Palestra - Direito Digital

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

NoNoçções bões báásicas de direito digital, sicas de direito digital, investigainvestigaçção e ão e ééticatica

Março de 2010

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2008.Todos os direitos reservados.

Termo de Isenção de Responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI Safe

• Missão

– Fornecer produtos e serviços de qualidade para a Segurança da Informação

• Visão

– Ser referência de excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


Agenda

• Objetivos• Leis• Crimes Digitais• Processo Investigativo• Perícia Forense• Ética Computacional• Conclusão


Objetivos

• Noções básicas de direito digital: identificar o que são os crimes digitais, bem como as leis e regras aplicáveis.

• Perícia Forense: aprender sobre as técnicas de investigaçãousadas para determinar se um crime foi cometido, métodos paracoleta de evidências e principais ferramentas de mercado.

• Ética Computacional: verificar a conduta que deve ter um profissional de segurança na prática de suas atribuições.


Leis de crimes digitais

Obrigações e direitos proprietários

• Formas legais de proteção– Segredos comerciais

– Direito de Cópia (Copyright)• Constituição Brasileira de 1988 e Leis 9.609/96 e

9.610/98

– Registro de Marcas e Patentes• Lei 9.279/96

• Necessidades de negócio– Proteção de software desenvolvido

– Acordos contratuais

– Assine termos de confidencialidade com funcionários


Leis de crimes digitais (cont.)

• Técnicas para proteger segredos comerciais– Numeração de cópias

– Registro de autoria de documentos

– Verifique arquivos e estações

– Armazenamento seguro

– Distribuição controlada

– Limitações em cópias

• Acordos para proteger direitos de propriedade– Acordos de licenciamento com vendedores

– Responsabilidade por compatibilidade


Proteções aplicáveis para objetos computacionais

• Hardware - Patentes• Firmware

– Patentes para dispositivos físicos

– Proteção de segredo comercial para códigos• Código objeto de Software - Copyright• Código fonte de Software – Segredo comercial• Documentações - Copyright


Empresas podem ser responsabilizadas

Empresas podem ser consideradas negligentes se não...

• Praticam o devido cuidado com dados internos• Seguem as regras de prudência pessoal

– Executam tarefas que uma pessoa responsável executaria em circunstâncias similares

• Praticam o devido cuidado com dados de terceiros• Inibem ações que afetam negativamente outra companhia

ou parceiros


Problemas com o monitoramento de funcionários

• Devem constar em políticas de segurança e empregados devem saber que estão sendo monitorados

– Cadernos de empregados, banners, treinamentos de conscientização de segurança

• Garanta que o monitoramento está dentro da lei

– Verifique as leis federais

– Não monitore indivíduos específicos, e sim a coletividade

– Somente monitore atividades relativas ao trabalho

– Uso aceitável e atos indesejáveis deverão ser avisados antecipadamente aos funcionários

• Tipos possíveis de monitoramento

– Keyloggers

– Câmeras (DVRs e IP)

– Telefônico

– E-Mail


ACÓRDÃO DO SUPREMO TRIBUNAL FEDERAL MANDADO DE SEGURANÇA(Tribunal Pleno)

Relator: O Sr. Ministro Maurício CorrêaAgravante: PF

Agravado: Presidente do Tribunal de Contas da União(...)

6. Ademais, inexiste regra jurídica que assegure ao agravante o uso do "e-mail" para interesses particulares ou que impeça sua exclusão do rol dos usuários por desobediência às normas estabelecidas pelo TCU, sendo impertinentes as alegações de que os princípios constitucionais da isonomia, do devido processo legal, do contraditório e da ampla defesa teriam sido violados, visto que cabe à Administração dispor sobre a utilização dos instrumentos oferecidos a seus servidores, ampliando ou restringindo o alcance de cada um deles, de acordo com sua conveniência.

