Escolar Documentos
Profissional Documentos
Cultura Documentos
Sorocaba
2006
ANA CRISTINA TREVENZOLI
Sorocaba
2006
Trevenzoli, Ana Cristina
CDD. 364.168
Aluna: Ana Cristina Trevenzoli
1) Examinador(a)
2) Examinador(a)
3) Presidente
Dedicatória
The main purpose of this study is to present the procedures, currently being
used or intended to be applied in the future, used to perform frauds and to which goal
is to deviate money through the misuse of a bank customer computer while he is
doing his financial transactions with the bank.
This research also presents the work of a computer forensics specialist in the
search for evidences and probes that are going to be used in a legal process and
which requirements and knowledge are needed in order to accomplish his work. How
the Police uses the probes and tracks found by the computer forensics specialists to
get to the author of the crime, describing the difficulties met in this process such as
the identification of the authorship, legal framework and judgment of the people
commiting barratry of the existing laws and what are the projects of laws being
discussed in order to regularize issues of virtual frauds.
At last, writs of prevention done by the financial institutions are presented
along with the purpose of diminishing the occurrences of computer crimes and what
are the major difficulties in order to solve this crescent problem.
SUMÁRIO
1. INTRODUÇÃO.............................................................................................10
1.1 CONCEITOS .......................................................................................................................................... 10
1.1.1 Perícia forense ......................................................................................................................................... 10
1.1.2 Perito computacional ............................................................................................................................... 11
1.1.3 Crime Digital ........................................................................................................................................... 11
2.3. Worm.............................................................................................................................................................. 17
2.4. Spyware.......................................................................................................................................................... 18
2.5. Keyloggers...................................................................................................................................................... 19
2.6. SCAM............................................................................................................................................................. 19
2.8. Phishing.......................................................................................................................................................... 21
4.7 MD5summer.................................................................................................................................................... 41
4.8 Strings.............................................................................................................................................................. 41
7. MEDIDAS DE PREVENÇÃO................................................................66
REFERÊNCIAS ................................................................................................77
10
1. INTRODUÇÃO
1.1 CONCEITOS
1
Softwares é o nome em inglês dado aos programas de computadores, que são os aplicativos que utilizamos no
computador como Word, Excel, Outlook.
2
O termo crimes digitais está detalhado no decorrer deste capítulo.
3
Quando um computador se conecta com algum outro através da rede, seja local ou pela Internet, uma conexão
é criada tanto na máquina de origem (cliente), quanto na máquina de destino (servidor). Dependendo da
aplicação ou serviço ao qual o computador cliente quer se conectar, uma conexão é estabelecida, com uma
11
na máquina, mas para serem aceitas num processo jurídico, devem ter sido obtidas
de forma lícita.
No entanto, pode haver contestações devido às falhas na argumentação e
principalmente porque muitas vezes a vítima ou o criminoso estão em países
diferentes envolvendo legislações distintas. A eliminação de fronteiras, conseguida
através da Internet traz várias vantagens para as pessoas que fazem utilização da
Internet, pois permite a troca de informações com países do mundo inteiro, mas
também causa problemas devido a políticas diferentes de cada país.
porta de comunicação específica da aplicação desejada. Ao encerrar a comunicação, a conexão é fechada, mas
enquanto ela permanece ativa chamamos de “conexão aberta”.
4
Ao executar um programa no computador, é criado um processo do mesmo, ou seja, o programa é carregado
na memória e começa sua execução, e por isso ele cria um processo que é carregado para que possa funcionar.
Caso o processo continue em execução significa que o programa está em atividade.
12
1.2 JUSTIFICATIVA
5
Termo detalhado e explicado no decorrer do trabalho
6
Site é o termo em inglês utilizado para referenciar uma página ou conjunto de páginas na Internet
14
2.1. Vírus
Logo após a criação dos vírus, no mesmo ano, em 1986 (HSBC, 2004, p.01)
surgiu o cavalo de tróia. Esse nome foi herdado da lenda, que gerou a expressão
“presente de grego”, na qual os soldados gregos haviam presenteado os troianos
7
Computador pessoal desenvolvido pelo fabricante Apple cujo sistema operacional é diferente do Windows, da
Microsoft e de sistemas baseados em Linux.
8
Sistema operacional com características do Unix. É gratuito e de domínio público, ao contrário do Windows e
Macintosh.
9
É uma rede (interligação de computadores) geralmente limitada a um prédio ou instituição.
10
São as três letras subseqüentes ao ponto que identificam o tipo de arquivo e o software que pode interagir com
o mesmo.
17
2.3. Worm
11
Nome dado a pessoas que possuem um bom conhecimento de informática, mas os utilizam para fins ilícitos.
12
São e-mails fraudulentos imitando comunicados de bancos, lojas virtuais e outros no qual induz a pessoa a
entrar em sites falsos que contém arquivos suspeitos que infectam a máquina.
18
2.4. Spyware
13
SMTP – Simple Mail Transfer Protocol. Protocolo padrão utilizado para entrega de e-mails.
14
Copiar arquivos de um computador remoto para um local.
15
Transferir um arquivo do computador local para um outro remoto, através da Internet.
19
2.5. Keyloggers
São aplicativos, como um cavalo de tróia, que tem como objetivo roubar
senhas digitadas no teclado, pois possuem recursos para detectar qual tecla o
usuário pressionou na hora da digitação da senha para algum acesso confidencial
ou sigiloso.
Ele mapeia a posição das teclas de uma maneira que possibilite saber
exatamente o que foi digitado, e essas informações são enviadas para o atacante.
Seu uso em técnicas de cavalo de tróia para furto de informações bancárias
foi identificado em 2002 e tem sido aprimorado desde então, “permitindo associação
da identificação de tela da aplicação com o dado capturado”, segundo LAU (2004,
p.11).
2.6. SCAM
16
Utilitários adicionais que devem ser instalados para visualização de recursos implementados no site visitado.
17
Paginador ou navegador é um programa utilizado para visualizar as páginas na Internet. Exemplo de browser:
Internet explorer, netscape.
