que, independente do processo de teste, é importante avaliar seu impacto.
Podemos citar, como exemplo, o cuidado que deve-se ter com o dano potencial e com a periodicidade (hora do dia e/ou com o dia da semana).
GERENCIAMENTO DE RISCO
É importante que a estratégia de segurança gerencie todos os possíveis riscos, reduzindo possibilidades para a ocorrência do crime cibernético.
A equipe será treinada para identificar os riscos e aplicar instruções que vão gerenciar o ambiente que impedirá os crimes. Esses riscos também precisam ser avaliados.
Como realizar a implantação do gerenciamento de risco?
A implantação desse gerenciamento deverá:
· Acontecer antes que ocorra um incidente;
· Planejar e aplicar ações que controlem e evitem as ocorrências dos crimes.
O que fazer caso ocorra um incidente considerado crime cibernético?
É fundamental seguir rotinas para tratá-lo, pois, com certeza, seu impacto será negativo.
Veja as etapas do processo:
Notificação;
Resposta da notificação;
Análise da resposta;
Recuperação;
Acompanhamento;
Documentar o ocorrido.
Para que o processo de segurança ocorra da forma adequada, é importante atender aos seguintes requisitos:
Confidencialidade;
Integridade;
Autenticidade.
Dessa forma, os processos de segurança vão identificar e evitar os crimes cibernéticos, garantindo a qualidade nos procedimentos e auxiliando o processo de investigação por meio dos históricos e evidências.
ATIVIDADES
1. _________________ é um processo que dificulta o trabalho de investigação de crimes cibernéticos pois os monitores não conseguem ver todos os dados. Logo, não conseguem identificar se são ou não suspeitos.
Marque a opção que completa CORRETAMENTE a lacuna:
- Criptografia
2. É preciso, dentro do processo estratégico da segurança, identificar e determinar a diferença entre ataques reais (que vão provocar os crimes cibernéticos) e ruídos (atividades secundárias que não são identificadas como crimes cibernéticos). Inclusive, acontecem dois tipos de identificações que são enganos, classificados como ______________.
Marque a opção que completa CORRETAMENTE a lacuna:
- Erros
3. O teste de vulnerabilidade é importante para garantir que o processo de segurança ocorra sem possibilidades de _______________. Inclusive o teste tem que ter uma periodicidade porque um processo pode em uma determinada época ter sido seguro e atualmente não ser mais.
Marque a opção que completa CORRETAMENTE a lacuna:
- Falhas
AULA 6 - COMPUTAÇÃO FORENSE
O QUE É COMPUTAÇÃO FORENSE?
Vamos entender o que é a Computação Forense em si indo diretamente à sua aplicação prática: é uma das atividades ligadas diretamente à segurança da informação e aos princípios e critérios da Ciência da Informática.
Até aqui estávamos vendo como repassar ao profissional informações fundamentais para a prática da Computação Forense utilizando estratégias como as trilhas de auditoria e o monitoramento de segurança.
Contudo, veremos agora que a Computação Forense vai trabalhar de forma mais aprofundada no cenário em que foi identificada a possibilidade de crime cibernético para levantar informações que tenham sido alteradas e que tenham grande importância no trabalho do profissional de investigação.
Veja, a seguir, o modelo de investigação computacional:
OBJETIVOS DE SEGURANÇA
Para o trabalho do profissional da Computação Forense será importante entender que os objetivos de segurança são primordiais e que agregam valores ao cenário propício ao crime cibernético.
A seguir, vamos conhecer os princípios, objetivos, medidas e produtos e serviços da segurança
PRINCÍPIOS DA SEGURANÇA:
• Privacidade;
• Integridade;
• Autorização;
• Controle de acesso.
OBJETIVOS DE SEGURANÇA:
Agregam valores ao ambiente estudado. São os seguintes:
• Autenticação de mensagens;
• Assinatura;
• Recibo e confirmação;
• Não repúdio.
Esses objetivos ajudarão na composição da documentação que o profissional irá elaborar em forma de relatório.
MEDIDAS DE SEGURANÇA:
Essas medidas agregarão valores ao trabalho desse profissional:
• Anonimato;
• Marca de hora;
• Revogação;
• Posse.
PRODUTOS E SERVIÇOS DE SEGURANÇA:
Anualmente são publicados na Revista Segurança da Informação (Information Security) um guia que lista diversos produtos e serviços de segurança.