VOTOO Sr. Ministro Marco Aurélio: Senhor Presidente, o pano de fundo écompreensível e eu tenderia a assentar que cumpre à Administração Públicadefinir a utilização desse meio moderno de transmissão de idéias e de mensagens

Supremo Tribunal Federal Brasileiro


Leis Civis

• Lei de contratos e propriedade• Determinam se alguém pode ser punido por um ato específico

– Usualmente por negligência• São necessárias menos provas se comparadas à lei criminal

– Punições são menos severas e não envolvem detenção

– Punição é normalmente financeira, trabalhos prestados àcomunidade ou parando algum tipo de atividade – prisão não é aplicável


Leis Criminais

• Leis onde a vítima é a sociedade• Propósito do julgamento é a punição• Efeito dissuasivo da punição• Ônus da prova é duvidoso• Delitos graves podem levar indivíduo à cadeia por mais de um ano

• Pessoas podem ganhar um caso criminal e perder um caso civil pela mesma causa (e vice-versa)


Leis Administrativas

• Diferentes indústrias tem leis específicas e regras que os funcionários e colaboradores devem acatar

– Remédios e drogas

– Financeiros

– Cuidados com a saúde

– Educacionais• Performance e conduta de organizações, gerentes e oficiais• Leis administrativas lidam com normas da indústria• Punições podem ser financeiras ou até mesmo a prisão


Leis Internacionais

• Falta de cooperação global• Diferenças na interpretação de leis• Leis antigas sobre fraudes• Problemas na aceitação de evidências• Extradição• Baixa prioridade

• Abordagens de proibição do uso (ex: França)• Proibições na exportação (ex: EUA, Inglaterra, Canadá e Alemanha)

• Os EUA controlam a exportação de criptografia implementada em Software

Aspectos legais da criptografia


Crimes digitais

• O crime digital é difícil de definir

– Falta de compreensão

– Leis são inadequadas: lentas para acompanhar o ritmo da rápidaevolução tecnológica

• Dificuldades no julgamento

– Baixo entendimento: Juízes, Advogados, Polícia e Jurados normalmentesão leigos

– Evidências: falta de evidências tangíveis

– Menores: • Muitos criminosos são menores• Menores possuem benefícios legais que tendem à impunidade


Exemplos de crimes digitais

Apenas alguns:

• ILOVEYOU, SoBIG.f, Morris worm, Blaster, Klez malware• DDOS que derrubou o Yahoo!, Skype e outros sites• Tentativas de extorsão após o roubo de números de cartões de crédito• Roubo de informações de cartões de créditos• Fraudes internas provenientes de funcionários• Roubo de segredos militares e informação crítica• Empresas roubando informações de clientes da concorrência


Tribunal condena eBay por venda de Tribunal condena eBay por venda de produtos falsos da Louis Vuittonprodutos falsos da Louis Vuitton

• O Tribunal de Apelação de Paris confirmou nesta sexta (11/07/2008) a sentença que condena o site de leilões eBay, o qual deve indenizar o grupo de luxo francês Louis Vuitton Moet Hennessy (LVMH) por ter vendido produtos piratas com várias de suas marcas e burlar suas redes de distribuição seletiva.

http://g1.globo.com/Noticias/Tecnologia/0,,MUL643640-6174,00.html


Cisco systems processarCisco systems processaráá apple pelos apple pelos direitos do "iphone"direitos do "iphone"

• O fabricante americano de equipamentos de telecomunicação Cisco Systems informou na quarta-feira que entrou com uma ação contra seu concorrente Apple pelo uso do nome "iPhone".

• Em nota, a Cisco explicou que quer evitar que "a Apple viole e copie deliberadamente a marca 'iPhone' da Cisco".

http://g1.globo.com/Noticias/Economia_Negocios/0,,AA1416309-9356,00.html


PolPolíícia Federal esteve em escritcia Federal esteve em escritóório da rio da Cisco systemsCisco systems

• As autoridades brasileiras acusam um grupo de empresários brasileiros, entre eles os funcionários da multinacional norte-americana de nome não revelado, de montarem um esquema de evasão de Imposto de Importação. Durante cinco anos, o grupo importou 50 toneladas métricas de mercadorias, que podem gerar um pagamento futuro de impostos de R$ 1,5 bilhão.