20
Surgiram em 2002 e 2003 (LAU; SANCHEZ, 2006, p.04) cavalos de tróia que
realizavam alterações no arquivo hosts (arquivo do sistema operacional Windows,
verificado inicialmente quando um acesso à rede externa for solicitado) direcionando
18
Spam são mensagens indesejadas, em sua maioria com propagandas de produtos, que chegam às caixas de
correio das pessoas sem que elas tenham solicitado ou autorizado esse recebimento.
19
Link é o endereço para um site na Internet no qual basta clicar para que o site vinculado ao link seja aberto.
21
a vítima para um site forjado, ou seja, o acesso não é feito ao site idôneo e sim a um
outro definido pelo atacante.
A vítima acessa um site forjado, mas ao contrário do phishing (explicado no
próximo item, no qual o fraudador precisa convencer a vítima a acessar o site
contido no e-mail), no pharming (nome criado apenas em 2005 (LAU; SANCHEZ,
2006, p.04)) a alteração é feita no serviço DNS, que é utilizado pelo sistema
operacional para saber o endereço IP20 do servidor do site requisitado.
Como o serviço DNS contém informações errôneas referentes ao site
procurado pelo sistema operacional, ele carregará as informações da página forjada,
na qual o fraudador possui, controle total, e meios para roubar as informações da
vítima como senha, número da conta, número de cartão de crédito ou outras
confidenciais.
2.8. Phishing
Uma das fraudes mais recentes e atualmente a mais utilizada no exterior para
fraudes (LAU; SANCHEZ, 2006, p.04), criada em 2003 (LAU, 2004, p.11), é o
phishing. São e-mails que chegam à caixa de entrada do destinatário e contém
convites para acesso a páginas falsas.
Essas páginas são muito bem elaboradas, a ponto de realmente serem
confundidas com a página oficial que está sendo forjada, seja do banco, da receita
federal, de revistas, jornais ou de alguma loja virtual.
No entanto, assim que o destinatário digita suas informações pessoais ou
sigilosas, como senhas, números de cartões de crédito, nesse site falso, o remetente
da mensagem ou fraudador captura todas essas informações, para serem utilizadas
em fraudes, roubos, desvios de dinheiro, etc.
20
O endereço IP é composto por um conjunto de quatro octetos com o formato xxx.yyy.zzz.www. Os valores
variam de 0 a 255, formando um endereço único que permitirá ao usuário enviar e receber pacotes de dados
pela rede mundial, identificando o remetente e destinatário dos mesmos. COSTA, Marcelo A. Sampaio Lemos.
Mundo Virtual sem Lei, 04/02/2004. Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia
Técnica da Bahia. Disponível em: <http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70>
Acessado em 27/09/2006
22
Muitas pessoas podem ser enganadas com esses e-mails, pois além de
parecerem realmente idôneos, as pessoas não se atentam muito aos detalhes e
muitas vezes, distraídas, pensam tratar-se de um e-mail legítimo.
O site que o usuário acessa, a partir do e-mail de phishing pode muitas vezes
possuir o cadeado indicando segurança no canto inferior direito, o que leva a vítima
a acreditar que realmente está realizando uma conexão segura.
“Os dados capturados são enviados ao fraudador por meio dos protocolos de
hipertexto (http – hyper text transfer protocol)”, segundo Lau e Sanchez (2006, p.03).
21
Freeware é um tipo de licença de software que permite que o usuário possa instalar em quantas máquinas
desejar, não precisa pagar pela licença de uso, mas não pode alterar o código do programa, a não ser que além
de freeware o programa também seja open source (código aberto).
22
Peer-to-peer é a tecnologia utilizada por programas como kazaa e Emule para a troca de arquivos de
multimídia entre as pessoas. Nesta tecnologia toda máquina é ao mesmo tempo cliente e servidor. Isso significa
que a sua máquina estará comas portas de comunicação abertas para que outras pessoas possam se conectar e
fazer o download de um arquivo. Com essa brecha de segurança a máquina fica mais vulnerável a um ataque.
23
23
Uma das maiores empresas do mundo em análises e informações para decisões de crédito e apoio a
negócios.
24
Backdoor tem como tradução exata “porta dos fundos” é uma brecha que pode ter em um sistema operacional
que consiste na abertura de portas de comunicação que, por segurança deveriam estar fechadas, e que podem
ser exploradas por um invasor devido à facilidade de penetração no sistema por estarem abertas.
24
Além desses códigos maliciosos, e outros que podem vir a surgir, ainda
existem programas para entretenimento e bate-papo como ICQ e MSN, de download
de músicas, filmes, clipes como Kazaa e E-mule, que tornam as máquinas mais
vulneráveis a ataques.
Segundo Cert.br os programas como Kazaa e E-mule oferecem vários riscos
à segurança, dentre eles: “Acesso não autorizado: o programa de distribuição de
arquivos pode permitir o acesso não autorizado ao seu computador, caso esteja mal
configurado ou possua alguma vulnerabilidade. Softwares ou arquivos maliciosos:
os softwares ou arquivos distribuídos podem ter finalidades maliciosas. Podem, por
exemplo, conter vírus, ser um bot25ou cavalo de tróia, ou instalar backdoors em um
computador” (2005c, p.13).
Softwares de bate-papo também oferecem riscos de acordo com o Cert.br:
“Programas, tais como ICQ, AOL Instant Messenger, Yahoo! Messenger e MSN
Messenger, por se comunicarem constantemente com um servidor (senão não
teriam como saber quem está no ar), ficam mais expostos e sujeitos a ataques, caso
possuam alguma vulnerabilidade” (2005c, p.11).
25
Termo explicado com mais detalhes no decorrer do trabalho.
25
3.1 Criptografia
26
Problemas para identificação de autoria e legislação vigente estão discutidos nos próximos capítulos.
27
3.2 Rootkits
3.3 Esteganografia
27
Uma placa de rede configurada em modo promíscuo permite a captura de todos os dados trafegados na rede.
Caso haja um software de sniffer (que captura todos os dados na rede e armazena para análise) nessa máquina,
até mesmo senhas trafegadas na rede local podem ser capturadas.
28
Dir é o comando utilizado no sistema operacional Windows que lista os arquivos existentes dentro da pasta
especificada junto com o comando.