Estes são os mais pontuais para o trabalho da Computação Forense:
• Antimalware;
• Conformidade/Auditoria;
• Investigação Forense;
• Propriedade Intelectual;
• Provedores de Serviços de Segurança Gerenciada;
• Salvaguarda de Mensagens;
• Gerenciamento de Correções;
• Gerenciamento de Segurança da Informação;
• Segurança de Transação;
• Segurança de Rede Com e Sem Fio.
SEGURANÇA DE TRANSAÇÃO
Referente à segurança de transação, vamos dar destaque a protocolos comuns que garantem qualidade e segurança.
Na prática, vamos notar que o profissional necessitará fazer a perícia digital de forma detalhada usando os certificados digitais que prometem a transferência e a manipulação de dados e informações de forma segura.
Esta análise é importante por conta dos possíveis ataques criptográficos que basicamente ocorrem da seguinte forma:
· Ataque apenas em texto cifrado
· Ataque de texto claro conhecido
· Ataque de texto claro escolhido
· Ataque de texto cifrado escolhido
Para o trabalho do profissional em Computação Forense será necessária, por exemplo, atenção para as redes com e sem fio do ambiente onde o crime cibernético ocorreu ou estava propício a ocorrer.
Sabemos que esse trabalho reconhece a possibilidade da ocorrência de incidentes e que alguns procedimentos serão necessários para fazer a análise do impacto causado, caso ocorra efetivamente ou apenas tenha a ameaça do crime cibernético.
AMEAÇAS EMERGENTES
Outro ponto de importância é a possibilidade de acontecer o que chamamos de ameaças emergentes. Neste caso, o risco precisa ser estimado e previsto por conta do impacto que causa.
São ameaças vindas de diversas áreas, tanto de fontes internas quanto externas.
Os principais exemplos de ameaças emergentes são:
· Nova tecnologia;
· Mudança da cultura da organização;
· Mudança de ambiente (físico ou virtual);
· Uso não autorizado de tecnologia (Tecnologias sem fio, Modem Pirata, PDAs, Software não licenciado, Ipod);
· Mudançasde regulamentação e leis;
· Mudanças nas rotinas (tanto da empresa quanto pessoais).
POLÍTICA DE USABILIDADE
Ameaças de PDA incluem roubo de dados corporativos, controles fracos sobre transmissão e tráfego de dados e informações através de recursos sem fio, cópias múltiplas e versões diferentes em mesmos ou diferentes dispositivos.
DIANTE DESSE CENÁRIO, COMO O PROFISSIONAL DA CIÊNCIA DA COMPUTAÇÃO DEVE AGIR?
Para o profissional que trabalha com a Ciência da Computação Forense é importante estar atento à política de usabilidade de usuário físico ou jurídico e à governança de TI, em casos de empresas, para manter o controle de acessos e não abrir brechas com fragilidades que podem ser evitadas.
Sabemos hoje que é comum as pessoas terem smartphones, tablets, notebooks e computadores desktops e que, para se manterem conectadas o tempo todo e não perderem a interação, elas têm o hábito de instalar aplicativos e deixar logado ou salvar as senhas automaticamente. Contudo, já sabemos também que essas práticas podem facilitar ameaças de crimes cibernéticos e até provocar a vulnerabilidade nos acessos.
ATUAÇÃO DO PROFISSIONAL DE COMPUTAÇÃO FORENSE
O profissional de Computação Forense vai propor análise de risco com periodicidade e, por meio de testes, forçará situações até encontrar brechas de ameaças e vulnerabilidades emergentes.
Isso é feito de forma constante, e a pró-atividade característica desse profissional fará com que ele enxergue possibilidades de novas ameaças e descubra novos procedimentos e planejamentos para a análise de risco.
Não se esqueça de que tudo deverá ser registrado e documentado. A sugestão é que isso seja feito usando formulários eletrônicos para manter a atualização em tempo real e, assim, garantir que os dados e informações trabalhados sejam os mais fidedignos, seguros e relevantes possível.
O profissional poderá abordar a análise de risco de duas formas:
ABORDAGEM QUALITATIVA:
Descreve o cenário de risco e posteriormente identifica o impacto do ocorrido, sendo efetivamente um crime cibernético ou apenas uma ameaça. É importante também saber se alguém sabia da possibilidade de ocorrer esse tipo de evento e com essas informações fazer uma investigação nas bases de acesso.
ABORDAGEM QUANTITATIVA:
Descreve o risco, relatando inclusive o prejuízo financeiro em que cada um dos elementos em risco tem valor específico. Porém, muitos desses elementos possuem valores imensuráveis e o profissional de Computação Forense vai necessitar de uma planilha que relate todos os elementos e seus valores e as possibilidades de danos e os valores que vão projetar.