http://g1.globo.com/Noticias/Economia_Negocios/0,,AA1655150-9356,00-POLICIA+FEDERAL+ESTEVE+EM+ESCRITORIO+DA+CISCO+SYSTEMS.html


PossPossííveis vveis víítimas de espionagemtimas de espionagem

• “A Agência Brasileira de Inteligência (Abin) está monitorando a crise gerada pelo furto de informações da Petrobras. Segundo nota oficial, antes mesmo de o furto ter se tornado público, a Abin tinha acionado a área de contra-espionagem para fazer um levantamento de dados, em parceria com a Petrobras e a Polícia Federal.”

http://bomdiabrasil.globo.com/Jornalismo/BDBR/0,,AA1672628-3682,00-POSSIVEIS+VITIMAS+DE+ESPIONAGEM.html


Legislação Brasileira Atual

• Ainda não existe legislação aprovada para crimes virtuais• Delitos digitais são julgados em analogia com crimes do

mundo real previstos nas leis e código penal


Alguns crimes virtuais

• Falar em um chat que alguem cometeu algum crime (ex. “ele é um ladrão...”) - Calúnia - Art.138 do C.P.

• Dar forward para várias pessoas de um boato eletrônico –Difamação -Art.139 do C.P.• Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...)

– Injúria-Art.140 do C.P.• Enviar um email dizendo que vai pegar a pessoa – Ameaça - Art.147 do C.P.• Enviar um email para terceiros com informação considerada confidencial - Divulgação

de segredo -Art.153 do C.P.• Enviar um virus que destrua equipamento ou conteudos – Dano - Art.163 do C.P.• Copiar um conteudo e não mencionar a fonte, baixar MP3 - Violação ao direito autoral -

Art.184 do C.P.• Criar uma Comunidade Online que fale sobre pessoas e religiões - Escárnio por

motivo de religião - Art.208 do C.P.• Acessar sites pornográficos - Favorecimento da prostituição - Art.228 do C.P.• Criar uma Comunidade para ensinar como fazer “um gato” - Apologia de crime ou

criminoso - Art.287 do C.P.• Enviar email com remetente falso (caso comum de spam) - Falsa identidade- Art.307

do C.P.


Alguns crimes virtuais (Cont.)

• Fazer cadastro com nome falso em uma loja virtual - Inserção de dados falsos em sistema -Art.313-A do C.P.

• Entrar na rede da empresa ou de concorrente e mudar informações (mesmo que com uso de um software) - Adulterar dados em sistema de informações - Art.313-B do C.P.

• Se você recebeu um spam e resolve devolver com um vírus, ou com mais spam -Exercício arbitrário das próprias razões - Art.345 do C.P.

• Participar do Cassino Online Jogo de azar - Art.50 do C.P.• Falar em um Chat que alguém é isso ou aquilo por sua cor - Preconceito ou

Discriminação Raça-Cor-Etnia - Art.20 da Lei 7.716/89 • Ver ou enviar fotos de crianças nuas online (cuidado com as fotos de seus filhos) –

Pedofilia - Art.247 da Lei 8.069/90• Usar logomarca de empresa em um link na pagina da internet, em uma comunidade,

em um material, sem autorização do titular, no todo ou em parte. - Crime contra a propriedade industrial - Art.195 da Lei 9.279/96

• Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador - Crime de Concorrência Desleal - Art.195 da Lei 9.279/96

• Usar copia de software sem ter a licença para tanto - Crimes Contra Software “Pirataria” - Art.12 da Lei 9.609/98


Aprovado projeto que pune crimes Aprovado projeto que pune crimes praticados com a utilizapraticados com a utilizaçção da Internetão da Internet

• O Senado aprovou na noite desta quarta-feira (09/07/08) proposta substitutiva ao projeto de lei da Câmara (PLC 89/2003) que trata dos ilícitos que tragam danos a pessoas, equipamentos, arquivos, dados e informações, em unidades isoladas ou em redes privadas ou públicas de computadores.

http://www.senado.gov.br/agencia/verNoticia.aspx?codNoticia=76787&codAplicativo=2


O que diz o projeto de LeiO que diz o projeto de Lei

• Reclusão de um a três anos e multa para quem obtiver ou transferir dado ou informação disponível em rede de computadores, dispositivo de comunicação ou sistema informatizado sem autorização ou em desconformidade à autorização do legítimo titular. Caso o dado ou a informação obtida sem autorização forem fornecidos a terceiros, a pena é aumentada em um terço.

