faculdade farias brito -...
Post on 01-Oct-2018
214 Views
Preview:
TRANSCRIPT
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
FACULDADE FARIAS BRITO CIÊNCIA DA COMPUTAÇÃO
DANIELLY BRASILEIRO BATISTA
Proposta de diretrizes para investigação pericial em um
cenário de Computação nas Nuvens Públicas.
Fortaleza, 2012
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
DANIELLY BRASILEIRO BATISTA
Proposta de diretrizes para investigação pericial em um
cenário de Computação nas Nuvens Públicas.
Monografia apresentada para obtenção dos
créditos da disciplina Trabalho de Conclusão do
Curso da Faculdade Farias Brito, como parte das
exigências para graduação no Curso de Ciência
da Computação.
Orientador: Paulo Benício Melo de Sousa.
Fortaleza, 2012
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO
PERICIAL EM UM CENÁRIO DE COMPUTAÇÃO NAS
NUVENS PÚBLICAS.
Danielly Brasileiro Batista
PARECER __________________
NOTA: FINAL (0 – 10): _______
Data: / /
BANCA EXAMINADORA:
Dr. Paulo Benício Melo de Sousa
Orientador
Me. Leopoldo Soares de Melo Júnior
Examinador
Me. Ricardo Wagner Cavalcante Brito
Examinador
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
"É preciso sonhar,
mas com a condição de crer em nosso sonho,
de observar com atenção a vida real,
de confrontar a observação com nosso sonho,
de realizar escrupulosamente nossas fantasias.
Sonhos, acredite neles."- Vladimir Ilitch Lenin
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
AGRADECIMENTOS
Agradeço primeiramente a Deus por cada dia da minha vida, por todas as oportunidades
que Ele me deu para que eu conseguisse hoje a realização de mais essa conquista.
A minha mãe (in memorian) por todos os sacrifícios feitos para que eu tivesse a
possibilidade de estudar e crescer tanto como pessoa como profissionalmente.
Ao Orientador Dr. Paulo Benício, pela presteza, disponibilidade, paciência e dedicação
com que aceitou o desafio de concluir comigo esse trabalho.
Ao Orientador Me. José Helano, pela ajuda nas definições do projeto que serviu como
ponto de partida para esse trabalho. Por ter proposto um tema tão atual, envolvente e
desafiador.
Aos demais professores pelos anos de convivência e troca de experiências, cada um
deles de forma direta ou indireta foram muito importantes na minha formação acadêmica.
A todos os meus amigos que fizeram parte de toda essa jornada, se alegrando com meus
momentos de felicidade e me apoiando nos momentos difíceis. Só eles sabem o quanto essa
conquista foi desejada e esperada.
E a todos que puderam contribuir de alguma forma.
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
RESUMO
O cenário de computação nas nuvens já é uma realidade e muitas são as empresas
que direta ou indiretamente já se utilizam de serviços nas nuvens para prover a seus usuários
maior flexibilidade, acessibilidade, economia e outras tantas características encontradas nas
nuvens.
Um ambiente assim tão propício a novos investimentos acaba atraindo também a
atenção de criminosos virtuais que vêem aqui a oportunidade de cometer os mais variados
tipos de crimes, que em alguns casos e países podem ainda nem terem sido tipificados. Assim,
uma vez praticadas tais ações ilegais, percebeu-se que não se poderia querer investigá-las
como se faz em ambientes computacionais tradicionais uma vez que, quando se investe em
nuvens, se trabalha muito fortemente com o conceito de virtualização, ou seja, os dados
armazenados nas nuvens podem estar em um servidor em qualquer parte do mundo e não
mais em um servidor fisicamente alocado na empresa do usuário.
A partir da identificação dessas dificuldades tanto em termos de localização
geográfica, legislação, como da própria forma de se conduzir uma investigação criminal,
percebeu-se a oportunidade de se inserir essa monografia nesse contexto bastante atual e
ainda sem muita literatura a respeito.
Dessa forma, este trabalho realiza um estudo tanto dos conceitos de computação
nas nuvens, como de computação forense, adentrando pelos aspectos legais dos crimes
digitais para finalizar trazendo como contribuição o desenvolvimento de uma proposta de
diretrizes que visam auxiliar na investigação pericial em um ambiente de computação nas
nuvens.
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
SUMÁRIO
INTRODUÇÃO ................................................................................................................................................... 12
1. COMPUTAÇÃO NAS NUVENS .............................................................................................................. 15
1.1 Introdução ......................................................................................................................................... 15
1.2 Serviços em Computação nas Nuvens ................................................................................................ 17
1.3 Tipos de Nuvens ................................................................................................................................. 19
1.4 Arquitetura em Computação nas Nuvens ........................................................................................... 20
1.5 Segurança da Informação ................................................................................................................... 21
1.5.1 Segurança em Computação nas Nuvens .............................................................................................. 23
2. COMPUTAÇÃO FORENSE ..................................................................................................................... 27
2.1 Introdução ......................................................................................................................................... 27
2.2 Fases da Computação Forense ........................................................................................................... 29
2.3 Coletando Vestígios Digitais ............................................................................................................... 30
2.4 Metodologias Investigativas ............................................................................................................... 32
3. ASPECTOS LEGAIS DOS CRIMES DIGITAIS .................................................................................... 34
3.1 Introdução ......................................................................................................................................... 34
3.2 Conceito de Crimes Digitais ................................................................................................................ 35
3.3. Classificação dos Crimes Digitais ........................................................................................................... 37
3.4. Legislação Vigente referente aos Crimes Digitais .................................................................................. 40
3.4.1. Espanha ............................................................................................................................................. 42
3.4.2. França .................................................................................................................................................. 42
3.4.3. Chile ..................................................................................................................................................... 43
3.4.4. Estados Unidos ..................................................................................................................................... 43
3.4.5. Brasil .................................................................................................................................................... 44
3.4.6. A Convenção de Budapeste ................................................................................................................. 46
3.4.7. Perspectivas de regulamentação de crimes digitais em Computação nas Nuvens ............................ 47
4. CENÁRIOS DE APLICAÇÃO DA PROPOSTA DE DIRETRIZES A SER DESENVOLVIDA ....... 51
4.1 Cenários de Aplicação ........................................................................................................................ 51
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
4.2 Tipos de Cenários ............................................................................................................................... 52
4.2.1 CENÁRIO: SaaS – Caso: Dropbox .......................................................................................................... 52
4.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure .............................................................................. 55
4.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2 ............................................................. 60
5. PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO PERICIAL EM UM AMBIENTE DE
COMPUTAÇÃO NAS NUVENS ....................................................................................................................... 63
5.1 Proposta de Diretrizes Gerais ............................................................................................................. 63
5.2 Proposta de Diretrizes Específicas ...................................................................................................... 65
5.2.1 CENÁRIO: SaaS – Caso: Dropbox ......................................................................................................... 65
5.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure ............................................................................. 66
5.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2 ............................................................. 68
5.3 Metodologia de investigação ............................................................................................................. 69
6. CONCLUSÕES ........................................................................................................................................... 71
REFERÊNCIAS BIBLIOGRÁFICAS............................................................................................................... 73
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
LISTA DE FIGURAS
Figura 1 - Visão geral de um ambiente de atuação da Computação nas Nuvens.. ................................................. 16
Figura 2 - Tipos de serviços e atuação dos usuários de aplicações nas nuvens. .................................................... 19
Figura 3 - Modelo arquitetural de aplicações nas nuvens.. .................................................................................... 21
Figura 4 - Fases da Computação Forense.. ............................................................................................................ 30
Figura 5 - Interface do serviço de SaaS Dropbox.. ................................................................................................ 53
Figura 6 - Identificação do arquivo no iOS que dá acesso a conta no Dropbox. ................................................... 54
Figura 7 - Arquitetura do serviço de Computação nas Nuvens da Microsoft. ....................................................... 56
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
LISTA DE TABELAS
TABELA 1 – Alguns países da Convenção de Budapeste . .................................................................................. 47
11
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
LISTA DE SIGLAS
AMI - Amazon Machine Instance
API - Application Programming Interface
CEPD - Comitê Europeu para os Problemas Criminais
CPU - Central Processing Unit
CRM - Customer Relationship Management
CSP - Serviço de Provedor nas Nuvens
DDoS – Distributed Denial-of-Service
DVD - Digital Versatile Disc
EC2- Elastic Computing Cloud
ESB - Enterprise Service Bus
HD - Hard Disk
IAAS - Infrastructure as a Service
iOS - iPhone Operating System
JON – Jboss Operation Network
MTBF – Tempo Médio entre Falhas
PAAS -Plataform as a Service
PC - Computador Pessoal
PL - Projeto de Lei
PSK - Pre-Shared Key
REST - Representational State Transfer
SAAS -Software as a Service
SOA - Service-Oriented Architecture
SOAP - Simple Object Access Protocol
SQL - Structured Query Language
SQS - Simple Queue Service
TTR – Tempo para Recuperação do Serviço
VHD - Virtual Hard Disk
VM - Vitual Machine
Wi-Fi - Wireless Fidelity
WPA - Wi-Fi Protected Access
XML - Extensible Markup Language
12
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
INTRODUÇÃO
O modelo arquitetural cliente-servidor ainda é bastante utilizado pelas empresas
no mundo todo. Nesse modelo, diversos computadores estão interligados através de uma rede,
existindo um computador principal (servidor) onde ficam centralizadas as decisões quanto à
acessibilidade das demais máquinas e a responsabilidade de disponibilizar os serviços
requeridos pelos outros computadores da rede, denominados clientes. Devido a essa relação
entre computador servidor e computadores clientes, o servidor deve ser um computador
robusto, com alta capacidade de armazenamento e eficaz em relação à segurança de
informações, pois ele também é o responsável por filtrar os dados recebidos da Internet.
Dada a importância do servidor no modelo cliente-servidor, as empresas que o
adotam costumam ter um alto custo com a manutenção de suas máquinas, aplicativos e
serviços para que possam manter um alto padrão de qualidade do seu funcionamento. E é
exatamente esse um dos fatores que diferenciam esse “novo” modelo arquitetural, a partir da
definição do conceito de Computação nas Nuvens.
Computação nas Nuvens é, portanto, um termo que vem sendo usado para
exemplificar um ambiente computacional baseado em uma rede de servidores, virtuais ou não,
que trazem para as empresas e usuários o benefício de amenizar a preocupação de gravar
dados e informações em uma máquina local, uma vez que eles estarão na “nuvem”, podendo
ser acessados de qualquer lugar, através de qualquer aparelho eletrônico com acesso à
Internet.
Apesar das aparências, a Computação nas Nuvens não tem nada de ficção e já está
bem presente no nosso dia-a-dia. Um exemplo bem concreto e corriqueiro envolve, por
exemplo, os nossos e-mails. Ao acessarmos diariamente o site do Hotmail, Gmail ou Yahoo
ou qualquer outro, não sabemos onde nossas mensagens ficam armazenadas e como é possível
acessá-las de qualquer lugar por meio da Internet.
Em se tratando de um sistema de computação em nuvem percebe-se que há uma
diminuição significativa da carga de trabalho nos computadores locais já que eles não serão
mais responsáveis por executar aplicações. A demanda por hardware e software no lado do
usuário também diminui e a uma das poucas ações que a máquina do usuário deve ser capaz
de fazer é operar o software que proporciona a interface do sistema. Seu funcionamento
ocorre de forma que os serviços são entregues aos clientes e eles não precisam saber como
13
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
funciona o mecanismo para entrega desses serviços ou a localidade em que estes serviços
estão fisicamente.
Todas essas facilidades no uso da Computação nas Nuvens não trazem
necessariamente apenas benefícios. Esse tipo de centro de processamento de dados, distante
fisicamente da empresa pode vir a trazer vários problemas com relação à segurança das
informações. No caso da investigação forense, essa mudança dos centros de processamento de
dados de uma área local para um lugar remoto, onde o acesso direto a eles se torna
praticamente improvável, se não impossível, é um dos grandes desafios.
Caso uma grande empresa possua vários computadores que guardam seus dados, é
de se esperar que essa mesma empresa ao utilizar de um sistema de Computação nas Nuvens
tenha seus dados armazenados em servidores virtuais que, além de terem a possibilidade de
pertencer a provedores de serviços distintos, podem ainda estar situados em países diferentes.
Assim, a virtualização deve acabar mudando a forma como a segurança
computacional e a computação forense lidam com crimes de segurança através da rede. Não
existe mais um sólido “perímetro de segurança” como se conhecia anteriormente. O perímetro
de segurança se tornou qualquer lugar onde pessoas tenham acesso à rede e a sistemas de
serviços que são providos por uma empresa. A flexibilidade, no que se tornou o novo
“perímetro de segurança”, é atribuída agora a diversas maneiras como consumimos os
diversos dispositivos tecnológicos a que temos acesso. (LILLARD, 2010).
Dessa forma, o objeto de estudo deste trabalho consiste em criar uma proposta de
diretrizes para investigação pericial em um cenário de Computação nas Nuvens. Para tanto,
faz-se necessário estudar o que já foi disposto sobre o tema até o momento para, a partir deste
conhecimento adquirido, apresentar uma estratégia de abordagem investigativa para os crimes
cometidos nas nuvens.
Este trabalho será organizado nos seguintes capítulos: o capítulo 1 irá abordar o
conceito de Computação nas Nuvens, seu funcionamento, serviços e sua arquitetura. Em
seguida, o capítulo 2 irá tratar do conceito de Computação Forense e quais os procedimentos
utilizados para se investigar crimes de informática. O capítulo 3 apresentará o conceito de
crime digital e como as legislações de diversos países têm evoluído com o intuito de
identificar e punir os praticantes de ações delituosas. Ao adentrarmos no capítulo 4
exemplificaremos três cenários propostos, um de cada serviço na nuvem - SaaS,PaaS e IaaS -,
14
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
que serão ambientes propícios como objeto de estudo para se desenvolver a proposta de
diretriz investigativa esperada. Finalmente, o capítulo 5 apresentará uma proposta de
diretrizes que tem como objetivo ajudar na resolução de crimes praticados tendo como cenário
esse novo ambiente computacional conhecido como Computação nas Nuvens. Em seguida,
serão apresentadas as conclusões do trabalho.
