Uma questão que a cada dia torna-se mais importante e preocupante diz
respeito ao uso e à reunião de dados como provas em um
inquérito penal ou uma ação civil. Isso envolve mecanismos
que permitem preservar as evidências para assegurar a integridade e
autenticidade dos dados coletados. Assim, é possível garantir seu
valor probante para que, futuramente, as devidas ações legais
sejam instauradas.
Essas ações podem pertencer à esfera penal - precedidas ao
inquérito, nos casos de crimes de ação publica (CPP art.
5º) - ou ao âmbito civil. As ações penais
caracterizam-se pela violação da legislação penal
em vigor, enquanto a ação civil decorre dos danos causados.
A questão é: quais são os requisitos para tornar os dados
coletados pelas ferramentas de
Intrusion Detection System
–
IDS
– em evidências legais?
Devemos ter em mente que a
demonstração
de que uma intrusão ocorreu é apenas um dos pontos ligados
à legitimidade de um processo civil/criminal. Essa dificuldade se deve
principalmente a aspectos filosóficos e subjetivos. De um lado,
está o sistema legal e sua interpretação sobre o que
é prova e o que não é; do outro, o entendimento da
caracterização de provas na comunidade de especialistas em
computadores.
A principal função de uma ferramenta de
IDS
é detectar o intruso e acionar processos de contra-ataque. No mundo
real, dispomos de vários dispositivos que permitem a
detecção de intrusos em edifícios, indústrias e
casas, tais como infravermelho e sensores de movimento. Todos esses tipos de
equipamento disparam um alarme ao detectar um intruso, mas não permitem
a coleta imediata de evidências para identificá-lo.
No universo de
TI
, procuramos elementos para demonstrar a ocorrência de uma
intrusão e a identificação do intruso. Para isso, devemos
incluir vários tipos de
logs
:
Log
dos sistemas
Log
de auditoria
Log
de aplicações
Log
da rede
Devemos agrupar todos esses dados de forma a permitir uma análise
fácil e um entendimento claro. Essa nova organização
produz o que chamamos de dados derivados.
Como preservar as evidências
A primeira atitude a ser tomada para preservar as evidências é a
realização de uma cópia do disco rígido e dos
discos flexíveis. O método mais indicado é a copia de
espelhamento de
bits
, ou seja, um
bit stream backup
.
Outra questão fundamental é a autenticidade das provas. Os
advogados de defesa certamente vão questionar a veracidade de qualquer
prova da acusação. Isso significa que pode ser inútil
simplesmente apresentar todos os
logs
impressos à Corte no caso de alguém estar sendo acusado de
invadir uma rede.
Assim, ao iniciar a investigação de incidentes de
segurança, é recomendável providenciar um caderno para
cada um dos membros da equipe e orientá-los a anotar todos os passos
importantes do processo de investigação. Em outras palavras,
esses cadernos servirão como um livro de registro.
Algumas das provas mais valiosas para a acusação serão as
anotações da equipe de investigação. Por isso,
deverá ser eleito um responsável pelo tratamento das
evidências. A partir daí, todos os membros deverão
diariamente entregar os livros de registro a essa pessoa, que terá como
função tirar cópias das páginas, assinar, datar e
guardar todas elas em um cofre até o momento de utilizá-las. Esse
procedimento pode ser seguido em outros processos, como as listagens impressas.
Deve-se também realizar a autenticação –
CRC
,
MD5
– dos arquivos e, se possível, até mesmo do disco. Dessa
forma, você poderá garantir/provar que as evidências
originais não foram alteradas.
No processo de documentação, deve-se registrar todos os programas
utilizados durante a investigação e é de fundamental
importância que todos os programas utilizados sejam registrados, pois
pirataria é crime.
Abaixo estão alguns dos procedimentos da metodologia forense para
levantamento e preservação das evidências.
Provas passíveis de apreciação pela Corte
As evidências devem satisfazer duas condições:
Aceitação
- devem estar em conformidade com certas regras legais;
Valor
- devem ser claras e convincentes perante o tribunal;
As evidências serão descartadas caso sejam coletadas
incorretamente ou de forma ilegal.
Existem vários tipos de evidências que podem ser apresentadas
à Corte:
Real
- um objeto que pode ser levado para a corte e examinado no próprio
local;
Testemunhal
- observações de alguém que estava presente e pode
descrever os fatos perante a Corte;
Documental
- registros que permitam a verificação da autenticidade do
mesmo;
Parecer de Especialista
- opinião de algum especialista no assunto ou as conclusões
deste especialista após realizar uma investigação;
Derivada
- desenhos, vídeo e outras formas de apresentação criadas
a partir das evidências primárias, de forma a facilitar o
entendimento de certas conclusões.
As evidências geradas por uma ferramenta de IDS enquadram-se no tipo
documental, mas requerem o testemunho da pessoa responsável pela
configuração e coleta dos dados. Como complemento, um
especialista pode ser solicitado para atestar o conteúdo e realizar
explicações e interpretações. Podemos também
apresentar o tipo derivado, através da utilização de
gráficos, desenhos etc.
Durante um processo de crime eletrônico, devemos demonstrar as seguintes
ações:
Que um computador estava envolvido;
Que o mesmo foi acessado;
Que o acesso em questão não foi autorizado;
Que o responsável pelo acesso sabia que a operação
não era autorizada.
Dessa forma, uma ferramenta de
IDS
é útil no tocante aos dois primeiros itens.
Outra questão interessante é que a maioria dos intrusos,
senão todos, utilizam pseudônimos. Assim, torna-se
necessária a ligação do
apelido
utilizado na rede à identidade real da pessoa.
Vale lembrar que, nesse texto, partimos do pressuposto que os
logs
constituem evidências, e que a mesmas serão utilizadas para
estabelecer a verdade de um fato, ou seja, constituir a prova.