• A divulgação, utilização, comercialização ou a disponibilização de dados e informações pessoais contidas em sistema informatizado com finalidade distinta da que motivou seu registro fica sujeita à pena de detenção de um a dois anos e multa, salvo nos casos previstos em lei ou mediante expressa anuência da pessoa a que se referem ou de seu representante legal. Também nesse caso, se a pessoa se vale de nome falso ou da utilização de identidade de terceiros para a prática desse crime a pena é aumentada em um sexto.


O que diz o projeto de Lei (Cont.)

• Pedofilia: crime passível de punição a ação de apresentar, produzir, vender, receptar, fornecer, divulgar, publicar ou armazenar consigo, por qualquer meio de comunicação, inclusive a Internet, fotografias, imagens com pornografia ou cenas de sexo explícito envolvendo crianças e adolescentes.

• Responsabilidade do provedor: O responsável pelo provimento de acesso de computadores éobrigado, entre outras coisas, a informar, de maneira sigilosa, à autoridade competente, denúncia sobre prática de crime ocorrido no âmbito da rede de computadores sob sua responsabilidade. O provedor estará sujeito, independentemente do ressarcimento por perdas e danos ao lesado, ao pagamento de multa variável de R$ 2 mil a R$ 100 mil a cada requisição, aplicada em dobro em caso de reincidência. Nesse caso, é assegurada a oportunidade de ampla defesa e contraditório.

• Código malicioso: Pena de reclusão de um a três anos e multa está prevista para quem inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores ou sistema informatizado. A matéria define como código malicioso o conjunto de instruções e tabelas de informações ou qualquer outro sistema desenvolvido para executar ações danosas ou obter dados ou informações de forma indevida. Se o crime resultar em destruição, inutilização, deterioração, alteração ou dificuldade de funcionamento do dispositivo de comunicação, a reclusão poderá ser de dois a quatro anos e multa. Caso o agente utilize nome falso ou identidade de terceiros para a prática desse crime a pena é ainda aumentada em um sexto.

• Serviços de utilidade pública: Entre os demais crimes previstos no substitutivo está também o de atentar contra a segurança ou o funcionamento de serviço de água, luz, força, calor, informação, telecomunicação ou qualquer outro de utilidade pública. Também serão punidos crimes que envolvam a interrupção, perturbação de serviço telegráfico, telefônico, telemático, informático e outros dispositivos de telecomunicações


O criminoso computacional

• Perfil típico– Homem, branco, jovem

– Sem antecedentes criminais

– Trabalha com T.I. ou contabilidade

• Mitos– Talentos especiais são necessários

– Fraudes aumentaram por causa dos computadores

• Motivações pessoais– Econômicas, Egocêntricas, Ideológicas e Psicóticas


O criminoso computacional (cont.)

• Motivações ambientais– Ambiente de trabalho

– Sistema de recompensas

– Nível de confiança interpessoal

– Nível de stress

– Fragilidades de controles internos

• Fatores que desencorajam o crime– Medidas de prevenção: sistemas de controles internos e controle de acesso

– Medidas de detecção: auditoria e supervisão


Processo Investigativo• Identifique Potenciais Suspeitos

– De dentro e de fora da empresa

– Colaboradores• Identifique testemunhas potenciais

– Quem deve ser entrevistado

– Como conduzir a entrevista• Identifique o tipo de sistema a ser medido

– Rede, configuração de Hardware & Software

– Sistemas de segurança existentes

– Localização do sistema

– Elementos de prova

– Provável causa/garantia

– Localização da análise


Processo Investigativo (cont.)