O quadro, a seguir, ilustra essas duas formas de análise de risco:
Vejamos alguns exemplos de situação de risco:
Invasão de um laboratório:
Um laboratório de análises clínicas sofre uma invasão e tem seus computadores formatados.
Os laudos que ali estavam armazenadas possuíam valor imensurável, uma vez que eram necessários para construir um histórico comparativo do paciente e sua evolução.
Criação de perfil falso:
A criação de um perfil falso em uma rede social para publicar ofensas pode trazer também valores imensuráveis por conta, por exemplo, de uma possível calúnia.
O profissional especializado em tratar o evento de crime cibernético na análise qualitativa do risco deverá mensurar e classificar o ocorrido em duas escalas. Inclusive se o evento não ocorreu e apenas foi uma ameaça. Isso é importante para checar uma brecha da segurança.
As escalas trabalhadas são:
Probabilidade ou possibilidade
Trata eventos que raramente acontecerão; necessita de maior ponto de atenção;
Impacto
Trata situações insignificantes e de grande significância.
No caso do impacto, um bom exemplo é o acesso ou a postagem em redes sociais que pode até não se caracterizar como crime cibernético mas que apresenta impacto de grande significância, como a difamação. A Computação Forense, então, tem como estratégia a análise para realizar ações preventivas com a intenção de inibir essa situação.
O gráfico, abaixo, ilustra uma análise de impacto.
DICAS DE SEGURANÇA
Seguir as instruções através de uma tabela comparativa dos tipos de análise de risco auxilia o trabalho do profissional de Computação Forense na construção de suas hipóteses.
Esse profissional, portanto, terá necessidade de estudar as possíveis brechas que deixam a segurança vulnerável.
Para isso, ele precisa observar os seguintes riscos:
· Reconhecimento
· Escuta
· Negação de serviço
A seguir, veja algumas dicas de segurança para usuários da internet:
· Averiguar se a conexão que você adentra é uma conexão https. Se não tiver o S, não é indicado.
· Ao acessar o site, observar se no canto direito da tela tem um cadeado de proteção.
· Evitar fazer exposição desnecessária nas redes sociais, como check-in, número de telefone, etc.
· Configurar a plataforma da sua rede social com níveis toleráveis de privacidade para que somente pessoas do seu circulo de amizade tenham acesso às suas informações.
· Não aceitar solicitação de amizade nas redes sociais de pessoas que você não conhece.
· Não dar a senha de WiFi da sua residência para desconhecidos, nem solicite dos outros; prefira colocar a senha ao invés de mostrá-la.
ANÁLISE DO FLUXO DOS DADOS
A Computação Forense trabalha com ferramentas como o firewall para controlar a análise do fluxo dos dados, verificando em que ponto foram interrompidos e a causa. Contudo, a essa análise inclui ainda o motivo da não interrupção e, igualmente, a sua causa.
Redes são também trabalhadas com bastante atenção, principalmente as sem fio, por terem uma arquitetura que não possui ponto físico (telefone).
O FUTURO DO PROFISSIONAL DE COMPUTAÇÃO FORENSE
A tendência é o trabalho do profissional de Computação Forense crescer pois o uso de computadores e dispositivos móveis vem se tornando cada vez mais frequente. Com isso, os problemas também irão aumentar, principalmente em relação ao despreparo dos usuários.
Portanto, com o estudo mais aprofundado da Ciência da Computação Forense, podemos concluir que para esse trabalho se faz necessário estar atento não só em relação às ocorrências mas também ao ambiente em que estas acontecem, sendo o documento mais importante o relatório de evidências, onde todos os relatos são confrontados e as hipóteses estabelecidas.
ATIVIDADES
1. O uso de computadores e dispositivos móveis vem crescendo e com isso os problemas também aumentaram, principalmente em relação ao despreparo dos usuários. Neste cenário, qual evento terá maior incidência?
- Crimes virtuais
2. Qual é o tipo de crime cibernético detectado com maior frequência por profissionais de Computação Forense?
- Perfil falso
AULA 7 - PERÍCIA FORENSE DIGITAL
PERÍCIA FORENSE DIGITAL
Na perícia forense digital, a prática é toda realizada de acordo com as evidências, observações, levantamento de dados e análise de hipóteses.
Ela usa o cruzamento de dados para a construção da forma macro do mapa de evidências. Após ser compilada, chegará à conclusão com a indicação dos fatos relevantes e as possíveis causas.