29
É o comando no sistema operacional que mostra o mapa de conexões, ou seja, todas as conexões existentes
na máquina e seu status.
30
O termo multimídia é utilizado para mencionar arquivos de som, imagem, fotografia e vídeo, pois utilizam mais
de um sentido do ser humano como audição e visão.
29
31
Códigos binários é um sistema utilizado por apenas dois números, o zero e o um. O termo binário é muito
utilizado por profissionais de informática para fazer referência a programas executáveis (que executam ou
realizam alguma tarefa).
30
32
O comando delete, palavra herdada do inglês, é o mesmo que apagar, sendo utilizado para exclusão de
informações no computador.
33
Uma delas, freeware de nome Dariks Boot pode ser encontrada em http://dban.sourceforge.net e outra de
nome Active Kill Disk também freeware pode ser encontrada em http://www.killdisk.com.
31
Outro método que poderá ser utilizado pelos fraudadores para ocultar
informações importantes para ele, é através de slack space.
Segundo OLIVEIRA (2002b; p.89-90), “Os sistemas operacionais da Microsoft
armazenam seus arquivos em disco utilizando blocos de dados de tamanho fixo
chamados clusters, contudo, os arquivos em um disco podem ter os mais variados
tamanhos, dependendo do seu conteúdo. Desta forma, raramente o tamanho de um
arquivo é múltiplo do tamanho de um cluster, o que impede o armazenamento ideal.
Sendo assim, é comum que o último cluster associado a um arquivo não seja
32
totalmente utilizado por ele, permitindo que dados excluídos deste e de antigos
arquivos possam ser capturados e analisados”.
Para acesso a arquivos gravados nesses espaços com a intenção de sigilo e
ocultação, é necessário o uso de ferramentas específicas com acesso ao disco em
baixo nível. Essa técnica atrapalha a ação do perito, pois é sempre mais um
obstáculo, e mais um lugar necessário para procura de evidências, mas também
existem ferramentas com o objetivo de eliminar esse problema (OLIVEIRA, 2002b,
p.90).
3.7 Botnet
O que deve ser feito inicialmente é buscar a preservação das evidências, por
isso a primeira técnica a ser aplicada é assegurar a integridade dos discos rígidos,
disquetes, cds, pen drives34 ou qualquer outro meio de armazenamento de
informações digitais que se deseja rastrear para localização de provas. A maneira
como as mídias são armazenadas e manipuladas, é fato determinante para a
realização de uma perícia com sucesso ou a perda de informações valiosas,
resultando na destruição das provas digitais.
Deve-se seguir a RFC 3227 que se trata de um guia, um passo a passo a ser
seguido para coleta e armazenamento de evidências de maneira adequada
(RFC3227, 2002, p.02).
“É sabido que, em se tratando de crimes que envolvam computadores como
meio, a coleta, manipulação e exame de provas sem os devidos cuidados podem
acarretar na falta de integridade da prova. A coleta e manipulação de equipamentos
e mídias sem a observação de condições mínimas de segurança no manuseio
podem acarretar danos irrecuperáveis no material coletado. Discos rígidos não
suportam golpes35, mídias magnéticas podem apresentar perda de dados se
submetidas a campos magnéticos, a superfície pode apresentar desgaste se
exposta a calor, umidade e poeira, e assim por diante”, segundo Costa (p.01).
"O perito deverá preservar todos os dispositivos de armazenamento de
dados, executar uma 'cópia' integral do(s) HD(s) a ser analisado, executar um hash36
para comprovação da integridade dos dados e, quando necessário, elaborar uma ata
notarial37".38
O profissional deve possuir conhecimentos técnicos e procedimentos para a
realização do trabalho, protegendo as provas de incidentes, gravações acidentais,
34
Pen drives são unidades de armazenamento de capacidade bem maior que disquetes e que possuem
tamanho semelhante a um chaveiro, possibilitando ser carregado no bolso.
35
Golpe neste contexto é o mesmo que queda, pancada, ou qualquer outro acidente físico potencialmente forte
para danificar a parte física do equipamento em questão.
36
Processo de verificação de integridade para saber se uma versão de arquivos ou sistema de arquivos é
exatamente igual a original ou fonte.
37
Ata notarial é um procedimento legal, no qual a pessoa, devidamente competente, narra os fatos de uma
maneira imparcial e verídica, deixando tudo registrado para uso em processo judicial ou como prova, também em
processos privados. É necessário quando um fato deve ser devidamente registrado, narrado e documentado
para uma ação judicial.
38
Rocha (2003, p.03) apud THEIL.
35
39
“Durante um incidente, dificilmente conseguimos determinar, devido à pressão natural em tal situação, qual a
melhor atitude a ser tomada, já que as ações devem ser decididas rapidamente. Temos que ter em mente que
qualquer procedimento executado de forma errada pode destruir as provas obtidas ou invalidá-las perante um
tribunal”, segundo Pellegrini; Bertacchi e Vita (2005, p.10).
40
Memória RAM é aquela na qual os dados são colocados para terem maior ganho de performance, mas ao
desligar o computador, todos os dados contidos nessa memória são perdidos. Por isso é volátil.
41
Quando um computador é desligado corretamente, ou seja, no caso do sistema operacional Windows, ao clicar
em iniciar e depois desligar, será executado um procedimento padrão que consiste no fechamento de todos os
arquivos abertos, encerramento das conexões existentes, parada dos serviços em execução e qualquer outra
ação que o sistema julga correto para o desligamento. Para os procedimentos do perito esse desligamento não é
interessante, pois ao fechar os arquivos eles serão modificados nesta hora prejudicando algumas análises.
36
voláteis para os menos voláteis”, segundo Pelegrini, Bertacchi e Vita (2005, p.11),
como se segue:
42
O termo legal está relacionado com a legislação do país.
37
Os arquivos de registro.
Devem ser analisados todos os arquivos de registro da máquina
mesmo que eles possam ter sido alterados pelo fraudador. Para
essa análise são utilizadas ferramentas específicas para cada
tipo de registro.
O sistema de arquivos.
O sistema de arquivos deve ser analisado verificando os
possíveis arquivos e pastas excluídas na tentativa de recuperar
tudo o que for possível utilizando-se de ferramentas
especializadas nesse tipo de processo.
