Clique!

 
Artigos

26 de janeiro de 2000

Aspectos jurídicos da invasão a sistemas
Frank Cruz *

Uma questão que a cada dia torna-se mais importante e preocupante diz respeito ao uso e a reunião de dados como provas em um inquérito penal ou uma ação civil. Isso envolve mecanismos que permitam preservar as evidências para assegurar a integridade e autenticidade dos dados coletados. Assim, é possível garantir seu valor probante para que, futuramente, as devidas ações legais sejam instauradas.

Essas ações podem pertencer à esfera penal - precedidas ao inquérito, nos casos de crimes de ação publica (CPP art. 5º) - ou ao âmbito civil. As ações penais caracterizam-se pela violação da legislação penal em vigor, enquanto a ação civil decorre dos danos causados.

A questão é: quais são os requisitos para tornar os dados coletados pelas ferramentas de Intrusion Detection System (IDS) em evidências legais?

Devemos ter em mente que a demonstração de que uma intrusão ocorreu é apenas um dos pontos ligados à legitimidade de um processo civil/criminal. Essa dificuldade se deve principalmente a aspectos filosóficos e subjetivos. De um lado, está o sistema legal e sua interpretação sobre o que é prova e o que não é. Do outro, o entendimento da caracterização de provas na comunidade de especialistas em computadores.

A principal função de uma ferramenta de IDS é detectar o intruso e acionar processos de contra-ataque. No mundo real, dispomos de vários dispositivos que permitem a detecção de intrusos em edifícios, indústrias e casas, tais como infravermelho e sensores de movimento. Todos esses tipos de equipamento disparam um alarme ao detectar um intruso, mas não permitem a coleta imediata de evidências para identificá-lo.

No universo de TI, procuramos elementos para demonstrar a ocorrência de uma intrusão e a identificação do intruso. Para isso, devemos incluir vários tipos de logs:

  • Log dos sistemas
  • Log de auditoria
  • Log de aplicações
  • Log da rede
Devemos agrupar todos esses dados de forma a permitir uma análise fácil e um entendimento claro. Essa nova organização produz o que chamamos de dados derivados.

Como preservar as evidências

A primeira atitude a ser tomada para preservar as evidências é a realização de uma cópia do disco rígido e dos discos flexíveis. O método mais indicado é a copia de espelhamento de bits, ou seja, um bit stream backup.

Outra questão fundamental é a autenticidade das provas. Os advogados de defesa certamente vão questionar a veracidade de qualquer prova da acusação. Isso significa que pode ser inútil simplesmente apresentar todos os logs impressos à Corte no caso de alguém estar sendo acusado de invadir uma rede.

Assim, ao iniciar a investigação de incidentes de segurança, é recomendável providenciar um caderno para cada um dos membros da equipe e orientá-los a anotar todos os passos importantes do processo de investigação. Em outras palavras, esses cadernos servirão como um livro de registro.

Algumas das provas mais valiosas para a acusação serão as anotações da equipe de investigação. Por isso, deverá ser eleito um responsável pelo tratamento das evidências. A partir daí, todos os membros deverão diariamente entregar os livros de registro a essa pessoa, que terá como função tirar cópias das páginas, assinar, datar e guardar todas elas em um cofre até o momento de utilizá-las. Esse procedimento pode ser seguido em outros processos, como as listagens impressas.

Deve-se também realizar a autenticação (CRC, MD5) dos arquivos e, se possível, até mesmo do disco. Dessa forma, você poderá garantir/provar que as evidências originais não foram alteradas.

No processo de documentação deve-se registrar todos os programas utilizados durante a investigação e é de fundamental importância que todos os programas utilizados sejam registrados, pois pirataria é crime.

Abaixo estão alguns dos procedimentos da metodologia forense para levantamento e preservação das evidências.

Provas passíveis de apreciação pela Corte

As evidências devem satisfazer duas condições:

  • Aceitação - devem estar em conformidade com certas regras legais;
  • Valor - devem ser claras e convincentes perante o tribunal;
As evidências serão descartadas caso sejam coletadas incorretamente ou de forma ilegal.

Existem vários tipos de evidências que podem ser apresentadas à Corte:

  • Real - um objeto que pode ser levado para a corte e examinado no próprio local;
  • Testemunhal - observações de alguém que estava presente e pode descrever os fatos perante a Corte;
  • Documental - registros que permitam a verificação da autenticidade do mesmo;
  • Parecer de Especialista - opinião de algum especialista no assunto ou as conclusões deste especialista após realizar uma investigação;
  • Derivada - desenhos, vídeo e outras formas de apresentação criadas a partir das evidências primárias, de forma a facilitar o entendimento de certas conclusões;
As evidências geradas por uma ferramenta de IDS enquadram-se no tipo documental, mas requerem o testemunho da pessoa responsável pela configuração e coleta dos dados. Como complemento, um especialista pode ser solicitado para atestar o conteúdo e realizar explicações e interpretações. Podemos também apresentar o tipo derivado, através da utilização de gráficos, desenhos etc.

Durante um processo de crime eletrônico, devemos demonstrar as seguintes ações:

  • Que um computador esta envolvido;
  • Que o mesmo foi acessado;
  • Que o acesso em questão não foi autorizado;
  • Que o responsável pelo acesso sabia que a operação não era autorizada;
Dessa forma, uma ferramenta de IDS é útil no tocante aos dois primeiros itens.

Outra questão interessante é que a maioria dos intrusos, senão todos, utilizam pseudônimos. Assim, torna-se necessária a ligação do "apelido" utilizado na rede à identidade real da pessoa.

Vale lembrar que, nesse texto, partimos do pressuposto que os logs constituem evidências, e que a mesmas serão utilizadas para estabelecer a verdade de um fato, ou seja, constituir a prova.

* Responsável pelo site Verdade @bsoluta



Voltar


Dê sua opinião
O que você achou deste artigo?
Excelente
Bom
Regular
Fraco
E-mail (opcional):
Comentários:


    

Leia também

Links na Web
Administrador de Redes

 


[ Campus | Jobcenter | Revista TI | Anuncie Aqui | Sobre ]
[ Política de Privacidade ]


©1999 - 2006  TI Master - Seu upgrade profissional.
Todos os direitos reservados, reprodução não autorizada.



Revista TI

Busca por
palavra-chave:


Navegue pela
REVISTA TI

 Ok




Frank Cruz
. Frank Cruz
frank@absoluta.org
. Frank Cruz
* Responsável pelo site Verdade @bsoluta

Mais do mesmo autor
Entendendo um sistema de detecção de invasões
(30.3.2000)