Como os arquivos estão disponibilizados ao público,  resolvi compartilhar este conhecimento em meu blog, disponibilizando-os para download aqui, em 3 etapas.

Nesta 1ª etapa, seguem 2 monografias:

1. “Análise forense de intrusões em sistemas computacionais: técnicas, procedimentos e ferramentas” (Marcelo Abdalla dos Reis e Paulo Lício de Geus) - Monografia_AnaliseForense

2. “Ciência Forense: das origens à Ciência Forense Computacional” (Carlos Henrique Calazans e Sandra Maria Calazans) –  Monografia_CienciaForense

Para fazer o download, basta clicar nos links respectivos.

Na próxima semana, disponibilizaremos:

- “Forensic Examination of Digital Evidence: A guide for Law Enforcement” => documento elaborado pelo Departamento de Justiça dos Estados Unidos;

- “Perícia Forense aplicada à Informática” => Monografia de conclusão de Pós-Graduação, de Andrey Rodrigues de Freitas.

Clique no link a seguir para fazer o download do conteúdo na íntegra: LivroEstudosDirAutor_GedaiUFSC_

Clique no link a seguir para fazer o download do conteúdo: EstudoCamara_LegislacaoInternet

Clique no link a seguir para fazer o download do artigo em .pdf: SO_Importancia_profissional_SI_GiseleTruzzi

SECURITY OFFICER

A importância do profissional de Segurança da Informação nas instituições

O Security Officer é o profissional responsável pela Segurança da Informação de uma instituição. E o que é Segurança da Informação (SI)? Qual a importância de designar uma pessoa especialmente para esta área?

Primeiramente, deve-se visualizar o seguinte cenário: atualmente vive-se em uma sociedade totalmente dependente de tecnologia, onde a inclusão digital cresce exponencialmente. Logo, as informações, antes armazenadas em papéis e arquivos gigantescos, concentram-se cada vez mais em dados, resumindo-se a bits armazenados em microchips. O principal ativo das instituições é a informação. 

 As informações, agora digitais, são criadas, processadas, armazenadas e transportadas em dispositivos eletrônicos. É possível conectarmos um pendrive a uma um computador e copiar todo o banco de dados de uma empresa em poucos minutos. Ou pode-se também levar diversos documentos sigilosos, notas fiscais e outras informações impressas.

 Mas será que quem fez essa cópia tinha autorização para tanto? Quais informações foram apropriadas indevidamente ou deletadas? Qual será o destino desses arquivos?

Neste cenário, cabe à organização definir quais são as regras e condutas esperadas de seus colaboradores por meio de políticas e normas, e implementar controles de segurança em seus ativos de informação[1].

Para implementar segurança nos procedimentos de uma instituição, garantindo-lhe que seus ativos estarão protegidos, e consequentemente, estará resguardada a reputação e imagem da empresa, a presença de um Security Officer é extremamente útil. Ele irá gerir todas as atividades de uma instituição relacionadas à Segurança da Informação.

E por Segurança da Informação, conforme a ABNT NBR ISO/IEC 27002:2005, entendemos que é a proteção da informação de vários tipos de ameaças, a fim de garantir a continuidade do negócio, minimizar os riscos, maximizar o retorno sobre os investimentos e as oportunidades para a instituição. Segurança da Informação consiste na proteção dos ativos que contêm informações, isto é, ativos que geram, processam, manipulam, transmitem e armazenam informações.

A Segurança da Informação garante que os ativos da instituição sejam protegidos sob três requisitos:

• Confidencialidade: é o sigilo da informação. Garantia de que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.
• Integridade: garantia de que as informações irão permanecer em seu estado original, protegida de alterações.
• Disponibilidade: garantia de que as informações estarão acessíveis àqueles que dela necessitam, no momento em que precisam.

A criação de uma área específica de Segurança da Informação facilita a implantação de mecanismos de proteção contra as vulnerabilidades físicas, lógicas e comportamentais, que tanto afetam as instituições.

Eliminando-se (ou administrando-se) tais ameaças, diminui-se eventual impacto negativo nos negócios, na imagem e na reputação da empresa, bem como se resguarda os clientes desta contra riscos iminentes ou futuros.

 De tal modo, o Security Officer agrega um diferencial competitivo à instituição, através de gestão de riscos e implantação de controles, viabilização de novos negócios e governança de Segurança da Informação.

O Security Officer terá sua atuação vinculada à área de SI da instituição, ou mesmo a um Comitê de SI, sendo independente do Departamento de TI e reportando-se à Diretoria da empresa. Deverá atuar sempre tendo em mente os “4 P’s da Segurança”: Pessoas, Políticas, Processos e Produtos; atentando aos objetivos e características específicas do negócio, aos aspectos legais e normativos (compliance), bem como à infra-estrutura física da organização.