Arquivos criptografados.
São informações cifradas utilizando uma chave secreta que
deve ser utilizada para a decifragem da mensagem. Devido ao
fato de ser secreta, e o perito provavelmente não ter
conhecimento dela, são utilizadas outras técnicas como, por
exemplo, força bruta.
38
Arquivos esteganografados
São arquivos de imagem que possuem informações escondidas
utilizando-se de bits menos significativos, que por isso não
alteram a qualidade da imagem visivelmente. Há ferramentas
para detecção dessas informações que são detalhadas no
capítulo 3.
43
Tabela de roteamento fica localizada no computador e é utilizada para encaminhar a mensagem/informação de
uma rede à outra. Para que o computador saiba para onde deve encaminhar a mensagem ele deve consultar a
tabela de roteamento para determinar o destino que a mensagem deve percorrer.
44
Tabela arp é utilizada pelo computador para associar o endereço de máquina de um equipamento na rede com
seu endereço IP.
45
Memória de alta velocidade, criada para acompanhar o desempenho do processador.
39
4.2 Trinux
46
Live-cd é um cd que contém um sistema operacional linux que não precisa ser instalado para ser utilizado.
Basta reiniciar o computador com o cd dentro da unidade de leitura que é possível utilizar o sistema operacional
como se estivesse instalado no disco rígido do computador.
40
buscam por vulnerabilidades que são utilizados para diagnóstico da rede, backup e
recuperação de dados, entre outros. Assim como outros utilitários citados, ele
também se utiliza apenas da memória RAM, ou seja, nada é alterado no disco rígido
da máquina, preservando assim a integridade dos dados.
tanto a linha de comando (shell) do Windows quanto do linux e pode ser encontrada
e obtida em http://sources.redhat.com/cygwin/.
4.6 MS-Diskedit
4.7 MD5summer
4.8 Strings
47
MD5 é uma função de hash. É gerado um valor baseado no tamanho do conjunto de dados. A partir da cópia,
é gerado novamente esse valor e comparado com o original para certificar-se de que se trata de uma cópia
íntegra.
42
Existem ainda soluções que não são apenas um software e sim um hand-held
específico para essa finalidade de perícia forense computacional. É o caso do kit
chamado ImageMASSter Solo-3 Forensic kit, que trata-se de um kit com hardware e
uma maleta com vários dispositivos e acessórios, com valor de venda aproximado
de US$ 4.000,00.
Com esse kit é possível capturar os dados suspeitos numa velocidade de 3
GB por minuto garantindo a integridade dos dados, realizar hash com MD5 ou
CRC32, proteger os dados originais contra operação de gravação, transferir dados
simultâneos de 2 discos suspeitos, dentre outros recursos.
É comercializado pela empresa Intelligent Computer Solutions e detalhes
podem ser vistos no endereço http://www.icsforensic.com/.
4.11 ENCASE
43
48
Customização de um software é a flexibilidade que ele possui de deixar o profissional adequá-lo para melhor
atingir seu objetivo, através de escolhas de opções que estão disponíveis quando um software é criado
permitindo essas configurações personalizadas.
44
49
ADSL (Asymmetric Digital Subscriber Line) é o tipo de acesso à Internet banda larga muito utilizado, pois além
de ser mais veloz que o acesso via conexão por linha telefone, permite que a linha telefônica fique desocupada e
não gera gastos de pulsos telefônicos, visto que não realiza ligações.
50
Wireless é o termo utilizado para especificar uma conexão sem fio. Atualmente vários provedores oferecem
essa conexão seja em aeroportos, livrarias, shoppings, hotéis e outros.
45
51
Log (do verbo em inglês to log que significa documentar) é o nome dado para os arquivos criados nos
sistemas de computador para registrar e documentar as ações ocorridas nesse sistema. É possível configurar o
registro desses logs com as informações importantes que o administrador do sistema deseja. Eles são criados
com informações de data e hora, dentre outras.
52
É a carta expedida pelo juiz quando dirigida à autoridade judiciária estrangeira para cumprimento de atos
processuais no território estrangeiro. Tem como requisitos essenciais: a indicação dos juízes de origem e de
cumprimento do ato; o inteiro teor da petição, do despacho judicial e do instrumento do mandato conferido ao
advogado; a menção do ato processual, que lhe constitui o objeto; o encerramento com a assinatura do juiz. Veja
Arts. 201 e seguintes do Código de Processo Civil – DIREITONET – Dicionário jurídico. Disponível em: <
http://www.direitonet.com.br/dicionario_juridico/x/57/77/57/> Acessado em 26/09/2006.
46
emitida. Tempo esse que supera o obrigado por lei nos outros países para
armazenamento dos registros (SILVA, 2004, p.171).
Mesmo que o provedor de acesso à Internet localizado no exterior tenha uma
filial no Brasil, não é isenta a necessidade de emissão de Carta Rogatória, pois pode
haver alegação do provedor de que as informações solicitadas estejam
armazenadas nos provedores situados fora do país (SILVA, 2004, p.171).
Há uma proposta brasileira com o objetivo de resolver esse problema que
consiste na criação de uma cooperação entre todos os países visando agilizar a
disponibilização de provas e criando uma “nacionalização de evidências”. Segundo
SILVA, “A proposta brasileira consiste no estabelecimento de cooperação
hemisférica, por meio da adoção de mecanismos ágeis no combate aos delitos
cibernéticos, especialmente aos que tem repercussão internacional. Os mecanismos
propostos procuram evitar, sempre que possível, todos os procedimentos
burocráticos e morosos, incompatíveis com a velocidade que experimentam os
crimes cibernéticos e com a agilidade dos criminosos do espaço cibernético” (2004,
p.171).
Um episódio ocorrido com o site do Google, no ano de 2006, foi bastante
comentado, pois, devido à criação de um grande número de comunidades no Orkut
(site de propriedade da empresa Google) com apologias a drogas, racismo,
pornografia infantil e outros crimes, a Polícia Federal solicitou ao Google Brasil que
disponibilizasse mais informações sobre contas e usuários para ajudá-los na
investigação e chegar até os criminosos virtuais responsáveis pela criação das
comunidades (OLIVEIRA, 2006, p.01).