15
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
1. COMPUTAÇÃO NAS NUVENS
1.1 Introdução
Segundo Taurion (2009), a primeira vez que o termo Computação nas Nuvens foi
mencionado aconteceu em uma palestra de Eric Schmidt, do Google, em 2006, enquanto
citava como a sua empresa gerenciava seus centros de banco de dados. Desde então, o
conceito de Computação nas Nuvens tem se difundido no mundo inteiro como um movimento
de profundas transformações na área de TI.
De uma forma simplificada, Computação nas Nuvens proporciona uma
“revolução” na forma como se cria, acessa e gerencia documentos em um computador. No
modelo tradicional, um software é executado em um computador, onde é criado um arquivo e
este arquivo é salvo no mesmo computador onde foi criado. E, embora esse arquivo possa ser
acessado de qualquer outro computador que se encontre na mesma rede, não se pode ter
acesso aos dados através de um computador que esteja em outra rede. Em um ambiente de
Computação nas Nuvens, como afirma Miller (2008), os softwares utilizados não estão
instalados no computador que está sendo usado, mas sim em um servidor acessado via
Internet. Assim, se o seu computador não puder mais ser utilizado, o software continua
acessível a qualquer pessoa que dele necessite aonde quer que essa pessoa esteja. O mesmo
acontece para qualquer outro documento que se encontre nas Nuvens.
Assim, a chave do conceito de Computação nas Nuvens está exatamente na
palavra “nuvens”, que representam um conjunto de inúmeros computadores interconectados,
que podem ser públicos ou privados, pessoais ou parte de um datacenter, que podem ser
acessados, alterados e manipulados de qualquer lugar desde que se tenha acesso a Internet e a
autorização necessária para isso. Na Figura 1 que se segue podemos visualizar melhor como
esse conceito é aplicado.
16
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Figura 1 - Visão geral de um ambiente de atuação da Computação nas Nuvens. Adaptado de (MILLER, 2008).
Segundo Miller (2008), na perspectiva do Google, um dos pioneiros no seu uso de
Computação nas Nuvens, as seis características chaves desse paradigma seriam as seguintes:
Centrada para usuários: uma vez conectado nas “nuvens”, tudo o que
está armazenado nela - documentos, aplicações, imagens, qualquer
coisa - se torna acessível. Na verdade, esses dados não se tornam
acessíveis somente a você, mas também podem ser distribuídos com
qualquer outro usuário conectado.
Centrada para tarefas: ao invés de se focar na aplicação e no que ela
pode fazer, o foco está no que precisa ser feito e como a aplicação
pode fazer isso. Aplicações tradicionais tais como: aplicativos de texto,
email, entre outros - tem se tornado menos importante do que os
documentos armazenados ou trocados.
Robusta: conectar centenas e milhares de computadores em uma
“nuvem” cria um rico entrelace de informações que dificilmente pode
se comparar com o poder/uso de um único computador.
17
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Acessível: uma vez que os dados armazenados se encontram em uma
“nuvem”, usuários podem mais facilmente ter acesso a dados que se
encontram em diversos repositórios distintos. Não se fica limitado a
um único centro de informações.
Utiliza técnicas de Inteligência Artificial: com milhares de dados
espalhados em vários lugares, é preciso que se tenha um processo de
data mining e de análise eficientes para que o acesso a esses dados seja
feito da melhor forma possível.
Dinâmica: para proteger a integridade dos dados, as informações
guardadas na “nuvem”, devem ser duplicadas para outros
computadores.
Diante dessas características, percebe-se que a Computação nas Nuvens já está
totalmente presente em nosso dia a dia. Quando se acessa qualquer um dos aplicativos da
“família” Google – Gmail, Picasa, Google Calendário, entre muitos outros, se está diante de
aplicações que estão instaladas nos servidores do Google, mas que são acessíveis a qualquer
usuário que tenha interesse em manuseá-las.
Dessa forma, objetivo deste capítulo é contextualizar fundamentos computação
nas nuvens, iniciando abordando os serviços ofertados nas nuvens, em seguida serão
abordados a sua arquitetura, e finalizando com a importância da segurança da informação,
especificamente a segurança nas nuvens.
1.2 Serviços em Computação nas Nuvens
A Computação nas Nuvens, para fins de maior entendimento, pode ser dividida
em camadas que representam a arquitetura geral do que seria uma “Nuvem”, conforme
apresentado a seguir:
Software como Serviço (Software as a Service - SaaS): é a camada que está mais
diretamente ligada ao usuário. É através dela que ele consegue usufruir dos serviços
oferecidos pela Computação nas Nuvens. A função da camada de serviço é hospedar
aplicações que rodam na “Nuvem” e são fornecidas para os usuários conforme solicitadas. Em
ambos os casos, os pedidos são entregues aos usuários de forma transparente e sem a
18
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
necessidade de instalação e manutenção do software. Dessa forma, paga-se pelo software
como se fosse apenas um serviço, sem necessidade de licenças. Nesse sentido, afirma Taurion
(2009):
SaaS está relacionado com a funcionalidade da aplicação, entregue via
modelo de subscrição pela Internet. O cliente não precisa ter a
“propriedade” do software. [...] No SaaS, ele não “possui” o software
e adicionalmente não precisa se preocupar com a tecnologia em que o
software vai operar.[...] Software-as-a-service é um modelo
disruptivo. Sua proposição de valor é a funcionalidade oferecida e não
a “propriedade do produto”.[...] O cliente não adquire licença de uso,
mas paga uma taxa mensal baseada no número de funcionários que
acessem o serviço. SaaS, por ser um modelo disruptivo, vai afetar toda
a estrutura da indústria de software. (TAURION, 2009, p 102).
Dessa forma, com o conceito de SaaS, a Computação nas Nuvens passou a
oferecer um serviço no qual o usuário trabalha apenas com o que necessita evitando gastos
desnecessários com hardware e/ou software. Como afirma Rosenberg e Mateos (2010), a
Computação nas Nuvens oferece a vantagem de se comprar um serviço da forma pay-as-you-
go, ou seja, pode-se adquirir hardware e/ou software à proporção que se percebe a necessidade
de utilizá-los. Podem-se citar como alguns exemplos de SaaS: Dropbox, Google Apps,
Facebook, Sky Drive (Microsoft).
Plataforma como Serviço (Platform as a Service - PaaS): essa camada trata da
disponibilização de um ambiente para que os desenvolvedores de programa possam ter um
espaço destinado a produzir aplicações que devem executar em um ambiente de Cloud
Computing. Como exemplo de PaaS se enumera os seguintes: Google AppEngine, Windows
Azure, Force.com, Amazon S3, etc.
Infraestrutura como Serviço (Infrastructure as a Service - IaaS): é a camada mais
inferior da nuvem. É onde se encontram os dispositivos físicos como os servidores, os
dispositivos de rede e discos de armazenamento que são oferecidos aos consumidores. Aqui
também se percebe uma grande utilização do método de virtualização utilizado para fornecer
o racionamento na demanda dos recursos. Exemplos de IaaS são: Amazon EC2, GoGrid,
Eucalyptus (open source), etc.
19
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Lima (2010) acrescenta ainda que grandes empresas, como a Amazon, IBM, entre
outras, já dispõem desse serviço e colocam como grande diferencial o fato de que pelo
pagamento de uma pequena quantia tem-se acesso às mais modernas tecnologias disponíveis.
Na Figura 2 se visualiza mais claramente como os níveis de serviço em Nuvem se
relacionam entre si e a relação entre cada um deles e seus respectivos usuários.
Figura 2 - Tipos de serviços e atuação dos usuários de aplicações nas nuvens. Adaptado de (SOSINSKY, 2011).
1.3 Tipos de Nuvens
Existem três tipos básicos de nuvens, sendo elas públicas, privadas e híbridas. Sua
escolha dependerá das necessidades das aplicações implementadas.
As nuvens públicas são serviços em nuvem fornecidos por terceiros, ou seja,
fornecedores. Os serviços são completamente hospedados e gerenciados pelo provedor de
nuvem. Os recursos são facilmente escaláveis, basta o usuário reservar uma quantidade maior
deles caso seja necessário.
O provedor de nuvem assume as responsabilidades de instalação, gerenciamento,
fornecimento e manutenção do serviço, sendo os clientes cobrados apenas pelo o que está
sendo utilizado. Como exemplo, vale citar os provedores de serviços – como a Amazon e o
Google – cujos equipamentos, infraestrutura ou aplicações são compartilhados por milhares
de clientes em todo o mundo, por intermédio da Internet.
Já as nuvens privadas são serviços em nuvem fornecidos dentro da empresa. Essas
nuvens existem dentro do firewall da empresa e são gerenciadas por ela, tendo total controle
20
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
sobre como as aplicações que são implementadas na nuvem. Uma nuvem privada é, em geral,
construída sobre um datacenter privado.
Uma limitação nesse modelo é que além da escalabilidade ser reduzida ao
tamanho do investimento feito no seu próprio datacenter, a empresa continua responsável pela
administração física dos recursos de hardware, assim como evolução de software e
atualizações necessárias.
A principal diferença entre uma nuvem pública e privada é a responsabilidade de
configurar e manter a nuvem. Dentre as empresas que se utilizam desse tipo de nuvens pode-
se enumerar o Itaú-Unibanco, que mantém uma nuvem privada para executar o correio
eletrônico, CRM e banco de dados. Outro exemplo também seria a empresa brasileira UOL.
Uma combinação entre as nuvens públicas e privadas, as nuvens híbridas são
criadas pela empresa e as responsabilidades de gerenciamento seriam divididas entre a
empresa e o provedor de nuvem pública. A nuvem híbrida usa serviços que estão no espaço
público e no privado.
A principal desvantagem dessa nuvem é a dificuldade de criar e controlar de
forma efetiva tal solução. Serviços de diferentes origens devem ser obtidos e fornecidos como
se tivessem originado de um único local e interações entre componentes privados e públicos
podem tornar a implementação ainda mais complicada.
1.4 Arquitetura em Computação nas Nuvens
O conceito arquitetural da plataforma de Computação nas Nuvens é representado
por uma rede de servidores em nuvem interligados, podendo, de acordo com a necessidade, se
utilizar da técnica de virtualização para maximar o desempenho do computador que está
atendendo a esse serviço naquele determinado instante (LAMB,2009). Conclui-se que a infra-
estrutura da Computação nas Nuvens pode ser estruturada se utilizando das técnicas de
virtualização, de Grid Computing ou ainda se utilizando de ambas.
Pode-se conceituar o que seria Grid Computing como a utilização de diversos
computadores na resolução de um único problema (LAMB, 2009). Esse problema, que pode
ser científico ou técnico, requer um número de ciclos de processamento ou o acesso a grande
21
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
quantidades de dados. É uma forma de computação distribuída através da qual um
aglomerado de rede, composto por computadores fracamente acoplados, se auxiliam para em
conjunto executar muitas tarefas. Uma visão esquemática do modelo arquitetural é
apresentada na Figura 3.
Figura 3 - Modelo arquitetural de aplicações nas nuvens. Adaptado de (REED; BENNETT, 2010).
Neste cenário, um conceito importante empregado é o de virtualização, pelo qual
as instâncias de aplicações e recursos existem logicamente, permitindo uma gerência mais
ampla e a permitindo uma otimização do uso de infraestrutura.
1.5 Segurança da Informação
A segurança da informação tem passado por uma constante evolução. Antes da era
de processamento de dados, a segurança das informações mais valiosas para uma empresa era
feita por armários com fechadura de segredo especialmente designados para armazenar
documentos confidenciais. Entretanto, com o advento do computador se viu a necessidade de
criar ferramentas automatizadas para proteger arquivos e outras informações armazenadas no
computador. A partir do uso de sistemas distribuídos e de redes de computadores, a obsessão
pelo aprimoramento constante das técnicas de segurança que visam desencorajar, impedir,
22
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
detectar e corrigir violação de segurança na transmissão de informações se tornou cada vez
mais essencial (STALLINGS, 2008).
Dessa forma, em uma sociedade moderna, onde as pessoas procuram cada vez
mais estarem conectadas a uma rede, buscando realizar suas atividades de forma mais fácil,
rápida e eficiente, o quesito segurança foi ganhando um papel de grande importância. Isto
tornou a tecnologia um requisito primordial para garantir confiabilidade, integridade e
disponibilidade desses serviços. Portanto, vale ressaltar que é preciso se entender segurança
não apenas como uma forma de proteção, mas também, como um requisito para o
funcionamento do sistema (NAKAMURA; GEUS,2007).
Assim, para tentar garantir essa segurança, segundo Kurose (2010), podem ser
identificadas algumas propriedades desejáveis para uma comunicação segura. Elas seriam as
seguintes:
Confidencialidade: apenas o receptor e o destinatário devem ter acesso ao
conteúdo da mensagem transmitida. Uma forma de impedir que terceiros
interceptem tal mensagem é a utilização de criptografia.
Autenticação do ponto final: receptor e destinatário devem confirmar a
identidade da outra parte envolvida na comunicação.
Integridade na mensagem: além da autenticação entre o receptor e
destinatário, faz-se necessário garantir que a mensagem que eles estão
recebendo é realmente a que foi enviada e não houve alteração do
conteúdo durante a transmissão dos dados.
Segurança operacional: uma vez que grande parte das empresas está
conectada à Internet, elas se tornam expostas a ataques de criminosos. Para
tentar impedir tal ação, a utilização de mecanismos operacionais, como
firewalls e sistemas de detecção de invasões são essenciais a qualquer
organização.
Quanto ao desenvolvimento de software, Krutz e Vines (2010) acrescentam ainda
que, para se obter um software seguro, é preciso atender a princípios que garantam as bases
fundamentais de segurança para que quando em operação, o software opere de forma
confiável, mesmo se vier a sofrer algumas falhas. Em termos práticos, esse software deverá
23
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
ser capaz de resistir ao maior número de ataques, tolerá-los, conter os danos e se recuperar o
mais rápido possível.
1.5.1 Segurança em Computação nas Nuvens
Segundo Reed e Bennett (2010), o ponto de maior preocupação para quem ainda
não adotou o conceito de Computação nas Nuvens é a segurança. Certamente, essa
preocupação não é infundada, afinal segurança não é um tema trivial e fácil de ser resolvido.
