Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações MOISÉS DA SILVA RODRIGUES Proposta Preliminar de Sistematização da Perícia Forense Computacional para o Exército Brasileiro Brasília 2011 Moisés da Silva Rodrigues Proposta Preliminar de Sistematização da Perícia Forense Computacional para o Exército Brasileiro Brasília 2011 Moisés da Silva Rodrigues Proposta Preliminar de Sistematização da Perícia Forense Computacional para o Exército Brasileiro Monografia apresentada ao Departamento de da Ciência Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações. Orientador: Prof. Tutor José Ricardo Souza Camelo, M.e. Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Brasília Dezembro de 2011 Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão da Segurança da Informação e Comunicações - CEGSIC 2009/2011. © 2011 Moisés da Silva Rodrigues. Qualquer parte desta publicação pode ser reproduzida, desde que citada a fonte. Rodrigues, Moisés da Silva Proposta Preliminar de Sistematização da Perícia Forense Computacional para o Exército Brasileiro/Moisés da Silva Rodrigues . – Brasília: O autor, 2011. 102 p.; Ilustrado; 25 cm. Monografia (especialização) – Universidade de Brasília. Instituto de Ciências Exatas. Departamento de Ciência da Computação, 2011. Inclui Bibliografia. 1. Perícia Forense Computacional. 2. Segurança da Informação e Comunicações. 3. Tratamento de Incidentes. I. Título. CDU 004.056 Errata Dedicatória À Deus, a quem devo tudo o que tenho e que sou, e à minha esposa, companheira incansável, compreensiva e que sempre me apoia em todos os momentos. Agradecimentos Meus sinceros agradecimentos ao TC José Ricardo Souza Camelo, pela pronta orientação e pela paciência. Agradeço, também pela motivação e por ter resgatado minhas esperanças frente às dificuldades encontradas Agradeço, também, a minha esposa Patrícia e meu filho Lucas, pelo sincero apoio, dedicação e compreensão, além das horas sem minha presença Por fim, agradeço aos amigos que, com conselhos sábios e presença de espírito, me auxiliaram a vencer mais uma etapa da jornada. Lista de Quadros Quadro 1: distribuição dos requisitos entre os documentos pesquisados.................37 Quadro 2: Plano de treinamento em perícia forense computacional..........................80 Sumário Errata.............................................................................................................................3 Dedicatória.....................................................................................................................5 Agradecimentos.............................................................................................................6 Lista de Quadros...........................................................................................................7 Sumário.........................................................................................................................8 Resumo.......................................................................................................................12 Abstract........................................................................................................................13 1 Delimitação do Problema.........................................................................................14 1.1 Introdução..........................................................................................................14 1.2 Formulação do Problema..................................................................................18 1.3 Declaração de Objetivos e Escopo...................................................................19 1.4 Justificativas do Estudo.....................................................................................21 2 Revisão Documental e da Literatura........................................................................22 2.1 A Perícia Forense Computacional.....................................................................22 2.2 Entidades Vinculadas à Perícia Forense Computacional.................................28 2.3 Desafios Relacionados à Perícia Forense Computacional...............................29 3 Metodologia..............................................................................................................32 4 Resultados................................................................................................................39 4.1 Organizações de Perícia Forense Computacional............................................40 4.1.1 Scientific Working Group on Digital Evidence (SWGDE)...........................40 4.1.2I nternational Organization on Computer Evidence (IOCE).........................43 4.1.3 International Association of Computer Investigative Specialists (IACIS)....45 4.1.4 SANS Institute.............................................................................................45 4.1.5 ABEAT.........................................................................................................45 4.2 Organizações Governamentais.........................................................................47 4.2.1 FBI...............................................................................................................47 4.2.2 California Task Force on Forensic Services...............................................47 4.2.3 Polícia Federal Brasileira............................................................................49 4.2.4 Marinha e Aeronáutica................................................................................50 4.3 Associação Brasileira de Normas Técnicas (ABNT).........................................50 4.3.1 NBR ISO/IEC 17025:2005..........................................................................51 4.3.2 NBR ISO/IEC 27002:2005..........................................................................52 4.3.3 NBR ISO/IEC 27005:2008..........................................................................52 4.4 Legislação Brasileira..........................................................................................54 4.4.1 Constituição Federal...................................................................................55 4.4.2 Código de Processo Penal.........................................................................55 4.4.3 Código de Processo Penal Militar...............................................................56 4.5 Gabinete de Segurança Institucional da Presidência da República.................57 4.6 Exército Brasileiro..............................................................................................58 4.6.1 G 10-51.......................................................................................................58 4.6.2 IG 20-19......................................................................................................59 4.6.3 IG 10-11.......................................................................................................60 4.6.4 IR 13-09.......................................................................................................61 4.6.5 IR 13-10.......................................................................................................62 4.6.6 IR 13-15.......................................................................................................62 4.6.7 IR 20-26.......................................................................................................63 4.6.8 NORTI.........................................................................................................64 4.6.9 GESOFT......................................................................................................64 4.6.10 Plano de Migração para Software Livre....................................................65 4.6.11 DSIC/SisTEx..............................................................................................65 4.7 Outras Fontes....................................................................................................67 4.7.1 Computer Forensic Education....................................................................67 4.7.2 Public Forensic Laboratory budgets...........................................................68 4.7.3 CEGSIC.......................................................................................................69 4.7.4 Mestrado em Perícia Forense Computacional da UnB..............................70 5 Discussão e Proposta..............................................................................................72 5.1 Discussão..........................................................................................................73 5.1.1 Estabelecer o conceito de perícia forense computacional no escopo do Exército................................................................................................................73 5.1.2 Definir a missão da estrutura......................................................................75 5.1.3 Com base na missão, definir os serviços que serão prestados.................75 5.1.4 Definir o modelo organizacional da estrutura de perícia forense computacional......................................................................................................76 5.1.5 Definir as organizações envolvidas na estrutura........................................78 5.1.6 Definir a interface com a estrutura de tratamento de incidentes de rede já existente...............................................................................................................79 5.1.7 Definir o perfil dos peritos e a política de capacitação para a(s) equipe(s) ..............................................................................................................................80 5.1.8 Definir o tamanho das equipes e o regime de trabalho..............................82 5.1.9 Definir a necessidade do estabelecimento de normas em cada organização que regulem a perícia forense computacional em complemento à política de segurança da informação do Exército................................................83 5.1.10 Definir responsabilidades por solicitações e autoridades a quem a estrutura deve se reportar....................................................................................84 5.1.11 Delinear o processo para o serviço de perícia forense computacional....85 5.1.12 Estabelecer critérios para a priorização de solicitações...........................86 5.1.13 Definir prazos para a conclusão de perícias.............................................86 5.1.14 Definir a classificação sigilosa dos assuntos............................................88 5.1.15 Definir parâmetros de qualidade para os serviços...................................89 5.1.16 Estabelecer métricas para verificação da qualidade................................89 5.2 Proposta.............................................................................................................90 5.2.1 Conceito de perícia forense computacional para o Exército......................90 5.2.2 Missão da estrutura.....................................................................................90 5.2.3 Serviços prestados......................................................................................90 5.2.4 Modelo organizacional................................................................................91 5.2.5 Organizações envolvidas na estrutura.......................................................91 5.2.6 Interface com a estrutura de tratamento de incidentes de rede.................91 5.2.7 Perfil dos peritos e política de capacitação................................................91 5.2.8 Equipes e regime de trabalho.....................................................................92 5.2.9 Estrutura normativa.....................................................................................92 5.2.10 Responsabilidades....................................................................................92 5.2.11 Processo de Perícia Forense Computacional...........................................93 5.2.12 Critérios Para a Priorização de Solicitações.............................................93 5.2.13 Prazos.......................................................................................................93 5.2.14 Classificação Sigilosa dos Assuntos.........................................................93 5.2.15 Parâmetros de Qualidade.........................................................................93 5.2.16 Métricas.....................................................................................................94 6 Conclusões e Trabalhos Futuros..............................................................................95 Referências e Fontes Consultadas.............................................................................97 Resumo O presente trabalho se constitui em uma pesquisa bibliográfica, documental e normativa voltada à reunião de subsídios suficientes para a composição de uma proposta de estrutura para a realização de perícias forenses computacionais no âmbito do Exército Brasileiro. Visando atingir atingir o objetivo proposto, foram analisadas recomendações de organizações relevantes ligadas à perícia forense computacional, modelos de estruturas adotados por organizações governamentais engajadas na realização da perícia, além dos padrões estabelecidos pela Associação Brasileira de Normas Técnicas. Foram considerados, ainda, os preceitos da legislação Brasileira, bem como a realidade normativa da Administração Pública Federal e, mais especificamente, do Exército Brasileiro, de modo a alcançar a maior completude, abordando desde a missão da estrutura até o perfil dos peritos, passando pela estrutura de gerenciamento de laboratórios. Abstract The present work constitutes a bibliographical, normative and documentary research, focused on meeting enough subsidies for the composition of a proposal for the structure for performing computer forensics in the Brazilian Army. In order to achieve the proposed objective, we analyzed relevant recommendation of organizations related to computer forensics, models of structures adopted by government organizations engaged in the performing the activity, as well as the standards established by the Brazilian Association of Technical Standards. We considered also the dictates of Brazilian laws, rules of the Federal Public Administration and, more specifically, of the Brazilian Army, in order to get the most completeness, covering from the mission of the structure to the profile of the experts, through the management structure of laboratories. 14 1 Delimitação do Problema 1.1 Introdução Possuindo diversos sinônimos e podendo ser utilizada em variados contextos, a perícia forense computacional é realizada desde os anos 80, segundo Daniel (2011, p14). O aumento do uso da computação no ciclo da informação trouxe consigo o crescimento dos incidentes de segurança computacionais, demandando uma necessidade de análise de diferentes meios de tecnologia da informação na busca de vestígios digitais. Dificilmente um invasor conseguirá acessar uma rede de computadores, ou alguém irá cometer um crime utilizando meios digitais, sem deixar quaisquer rastros. Tal afirmação se apoia no Princípio de Locard, que afirma “que quando um indivíduo entra em contato com um objeto ou outro indivíduo, sempre deixa vestígio desse contato” (CHISUN E TURVEY, 2000 apud CALAZANS E CALAZANS, 2005, p5). Na busca desses vestígios é que se baseia a perícia forense computacional, semelhantemente aos demais ramos da perícia. Com o crescimento da dependência dos recursos computacionais por parte dos sistemas de informação, foi elevada a importância da discussão acerca da dificuldade da garantia da segurança da informação em ambientes computacionais. O ciclo da informação, composto, conforme Exército Brasileiro (2009), pela sua criação, transmissão, manipulação, armazenamento e destruição, pode ser afetado em diversas dimensões, de forma que as ameaças, por maior atenção que recebam, nunca podem ser plenamente previstas, sendo possível apenas tratar os incidentes de segurança que, porventura, ocorram, buscando-se encontrar indícios que 15 permitam reproduzir a sequência das ações desenvolvidas ou dados que auxiliem na atribuição de responsabilidades. Vacca (2005), definindo formalmente a perícia forense computacional, afirma que ela consiste no processo de, metodicamente, examinar mídias computacionais na busca por evidências. Todavia, verifica-se a busca por evidências não se restringe apenas às mídias, podendo ser encontradas até mesmo em redes de computadores, conforme a definição do primeiro Digital Forensic Research Workshop (CARRIER, 2003): “Use of scientifically proven techniques to collect, fuse identify, examine, correlate, analyze and document digital evidence from multiple, actively processing and transmitting digital sources for the purpose of uncovering facts related to the planned intent, or measured success of unauthorized activities meant to disrupt, corrupt, and or compromise system components as well as providing information to assist in response to or recovery from these activities.” Dessa forma, em um contexto em que a garantia dos atributos da segurança da informação, disponibilidade, integridade, confidencialidade e autenticidade, é uma tarefa cada vez mais difícil, até mesmo inalcançável em sua plenitude, Cook (2010) define o tratamento de um incidente de segurança computacional como a resposta executada por uma pessoa ou organização ao incidente propriamente dito, o que inclui a preparação para a resposta, a identificação do incidente, sua contenção, recuperação e análise, de modo a corrigir as vulnerabilidades que foram exploradas, para que o mesmo não se repita de forma semelhante. Tal abordagem permite verificar uma convergência de objetivos entre a atividade de tratamento de incidentes e a de perícia computacional, tornando-as afins. Antagonicamente, verifica-se que o tratamento de um incidente de segurança tem como um de seus principais objetivos o restabelecimento pleno do serviço afetado, o que se contrapõe à meticulosidade requerida pela perícia, uma vez que esta visa, entre outros aspectos, a validade das evidências coletadas diante de um possível processo legal. Neste ponto, cabe destacar que tais processos não se 16 restringem apenas à esfera criminal, mas alcança a esfera disciplinar, cível e a administrativa. Ao abordar o relacionamento da perícia com a lei, constata-se que ela permeia diversas disciplinas da segurança da informação, desde a verificação quanto à conformidade com políticas organizacionais de segurança, o que inclui o controle de acesso, até a gerência de riscos e a modelagem de sistemas, entre outras. Desde o ano de 2009, é possível observar um maior engajamento do Exército Brasileiro em atividades diretamente vinculadas à segurança da informação, em especial à segurança computacional, fruto, entre outros fatores, de sua responsabilidade pela coordenação de um dos três setores estratégicos da defesa nacional, segundo Brasil (2008b), a saber, o setor cibernético, tarefa da qual foi encarregado pelo Ministério da Defesa, conforme Brasil (2009d). Tais ações, se contextualizadas, seguem uma tendência mundial de investimentos no setor cibernético voltados para a garantia da segurança nacional. No referido trabalho de coordenação, diversas etapas já foram vencidas, entre elas, o estabelecimento de uma infraestrutura institucional de tratamento de incidentes de segurança computacional, seguindo o modelo proposto por Da Silva (2010). A infraestrutura de tratamento de incidentes de rede do Exército (ITIREx), segundo Brasil (2010b), apoia-se no Sistema de Telemática do Exército (SisTEx) e tem como missão proporcionar as bases física e lógica para a operação dos sistemas de Informática e Comunicações de interesse do Sistema de Comando e Controle do Exército (SC2Ex), além de realizar a manutenção dos sistemas em produção. Quanto à composição, de acordo com Brasil (2010b), integram o SisTEx o Centro Integrado de Telemática do Exército (CITEx), órgão principal do Sistema, e suas 12 organizações subordinadas, os Centros de Telemática de Área (CTA) e os Centros de Telemática (CT), que trabalham em proveito, respectivamente, dos Comandos Militares de Área e das Regiões Militares. A fim de prestar tal apoio, os CTA e CT encontram-se distribuídos por todo país, conforme Brasil (1998), sendo conhecidos como se segue: 1º CTA (Porto Alegre - RS), 2º CTA (Rio de Janeiro RJ), 3º CTA (São Paulo - SP), 4º CTA (Manaus - AM), 5º CTA (Recife - PE), 6º CTA 17 (Campo Grande MS), 7º CTA (Brasília DF), 11º CT (Curitiba PR), 21º CT (Belo Horizonte MG), 41º CT (Belém PA), 51º CT (Salvador BA) e 52º CT (Fortaleza CE) . Um dos projetos da criação do Setor Cibernético no Exército, a implantação da Segurança Cibernética, prevê como um de seus produtos o estabelecimento da estrutura para a realização de perícias forenses computacionais, aproveitando a ITIREx, já existente desde 2010, conforme Brasil (2010b). Nessa abordagem, aspectos relevantes relacionados ao tema merecem análise, não segundo os aspectos técnicos, mas considerando-se os aspectos gerenciais e os custos associados. Dessa forma, destaca-se como relevantes para estudo, dentre outros, a viabilidade do aproveitamento dos investimentos aplicados na formação de recursos humanos para a ITIREx e o custo associado à implantação unitária dos laboratórios de perícia computacional, face a demanda de requisições e a diversidade de equipamentos passíveis de serem periciados. Brasil apud Carvalho (2011) define a Defesa Cibernética da seguinte forma: “conjunto de ações defensivas, exploratórias e ofensivas, no contexto de um planejamento militar, realizadas no espaço cibernético, com as finalidades de proteger os nossos sistemas de informação, obter dados para a produção de conhecimento de inteligência e causar prejuízos aos sistemas de informação do oponente ”. A despeito da recente abordagem acerca desse tema, Segurança da Informação e Comunicações bem como outros conceitos associados não são novidade no Exército, afirmação que se comprova pela existência de diversas normas abordando o tema, algumas das quais serão abordadas durante o presente trabalho. Contudo, especial atenção deve ser dedicada à Brasil (2010b), um dos produtos do projeto de implantação da segurança cibernética, que tem como um de seus anexos as Normas para Realização de Perícia Forense Computacional no Sistema de Telemática do Exército (NRPFC/SisTEx), com a finalidade estabelecer as diretrizes para o planejamento e a execução do serviço de perícia forense computacional no âmbito do SisTEx. Pelo exposto, se a perícia forense computacional for seccionada em duas partes, a saber, estrutura e processo, verifica-se que esta última já se encontra em 18 fase de consolidação, uma vez que está documentada, ainda que em alto nível, e parcialmente implementada. A estrutura, todavia, carece de uma apreciação mais detalhada, uma vez que diversos aspectos ainda não foram discutidos, como a formação de profissionais e os serviços a serem prestados, por exemplo. A despeito da existência das supracitadas normas, verifica-se que alguns aspectos ainda não foram completamente esgotados na discussão do tema, uma vez que faz-se necessário o adequado conhecimento da legislação para que a perícia no âmbito do Exército não extrapole os limites previstos. Cita-se, como exemplo, a descoberta, durante a realização de uma perícia, de indícios de crimes cuja investigação extrapole a competência Exército, como os casos de pedofilia. A investigação de tais crimes é de responsabilidade exclusiva da Polícia Federal, constituindo crime, inclusive, assegurar os meios ou serviços para o armazenamento das fotografias, cenas ou imagens dessa natureza, segundo Brasil (1990). Dessa forma, questiona-se qual seria o procedimento mais adequado: interromper a perícia em andamento e informar à Polícia Federal ou concluir os trabalhos realizando a notificação posteriormente? 