O Google Brasil não forneceu essas informações e alega não possuí-las, pois
são de propriedade da matriz nos EUA e por isso não teria como cumprir com esse
pedido, visto que as leis brasileiras não se aplicam nos EUA (OLIVEIRA, 2006,
p.01). Trata-se de um caso de grande repercussão, mas provavelmente muitos
outros problemas desse mesmo caráter devem ter ocorrido quando é necessário
obter informações armazenadas em território estrangeiro.
No entanto, partindo do suposto de que o provedor tenha os dados e coopere
com a polícia é possível uma maior colaboração no rastreamento através das
informações disponibilizadas.
“Por exemplo: um cidadão recebe um e-mail anônimo ameaçando-lhe a vida.
Ameaça, independente do meio pela qual é feita, é ilícito penal tipificado no art. 147
47
do Código Penal. O texto do e-mail – e seu cabeçalho – servem como prova do fato
típico. Por meio desta prova é possível localizar a origem do e-mail. Se o e-mail foi
anônimo do ponto de vista técnico da Informática, existirá nele um número de origem
chamado IP o qual poderá ser utilizado para rastrear o emissário do e-mail”,
conforme Foina e Reis (2003, p.01).
É neste ponto que entram as informações muito valiosas que devem estar
armazenadas nos provedores de acesso à Internet, que são os arquivos de
registros, ou logs.
“É por meio da inspeção desses longos registros de tráfego, denominados
“logs” que o perito poderá afirmar de que servidor veio o e-mail, em que horário e por
qual linha telefônica. Conseguido isso, o Juiz pode solicitar à companhia telefônica
que identifique o número do telefone que estava enviando o e-mail naquele horário
bem como fornecer o endereço do local da instalação da linha para que o policial
possa diligenciar-se até o local e inquirir as pessoas que lá residem quanto ao
indivíduo que estava utilizando computador em data e hora certa, e pronto,
localizamos o autor de nossa ameaça”, segundo FOINA e REIS (2003, p.02).
Não é somente com a finalidade de rastrear um e-mail que são utilizados
esses procedimentos, mas um ataque a um servidor de uma empresa também ou a
um computador para roubo de senha ou outras informações, pois sempre que
houver um registro com o IP de origem é possível iniciar uma investigação, sendo
que esse é um ponto de partida para a descoberta da autoria do ataque.
Especificamente no âmbito de fraudes bancárias deve-se analisar o
computador da vítima que teve seu dinheiro desviado para colher informações e
arquivos de registros em busca de endereço IP de origem para iniciar as buscas.
Se o crime foi efetuado a partir de um computador de um cyber-café ou uma
lan-house, ao contrário do que se pensa não é impossível um rastreamento. É claro
que a investigação pode ser mais complexa, mas ainda assim há rastros para
tentativa de identificação. Por exemplo, o fraudador muitas vezes ao iniciar o uso no
computador pode querer ler seus e-mails particulares, trocar informações com outros
fraudadores como telefone, endereço, conversas em bate-papo que tenham mais
informações importantes ou consultar algum outro site que tenha solicitado
autenticação do mesmo. Se isso foi feito, algum tipo de identificação, seja usuário e
senha, endereço de e-mail, algum arquivo aberto, data e hora do acesso, ou outras
48
53
Um servidor proxy disponibiliza o serviço de navegação para as máquinas em uma rede local. Com isso ao
realizar uma conexão com a Internet, a máquina da rede local se conecta primeiro ao servidor proxy. Este, por
sua vez substituirá o endereço IP da máquina origem, pelo IP dele. Com isso a máquina de destino entende que
a conexão originou do IP do proxy, deixando a máquina de origem oculta. Apenas o servidor proxy sabe o IP da
máquina de origem.
49
Ainda não há uma lei específica abordando crimes digitais, mas são aplicadas
as leis existentes que podem ser interpretadas para o meio digital. Os crimes digitais
têm sido enquadrados na lei com os itens como: estelionato, formação de quadrilha,
quebra de sigilo, dano, escuta telemática, entre outros.
Abaixo estão relacionadas algumas leis utilizadas para punir os criminosos
digitais:
Lei nº 2848 no artigo 153 "Divulgar alguém, sem justa causa, conteúdo de
documento particular, ou de correspondência confidencial, de que é destinatário ou
detentor, e cuja divulgação possa produzir dano a outrem" (L2848/40).
54
Cookies são arquivos enviados por algum servidor ou site visitado e ficam armazenados na máquina, podendo
ter como função, a análise dos hábitos do usuário para se beneficiar com essa informação de alguma maneira,
sendo uma delas o envio para empresas que comercializam produtos de interesse do usuário.
51
Há certos vírus que tem como característica enviar e-mails para as pessoas
do catálogo de endereços da vítima, com trechos de e-mails enviados ou recebidos
por outras pessoas ou colocar no corpo da mensagem fragmentos de textos que
podem ser confidenciais.
Neste caso o criminoso responsável pelo envio do e-mail poderia ser punido
com base neste artigo, pois estaria divulgando informações confidenciais, sigilosas
ou simplesmente particulares.
Lei nº 2848 no artigo 155 “Subtrair, para si ou para outrem, coisa alheia
móvel" (L2848/40).
Lei nº 2848 (1940) no artigo 171 “Obter, para si ou para outrem, vantagem
ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício,
ardil, ou qualquer outro meio fraudulento" (L2848/40).
A obtenção de vantagens sendo através de roubo de senha, cartão de
crédito, acarretando desvio de dinheiro pode ser enquadrado nesse artigo, pois
esses crimes visam o benefício financeiro do criminoso.
No estelionato o fraudador engana a vítima com o objetivo de conseguir
vantagem patrimonial indevida acarretando em prejuízo, por isso muitos phishings
são enviados trazendo um texto na tentativa de iludir a vítima para, que a mesma
acesse o link recebido no scam. Com isso, se for um site de banco, essa pessoa
digitará sua senha em um ambiente fraudulento, levando essa informação ao
conhecimento do fraudador.
Devido a ele ter se utilizado de mentiras para induzir a vítima a fornecer seus
dados, seja num link de banco ou outro qualquer, que se trate de uma fraude, pode
ser classificado neste artigo, pois se caracteriza um estelionato.