Observa-se que apesar dos inúmeros esforços que são tomados para preservar determinados
tipos de ambientes de ataques maliciosos, o cenário de ameaças está sempre em constante
mutação.
Além da questão de segurança, outro fator que gera receio por parte das
organizações antes de utilizar os recursos propostos pela Computação nas Nuvens está em um
fator que também tem relação com segurança, que seria a privacidade dos dados armazenados
nas “nuvens”.
Esses dois pontos levantados não são os únicos responsáveis pelo fato de uma
organização ou empresa não “estar nas nuvens” ainda. A virtualização dos serviços, utilizada
pela Computação nas Nuvens, introduz muitos novos riscos, além de manter os riscos
provenientes da forma tradicional de se armazenar dados - em servidores localmente
instalados.
De acordo com a empresa de pesquisa norte-americana Gartner, existem sete
riscos de uma migração para as “nuvens”. São eles:
1. Acesso privilegiado de usuários: Quando se escolhe por armazenar seus
dados fora do ambiente da empresa, está se correndo o risco de que pessoas
não autorizadas possam vir a ter acesso aos dados confidenciais. Muitas vezes,
os serviços terceirizados podem não implantar os controles “físicos, lógicos e
de pessoal” que as áreas de TI criam em casa.
2. Responsabilidade com a regulamentação: As empresas são as responsáveis
pela segurança e integridade de seus próprios dados, mesmo quando essas
informações são gerenciadas por um provedor de serviços. Dessa forma,
24
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
devem-se buscar serviços de Computação nas Nuvens de empresas que
garantam certificações de segurança aos dados nela armazenados.
3. Localização dos dados: É preciso ter consciência de que, em um ambiente de
Computação nas Nuvens, não se tem conhecimento de exatamente onde os
dados estão armazenados. Na verdade, a empresa pode nem saber qual é o país
em que as informações estão guardadas.
4. Segregação dos dados: Até os dados de uma mesma empresa podem estar
separados em ambientes diferentes e dividindo espaço com dados de outras
empresas.
5. Recuperação dos dados: Mesmo sem ter noção de onde os dados estão
armazenados, o fornecedor da “nuvem” tem que saber como recuperar esses
dados caso aconteça alguma falha no serviço e como fazer essa recuperação
em um tempo hábil para que a empresa contratante não seja prejudicada.
6. Apoio à investigação: Investigar a prática de ações ilegais em Computação
nas Nuvens pode se tornar um trabalho bastante árduo. Isso acontece porque os
serviços o acesso e os dados dos vários usuários podem estar localizados em
vários lugares, espalhados em uma série de servidores que mudam o tempo
todo.
7. Viabilidade em longo prazo: Existe a possibilidade de uma empresa que
forneça serviços de Computação nas Nuvens vir a falir ou ser adquirida por
uma empresa maior e, caso isso aconteça, é preciso se analisar como será
possível conseguir os dados daquela nuvem de volta e em que formato eles
estarão disponíveis para serem importados.
Muitos desses desafios/riscos podem ser amenizados a partir de um melhor
gerenciamento de segurança. Para tanto, é fundamental se definir claramente os papéis e as
responsabilidades dos agentes - Serviço de Provedor nas Nuvens (CSP) e Cliente - dessa nova
relação que surgiu com as “nuvens”. Assim, os gerenciadores de segurança devem ser
capazes de determinar quais controles de detecção e de prevenção existentes se adequam
melhor para o perfil de aplicações em “nuvens” e é exatamente aqui que muitas vezes se
encontram as maiores dificuldades. (KRUTZ; VINES, 2010) sugerem como alternativa para
resolução desses problemas a adoção das seguintes práticas:
25
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Política de implementação de segurança: a adoção de políticas de
segurança é a base para implementá-la. Comunentemente, as organizações
têm implementado soluções técnicas de segurança sem primeiro criar essa
base de políticas, normas, diretrizes e procedimentos, gerando assim
controles de segurança desfocados e ineficazes. A palavra política pode se
referir a uma gama de significados, em se tratando do seu uso no sentido
de políticas de segurança em firewalls, ela aborda o controle de acesso e
informações da lista de roteamento. Normas, procedimentos e orientações
também são referidas como políticas no sentido mais amplo de uma
política global de segurança da informação. Uma política de adoção de
segurança bem escrita e definida pode ser a salvação caso se venha a
perder os dados armazenados, ou no caso da ocorrência de qualquer outro
tipo de problema eventual.
Detecção de malwares e resposta aos atos por eles praticados: manter uma
equipe responsável pela avaliação dos riscos e tomada de decisões, tais
como, notificar as partes interessadas sobre o problema apresentado pelo
sistema, mitigar riscos minimizando os efeitos negativos que eles trazem,
buscar a correção dos erros ocorridos, gerenciar os logs do sistema
tentando identificar que dados foram atingidos e ainda gerir a resolução
do incidente reportando as ações tomadas para a correção.
Virtualização da gestão de segurança: apesar da utilização da
virtualização ser algo recente, as ameaças à infraestruturas que utilizam
esse tipo de conceito estão evoluindo rapidamente. Como, historicamente,
o desenvolvimento e a implementação de novas tecnologias sempre acaba
precedendo à plena compreensão de seus riscos inerentes à segurança, o
mesmo aconteceu com relação aos sistemas de virtualização. É
interessante observar que uma das vulnerabilidades das máquinas virtuais
está no fato de que quando descoberta a vulnerabilidade de uma das
máquinas virtuais daquele sistema, essa informação pode ser utilizada
para atacar as outras máquinas. Para tentar fugir desse problema, têm-se
realizado atualmente análises de segurança e prova de conceito para evitar
ataques contra os sistemas virtualizados.
26
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Finalmente, pode-se considerar que a temática de segurança em nuvem representa
um ponto de fundamental importância na adoção do novo modelo de serviços corporativos e a
visão de como melhor utilizar estratégias para assegurá-la é motivo de pesquisa ainda hoje em
voga (vide, por exemplo, MCDONALD, 2010).
No próximo capítulo, outros aspectos que transcendem à questão tecnológica
serão abordados, voltando-se mais para a visão processual em que a investigação de
mecanismos de segurança devem ser considerados, o que será de grande relevância para
fundamentar os critérios que serão posteriormente apresentados.
27
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
2. COMPUTAÇÃO FORENSE
Neste capítulo serão abordados aspectos importantes referentes à computação
forense. Os tópicos tratam de uma breve introdução sobre conceito de computação forense.
Em seguida, busca-se entender as fases que precisam ser seguidas para que se atinja o
objetivo primordial da computação forense que é elucidar crimes. Também será tratada a
questão da coleta dos vestígios digitais e como a forma de manusear tais evidências pode
fazer a diferença na hora de se investigar um crime. Por fim, serão elencadas algumas
metodologias investigativas já utilizadas por peritos e que deverão ser analisadas para que se
possa ter conhecimento se elas podem ou não serem utilizadas em uma investigação cujo
ambiente seja de computação nas nuvens.
2.1 Introdução
Segundo Costa (2003), a Computação Forense pode ser conceituada como uma
ciência que trata de estudos e avaliações de situações que envolvam a computação como meio
para cometer crimes. Podemos concluir que a Computação Forense tem como intuito analisar
metodicamente mídias computacionais ou outros dispositivos eletrônicos buscando encontrar
e/ou reconstituir atividades muitas vezes ilícitas realizadas por um determinado usuário. Em
outras palavras, a Computação Forense inclui o recolhimento, preservação, análise e
apresentação de evidências que podem vir a serem úteis em processos criminais, litígios civis,
dentre outros.
Assim, pode-se entender que o objetivo da Computação Forense é recuperar,
analisar e apresentar provas que possam ser utilizáveis como evidências em um tribunal de
direito. Esse é o ponto chave da disciplina: Deve-se fazer tudo o possível para que nenhum
dos equipamentos ou métodos utilizados durante o exame feito no computador suspeito
impeçam que esse objetivo seja alcançado (VACCA, 2005).
28
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Percebe-se então que a Computação Forense está preocupada principalmente com
os procedimentos forenses, as regras para se conseguir provas e processos judiciais. Portanto,
em contraste com grande parte das outras áreas da informática, onde a velocidade é a
principal preocupação, em Computação Forense a prioridade absoluta é a precisão. Fala-se de
completar o trabalho de forma mais eficiente possível, isto é, o mais rápido possível, mas sem
sacrificar a precisão (VACCA, 2005).
Considerando que grande parte dos usuários de computadores não tem
consciência da dificuldade de se eliminar uma informação armazenada em um computador, a
Computação Forense encontra aqui uma forte aliada quando necessita encontrar provas ou até
mesmo recuperar totalmente informações independentemente do fato delas terem sido
apagadas intencionalmente ou não.
Para rever tais informações, a Computação Forense pode até se utilizar das
mesmas técnicas usadas quando precisa recuperar dados de um software que apresentou
algum defeito. Entretanto, aqui o objetivo não é apenas a recuperação dos dados perdidos,
mas poder utilizar esses dados para realizar uma análise mais aprofundada sobre o conteúdo
de tais dados.
É interessante observar que com o advento da Internet, desenvolveu-se uma nova
modalidade de crime: o cybercrime. Segundo Shinder e Cross (2008), o cybercrime é um
termo amplo e genérico que se refere aos crimes cometidos usando computadores e a Internet.
Esses dispositivos podem estar envolvidos em uma ação criminosa quando são usados como
instrumento do crime, quando são alvos do crime ou ainda quando são usados para fins
acessórios ligados ao crime. Esse assunto ainda será mais detalhado no capítulo seguinte.
Com a evolução contínua da tecnologia, tem-se tornado difícil para os policiais e
profissionais de informática ficarem um passo à frente dos criminosos tecnologicamente mais
experientes. Dessa forma, para lutar eficazmente contra o cybercrime, maior atenção deve ser
dada no campo da Computação Forense, incluindo a não limitação do apoio financeiro, as
diretrizes e leis internacionais, e treinamento dos profissionais envolvidos no processo
(VACCA, 2005).
29
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
2.2 Fases da Computação Forense
A Computação Forense se utiliza de uma sequência de fases para alcançar o seu
objetivo primordial: elucidar um crime cometido através do computador. Citam-se as etapas
de coleta, exames, análise e interpretação dos dados como de fundamental importância para
que o perito computacional consiga gerar um documento formal que conterá as informações
necessárias para a conclusão investigativa do caso a ele designado. Em seguida, será abordado
o propósito de cada uma dessas fases.
Coleta de dados: etapa vital do processo e a que demanda maior cuidado
por parte dos peritos responsáveis pela investigação. Toda a sua
importância está no fato de que a massa crítica de dados será coletada
nesse momento, necessitando assim uma atenção especial para que se
mantenha a integridade das informações. Segundo Brown(2009), a fase de
coleta na Computação Forense ocorre quando os artefatos considerados de
valor probatório são identificados e recolhidos. Normalmente, esses
artefatos são dados digitais sob a forma de unidades de disco, unidades de
memória flash ou outras formas de mídias digitais e dados, podendo
incluir ainda materias tais como políticas de segurança corporativa,
manuais de operação e procedimentos de backup.
Exames dos dados: nesta segunda etapa, o principal objetivo é separar as
informações relevantes ao caso investigado das que nada interessam.
Conforme Jones e Valli (2008), este processo pode incluir a documentação
de todos os itens e do uso de criptografia para garantir que os itens de
dados não foram alterados. Um ponto importante antes do início dessa fase
é escolher que ferramentas serão utilizadas para o exame dos dados. O
processo de escolha está diretamente relacionado com o tipo de
investigação e de informações que desejam ser encontradas.
Análise de Informações: aqui, as informações que foram previamente
separadas serão analisadas visando obtenção de dados úteis e relevantes na
investigação do caso. Todos os dados encontrados devem ser organizados
estruturalmente de forma a ajudarem na conclusão e elucidação do crime.
30
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Interpretação dos resultados: a última fase da investigação forense tem
como objetivo apresentar um relatório técnico informando a conclusão
final de todo o processo investigativo. Esse relatório deve conter todo o
processo pericial desde o seu início, as ferramentas utilizadas e
informações relevantes à integridade das informações obtidas. Para Jones e
Valli (2008), o objetivo dessa fase é apresentar as evidências obtidas de
uma maneira estruturada e entendível para que o público-alvo
normalmente membros de júri tenha total ciência de todos os passos que
levaram às conclusões relatadas.
Cada uma das fases da Computação Forense citadas acima estão interligadas e
suas interdependências podem ser visualizadas na Figura 4.
Figura 4 - Fases da Computação Forense. Disponível em http://www.sbseg2007.nce.ufrj.br/
documentos/Minicursos/minicurso_forense.pdf. Acesso em: 08 mai.2011.
2.3 Coletando Vestígios Digitais
Conforme Volonino e Anzaldua (2008), a forma como são adquiridas as
evidências computacionais é a pedra angular para que uma boa investigação forense seja
conduzida e para que isso ocorra, faz-se necessário se trabalhar da forma mais profissional
possível. Costa (2003) acrescenta ainda que a perícia de crimes de informática requer
cuidados especiais durante a sua execução e, em muitos casos, é a partir de uma operação de
31
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
busca e apreensão bem conduzida que se tem a possibilidade ou não de se examinar o material
e/ou equipamento apreendido.
Uma regra primorial quando se está trabalhando com perícia forense
computacional é documentar todos os passos que estão sendo seguidos. Para Costa(2003) a
documentação de todo o processo desde o seu início é uma etapa que não deve ser esquecida.
Informações como órgão solicitante da perícia, data de recebimento e descrição do material,
perito encarregado do caso, data e hora de cada exame realizado e o fim dos trabalhos são de
fundamental importância.
Para se começar a coleta de evidências, é importante estabelecer uma ordem de
passos a serem seguidos. Segundo Volonino e Anzaldua (2008), esse processo deve seguir tais
indicações:
1. Determinar o tipo de mídia que se está trabalhando: o objeto da investigação
pode ser um dispositivo de armazenamento magnético, como um disco rígido
unidade, um dispositivo ótico como um DVD, ou com a memória volátil tal
como um telefone móvel.