1.2 Formulação do Problema Diante do contexto exposto, no qual o Exército Brasileiro protagoniza a coordenação da Defesa Cibernética, estabelecendo uma infraestrutura de tratamento de incidentes de redes e propondo-se a realizar perícias forenses computacionais, algumas questões sobre o assunto merecem destaque, principalmente no que se refere ao relacionamento entre essas duas atividades: • De que forma a perícia forense computacional deve ser encarada, enquanto processo, no âmbito do Exército, como uma atividade independente ou como parte do processo de tratamento de incidentes? • Como preservar os artefatos, dados gerados pelo invasor durante o comprometimento de um sistema, para a realização de perícias frente à necessidade do restabelecimento dos serviços afetados no espaço de tempo mais curto possível? Acerca dos laboratórios, ou seja, a infraestrutura física e lógica destinada à atividade no Exército, questiona-se qual deve ser o melhor modelo a ser adotado, se 19 regionais, com composições e características semelhantes, ou especializados, realizando tipos específicos de perícia, face à gama de diferentes tecnologias e equipamentos passíveis de perícia. Com relação à estrutura de perícia, no que concerne aos recursos humanos, questiona-se qual deve ser o perfil do profissional responsável pela execução de perícias forenses, ou seja, a formação considerada adequada. Ainda, qual deve ser a composição mínima de uma equipe de execução de perícia forense computacional para atender aos requisitos legais e à demanda de trabalho prevista para a instituição? 1.3 Declaração de Objetivos e Escopo Para atender aos questionamentos expostos no tópico anterior, a presente monografia baseou-se em uma pesquisa documental, tomando como referência a literatura nacional e mundial, abrangendo, além de artigos e livros, normas e padrões de instituições reconhecidamente operantes na área, a legislação brasileira, além da legislação normativa da Administração Pública Federal, convergindo para as normas e instruções do Exército Brasileiro, instituição foco deste trabalho, visando, como objetivo principal, à proposição de uma estrutura de perícia forense computacional adequada aos objetivos da organização, frente ao seu projeto de implantação da Defesa Cibernética. Para alcançar o objetivo proposto, foram propostos os seguintes objetivos específicos: • revisar a literatura nacional e mundial especializada na área de perícia forense computacional, abrangendo desde os procedimentos executados no processo de realização da perícia propriamente dita até os modelos de estrutura laboratorial aplicados em organizações governamentais voltadas para a perícia; • revisar a legislação brasileira, no que se refere à execução de perícias forenses; e • revisar a documentação normativa da Administração Pública Federal e do Exército Brasileiro, relacionada à segurança da informação, ao tratamento de incidentes e à realização de auditorias e perícias. 20 • verificar a estrutura de perícia de organizações afins, do Brasil e do mundo, visando ao levantamento de vantagens e desvantagens relacionada às estruturas adotadas. • analisar a estrutura organizacional do Exército Brasileiro, com foco nos aspectos que se relacionam à perícia forense computacional. Visando à definição do escopo do presente trabalho de monografia, foram utilizadas como referencial as Instruções Reguladoras Para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (BRASIL, 2001c), as quais afirmam que a instituição é responsável pelos seguintes domínios: • exercito.gov.br: sob responsabilidade do Centro de Comunicação Social do Exército (CComSEx), destinado a abrigar as páginas eletrônicas criadas e manutenidas por aquele Centro, o qual é responsável pela gerência e manutenção do sítio oficial do Exército Brasileiro na Internet (http://www.exercito.gov.br ); • eb.mil.br: sob responsabilidade do Departamento de Ciência e Tecnologia (DCT), destinado a abrigar os sítios do Estado-Maior do Exército, dos Órgãos de Direção Setorial, do Centro de Inteligência do Exército, da Secretaria Geral do Exército e das demais organizações militares, o que inclui o relacionamento dessas organizações com a rede corporativa do EB (EBNET), com exceção dos estabelecimentos de ensino; • eb.br: destinado a abrigar os sítios das instituições militares de ensino e pesquisa, abrangendo os subdomínios: - ime.eb.br: Gerenciado pelo Instituto Militar de Engenharia (IME), subordinado ao DCT; e - ensino.eb.br: Gerenciado pelo Departamento de Educação e Cultura do Exército (DECEx). Assim, considerando a existência de mais de um domínio sob a responsabilidade do Exército, faz-se importante definir que o presente trabalho de pesquisa se restringe apenas ao domínio eb.mil.br e à EBNET. 21 1.4 Justificativas do Estudo O presente trabalho de desenvolvimento de pesquisa se apresenta adequado no que concerne aos objetivos do Curso de Especialização em Gestão da Segurança da Informação e Comunicações, uma vez que se enquadra na linha de pesquisa de procedimentos e processos de Segurança da Informação e Comunicações, para o caso específico, procedimentos e processos atinentes ao Exército Brasileiro, podendo, ainda, ser utilizado como referencial para futuras implementações em outras organizações da Administração Pública Federal. Os projeto mencionados, ligados à Defesa Cibernética, inclue o desenvolvimento de doutrina relacionada ao assunto no escopo documental e estrutural. Dessa forma, este estudo vai ao encontro das necessidades organizacionais, por apresentar o necessário assessoramento às decisões estratégicas. Adicionalmente, diante do cenário mundial de crescimento da quantidade de incidentes computacionais de segurança e da situação brasileira de carência de normatização relacionada ao tema, verifica-se que o estudo encontra a necessária acolhida e plausível justificativa. 22 2 Revisão Documental e da Literatura Considerando a perícia forense computacional como uma atividade relativamente recente, em relação a qual ainda há lacunas, foi buscado na literatura uma base com a maior solidez possível, visando ao embasamento para a fase de discussão. A seguir, são apresentados alguns conceitos relacionados à atividade de perícia forense computacional, seguidos de considerações a respeito de entidades relevantes a ela relacionadas. Por fim, são apresentados alguns dos principais desafios relacionados à perícia computacional. 2.1 A Perícia Forense Computacional Segundo o US-CERT (2008, p1), a perícia forense computacional ainda não é reconhecida como uma disciplina científica formal, todavia sua relevância é crescente no relacionamento entre a computação e o direito, por sua utilidade em processos legais, uma vez que as evidências por ela obtidas podem ter valor de provas. Outra importante função da perícia computacional diz respeito à garantia da Segurança da Informação e Comunicações no que concerne ao tratamento de incidentes de segurança em redes computacionais, podendo-se destacar nesse contexto duas possibilidades: • de forma auxiliar, no desenvolvimento da defesa em profundidade – também conhecida como defesa em camadas, é definida por McGuiness (2001) como uma série de mecanismos de segurança dispostos de maneira que, caso um desses mecanismos falhe diante de um ataque, outro esteja posicionado para conter o ataque. Perícias forenses computacionais podem esclarecer as 23 circunstâncias de um incidente, contribuindo para a correção de vulnerabilidades que tenham sido exploradas. • diretamente, inserida no tratamento de incidentes – o tratamento de incidentes, conforme proposto por Da Silva (2010) inclui diversos procedimentos, entre eles a preservação de artefatos, que são os remanescentes de atividade maliciosa, para, entre outras possibilidades, a realização de perícias forenses computacionais. Nesse contexto, perícias podem possibilitar a atribuição de responsabilidades pelos ataques que culminaram no incidente de segurança. Obviamente, com o crescimento da quantidade dos ataques nos últimos anos, graças à evolução das técnicas de ataque e da capacidade computacional, entre outros aspectos, torna-se impossível a atribuição de responsabilidades em todos os incidentes constatados. Segundo DSCINT (DSCINT apud RIOS, 2009) o número de ciberataques sofridos pelos sistemas do Departamento de Defesa dos Estados Unidos da América gira em torno de 250 mil ao ano, quantidade que inviabiliza uma análise forense para todos os ataques, de forma que apenas alguns ataques recebem um tratamento do ponto de vista forense, por sua relevância e impacto. Há, contudo, na história, alguns casos que merecem uma atenção especial, por envolverem questões de relações internacionais, como a acusação da Estônia, no ano de 2007, à Rússia pelo ataque à sua infraestrutura digital, além da responsabilização, por parte da Geórgia, novamente à Rússia, pelas dezenas de ataques desencadeados contra seus sites governamentais, afetando serviços públicos, no ano de 2008 (RIOS et al, 2009), considerado por Stiennon (2010, p95) a primeira ocorrência de guerra cibernética. Outro importante exemplo da utilização da perícia forense computacional foi o malware1 stuxnet, notícia do ano de 2010, que foi utilizado como vetor do ataque a uma usina nuclear do Irã (EUROPEAN UNION COMMITTEE, 2010, p 39). Na ocasião, potências ocidentais, associadas a Israel foram indicadas como suspeitas pela ação, que afetou centrífugas de enriquecimento de urânio da usina iraniana. A análise forense conduziu à conclusão de que o ataque não se dera pela internet, tendo sido o malware inserido no ambiente computacional da usina por acesso físico 1 Malware: programas especificamente desenvolvidos para executar ações danosas em um computador (CERT.BR, 2006) 24 a uma das máquinas, provavelmente a uma porta USB, conforme Knapp (2011, p 38) A realização da perícia computacional não se constitui em uma tarefa trivial que possa ser realizada sem o devido zelo. Muito pelo contrário, verifica-se que um dos principais aspectos relacionados à perícia reside no rigor com que a atividade deve ser executada, demandando adequado conhecimento técnico. Tal execução envolve um processo que, segundo Kruse e Heiser (2002, p21), inclui a coleta, a autenticação e a análise das evidências, conforme a Figura 1. A respeito da perícia computacional, Gondim (2010, p18) afirma: “A análise forense consiste na revisão detalhada de todos os dados coletados. Isso inclui revisar arquivos de log, conFigurações de sistema, arquivos com histórico mensagens de e-mail de relações de confiança, acessos em browsers, e seus anexos, aplicações instaladas, arquivos gráficos etc. São executadas análise de software, correlação de timestamps, buscas e quaisquer outras ações necessárias na investigação. A análise forense também inclui a execução de tarefas de mais baixo nível, tais como verificando informações que foram logicamente deletadas do sistema para determinar se arquivos deletados, espaço livre e usado contêm fragmentos de arquivos, ou mesmo arquivos inteiros que podem ser úteis na investigação” Dessa forma, face à complexidade de sistemas computacionais em constante evolução e a diversidade das fontes de evidências, uma considerável gama de conhecimentos técnicos é exigida ao perito, desde sistemas operacionais até protocolos de comunicação, além de ferramentas que possibilitem a execução da perícia. Mas, o que seriam evidências para a perícia forense computacional? Segundo Solomon et al (2011, p56), evidências computacionais consistem em arquivos que podem indicar como um incidente ocorreu. Tais arquivos, quanto ao seu conteúdo, podem ser executáveis, conter imagens ou, ainda, logs, que nada mais são que registros de eventos ocorridos no sistema em análise. Solomon et al (2011) 25 enquadra todas as evidências que podem ser apresentadas perante uma corte em quatro tipos: real, documental, testemunhal e demonstrativa. Evidências reais são as mais tangíveis e fáceis de entender, podendo ser tocadas ou observadas diretamente. Já as evidências documentais, como o próprio nome aponta, se referem a relatórios, impressos ou não, além de arquivos de log, devendo ser autenticados. O terceiro grande grupo, as evidências testemunhais, é representado por depoimentos acerca de fatos presenciados, podendo ser verbais ou por escrito. Por fim, as evidências demostrativas, em geral, servem para auxiliar a compreensão de outras evidências, que, por sua complexidade e profundidade técnica, não se apresentem claras o suficiente perante um tribunal de leigos no que concerne aos aspectos técnicos avaliados. As evidências obtidas por meio das perícias computacionais geralmente se enquadram nos dois primeiros tipos, o que, todavia, não exclui a possibilidade de enquadramento nos demais tipos. Quanto à forma de coleta e análise, a perícia computacional pode ser classificada em dois tipos: ao vivo e post mortem. De acordo com Carrier (2005, p13) a análise ao vivo ocorre quando o próprio sistema em análise é utilizado para localização de evidências, enquanto a post mortem consiste na utilização de aplicações confiáveis para a execução da tarefa, geralmente ferramentas com finalidade específica dedicada à perícia forense. Obviamente, a discussão acerca do que seria a utilização ou não do sistema em análise é muito mais ampla, contudo, está fora do escopo do presente trabalho, podendo ser analisada em trabalhos de cunho técnico. No que concerne à confiabilidade das evidências, Carrier (2006) afirma: “The only difference between live and dead analysis is the reliability of the results. The same types of data can be analyzed using dead and live analysis techniques, but the live analysis techniques rely on applications that could have been modified to produce false data.” Dessa forma, em um primeiro momento, a análise ao vivo deveria ser completamente desaconselhável para fins forenses. Entretanto, quando se trata de perícia em sistemas computacionais, deve-se tomar por relevantes as condições do sistema a ser periciado em diferentes situações, por exemplo, em um contexto de tratamento de incidente de segurança computacional em que o sistema não pode 26 ser desligado, a volatilidade de algumas fontes de evidências, que podem conter informações importantes para a elucidação dos fatos em apuração, como a memória RAM ou o tráfego de rede, que podem se tornar inacessíveis após o desligamento do sistema, ou, ainda, outros aspectos, como a criptografia, que pode tornar impossível uma análise post mortem. No que concerne à formação do perito, dentre os muitos aspectos que podem ser abordados, deve-se atentar para aqueles relacionados à cadeia de custódia e à apresentação do laudo pericial. Nessa abordagem, o conhecimento acerca da legislação que regula o assunto é fundamental para garantir que as informações obtidas durante a perícia sejam admissíveis e apresentadas de maneira adequada perante cortes judiciais. Dessa, forma, não é suficiente à formação do perito um caráter de dedicação exclusiva aos conhecimentos técnico-científicos, sendo necessária, também, uma abrangência mais ampla, que inclui conhecimentos relacionados à legislação e outros nuances do direito. Figura 1: O processo de Perícia Forense Computacional.(Fonte: Guliver, 2010) Pelo Exposto nos parágrafos anteriores, verifica-se que a formação especializada do perito forense computacional não se constitui apenas em mera formalidade, sendo ponto fundamental, uma vez que a manipulação inadequada dos dados coletados, sem o devido cuidado quanto à formalidade processual, além do descuido durante todas as fases, pode invalidar a perícia perante uma corte quando de uma possível utilização em processos judiciais diversos, sejam criminais, 27 disciplinares ou administrativos, entre outros. Tal afirmação conduz a duas considerações: 1. A perícia forense computacional não pode ser realizada por pessoal não qualificado; e 2. As equipes de tratamento de incidentes de rede devem, obrigatoriamente possuir conhecimentos de perícia forense computacional. Analisando a primeira consideração, tem-se que a perícia forense computacional envolve um processo complexo, que inclui a coleta, a preservação e a apresentação das evidências. Conforme afirma US-CERT (2008, p2): “(...) What are some typical aspects of a computer forensics investigation? First, those who investigate computers have to understand the kind of potential evidence they are looking for in order to structure their search. Crimes involving a computer can range across the spectrum of criminal activity, from child pornography to theft of personal data to destruction of intellectual property. Second, the investigator must pick the appropriate tools to use. Files may have been deleted, damaged, or encrypted, and the investigator must be familiar with an array of methods and software to prevent further damage in the recovery process.” Dessa forma, verifica-se que a atividade de perícia não se resume aos aspectos técnicos, envolvendo, ainda, procedimentos formais específicos e requisitos legais, os quais, se negligenciados, podem invalidar todo um trabalho técnico realizado. Quanto à segunda consideração, verifica-se que a missão de uma equipe de tratamento de incidentes de rede, em sua finalidade primeira, consiste no pleno restabelecimento dos serviços afetados, o que inclui as funções de triagem, tratamento, divulgação e retroinformação acerca dos incidentes. Considerando as propriedades da segurança da informação, em especial, a integridade e a disponibilidade, verifica-se que as atividades das equipes de tratamento são desenvolvidas numa corrida contra o tempo, conforme a ABNT (2005, p101): “(…) a 28 integridade dos sistemas do negócio e seus controles sejam validados na maior brevidade”. Há que se atentar, contudo, que aspectos como a descoberta do invasor do sistema e a determinação dos passos que foram realizados durante a invasão, os quais podem ser úteis perante cortes legais, também se constituem em etapas do tratamento do incidente propriamente dito. Sob essa ótica, verifica-se que são fundamentais conhecimentos técnicos relacionados à perícia computacional para, no mínimo, viabilizar a preservação dos artefatos deixados pelo invasor, para posterior análise por equipes especializadas. Ainda no contexto de apuração de responsabilidades, há aspectos legais relacionados à coleta e ao tratamento das evidências que, se negligenciados, podem trazer implicações graves para a equipe de tratamento de incidentes e para a própria organização, culminando, inclusive em processos legais contrários. US-CERT (2008, p3) cita, como exemplo das formalidades que devem ser obedecidas, que é necessária autorização formal, explicitamente documentada, para a realização do monitoramento e da coleta de informação relacionada à invasão de um sistema, havendo, ainda, ramificações legais quanto ao uso de ferramentas para monitoramento. Face o exposto, verifica-se que cresce em importância a necessidade da existência em qualquer organização de uma política de Segurança da Informação e Comunicações claramente definida, que especifique o que é esperado no tratamento da informação em nível organizacional e abordando a forma como os incidentes de segurança serão encarados, incluindo os aspectos concernentes a uma possível perícia forense computacional. Uma vez definida a importância da formação do perito apresenta-se o questionamento sobre como garantir a qualidade da formação do perito computacional. A resposta que parece mais adequada consiste em basear a qualificação dos peritos em padrões estabelecidos por entidades reconhecidamente competentes no que concerne aos conhecimentos requeridos à perícia. 2.2 Entidades Vinculadas à Perícia Forense Computacional No cenário mundial, as entidades não governamentais mais relevantes dedicadas à perícia computacional são The International Organization on Computer 29 Evidence (IOCE), The Scientific Working Group on Digital Evidence (SWGDE), The International Association, of Computer Investigative Specialists (IACIS), The High Technology Crime Investigation Association (HTCIA) e The International Society of Forensic Computer Examiners (ISFCE). Essas entidades oferecem em seu rol guias de boas práticas para o exercício da atividade, além de proporcionarem capacitação profissional. Algumas delas oferecem, ainda, em seu portfólio, exames de certificação, para fins de atestado de proficiência de profissionais dedicados à perícia forense computacional, buscando, dessa forma, o estabelecimento de padrões mínimos de conhecimentos requeridos ao profissionais de dedicados ao ramo. No Brasil, a única entidade que possui expressividade no ramo da perícia forense computacional é a Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT), responsável pela organização das conferências internacionais ICCyber – Conferência Internacional de Perícias em Crimes Cibernéticos e ICoFCS – the International Conference on Forensic Computer Science. Apesar de não serem organizações dedicadas especificamente à perícia forense computacional, merecem destaque, por sua importância em atividades relacionadas ao assunto, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.BR) e o Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa. Tais entidades têm contribuído substancialmente não somente para a consolidação da estrutura de tratamento de incidentes no país, mas também para a formação de uma mentalidade de preservação de evidências e cooperação com as forças judiciais, o que remete diretamente à perícia. Adicionalmente, por motivos óbvios, merece citação a Polícia Federal, que é a signatária da perícia forense computacional no que concerne ao direito criminal, exceção feita ao direito penal militar, sendo responsável exclusiva por determinadas investigações, por exemplo, casos de pedofilia. 