55
Ataque de negação de serviço consiste no objetivo do atacante de parar algum serviço disponibilizado no
servidor, por exemplo, serviço de web de algum site. Após o ataque obter sucesso, as pessoas não conseguirão
acessar o site disponível em tal servidor, pois o serviço de web estará desativado ou fora do ar.
53
De acordo com Lentulus, uma das alegações do réu pode ser o argumento de
que sua máquina estava comprometida por vírus e conseqüentemente não apenas
ele poderia ter cometido o crime, mas algum invasor que aproveitou de
vulnerabilidades para tomar o controle do computador e realizar o delito: “No
julgamento de casos recentes os réus levantaram novas linhas de defesa, baseadas
em questões técnicas de difícil solução. Em um dos casos mais famosos, julgado por
uma corte da Inglaterra no ano passado, o réu foi absolvido da acusação de ter
atacado o servidor de uma empresa. Ele alegou que seu computador foi tomado por
um vírus do tipo trojan e, dessa forma, utilizado remotamente por um terceiro para o
cometimento do crime“ (2005, p.05).
Neste capítulo foram citadas apenas algumas leis, nas quais o criminoso
virtual pode ser enquadrado, mas há várias outras leis que podem ser utilizadas para
a finalidade de punição de crime virtual.
Não foram citadas leis específicas de delitos como: calúnia, difamação,
injúria, pornografia, ameaça, pirataria, direitos autorais, pedofilia entre outros, pois
fogem do contexto do trabalho que objetiva a fraude através invasão de
computadores e sistemas, feitos por fraudadores com intenção de desvio de dinheiro
e outros danos de cunho financeiro.
O aumento de tentativas de fraudes é uma realidade segundo o jornal
Estadão: “No terceiro trimestre de 2006, administradores de rede indicaram um
aumento de 20% em ataques de vírus e tentativas de invasões, em relação ao
trimestre anterior”. (2006, p.01).
Decorrente disso deveria ter uma maior agilidade para transformar em lei os
projetos existentes, pois a polícia federal tem a possibilidade de enquadrar alguns
desses crimes nas leis existentes, mas outros não, pois são novos e as leis
existentes estão desatualizas e são estáticas, havendo lacunas que devem fechadas
com a criação de novas leis ou adaptação das existentes.
Devido a essa desatualização das leis, há divergências entre advogados e
outros profissionais da área, referentes aos delitos cometidos na área de informática
55
Assim como quase todos os outros Projetos de Lei, esse também tem como
objetivo o armazenamento das informações pessoais do usuário e as conexões
estabelecidas, durante dois anos.
7. MEDIDAS DE PREVENÇÃO
56
É um conjunto de tecnologias (software) criado pela Microsoft para facilitar a integração entre diversas
aplicações.
57
É uma solução extremamente necessária para qualquer computador que se conecta a Internet. Tem como
funcionalidade principal a proteção da rede ou da máquina (no caso de um firewall pessoal) contra ataques mal
intencionados de pessoas através da Internet.
67
Como o usuário é ainda o elo mais fraco e geralmente o atacado numa fraude
eletrônica de Internet Banking, há soluções adicionais adotadas pelas instituições
financeiras como exemplo: adoção de dispositivos como OTP (One Time Password)
no qual o usuário recebe esse dispositivo que lhe informa uma nova senha a cada
acesso ao Internet Banking,
Outra opção adotada é a certificação digital, “composto por uma chave
privada58, que pode ser armazenada no sistema operacional ou dispositivo que
permite apenas a inserção do dado cifrado resultando sua decriptação, não
permitindo extração ou leitura da chave privada”, de acordo com Lau e Sanchez
(2006, p.05).
O incentivo pelos bancos para o uso de certificado digital pode gerar problemas
no futuro para o cliente, pois o armazenamento da chave privada, contida no
certificado, é de responsabilidade do cliente. Caso essa chave seja roubada e
utilizada para uma transação indevida, a instituição financeira pode tentar se isentar
da responsabilidade e ter um argumento para não ser obrigado por lei a efetuar a
restituição.
Na realidade para conseguir essa isenção, a instituição financeira pode tentar
responsabilizar o cliente se conseguir provar que ele fez mal uso do certificado, não
seguindo os procedimentos de segurança e que houve negligência, imprudência,
mas normalmente isso não ocorre pois elas preferem evitar o abalo à sua imagem,
podendo ter perdas significativas se houver uma propaganda negativa em relação a
esse assunto.
No entanto, mesmo que houvesse interesse em não efetuar o pagamento, esse
assunto ainda é algo que poderá gerar discussão no futuro, pois mesmo que o
cliente não tenha seguido as orientações do banco para armazenamento seguro de
seu certificado, ele pode alegar que não desconhecia os cuidados necessários e não
entende de informática para saber se sua máquina está atualizada e com softwares
de segurança necessários e por isso pode ter sido vítima de um espião.
O objetivo das instituições financeiras não é de se isentar das
responsabilidades e sim de tentar garantir a segurança nas transações bancárias, no
58
Chave privada é uma das chaves utilizadas no processo de criptografia assimétrica. Neste processo são
utilizados pares de chaves público e privado. A chave pública é divulgada aos membros que realizam
comunicação e são utilizados para a encriptação de dados. A chave privada é gerada e armazenada ao junto
com ao dispositivo do usuário que responsável pela guarda do certificado. É necessário lembrar que apenas a
chave privada consegue decriptar uma mensagem encriptada pela chave pública.
68
entanto a adoção do uso do certificado digital pode ser perigosa para os usuários
que não entendem o seu funcionamento. Mesmo que o uso do certificado digital
dificulte bastante as fraudes ele não as isenta porque ele pode ser roubado,
principalmente se for do tipo A1, que se trata do mais inseguro.
Existem vários tipos de certificados, os quais se diferem pela maneira como
foram gerados, onde são armazenados e pelo valor pago para emissão. O
certificado com menor valor é o chamado A1, que fica armazenado no próprio
computador, podendo ser roubado caso o computador esteja infectado com algum
código malicioso, provavelmente um cavalo de tróia, que permita um acesso maior
de controle ao computador.