• Identifique os membros do time de pesquisa e medição– Investigador líder

– Representante da segurança da informação

– Representante legal

– Representantes técnicos

• Obtenha garantias de pesquisa• Determine se o sistema está em risco

– Acesso do suspeito

– Potencial Destruição da evidência


Processo Investigativo (cont.)• Execute a investigação

– Cena segura e controlada

– Proteja as evidências

– Não toque no teclado

– Gravações em Videotape e DVRs

– Capture o display do monitor

– Desligue o sistema

– Remova a tampa do gabinete

– Discos e drives

– Premissas de pesquisa (para mídia magnética e documentação)

– Pesquise outros dispositivos (que podem conter informação)


Processo Investigativo (cont.)

• Pesquisa conduzida• Física: Determine os hábitos do suspeito, estilo de vida• Computacional: Trilhas de auditoria ou monitoramento eletrônico

• Outras fontes de informação• Arquivos pessoais• Logs de telefone e fax• Logs de segurança• Cartões de ponto

• Relatórios investigativos• Documente fatos conhecidos• Relacione conclusões finais


Perícia Forense

• Estudo de tecnologia computacional e como ela se relaciona com a lei

• Primeiro passo é fazer uma imagem do disco

– Cópia a nível de bit, setor por setor, para capturar arquivos deletados, espaços contíguos e clusters não alocados

– Todo o trabalho é feito na imagem do disco, não no original

• Crie resumos (message digests) para arquivos e diretórios

– Garanta a integridade destes

• Itens que devem ser analisados

– Arquivos escondidos

– Espaço contíguo

– Malware

– Arquivos excluídos

– Extraia dados dos arquivos de swap de sistemas Windows


Perícia Forense (cont.)

• Remonte e dê boot no sistema suspeito com um sistema operacionallimpo

– Sistema alvo pode ter sido infectado

– Obtenha a hora do sistema como uma referência

– Execute um relatório completo da análise do sistema

• Dê boot no sistema suspeito com o sistema operacional original

– Identifique programas impostores

– Identifique programas que rodam em background

– Identifique quais configurações de sistema foram configuradas


Perícia Forense (cont.)

• Procure por mídias de backup: não se esqueça do armazenamento forado site

• Procure sistemas com acesso controlado e arquivos criptografados

– Quebre senhas

– Documente pistas

– Pergunte ao suspeito

– Use a lei para obter as senhas dos suspeitos


Equipamentos para Forense Digital


Equipamentos para bloqueio de Escrita em midias digitais

Acelerador de quebra de criptografia


Toolkits para perícia forense


Soluções para procura de evidências


Perícia em redes sem fio


Perícia em celulares e smartphones


Regras de evidências

• Tipos de evidências

– Diretas: testemunhos orais

– Reais: objetos tangíveis/evidências físicas

– Documentais: relatórios de negócios impressos, manuais, impressões

– Demonstrativas: usadas para ajudar o Juri (modelos, ilustrações, gráficos)

• Melhor regra de evidência: limitar potenciais alterações• Regra de exclusão: a evidência deve ser obtida legalmente, ou não

poderá ser usada


Regras de evidências (cont.)

• Aceitação da evidência: evidências geradas por computador sãosempre suspeitas

– Relevância: deve provar um fato que é material ao caso

– Confiabilidade: prove a confiabilidade da evidência e o processode produção da mesma

• Ciclo de vida da evidência– Coleta e identificação

– Armazenamento, preservação e transporte

– Apresentação na corte

– Retorno para a vítima (dono)


Procedimentos legais

• Descoberta

– Defesa deve ter acesso a todos os materiais investigativos

– Ordens de proteção limitam quem deverá ter acesso• Audiências preliminares e do grande Júri

– Testemunhas chamadas

– Testemunhos reforçados pela lei• Julgamento: resultados desconhecidos• Perdas e danos: através de processo civil


Procedimentos legais (cont.)• Revisão pós-morte: analise o ataque e feche as brechas de segurança

– Plano de resposta a incidentes

– Política de disseminação de incidentes

– Política de comunicação de incidentes

– Regras para monitoramento eletrônico

– Política de trilhas de auditoria

– Banner de aviso (Proibido acesso não-autorizado)

– Necessidade para controles de segurança pessoal adicionais


Aplicar a lei, ou não…

Gerência precisa fazer esta decisão porque....• Empresa perde o controle da investigação quando a força da lei é

envolvida• Segredo do compromisso não é prometido

– Pode virar parte de registros públicos• Efeitos na reputação precisam ser considerados

– Divulgação destas informações podem atingir clientes, investidores, etc.