2.3 Desafios Relacionados à Perícia Forense Computacional Conforme já mencionado, a perícia computacional não é uma tarefa simples e, ao contrário de outros ramos da perícia, cuja complexidade se encontra em patamares estáveis, tem perante si desafios incrementais proporcionado pelos avanços tecnológicos. 30 O primeiro desafio reside na evolução da tecnologia cloud computing, que representa uma mudança de paradigma, em que os recursos computacionais, não mais se encontram fisicamente no ambiente organizacional, estando dispersos pela internet. Nesse novo modelo, os recursos são compartilhados por clientes distintos, o que torna mais árdua a investigação forense. Heiser (apud SANTOS, 2010) afirma: “Serviços de Cloud são especialmente difíceis de investigar, porque os logs e dados de vários clientes podem estar localizados conjuntamente e também estar distribuídos com uma constante mudança no conjunto de máquinas e data centers.” Além disso, Santos (2010) afirma que a preservação da integridade das evidências no ambiente de cloud computing pode ficar comprometida, uma vez que, ao se compartilhar o ambiente computacional, em alguns casos, torna-se difícil até mesmo a definição do momento em que um incidente ocorreu. O segundo desafio se refere ao crescimento da capacidade de armazenamento dos dispositivos computacionais, que serão objeto de verificação na busca por evidências. Não é difícil, atualmente, encontrar entre pessoas comuns, discos rígidos com capacidade de armazenamento superior a 1 terabyte. Assim, diante do crescimento da quantidade de dados a ser verificada, verifica-se o crescimento proporcional do tempo necessário à conclusão da perícia, mesmo lançando mão de equipamentos dedicados, com elevado poder de processamento computacional, o que, em algumas situações, pode comprometer, ou mesmo inutilizar, o valor da perícia computacional em processos perante cortes judiciais, pela impossibilidade da apresentação das evidências coletadas em momento oportuno. Por fim, o terceiro desafio abordado é a crescente utilização da criptografia para a garantia da confidencialidade. Atualmente, há ferramentas que são praticamente intransponíveis no que se refere à quebra de senhas e acesso a conteúdo criptografado. No Brasil, o caso recente mais notável foi a apreensão para análise, em 2008, dos discos rígidos dos computadores do banqueiro Daniel Dantas pela Polícia Federal. Graças a utilização de ferramenta gratuitas e disponíveis na internet para criptografia de dados e à inexistência no ordenamento jurídico brasileiro de dispositivos que pudessem obrigar o réu a revelar os códigos de acesso 31 aos sistemas periciados, mesmo após 2 anos de insistentes trabalhos por parte da Polícia Federal e do FBI, os dados contidos nos discos rígidos permaneciam inacessíveis, conforme afirma Globo (2010). 32 3 Metodologia O Exército Brasileiro, organização à qual está direcionada a pesquisa, a despeito de ser uma organização pertencente à Administração Pública Federal, se constitui em uma instituição ímpar, com cultura e regulamentos específicos, com missão prevista na Constituição Federal. Face à situação exposta, verificou-se que o trabalho de pesquisa não poderia estar focado exclusivamente na literatura ou em padrões impostos por normas técnicas, devendo contemplar também a realidade institucional, na busca da concepção de uma proposta que pudesse efetivamente ser implementada. Por esse motivo, considerando o escopo da monografia e a fim de alcançar os objetivos propostos para o presente trabalho acadêmico, foi planejada a realização de uma pesquisa baseada documental e normativa voltada para as leis brasileiras e para o universo relacionado à Administração Pública Federal, em particular, ao próprio Exército, passando, ainda, pela consulta ao arcabouço literário nacional e mundial vinculado ao tema. Além da consulta documental, informações adicionais foram obtidas por meio da observação direta e indireta, uma vez que, a despeito da inexistência de uma estrutura formal estabelecida, há organizações militares que já realizam a perícia forense computacional dentro do Exército, inserida no contexto do tratamento de incidentes de segurança. A respeito da existência de fontes de informação não registradas, Souto (apud DA SILVA, 2010) cita: “além das fontes de informação registradas fisicamente, existem, também, as fontes não registradas, presentes nos canais informais. Assim, é importante destacar que o 33 sistema de comunicação de qualquer área é constituído por canais formais e informais”. Dessa forma, a experiência e as observações do próprio pesquisador, na condição de integrante da estrutura de tratamento de incidentes de segurança do Exército Brasileiro, foram bastante relevante no que concerne ao estabelecimento dos pontos que deveriam ser pesquisados e dos tópicos que deveriam constar da proposta para estrutura de perícia forense computacional, produto final do trabalho de pesquisa. Outra fonte relevante de informações para a pesquisa foi a Conferência Internacional de Perícia em Crimes Cibernéticos (ICCyber), organizada pela Associação Brasileira de Especialistas em Alta Tecnologia (ABEAT). A participação na referida conferência possibilitou o estabelecimento de contatos com profissionais de alto nível vinculados à perícia forense computacional, os quais, entre outras contribuições, indicaram fontes confiáveis para auxiliar a coleta de dados. Cabe, também, destacar a carência de fontes relacionadas à estruturação da perícia forense computacional, tanto no contexto nacional quanto mundial, o que dificultou sobremaneira a delineação da proposta, uma vez que, para alguns itens, praticamente não havia fontes para comparação e avaliação. Quanto à classificação, a presente pesquisa pode ser analisada sob dois aspectos: quanto à natureza e quanto à forma de abordagem do problema. Quanto à natureza, por ser destinado especificamente ao contexto do Exército Brasileiro, o trabalho pode ser classificado como pesquisa aplicada, a qual, conforme definido por da Silva e Menezes (2005, p20) “objetiva gerar conhecimentos para aplicação prática e dirigidos à solução de problemas específicos.” Analisando a pesquisa quanto à abordagem do problema, verifica-se que a presente monografia se enquadra como pesquisa exploratória, uma vez que “visa proporcionar maior familiaridade com o problema com vistas a torná-lo explícito (…) Assume, em geral, as formas de Pesquisas Bibliográficas e Estudos de Caso. ”, conforme descrito por da Silva e Menezes (2005, p20). Sob o ponto de vista dos procedimentos técnicos, verifica-se que foram utilizadas a pesquisa bibliográfica e a pesquisa documental, justificados pela 34 necessidade da revisão da literatura e do arcabouço normativo a respeito do assunto abordado. Prosseguindo na descrição da metodologia adotada, os procedimentos realizados foram os seguintes: • Revisão da bibliografia relacionada ao tema, não âmbito nacional e internacional; • Identificação e estudo da literatura produzida por entidades, no âmbito mundial, vinculadas à perícia forense computacional: − publicações do Scientific Working Group on Digital Evidence (SWGDE); − publicações de The International Organization on Computer Evidence (IOCE), − publicações de The International Association, of Computer Investigative Specialists (IACIS); • Revisão da literatura normativa, no âmbito nacional: − norma ABNT NBR/ISO 17025; − norma ABNT NBR/ISO 27002:2005; e − norma ABNT NBR/ISO 27005:2008; • Revisão da legislação brasileira, relacionada ao tema: − Constituição Federal Brasileira; − Código de Processo Penal; − Código de Processo Penal Militar; • Revisão do arcabouço normativo no âmbito da Administração Pública Federal: − Instrução Normativa Nº 1, do Gabinete de Segurança Institucional da Presidência da República (GSI/PR); − Norma Complementar Nº 3, do Departamento de Segurança da Informação e Comunicações do GSI/PR, que trata das diretrizes para elaboração de política de Segurança da Informação e Comunicações nos órgãos e entidades da administração pública federal; e − Norma Complementar Nº 5, do Departamento de Segurança da Informação e Comunicações do GSI/Pr, que trata da criação de equipes de tratamento e resposta a incidentes em redes computacionais – ETIR. • Revisão do arcabouço normativo no âmbito do Exército Brasileiro: 35 − Instruções Gerais para Salvaguarda de Assuntos Sigilosos – IGSAS (IG 1051), de 26 de janeiro de 2001; − Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19), de 20 de setembro de 2001; − Instruções Reguladoras Sobre Auditoria de Segurança de Sistemas de Informação do Exército Brasileiro - IRASEG (IR 13-09), de 31 de janeiro de 2007; − Instruções Reguladoras Sobre Análise de Riscos Para Ambientes de Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 13-10), de 31 de janeiro de 2007; − Instruções Reguladoras Sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro - IRESER (IR 1315), de 31 de janeiro de 2007; − Instruções Reguladoras para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (IR 20- 26), de novembro de 2001; − Normas para Controle da Utilização dos meios de Tecnologia da Informação no Exército (NORTI), de 28 de março de 2003; − Diretriz para Utilização e Gestão de Software no Exército Brasileiro (GESOFT), de 11 de setembro de 2007; − Plano de Migração para Software Livre no Exército Brasileiro, versão 2010, de 30 de abril de 2010; − Diretriz de Segurança da Informação e Comunicações do Sistema de Telemática do Exército (DSIC/SisTEx), de 21 de outubro de 2010; • Revisão e organização dos dados coletados; • Identificação dos aspectos a serem considerados e dos quesitos a serem respondidos durante a confecção da proposta; • Análise dos dados coletados e resposta aos quesitos; • Composição da proposta. Considerando a especificidade da Instituição Exército Brasileiro, com uma missão diferenciada e sujeita a normas próprias, conforme já mencionado, verificouse a necessidade de propor uma estrutura particular para a realização de perícias forenses computacionais, adaptada aos nuances organizacionais. Todavia, tal 36 proposta não poderia simplesmente ignorar a experiência de instituições conceituadas em todo o mundo, dedicadas à perícia computacional, bem como procedimentos e padrões que tem garantido a consecução de resultados relevantes na área. Dessa forma, a análise de estruturas de perícia forense existentes foram consideradas na metodologia do presente trabalho, de maneira que foram selecionadas para análise considerações do Federal Bureau of Investigation (FBI), da Polícia Federal e da California Task Force on Forensic Services. Quanto à seleção de pontos relevantes para a proposta de estrutura de perícia forense computacional, expõe-se a seguir os critérios que foram utilizados em cada um dos tópicos analisados: • Foram consideradas as recomendações quanto a procedimentos de organizações internacionais ligadas à perícia forense computacional, uma vez que, em geral, reúnem em seus quadros instituições com larga experiência no assunto; • Foram escolhidas organizações governamentais de perícia, por já possuírem estruturas definidas, podendo apresentar resultados sobre vantagens e desvantagens relacionadas aos modelos adotados. • Foram consultados os documentos fornecidos pela Associação Brasileira de Normas técnicas, responsável pela padronização de procedimentos no âmbito do Brasil; • A legislação brasileira foi analisada em sua plenitude, no que concernia ao tema, uma vez que o cumprimento de seu conteúdo é mandatório; • Os conceitos e recomendações do Gabinete de Segurança Institucional da Presidência da República foram considerados por serem suas normas aplicáveis à toda a Administração Pública Federal; • As normas do Exército foram revisadas e consideradas, de maneira a garantir a composição de uma proposta alinhada aos preceitos e objetivos institucionais; • Outras publicações foram consideradas, por apresentarem aspectos relevantes, que não foram encontrados nas organizações pesquisadas. Quanto à identificação das respostas aos requisitos, verifica-se que as mesmas foram encontradas ao longo dos documentos, tendo sido apresentadas de forma a garantir um raciocínio estruturado. 37 O Quadro 1 apresenta a distribuição dos requisitos entre os documentos pesquisados. Documento Requisito ABNT NBR/ISO 17025 • Definir parâmetros de qualidade para os serviços • Definir o modelo organizacional da estrutura de California Task Force on Forensic Services perícia forense computacional Force • Definir parâmetros de qualidade para os serviços Report • Definir o tamanho das equipes e o regime de trabalho • Estabelecer Computer Forensics o conceito de perícia forense computacional no Exército Brasileiro • Delinear o processo para o serviço de perícia forense computacional • Com base na missão, definir os serviços que serão Computer Forensics Education prestados • Definir o perfil dos peritos e a política de treinamento para a(s) equipe(s) Computer Security Incident • Definir a interface com a estrutura de tratamento de Handling CPP CPPM Guidelines for Best Practice in the Forensic Examination of Digital Technology incidentes de rede já existente • Definir o tamanho das equipes e o regime de trabalho • Definir as organizações envolvidas na estrutura • Definir prazos para a conclusão de perícias • Definir o modelo organizacional da estrutura de perícia forense computacional • Estabelecer o conceito de perícia forense computacional no Exército Brasileiro DSIC/SisTEx • Definir a missão da estrutura • Definir as organizações envolvidas na estrutura • Definir a interface com a estrutura de tratamento de incidentes de rede já existente 38 • Definir a necessidade do estabelecimento de normas em cada organização que regulem a perícia forense computacional em complemento à política de segurança da informação do exército • Definir responsabilidades por solicitações e autoridades a quem a estrutura deve se reportar • Delinear o processo para o serviço de perícia forense computacional • Definir prazos para a conclusão de perícias • Definir o perfil dos peritos e a política de treinamento para a(s) equipe(s) • Definir IG 10-11 responsabilidades por solicitações e autoridades a quem a estrutura deve se reportar • Definir prazos para a conclusão de perícias IG 10-51 • Definir a classificação sigilosa dos assuntos • Definir a necessidade do estabelecimento de normas em cada organização que regulem a IR 13-09 perícia forense computacional em complemento à política de segurança da informação do exército • Com base na missão, definir os serviços que serão Proficiency Test Program Guidelines prestados • Definir o perfil dos peritos e a política de treinamento para a(s) equipe(s) Recommended Guidelines • Delinear o processo para o serviço de perícia for Developing SOPs Response to the Preliminary Outline of Draft Forensic forense computacional • Definir o perfil dos peritos e a política de treinamento para a(s) equipe(s) Reform Legislation Quadro 1: distribuição dos requisitos entre os documentos pesquisados 39 4 Resultados Durante a fase de pesquisa, diversas fontes foram consultadas, de maneira a garantir a maior abrangência possível para a composição da proposta. O critério inicial para definição da relevância das fontes baseou-se na própria condição do pesquisador enquanto participante das atividades de perícia forense computacional no âmbito do Exército. Além disso, o levantamento das organizações principais organizações no mundo relacionadas à perícia forense computacional conduziu à descoberta de novas fontes e padrões relevantes ao estudo realizado. Sites especializados em análise e perícia digital também foram bastante úteis para a indicação de autores e organizações relevantes à pesquisa. Após o levantamento e análise das diversas fontes, nos tópicos seguintes são apresentados os resultados, agrupados por sua natureza. No item 4.1 são apresentadas recomendações e padrões propostos por organizações que, em nível nacional e mundial, são reconhecidas como referenciais para a perícia computacional. Em seguida, no item 4.2 são exibidos modelos e dados relevantes de organizações governamentais que tem a realização da perícia computacional entre suas atribuições. Após essa abordagem, no item 4.3 são expostas as considerações das normas da Associação Brasileira de Normas Técnicas que foram apreciadas e tidas como relevantes para a confecção da proposta. No item 4.4 são mostrados os preceitos contidos na legislação Brasileira julgadas pertinentes para a pesquisa. 40 O item 4.5 contém uma coletânea das informações consideradas úteis, que foram verificadas nas normas do Gabinete de Segurança Institucional para toda a Administração Pública Federal. Após isso, no item 4.6 são expostos os resultados da pesquisa focada na legislação do Exército Brasileiro, organização a quem se direciona o presente trabalho. Por fim, no item 4.7 são apresentadas resultados da pesquisa em outras fontes, que incluem artigos de pesquisadores, os estudos de casos realizados durante as disciplinas do Curso de Especialização e Gestão da Segurança da Informação e Comunicações (CEGSIC) e informações coletadas sobre o curso de pós graduação strictu sensu realizado na Universidade de Brasília, em parceria com a Polícia Federal. 4.1 Organizações de Perícia Forense Computacional 4.1.1 Scientific Working Group on Digital Evidence (SWGDE) O Scientific Working Group on Digital Evidence (SWGDE) é um grupo de pesquisa norte-americano engajado no campo da análise de evidências digitais e de multimídia. O SWGDE tem entre seus membros organizações federais, estaduais e locais, universidades, agências internacionais e agências de definição de padrões, dos quais pode-se destacar o Federal Bureau of Investigation (FBI), o Department of Defense (DOD) e o serviço secreto americano. SWGDE (2010) afirma: “The forensic SWGs provide a mechanism for the development and dissemination of consensus-based guidelines education, and recommendations certification, in training, the areas of procedural methodologies, quality assurance and quality control. ” Dessa forma, pode-se considerar as recomendações e os guias de boas práticas publicados pelo SWGDE como referência para a perícia forense computacional. 41 Dentre as principais publicações do SWGDE para o escopo da presente proposta, pode-se destacar o guia para programas de aplicação de testes de proficiência (SWGDE, 2006), o guia para o estabelecimento de procedimentos operacionais padrão para a perícia forense computacional (SWGDE, 2006b) e recomendações para treinamento de recursos humanos (SWGDE, 2010b). Quanto à execução da atividade de perícia, SWGDE (2006) defende que seja realizada apenas por pessoal qualificado, devendo-se, para isso, ser utilizados exames de proficiência. Para estes testes, propõem-se sua classificação em 4 categorias: • forense computacional; • áudio forense; • análise de vídeo; e • análise de imagens. Tal divisão permite, com relação à proposta de estrutura do presente estudo, refletir acerca de quais áreas devem ser abordadas na análise pericial computacional, se apenas em um escopo restrito, incluindo apenas computadores ou redes computacionais, ou de maneira mais abrangente, abordando áreas como a análise de vídeo ou de imagens, as quais ainda não foram tratadas quanto às responsabilidades ou a forma de análise dentro do Exército Brasileiro. Testes de proficiência, de acordo com SWGDE (2006), podem ser internos ou externos, devendo, contudo ser baseados nos seguintes parâmetros: • específicos para cada disciplina; • focados nos processos; e • conterem representatividade em itens rotineiramente avaliados. Quanto à periodicidade da submissão a testes de proficiência, SWGDE (2006) recomenda que os profissionais que ativamente trabalham com a perícia devem concluir com sucesso ao menos um teste por ano, dentro de sua área de perícia específica. Recomenda, também, que a equipe se submeta anualmente a testes aplicados por organizações externas. As seguintes contribuições são oferecidas por SWGDE (2006b): • afirma, com relação à padronização de procedimentos, que tal ação é essencial para melhoria da qualidade e garantia da uniformidade dos processos na realização da perícia, de maneira escrupulosa; 42 • ressalta que devem existir procedimentos operacionais padrão para cada procedimento a ser conduzido, os quais devem ser revisados pelo menos uma vez por ano, arquivando-se versões anteriores para futuras referências; • recomenda, quanto ao dados que devem constar nesses procedimentos, que sejam abordados no documento pelo menos o nome, dados para controle de versão, a proposta e o escopo, definições e abreviaturas que não são comumente utilizadas ou que possuem conotação especial no procedimento, a lista de equipamentos a serem utilizados e os materiais e controles. SWGDE (2010) aborda os seguintes tópicos: • a questão de treinamento de recursos humanos, destacando que devem ser capacitados tanto os que executam perícias quanto os que supervisionam as atividades; • programas de garantia da qualidade, recomendando que os mesmo sejam definidos e implementados, de maneira a atestar a validade e a confiabilidade dos procedimentos; e • a busca da educação continuada por meio de cursos, para a manutenção da proficiência técnica, voltada para a evolução tecnológica, conhecimentos relacionados à legislação e aquisição de novas habilidades. Para fins de planejamento de treinamentos, SWGDE (2010) propõe a seguinte divisão de categorias: • conscientização – provisão de conhecimentos básicos sobre evidências digitais, além de possibilidades e limitações de hardware e software; • habilidades e técnicas – desenvolvimento de habilidades para uso competente de ferramentas específicas; • conhecimento de processos – provisão de compreensão sobre os procedimentos de obtenção de evidências digitais e como aplicá-los nas diversas situações; • desenvolvimento de competências para procedimentos legais – preparação para o testemunho perante cortes legais e apresentação de resultados da perícia de forma precisa e confiável; • educação continuada – desenvolvimento de habilidades para a adaptação às evoluções tecnológicas; e 43 • aplicações e tecnologias específicas – treinamento em subdisciplinas e áreas especializadas (ex: dispositivos móveis, análise de imagens). Tal divisão, segundo SWGDE (2010) permite endereçar a capacitação às funções de gerente, analista, técnico, além dos responsáveis pela resposta inicial a incidentes, que terão o primeiro contato como as evidências. Finalmente, SWGDE (2010) destaca que para a garantia da competências e da proficiência dos peritos, faz-se necessário a definição de um currículo, que aponte as habilidades e conhecimento que os profissionais devem possuir. 