 Apesar de ser comum que responsáveis da área de TI atuem no departamento de Segurança da Informação concomitantente, isto não é recomendável. Profissionais responsáveis por TI e SI, atuando em ambas as áreas, criam situações de conflitos de interesses, afinal, o profissional de SI é responsável por verificar também a área de TI. E neste caso, como um mesmo indivíduo poderá fiscalizar-se a si próprio?!

O Security Officer deverá agir com imparcialidade e autonomia, por isso o ideal é que esteja atrelado exclusivamente à área de SI, e que esta não seja subordinada à TI.

O profissional de Segurança da Informação terá também uma grande responsabilidade: conscientizar os usuários, visto que de nada adianta implantar políticas, normas e procedimentos, adquirir ferramentas tecnológicas, se os indivíduos não têm consciência sobre o uso das tecnologias.  Afinal, “segurança é um processo, não um produto.” (Bruce Schneier)

 Gisele Truzzi

Advogada especialista em Direito Digital e Direito Eletrônico

www.truzzi.com.br

gisele@truzzi.com.br

---

[1] Segundo Marcos Sêmola: “a informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para continuidade operacional e saúde da empresa”.

Entendo que este PL é totalmente desnecessário, visto que os blogs encontram-se no rol de provedores de “serviços de internet”: 1) provedores de hospedagem, 2) provedores de conteúdo, 3) provedores de email, 4) provedores de acesso à Internet. Podemos classificar os blogs no rol dos “provedores de conteúdo”.
Logo, toda esta discussão a respeito da responsabilidade civil dos proprietários de blogs (e aí se encaixam todos os provedores de conteúdo) já está sendo debatida pelo Anteprojeto de Lei do Marco Civil Regulatório da Internet.

Não há necessidade de criar-se um PL somente sobre a questão da responsabilidade dos proprietários e autores dos blogs. Basta determinarmos em nossa legislação que a responsabilidade do proprietário/autor de um blog é solidária, na medida que permitem que pratiquem ilícitos através de seu site ou caso não possibilite a identificação completa do agente.
Isso já vem sendo decidido pelos nossos tribunais, vejam essa matéria (e decisão judicial) a respeito: http://noticias.r7.com/tecnologia-e-ciencia/noticias/caso-de-blogueiro-condenado-mostra-os-riscos-de-escrever-um-blog-20091130.html

Este tipo de situação também foi tratado na “Lei das Lan-Houses”, em vigor no Estado de São Paulo (outros Estados também possuem uma legislação estadual sobre o assunto): http://www.legislacao.sp.gov.br/dg280202.nsf/ae9f9e0701e533aa032572e6006cf5fd/a09582edf8731132032570f400589b24?OpenDocument
A Lei das Lan-Houses determina que os proprietários de estabelecimentos que disponibilizem conexão à Internet são obrigados a coletarem e armazenarem dados cadastrais de seus usuários, e fornecê-los em caso de investigação, sob pena de serem responsabilizados solidariamente pelo dano causado.

Para ler o PL sobre a responsabilidade civil dos blogueiros, acesse este link: http://www.camara.gov.br/sileg/integras/755059.pdf

A comercialização deve começar no primeiro trimestre de 2009

A tecnologia de acesso à internet banda larga usando redes de transmissão de energia elétrica já leva alguns anos em projetos e testes e, aos poucos, vem se tornando realidade no mercado de consumo brasileiro. Em novembro, a AES Eletropaulo Telecom demonstrou que já está preparada para a oferta comercial.

Embora ainda dependa de regulamentação da Agência Nacional de Telecomunicações (Anatel), a fornecedora de infra-estrutura de telecomunicações espera começar a prestação do serviço no primeiro trimestre de 2009, focando o modelo de negócios nas operadoras e provedoras de acesso a internet.

A empresa investiu R$ 20 milhões na tecnologia, que integra a rede de fibra óptica à rede elétrica de baixa tensão, para distribuição da internet em edifícios – residenciais ou comerciais. A conexão com o computador concretiza-se por um modem ligado diretamente na tomada.

Fonte: Olhar Digital

A proposta, que vai à sanção do presidente Luiz Inácio Lula da Silva, possibilita que, em situações excepcionais, o preso seja interrogado por videoconferência em casos de risco à segurança pública, às testemunhas e por doença do réu.

“Isso vai permitir uma economia enorme de recursos. Imagina quanto um Estado como o de São Paulo não vai economizar”, disse o relator da proposta, deputado João Campos (PSDB-GO). “Imagina os gastos com o deslocamento do Fernandinho Beira-Mar do presídio de Catanduvas, no Paraná, para o Rio de Janeiro”, observou o deputado Antonio Carlos Biscaia (PT-RJ), ao defender o projeto.