Segundo publicado no site Tiinside por Claudio Ferreira, Júlio Cosentino, diretor
da Certisign relatou uma ocorrência de fraude em um computador que armazenava
um certificado do tipo A1: “Entre os bancos que utilizam certificação digital desde
2000 só existe o registro de um caso. Ele utilizava a certificação A1 que ficava no
browser. O fraudador fez um cavalo de tróia e conseguiu. Mas foi um caso único e
isolado” (FERREIRA, 2006, p.02). Apesar de tratar-se de apenas um caso isolado,
isso serve como comprovação de que a segurança aumenta, mas não elimina a
possibilidade de fraude.
O tipo A2 e A3 têm chave assimétrica de 1024 bits, enquanto o A4 possui uma
chave de 2048 bits e são gerados e armazenados em hardware, precisando de um
leitor específico para sua utilização, e são mais seguros, pois precisam estar
conectados ao computador no momento da transação bancária, no entanto o preço
é bem superior ao A1 para emissão. Em decorrência disso é questionável se o
cliente está ciente de que em caso de uma fraude com sua conta bancária a prova
de que ele foi roubado talvez precise ser apresentada por ele.
De acordo com Siqueira: “Há uma boa e uma má notícia para os correntistas
que utilizam, ou ainda vão usar, meios eletrônicos para se comunicar com os
bancos. A primeira é que, segundo especialistas e as próprias instituições
financeiras, as novas ferramentas de segurança são capazes, pela primeira vez, de
reduzir sensivelmente os casos de fraude on-line, que até agora cresceram sem
parar. Diante dessa mudança de realidade, por outro lado, os bancos se sentem
cada vez menos obrigados a ressarcir os prejuízos de transações indevidas quando
há sinais claros de negligência, imprudência ou imperícia do cliente no manuseio das
69
os clientes que fazem uso da Internet para transações financeiras. Seria interessante
entregar um cd-rom com programas de segurança freeware como antivírus,
antispyware, firewall e instruções de instalação, atualização e configuração.
72
8. CONSIDERAÇÕES FINAIS
8.1 CONCLUSÃO
falsa autoria. Isso realmente pode acontecer. Neste caso a máquina de onde partiu a
realização da fraude deverá conter algum código malicioso que permitiu o controle
sobre ela, e através desse código ela poderia ter sido utilizada por um terceiro para o
cometimento da fraude.
Devido a essa contestação, e a existência de ferramentas para eliminação de
provas, pode-se prever o risco de aparecimento de uma nova modalidade de
criminoso virtual, composta por peritos experientes, de caráter duvidoso, utilizando o
seu conhecimento para ajudar os criminosos a forjarem provas e incriminarem outras
pessoas. Um perito experiente pode realizar um ataque a uma máquina, realizar
uma fraude a partir dela, e depois apagar os vestígios para que a alegação citada
anteriormente não seja aceita. Se não há vestígios do ataque pode não ser possível
provar que ele realmente existiu.
A identificação da autoria é possível de ser realizada, mas ainda não é uma
tarefa simples, pois disso depende o armazenamento, por um período determinado,
de arquivos de registros pelos provedores, colaboração dos mesmos, uma
cooperação mútua entre todos os países, aprovação de projetos de leis exigindo
armazenamento por determinado período de tempo pelos provedores e cadastro de
usuários de cyber-cafés e lan-houses.
Quanto à condenação do fraudador, é possível afirmar que o mesmo pode ser
enquadrado em vários artigos existentes no código penal, mas outros tipos de
crimes possuem conceitos novos, não sendo possível a sua classificação ou
analogia diante das leis atuais. Por isso para acabar com a sensação de impunidade
e fechar essas lacunas da lei é necessário a aprovação o quanto antes de alguns
projetos de leis que visam classificar com maior precisão os crimes digitais.
Mesmo com todas essas medidas tomadas pelas instituições financeiras, a
prevenção ainda é a melhor solução, por isso no âmbito de Internet Banking, os
bancos estão investindo em segurança com medidas como: adoção de dispositivos
como OTP (One Time Password), uso de cartão plástico contendo uma matriz de
números, limitação de transações em função a volumes financeiros, solicitação de
senhas adicionais no processo de validação de transações, instalação de software
anti-trojan nos clientes, teclado virtual, criptografia, cadastro de um número pequeno
e limitado de computadores com permissão para acessar o Internet Banking.
A Febraban também estimula o aumento de conhecimento dos usuários, mas,
infelizmente ainda não foi atingido o objetivo de diminuição da ocorrência das
74
fraudes, pois se percebe que muitas pessoas ainda não entendem o básico sobre
segurança da informação de seu computador e por isso não sabem como se
proteger, faltando conhecimentos essenciais para se atingir o objetivo de
conscientização.
Os bancos geralmente ressarcem seus clientes prejudicados, pois se trata de
uma obrigação, prevista no código de defesa do consumidor, conforme afirma Maira
Feltrin, “Dessa forma, pode o consumidor solicitar, com base nos arts. 6º, VI, 14 e
20, do Código de Defesa do Consumidor a reparação de todos os prejuízos que
eventualmente sofrer” 59, em IDEC (2005, p.02).
Além disso, as instituições bancárias têm interesse em não revelar o total de
fraudes ocorridas, para não prejudicar a sua imagem referente à segurança no uso
da Internet para transações financeiras, pois pode induzir outros clientes a deixarem
de utilizar o Internet Banking por medo de fraude. Essa atitude em ocultar as
ocorrências de fraudes deixa os clientes com a falsa impressão de que estão
seguros e que os roubos de dinheiro através da Internet são casos raros, diferentes
dos roubos no mundo real, que são divulgados, com detalhes de como ocorreu,
deixando assim, as pessoas melhor informadas de como proceder para não serem
as próximas vítimas.
Talvez, se as fraudes fossem divulgadas, como são feitas com as fraudes no
mundo real, outras pessoas poderiam aprender com essas informações e
adquiririam mais procedimentos de defesa, como é feito hoje no ambiente físico. Por
exemplo, a precaução que as pessoas têm de irem a um caixa eletrônico à noite fora
de shoppings ou estabelecimentos comerciais, foi conseguida através divulgação de
exemplos de roubos nessa determinada situação.