4.1.2 International Organization on Computer Evidence (IOCE) O IOCE é composto por agências legais que conduzem investigações de evidências digitais, que tenham a acreditação de seus governos locais ou nacionais. Segundo IOCE (2011), os objetivos da organização são identificar e discutir questões de interesse comum, facilitar a disseminação da informação relacionada ao tema e desenvolver recomendações. O IOCE, atuando desde 1992, foi responsável pela publicação de algumas referências para a realização da perícia forense computacional além da estruturação de equipes para sua execução, como os guias para a realização de perícias, para treinamento e capacitação de pessoal e para o gerenciamento de laboratórios. IOCE (2002) divide as atribuições relacionadas à perícia computacional em papéis, que podem ser acumulados ou não por um indivíduo, que podem se restringir à simples coleta das evidências em um determinado local até a análise dessas evidências, incluindo a redação do relatório final, ou, ainda, na operação de ferramentas com elevado grau de especialização. A divisão de papéis apresentada por IOCE (2002) pode impactar diretamente na capacitação do pessoal para a realização de tarefas. Por isso, para garantir o grau de capacitação dos profissionais, IOCE (2002) recomenda que sejam aplicados testes de proficiência, considerados fundamentais para um programa de garantia da qualidade relacionado à perícia computacional. IOCE (2002b) aborda os aspectos relacionados à formação de peritos, além das habilidades necessárias ao exercício da perícia forense computacional. Nesse contexto, destaca-se que a capacitação básica de peritos deve abranger um período não inferior a 18 meses, o qual pode ser maior, dependendo das habilidades paras 44 as quais se deseja capacitar o profissional. Um ponto relevante a ser destacado é que, independente do papel a ser desempenhado, toda a equipe deve estar habilitada para prestar esclarecimentos perante uma corte. IOCE (2002c) aponta, ainda, como boas técnicas para a capacitação a formação acadêmica, a utilização de empresas privadas ou a capacitação em ferramentas de mercado. Com relação à gerência de laboratórios de perícias forenses computacionais, IOCE (2002c) apresenta dois modelos básicos: centralizado e distribuído. Os fatores que podem influenciar a opção por um dos modelos são a área geográfica abrangida, a legislação nacional, o tamanho da agência e fatores econômicos, entre outros. Os aspectos abordados por IOCE (2002c) relacionados à pessoal são seleção, e cuidados com os peritos. Sobre a seleção, IOCE (2002c) destaca as qualidades desejáveis quando do recrutamento de pessoal para a função de perito. As qualidades chave destacadas são atitude investigativa, interesse em perícia forense computacional e treinamento prévio em tecnologia da informação. Sobre stress e esgotamento dos peritos, IOCE (2002c) diz que determinadas perícias podem levar à condição de stress, devido ao tema, por exemplo, investigações que envolvam pedofilia ou pornografia infantil, ou à quantidade de trabalho. IOCE (2002c) recomenda, a fim de evitar situações de esgotamento, rotatividade de funções e monitoração de pessoal, além do uso de treinamentos, conferências e atividades de desenvolvimento profissional, o que, entre outros fatores, possibilita alteração de rotina. IOCE (2002c) aborda a questão de medições de performance, destacando fatores que podem afetar a produtividade, como o nível de experiência dos profissionais, fatores qualitativos, por exemplo, treinamento recebido e acúmulo de encargos administrativos ou o tipo de caso (fraude, homicídio etc). As medições propostas por IOCE (2002c) incluem HD's e outras mídias de armazenamento, quantidade de dados processados e número de casos, entre outros. IOCE (2002c) trata também da garantia da qualidade de laboratórios, destacando que deve ser designada uma pessoa para o gerenciamento da qualidade. Outro ponto destacado é que deve ser buscada a conformidade dos laboratórios com normas e padrões de acreditação. 45 4.1.3 International Association of Computer Investigative Specialists (IACIS) A IACIS, segundo IACIS (2011), é uma associação sem fins lucrativos, composta por profissionais ligados à aplicação da lei, dedicada à educação no campo da perícia forense computacional. Entre as áreas de atuação da IACIS, destacam-se a formação de peritos profissionais e a coordenação do processo formal do título de certificação Certified Forensic Computer Examiner (CFCE). O processo de certificação inclui, obrigatoriamente o treinamento oferecido pela associação, o que garante a qualidade dos profissionais certificados. Não foram encontradas publicações da IACIS sobre o objeto do presente trabalho. Talvez tal fato se deva à finalidade da organização, a qual é dedicada exclusivamente à formação de peritos forenses computacionais. 4.1.4 SANS Institute The SANS Institute existe desde 1989, sendo uma organização voltada para educação e pesquisa relacionada à segurança da informação. Diversos treinamentos são ministrados em todo o mundo pela organização, além do gerenciamento de programas de certificação e de repositórios confiáveis de documentos de pesquisa, abordando os mais variados aspectos concernentes à segurança da informação, incluindo a perícia forense computacional. Vecchio-Flaim (2001) aborda a questão da composição de equipes de perícia forense computacional, desaconselhando que as responsabilidades concernentes à perícia sejam desempenhadas em tempo parcial em uma organização. Os pontos utilizados na argumentação são a necessidade da imparcialidade do profissional com relação às operações organizacionais de TI 2 e de independência no que concerne à cadeia de comando. 4.1.5 ABEAT A ASSOCIAÇÃO BRASILEIRA DE ESPECIALISTAS EM ALTA TECNOLOGIA é uma uma entidade técnico-científica que segundo ABEAT (2011) possui os seguintes objetivos: 2 TI: Tecnologia da Informação 46 • promover e incentivar a pesquisa e o desenvolvimento científico e tecnológico, nas suas áreas de atuação; • promover e apoiar a conexão de seus associados com a comunidade científica nacional e internacional, por meio do patrocínio das participações nos eventos nacionais e/ou internacionais, e outras formas de patrocínio; • apoiar e suportar os associados no desenvolvimento de suas pesquisas; • apoiar e suportar o desenvolvimento de aplicações práticas das pesquisas e tecnologias desenvolvidas; e • facilitar a rápida transferência dos resultados das pesquisas para a indústria e órgãos públicos. A ABEAT é a atual responsável pela organização das conferências internacionais ICCyber – Conferência Internacional de Perícias em Crimes Cibernéticos, atualmente em sua 8ª edição, e ICoFCS – The International Conference on Forensic Computer Science, atualmente em sua 6ª edição. Além disso, a entidade é responsável também pela produção da revista científica internacional IJoFCS – The International Journal on Forensic Computer Science. A ICCyber é realizada desde 2004, quando foi realizada sob a responsabilidade da Polícia Federal. A despeito de ser um evento relevante de discussão da perícia forense computacional entre organizações públicas e privadas, nacionais e internacionais relacionadas ao tema, a conferência não apresentou grandes contribuições ao presente estudo devido à abordagem de estudos de casos, técnicas e ferramentas, não contemplando a estrutura da perícia forense propriamente dita. O IJoFCS poderia servir como uma relevante fonte de dados para a pesquisa, todavia, verificou-se que seu conteúdo é, essencialmente, voltado para técnicas e ferramentas utilizadas na perícia forense computacional, não tendo apresentado contribuição significativa para o estudo da estrutura e dos processos. 47 4.2 Organizações Governamentais 4.2.1 FBI The Federal Bureau of Investigation é a organização norte americana responsável pelas ações de polícia na esfera federal, à semelhança do que ocorre com a Polícia Federal Brasileira. No que concerne à perícia forense computacional, não foram encontradas publicações relevantes do FBI que atendessem aos objetivos do presente trabalho. Apenas foram encontrados alguns artigos de pessoas ligadas à instituição, as quais não podem ser considerados como posição oficial da organização, podendo ser abordados como outras fontes. 4.2.2 California Task Force on Forensic Services California Task Force on Forensic Services foi criada para garantir eficiência e eficácia na execução dos serviços periciais no Estado da Califórnia, Estados Unidos. Sua seleção para referência deveu-se à comparação de resultados com outros estados norte americanos, que coloca o serviço de perícia daquele em posição de vantagem em relação aos demais. Com relação ao grau de profissionalismo dos laboratórios de perícias, Lockyer (2003) aborda os aspectos garantia de qualidade, acreditação de laboratórios, certificação de profissionais, treinamento e educação. A garantia da qualidade dos serviços de perícia realizados, segundo Lockyer (2003, p32) é fundamental para a manutenção da credibilidade de um laboratório. Tal necessidade requer dos profissionais conhecimento científico, habilidades técnicas, objetividade e ética. Segundo Lockyer (2003, p34), acreditação é o processo pelo qual uma organização se submete à inspeção de um órgão externo, a fim de determinar se suas políticas, procedimentos, equipe, instalações e produtos estão em conformidade com padrões estabelecidos. A acreditação, de acordo com Lockyer (2003) tem se tornado uma credencial indispensável para a manutenção da credibilidade de laboratórios de perícias forenses. 48 A certificação de peritos, segundo Lockyer (2003), inclui exames escritos, testes de proficiência e requisitos de educação continuada para re-certificação. Lockyer (2003) afirma que muitos laboratórios não consideram a certificação como um requisito mandatório, todavia, é crescente o estímulo à busca da mesma pelos seus peritos, por exemplo, através do financiamento dos custos de certificação. Quanto à organização, Lockyer (2003) apresenta a California Task Force on Forensic Services como a composição de laboratórios de perícia forense municipais, estaduais, federais, particulares, ou ainda, administrados por organizações específicas. Lockyer (2003) afirma que nenhum desses laboratórios oferece, isoladamente, todos os serviços de perícia. Tal fato se deve a diversos fatores, como o custo do oferecimento do serviço, a demanda e a capacitação da equipe. Outro ponto interessante abordado por Lockyer (2003) é o tempo necessário à conclusão dos serviços de perícia solicitados. Para requisições de perícia forense computacional, o tempo médio é de 44,3 dias corridos. Tal indicador, contudo, pode variar entre laboratórios, dependendo do número de testes realizados em cada um, do quão equipado é um laboratório e das rotinas e políticas do laboratório. Com a finalidade de atender situações que necessitem de maior agilidade, normalmente as requisições são classificadas em urgentes ou de rotina. Segundo Lockyer (2003), o tempo para atendimento a requisições urgentes, em geral corresponde a um terço daquele dispendido na solução de requisições de rotina. Para cada grupo, ainda, é definido um tempo aceitável para a conclusão do serviço. Enquanto requisições de rotina devem ser concluídas em 90 dias, requisições urgentes devem ser concluídas em um prazo de 10 dias. Com relação ao gerenciamento da estrutura de laboratórios, Lockyer (2003) apresenta alguns aspectos benéficos ou desvantajosos da regionalização de laboratórios, centralizando um grande número de serviços. Segundo Lockyer (2003), as vantagens estão vinculadas ao aproveitamento de recursos, na medida que a ociosidade tenda a ser reduzida, mesmo em casos de serviços que apresentem baixa demanda. Por outro lado, as principais desvantagens se relacionam à coleta de evidências e ao testemunho de peritos em processos legais, os quais apresentarão maiores retardos e outros problemas logísticos decorrentes da necessidade de grandes deslocamentos. Esse problema pode impactar, até mesmo, 49 na utilidade do laboratório, uma vez que a distância pode se apresentar como fator desmotivante para a solicitação de perícias. 4.2.3 Polícia Federal Brasileira A Polícia Federal, segundo Brasil (2011b), foi criada em 1944 e tem por missão: “exercer as funções de Polícia Administrativa e Judiciária, cumprindo suas atribuições legais, no Estado Democrático de Direito, a fim de contribuir para manter a lei e a ordem, na preservação da segurança pública. ” Não foram localizados documentos relevantes que servissem ao propósitos deste trabalho, contudo, algumas informações relacionadas a requisitos e atribuições dos peritos foram coletadas. Segundo Brasil (2011c), as atribuições dos peritos criminais federais incluem atividades técnico-científicas de nível superior de descoberta, defesa, recolhimento e de exame de vestígios em procedimentos pré-processuais e judiciários. Para o desempenho das atribuições previstas, Brasil (2011c) impõe aos peritos forenses computacionais a obrigatoriedade de diploma, devidamente registrado, de conclusão de curso de graduação de nível superior em Análise de Sistemas, Ciências da Computação, Engenharia da Computação, Informática, Tecnologia de Processamento de Dados ou Sistemas de Informação, fornecido por instituição de ensino superior reconhecida pelo Ministério da Educação. Brasil (2010c) aborda a formação do perito criminal federal em escola específica, após aprovação em concurso, formação essa com duração aproximada de 4 meses. Por fim, Brasil (2010c) trata de parcerias institucionais e acadêmicas, voltadas, entre outros pontos, para o desenvolvimento: sistemas, métodos e padrões. Dessa forma, Brasil (2010c) menciona existência de um curso nível de mestrado para a educação em Informática Forense, uma parceria entre a Polícia Federal e a Universidade de Brasília. No que concerne à capacitação de recursos humanos, merece nota a parceria existente entre a Policia Federal e a Universidade de Brasília. Por meio da referida 50 parceria, segundo Unb (2011), peritos criminais federais são capacitados em nível de mestrado,conforme será abordado mais adiante. 4.2.4 Marinha e Aeronáutica A Estratégia de Defesa Nacional (BRASIL, 2008b) prevê a integração das Forças Armadas, principalmente com relação às áreas consideradas estratégicas, entre elas o setor cibernético. Investimentos consideráveis tem sido realizados, não somente pelo Exército, mas também pela Marinha e a Aeronáutica na aquisição de equipamentos voltados para a perícia forense, constatação exemplificada em Brasil (2011d). Além disso, foi observada a troca de conhecimentos técnicos entre as três Forças Armadas, com a participação de militares da Marinha e da Aeronáutica em cursos de capacitação oferecidos aos pessoal do Exército, fato constatado pelo pesquisador, enquanto o inserido na estrutura de tratamento de incidentes de segurança do Exército. Todavia, a despeito dos avanços observados pelo pesquisador na área, não foi possível obter documentos que pudessem denotar a atual situação da perícia forense computacional naquelas Forças, os quais poderiam ser úteis ao trabalho de pesquisa. 4.3 Associação Brasileira de Normas Técnicas (ABNT) A Associação Brasileira de Normas Técnicas tem como uma de suas atribuições a normalização, que consiste na definição das “prescrições destinadas à utilização comum e repetitiva com vistas à obtenção do grau ótimo de ordem em um dado contexto”. (ABNT, 2011). Acerca da segurança da informação, a ABNT publicou algumas normas que regulam o assunto. Apesar das mais conhecidas serem a ISO IEC 27001:2006 e a 27002:2005, existem diversas outras, que abordam o gerenciamento da segurança da informação, gerenciamento de métricas, gestão de riscos e de auditorias, entre outros. A despeito de não tratar especificamente requisitos de qualidade para laboratórios de perícia, a NBR ISO/IEC 17025:2005 é a norma que mais se aproxima 51 dessa abordagem, uma vez que traduz a norma NBR ISO/IEC 9001 para a realidade laboratorial, daí a razão para sua análise durante a pesquisa. No que concerne ao objeto deste projeto, duas normas foram analisadas, por apresentarem tópicos relevantes, os quais merecem ser abordados: a NBR ISO/IEC 27002:2005 e a NBR ISO/IEC 27005:2008, tratadas a seguir. 4.3.1 NBR ISO/IEC 17025:2005 A NBR ISO/IEC 17025:2005 define os requisitos gerais para competência de laboratórios e, a despeito de não ser direcionada a laboratórios para a realização de perícias, apresenta contribuições relevantes no que concerne à qualidade do gerenciamento, da capacitação e das operações. Com relação à gerência de pessoal, ABNT (2005) afirma que os laboratórios devem possuir tanto pessoal gerencial quanto técnico com os recursos necessários ao desempenho de suas tarefas. Ainda sobre os laboratórios, ABNT (2005) afirma: “ter meios para assegurar que sua gerência e o seu pessoal estejam livres de quaisquer pressões e influências indevidas … que possam afetar adversamente a qualidade dos seus trabalhos.” As políticas dos laboratórios, segundo ABNT (2005), devem assegurar a manutenção da confidencialidade das informações, além de evitar ações que possam impactar negativamente a confiança em sua competência, imparcialidade, julgamento ou integridade operacional. Quanto à garantia da qualidade, ABNT (2005) preconiza que deve haver um membro do quadro de pessoal formalmente nomeado, com acesso direto ao mais alto nível gerencial, onde são tomadas as decisões sobre as políticas e/ou recursos do laboratório Com relação à conformidade dos procedimentos com os padrões estabelecidos, ABNT (2005) prevê que sejam realizadas auditorias, além de ações preventivas e corretivas. Por fim, A respeito da influência das acomodações e condições ambientais sobre os resultados dos exames periciais, ABNT (2005) afirma: “O laboratório deve assegurar que as condições ambientais não invalidem os resultados ou afetem 52 adversamente a qualidade requerida de qualquer medição.” 4.3.2 NBR ISO/IEC 27002:2005 A NBR ISO/IEC 27002:2005, também conhecida como NBR ISO/IEC 17799:2005, tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização” (ABNT, 2005b). Um tópico de relevante importância na referida norma é o abordado no item 10.10, que trata de aspectos voltados à auditoria de sistemas, como a definição de registros (logs) e a sincronização de relógios, aspectos esse que podem, perfeitamente, servir à atividade de perícia forense computacional, uma vez que atendem ao objetivo do levantamento das ações que foram realizadas durante o incidente, possibilitando o estabelecendo, ainda, de uma sequência cronológica para as ações. Outro item que merece destaque é o 13.2.3, o qual define diretrizes para a coleta de evidências: “Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (criminal ou civil), convém que as evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição(ões) pertinente(s).” (ABNT, 2005b, p102) Desta forma, a referida norma aponta para a necessidade da existência de uma estrutura mínima para a perícia forense computacional, que se encarregará dos procedimentos necessários à garantia do valor legal das evidências coletadas. 4.3.3 NBR ISO/IEC 27005:2008 A NBR ISO/IEC 27005:2008 trata da gestão de riscos de segurança da informação e tem como objetivo “facilitar uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos” (ABNT, 2008b, p4) 53 Analisando uma estrutura de perícia forense computacional sob o ponto de vista sistêmico, verifica-se que a mesma importância dedicada ao outros sistemas no que concerne à garantia dos atributos da segurança da informação. Portanto, a adequada gestão de riscos deve ser um dos pontos privilegiados, de forma a impedir a exploração de eventuais vulnerabilidades relacionadas ao sistema. A NBR ISO/IEC 27005:2008 descreve o processo de gestão de riscos relacionados à segurança da informação e suas atividades, recomendando sempre a busca de um alinhamento aos nuances da organização enquadrante. No que se refere a diretrizes de implantação, ABNT (2008b, p10) afirma: “Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens: o valor estratégico do processo que trata as informações de negócio, a criticidade dos ativos de informação envolvidos, os requisitos legais e regulatórios, bem como as obrigações contratuais, a importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade e as expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação”. Considerando os fins a que uma perícia forense computacional pode atender, como processos legais e administrativos, com conteúdos, muitas vezes, sigilosos, entre outros aspectos, verifica-se que os critérios para a avaliação de riscos devem contemplar o maior rigor possível, de maneira a mitigar incidentes de segurança que possam comprometer o processo ou as informações a ele relacionadas. ABNT (2008b) recomenda que os controles para a gestão de riscos sejam adequadamente identificados, de maneira a evitar custos e trabalhos desnecessários, além de assegurar sua eficácia, suficiência e justificativa de existência quanto aos objetivos previstos. Outro ponto relevante abordado na norma é a adequada estimativa de riscos, a qual possibilitará a determinação dos riscos mais relevantes, que merecerão 54 priorização quanto ao tratamento. Duas metodologias são apresentadas nesse aspecto: qualitativa e quantitativa. Apesar de menos precisa e, ainda, da subjetividade, a metodologia qualitativa é apresentada por ABNT (2008, p19) como a mais indicada em situações em que os dados numéricos sejam insuficientes para um estimativa quantitativa, como, quando não há dados históricos para avaliação. Quanto às ações para tratamento de riscos, ABNT (2008b) apresenta as seguintes possibilidades: • reduzir o risco – reduzir a probabilidade, as consequências negativas, ou ambas, associadas a um risco; • reter o risco – aceitar o ônus da perda ou do benefício do ganho associado a um determinado risco; • evitar o risco – não se envolver ou agir de forma a se retirar de uma situação de risco e; • transferir o risco – compartilhar com uma outra entidade o ônus da perda ou do benefício do ganho associado a um risco. Por fim, ABNT (2008b) orienta que todas as decisões relacionadas ao processo de gestão de riscos sejam adequadamente documentadas e periodicamente verificadas quanto ao cumprimento e à eficácia. 