No final de outubro, o Supremo Tribunal Federal (STF) julgou inconstitucional lei estadual que permitia o uso da videoconferência em interrogatórios no Estado de São Paulo. De acordo com o Supremo, esse procedimento deveria ser tratado por uma lei federal.

A lei aprovada hoje na Câmara é de autoria do senador Aloizio Mercadante (PT-SP) – o projeto do petista foi votado no início de novembro pelo Senado. A proposta prevê que, quando não for possível o interrogatório no presídio ou por videoconferência, será requisitada a apresentação do réu em juízo.

Pela proposta, as partes serão intimadas com dez dias de antecedência para a realização de videoconferência. Antes do interrogatório, o preso poderá acompanhar, pelo mesmo sistema tecnológico, a realização de todos os atos da audiência única de instrução e julgamento. A sala de videoconferência será fiscalizada pelo juiz da causa, pelo Ministério Público e pela Ordem dos Advogados do Brasil (OAB). O projeto prevê ainda que o réu terá acesso reservado ao telefone para comunicar-se com o seu defensor no presídio e o advogado na sala de audiência do fórum. O projeto também permite que as testemunhas que estejam fora da comarca sejam ouvidas por videoconferência.

Na quinta-feira passada, o projeto da videoconferência foi posto na pauta de votações da Câmara. Mas o deputado Antonio Carlos Biscaia (PT-RJ) impediu a votação sob a alegação de que não conhecia o teor da proposta. O secretário de Segurança Pública de São Paulo, Luiz Antonio Marrey, telefonou para o petista fazendo um apelo pela aprovação do projeto. “Eu expliquei que não tinha nada contra o projeto. Apenas queria saber do que se tratava. Não dá para ficar votando os projetos aqui no plenário, sem quase ninguém”, argumentou Biscaia.

No Senado, o projeto foi relatado pelo senador Tasso Jereissati (PSDB-CE) que, em seu relatório, observou que o uso da videoconferência “tem despertado polêmicas no meio jurídico”. O presidente da OAB-SP, Luiz Flávio Borges D”Urso, por exemplo, é contra a medida. D”Urso alega que a videoconferência pode “intimidar” o preso, impedindo-o de se expressar com liberdade.

Fonte: Agência Estado

» Guerra está sendo perdida dentro de milhões de PCs
» Especialistas travam guerra contra redes de PCs zumbis
» Mais de 90% dos PCs foram invadidos no 1º semestre

Os golpes em si não são novidade. Eles são enviados em spams como “trabalhe em casa,” que prometem renda complementar excelente ajudando companhias a pagar clientes em outros países. O golpe pede que as vítimas abram novas contas bancárias com seus nomes, concordem em aceitar pagamentos anônimos e em encaminhar esses valores por transferência bancária, normalmente, para localidades da Europa oriental.

O esquema é a clássica lavagem de dinheiro com um toque de Internet. O dinheiro geralmente é real e uma parcela é prometida ao intermediário. O que esses intermediários podem não saber é que estão traficando ganhos ilícitos e ajudando criminosos a efetuarem pagamentos entre si sem revelar a fonte. E os laranjas têm normalmente o maior risco de prisão.

Usuários de computador experientes geralmente identificam o golpe. Mas pesquisadores em segurança dizem que as pessoas estão dispostas a assumir o risco enquanto o desemprego cresce e o volume de e-mails com o esquema aumenta.

“Quando as pessoas estão com medo de uma demissão ou preocupadas com as contas, elas podem encarar algo desse tipo de forma diferente do que fariam se as coisas estivessem lindas e maravilhosas,” disse David Marcus, diretor de pesquisa e comunicação em segurança da McAfee Inc.

Os anúncios para esses trabalhos se tornam cada vez mais convincentes, mas parte de sua sedução é a falta de detalhes que convence alguém com muita vontade de acreditar em dinheiro fácil de que a mensagem é legítima. Os cargos oferecidos geralmente incluem variações de “representantes de vendas internacionais” ou “gerentes de remessas.”

O relatório anual de crimes virtuais da McAfee, publicado na terça-feira pela empresa de segurança na Internet, afirma que 873 páginas de recrutamento foram encontradas na Grã-Bretanha na primeira metade de 2008, um aumento de 33% em relação ao mesmo período de 2007. Os dados foram compilados pela APACS, associação de serviços de pagamentos do Reino Unido.

Mais evidências surgiram de um estudo recente do Panda Security, fornecedor espanhol de softwares que registrou recorde nas mensagens relacionadas a empregos. Elas corresponderam a 0,31% de todo o spam de outubro, quase o triplo da proporção de agosto. A taxa de sucesso no recrutamento de laranjas aumentou 1,8% em outubro, de 0,5% em agosto.