O trabalho do profissional que vai tratar da perícia forense conta com um relatório em que todos os pontos mais relevantes estão destacados. Não se despreza nem a trilha de auditoria realizada anteriormente para fomentar a teoria dos fatos que gerou a ocorrência.
Portanto, um trabalho de perícia forense digital é minucioso e depende de um histórico que venha monitorando os fatos e evidências bem como o ambiente e o usuário.
Torna-se impossível chegar a uma conclusão sem que antes tenha ocorrido um monitoramento ou análise de evidências. Despreza-se as evidências superficiais e hipóteses infundadas porque estas é que vão compor o mapa de hipóteses.
FLUXO DAS AÇÕES DA PERÍCIA FORENSE DIGITAL
Observe o fluxo:
Com base no fluxo, podemos observar que:
· É preciso avaliar todo o ambiente e as possibilidades de riscos e as brechas da segurança da informação para que a perícia forense digital, que acontece diretamente na fonte, não tenha desvio e não traceum “percurso” equivocado.
· Caso a perícia forense digital fique tendenciosa ao engano (não precisa chegar ao erro), acarretará prejuízos incalculáveis.
· A perícia forense digital na sua prática terá que observar as falhas, as ameaças e as vulnerabilidades e, caso as encontre, corrigir o percurso para que não mais aconteça e sugerir que a governança de TI faça uma nova análise e proposta de segurança e política de privacidade.
ATENÇÃO:
Caso os ocorridos aconteçam com pessoas físicas, os elementos estudados são os mesmos. Porém, o indivíduo por si só assume a responsabilidade de corrigir o percurso e cuidar com maior afinco de suas ações para evitar equívocos.
A perícia forense digital em seus relatórios observa esta vulnerabilidade e cita as indicações de correções de ações para que um segundo momento seja princípio para próxima análise e estudo de ocorrências.
ANÁLISE DE LACUNA
Uma das técnicas trabalhadas é o que chamamos de análise de lacuna, em que se observa se os gaps estão fora do escopo da política de segurança. É realizada uma comparação entre os controles e acessos e as possibilidades das vulnerabilidades.
Na realidade, o trabalho da perícia forense digital vai buscar na raiz do problema as causas que indicaram o erro. Com isso, é possível partir do princípio que não só a trilha de auditoria foi suficiente para enxergar a causa como também os ocorridos para uma ameaça ou execução do próprio crime cibernético.
O que acontece após as ocorrências e a análise da perícia forense digital?
Após as ocorrências e a análise da perícia forense digital, fica como alerta que as vulnerabilidades precisam ser tratadas para não mais darem brechas na segurança.
Quando essas vulnerabilidades não existem e mesmo assim houve a ocorrência de um crime cibernético, a perícia forense digital vai apontar fatores extras e inesperados, indicando que em algum momento a falha foi encontrada e que a vulnerabilidade foi provocada, mas que os testes dos controles não correram tratando todas as hipóteses e possibilidades.
A análise de lacuna é indicada justamente por ser um método efetivo que não observa um fato isolado e sim a visão geral do ambiente e de toda a política de segurança (com foco nas práticas do dia a dia).
Com essa técnica, é possível observar inclusive todas as ameaças de forma prévia, configurando um trabalho de prevenção.
QUAIS AS ROTINAS QUE SERÃO APLICADAS?
• Identificar elementos;
• Preparar documentos e questionários para levantamento de dados;
• Observar padrões e procedimentos;
• Identificar as diretrizes e cruzar com dados levantados para criar o mapa de evidências;
• Coletar informações de históricos de hardware;
• Coletar informações de software;
• Entrevistar usuários que tenham relevâncias para avaliar conhecimento e conformidade sobre a política de segurança;
• Entrevistar usuários que tenham autorizações e permissões diferenciadas para checar procedimentos e possíveis vulnerabilidades;
• Comparar os ambientes e as diretrizes e normas;
• Identificar as lacunas;
• Observar as indicações de cumprimento para solução de lacunas;
• Documentar os reparos ocorridos na identificação das lacunas;
• Estudar os reparos implementados nas lacunas previamente identificadas em períodos passados;
• Fazer o estudo das conformidades com política de segurança.
Essa técnica estuda inclusive as causas que geraram essas lacunas e as possíveis vulnerabilidades. Não deixando de observar que as rotinas serão aplicadas para qualquer situação e usuário.