4.4 Legislação Brasileira A legislação brasileira não aborda a perícia forense computacional de forma particular. De fato, os códigos de processo penal e penal militar apenas abordam a perícia de forma generalizada, de maneira independente do ramo, o que somente possibilita uma tentativa de interpretação aplicada ao contexto computacional, de maneira a possibilitar sua aplicação à perícia forense computacional, ora em estudo. A respeito da discrepância existente entre o avanço da informática e do direito, Neto (2005) afirma: “Destarte, comparando-se o dinâmico desenvolvimento da informática, verifica-se que o mesmo não acontece com o Direito que, considerado sob o prisma positivo, isto é, visto como conjunto de regras escritas evolui lentamente, gerando por vezes discrepância entre a 55 realidade dos fatos sociais emergentes e o tratamento jurídico dos mesmos.” Essa diferença de velocidade na avanço da informática e do direito possibilita a existência de lacunas, as quais, por vezes, podem inviabilizar as atividades de perícia forense computacional. A Constituição Federal de 1988 (BRASIL, 1988), aborda aspectos que podem impactar os procedimentos da perícia forense computacional, influenciando, entre outros aspectos, na admissibilidade de evidências. Um aspecto relevante que deve ser destacado é que os códigos penais tem data de publicação bastante anterior às primeiras atividades relacionadas à perícia forense computacional realizadas no âmbito mundial, o que, muitas vezes, impede a adequação de seu conteúdo à realidade da atividade de perícia forense computacional. 4.4.1 Constituição Federal A Constituição Federal, não é tão antiga quanto os códigos penais, datando de 1988. Desde sua promulgação, diversas emendas constitucionais alteração seu texto, de maneira a evitar sua caducidade. Brasil (1988), aborda diversos aspectos relacionados à garantia dos direitos individuais. O Art 5º trata da inviolabilidade da intimidade, da vida privada, da casa e das comunicações, entre outros. Dessa forma a atividade de perícia forense computacional deve estar limitada, não exclusivamente, aos princípios constitucionais, não sendo admitidas evidências obtidas em desacordo com a carta magna. Brasil (1940), em seus Art 153 e 154 tipifica os crimes contra a inviolabilidade dos segredos, o que alcança, ainda, o sigilo das informações obtidas durante a execução da perícia. Pelo exposto, verifica-se a necessidade de capacitação adequada por parte dos peritos, a fim de que, no exercício de suas atribuições, não venham a incorrer em falhas que possam prejudicar o processo, ou mesmo em ações ilegais. 4.4.2 Código de Processo Penal O Código de Processo Penal (BRASIL, 1941) aborda questões diversas relacionadas à perícia, como a definição da quantidade de peritos necessários à 56 realização da atividade, além dos requisitos necessários aos peritos designados, apontando para a necessidade de habilitação técnica relacionada à natureza do exame. Com relação à quantidade peritos necessários á execução de uma perícia, Brasil (1941) prevê que as perícias sejam realizadas por dois peritos, devendo estes elaborarem laudo pericial. Quanto às situações de incompatibilidade e impedimento, as quais justificam a abstenção dos peritos da execução de uma perícia, Brasil (1941) apresenta como causas de suspeição: • possuir vinculação de parentesco com juiz, defensor ou advogado, órgão do Ministério Público, autoridade policial, auxiliar da justiça ; • ser testemunha do fato em apuração • ter interesse parcial ou direto no feito. • ser credor ou devedor, tutor ou curador, de qualquer das partes; envolvidas no fato em apuração; e • ser sócio, acionista ou administrador de sociedade interessada no processo. Com relação à nomeação de perito, Brasil (1941) preconiza se tratar de um encargo obrigatório, o qual não poderá ser recusado, salvo escusa justificada. Encerrando a abordagem da perícia, Brasil (1941) aponta para a necessidade da preservação das evidências, dando instruções quanto aos procedimentos para comprovação da situação em que as mesmas foram encontradas pelo perito. 4.4.3 Código de Processo Penal Militar O Código de Processo Penal Militar (BRASIL, 1969) se assemelha muito ao Código de Processo Penal, no que concerne à definição da quantidade de peritos para a execução da atividade, prazos e à necessidade da comprovação da lisura do processo de perícia. Alguns aspectos, entretanto, recebem tratamento diferenciado, como a preferência pelos oficiais na escolha dos peritos, atendida a especialidade, denotando que a seleção dos peritos não deve prescindir da necessária habilitação, composta pela capacidade técnico-profissional, cuja ausência pode conduzir à impugnação do perito. Outros aspectos considerados relevantes são o caráter obrigatório do encargo de perito, definido no Art. 49, que não pode ser recusado, salvo no caso de 57 apresentação de justa causa, a qual deve Figurar num rol elencado no próprio código. Por fim, o último aspecto considerado relevante a respeito do assunto em pauta é a definição, no Art 321, do rol de organizações que podem receber as requisições de perícia: “A autoridade policial militar e a judiciária poderão requisitar dos institutos médico-legais, dos laboratórios oficiais e de quaisquer repartições técnicas, militares ou civis, as perícias e exames que se tornem necessários ao processo, bem como, para o mesmo fim, homologar os que neles tenham sido regularmente realizados. ” (BRASIL, 1969) Desse modo, no âmbito do Exército, estão restritas às organizações militares técnicas, o que reduz significativamente o número de organizações elegíveis. 4.5 Gabinete de Segurança Institucional da Presidência da República O Gabinete de Segurança Institucional da Presidência da República, órgão responsável pela coordenação das atividades de segurança da informação, conforme a Lei Nº 10.683, de 28 de maio de 2003, atividade exercida pelo seu Departamento de Segurança da Informação e Comunicações (DSIC), aprovou a Instrução Normativa Nº 01 (BRASIL, 2008), a qual disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta . Com relação ao objeto de pesquisa, a estrutura de perícia forense computacional, a IN 01 atribui aos órgãos e entidades da Administração Pública Federal a competência para “instituir e implementar equipes de tratamento e resposta a incidentes em redes computacionais (…) aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança.” (BRASIL, 2008, p2). O DSIC publicou um total de 9 normas complementares à supracitada instrução normativa a respeito do tema segurança da informação, todas complementares entre si. A NC 03 (BRASIL, 2009b) trata das diretrizes para a elaboração de políticas de Segurança da Informação e Comunicações, enquanto a 58 NC 05 (BRASIL, 2009c) trata especificamente da criação de equipes de tratamento de incidentes em redes computacionais, o que engloba, entre outras atividades, a realização da perícia forense computacional. Na referida norma, chama a atenção o comentário acerca da necessidade de formação técnico-profissional dos membros da equipe, independente do modelo de tratamento de incidentes adotado pela organização da APF. 4.6 Exército Brasileiro Desde o ano de 2001, tem sido possível observar o aumento da importância da segurança da informação no âmbito do Exército Brasileiro. fato que caracteriza tal afirmação foi a publicação, a partir daquele ano, de diversas normas relacionadas ao tema, dentre as quais merecem destaque as IG 10-51 (BRASIL, 2001), que abordam a salvaguarda de assuntos sigilosos, e as IG 20-19 (BRASIL, 2001b), que normatizam o tema dentro da instituição. Derivadas dessas normas, diversas outras foram publicadas, regulando atividades como a realização de auditorias de sistema de informação, a gestão de risco, a gestão de software, bem como a utilização dos meios de tecnologia da informação. 4.6.1 IG 10-51 As Instruções Gerais para Salvaguarda de Assuntos Sigilosos (BRASIL, 2001) foram criadas com a finalidade de padronizar procedimentos relacionados à segurança da informação, mais especificamente, assuntos classificados, no âmbito do Exército. No que concerne à classificação de assuntos, Brasil (2001, p5) determina que devem ser considerados, principalmente, a natureza do seu conteúdo, a necessidade de segurança e a necessidade de conhecer. Brasil (2001, p6) classifica os assuntos sigilosos em quatro graus de sigilo: • ultra-secretos: os que requeiram excepcionais medidas de segurança e cujo teor só deva ser do conhecimento de agentes públicos ligados ao seu estudo e manuseio; • secretos: os que requeiram rigorosas medidas de segurança e cujo teor ou característica possam ser do conhecimento de agentes públicos que, embora 59 sem ligação íntima com seu estudo ou manuseio, sejam autorizados a delas tomarem conhecimento em razão de sua responsabilidade funcional; • confidenciais: aqueles cujo conhecimento e divulgação possam ser prejudiciais ao interesse do País; e • reservados: aqueles que não devam, imediatamente, ser do conhecimento do público em geral. Neste ponto, cabe um adendo, mencionando a sanção do PLC 3 Nº 41/2010 (BRASIL, 2010d), que suprime do rol das classificações o grau confidencial. Contudo, a despeito da sanção do referido PLC ter ocorrido em novembro de 2011, sua efetividade somente será válida em 2012, 180 dias após a sanção. Brasil (2001, p10) aborda a necessidade do adequado processo seletivo de pessoal para o exercício de funções sensíveis. Além disso, são citadas normas específicas, com um rígido processo para a concessão de credenciais de segurança, credenciais estas que envolvem a assinatura de termo compromisso de manutenção de sigilo. Com relação à segurança das áreas e instalações, Brasil (2001, p18) afirma que a classificação das áreas sigilosas tem relação direta com o grau de sigilo dos assuntos nelas tratados. Ainda, áreas de informática deverão ser consideradas sigilosas, o que restringe seu acesso a pessoal devidamente credenciado. Outro ponto importante considerado por Brasil (2001, p18) é a proibição da entrada de pessoas conduzindo máquinas fotográficas, filmadoras ou gravadores. No que concerne especificamente à informática, Brasil (2001) aborda pontos relevantes, como a proibição da conexão à internet ou a outras redes com acesso remoto de computadores que cujo conteúdo seja sigiloso ou sensível. 4.6.2 IG 20-19 As IG 20-19 (BRASIL, 2001b) foram publicadas com a finalidade de orientar o planejamento e a execução das ações relacionadas à Segurança da Informação no âmbito do Exército Brasileiro. Apesar de não apresentar conteúdo específico digno de citação relacionado à perícia forense computacional, talvez por sua natureza genérica, Brasil (2001b) 3 PLC: Projeto de Lei da Câmara 60 serve como referencial para a produção de diversas outras normas, as quais tratam desde a segurança de redes até o uso de certificação digital. 4.6.3 IG 10-11 As Instruções Gerais para a Elaboração de Sindicância no Âmbito do Exército Brasileiro (BRASIL, 2000) têm por finalidade normatizar, padronizar e orientar procedimentos para a realização de sindicâncias no âmbito da instituição. Brasil (2000, p3) determina a competência para a instauração de sindicâncias e, consequentemente, dos demais atos a elas atinentes. Segundo a norma, somente são competentes para instaurar uma sindicância o Comandante do Exército, Oficiais-Generais no cargo de comandante, chefe, diretor ou secretário de OM, e o comandante, chefe ou diretor de OM, independente de posto. Quanto aos prazos previstos no processo, Brasil (2000, p4) fixa o prazo de 20 dias corridos para a conclusão da sindicância, prorrogáveis por igual período, mediante solicitação devidamente fundamentada. Deste modo, verifica-se que uma sindicância não pode ultrapassar 40 dias corridos em sua instrução. Após a entrega dos autos à autoridade instauradora, esta pode determinar que sejam realizadas diligências complementares, as quais devem ser cumpridas em um prazo não superior a 10 dias. Ao findar este último prazo, a autoridade instauradora deverá dar solução à sindicância. Brasil (2000, p6) arrola como participante de uma sindicância técnico ou pessoa habilitada, aquele que for indicado para proceder exame ou dar parecer, categoria em que pode ser enquadrado o perito forense computacional, diferente do sindicante, testemunha, denunciante ou ofendido. Dessa forma, o momento em que o perito deverá ser ouvido no processo, caso necessário, não dever estar associado a nenhum dos demais participantes que não o técnico. Por fim, Brasil (2000, p7) determina que a quantidade de testemunhas que podem ser associadas ao processo por parte do ofendido ou do sindicado está limitada a três, devendo-se ressaltar, novamente, que o perito não deve estar enquadrado entre quaisquer tipo de testemunha, mesmo pelo caráter de imparcialidade de sua tarefa. 61 4.6.4 IR 13-09 As IR 13-09 (BRASIL, 2007) abordam os aspectos relacionados à auditoria de segurança de sistemas, baseando a atividade na verificação de controles, definidos abaixo: “Para aplicação destas Instruções, devem ser considerados como controles todas as formas que definam limites ou atuem como limitadores de qualquer ação que influa na confidencialidade, na integridade ou na disponibilidade das informações de um sistema de informação.” Para Veneziano (2010, p7), um sistema de informação pode ser caracterizado como um conjunto de elementos (ou componentes) inter-relacionados que coletam, manipulam, armazenam e disseminam dados e informações, de forma local ou remota, podendo, ainda, fornecer mecanismos de retroalimentação para o processo. A conformidade da infraestrutura e dos procedimentos periciais com padrões estabelecidos é ponto fundamental para a garantia de que os resultados produzidos pelos laboratórios não sejam questionados perante cortes legais em processos judiciais. Segundo Brasil (2007) os controles definem limites para as ações de um sistema e podem ser exemplificados pela documentação normativa e pelos mecanismos de conFiguração de hardware e software. Com relação ao rol mínimo de documentos que devem existir para um sistema de informação, Brasil (2007, p6) preconiza que estejam sempre disponíveis para consulta: documentação que descreva o sistema de informação, normas de segurança da informação que regem o sistema de informação, documentos que regram procedimentos que tenham sido publicadas em BI, normas técnicas ou de segurança externas que sejam aplicadas no sistema de informação e procedimentos operacionais básicos referente às ações de utilização e gestão. Um ponto interessante mencionado por Brasil (2007, p10) é a necessidade de planos de contingência, elaborados para manter a continuidade do serviço mesmo em situações de desastre ou violação da segurança. Tais planos, segundo Brasil (2007, p10), devem ser atualizados com periodicidade estipulada, além de terem sua aplicação treinada e simulada. 62 O controle e a formação de recursos humanos também é contemplado por essa norma. Os aspectos mais relevantes considerados são a necessidade do estabelecimento de normas de conduta para minimizar riscos relacionados à violações de segurança além da capacitação em diferentes níveis, desde a formação inicial até a continuada, em treinamentos periódicos de atualização. 4.6.5 IR 13-10 As Instruções Reguladoras 13-10 “têm por finalidade regular as condições para o emprego de uma metodologia básica de avaliação de risco a ser aplicada nas OM do Exército Brasileiro, na área de segurança da informação”.(BRASIL, 2007b, p3), tendo como um de seus objetivos prover um mecanismo na aplicação de processos de auditoria de segurança da informação. A utilidade das IR 13-10 para a estrutura de perícia forense computacional se refere ao levantamento, análise e tratamento dos riscos que possam comprometer os resultados decorrentes da execução de uma perícia, o que as tornam fundamentais em um ciclo de aperfeiçoamento contínuo. 4.6.6 IR 13-15 As Instruções Reguladoras Sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro tem por finalidade regular as condições de segurança da informação a serem satisfeitas pelas redes de comunicação e de computadores no âmbito do Exército Brasileiro. Entre os objetivos desta norma está o estabelecimento de regras gerais de segurança em diversas áreas, entre as quais estão a monitoração e registro de eventos referentes aos serviços corporativos de rede e a gestão de incidentes de rede. Brasil (2007c, p16) aborda a questão do registro de eventos (logs), sugerindo uma lista de eventos considerados relevantes. Além disso, a norma se refere a auditoria desses registros quanto à sua eficácia, além do sincronismo de relógios entre as estações de trabalho e um servidor na rede. No que concerne a verificações de efetividade de medidas de segurança, Brasil (2007c, p25) define que tais ações podem ter caráter preventivo ou de investigação, este último para esclarecer as razões de uma violação de segurança. 63 Quanto à violações de segurança, Brasil (2007c, p31), em seu Art 116, parágrafo 2º afirma: “Violações consideradas graves, tais como vírus de computador que causem perda de dados, invasões feitas por hackers, sabotagem do sistema de informação da OM, fraudes etc, devem ser imediatamente notificadas ao CITEx para fins de resposta ao incidente de segurança surgido.” Tal afirmação atribui ao CITEx e a suas unidades subordinadas a tarefa pelo tratamento de incidentes de segurança, o que inclui ações relacionadas à perícia forense computacional. Independente de responsabilidade pelo tratamento de incidentes, Brasil (2007c, p32) determina que, na execução da tarefa, sejam priorizados a preservação de evidências, a continuidade de serviços e a recuperação da operação em condição de normalidade. 4.6.7 IR 20-26 As Instruções Reguladoras Para Utilização da Rede Mundial de Computadores (INTERNET) por Organizações Militares e Militares do Exército têm por finalidade regular as condições de acesso e utilização dos recursos da Internet em proveito da Instituição. Brasil (2001c, p3) define os domínios para acesso das organizações militares à internet, a saber: exercito.gov.br, eb.mil.br e eb.br. Além disso, estabelece a finalidade de cada um dos domínios elencados, bem como as responsabilidade pela gerência dos mesmos. Quanto à realização de auditorias, ou mesmo de perícias forenses computacionais, Brasil (2001c, p8) regula que logs de eventos devem ser buscados na utilização da internet por parte das Organizações Militares. Além disso, a norma restringe a utilização de criptografia aos recursos homologados pelo Departamento de Ciência e Tecnologia. 64 4.6.8 NORTI As Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército (BRASIL, 2003) regulam o disposto no Regulamento Disciplinar do Exército (BRASIL, 2002) no que diz respeito a procedimentos do militar ou do servidor civil, do Exército Brasileiro, no desempenho de suas funções, em particular, ao utilizar recursos de TI, de propriedade do Exército, colocados sob a sua responsabilidade. Entre os pontos mais relevantes, Brasil (2003) define o que é considerado matéria ilícita para a instituição, além de regular os aspectos relacionados à vistoria de recursos de TI, os quais estão intimamente à perícia forense computacional. Por fim, quanto à verificação de mensagens de e-mail, Brasil (2003) é explicito: “O conteúdo das mensagens de correio eletrônico, sob domínio do Exército Brasileiro, não deverá ser violado, salvo mediante ordem judicial. Após obtida esta autorização, o(s) usuário(s) deverá(ão) ser cientificado(s) da vistoria, antecipadamente, por escrito.” 4.6.9 GESOFT A Diretriz Para Utilização e Gestão de Software no Brasil (BRASIL, 2007d) tem por finalidade proporcionar conhecimentos essenciais relativos a uma boa administração dos programas de computador (softwares) para uso nas Organizações Militares. O aspecto mais relevante apresentado por Brasil (2007d) diz respeito à priorização da adoção de padrões abertos, cujo conceito consiste em “Programa de computador sobre o qual se dispõe de alguma liberdade, por exemplo, conhecimento e disponibilidade de modificação do código-fonte, possibilidade de realizar um número ilimitado de cópias, dentre outras.”. Mais ainda, o software livre é considerado um recurso estratégico para a implantação do governo eletrônico. Outro aspecto relevante apresentado por Brasil (2007d, p11) se refere ao processo de homologação de software, por meio do qual um programa de 65 computador é considerado plenamente aplicável às atividades peculiares do Exército. 4.6.10 Plano de Migração para Software Livre O Plano de Migração para Software Livre, versão 2010 (BRASIL, 2010) tem como objetivo definir as atividades desenvolvidas durante o processo de transição para plataforma de Software Livre na infraestrutura de tecnologia da informação do Exército Brasileiro. Segundo Brasil (2010, p24), a despeito da vigência do plano de migração, não está descartado o uso de softwares não padronizados pela instituição, quando necessário, devendo, contudo, serem tais softwares submetidos a processo de homologação junto ao Departamento de Ciência e Tecnologia. 