2. Encontrar a ferramenta certa para o tipo de trabalho: depois de saber que tipo
de mídia será o objeto da investigação, é necessário garantir que sejam
utilizadas as ferramentas corretas para recuperar os dados da mídia.
3. Realizar a transferência dos dados: faz-se necessário escolher o equipamento
adequado para transferir os dados do dispositivo original para a mídia estéril
(se necessário) garantindo a integridade da transferência dos dados.
4. Autenticar os dados preservados: dados digitais são fáceis de serem alterados.
Para se evitar que isso ocorra, deve-se fazer uma autenticação dos dados
coletados.
5. Fazer duplicação das mídias: é importante que se faça uma cópia de trabalho da
evidência encontrada. Esse passo é fundamental não importa o tipo de mídia
que se esteja trabalhando.
De todos os passos acima citados, o relacionado à duplicação da mídia é colocado
em maior destaque. Para Costa(2003), os trabalhos periciais na área penal devem manter as
provas materiais preservadas para garantir que elas possam vir a ser examinadas novamente
32
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
no futuro em caso de alguma dúvida. No caso da Computação Forense, que envolve a
apreensão de equipamentos e mídias para perícia, à duplicação na mídia de prova é necessária
e fundamental para preservação das informações inicialmente contidas na mídia apreendida.
2.4 Metodologias Investigativas
Existem várias técnicas e metodologias que são empregadas para elucidação de
crimes cometidos em ambientes computacionais. Tocchetto e Espindula (2005) citam as
seguintes em especial:
Preservação de memórias: consiste em realizar cópias dos dados de uma
mídia transpondo-os para outra mídia, preservando todas as informações
essenciais do conteúdo original.
Inicialização controlada: visa garantir que os programas utilizados desde
o início do funcionamento da máquina, adicionando-se um sistema
operacional, executem funções cujos efeitos já sejam os esperados.
Análise de artefatos: técnica que busca a análise e classificação dos
resultados que os programas de computadores podem produzir. É uma
técnica utilizada para abordar questões de vírus e worms, que surgem
com grande freqüência e não permitem análises aprofundadas.
Recuperação de arquivos excluídos: essa técnica pode trazer benefícios
como a obtenção de um agrupamento de dados que podem estar dispersos
através de uma mídia, e mesmo seus metadados que podem ser de
enorme utilidade para traçar o histórico através de datas de criação ou
para identificar usuários que manipularam objetos dentro da mídia.
Monitoramento telemático: trata-se de uma observação do fluxo de
comunicação existente nas transações da rede. Pode ser, em muitos casos,
a única opção para demonstrar fatos, suas conseqüências, autores e como
os ilícitos foram realizados.
33
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Criptoanálise: tem como função revelar conteúdos embaralhados ou
criptografados. Essa técnica pode ser desenvolvida tanto através de dados
estatísticos, tentativa e erro ou ainda na força bruta.
Verificação de assinaturas eletrônicas: ao produzir conteúdos digitais,
eles podem ser marcados como de autoria da pessoa que o criou,
mediante o emprego de funções criptografadas. As assinaturas eletrônicas
são resultado de funções associadas aos dados produzidos como algo
pertencente somente ao seu autor, algo que deve ser mantido em sigilo
para que não sejam utilizados por outros (chave privada).
Sucessão de eventos: técnica que se compõe da remontagem da sucessão
de eventos realizados por um individuo ao se utilizar do computador para
cometer algum crime e que permite tanto a compreensão dos fatos quanto
a validação dos dados de origem. Um exemplo de rastros que são gerados
pelo computador que podem auxiliar o perito criminal é o registro de
atividades.
Entretanto, no caso de investigações em ambientes computacionais que adotam o
paradigma da Computação nas Nuvens, é interessante observar que muitas dessas técnicas e
metodologias podem não ser aplicadas. De acordo com Lillard (2010) esse diferencial surge
do fato de que além da questão da máquina física e dos componentes de rede associados que
não podem ser fisicamente apreendidos e analisados, a Computação nas Nuvens acrescenta
desafios adicionais ao levar o perito forense a se deparar com a virtualização dos dados a
serem investigados, da procura por evidências em sistemas que não estão fisicamente
acessíveis ou a falta de opções de ferramentas apropriadas para investigação.
No capítulo a seguir será dado maior destaque ao elemento fundamental da perícia
forense: o crime digital. Iniciando pela definição do seu conceito e características, adentrando
pela questão de legislação mundial e como a mesma tem evoluído para tratar os crimes
cometidos através de um computador, e finalizando com uma visão geral sobre as
perspectivas de regulamentação de crimes digitais em cenário de nuvens.
34
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
3. ASPECTOS LEGAIS DOS CRIMES DIGITAIS
Neste capítulo serão abordados os crimes digitais, que são objetos de trabalho da
perícia forense. Será abordado como a legislação vigente em vários países aborda esse tipo de
delito e ainda se existe a possibilidade de se adequar a legislação existente para tratar os
crimes digitais praticados em um ambiente de computação nas nuvens.
3.1 Introdução
Não há como voltar atrás no que diz respeito ao desenvolvimento tecnológico. Ele
já está presente e modificou irreversivelmente a forma como as pessoas realizam suas
atividades cotidianas. A facilidade com que hoje se paga uma conta, compra-se um livro,
adquire-se uma passagem aérea ou reserva-se um hotel através da Internet é inquestionável.
Entretanto, todas essas vantagens também trazem consigo desafios a serem superados, já que
as redes de informática tem se revelado, conforme cita Monteiro Neto (2008), um facilitador
para a penetração de ilícitos, uma vez que os meios existentes para as práticas de delitos
eletrônicos são inúmeros e devido às características dessas infrações, os vestígios deixados
são mínimos, o que torna a repressão e a persecução a estes atos tarefa árdua.
É exatamente nesse momento que se percebe a necessidade de se estabelecer uma
relação mais próxima entre o Direito Penal, ramo do direito que se dedica a reprimir os delitos
imputando as penas cabíveis a cada crime com a finalidade de preservar o convívio em sociedade, e a
Informática. Essa conexão se estabelece da seguinte forma:
Partindo da premissa que o Direito é a única forma de controle capaz
de conter o avanço da criminalidade no mundo virtual, isto porque, de
todos os sistemas de controle social, o Direito, possuindo estrutura
imperativa atributiva e a coercitividade, sancionando assim as
condutas ilícitas qualquer que seja a angulação enfocada, penal, civil
ou trabalhista. ( DOUN; BLUM ,2000, pag.119).
Entretanto, ainda não se percebe que haja no Brasil uma tipificação específica dos
crimes eletrônicos. Seguindo esse raciocínio, Luis Flávio Gomes (2001) considera que é
35
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
necessária uma legislação mais específica, ao se identificar que o uso da informática pode ser
considerado um fator criminógeno pelas seguintes razões:
a) abre novos horizontes ao delinqüente (que dela pode valer-se para
cometer infindáveis delitos – é a instrumentalização da informática);
b) permite não só o cometimento de novos delitos (p.ex.: utilização
abusiva da informação armazenada em detrimento da privacidade,
intimidade e imagem das vítimas) como a potencialização dos delitos
tradicionais (estelionato, racismo, pedofilia, crimes contra a honra
etc.); c) dá ensejo, de outro lado, não só aos delitos cometidos com o
computador ("computer crime"), senão também os cometidos contra o
computador (contra o "hardware", o "software" ou mesmo contra a
própria informação). (GOMES, 2007).
Dessa forma, para minimizar ou eliminar tais atos criminosos, faz-se necessário
que, como afirma Monteiro Neto (2008), seja dada a devida atenção ao desenvolvimento do
Direito Penal Eletrônico para que este discipline a matéria evitando assim a ampliação da
situação periclitante de que os meios eletrônicos, principalmente a Internet, são carentes de
regulamentação, sendo territórios anárquicos, férteis para a prática de ilícitos, e isto deve ser
coibido.
Vale ressaltar que, ao se pensar em se desenvolver um Direito Penal Eletrônico,
hoje, com o advento da Computação nas Nuvens esses fatores foram reforçados e é preciso se
começar a pensar além de uma legislação específica brasileira. Percebe-se a necessidade de
leis mais abrangentes, uma vez que, como identificam Ana Santos e Paulo Machado (2010),
na Cloud Computing é comum existir um provedor que forneça serviço em outro país ou
utilize recursos no exterior, e é nesse ponto que surge a necessidade de um acordo
internacional para cobrir os aspectos jurídicos e de segurança.
3.2 Conceito de Crimes Digitais
Como já mencionado, o advento do computador em muito facilitou a vida
humana. Entretanto, não se pode deixar de observar que o uso cada vez mais dependente do
computador traz incertezas quanto ao verdadeiro impacto e dimensão do desenvolvimento
tecnológico computacional em nossas vidas. Por certo, um dos grandes receios que se tem diz
respeito às mudanças nas relações sociais, de trabalho, entre outros. Muito se imaginava sobre
36
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
como o uso do computador para determinadas atividades poderia vir a impactar na perca de
emprego por parte de muitos trabalhadores. Isso com certeza aconteceu e ainda deve
acontecer, mas se pensado pelo aspecto do desenvolvimento e das oportunidades geradas, o
computador, como ferramenta de inserção a um mundo globalizado, tem se mostrado um
meio de se gerar e difundir riquezas, sejam elas intelectuais, comerciais, culturais, etc. E é
justamente por conta desse seu atrativo que se tem evidenciado um número cada vez mais
crescente de crimes que se utilizam do computador como meio, uma vez que:
As informações virtualizadas que podem ser acessadas nos sistemas
de rede de computador são riquezas que ampliam o patrimônio
material e intelectual dos usuários. Constata-se, historicamente, que a
riqueza atrai o crime e, conseqüentemente, o criminoso. O que
impressiona é a fragilidade da riqueza das informações uma vez que
dados virtuais representam polpudas quantias em dinheiro, que podem
ser sonegadas, interceptadas ou subtraídas por simples sinais digitais,
quase sempre de identidade anônima. Com as teclas dos computadores
(e não com o uso de pistolas automáticas e metralhadoras), os
assaltantes virtuais de bancos e de empresas passam a utilizar a
riqueza das informações arquivadas nos computadores, servindo-se de
sofisticados programas e softwares para cometer crimes impunemente.
(CORRÊA, 2010).
Por si só, os computadores não podem ser tratados como perversos, pois eles
apenas são ferramentas, como tantas outras, que podem ser utilizadas para auxiliar no
cometimento de um crime. Talvez o grande diferencial dos crimes que se utilizam da máquina
computacional está no fato de, como afirma Lima (2011), os criminosos não serem facilmente
vistos e ouvidos – ocultos estão em um terreno virtual e pouco explorado. Vale ressaltar ainda
que alguns crimes cometidos por intermédio de computadores podem vir a afetar diversos
países, vitimas por diversas nacionalidades e distintas legislações, sem que o agente criminoso
necessite se deslocar da segurança de sua casa e covil.
Diante do exposto, consegue-se caracterizar que todo crime utilizado tendo como
meio o uso de um computador recebe o nomem júris de “Crimes de Computador”, ou ainda
“Crimes Digitais”. Mas, esse conceito dedutivo e trivial, vai além quando se busca uma
definição jurídico-penal. Nesse momento, muitos autores têm seu posicionamento e sua ideia
própria a respeito do tema. Para Lima (2011), pode-se discorrer sobre crimes digitais como
sendo:
37
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
(...) qualquer conduta humana (omissiva ou comissiva) típica,
antijurídica e culpável, em que a máquina computadorizada tenha sido
utilizada e, de alguma forma, facilitado de sobremodo a execução ou a
consumação da figura delituosa, ainda que cause um prejuízo a
pessoas sem que necessariamente se beneficie o autor ou que, pelo
contrário, produza um benefício ilícito a seu autor, embora não
prejudique a vítima de forma direta ou indireta. (LIMA, 2011).
Seguindo essa mesma linha de raciocínio, Junior (2010) conclui que o crime
digital consiste em “uma conduta lesiva, dolosa, a qual não precisa necessariamente
corresponder à obtenção de uma vantagem ilícita, porém praticada, sempre com a utilização
de dispositivos habitualmente empregados nas atividades de informática”.
Tendo ciência de que esses dois conceitos figuram entre outros inúmeros
entendimentos que se pode verificar a despeito da definição de crime digital, vale a pena
traçar pontos que caracterizam esses crimes digitais praticados e como eles podem ser
distinguidos, para que se possa mais claramente chegar a uma classificação, ainda que sem se
ter bases doutrinarias sólidas, dos crimes digitais.
3.3. Classificação dos Crimes Digitais
Vários são os critérios para se estabelecer uma classificação dos crimes digitais
de forma a tentar abranger a maior quantidade de tipos de delitos possível. Nesse momento
será abordada a classificação conforme Ulrich Sieber (1986, apud Maria Helena Junqueira
Reis, 1996, p.29), que apesar de não tão atual, ainda é bastante relevante, e trata de realizar a
classificação dos crimes digitais a partir da forma de atuação do autor do crime.
A priori são listadas as seguintes classificações: crimes eletrônicos, ofensas contra
direitos individuais e ofensas contra interesses supraindividuais. Essa divisão é ainda, no
entendimento do autor, mais didaticamente entendida quando se faz o seguinte agrupamento:
1. Crimes Eletrônicos:
Fraude por manipulação de um computador contra um sistema de
processamento de dados, que se caracteriza por se modificar dados de um
38
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
sistema eletrônico tendo como principal objetivo obter uma vantagem
ilícita.
Espionagem informática consiste na tentativa de se conseguir informações
sigilosas através da utilização de programas espiões que monitoram os
passos de um usuário dentro da Internet, sem que o mesmo tenha
consciência ou permitido tal ação.
Furto de tempo é uma das praticas ilícitas mais comuns. Esse crime,
conforme afirma Lima (2011) consiste na utilização, sem autorização dos
proprietários, para uso pessoal, de programas ou equipamentos de
informática e periféricos de um sistema informático alheio.
Intrusão de sistemas se caracteriza pelo uso ilegítimo de senhas por parte
de hackers para que se invada um sistema informático sem a autorização
do proprietário e se tenha acesso a dados confidenciais que podem ou não
ter valor econômico.