• Evidências podem ser coletadas e podem não estar disponíveis por um longo período de tempo

• Pode levar um ano ou mais para serem julgados


Ética computacional

• Diferenças entre lei e ética: “tem que” contra “deve”

• Origens– Bem comum

– Interesse nacional

– Direitos individuais

– Lei

– Tradição/Cultura

– Religião

• Mudanças fundamentais para a sociedade


Código de ética (ISC)2

• Elaborado para atingir os mais altos padrões de moral, éticae comportamento legal

• Manter a reputação pessoal e da profissão• Reportar atividades contra a lei e cooperar em

investigações• Promover medidas de segurança da informação prudentes• Fornecer serviços competentes e evitar conflitos de

interesse• Executar responsabilidades mantendo o mais alto padrão

profissional• Usar a informação de maneira apropriada• Manter a confidencialidade da informação


Código de ética (IAB)

• IAB – Internet Architecture Board (http://www.iab.org/ ), comitê coordenador de desenvolvimento, engenharia e manutenção da Internet, com 2 duas principais forças tarefas:

– IETF (Internet Engineering Task Force

– IRTF (Internet Research Task Force)

• O uso da Internet é visto como um privilégio e deve ser tratado como tal;

• A IAB considera os seguintes itens como não éticos:

– Tentativas propositais de ganhar acesso não autorizado

– Mau uso intencional da Internet

– Gasto de recursos (pessoas, capacidade e computadores) através de ações propositais

– Destruição da integridade de informações eletrônicas

– Comprometimento da privacidade de terceiros

– Negligência envolvendo a condução de experimentos na Internet


Implementando a ética na empresa

• Desenvolva um guia corporativo de ética computacional

• Desenvolva uma política de ética computacional que complemente a políticade segurança da empresa

• Inclua informações sobre ética computacional no manual do empregado

• Expanda a política de ética nos negócios para incluir a ética computacional

• Conscientize o usuário sobre a ética computacional

• Estabeleça uma política de privacidade de email e promova a conscientização do usuário sobre a mesma


A Política de Segurança da Informação necessita do cumprimento de requisitos legais para ser implementada:

1. Esteja claro e expresso o uso do monitoramento (harmonizar

com os princípios gerais de direito e a questão da Privacidade);

2. Tenha uma política de conduta e uso das ferramentas tecnológicas (certo e o errado);

3. Os contratos sejam ajustados com cláusulas específicas de segurança da informação e com definição de terminologia (glossário);

4. Tenha uma política de Classificação da Informação (pública, sensível, confidencial, restrita).

Além disso, seja um profissional ético e treine os funcionários e colaboradores da empresa para que estes também sejam.

Conclusão


• Apresentação “Arcabouço Jurídico e Segurança da Informação”, datada de 29/11/05 e de autoria da Dra. Patrícia Peck, advogada especialista em direito digital

• Apresentação “Ferramentas para computação forense”, de autoria de Giovani Thibau, da empresa Techbiz Forense Digita

• TIPTON, Harold F. Official (ISC)2 Guide to the CISSP CBK. Editora Auerbach, 2006

• HARRIS, Shon. Mike Meyer’s Certification Passport CISSP. Ed. McGrawHill –Osborne, 2005

ReferênciasReferências


Participe do nosso fórum de segurança

• Acesse www.tisafe.com/forum e cadastre-se


Contato

Palestra - Direito Digital

Technology

Transcript of Palestra - Direito Digital