INTEGRIDADE E CONFIDENCIALIDADE
Outra técnica que pode ser trabalhada é o tratamento de dados confidenciais que tem foco na integridade e confidencialidade.
O objetivo é identificar as brechas que permitiram a violação dessa integridade, sendo necessário ter muita atenção para identificar o que ocorreu e como ocorreu.
Para a perícia forense digital, a quebra de confidencialidade é um problema muito grave e com alto risco e impacto de atingir mais áreas e rotinas do que o previsto e a probabilidade pode mensurar.
Nesse caso, protocolos são implantados e muitas das vezes há necessidade de ter um acompanhamento jurídico.
Mais uma vez, vamos alertar que para o trabalho da perícia forense digital é importante eliminar suposições abstratas (dados não relevantes) para a ocorrência do evento, sendo fundamental registrar todos os eventos ocorridos para que o refinamento realizado aponte para a causa correta sem deixar dúvidas.
Lembre-se de que, em níveis mais altos, os dados e informações sempre estarão mais seguros devido às autorizações.
AUTORIZAÇÃO X PERMISSÃO E MODELO ESPIRAL DE DETALHAMENTO
AUTORIZAÇÃO ≠ PERMISSÃO
É importante entender que autorização é diferente de permissão e isso faz toda a diferença na hora da construção da hipótese e da tomada de decisão para elaborar a conclusão dos fatos.
A investigação de incidentes por parte da perícia forense digital vai abrir em camadas as ações identificadas, vindo o âmbito abrangente para o detalhamento, como se fosse o modelo espiral.
Para alguns especialistas, a visão é cônica. O que nos dá maior detalhamento e profundidade.
ESPIRAL DO CÍRCULO VICIOSO DE PROBLEMAS E MODELO DO CONE
Outro esquema que será estudado é o espiral do círculo vicioso de problemas:
Como estamos analisando, a perícia forense digital tem o foco nas ocorrências, nos fatos que provocaram os problemas e nos usuários afetados e participantes, já que os crimes cibernéticos atingem tanto o todo, quanto o indivíduo e seu ambiente.
Para identificar as evidências, fechar hipóteses e gerar conclusões, há necessidade de um maior nível de detalhamento. É por isso que a perícia forense digital usa a o cone como referência.
Na primeira possibilidade, partiremos dos menores detalhes da base até chegar na abrangência.
Já na segunda possibilidade, vamos partir da base mais abrangente até o menor detalhamento possível.
Em ambos os casos, existe a necessidade da visão abrangente e da mais detalhada no nível de maior profundidade.
PROTOCOLOS DE SEGURANÇA
Como estamos vendo, vamos sempre ter que garantir a disponibilidade, integridade e confidencialidade dos dados e informações.
Manter a confidencialidade vai depender de protocolos liberados para usuários autorizados — no maior nível e dos permitidos em níveis intermediários.
Para prevenção, serão indicados protocolos para segurança ao bloquear o uso indevido de recursos protegidos, sugerindo o uso de autenticação e senhas com formatos mais bem elaborados.
SUGESTÕES DE PREVENÇÃO COM MELHORES RESULTADOS:
• Senhas;
• Cartões inteligentes;
• Tokens;
• Certificados digitais;
• Assinaturas digitais;
• Desafio-resposta;
• Autenticações;
• Senhas únicas;
• Regras;
• Permissões;
• Controles de acessos virtuais;
• Detecção e prevenção de intrusos;
• Controle de acessos físicos;
• Biometria;
• Filtros de acesso;
• Filtros de conexões;
• Filtro de tráfego de dados;
• Detalhamento de perfil.
Assim, para a perícia forense digital, os controles de acessos ficam protegidos, garantindo que a ocorrência não foi causada por vulnerabilidade e sim por um real crime cibernético. Portanto, não houve estímulos provocados e sim ações maliciosas.
Portanto, são esses controles que ajudarão a garantir a integridade e a segurança será premissa de importância para todo o trabalho do profissional especializado. Dessa forma, o trabalho realizado através da perícia forense digital será de qualidade e garantirá a segurança.
ATIVIDADES
1. O trabalho da perícia forense digital identifica em sua atuação na camada mais alta que os dados estão mais protegidos e isso ocorre porque o perfil de acesso dos usuários é dado como:
- Autorizado
2. A detecção de vulnerabilidade através da trilha de auditoria identifica que os riscos de crimes cibernéticos foram possibilitados. Marque a opção que indica as brechas para essa vulnerabilidade:
- Política de segurança
AULA 8 - TESTE DE INVASÃO