Ofensas tradicionais que, segundo Monteiro Neto (2008), consubstancia-
se na utilização de um sistema eletrônico para a prática de ilícitos comuns,
onde o computador ou o sistema computacional não passa de novo meio
de execução, como por exemplo, a falsificação de documentos.
2. Ofensas Contra Direitos Individuais:
Uso incorreto de informação que se refere basicamente a obtenção e
utilização de informações de cunho pessoal de forma abusiva e ou
errônea.
Obtenção ilegal de dados e posterior arquivo das informações, crime no
qual se adquire através da invasão da privacidade, arquivos de
informações que podem ser utilizados para denegrir a imagem do
ofendido.
Revelação ilegal e mau uso de informações que trata de se obter
informações até mesmo de forma legal, mas depois de adquiridas, elas
serem utilizadas para fins ilícitos.
39
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Dificultar a distinção da obtenção, arquivamento ou revelação de dados
que, segundo Lima (2011), define a conduta de quem dolosamente
dispusesse arquivos eletrônicos de forma a dificultar o arquivo de novos
dados, sua obtenção ou divulgação.
3. Ofensa Contra Direitos Supraindividuais:
Ofensas contra interesses estaduais e políticos, ou seja, condutas
criminosas contra interesses do Estado.
Ofensas contra a integridade humana, que tratam de manipulação de
informações visando atingir a integridade de uma ou mais pessoas.
Outra classificação proposta é a de Pradel (1986, apud Monteiro Neto, 2008,
p.29) que, ao contrário da citada acima, coloca como centro da classificação a finalidade do
delito. Dessa forma, para ele, os crimes digitais se classificariam em: manipulação para
obtenção de dinheiro, que deve ser entendida como qualquer atividade ilícita que traga
benefício econômico para o seu autor, e manipulação para obtenção de informações, que diz
respeito a qualquer informação obtida a partir da violação de sigilo.
A classificação de Padrel, segundo Monteiro Neto (2008), é uma das mais bem
elaboradas uma vez que se preocupa em classificar apenas os verdadeiros delitos eletrônicos.
Ela peca, entretanto, no fato de que não abraça todos os possíveis ilícitos cometidos contra
sistemas informacionais, uma vez que estes novos crimes muitas vezes são praticados sem o
intuito de obtenção de vantagem, mas simplesmente com o objetivo de causar prejuízo
danificando o equipamento, como na sabotagem informática. (MONTEIRO NETO, 2008).
Porém, ainda de acordo com Moreira Neto (2008), uma doutrina que vem se
destacando no contexto internacional é o sistema binário de conceituação, proposta por Hervé
Croze e Yver Bismuch, e que vem sendo defendida por diversos autores, na qual se distingue
duas categorias de crimes digitais:
Condutas delituosas perpetradas contra um sistema de informática sejam
quais forem às motivações do agente;
Crimes cometidos contra outros bens jurídicos, por meio de um sistema
de informática.
40
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Analisando cada uma dessas categorias separadamente se nota que a primeira
categoria, relativa às ações ilícitas praticadas contra sistemas de informática, engloba, como
afirma Lima (2011), os crimes que compreendem todas aquelas ações que desejam causar
danos no hardware ou no software de um sistema. Várias são as formas que podem ser
utilizadas para se atingir tal objetivo, sendo possível observar ainda que as técnicas utilizadas
tenham sofrido constante evolução e estão cada vez mais sofisticadas e de difícil detecção.
Conforme acrescenta Lima, essas ações se desenvolvem de duas formas: dirigidas para
ocasionar danos físicos, que em termos de legislação não trariam nenhuma diferença na forma
como a legislação penal já trata tais atos, e as dirigidas objetivando a causar danos lógicos, ou
seja, realizar ações criminosas que alteram, destroem ou ocultam dados de um sistema.
Quanto às condutas criminosas praticadas por intermédio de um sistema de
informática, percebe-se que elas estão cada vez mais presentes, uma vez que o avanço da
tecnologia e sua influência na vida social é indiscutível. Tanto que as transações comerciais, a
comunicação, os processos industriais, as investigações, a segurança etc. são todos aspectos
que dependem cada dia mais de um adequado desenvolvimento da tecnologia da informática.
O que se observa é que, assim como todos os ramos do saber humano acabaram por se render
ante os progressos tecnológicos, começando a utilizar os sistemas de informação para
executar tarefas que em outros tempos realizavam manualmente, com os crimes e os
criminosos o mesmo aconteceu. (LIMA, 2011).
Diante da percepção de que diversos autores têm uma classificação própria no que
diz respeito aos crimes digitais, não nos cabe analisar aqui qual a mais correta e mais
completa a ser seguida. O que se pretende com essas categorizações dos crimes digitais é ter
uma visão global respeito desse tema, para, ao adentrar no aspecto da legislação, conseguir se
identificar as ações cometidas, os autores dos delitos, além dos comportamentos previstos
pelos legisladores para que os crimes venham a ser tipificados.
3.4. Legislação Vigente referente aos Crimes Digitais
Com o advento do uso da informática e a sua popularização, tornou-se claro que a
forma como as leis penais dos países tratavam os crimes convencionais não poderiam ser
simplesmente adaptadas a esse novo meio. Fez-se necessária então uma quebra de
41
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
paradigmas, uma vez que, se no século XX os códigos penais apenas protegiam coisas
tangíveis, agora eles teriam que se preocupar com os bens incorpóreos e às informações.
(CRESPO, 2011).
Muitas foram às novas questões jurídicas especificas que surgiram com o advento
da sociedade digital. Segundo, Siber (1986, apud Maria Helena Junqueira Reis, 1996), pode-
se enumerar seis grandes ondas legislativas referentes à criminalidade informática:
a) Proteção de privacidade, que surgiu entre as décadas de 1970 e 1980,
que tratava do armazenamento e transmissão de dados a partir das
novas tecnologias. Países como Suécia (1973), Estados Unidos (1977)
e Alemanha (1978) foram os pioneiros a tratar desse assunto.
b) Direito penal econômico, quando relacionado aos crimes informáticos,
as primeiras mudanças surgiram no inicio da década de 1980. Nesse
momento se preferiu também tratar de crimes de acesso ilícito e
manipulação de sistemas. Os Estados Unidos foram os pioneiros ao
tratar desse tema, através de uma lei estadual, promulgada em 1978.
c) Proteção da propriedade industrial especifica para os casos no âmbito
da informática. Tal mudança ocorreu no inicio dos anos 1980, também
tendo inicio nos Estados Unidos.
d) Conteúdo ilegal e lesivo que começou a ser descrita em alguns países na
década de 1980 e se expandiu com a rápida ascensão da internet (desde
os anos 1990).
e) Aspectos processuais, leis desse tipo foram primeiramente promulgadas
na Austrália (1971) e Reino Unido (1984).
f) Leis de segurança, que tiveram o início de suas discussões na década
de 1990 e tratam da criação de condições para que se possam coibir
ações e a propor medidas de segurança dos diretos de privacidade ou
interesse publico geral.
Diante das informações expostas, vê-se que há muito tempo alguns países já
tratavam sobre os aspectos de crimes digitais. Nos itens a seguir, serão tratados com maiores
42
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
detalhes como determinadas legislações estrangeiras fazem tratamento penal desses crimes até
chegarmos ao âmbito da legislação brasileira.
3.4.1. Espanha
A Constituição espanhola, no art 18, parágrafo 4, trata das questões de informática
quando dispõe que a lei limitará o seu uso visando assegurar a honra e a intimidade pessoal e
familiar dos cidadãos e o pleno exercício de seus direitos (CRESPO, 2011).
Segundo Marcelo Xavier de Freitas Crespo, na Espanha existe uma Lei Orgânica,
que versa sobre o tratamento automatizado de dados. Essa lei alterou inclusive o Código Penal
desse país e instituiu ainda há incriminação daquele que se apodera, sem autorização de
qualquer documento seja ele eletrônico ou não, com o intuito de descobrir segredo ou violar a
intimidade de qualquer pessoa. O Real Decreto 1332/1994, que regulamenta a citada lei.
A legislação espanhola abrange também a questão de interceptação de
telecomunicações sem autorização. Outro aspecto interessante com relação ao código penal
espanhol está no fato de que ele incrimina a utilização não autorizada de terminal de
telecomunicação, incluindo os que fornecem acesso a internet. E trata da fraude informática
visando combater o estelionato praticado com uso de instrumentos tecnológicos.
3.4.2. França
A legislação francesa teve seu código penal reformulado pela Lei n.88-19, em
1988, e foi introduzido um capitulo especial que trata somente de crimes praticados contra
sistemas informáticos.
De acordo com Crespo, tais foram às novas disposições na Lei n.88-19:
a) Acesso fraudulento a sistema de elaboração de dados: é considerado
delito tanto o acesso, quanto permanecer no mesmo ilegalmente. A
pena é piorada caso haja alteração ou ocultação dos dados;
43
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
b) Sabotagem informática: é punida a conduta de quem apaga ou
falsifica o funcionamento do sistema eletrônico;
c) Falsificação de documentos informatizados: punição daqueles que
falsificam documentos informatizados na busca de causar prejuízos a
outrem.
É interessante observar que o código francês trata de questões como a conduta de
se introduzir vírus em um sistema informático, pune ações de introduzir, suprimir de forma
fraudulenta dados, reprime ação organizada de criminosos para preparação de algum desses
crimes acima citados e engloba ainda a questão da responsabilidade penal das pessoas
jurídicas, prevendo tanto casos em que a interdição das atividades da empresa, até sua
dissolução (CRESPO, 2011). Vale ressaltar ainda que a França foi um dos primeiros países a
ter leis de combate a criminalidade na informática.
3.4.3. Chile
A importância de se abordar a legislação chilena está no fato de que o Chile foi o
primeiro país da America Latina a atualizar a sua legislação para contemplar alguns crimes
digitais. A Lei n.19.223, de 1993, foi à responsável por introduzir tipos penais relativos a
crimes atentatórios a sistemas de informação. Essa lei não faz parte do código penal chileno e
consta apenas de três artigos, sendo os citados abaixo:
No art. 1° tem-se punição para aquele que destrua ou inutilize um
sistema ou seus componentes ou que impeça ou obstaculize seu
regular funcionamento. A pena é aumentada caso haja danos aos
dados armazenados. No art 2° tem-se a incriminação do acesso ou
interceptação indevidos em sistema. Por fim, no art 3° tem-se
incriminada a conduta de alterar, danificar ou destruir os dados
contidos em um sistema. (CRESPO, 2011).
3.4.4. Estados Unidos
O direito penal norte-americano é bem particular. Cada estado tem seus próprios
estatutos. Dessa forma, como afirma Crespo, a intervenção legislativa federal se resume a um
44
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
papel secundário, tratando apenas de algumas normas de âmbito nacional. Nos Estados
Unidos se percebe duas formas de incriminações: uma que está definida em espécies de
códigos penais (tipificação estatutári) e outra que não está disposta em um código escrito
(definidas por decisões judiciais tomadas em outros casos similares).
Apesar de a Suécia ter sido o primeiro país a especificar leis que tratavam de
crimes digitais, os Estados Unidos foram os iniciantes no quesito de combate a esses ilícitos,
tanto no tocante a esfera estadual como federal. Podem ser citadas as seguintes leis
americanas: Lei de Proteção aos Sistemas Computacionais (1981), a CounterFeit Access
Device and Computer Fraud and Abuse Act (1984) e a Computer Fraud and Abuse Act
(1986), que com suas alterações e atualizações, é a lei federal mais aplicada no combate aos
crimes digitais.
3.4.5. Brasil
Antes de adentrar um pouco sobre a legislação existente no Brasil que trata sobre
crimes digitais, considera-se interessante esclarecer como é o entendimento da construção
jurídica constitucional brasileira. De acordo com Monteiro Neto (2008), por conta do
princípio da reserva legal, disposto no artigo 5° da nossa Constituição Federal, é vedada a
utilização de interpretação análoga na esfera penal sempre que tal ato acabe por prejudicar ou
ampliar as possibilidades de condenação de um indivíduo. Ou seja, no direito penal brasileiro,
a lei deve sempre beneficiar o acusado e não o contrário.
Diante de tal consideração e se percebendo que uma nova realidade criminosa
surge com o advento da era da informática, o Congresso Nacional viu a necessidade de se
gerar debates sobre o assunto e desses debates surgiram inúmeras propostas legislativas. Do
conjunto de projetos de lei que versam sobre o tema da criminalidade nas áreas da
informática, das telecomunicações e da Internet pode-se destacar o PL N.84/99, também
conhecido como projeto Azeredo. Tal projeto tipifica a respeito de condutas realizadas
mediante o uso de sistema eletrônico, digital ou similares, de rede de computadores, ou que
sejam praticadas contra dispositivos de comunicação ou sistemas informatizados e similares, e
dá outras providências. (CRESPO, 2011).
45
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Apesar de ser uma importante iniciativa na tentativa de coibir diversas práticas
ilícitas, o PL N.84/99 passou por várias criticas no que diz respeito a sua generalidade,
imprecisão e por, devido ao seu rigor, poder chegar a representar uma castração da inovação
tecnológica no país. Fato que fez o projeto ficar por alguns anos em espera de apreciação por
parte do Congresso Nacional, tendo sido aprovado somente pela Comissão de Ciência e
Tecnologia em 25 de maio de 2012, com apenas 6 dos 23 artigos previstos no substitutivo
aprovado pelo Senado. Na época da redação deste texto, o projeto ainda precisava ser
avaliado por parte da Comissão de Constituição e Justiça, devendo, em seguida, partir para a
sanção presidencial.
Após a diminuição dos artigos propostos inicialmente, o projeto Azeredo agora
aborda basicamente quatro pontos: (1) estabelece como crime a falsificação de dado
eletrônico, inclusive cartões de crédito/débito; (2) a transferência de informações de
segurança (ou seja, traição); (3) a determinação para que a polícia crie estruturas de combate
aos crimes eletrônicos e, (4) a possibilidade de retirar do ar páginas com mensagens
racistas (Grossmann, 2012).
Outro projeto que versa também sobre o tema de crimes digitais é o PL 2793/11,
de autoria do deputado Paulo Teixeira (PT-SP) e outros. O mesmo já foi aprovado pela
Câmara dos Deputados e tipifica crimes cibernéticos no Código Penal (Decreto-Lei 2.848/40).