4.6.11 DSIC/SisTEx A Diretriz de Segurança da Informação e Comunicações do Sistema de Telemática do Exército (BRASIL, 2010), juntamente com seus anexos, é o documento mais relevante no que se refere à gerência e execução da perícia forense computacional no âmbito do Exército Brasileiro e tem como objetivo assegurar a integridade, a autenticidade, a confidencialidade e a disponibilidade das informações armazenadas, em circulação ou em processamento nas redes corporativas, e a implantar e garantir a confiabilidade e a continuidade do Sistema de Telemática do Exército. Brasil (2010b) define a infraestrutura de tratamento de incidentes de redes (ITIREX), baseada no Centro Integrado de Telemática do Exército, nos Centros de Telemática de Área (CTA) e Centros de Telemática, como responsável, exclusivamente, pelo tratamento de incidentes no domínio eb.mil.br. A composição da ITIREX consiste em um Centro de Coordenação para Tratamento de Incidentes de Rede, localizado no CITEX, e em 12 Seções de Tratamento de Incidentes de Rede (STIR), localizadas nos CTA e CT. Em setembro de 2011, as STIR receberam a denominação de Seções de Segurança, sendo compostas por 3 Subseções: Subseção de Tratamento de Intrusão, Subseção de Segurança Gerencial e Subseção de Segurança Operacional. 66 No que concerne à capacitação de recursos humanos, Brasil (2010b, p38) preconiza que todos os membros da ITIREX devem possuir a seguinte formação: • ter realizado o curso Segurança da Informação para Equipe Técnica (ISTS), constante do programa de cursos do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.BR); • ter realizado o curso Fundamentos de Tratamento de Incidentes (FIH), constante do programa de cursos do CERT.BR; • ter realizado o curso Tratamento de Incidentes Avançado para Equipe Técnica (AIH), constante do programa de cursos do CERT.BR; • possuir a certificação Profissional Certificado em Segurança de Sistemas de Informação (CISSP), controlada pela Sociedade Internacional para Certificação em Segurança de Sistemas de Informação (ISC2); • ter realizado o curso de Perícia Forense Computacional; • ter realizado o Estágio de Inteligência e Contra-inteligência; e • ter realizado curso avançado de testes de penetração. Brasil (2010b, p40) arrola entre as diversas missões atribuídas às Seções de Segurança a preservação dos relatórios e dos artefatos dos incidentes que forem por ela tratados, além da própria realização de perícias forenses computacionais. A preservação de artefatos é elencada, inclusive, entre os procedimentos adotados no processo de tratamento de incidentes de rede. Tratando especificamente da perícia forense computacional, Brasil (2010b), em seu anexo H, aborda o assunto no âmbito do Sistema de Telemática do Exército, ressaltando que aquele sistema é responsável pelo apoio de tecnologia da informação à maioria das organizações militares, as quais estão sob o domínio eb.mil.br. Segundo Brasil (2010b, p58) a perícia forense computacional pode ser solicitada em três situações: • determinada pela autoridade policial militar ou pela judiciária; • requerida por qualquer das partes envolvidas em processo legal; ou • solicitada por encarregado de IPM, ou sindicante. Quanto aos requisitos do profissional responsável pela realização de perícias forenses computacionais, Brasil (2010b, p59) preconiza que deva deve ser militar de 67 carreira do Exército, possuidor de curso superior, preferencialmente na área de Tecnologia da Informação, além de ter conhecimentos comprovados na área de forense computacional. Além disso, são apresentados como fatores que inabilitam um militar para realizar uma perícia: • a nomeação prévia para a realização de outra perícia em condição de concomitância; • o envolvimento no fato em apuração; • relacionamento matrimonial ou de parentesco com pessoa envolvida no fato em apuração; • participação no fato que originou a sindicância ou a instauração do Inquérito Policial Militar (IPM) que motivou a solicitação de perícia; ou • ser testemunha da sindicância, IPM ou processo judicial que motivou a solicitação da perícia. Quanto ao prazos previstos, Brasil (2010b, p59) prevê que a perícia deva ser concluída em 30 dias, prorrogáveis por igual período. Brasil (2010b) prevê, ainda, que em casos excepcionais, o perito poderá requerer a prorrogação por prazo superior ao estabelecido por padrão. No que concerne à salvaguarda de assuntos sigilosos, Brasil (2010b) afirma que sempre deve ser atribuída classificação sigilosa aos autos da perícia, a qual deve ser, no mínimo, reservada. Por fim, Brasil (2010b) aborda os cuidados a serem tomados na cadeia de custódia, registro de quem teve acesso às provas, mantendo uma lista detalhada dos indivíduos que tiveram algum material apreendido sob seu poder, desde a apreensão até a devolução, de maneira a garantir a lisura do processo de perícia forense computacional, evitando, dessa forma, o risco de perda da validade do laudo pericial. 4.7 Outras Fontes 4.7.1 Computer Forensic Education Esse artigo foi selecionado como referência por ter sido produzido por profissionais tanto do meio acadêmico quanto de forças legais, garantindo pontos de 68 vista diversificados, e ter sido publicado pela IEEE Computer Society, organização que, segundo IEEE (2011) tem por missão buscar o avanço da teoria, da prática e da aplicação da ciência da computação. O foco do material se concentrou nos esforços necessários para o desenvolvimento de um programa que garantisse o rápido crescimento do ramo da perícia forense computacional, indo ao encontro do proposto no presente trabalho. Yasinsac et al (2003) apresenta quatro grupos que podem ter algum interesse na perícia forense computacional: forças voltadas para a aplicação da lei, peritos e outros profissionais ligados diretamente à perícia e organizações acadêmicas, cada grupo, com seus próprios interesses com relação ao tema. Com base nesses grupos, Yasinsac et al (2003) apresenta uma abordagem para o desenvolvimento de um competências, que podem ser desenvolvidas pela própria estrutura de perícia forense computacional. As competências propostas são: • Técnico – papel voltado exclusivamente para a obtenção de evidências em computadores e redes, devendo compreender tanto os aspectos relacionados a hardware quanto software. • Desenvolvedor de políticas – gerente ou administrador responsável pelo estabelecimento de políticas que impactarão nas atividade de perícia. • Profissional – possui todos os conhecimentos do técnico, possuindo habilidades adicionais, como procedimentos legais e outros conhecimentos advindos de uma sólida formação e experiência. • Pesquisador – pessoa dedicada à educação relacionada à perícia nas escolas de formação. 4.7.2 Public Forensic Laboratory budgets Esse artigo, apesar de não representar a posição oficial do FBI, foi disponibilizado como material de pesquisa disponibilizado por aquela organização, apresentando importantes considerações acerca das dificuldades de gerenciamento de laboratórios de perícia forense. A contribuição que o material traz ao presente trabalho reside na análise de estruturas organizacionais adotadas em laboratórios públicos norte americanos, que poderiam ser reproduzidas em outros sistemas. Quanto à estrutura, Koussiafes (2004) apresenta três possibilidades: laboratórios sob o controle de organizações voltadas para a garantia da lei e da 69 ordem, laboratórios reunidos sob a direção de uma agência independente da estrutura legal existente e laboratórios com dedicação parcial à perícia, podendo exercer outras atividades relacionadas à pesquisa. Quanto à primeira categoria de laboratórios, Koussiafes (2004) afirma que a visibilidade dos trabalhos é reduzida, devido a sua subordinação a outra organização. Todavia, tal estruturação apresenta a vantagem do relacionamento aproximado com as forças de garantia da lei e da ordem, o que pode proporcionar maior agilidade em determinadas situações. Uma estrutura laboratorial independente, segundo Koussiafes (2004), garante maior status, porém traz consigo o ônus da competição por recursos. Por fim, laboratórios periciais em tempo parcial, possibilita a provisão de outros serviços agregados, podendo ser utilizados em rotinas de análises reguladoras, como auditorias. Koussiafes (2004) aborda ainda a consolidação de serviços em poucos laboratórios. A principal vantagem apresentada é a possível redução de custos. Koussiafes (2004), todavia, ressalta que a questão logística deve ser analisada com o devido cuidado. Isso porque uma grande gama de serviços pode resultar em menos recursos para determinados setores, impactando na qualidade dos serviços. Além, disso, deve-se considerar a possível necessidade de deslocamentos para testemunhos por parte dos peritos, que, se não for custeada pelos solicitantes, pode elevar os custos consideravelmente. Por fim, Koussiafes (2004) considera a terceirização de serviços de perícia como uma possibilidade viável, destacando, contudo, que devem ser apreciadas questões relacionadas ao sigilo e à segurança das evidências e dos resultados das análises. 4.7.3 CEGSIC As disciplinas do Curso de Especialização em Gestão da Segurança da informação e Comunicações, coordenado pela UnB, apresentaram a proposta de realização de estudos de caso, na qual os pesquisadores utilizavam suas próprias organizações como objeto de estudo. A utilidade do método adotado para condução das disciplinas pode ser constatada sob os seguintes aspectos: 70 • realizar pesquisas na própria instituição de trabalho possibilitou enxergar a organização sob uma ótica diferenciada, levando ao levantamento de questionamentos que, até então, não eram observados; • a realização dos estudos de caso permitiram maior aproximação com técnicas de coleta e análise de dados, as quais foram extremamente relevantes para o presente trabalho de pesquisa. Ademais, a despeito da opção pela não adoção do modelo de estudo de caso, verifica-se que a própria opção pelo presente trabalho foi influenciada por aquele modelo, uma vez que a escolha pelo tema foi fruto de constatações durante a fase de realização das disciplinas. 4.7.4 Mestrado em Perícia Forense Computacional da UnB 4 O mestrado profissional em engenharia elétrica, área de concentração em informática forense e segurança da informação é oferecido pela UnB em parceria com a Polícia Federal, desde o ano de 2009, segundo Unb (2011). Quanto ao público atendido, o corpo discente se restringe a membros das Polícias Federal e Civil que atuem na área específica do curso. Quanto aos objetivos do curso, Unb (2011) apresenta os seguintes: • capacitar Peritos Criminais dos Institutos de Criminalística/Polícias TécnicoCientíficas em âmbito Federal e Estadual, no que diz respeito ao conhecimento em Informática Forense em suas diversas particularidades (conteúdo, doutrinas, procedimentos e técnicas); • incentivar pesquisas e trabalhos de excelência na área de Informática Forense, possibilitando a criação de soluções para problemas encontrados na atualidade pelos diversos corpos periciais e criando oportunidades de integração dos Peritos Criminais de todos os Estados com diversas comunidades acadêmicas nacionais e internacionais; e • criar ambiente propício para a integração dos diversos corpos periciais dos Estados, permitindo assim uma divulgação e uniformização do conhecimento, de procedimentos e das melhores técnicas e práticas,além de possibilitar a troca de experiências entre esses corpos, o que é de extrema valia na busca 4 UnB: Universidade de Brasília 71 por um corpo pericial de referência nos Estados, no Brasil e também mundialmente. Abordando a operacionalização do curso, as disciplinas do curso são ministradas no campus da Universidade de Brasília – UnB no Distrito Federal, em encontros de uma semana a cada mês, o que permite a capacitação de profissionais lotados em unidades da Polícia Federal distribuídas por todos o país. Por fim, no concerne aos conhecimentos envolvidos nos curso, as seguintes áreas são abordadas durante o curso: • fundamentos e métodos da computação (aplicado a sistemas de arquivos, complexidade de algoritmos e bancos de dados); • criptografia e segurança de dados; • redes de computadores; • tópicos em ciências forense (metodologia científica e criminalística); • tópicos em tecnologias da informação (aplicado a recuperação e análise de dados e a engenharia reversa); • arquitetura de computadores digitais (tópicos em hardware e tecnologias emergentes); e • sistemas operacionais. Pelo exposto, verifica-se que os conhecimento abordados nesse curso de mestrado são voltados para os aspectos técnicos, metodológicos e científicos, não sendo consideradas, de maneira geral, questões relacionadas à estrutura de perícia forense computacional. 72 5 Discussão e Proposta Buscando apresentar a proposta de forma estruturada, os quesitos foram ordenados em um encadeamento lógico, de maneira a abordar desde a definição de conceitos elementares, como a missão da estrutura, até a consideração de parâmetros e métricas para a avaliação dos serviços prestados. Quanto a pertinência dos itens selecionados para discussão e composição da proposta, ressalta-se que a perícia forense computacional já é realizada atualmente no âmbito do Exército Brasileiro, o que permite realizar uma análise contextualizada Além disso, invoca-se a condição de pesquisador participante, inserido na estrutura de tratamento de incidentes de segurança, inclusive realizando o serviço de perícia forense computacional Com base nos pontos acima é proposta a discussão de tópicos considerados relevantes sob os seguintes critérios: • conceitos básicos como o conceito de perícia forense computacional para o Exército e a missão da estrutura são fundamentais para nortear todo o trabalho a ser realizado; • o estabelecimento dos serviços a serem prestados possibilita a delimitação do que é ou não encargo da estrutura, evitando interpretações ambíguas; • determinar quem estará envolvido na estrutura impacta em diversos fatores, como a destinação de recursos financeiros e humanos, além de nortear os potenciais clientes, permitindo-lhes saber a quem devem direcionar suas solicitações; • uma vez que já existe uma estrutura de tratamento de incidentes de segurança estabelecida, a qual, em princípio, também reúne condições de 73 realizar a perícia forense computacional, deve-se definir a interface entre as estruturas; • questões relacionadas ao perfil dos peritos, sua capacitação, além da composição das equipes são fundamentais, uma vez que podem determinar a eficácia da estrutura; • aspectos normativos são necessários para a regulação do serviço no âmbito da Força; • questões relativas à salvaguarda das informações abordadas durante as perícias devem ser abordadas, a fim evitar possíveis problemas decorrentes da não observância do sigilo necessário à atividade; e • a efetividade e a qualidade do serviço somente podem ser garantidas mediante um adequado processo de medição, baseado em parâmetros previamente estabelecidos. Desta forma, com base nos dados coletados, são discutidos a seguir os pontos relevantes relacionados aos quesitos propostos. 5.1 Discussão 5.1.1 Estabelecer o conceito de perícia forense computacional no escopo do Exército A respeito da perícia forense computacional, US-CERT (2008) afirma “We define computer forensics as the discipline that combines elements of law and computer science to collect and analyze data from computer systems, networks, wireless communications, and storage devices in a way that is admissible as evidence in a court of law. ” Nesta definição, US-CERT ressalta dois pontos relevantes: • a perícia forense computacional deve estar voltada aos aspectos legais e à ciência da computação; e • a perícia está voltada, em última análise, apenas à obtenção de provas que sejam admissíveis perante cortes legais. 74 O Departamento de Defesa norte Americano, segundo Vacca (2005, p36) considera a perícia forense computacional exclusivamente como ferramenta auxiliar para o tratamento de ataques cibernéticos, buscando determinar os responsáveis pela origem dos ataques, o que é uma abordagem restritiva. SWGDE (2006), por outro lado, aborda o tratamento de evidências digitais de forma mais abrangente, propondo análises não apenas computacionais, mas também de áudio, vídeo e imagens. Tal abordagem poderia incluir exames dos mais diversos, como transcrições e degravações. Brasil (2010b) apresenta a seguinte definição para a perícia forense computacional: “conjunto de métodos científicos para aquisição, preservação, coleta, validação, restauração, identificação, análise, interpretação, documentação e apresentação de evidências digitais, quer sejam componentes físicos ou dados que foram eletronicamente processados e armazenados em mídias computacionais;” Este último conceito faz menção às atividades da perícia, sem, contudo, abordar os aspectos legais a ela relacionados. Para a presente proposta, será adotado um conceito misto das definições propostas por US-CERT (2008) e Brasil (2010b). Dessa forma, será possível restringir o escopo da perícia forense computacional exclusivamente a atividades ligadas à ciência da computação, sem, contudo, fazer distinção quanto à finalidade, permitindo sua utilização tanto para o tratamento de incidentes de rede quanto para esclarecimentos em processos legais, como sindicâncias e inquéritos policiais militares, entre outros. Pelo exposto, para os fins desta proposta, a perícia forense computacional consiste no conjunto de métodos da ciência da computação, combinados com elementos legais, para a aquisição, preservação, coleta, validação, restauração, identificação, análise, interpretação, documentação e apresentação de evidências digitais, quer sejam componentes físicos ou dados que foram eletronicamente processados e armazenados em mídias computacionais, de forma que, caso necessário, tais evidências sejam admissíveis perante cortes legais. 75 5.1.2 Definir a missão da estrutura O próprio conceito de perícia forense computacional adotado conduz à missão fundamental, o que é esperado da estrutura com relação à execução da perícia forense computacional, voltada ao atendimento das demandas no âmbito do Exército. Todavia, tarefas adicionais relacionadas à auditoria, à educação para a criação de uma mentalidade de segurança da informação, entre outras, poderiam ser adicionadas. Dessa forma, para a fase inicial, as missões podem ser consideradas de maneira a: • atender às demandas decorrentes do processo de tratamento de incidentes; • atender às demandas de perícia para a solução de processos internos da instituição, como sindicâncias; • atender às demandas de perícia de processos relacionados a crimes militares que envolvam o Exército; e • auxiliar na capacitação de novos profissionais para a comporem os quadros de peritos. Nesse contexto, exclui-se do escopo da missão da estrutura o apoio à solução de processos que não envolvam diretamente o Exército ou seus integrantes. Pelo exposto, a missão da estrutura de perícia forense computacional do Exército pode ser anunciada da seguinte forma: “Realizar o serviço de perícia forense computacional no âmbito do Exército, em apoio aos processos criminais e administrativos ligados à Força Terrestre, bem como apoiar a formação de profissionais para a prática da perícia forense no âmbito do Exército.” 5.1.3 Com base na missão, definir os serviços que serão prestados SWGDE (2006) divide a análise de evidências digitais em quatro categorias: forense computacional, áudio forense, análise de vídeo e análise de imagens. Dessa forma, verifica-se a análise de evidências é muito mais abrangente que a perícia forense computacional. Para os fins desta proposta, uma vez que aumento do escopo de serviços poderia impactar na formação de recursos humanos e nos 76 custos de manutenção de laboratórios, os serviços prestados pela estrutura estarão restritos à forense computacional. A missão proposta inclui também o apoio à capacitação de peritos. Yasinsac et al (2003) apresenta os grupos que podem ter algum interesse na perícia forense computacional, associando-os a papéis. Dessa forma, o apoio à capacitação, envolveria questões ligadas a técnicas, procedimentos e legislação aplicada à perícia, entre outras. Considerando a missão de executar o serviço de perícia propriamente dito e apoiar a educação para a perícia forense computacional, os serviços propostos são listados a seguir: • execução de perícias forenses computacionais no âmbito do Exército Brasileiro; • prestação de testemunho junto à cortes legais em processos ligados ao Exército Brasileiro; e • suporte à capacitação de peritos para o Exército Brasileiro, auxiliando a formação nas Escolas Militares, em disciplinas relacionadas à perícia forense computacional. 5.1.4 Definir o modelo organizacional da estrutura de perícia forense computacional Segundo as informações apresentadas em Brasil (2011), se forem consideradas as Delegacias do Serviço Militar e os Tiros de Guerra, o Exército Brasileiro possui cerca de 1200 quartéis, os quais abrigam, segundo Record (2010) um número de militares em torno de 200 mil homens, distribuídos em todo o território nacional. Ao comparar estruturas centralizadas com distribuídas, IOCE (2002) afirma que estruturas descentralizadas requerem um programa de gerência central fortalecido. Considerando os principais fatores apresentados por IOCE (2002) que podem influenciar a opção por um modelo de gerência de laboratórios, a saber, a área geográfica abrangida, a legislação nacional, o tamanho da agência e fatores econômicos e na tentativa de analisar modelos organizacionais candidados para a estruturas de perícia forense computacional, três possibilidades são consideradas: 77 • adoção de um único laboratório para atender toda a instituição; • adoção de laboratórios regionalizados, com capacidade (teórica) para atender a todas as demandas, no que concerne às especialidades de serviços; e • adoção de uma estrutura de laboratórios distribuídos pelo país, cada um com uma especialidade distinta, voltado ao atendimento das demandas de toda a instituição, dentro de sua área específica. Lockyer (2003), ao abordar os modelos organizacionais para laboratórios, indica que a perícia forense computacional não se resume à análise de evidências, abrangendo a coleta de evidências, segundo procedimentos adequados, visando à sua preservação e, na outra ponta, a possível necessidade do testemunho do perito perante tribunais. Outro aspecto relevante a ser considerado é o gerenciamento dos custos do laboratório, que inclui a aquisição de equipamentos adequados à execução da perícia. Nessa abordagem, Jones (2008, p209) afirma que um laboratório somente será completo se tiver acesso a todos os recursos, além do pessoal possuir os conhecimentos e capacidades específicos. Sob esse ponto de visto, talvez a opção mais interessante seja reduzir o escopo de especialidades endereçadas por cada laboratório a abranger diversas áreas, sem, contudo, possuir a capacitação e as ferramentas necessárias. Considerando os pontos acima tratados, a estrutura sugerida seria a seguinte: • Estrutura baseada em um modelo hierárquico, para fortalecer a gerência; • Laboratórios com funcionalidades básicas semelhantes, atendendo de forma regional, de maneira a otimizar a utilização de recursos, no que concerne a atividade de coleta de evidências e prestação de testemunho pelos peritos perante tribunais; • Levantamento de áreas específicas para as quais os custos são deveras elevados e cuja demanda não compense a adoção de equipamentos de forma generalizada para toda a estrutura. Para tais áreas, deve-se eleger laboratórios específicos para oferecerem o serviço a todo o Exército. 