A companhia rastreou esses números em parceria com outra grande firma de segurança, não identificada no relatório, que monitora as redes de laranjas em funcionamento. O Panda Security observou sete grandes operações na América do Norte. Os ataques a computador em geral cresceram drasticamente nos últimos meses.

A IBM afirma que o número de ataques diários registrados contra servidores e redes de computadores aumentou 30% nos últimos quatro meses, para mais de 2,5 bilhões de tentativas ao redor do mundo. “São números muito assustadores,” disse Gunter Ollmann, pesquisador-chefe em segurança da equipe da IBM, a X-Force.

Fonte: Terra Tecnologia

SÃO PAULO – As ações legais ligadas a problemas na internet no Brasil cresceram de 400, em 2002, para mais de 17 mil atualmente, informou o Superior Tribunal de Justiça.

A lista de processos inclui crimes contra a honra – injúria, calúnia e difamação -, furtos, extorsão, ameaças, violação de direitos autorais, pedofilia, estelionato, fraudes com cartão de crédito e desvio de dinheiro de contas bancárias.

Apesar dos esforços para tipificar e punir os crimes cibernéticos – como o substitutivo do senador Eduardo Azeredo –, para uma parcela dos juristas, a internet não é terra sem lei. Eles defendem que mais de 95% dos crimes podem ser enquadrados na legislação atual, segundo o STJ.

“Os outros 5% para os quais faltaria enquadramento jurídico abrangem transgressões que só existem no mundo virtual, como a distribuição de vírus eletrônico, cavalos-de-tróia e worm”, diz o órgão de justiça em um texto publicado em seu site.

Espalhar boatos eletrônicos sobre pessoas pode se enquadrar no crime de difamação (artigo 139), por exemplo, e utilizar dados da conta bancária de outra pessoa para desvio ou saque de dinheiro pode se enquadrar em furto (artigo 155). O STJ destaca ainda que há artigos para punir injúria, crime contra honra e pedofilia, entre outros.

Crime e castigo

A Justiça gaúcha, por exemplo, que condenou um homem a pagar à ex-namorada indenização por danos morais no valor de R$ 30 mil por ter divulgado mensagens na web chamando-a de garota de programa.

Em Minas Gerais, um tribunal decidiu em favor de um empresário que teve seu negócio de criação de avestruzes difamado no Orkut.

Já o hacker Otávio Oliveira Bandetini foi condenado a 10 anos e 11 meses de prisão por desviar R$ 2 milhões de contas bancárias de terceiros.

Fonte: http://info.abril.com.br/aberto/infonews/112008/25112008-19.shl

Preços e potencial – Embora os números de cartão de crédito roubados sejam vendidos por valores baixos, entre US$0,10 e US$25 por cartão, a média de limite dos cartões de crédito roubados anunciados era de mais de US$ 4.000. A Symantec verificou também que o valor potencial de todos os cartões de créditos anunciados, durante o período de relatório, era de US$ 5,3 bilhões.

A popularidade de informações de cartão de crédito se deve porque são fáceis de usar para compras online, e geralmente é difícil para os vendedores e operadoras de cartão identificar e lidar com transações fraudulentas antes que os fraudadores completem essas transações e recebam seus bens. Além disso, informações de cartão de crédito são freqüentemente vendidas em pacotes (atacado), com descontos ou números gratuitos sendo oferecidos de acordo com o tamanho da compra.

Já contas financeira são vendidas por valores entre US$ 10 e US$ 1.000, o saldo médio das contas correntes anunciadas é de aproximadamente US$ 40.000. Calculando a média do saldo de uma conta bancária anunciada juntamente com o preço médio dos números de contas roubadas, o valor potencial de contas correntes anunciadas durante o período de relatório seria de US$ 1,7 bilhão. A popularidade de informações de contas bancárias deve-se provavelmente ao seu potencial de alto retorno, e à velocidade com que essas retiradas podem ser feitas.  Em um dos casos observados, o dinheiro foi transferido online em menos de 15 minutos para locais impossíveis de se rastrear.

Metodologia da pesquisa – Durante o período de relatório, a Symantec observou 69.130 diferentes anunciantes ativos, e um total de 44.321.095 mensagens anunciadas em fóruns piratas da economia paralela. O valor potencial do total de bens anunciados para os 10 maiores anunciantes foi de US$ 16,3 milhões em cartões de crédito e US$2 milhões em contas bancárias.  Além disso, o valor potencial dos bens anunciados pelo maior anunciante identificado pela Symantec durante o período de estudo foi de US$6,4 milhões. 

Fonte: Risk Report

Publicado em 24/11/08