Dentre os assuntos abordados na lei está o crime de “devassar dispositivo informático alheio”
com o objetivo de mudar ou destruir dados ou informações, instalar vulnerabilidades ou obter
vantagem ilícita, ao qual será atribuída a pena de três a um ano de detenção e multa. Nesse
mesmo crime será enquadrado todo aquele que produzir, oferecer, distribuir, vender ou
difundir programa de computador destinado a permitir o crime de invasão de computadores
ou de dispositivos como smartphone e tablet. O Projeto de Lei agora depende da aprovação
do Senado Federal (PROJETO, 2012).
Apesar de toda essa movimentação atual em termos de se criar leis contra os
crimes digitais, percebe-se que, como observa Crespo (2011), no Brasil, ainda se faz
necessário o amadurecimento de algumas ideias, principalmente com relação à forma como
serão redigidos os tipos penais. Para que dessa forma, as leis saiam do papel e possa-se
perceber algum concreto avanço no que diz respeito ao combate aos crimes praticados tendo
como meio um computador.
46
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
3.4.6. A Convenção de Budapeste
Percebe-se que mesmo com o esforço do governo brasileiro ou de outros tantos
países em criar uma legislação específica que trate a respeito dos crimes digitais, o
entendimento de boa parte da doutrina, especialmente a internacional é a de que, por conta das
características da criminalidade eletrônica, com sua ausência de barreiras e/ou fronteira
dificilmente se conseguirá um só Estado, ser responsável por reprimir os autores da tal
conduta ilícita. (MONTEIRO NETO, 2008).
Diante de tais dificuldades, viu-se a necessidade de se criar uma regulação
supranacional. Após vários anos de debates, em 2001, o Comitê Europeu para os Problemas
Criminais (CEPD), propôs um projeto de Convenção que, conforme cita Crespo (2011),
buscava harmonizar elementos relativos ao Direito Penal substantivo dos países subscritos,
assim como definir poderes e ações que facilitassem a persecução penal, além de se buscar
uma rápida e eficaz colaboração internacional. Até o ano de 2006, vários estados haviam
assinado, ratificado ou aderido à Convenção, enquanto muitos outros apenas a assinaram, mas
não a ratificaram. Na Tabela 1 a seguir se evidencia alguns dos países da Europa que estão
entre os que realmente fazem parte da Convenção de Budapeste e outros que apenas a
assinaram.
De acordo com Monteiro Neto (2008), estruturalmente a Convenção é formada
por quatro capítulos: o primeiro que trata do aspecto conceitual e terminológico; o segundo,
que versa sobre as medidas políticas a serem empreendidas a nível interno pelos Estados
pactuantes; o terceiro, que trata das condutas criminosas e das medidas processuais cabíveis e
por último, o quarto que trata das disposições finais.
Para Souza e Pereira (2009), o principal destaque da Convenção é o fato dela
tratar (Capítulo I) os cybercrimes, tipificando-os como infrações contra sistemas e dados
informáticos (Capítulo II, Título 1), infrações relacionadas com computadores (Capítulo II,
Título 2), infrações relacionadas com o conteúdo, pornografia infantil (Capítulo II, Título 3),
infrações relacionadas com a violação de direitos autorais (Capítulo II, Título 4). Todos
dentro do Direito Penal Material.
47
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Tabela 1 – Alguns países da Convenção de Budapeste (Até 02/09/2006).
PAÍSES DATA DA ASSINATURA NA CONVENÇÃO ENTRADA EM VIGOR NO PAÍS
Albânia 23/11/2001 01/07/2004
Bulgária 23/11/2001 01/08/2005
Chipre 23/11/2001 01/05/2005
Croácia 23/11/2001 01/07/2004
Dinamarca 22/04/2003 01/10/2005
Estônia 23/11/2001 01/07/2004
Finlândia 23/11/2001 -
França 23/11/2001 01/05/2006
Alemanha 23/11/2001 --
Hungria 23/11/2001 01/07/2004
Islândia 30/11/2001 -
Lituânia 23/06/2003 01/07/2004
Romênia 23/11/2001 01/09/2004
Sérvia e Montenegro 23/11/2001 01/01/2005
Noruega 23/11/2001 -
Eslovênia 24/07/2002 01/01/2005
Suíça 23/11/2001 -
Ucrânia 23/11/2001 -
Reino Unido 23/11/2001 -
Adaptado de http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?CL=ENG&CM=&NT=185&DF=9/2/2006&VL=.
Acesso em: 15 abr.2012.
3.4.7. Perspectivas de regulamentação de crimes digitais em Computação nas Nuvens
Levando-se em consideração o já exposto, percebe-se que os aspectos jurídicos
relacionados à questão da tecnologia da informação caminham a passos lentos e, de uma
48
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
forma geral, não acompanham questões mais especificas para que seja garantida a mínima
segurança a dados, logs, ips, etc. que podem ser utilizados como provas dos crimes digitais.
Boa parte das dificuldades já encontradas está relacionada com o grande número
de serviços prestados na rede e com o fato de que, cada vez mais os controles de segurança,
estão sendo transmitidos para terceiros. E é exatamente aqui que o paradigma da Computação
nas Nuvens surge para complicar ainda mais a forma de se identificar e punir os autores de
crimes praticados através da internet, uma vez que nem todas as metodologias e técnicas
utilizadas na pericia forense tradicional podem ser utilizadas em um ambiente de Nuvens uma
vez que:
Serviços de Cloud são especialmente difíceis de investigar, porque os
logs e dados de vários clientes podem estar localizados conjuntamente
e também estar distribuídos com uma constante mudança no conjunto
de máquinas e data centers. (HEISER, 2009)
Essa questão de registros de auditoria ou logs confiáveis e preservados é algo
realmente preocupante uma vez que disso depende o desenvolvimento de uma perícia bem
sucedida. Assim,
(...) a maneira como os logs são armazenados torna-se um fator de
extrema relevância e os mesmo necessitam conter informações
suficientes para identificação do usuário - o endereço de IP, login e a
data e o horário dos acessos. Alguns prestadores de Cloud Computing
não vêem razões para armazenar seus logs fora da nuvem, mas os
riscos deste ato devem ser levados em consideração. Suponha uma
paralisação no serviço, com os logs armazenados em nuvem, nem
mesmo a eles a empresa terá acesso. Numa invasão, dependendo do
nível e controle que o invasor tiver sobre os dados, o invasor pode
facilmente apagar os logs, eliminar possíveis provas e encobrir seus
rastros; e a chance de descobrir qual foi à vulnerabilidade que
possibilitou a invasão ou ataque passa a ser mínima. A
obrigatoriedade e o armazenamento dos logs de dados é um dos
principais fatores a serem considerados na hora de regulamentar o
modelo de Cloud Computing. Nos padrões de segurança o log é
princípio básico, pois nele estarão armazenados os dados para
recuperação do sistema em caso de falhas; a origem do erro ou
problema; os usuários que estavam utilizando; e assim, identificar
autores de crimes cibernéticos. As empresas que desejam aderir a
Cloud Computing devem exigir de seus prestadores a garantia do
armazenamento desses logs por alguns anos, para que crimes futuros
possam ser investigados através de perícia. (SANTOS; MACHADO,
2010)
49
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Outro agravante em termos de pericia criminal em Computação nas Nuvens está o
fato de que como o ambiente de nuvens é dividido por várias empresas e utilizado por um
número considerável de pessoas, dependendo do crime executado, muitas vezes não será
possível garantir o momento exato em que o delito aconteceu e muito menos garantir a
preservação de qualquer prova que possa ter sido preservada.
A localização geográfica também é um fator preocupante quando se fala na
necessidade de se realizar pericia forense nas Nuvens, pois fazer cópia de um HD, recolher
uma máquina para analise, entre outras ações feitas atualmente, tendem a se tornar inviável já
que, como afirma o advogado Caio César Lima, especialista em Direito Digital, em seu
trabalho sobre perícia em Cloud Computing durante o Iccyber 2010 na “VII Conferência
Internacional de Perícias em Crimes Cibernéticos”, se as informações estão na nuvem, e não
mais nos HDs, de nada adianta apreender máquinas, como fazemos hoje.
Todos esses fatores são agravados ainda pelo fato de que, como já foi observado,
cada país possui uma legislação especifica no que diz respeito a crimes digitais e, como a
Internet não possui fronteiras definidas, acaba-se perdendo a noção de territorialidade, sem se
poder delimitar ao certo qual legislação deverá ser aplicada para resolver litígios.
A ideia para se solucionar tal impasse seria a se criar uma normatização
internacional para se tratar conflitos entre as leis de países estrangeiros. Muitos países já
preocupados com à proporção que a Computação nas Nuvens tem alcançado, a proibirem que
dados públicos estejam localizados fora do país, assim, inibindo possíveis problemas quanto à
privacidade desses dados. (SANTOS; MACHADO, 2010). Na Europa e nos Estados Unidos
convenções, diretivas e organizações foram formadas e dedicadas a tais preocupações. Além
da Convenção de Budapeste, já abordada anteriormente, pode-se enumerar ainda as seguintes:
A União Européia elaborou e aprovou a Diretiva 46:95/CE3 que trata
dos direitos fundamentais de proteção aos dados pessoais e a livre
circulação desses dados entre estados-membros, que estejam
protegidos pela diretiva. Já o Departamento de Comércio dos EUA,
em parceria com a Comissão Européia, desenvolveu o “Safe Harbor”,
também com o intuito de observar questões de à proteção dos dados e
a privacidade. O Congresso norte-americano tem como proposta
adotar uma regra que obrigue os prestadores a reterem os logs por
pelo menos dois anos, para fins de investigação criminal. Na Europa,
foi criada em 2004 a ENISA - European Network and Information
50
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Security Agency, que tem como objetivo melhorar a segurança da
informação na União Européia, desenvolvendo a cultura de rede e
segurança para benefício dos cidadãos, consumidores e empresas. A
ENISA foi uma das primeiras a criar um relatório de análise de
Computação em Nuvem, o “Cloud Computing Risk Assessment”, que
avalia os principais riscos e estratégias permitindo aos políticos
europeus criarem medidas legislativas, aplicar estratégias para adotar
a tecnologia e assim, avaliar a relação custo/benefício do modelo.
(SANTOS; MACHADO, 2010).
Após se ter uma visão global de como os crimes digitais e as questões legais estão
sendo abordadas em vários países, pode-se, no capítulo subsequente, identificar cenários
propícios dentre os serviços ofertados pela computação nas nuvens para que os criminosos
digitais praticarem atividades ilícitas.
51
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
4. CENÁRIOS DE APLICAÇÃO DA PROPOSTA DE DIRETRIZES A SER
DESENVOLVIDA
Neste capítulo serão apresentados alguns cenários que são passíveis da aplicação
da proposta de diretrizes para investigação criminal em um ambiente de Computação nas
Nuvens. Neles serão identificadas possíveis falhas de segurança que já serviram, ou poderão
ser utilizadas, para se praticar crimes virtuais em ambientes de computação nas nuvens,
vislumbrando associar as características de um cenário de computação nas nuvens com uma
proposta de diretrizes que venha a ajudar na elucidação dos crimes praticados nesse ambiente.
Os resultados obtidos a partir desse estudo são meramente ilustrativos, se baseando na
fundamentação histórica dos cenários reais e nas análises comparativas de casos similares.
4.1 Cenários de Aplicação
Muitas empresas já têm descoberto as oportunidades de se utilizar da Computação
nas Nuvens, enquanto tantas outras ainda estão temerosas quanto ao seu uso. Caso se encontre
no primeiro caso, essas empresas já estão se utilizando dessa ferramenta para alcançar um
maior número de usuários e, dessa forma, oferecer todas as comodidades que as nuvens trás
como atrativos, tais como: acesso a documentos online, possibilidade de se ter um
computador não tão potente para acesso a dados, diminuição da necessidade de se ter
softwares instalados na máquina, entre tantas outras. Dentre tais empresas, que saíram na
frente quando se trata de Computação nas Nuvens, podemos citar o Google, IBM, Microsoft,
Amazon, entre outras.
Entretanto, é preciso ressaltar, que apesar da atual popularidade, os receosos em
adotar esse conceito não estão totalmente desprovidos de razão para tal temerosidade. Ainda
são muitas as incertezas quanto à segurança dos dados, a legislação, a acessibilidade total dos
dados, a localização desses dados, entre outros. Essa cautela em se usar das nuvens é aceitável
uma vez que entrar na Computação em Nuvem deve ser uma ação planejada e não impulsiva.
Não sendo necessária uma adoção no estilo big-bang, mas pode ser uma estratégia gradual,
52
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
começando com a adoção desse conceito em alguns serviços e ao longo do tempo aumentando
sua abrangência na operação de TI da corporação (TAURION, 2009).
4.2 Tipos de Cenários
Diante dos vários serviços oferecidos pela Computação nas Nuvens e tendo a
Internet como uma aliada na sua popularização não se poderia citar melhores exemplos para a
aplicação de uma proposta de diretrizes para investigação criminal do que os serviços nas
nuvens acessados a partir de um computador conectado a Internet. Afinal, conforme afirma
Taurion (2009), as nuvens são como “um conjunto de recursos como capacidade de
processamento, armazenamento, conectividade, plataformas, aplicações e serviços
disponibilizados na Internet”.
A seguir serão apresentados alguns cenários nos quais o uso de uma proposta de
perícia forense pode ser aplicado. O roteiro visa avaliar cada um dos três níveis de arquitetura
de serviços em nuvem, detalhando as alternativas tecnológicas e os problemas de segurança
previamente encontrados nestes exemplos.
4.2.1 CENÁRIO: SaaS – Caso: Dropbox
A. Visão Geral
Como cenário de um serviço de primeiro nível (software), será indicado um dos
serviços que mais se expande em termos de número de usuários da rede: o uso de espaço
virtual de armazenamento. Diante de um conceito tão simples, se percebe um grande potencial
de armazenamento e disponibilização de documentos.