78 5.1.5 Definir as organizações envolvidas na estrutura Brasil (1969) restringe o universo de organizações militares candidatas à hospedagem da estrutura da perícia forense computacional àquelas que podem ser classificadas como repartições técnicas. O projeto de segurança cibernética, implementou, como um de seus produtos, a infraestrutura de tratamento de incidentes de rede (ITIREX), conforme o proposto por Da Silva (2010), baseada na estrutura existente no Sistema de Telemática do Exército. Com relação à constituição da ITIREX, Brasil (2010b, p37) expõe: “A ITIREx é constituída pelo Centro de Coordenação para Tratamento de Incidentes de Rede (CCTIR/EB), localizado no Centro Integrado de Telemática do Exército (CITEx), pelas Seções de Tratamento de Incidentes de Rede (STIR) localizadas nos Centros de Telemática de Área (CTA), nos Centros de Telemática (CT) e no CITEx, e demais Equipes de Tratamento de Incidentes de Rede (ETIR).” Desta forma, as STIR são o principal braço de execução da ITIREX, possuindo atribuições diversas relacionadas ao tratamento de incidentes de redes, entre elas a realização de perícias forenses computacionais. Brasil (1969), com relação à obrigatoriedade da comprovação de conhecimentos técnicos pelos peritos, afirma: “Os peritos e os intérpretes poderão ser, pelas partes, arguidos de suspeitos ou impedidos; e os primeiros por elas impugnados, se não preencherem os requisitos de capacidade técnico-profissional para as perícias...” Desta forma, as organizações candidatas à composição da estrutura de perícia forense computacional devem ser aquelas que reúnam, preferencialmente, a maior quantidade de profissionais habilitados à realização deste tipo de perícia. No que concerne à distribuição de organizações militares voltadas para a TI, Brasil (2011) apresenta o Departamento de Ciência e Tecnologia e suas organizações subordinadas como concentradores do pessoal técnico especializado, apto, segundo a legislação, à execução de perícias forenses computacionais. Nesta 79 linha, o SisTEx representa o elemento daquele Departamento mais indicado para compor a estrutura de perícia forense computacional, face sua distribuição pelo território nacional e características de prestação de apoio à grande maioria das organizações militares do Exército. Considerando a demanda de requisições de perícia, o custo de aparelhamento de laboratórios e os benefícios decorrentes da proximidade geográfica, a despeito da divisão de domínios prevista em Brasil (2001c), é sugerida a utilização das organizações do SisTEx para comporem a estrutura de perícia forense computacional da instituição. Os Centros de Telemática de Área e os Centros de Telemática, de uma forma geral, possuem as mesmas atribuições funcionais, contudo, o efetivo de pessoal previsto para um CT é cerca de 50% do previsto para um CTA. Desta forma, considerando a organização proposta no item anterior, todos as Organizações Militares do SisTEx teriam o mesmo aparelhamento e missão base, voltado ao atendimento das demandas regionais. Áreas específicas de conhecimento, como, por exemplo, perícias em dispositivos móveis, as quais, no momento, não possuem demanda elevada, poderiam ser de distribuídas entre os CTA. Dentro de cada CTA e CT, as Seção de Segurança se apresenta como principal candidata para compor a estrutura de perícia, uma vez que já reúne pessoal capacitado para tal, além de ter a execução de perícias como uma de suas atribuições previstas em Brasil (2010b). Para fins de enquadramento funcional, a Subseção de Segurança Operacional ficaria responsável pelo serviço, o qual, todavia, poderia ser realizado, caso necessário, por todos os demais integrantes da Seção de Segurança, uma vez que possuem igual habilitação. 5.1.6 Definir a interface com a estrutura de tratamento de incidentes de rede já existente A infraestrutura de tratamento de incidentes de rede do Exército Brasileiro, conforme descrita em Brasil (2010b), não se restringe ao Sistema de Telemática do Exército (SisTEx), uma vez que este somente como sua responsabilidade o domínio eb.mil.br. Para os demais domínios do Exército, a saber, exercito.gov.br e eb.br, são previstas equipes próprias para o tratamento de incidentes. 80 Por suas características de pessoal e missão, as Seções de Segurança dos Centros de Telemática de Área e Centros de Telemática foram apontadas na presente proposta como responsáveis pelo serviço de execução de perícias forenses computacionais no âmbito do Exército. Com relação à coleta de evidências durante o tratamento de incidentes, NIST (2008) recomenda: “Evidence should be collected according to procedures that meet all applicable laws and regulations, developed from previous discussions with legal staff and appropriate law enforcement agencies, so that it should be admissible in court” Desta forma, é mandatório que as equipes de tratamento de incidentes de segurança possuam sólidos conhecimentos de perícia forense computacional, a fim de garantir o adequado processo de coleta de evidências. De acordo com Brasil (2010b), todos os membros das Seções de Segurança, na qual se apoiará tanto a estruturas de tratamento de incidentes quanto a de perícia forense computacional devem possuir formação para a execução de perícias. Desta forma, resta apenas capacitar o pessoal das equipes de tratamento de incidentes responsáveis pelos domínios exercito.gov.br e eb.br. Tal capacitação pode se restringir à coleta e preservação de evidências, uma vez que as demais fases serão executadas dentro da própria estrutura de perícia forense computacional. 5.1.7 Definir o perfil dos peritos e a política de capacitação para a(s) equipe(s) A execução da perícia forense computacional exige habilidades específicas, além de conhecimentos técnicos básicos. Com relação à capacitação, SWGDE (2010) destaca que todos devem ser capacitados, tanto os que executam perícias quanto os que supervisionam as atividades. Yasinsac et al (2003) propõe um plano de treinamento, o qual é apresentado no Quadro 2. Papel Técnico Perícia Educação Treinamento em • Introdução à ciência forense • Introdução à ciência • Treinamento da computacionais em redes 81 computação • básico • Introdução ao hardware de computadores • Introdução para aquisição de dados de computadores • básico para recuperação e a sistemas duplicação de dados operacionais • Introdução à legislação Desenvolvedor • Gerenciamento de informação • Pesquisas ou seminários em de Políticas • ciência forense segurança • segurança da informação questões legais e técnicas de • gestão de conhecimento perícia informação, forense computacional • arquitetura empresarial Perito da • Todos os itens do Técnico em • Todos os itens do Técnico em profissional Perícias Perícias • Curso avançado em sistemas • conhecimentos avançados em de informação, redes e recuperação de dados, arquitetura de computadores, • treinamento para testemunho leis e procedimentos legais Pesquisador • Educação em nível em tribunais de mestrado e doutorado, com experiência em perícia computacional Quadro 2: Plano de treinamento em perícia forense computacional. Quanto à aplicação de Testes de proficiência, deve-se considerar os parâmetros recomendados por SWGDE (2006): • específicos para cada disciplina; • focados nos processos; • conterem representatividade em itens rotineiramente avaliados. Recomenda-se que testes de proficiência sejam aplicados pelo menos 1 vez ao ano, conforme proposto por SWGDE (2006). A educação continuada, conforme recomendada por SWGDE (2010) deve ser buscada para a manutenção da proficiência técnica voltada para a evolução tecnológica, conhecimentos relacionados à legislação e aquisição de novas 82 habilidades. Cross (2008) recomenda para isso a leitura de informação relacionada ao assunto disponível em sites governamentais, a participação em seminários e conferências e a membresia em associações voltadas para a perícia computacional e combate a crimes eletrônicos. Quanto ao nível de escolaridade, buscando atender aos requisitos previstos na legislação, parece razoável adotar o mesmo critério proposto por Brasil (2010b), que obrigatoriedade de diploma, devidamente registrado, de conclusão de curso de graduação de nível superior, preferencialmente na área de Tecnologia da Informação. Brasil (2010b), contudo, não segue a preferência do Código de Processo Penal Militar por Oficiais. A única restrição quanto a esse aspecto é que os militares sejam de carreira. Finalmente, SWGDE (2010) destaca que para a garantia da competências e da proficiência dos peritos, faz-se necessário a definição de um currículo, que aponte as habilidades e conhecimento que os profissionais devem possuir. Pelo exposto, é proposto o seguinte programa de treinamento: • treinamento em legislação aplicada à perícia forense; • treinamento em técnicas de perícia forense computacional; • treinamento em ferramentas de perícia forense computacional; • obtenção da certificação CHFI – Computer Hacking Forensic Investigator, que agrega, ao mesmo tempo, conhecimentos de perícia forense e de tratamento de incidentes, própria ao escopo da presente proposta; e • Participação regular em congressos e seminários. 5.1.8 Definir o tamanho das equipes e o regime de trabalho Lockyer (2003) apresenta os resultados da pesquisa realizada junto aos laboratórios governamentais do Estado da Califórnia. Dos 986 peritos existentes, apenas 3 atuavam em perícia forense computacional. Com relação à quantidade peritos necessários á execução de uma perícia, Brasil (1941) prevê que as perícias sejam realizadas por dois peritos, devendo estes elaborarem laudo pericial. Devem, ainda, ser consideradas as situações de incompatibilidade e impedimento, previstas nos Códigos de Processo Penal e Penal Militar, que podem demandar outros profissionais para substituir o perito impedido. 83 Considerando que a estrutura de perícia proposta atenderá exclusivamente ao Exército, sendo as requisições regionalizadas, propõe-se que cada laboratório possua 2 peritos, os quais podem, eventualmente, ser substituídos por outro membro da equipe de segurança. Quanto ao regime de trabalho, o trabalho de perícia é realizado mediante demanda, analisado caso a caso. Portanto, não será objeto da presente proposta a definição de um regime de trabalho específico. 5.1.9 Definir a necessidade organização que do estabelecimento regulem a perícia de forense normas em computacional cada em complemento à política de segurança da informação do Exército O Exército Brasileiro possui diversas normas que regulam aspectos referentes à segurança da informação no âmbito da instituição. Algumas, contudo, estão restritas a segmentos específicos, por razões de competência da autoridade responsável pela publicação, não alcançando a instituição como um todo. Brasil (2007) afirma que para qualquer sistema de informação devem haver documentos para regular procedimentos. Considerando a própria estrutura de perícia computacional sob o ponto de vista sistêmico, verifica-se a obrigatoriedade do estabelecimento de normas que alcancem toda o Exército. Brasil (2010b) apresenta normas específicas referentes à perícia forense computacional, que tratam desde requisições de perícias até a conclusão do processo, em complemento àquelas já existentes no Exército. Tais normas, todavia, se limitam ao Sistema de Telemática do Exército, não obrigatoriedade de cumprimento pelas organizações militares excluídas desse sistema. A despeito da atuação das organizações do SisTEx junto às organizações apoiadas, não são raras as situações em que incidentes não são adequadamente tratados, o que incluiria, em alguns casos, a perícia computacional, por falta de contato com os CTA e CT. Tal fato se deve, muitas vezes à inexistência de normas institucionais que abordem o tema de maneira incisiva. Considerando a completude das normas de perícia contidas em Brasil (2010b), uma vez que trata de aspectos técnicos e legais, tomando a legislação brasileira como referência, verifica-se a necessidade de sua propagação para todo o 84 Exército Brasileiro, para cumprimento e providências, não se restringindo apenas ao Sistema de Telemática do Exército. 5.1.10 Definir responsabilidades por solicitações e autoridades a quem a estrutura deve se reportar Brasil (2010b) trata da requisição de perícias forense computacionais, indicando a obrigatoriedade de um processo formal ao qual a requisição deve estar vinculada. Quanto à competência para a requisição, três categorias de autoridades são consideradas competentes para requisitar o serviço: • autoridade policial militar ou judiciária; • partes envolvidas em processo legal; e • encarregado de IPM, ou sindicante. Brasil (2000, p3) restringe a competência para a instauração de sindicâncias ao Comandante do Exército, Oficiais-Generais no cargo de comandante, chefe, diretor ou secretário de OM, e ao comandante, chefe ou diretor de OM. Exceto por se tratar de um ato administrativo, a autoridade responsável pela instauração de uma sindicância se assemelha à Figura do juiz, uma vez que terá a atribuição de julgar um fato com base em elementos obtidos durante a instrução. Dessa forma, não parece absurdo elencar o instaurador de uma sindicância como competente para requisitar perícias forenses computacionais. Pelo exposto, a lista completa de autoridades competentes para requisitarem o serviço de perícia está disposta a seguir: • autoridade policial militar ou judiciária; • instaurador de sindicâncias; • partes envolvidas em processo legal; e • encarregado de IPM, ou sindicante. Considerando que a estrutura de perícia estará baseada nas organizações do Sistema de Telemática do Exército, verifica-se que os chefes dessas organizações é que receberão as requisições, cabendo a eles a definição dos peritos responsáveis pela execução, exceto em situações em que o juiz diretamente indicar os peritos. Considerando aspectos relacionados à segurança da informação, como o acesso a informação apenas por aqueles que tem a necessidade de conhecê-la, o perito, uma 85 vez designado, deve se reportar diretamente ao Chefe de seu respectivo Centro de Telemática, exceto se houver determinação contrária. Cabe, contudo, ressaltar que o chefe não poderá interferir nos trabalhos de perícia forense computacional, de forma a não comprometer a imparcialidade, o julgamento e a integridade operacional dos trabalhos. 5.1.11 Delinear o processo para o serviço de perícia forense computacional SWGDE (2006b) afirma que procedimentos padronizados são essenciais para a melhoria da qualidade e garantia da uniformidade dos processos na realização da perícia, de maneira escrupulosa. A definição apresentada por US-CERT (2008) sobre o processo de perícia forense computacional o apresenta como a composição dos procedimentos de coleta, análise e apresentação de evidências. United States (2004) acrescenta a essa lista uma fase prévia de avaliação da evidência, útil para a determinação do cursos das ações. Brasil (2010b) apresenta uma divisão mais detalhada do processo de perícia forense computacional, a qual, para os fins do presente trabalho, apresenta a vantagem de permitir a segregação de funções, além de já estar sendo aplicada no Sistema de Telemática do Exército. Após o exposto, tem-se que o processo de perícia forense computacional é composto pelos seguintes procedimentos: • análise de ambiente; • coleta de evidências; • armazenamento e transporte de evidências; • exame e análise em laboratório; e • formulação do laudo pericial. O início do processo de perícia é marcado pela ciência do perito de sua nomeação e dos questionamentos a serem respondidos no laudo pericial. Uma vez ciente, o perito se deslocará ao local da ocorrência, onde deverá assegurar que pessoas não autorizadas adentrem ao cenário de perícia, além de proteger as evidências digitais, de modo que não sejam alteradas, forjadas ou destruídas. Podem ocorrer casos em que os peritos não terão acesso ao local da ocorrência, recebendo o material para perícia diretamente. Nesse caso, especial 86 atenção deve ser dedicada à documentação da cadeia de custódia, lista detalhada dos indivíduos que tiveram algum material apreendido sob seu poder, desde a apreensão até a devolução, que deverá integrar os resultados da perícia. Após essa fase, seguem-se os procedimentos para a coleta de evidências, em que o perito deve tomar todas as precauções para não alterar a mídia de prova, além do transporte e armazenamento das evidências de forma segura, de maneira a evitar circunstâncias que possam danificá-las. Na fase de exame e análise, ferramentas serão utilizadas para extrair informações relevantes, de maneira a responder os quesitos recebidos na requisição da perícia. Por fim, o perito deverá formular um laudo pericial, que além de responder os quesitos solicitados, deverá conter todas as ações executadas no processo. 5.1.12 Estabelecer critérios para a priorização de solicitações Independente do tamanho da estrutura de um laboratório sempre haverá o risco da quantidade de requisições ser superior ao pessoal disponível. Desta forma, faz-se necessário estabelecer critérios que possibilitem a priorização nessas situações. Considerando-se que o prazo proposto, em princípio, atende a todas as situações, propõe-se a priorização de solicitações, se não pelo critério básico de ordem de chegada, pela importância do processo atendido. Dessa forma, considerando-se que as implicações de processos criminais tendem a ser maiores que as de processos administrativos, recomenda-se que estas tenham menor prioridade que aquelas. 5.1.13 Definir prazos para a conclusão de perícias O Código de Processo Penal Militar não condiciona a entrega do laudo pericial a um prazo pré-estabelecido, garantindo autonomia à autoridade policial ou judiciária, seguindo o princípio da razoabilidade. Brasil (2010b) define o prazo de 30 dias para a conclusão da perícia, prorrogável por igual período. Brasil (2010b) acena, ainda para a possibilidade da concessão de prazo superior, em casos excepcionais. 87 A abordagem mais restritiva é a do Código de Processo Penal, sobre a qual, cabe uma análise pertinente relacionada à antiguidade da legislação. O Código de Processo Penal não faz distinção entre os diversos tipos de perícia, limitando o prazo de maneira uniforme a 10 dias, salvo em casos excepcionais, a requerimento dos peritos. Segundo Lockyer (2003), o tempo médio para a conclusão de uma perícia forense computacional em Laboratórios da Califórnia é de cerca de 45 dias. Comparando-se com o preconizado no Código de Processo Penal, verifica-se que o cumprimento do prazo previsto naquele código, se mostra inexequível. Todavia, verifica-se que não se encontra em desacordo com o previsto nas demais normas. Grande parcela das perícias forenses computacionais tem como fonte evidências discos rígidos e outras mídias de armazenamento, os quais, atualmente, podem conter terabytes de dados armazenados, quantidade em ininterrupto crescimento, os quais consumirão considerável quantidade de tempo dedicado exclusivamente a tarefas para viabilização da pesquisa, como a indexação de dados, por exemplo. Mohay et al (2003, p 320) menciona um relatório do FBI que afirma que o volume de dados tratados em uma única investigação de fraude, envolvendo uma rede de grandes companhias, excedeu 120 Terabytes, equivalente ao volume total de dados tratados pela organização no ano de 2001. Uma outra abordagem válida seria a análise dos prazos previstos para os processos atendidos pelas perícias forense computacionais, Inquéritos Policiais Militares e Sindicâncias. O Código de Processo Penal Militar prevê para a conclusão de um Inquérito Policial Militar o prazo de 20 dias, caso o indiciado esteja preso, ou 40 dias, caso o mesmo se encontre em liberdade. Caso não estejam concluídos exames ou perícias já iniciados, ou haja necessidade de diligência, indispensáveis à elucidação , o prazo poderá ser prorrogado por mais 20 dias. Desta forma, verifica-se um Inquérito Policial Militar não poderá ultrapassar os 60 dias, sendo as diligências não concluídas remetidas posteriormente ao juiz para juntada ao processo. Com relação à sindicância, Brasil (2000, p4) fixa o prazo para conclusão em 40 dias, já incluída a prorrogação. Existe, ainda, um prazo para o cumprimento de diligências complementares, que podem ser determinadas pela autoridade instauradora em 5 dias, posterior à conclusão da sindicância, que não pode 88 ultrapassar 10 dias. Deste modo, verifica-se que, somando-se todos os prazos previstos entre a instauração de uma sindicância e o início do prazo para sua solução, podem decorrer, no máximo, 55 dias. Analisando os prazos dos processos acima, verifica-se que, em princípio, o prazo de 30 dias, prorrogável por igual período, atende a praticamente todos os casos, mesmo porque a missão prevista para a estrutura restringe o escopo ao Exército Brasileiro, praticamente se limitando aos crimes militares. 5.1.14 Definir a classificação sigilosa dos assuntos Conforme já citado, ABNT (2005) preconiza que as políticas dos laboratórios assegurem a manutenção da confidencialidade das informações, além de evitar ações que possam impactar negativamente a confiança em sua competência, imparcialidade, julgamento ou integridade operacional. Brasil (2001, p6) classifica os assuntos sigilosos em quatro graus de sigilo: • ultra-secretos; • secretos; • confidenciais; • reservados; Brasil (2010b) define como mandatória a atribuição de classificação sigilosa aos autos da perícia, a qual deve ser, no mínimo, reservada, ou seja, que não devam, imediatamente, ser do conhecimento do público em geral. Considerando a natureza da atividade de perícia, verifica-se como adequada a classificação apresentada por Brasil (2010b). Com relação à segurança das áreas e instalações, Brasil (2001, p18) afirma que a classificação das áreas sigilosas tem relação direta com o grau de sigilo dos assuntos nelas tratados. Dessa forma, considerando a natureza das atividade executadas, verifica-se que, os laboratórios de perícia forense computacional também devem receber classificação sigilosa, com atribuição mínima reservada. Pelo exposto, verifica-se que a divulgação de quaisquer assuntos relacionados a perícias forenses computacionais fica vedado. Em situações que despertem interesse jornalístico, não cabe à estrutura de perícia qualquer interação com a imprensa, sendo esta a atribuição do Centro de Comunicação Social do Exército, caso necessário. 