Na tentativa de garantir uma maior segurança em uma conexão virtual
sigilosa o ideal é que as pessoas tenham em casa dois computadores. Um
computador para realização das transações financeiras, compras on-line com cartão
de crédito, trabalho em casa através do uso de VPN60 da empresa, ou qualquer
outra atividade que seja confidencial e outro computador para entrar em bate papo,
59
FELTRIN apud IDEC (2005).
60
VPN é a sigla utilizada para Virtual Private Network que consiste num recurso disponibilizado por softwares
que permitem que uma pessoa que esteja fisicamente fora da empresa possa acessar todos os recursos que são
disponibilizados para os funcionários que estão dentro da empresa, como se ele estivesse fisicamente dentro da
empresa, conectado na rede local.
75
REFERÊNCIAS
[8] COSTA, Marcelo A. Sampaio Lemos. Mundo virtual sem lei, 04/02/2004.
Instituto de Criminalística Afrânio Peixoto (ICAP). Departamento de Polícia Técnica
da Bahia. Disponível em:
<http://www.dpt.ba.gov.br/dpt/web/ICAPInterna.jsp?CId=1282&ModId=70> Acessado
em 11/06/2006
[9] HSBC – Uma curta história dos vírus. HSBC Bank Brasil AS. Disponível em:
<http://www.hsbc.com.br/common/seguranca/artigo-seguranca-historia-virus.shtml>
Acessado em 10/06/2006
[10] Dos REIS, Marcelo Abdalla; de GEUS, Paulo Lício. Análise forense de
intrusões em sistemas computacionais: técnicas, procedimentos e
ferramentas, 2002. Instituto de Computação – Universidade Estadual de Campinas.
Disponível em: <http://www.las.ic.unicamp.br/paulo/papers/2002-Pericia-
marcelo.reis-forense.tecnicas.procedimentos.pdf> Acessado em: 10/06/2006
[11] LAU, Marcelo. Fraude via e-mail por meio de cavalos de tróia e clonagem de
sites financeiros, NIC BR Security Office, NBSO, 12/11/2004. Disponível em:
<http://www.nbso.nic.br/docs/ssi2004/ssi2004-wtis-nbso-mlau.pdf> Acessado em
05/05/2006
[12] RFC 3227 – Guidelines for evidence collection and archiving, 02/2002.
Internet FAQ Archives . Disponível em: < http://www.faqs.org/rfcs/rfc3227.html>
Acessado em 11/06/2006
[13] LAU, Marcelo ; SANCHEZ, Pedro Luis Próspero. Técnicas utilizadas para
efetivação e contenção das fraudes sobre Internet Banking no Brasil e no
mundo. In: III Seminário Nacional de PerÍcia Crimes de Informática, 2006, São
79
[14] PELLEGRINI, Jerônimo; BERTACCHI, João Eduardo Ferreira; VITA, João Paulo
Rechi. Forense computacional, 22/06/2005. Instituto de Computação –
Universidade Estadual de Campinas. Disponível em:
<http://www.ic.unicamp.br/~jeronimo/abstracts/forense.pdf> Acessado em
10/06/2006
[15] REINALDO FILHO, Demócrito – Juiz de Direito no Recife. Lei sobre crimes
tecnológicos (PL 84/99) notas ao parecer do senador Marcelo Crivella,
15/05/2004. IMP – Instituto dos Magistrados de Pernambuco. Disponível em:
<http://www.imp.org.br/webnews/noticia.php?id_noticia=334&> Acessado em
08/08/2006
[31] GUIMARÃES, Cardoso Célio; OLIVEIRA, Flávio de Souza; dos REIS, Marcelo
Abdalla; de GEUS, Paulo Lício. Forense computacional: aspectos legais e
padronização – Instituto de Computação – Universidade de Campinas. Disponível
em: <http://www.las.ic.unicamp.br/paulo/papers/2001-WSeg-flavio.oliveira-
marcelo.reis-forense.pdf> Acessado em 01/05/2006
[40] LOBATO, Elvira. Projeto quer controlar acesso à Internet. Folha de São
Paulo Rio de Janeiro, 11/2006. Disponível em:
83
<http://www1.folha.uol.com.br/folha/informatica/ult124u20908.shtml> Acessado em
15/11/2006
<http://www.camara.gov.br/sileg/prop_detalhe.asp?id=34462> Acessado em
08/08/2006
[62] MARES, Dan. Alternate data streams. Mares and Company – Computer
Forensics and Data Analysis, 2005. Disponível em:
<http://www.dmares.com/maresware/html/ads.htm> Acessado em 10/09/2006
[64] MITNIK, Kevin D. ; SIMON, William L. The art of deception – controlling the
human Element of security, 2002. Disponível em:
<http://files.hugepedlar.com/Kevin_Mitnick_-_Art_Of_Deception.pdf> Acessado em
10/09/2006
[65] PASSOS, Jeane dos Reis; VIEIRA, Simone Maia Prado; ROKICKI, Cristiane
Camizão (organizadoras); CORRÊA, Rosa Maria Rodrigues (colaboração). Guia de
normalização de monografias, dissertações e teses para alunos das
faculdades Senac – São Paulo, 2005. 78p. (versão revisada)
[67] FOINA, Ariel G.; REIS, Igor de V. Cavalcante. O Documento eletrônico como
prova de crimes: as questões do cibercrime e da rede para o direito penal e
seu processo. Instituto Nacional de Tecnologia da Informação, 2003. Disponível
em: <http://www.iti.br/twiki/pub/Forum/ArtigoJ202/j06-ArielFoinaIgorReis.rtf>
Acessado em 28/09/2006
[70] Melo, Kleber, responsável pela segurança da informação do Banco HSBC – por
Françoise Terzian ao Jornal Valor. Conscientização do correntista é a única saída
para diminuir fraudes. Jornal Valor – Especial Segurança on-line, out/2006.
Acessado em 02/10/2006.
[74] LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente Internet
Banking. Universidade de São Paulo – Escola Politécnica, 2006a. Disponível em:
<http://www.datasecur.com.br/Dissertacao.pdf> Acessado em 12/10/2006