O Dropbox é um exemplo popular nesta categoria. Utilizando-se desse software
gratuito, o usuário pode instalar uma pasta virtual na área de trabalho do seu computador e a
partir desse momento, tudo que for adicionado dentro da pasta é carregado em uma pasta
idêntica em todos os seus demais computadores nos quais esse mesmo usuário instalou o
Dropbox. A princípio o usuário que se cadastra, recebe 2GB de capacidade de armazenamento
53
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
gratuitos, entretanto essa quantidade pode ser aumentada até um total de 11GB à proporção
em que mais amigos são indicados para usarem a aplicação. Existe ainda a possibilidade de se
ter uma conta com um armazenamento ainda maior, sendo, nesse caso, necessário o
pagamento de uma taxa pelo serviço.
O software torna possível a continuidade de um trabalho que é iniciado em um
escritório, e depois se tem a necessidade de finalizá-lo em casa ou em qualquer outro local
sem que o usuário jamais precise enviar, carregar ou mesmo transferir arquivos.
Outra facilidade do Dropbox está relacionada ao fato dele também poder ser
considerado um sistema simples de backup automático. Tudo o que é transferido para um
computador, automaticamente é copiado para todos os demais computadores onde o software
está instalado, servindo como garantida de se ter várias cópias de segurança para o usuário.
Figura 5 - Interface do serviço de SaaS Dropbox. Disponível em http://techsplurge.com/3485/dropbox-amazon-
cloud-drive-detailed-comparison/. Acesso em: 13 mai.2012.
O Dropbox possibilita ainda o compartilhamento de documentos com outros
usuários através de links ou por mesmo solicitando que os mesmos enviem documentos para a
54
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
sua pasta virtual tornando o Dropbox uma opção de ferramenta para a troca de
informações/arquivos entre membros de uma equipe de trabalho. Assim, ele se tornou uma
maneira prática e fácil de substituir pendrives, anexos de email e outros programas
complicados de backup. Na Figura 5, a seguir, pode-se observar a interface do aplicativo.
B. Falhas de Segurança
Por sua comodidade e popularização, o Dropbox tem se tornado alvo de diversas
falhas de segurança que acabam por evidenciar a fragilidade e as dúvidas dos usuários mais
céticos quanto a se migrar informações importantes e até mesmo confidenciais para as
nuvens. Um dos problemas de segurança identificados aponta que o Dropbox permitia o
acesso a pastas e até a sincronização de dados em contas de outros usuários, sem a
necessidade de se informar uma senha de acesso.
Figura 6 - Identificação do arquivo no iOS que dá acesso a conta no Dropbox. Disponível em
http://www.tecmundo.com.br/seguranca/21801-apps-do-facebook-e-do-dropbox-para-smartphones-possuem-
falha-de-seguranca-critica.htm. Acesso em: 13 mai.2012.
55
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Outra falha observada está no modo com que o Dropbox gerencia a ligação entre
o seu computador e os servidores do serviço. No software todas essas informações ficam
armazenadas em um único arquivo, chamado config.db. Assim, um simples malware poderia,
silenciosamente, roubar esse importante arquivo e enviá-lo para um cracker, em qualquer
ponto do globo tornando possível se conectar a conta invadida imediatamente sem que o
usuário fique sabendo. Ainda segundo Newton, o Dropbox também tem como deficiência em
sua segurança o fato do programa não avisar quando um novo computador é conectado à sua
conta e nem pede autorização para isso.
Na sua versão para smartphones iOS, o Dropbox também está vulnerável a
proteção de dados do usuário uma vez ele não se utiliza de criptografia para armazenar tais
informações. Assim, basta ao criminoso digital ligar o smartphone a um PC e ter acesso ao
arquivo do Dropbox que possibilita ao usuário se conectar a sua conta. Na Figura 6,
identifica-se tal problema.
Diante desse cenário de aplicação, onde tantas falhas já foram identificadas e
divulgadas, o Dropbox não poderia deixar de ser estudado como um software nas nuvens que
tem inúmeras utilidades, mas que também pode ser alvo de ataques de criminosos virtuais que
desejam ter acesso a informações ali armazenadas. Dessa forma, após se ter configurado um
crime de acesso os dados de um usuário sem autorização, tem-se que se seguir um conjunto de
diretrizes para se identificar e punir o responsável por tal ação.
4.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure
A. Visão Geral
O segundo cenário da arquitetura de serviços deve contemplar a questão da
plataforma de desenvolvimento. O cenário se concentrará na plataforma da Microsoft
denominada Windows Azure, considerado o ponto chave da estratégia da empresa para entrar
nas nuvens.
56
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
O Azure fornece tanto uma Internet baseada em Computação nas Nuvens
responsável por rodar aplicações e guardar dados em datacenters da Microsoft espalhados
pelo mundo, quanto um framework arquitetural para a construção de aplicações. Na Figura 7
abaixo, pode-se visualizar sua plataforma que é formada pelo sistema operacional Windows
Azure e um conjunto de serviços: Live Services, .NET Services, SQL Services, SharePoint
Services e Dynamics CRM Services (SOUZA; MOREIRA; MACHADO, 2009).
Figura 7 - Arquitetura do serviço de Computação nas Nuvens da Microsoft. Disponível em
http://www.slideshare.net/giovanni.bassi/introduo-ao-windows-azure-sesso-1-mais-terica. Acesso em: 08
mai.2012.
Percebe-se assim que, conforme cita Taurion (2009), o Azure Services Plataform é
uma estratégia e um conjunto de produtos que se propõe a implementar a visão de nuvem da
Microsoft, baseada no conceito de “software-plus-services”:
a) Ser uma nova geração do ambiente Windows para ambiente de
computação em nuvem. A função básica do Azure é automaticamente
ligar a aplicação do usuário a máquinas virtuais operando nos
datacenters da Microsoft. Na verdade o Windows Azure é
essencialmente uma versão modificada doWindows 2008 e do
mecanismo de virtualização chamado Hyper-V suplementada com
software projetado para hospedar e gerenciar aplicações e serviços em
nuvem;
b) Fornecer serviços orientados aos desenvolvedores, como SQL
Services, .Net Services, Live Services, cada um contendo um pequeno
número de funções, a ser expandido ao longo do tempo. Além destes
57
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
serviços estão incluídos o Share Point Services e Dynamic CRM
Services. O Share Point Services oferece APIs para funcionalidades
do Share Point como sites de colaboração e workflows. O Dynamic
CRM Services oferece APIs para interface com as funções do
aplicativo Dynamics CRM.;
c) Ser um novo modelo de programação. Para a aplicação extrair
todos os benefícios do Azure, ela deve ser desenvolvida com este
conceito desde o início. Hoje não é possível migrar as aplicações.
Provavelmente no futuro esta possibilidade de migração poderá
existir. Mas, por enquanto, não é possível se livrar das licenças dos
produtos .Net e ficar rodando aplicativos apenas na nuvem.
Como elemento fundamental da Window Azure Plataform, figura o Windows
Azure, que é o sistema operacional criado pela Microsoft para oferecer um serviço completo
no qual os usuários podem rodar suas aplicações, armazenar seus dados e administrá-los na
Internet se utilizando de servidores da própria Microsoft. Dessa forma, os desenvolvedores
precisam ter como preocupação apenas a criação de aplicações que rodem no Windows Azure,
uma vez que o mesmo suporta qualquer tipo de linguagem e ambientes. Em um nível mais
acima figuram todos os demais serviços – SQL Services, Live Services, entre outros, que são
ofertados ao usuário para utilização tanto no Azure como em aplicações externas.
É importante observar, que por ser um serviço nas nuvens, o Windows Azure se
utiliza da ideia de que os dados necessários para se rodar qualquer aplicação do usuário
podem estar espalhados em qualquer um dos servidores da Microsoft espalhados pelo mundo.
Entretanto, tudo isso tem que ficar transparente para o usuário. Para se conseguir alcançar tal
objetivo, o Azure disponibiliza um conjunto de mecanismos tais como tables, queue, locks,
entre outros, que permitam ao usuário administrar, visualizar e desenvolver sua aplicação sem
ter preocupação a respeito de onde e em sob qual hardware a mesma está executando. Assim,
como afirma Coelho (2008), o Windows Azure é um sistema operacional para a nuvem que
roda em um conjunto grande de computadores de forma organizada e que abstrai do usuário
todo o hardware e toda a infraestrutura.
O Windows Azure se utiliza de uma máquina virtual (VM) que irá criar uma
imagem (VHD) da máquina virtual do Windows Service 2008 R2. Após ser gerada usando
uma máquina local do Windows Server, a imagem é carregada no Windows Azure. E, uma vez
nas nuvens, os usuários podem configurar e manter o sistema operacional e se utilizar dos
demais Windows Services apenas se utilizando da máquina virtual.
58
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Uma facilidade que a nuvem oferece para os desenvolvedores e que está
disponibilizada pelo Windows Azure está no fato de se poder escolher a partir da necessidade
da aplicação a ser desenvolvida a quantidade de espaço a ser adquirido na máquina virtual
para executar a aplicação.
Como foi evidenciado anteriormente, o Windows Azure é a base do conceito de
Plataforma como Serviço (PaaS) implementado pela Microsoft, mas outros serviços também
são ofertados juntamente com ele. O Live Services é um desses serviços. Ele proporciona aos
desenvolvedores trabalharem em aplicações web que podem ser migradas para os mais
diversos dispositivos, oferecendo ainda dentro do próprio Azure os mais variados recursos,
tais como o tratamento e sincronização de dados do usuário.
Outro serviço a ser destacado por oferecer os componentes necessários para um
desenvolvimento robusto, utilizando-se de bibliotecas de alto nível, além de oferecer os
componentes fundamentais para aplicações as nuvens é o Microsoft .Net Services. De acordo
com Velte e Elsenpeter (2010), o .NET Services pode ajudar os desenvolvedores a se
concentrar mais em seu produto final do que na construção e implantação de infra-estrutura
própria nuvem.
Para armazenar e processar consultar dos dados, a Microsoft trabalhou com o
conceito do SQL Server para oferecer o SQL Service. O SQL Service estende a dimensão de
armazenamento nas nuvens permitindo que sejam guardados dados estruturados,
semiestruturadas e dados não estruturados. SQL Services oferece um conjunto de serviços
integrados que permitem consultas relacionais, pesquisa, elaboração de relatórios,
análises,integração e sincronização de dados. Isso pode ser feito por usuários móveis,
escritórios remotos ou parceiros de negócios (VELTE; ELSENPETER, 2010).
Vale observar ainda com relação ao SQL Services de acordo com Souza, Moreira
e Machado (2009) é o fato de que o mesmo tem suporte a interfaces SOAP (Simple Object
Access Protocol) e REST (Representational State Transfer), permitindo que seus dados sejam
acessados de várias formas. Para garantir a escalabilidade, o SQL Services implementa apenas
partes do modelo relacional e não possui suporte completo para a linguagem SQL. A
componente SharePoint Services permite colaborar e criar aplicações Intranet e o Dynamics
CRM Services é um sistema totalmente integrado de CRM (Customer Relationship
Management).
59
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Ao escolher um serviço como o do Windows Azure Plataform, espera-se ter toda a
facilidade e intuitividade que o Windows oferece, com o plus de ter um sistema operacional e
outros serviços associados alocados diretamente nos servidores da Microsoft, sem ter a
preocupação com instalação, configuração de ambiente, entre outros. Inclusive, para o ano de
2012, a Microsoft já estuda a possibilidade do Azure rodas em sistemas operacionais Linux.
Entretanto, toda essa comodidade pode ser interrompida quando, algum problema de
segurança, seja ele a princípio culposo ou não, ocorre colocando em risco os dados ali
colocados.
B. Falhas de Segurança
No caso do Windows Azure, ao longo do tempo foram percebidas falhas, tais
como: em 2009 o serviço ficou mais de 22 horas fora do ar e esse tipo de interrupção
aconteceu várias vezes durante os anos seguintes. Em fevereiro de 2012, o sistema de gestão
de serviço do Azure também foi retirado do ar durante várias horas até que se identificassem o
porquê de se estar tendo problemas relacionados ao controle de acesso aos aplicativos
hospedados pelo Azure e sincronização de dados. A Microsoft chegou a admitir que clientes,
principalmente da região central dos Estados Unidos e do norte da Europa foram os mais
afetados.
Apesar de a disponibilidade ser considerada a métrica chave para serviços em
nuvem, existem outras variáveis que devem ser levadas em conta em um processo
investigativo, como a própria qualidade do serviço. Um exemplo recentemente reportado
constatou um erro nos serviços de calendários que não tratou adequadamente a data do dia
29/02/12 representativa do ano bissexto de 2012.
Em um cenário em que esses problemas descritos ou muitas outras
vulnerabilidades do Windows Azure fossem sendo enumeradas e usadas para se causar
transtornos a clientes da Microsoft seria interessante seguir o conjunto de diretrizes propostas
nesse trabalho para se identificar se o problema ocorrido se trata apenas de um erro de
programação ou algo do tipo, ou se foi planejado dentro de um interesse maior seja de se tirar
60
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
algum proveito da situação ou simplesmente para prejudicar a própria Microsoft, por
exemplo.
4.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2
A. Visão Geral
Um último cenário envolve a análise da camada de infraestrutura de serviços
(IaaS), que fica muito menos acessível a boa parte dos serviços de nuvem mas que,
estritamente falando, é o que confere todas as características de universalidade, abstração e
transparência.
A Amazon, mundialmente conhecida por seu comércio eletrônico, também está
investindo pesado no conceito de computação nas nuvens. A empresa criou uma subsidiária
chamada de Amazon Web Services para oferecer a seus clientes serviços em computação nas
nuvens, abordando as seguintes áreas: o EC2 (Elastic Computing Cloud), para alugar
máquinas virtuais Linux, nos quais o usuário pode alugar dezenas ou até milhares de CPUs, o
S3, serviço de armazenamento (storage) em nuvem, o SimpleDB, oferta de Database-as-a-
Service e o SQS (Simple Queue Service) para serviços de mensagens. Essa gama de serviços
busca segundo Cezar Taurion (2009), com que os usuários possam operar seu negócio sem ter
a necessidade de investir em infraestrutura, como servidores storage. E a plataforma
computacional oferecida é a própria plataforma que roda os aplicativos da Amazon, uma
infraestrutura de tecnologia que incluiu milhares de servidores e que levou anos para ser
construída e ajustada.