89 5.1.15 Definir parâmetros de qualidade para os serviços A definição de parâmetros de qualidade deve estar ligada à missão prevista e é fundamental para a credibilidade da estrutura de perícia forense computacional. Quanto à conformidade com padrões estabelecidos, ABNT (2005) prevê a realização de auditorias, além de ações preventivas e corretivas. Essas auditorias poderiam estar ligadas a um processo de acreditação, o qual, de acordo com Lockyer (2003), é fundamental para a manutenção da credibilidade, uma vez que atesta conformidade com padrões de qualidade. A acreditação não necessita ser atestada por um órgãos externos ao Exército, podendo o próprio CITEx realizar tal tarefa. Exemplos de parâmetros para a estrutura em questão são: • capacitação de recursos humanos; • instalações e equipamentos; • perícias; e • outros serviços. 5.1.16 Estabelecer métricas para verificação da qualidade Uma vez definidos os parâmetros de qualidade, faz-se necessário estabelecer as métricas que permitirão mensurar quantitativamente a estrutura, fornecendo subsídios às decisões dos altos escalões. A seguir são apresentados exemplos de métricas que podem ser adotadas pela estruturas de perícia forense computacional: • capacitação de recursos humanos: ─ número de cursos contratados; ─ número de profissionais certificados; ─ participação em eventos; ─ número de artigos publicado a respeito de técnicas e ferramentas. • Instalações: ─ número de máquinas do laboratório; ─ nível dos equipamentos; ─ idade dos equipamentos. • Perícias: ─ tempo médio de execução de perícias; 90 ─ tempo máximo entre perícias; ─ número de perícias realizadas; ─ número de testemunhos em tribunais; ─ número de perícias invalidadas; ─ relação entre quantidade de dados e tempo para conclusão da perícia. • outros serviços: ─ número de participação em cursos de formação; ─ número de palestras ministradas. 5.2 Proposta Uma vez concluída a discussão dos itens considerados relevantes, é enunciada a seguir, de forma explícita, a proposta de estrutura para perícia forense computacional no âmbito do Exército Brasileiro. 5.2.1 Conceito de perícia forense computacional para o Exército Conjunto de métodos da ciência da computação, combinados com elementos legais, para a aquisição, preservação, coleta, validação, restauração, identificação, análise, interpretação, documentação e apresentação de evidências digitais, quer sejam componentes físicos ou dados que foram eletronicamente processados e armazenados em mídias computacionais, de forma que, caso necessário, tais evidências sejam admissíveis perante cortes legais. 5.2.2 Missão da estrutura Realizar o serviço de perícia forense computacional no âmbito do Exército, em apoio aos processos criminais e administrativos ligados à Força Terrestre, bem como apoiar a formação de profissionais para a prática da perícia forense no âmbito do Exército. 5.2.3 Serviços prestados • execução de perícias forenses computacionais no âmbito do Exército Brasileiro; 91 • prestação de testemunho junto à cortes legais em processos ligados ao Exército Brasileiro; e • suporte à capacitação de peritos para o Exército Brasileiro, auxiliando a formação nas Escolas Militares, em disciplinas relacionadas à perícia forense computacional. 5.2.4 Modelo organizacional • Estrutura baseada em um modelo hierárquico, para fortalecer a gerência; • Laboratórios com funcionalidades básicas semelhantes, atendendo de forma regional, de maneira a otimizar a utilização de recursos, no que concerne a atividade de coleta de evidências e prestação de testemunho pelos peritos perante tribunais; • Levantamento de áreas específicas para as quais os custos são deveras elevados e cuja demanda não compense a adoção de equipamentos de forma generalizada para toda a estrutura. Para tais áreas, deve-se eleger laboratórios específicos para oferecerem o serviço a todo o Exército. 5.2.5 Organizações envolvidas na estrutura • CITEx: órgão de coordenação; • CTA e CT: órgãos de execução; • laboratórios inseridos nas Seções de Segurança dos órgão de execução. 5.2.6 Interface com a estrutura de tratamento de incidentes de rede Considerando que ambas estarão inseridas no Sistema de Telemática do Exército, as Seções de Segurança serão o elo de integração, cabendo ao CITEx realizar a ligação entre as equipes de tratamento de incidentes externas à ITIREx e a estrutura de perícia forense computacional. 5.2.7 Perfil dos peritos e política de capacitação O requisitos fundamental para o perito é possuir diploma, devidamente registrado, de conclusão de curso de graduação de nível superior, preferencialmente na área de Tecnologia da Informação. 92 Quanto a capacitação é sugerido o seguinte programa de treinamento: • treinamento em legislação aplicada à perícia forense; • treinamento em técnicas de perícia forense computacional; • treinamento em ferramentas de perícia forense computacional; • obtenção da certificação CHFI – Computer Hacking Forensic Investigator, que agrega, ao mesmo tempo, conhecimentos de perícia forense e de tratamento de incidentes, própria ao escopo da presente proposta; e • Participação regular em congressos e seminários. 5.2.8 Equipes e regime de trabalho As equipes devem ser formadas por duas pessoas, devendo as perícias serem realizadas em dupla. Os membros da equipe podem ser substituídos por outros integrantes das Seções de Seguranças em caso de existência de causa de impedimento. Quanto ao regime, não é necessário regime de trabalho diferenciado nem dedicação exclusiva dos profissionais à perícia forense computacional. 5.2.9 Estrutura normativa Propõe-se a adoção da Diretriz de Segurança da Informação e Comunicações do Sistema de Telemática do Exército para toda a Instituição, uma vez que já aborda o tema de forma satisfatória. 5.2.10 Responsabilidades Propõe-se como competentes para solicitarem computacionais as seguintes autoridades: são consideradas competentes para requisitar o serviço: • autoridade policial militar ou judiciária; • autoridade que instaurou sindicância; • partes envolvidas em processo legal; e • encarregado de IPM, ou sindicante. perícias forense 93 Uma vez designado, o perito deve se reportar diretamente à autoridade que o designou, ressaltando-se que ela não poderá interferir nos trabalhos, de forma a não comprometer a imparcialidade, o julgamento e a integridade operacional da perícia. 5.2.11 Processo de Perícia Forense Computacional O processo de perícia forense computacional deve ser composto pelos seguintes procedimentos: • análise de ambiente; • coleta de evidências; • armazenamento e transporte de evidências; • exame e análise em laboratório; e • formulação do laudo pericial. 5.2.12 Critérios Para a Priorização de Solicitações A realização de perícias deve-se obedecer a seguinte prioridade: • solicitações que tramitem na Justiça Militar; • solicitações vinculadas a inquéritos policiais militares; • demais solicitações 5.2.13 Prazos As perícias deverão ser realizadas em um prazo de 30 dias corridos, prorrogáveis por igual período, mediante solicitação fundamentada. 5.2.14 Classificação Sigilosa dos Assuntos A todas as perícias deve ser atribuída a classificação sigilosa, no mínimo reservada. 5.2.15 Parâmetros de Qualidade São propostos os seguintes parâmetros: • capacitação de recursos humanos; • instalações e equipamentos; • perícias; e 94 • outros serviços. 5.2.16 Métricas Com base nos parâmetros acima, são propostas as seguintes métricas: • capacitação de recursos humanos: ─ número de cursos contratados; ─ número de profissionais certificados; ─ participação em eventos; ─ número de artigos publicado a respeito de técnicas e ferramentas. • Instalações: ─ número de máquinas do laboratório; ─ nível dos equipamentos; ─ idade dos equipamentos. • Perícias: ─ tempo médio de execução de perícias; ─ tempo máximo entre perícias; ─ número de perícias realizadas; ─ número de testemunhos em tribunais; ─ número de perícias invalidadas; ─ relação entre quantidade de dados e tempo para conclusão da perícia. • outros serviços: ─ número de participação em cursos de formação; ─ número de palestras ministradas. 95 6 Conclusões e Trabalhos Futuros O presente trabalho propunha a realização de uma pesquisa bibliográfica, documental e normativa acerca da perícia forense computacional. Quanto ao questionamento acerca do relacionamento da perícia forense computacional com o tratamento de incidentes, verifica-se que foi respondido quando da apresentação da proposta de estabelecimento da estrutura de perícia na atual estrutura de tratamento de incidentes. A formação de recursos humanos também foi abordada por meio de estudos originados no meio acadêmico e de organizações ligadas ao exercício da perícia forense computacional, de maneira que tornou-se possível propor um plano para a capacitação e a formação continuada de profissionais para o exercício da perícia forense computacional. Quanto ao objetivo específico de revisar a literatura nacional e mundial especializada na área de perícia forense computacional, verifica-se que foi alcançado por meio do levantamento e estudo de significativo número de livros, artigos e relatórios, relacionados ao tema. Quanto ao objetivo específico de revisar a legislação brasileira, aplicada à execução perícia forense, verifica-se que foi alcançado por meio da análise da Constituição Federal, dos Códigos de Processo Penal e Penal Militar, além de outras leis e decretos relacionado ao assunto. Quanto ao objetivo específico de revisar a documentação normativa da Administração Pública Federal e do Exército Brasileiro, relacionada à segurança da informação, ao tratamento de incidentes e à realização de auditorias e perícias, verifica-se que foi alcançado por meio da análise das Instruções Normativas e Normas Complementares do Gabinete de Segurança Institucional da Presidência da 96 República, além das diversas Instruções Gerais, Instruções Reguladoras e Diretrizes do Exército Brasileiro. O único óbice à conclusão da proposta foi a dificuldade encontrada na coleta de informações sobre estruturas de organizações de perícia, a fim de levantar vantagens e desvantagens relacionadas aos modelos adotadas. Tanto O FBI quanto a Polícia Federal não apresentavam documentação relevante, que possibilitasse a extração de dados significativos. Para contornar o problema, foram buscados subsídios em organizações menos relevantes, além de trabalhos do meio acadêmico. Quanto ao objetivo principal de proposição de uma estrutura de perícia forense computacional adequada aos objetivos da organização, frente ao seu projeto de implantação da Defesa Cibernética, verifica-se que foi alcançado por meio da análise de modelos adotados em outras organizações, bem como de estudos do meio acadêmico. Não foram encontrados muitos trabalhos relevantes acerca de alguns temas pesquisados, podendo ser alvo de trabalhos futuros: • Análises específicas sobre laboratórios de perícia forense computacional; • A formação do profissional nas escolas militares para a execução da perícia forense computacional; • Ferramentas para a gestão de laboratórios de perícia; • Estudos de parâmetros e métricas de qualidade para a realização de perícias, de maneira a definir métricas e parâmetros mais representativos. Devido ao foco do trabalho estar no estabelecimento de uma estrutura, não foram abordados de maneira aprofundada o processo nem as diversas técnicas para a realização da perícia forense computacional, os quais também podem ser alvo de trabalhos futuros assim como o estudo da viabilidade da análise ao vivo de sistemas. A presente proposta, a despeito de ter sido direcionada ao Exército Brasileiro, abordando algumas normas específicas da realidade da instituição, pode ser adaptada para utilização por outras organizações, com distribuição, devendo ser respeitadas questões relacionadas ao tamanho da organização e à distribuição pelo território nacional, entre outros aspectos. 97 Referências e Fontes Consultadas ABEAT – ASSOCIAÇÃO BRASILEIRA DE ESPECIALISTAS EM ALTA TECNOLOGIA. Site oficial da organização. Consultado em 2 de dezembro de 2011. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização. Disponível em http://www.abnt.org.br/m3.asp?cod_pagina=931. 2011. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Requisitos gerais para competência de laboratórios de ensaio e calibração. NBR ISO/IEC 17025:2005. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação. NBR ISO/IEC 27002:2005. ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de segurança da informação. 2008. BRASIL. Decreto-Lei Nº 3.689, de 3 de outubro de 1941: Código de Processo Penal. BRASIL. Decreto-lei Nº 1002, de 21 de outubro de 1969: Código de Processo Penal Militar. BRASIL. Constituição da República Federativa do Brasil, promulgada em 05 de outubro de 1988. BRASIL. Lei Nº 8069, de 13 de julho de 1990, alterada pela Lei Nº 11829, de 25 de novembro de 2008, Art. 241: Estatuto da Criança e do Adolescente. BRASIL. Portaria Nº 131, do Ministro do Exército, de 13 de março de 1998. BRASIL. Exército Brasileiro. Instruções Gerais para a Elaboração de Sindicância no Âmbito do Exército Brasileiro (IG 10-11), de 26 de abril de 2000. 98 BRASIL. Exército Brasileiro. Instruções Gerais para Salvaguarda de Assuntos Sigilosos (IG 10-51), de 10 de janeiro de 2001. BRASIL. Exército Brasileiro. Instruções Gerais para Segurança da Informação para o Exército Brasileiro (IG 20-19), de 20 de setembro de 2001. BRASIL. Exército Brasileiro. Instruções Instruções Reguladoras para Utilização da Rede Mundial de Computadores (Internet) por Organizações Militares e Militares do Exército (IR 20-26), de 12 de novembro de 2001. BRASIL. Exército Brasileiro. Regulamento Disciplinar do Exército (R-4), de 26 de agosto de 2002. BRASIL. Exército Brasileiro. Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército (NORTI), de 28 de março de 2003. BRASIL. Exército Brasileiro. Instruções Reguladoras Sobre Auditoria de Segurança de Sistemas de Informação do Exército Brasileiro - IRASEG (IR 13-09), de 31 de janeiro de 2007. BRASIL. Exército Brasileiro. Instruções Reguladoras Sobre Análise de Riscos Para Ambientes de Tecnologia da Informação do Exército Brasileiro – IRRISC (IR 1310), de 31 de janeiro de 2007. BRASIL. Exército Brasileiro. Instruções Reguladoras Sobre Segurança da Informação nas Redes de Comunicação e de Computadores do Exército Brasileiro, de 31 de janeiro de 2007. BRASIL. Exército Brasileiro. Diretriz para Utilização e Gestão de Software no Exército Brasileiro. 2007. BRASIL. Gabinete de Segurança Institucional da Presidência da República. Instrução Normativa Nº 1 – Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. 2008. BRASIL. Decreto no 6.703, de 18 de dezembro de 2008: Estratégia de Defesa Nacional. BRASIL. Exército Brasileiro. Manual de Campanha Contrainteligência (C 30-3), de 24 de abril de 2009. BRASIL. Gabinete de Segurança Institucional da Presidência da República. Departamento de Segurança da Informação e Comunicações. Norma Complementar Nº 3 - Diretrizes Para Elaboração de Política de Segurança da 99 Informação e Comunicações Nos Órgãos e Entidades da Administração Pública Federal. 2009. BRASIL. Gabinete de Segurança Institucional da Presidência da República. Departamento de Segurança da Informação e Comunicações. Norma Complementar Nº 5 - Criação De Equipes De Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR. 2009. BRASIL. Ministério da Defesa. Diretriz ministerial Nº 014/2009 de 9 de novembro de 2009 BRASIL. Exército Brasileiro. Plano de Migração para Software Livre no Exército Brasileiro, de 29 de março de 2010. BRASIL. Exército Brasileiro. Centro Integrado de Telemática do Exército. Diretriz de Segurança da Informação e Comunicações do Sistema de Telemática do Exército, de 21 de outubro de 2010. BRASIL. Polícia Federal. Apresentação sobre a Polícia Federal no II Encontro Nacional de Química Forense da USP. 2010. BRASIL. Senado Federal. Projeto de Lei da Câmara Nº 41, de 2010: Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8112, de 11 de dezembro de 1990; revoga a Lei 11111, de 5 de maio de 2005, e dispositivos da Lei 8159, de 8 de janeiro de 1991; e dá outras providências. BRASIL. Exército Brasileiro. Sítio web da organização, disponível em www.exercito.gov.br. 2011. BRASIL. Polícia Federal. Carta de Serviços, disponível em http://www.dpf.gov.br/institucional. 2011. BRASIL. Polícia Federal. Sítio web da organização, disponível em http://www.dpf.gov.br. 2011. BRASIL. Marinha do Brasil. Diretoria de Comunicações e Tecnologia da Informaç da Marinha. Ata de Registro de Preços Nº 015/2010, de 12 de novembro de 2010. CALAZANS R., Carlos Henrique; CALAZANS, Sandra Maria Pereira Benone. Ciência Forense: das Origens à Ciência Forense Computacional. 2005. CARRIER, BRIAN. Defining Digital Forensic Examination and Analysis Tools Using Abstraction Layers. International Journal of Digital Evidence Winter 2003, Volume 1, Issue 4. 100 CARRIER, BRIAN. Fyle Systems Forensic Analysis. Adisson Wesley Professional. 2005. CARRIER, BRIAN. Risks of Live Digital Forensic Analysis. Communications of Association for Computing Machinery, Vol 49 nº 2. 2006. CERT.BR – CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. Cartilha de Segurança para Internet. Versão 3.1. 2006. COOK, CHAD. An Introduction to Incident Handling. disponível em http://www.symantec.com/connect/articles/introduction-incident-handling. 2010 CROSS, MICHAEL; SHINDER, DEBRA LITTLEJOHN. Scene of The Cybercrime. 2nd Ed. Elsevier Inc. 2008. DA SILVA, EDNA L.; MENEZES, ESTERA M. Metodologia da Pesquisa e Elaboração de Dissertação.4ª ed. Florianópolis, SC, Brasil: Laboratório de Ensino a Distância da UFSC, 2001. DA SILVA, HUGO SAISSE MENTZINGEN. Proposta de Estrutura de Tratamento de Incidentes de Rede para o Exército Brasileiro. Monografia apresentada como requisito para a conclusão do Curso de Especialização em Gestão da Segurança da Informação e Comunicações da Universidade de Brasília. Jul 2010. DANIEL, LARRY; DANIEL, LARS. Digital Forensics for Legal Professionals: Understanding Digital Evidence. Elsevier Inc. 2011. EUROPEAN UNION COMMITTEE. House of Lords - European Union Committee: The EU Internal Strategy. 17th Report of Session 2010-12. FREITAS, ANDREY RODRIGUES DE. Perícia Forense Aplicada à Informática: Ambiente Microsoft. Brasport. 2006 GLOBO. Reportagem extraída de http://g1.globo.com/politica/noticia/2010/06/nemfbi-consegue-decifrar-arquivos-de-daniel-dantas-diz-jornal.html. 2010. GONDIM, JOÃO JOSÉ COSTA. Tratamento de Incidentes de Segurança. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações – CEGSIC 2009-2011. 2010. GULIVER, ÁLVARO. Gestão em Segurança da Informação, disponível em http://gesinf.blogspot.com/2010/09/o-ciclo-da-pericia-computacional.html. 2010. 101 KOUSSIAFES, PERRY MICHAEL. Public Forensic Laboratory Budget Issues. Publicado em The Forensic Science Communications. July 2004. IACIS – THE INTERNATIONAL ASSOCIATION OF COMPUTER INVESTIGATIVE SPECIALISTS. Sítio web da associação, disponível em http://www.iacis.com. 2011. IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Guidelines for Best Practice in the Forensic Examination of Digital Technology. 2002. IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Training, and Knowledge, Skills and Abilities. 2002. IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Laboratory Management. 2002. IOCE – THE INTERNATIONAL ORGANIZATION ON COMPUTER EVIDENCE. Sítio web da organização, disponível em http://www.ioce.org/. 2011 JONES, ANDREW; VALLI, CRAIG. Building a Digital Forensic Laboratory: Establishing and mantaining a Succesfull facility. Elsevier Inc. 2008 KNAPP, ERIC D. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. Elsevier Inc. 2011. LOCKYER, BILL. California Task Force on Forensic Services Force Report. 2003. MCGUINESS ,TODD. Defense In Depth , version 1.2E. SANS Institute. 2001. MOHAI, GEORGE; ANDERSON, ALISON; COLLIE, BYRON; DE VEL, OLIVIER; MCKEMMISH, RODNEY. Computer and Intrusion Forensics. Artech House Inc. 2003. NETO, JOÃO ARAÚJO MONTEIRO; DA SILVA, FRANCISCA JORDÂNIA FREITAS. Os Crimes Eletrônicos No Ordenamento Jurídico Brasileiro. Publicado nos Anais do XVIII Congresso Nacional do CONPEDI. 2009. NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Computer Security Incident Handling: Recommendations of the National Institute of Standards and Technology. 2008. RECORD. Correio do Povo. Reportagem “Dia do Soldado é centrado na proteção da Amazônia”. 26 de agosto de 2010. RIOS, MARIA JOSÉ; DE MAGALHÃES, SÉRGIO TENREIRO; SANTOS LEONEL; 102 JAHANKHANI, HAMID. The Georgia's Ciberwar. Global Security, Safety, and Sustainability: 5th International Conference, ICGS3 2009, London, UK, September 1-2, 2009. SOLOMON, MICHAEL G.; K, Rudolph; Tittel, Ed; Broom, Neil; Barret, Diane. Computer forensics JumpStart. 2nd Ed. Wiley Publishing Inc. 2011. STIENNON, RICHARD. Surviving cyberwar, Government Institutes. 2010. SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Proficiency Test Program Guidelines v1.1. 2006. SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Recommended Guidelines for Developing SOPs, v1.0. 2006. SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Response to the Preliminary Outline of Draft Forensic Reform Legislation. 2010. SWGDE – SCIENTIFIC WORKING GROUP ON DIGITAL EVIDENCE. Guidelines & Recommendations for Training in Digital & Multimedia Evidence. 2010. UNB – UNIVERSIDADE DE BRASÍLIA. Site do Departamento de Engenharia Elétrica, disponível em http://www.ene.unb.br. Consultado em 6 de dezembro de 2011. UNITED STATES. Department of Justice. Forensic Examination of Digital Evidence: A Guide for Law Enforcement . 2004. US-CERT. How the FBI investigates Computer Crime. 2004. US-CERT. Computer Forensics. 2008. VACCA, JOHN R. Computer forensics: computer crime scene investigation, Volume 1, 2nd Ed. Massachussets, EUA. 2005. VECCHIO-FLAIM CHRISTINE. Developing a Computer Forensics Team. SANS Institute. 2001. YASINSAC, ALEC; ERBACHER, ROBERT F.; MARKS , DONALD G.; POLLITT , MARK M.; SOMMER , PETER M. Computer Forensics Education. Publicado por the IEEE Computer Society . 2003.