Dentre os serviços da Amazon Web Services, o EC2 (Elastic Computing Cloud) é
um dos mais antigos, tendo sido lançado em 2006. Dessa forma, a Amazon iniciou sua
empreitada nas nuvens oferecendo para as organizações Infraestrutura como Serviço (Iaas),
ou seja, foi disponibilizado para seus clientes todo o poder de processamento, armazenamento
e outros serviços dos servidores da Amazon.
Para Souza, Moreira e Machado (2009), o EC2 é um sistema responsável pelo
gerenciamento da execução de aplicações na infraestrutura da Amazon. O EC2 permite um
controle completo das instâncias dos sistemas, sendo possível acessar e interagir cada uma
61
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
destas, de forma similar a máquinas convencionais. Também é possível escolher as
características de cada instância, tais como sistema operacional, pacotes de software e as
configurações das máquinas, como CPU, memória e armazenamento. Para garantir a
segurança, o EC2 utiliza firewall para controlar o acesso às instâncias, criando ambientes
virtuais privados.
O EC2 trabalha com o conceito de máquina virtual, ou seja, para se ter acesso a
esse serviço, faz-se necessário ao usuário ter uma conta na Amazon, e a partir daí, criar uma
Amazon Machine Instance (AMI). Essa AMI funciona como uma imagem de máquina
criptografada onde estão disponibilizadas aplicações e bibliotecas de programas e
componentes. Há muitas AMIs comuns disponíveis a partir da Amazon e da comunidade EC2.
Elas podem usar tanto Windows quanto Linux, e os mais diversos conjuntos de software livre,
como o Apache, MySQL e quaisquer linguagens que escolha usar. Caso não encontre uma
AMI que atenda suas necessidades, a Amazon fornece ferramentas para criar sua própria AMI,
que pode ser privada ou compartilhada com a comunidade (TAURION, 2009).
Servidores nas nuvens oferecem a facilidade de se começar a operar aplicações
em poucos minutos, configurando seu ambiente virtual de forma rápida e simplificada, em
contraposição ao modelo tradicional, em que se precisaria investir na compra de um servidor,
contratar profissionais para instalá-lo, configurá-lo e mantê-lo continuamente atualizado. O
EC2 não é um serviço de IaaS gratuito, entretanto o investimento cobrado pela Amazon é
reduzido dentre outras razões porque ela já possui todo um parque computacional equipado
essencialmente para oferecer esse serviço e porque o usuário pode escolher o tamanho do
servidor virtual que ele necessita.
B. Falhas de Segurança
Nesse cenário de aplicação, a questão de segurança também deve ser estudada.
Mesmo com as precauções adotadas pela Amazon já foram identificados vários ataques aos
servidores da empresa. Em um deles, ocorrido em 2011, deixou boa parte dos serviços de uma
parte da região Leste dos EUA paralisados por quase quatro dias.
Outro problema ocorrido durante um período do ano de 2011 identificou que o
serviço EC2 permitiu que usuários não autorizados realizassem tarefas administrativas. Uma
62
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
equipe de pesquisadores da Germany's Ruhr University of Bochum, liderada pelo professor
Jörg Schwenk, relatou que os atacantes foram, por exemplo, capazes de iniciar e parar as
máquinas virtuais, criando novas imagens e gateways, em uma instância EC2. Em sua
apresentação intitulada "All Your Clouds are Belong to us", os pesquisadores explicaram
como um ataque de assinatura XML pode ser usado para manipular mensagens SOAP, de tal
forma que a EC2 irá considerá-las autênticas e intactas.
O EC2 apresentou ainda falhas de segurança ao permitir em 2009, que um Trojan
bancário ZeuS-base usasse o serviço da Amazon para comandar e controlar um canal de
atualizações de software, conseguindo dessa forma infectar PC com malware. Também já foi
possível se ter acesso a senhas protegidas WPA-PSK de acesso Wi-Fi que se encontravam no
EC2, além de ter sido identificado que hackers que violaram a segurança do serviço
PlayStation Network e tiveram acesso a dados confidenciais de cerca de 77 milhões de
assinantes que utilizavam os serviços web da Amazon.
Diante de tantos casos com falhas de segurança apontados em serviços de
computação nas nuvens em seus mais diversos serviços oferecidos, evidenciam-se ainda mais
a necessidade de se construir uma proposta com um conjunto de diretrizes que possam servir
de base para condução das investigações criminais em ambiente de nuvens. Tal proposta será
exposta no capítulo a seguir.
63
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
5. PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO PERICIAL EM UM
AMBIENTE DE COMPUTAÇÃO NAS NUVENS
Neste capítulo será desenvolvida a proposta de diretrizes que pretende ser um
auxílio para a realização de investigação pericial tendo como cenário do crime praticado um
ambiente de computação nas nuvens seja ele identificado como um serviço de infraestrutura
(IaaS), software (SaaS) ou plataforma (PaaS). Para a escolha das características que mais se
adéquam à investigação a ser realizada, será levada em consideração a real necessidade destas
para os cenários propostos no capítulo anterior.
Levando-se em consideração que as fases da computação forense tradicional de
coleta e exame são extremamente difíceis de serem realizadas sob o cenário de computação
nas nuvens, uma vez que o perito criminal provavelmente não terá acesso a um servidor do
ambiente de nuvem para apreendê-lo, serão focadas nessa proposta apenas as fases de análise
e resultados obtidos.
Muito provavelmente alguns dos passos a serem adotados durante a investigação
podem vir a serem aplicáveis a mais de um dos serviços, mas por questões didáticas, nesse
trabalho, preferiu-se especificá-los em itens distintos.
5.1 Proposta de Diretrizes Gerais
O primeiro objetivo consiste em propor algumas diretrizes de investigação para o
cenário de nuvem considerando as arquiteturas de serviços previamente indicadas. O objetivo
não é exaurir as possibilidades, mas, com base nos cenários anteriores, propor mecanismos de
investigação. Neste sentido, são pontuadas primeiramente considerações de caráter geral,
onde pesam mais os procedimentos periciais preliminares.
O caminho para se avaliar indícios de possíveis crimes será apresentado como um
conjunto de recomendações a serem seguidos (não obrigatoriamente na sequência
apresentada) em que a elaboração de um checklist pode orientar os procedimentos,
independente do nível de arquitetura considerado. Como sugestões, seguem os seguintes
pontos:
64
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Preparação da investigação:
Analisar um elenco de itens de segurança e avaliar quais foram
transgredidos, permitindo que, além de se identificar os possíveis
culpados, se tenha um mapa das fragilidades do serviço;
Identificar o problema ocorrido:
Pode servir de auxílio à investigação se o usuário usar o
artifício de realizar a captura de tela(s) que comprove(m), por
exemplo, uma invasão ou adulteração de dados;
Identificar qual quesito de segurança foi supostamente violado:
Neste passo, recomenda-se a indicação do nível de severidade
afetado e quais os efeitos colaterais decorrentes;
Verificar os aspectos legais:
Com base na legislação em vigor naquele lugar, avaliar a
situação da jurisprudência aplicável ou os aspectos contratuais
infringidos;
Realização da investigação:
Dependendo das condições operacionais, garantir o isolamento do nível
de requisito que foi violado;
Utilizar-se de ferramentas para, a partir dos dados recebidos pelo
servidor, identificar algo que possa levar à comprovação de
fragilidades do serviço em nuvem, bem como à indicação dos
prováveis infratores / criminosos;
Análise dos resultados:
Buscar, por meio de auditoria, encontrar a localização dos possíveis
culpados / envolvidos com o cenário criminoso ou fraudulento;
Redigir o laudo e anexar as evidências encontradas durante a
investigação que foram relevantes para se chegar à conclusão do caso.
65
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
5.2 Proposta de Diretrizes Específicas
Após as configurações gerais, nesta seção, busca-se desenvolver especificamente
as ideias relacionadas com os padrões arquiteturais do modelo SOA, do nível de SaaS,
passando por PaaS e chegando no IaaS. Como propostas fundamentais serão feitas avaliações
das vulnerabilidades enfrentadas por situações análogas às vulnerabilidades previamente
indicadas pelas arquiteturas de serviços mencionadas anteriormente mencionados.
5.2.1 CENÁRIO: SaaS – Caso: Dropbox
Um crime observado com relação ao aplicativo Dropbox e que foi elencado nos
cenários identificados no capítulo anterior está relacionado à invasão de contas de usuários se
utilizando de um malware para obter o login e senha que dá acesso a todas as informações
contidas na conta do usuário. No modelo SaaS, o usuário tem a sua frente a aplicação e para
ele é transparente todas as questões que estão por trás dela, fazendo com que não apenas todos
os controles de segurança física e ambiental, como também os controles de segurança na
infraestrutura, nas aplicações e nos dados são de responsabilidade unicamente do servidor que
provê o serviço em nuvens.
Aqui, como adverte Jerry Archer et. al (2009), ao formalizar o documento
Security Guidance for Critical Areas of Focus in Cloud Computing, os controles tanto de
segurança, quanto de escopo são negociados em contratos de serviço, que normalmente o
usuário aceita ao instalar a aplicação. O caminho para se elucidar um crime como esse pode
ser sugerido como o seguinte:
Avaliar os critérios de confidencialidade e a segurança das chaves
criptográficas (tamanho) e os algoritmos utilizados (ex.: RSA, DES, etc.)
Analisar os critérios que definem controle de acesso:
Incluir na investigação o uso de cadeias de certificados e os
mecanismos de delegações de permissões para uso dos usuários;
Considerar os mecanismos de compartilhamento de recursos (arquivos);
66
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Analisar os mecanismos de acessos simultâneos a recursos
compartilhados.
Neste contexto, um elemento importante a ser considerado consiste nas
ferramentas de software e recursos computacionais que podem auxiliar na análise do serviço.
Assim, para a camada de SaaS, necessariamente devem ser pensadas ferramentas específicas
de acordo com as funcionalidades providas pelo software.
Por exemplo, em termo de compartilhamento de arquivos, um grande desafio
consiste em garantir que o sistema resista a ataques de serialização de arquivos e/ou
modificações não autorizadas. Programação direta feita por APIs podem fazer uso de
tentativas de comunicação que busquem testar o serviço.
5.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure
De acordo com o Jerry Archer et. al (2009), o ambiente de PaaS em termos de
responsabilidade quanto à segurança traz um equilíbrio entre garantia da própria plataforma
que recai sobre o provedor, enquanto que a segurança das aplicações desenvolvidas para a
plataforma e a tarefa de desenvolvê-las de forma segura pertencem ambas ao cliente que
contrata o serviço.
Diante de um ataque a um ambiente de serviço PaaS, especificamente ao
Microsoft Windows Azure, como o que pôde ser visto no capítulo anterior, em que por um
determinado período de tempo o serviço se torna inacessível ao usuário final, ou seja um
ataque de DDoS (Distributed Denial-of-Service) se poderia seguir como passos para
investigar se a ação é criminosa ou não e quem seriam os culpados por tal ação:
Identificar as camadas de protocolos afetadas e os mecanismos de comunicação
envolvidos;
Solicitar auditoria de logs ou mecanismos auxiliares que dão suporte à
infraestrutura (no caso, Windows Azure);
Obter métricas de disponibilidade da plataforma de desenvolvimento usada
(ex.: MTBF – tempo médio entre falhas, TTR – tempo para recuperação do
serviço, etc.)
67
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
Na perspectiva do usuário, esta abordagem serve para qualificar quais
softwares podem ser mais indicados em uma dada plataforma ou
serviço;
Na perspectiva do perito, tais informações podem ajudar a avaliar se os
incidentes estão dentro do padrão de anormalidade das métricas;
Avaliar as documentações e modificações da infraestrutura arquitetural usada
pelo middleware, que incluem:
Os mecanismos de segurança das sincronizações;
Os critérios de cobertura de testes foram efetivamente realizados antes
de disponibilizar uma plataforma para uso;
Os mecanismos de conversão entre os diferentes modelos de
comunicação providos pelo Middleware: todas as entradas e saídas e
eventuais brechas de vazamento das informações por canais indevidos
ou sem uso de criptografia.
Em termos de software, podem ser fornecidas algumas idéias para investigar a
plataforma de serviço que está sendo avaliada. Basicamente podem ser fornecidos dois níveis
de inspeção:
Inspeção dos componentes da plataforma: Neste caso, pode-se tanto
avaliar as documentações desenvolvidas pela API da plataforma, quanto
fazer uso de uma solução alternativa em que certos componentes possam
ser substituídos por outro, desde que possuam funcionalidades similares;
Inspeção das soluções desenvolvidas: Neste cenário, tem-se a construção
de clientes maliciosos usando a plataforma a fim de validar sua imunidade
a várias vulnerabilidades. Normalmente, isso pode ser feito com alterações
propositais dos componentes por interfaces similares.
68
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
5.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2
O modelo de serviço ofertado pela Amazon disponibiliza ao cliente máquinas
virtuais onde estes podem armazenar seus dados e, dessa forma, aproveitar as vantagens de se
trabalhar nas nuvens. Nesses casos, o crime pode ocorrer tanto porque algum cracker alugou
o espaço para ali colocar algum objeto criminoso (como no caso dos invasores do serviço da
PlayStation Network (PSN) que usaram o Amazon EC2 para armazenar os dados dos clientes
que tiveram suas contas invadidas) ou ainda quando o próprio serviço é invadido sendo
infectado por algum vírus ou malware.
Seja qual for à forma de agir dos criminosos, segundo Jerry Archer et. al (2009)
em uma oferta IaaS, enquanto a responsabilidade de proteger a infraestrutura básica e
camadas de abstração pertence ao provedor, o restante da pilha é de responsabilidade do
consumidor. O caminho para se elucidar um crime ou ações suspeitas neste nível pode
envolver os seguintes passos:
Notificar o servidor do ocorrido e solicitar a retirada das informações que
foram adquiridas de forma ilegal;
Solicitar a documentação dos controles de segurança internos e externos do
provedor;
Solicitar legalmente o direito a visualizar logs, rastros e registros de acesso, por
isso é importante que o cliente ao contratar o serviço de nuvens tenha
colocado como claúsula do contrato o backup de seus dados, a gravação de
logs, entre outros dispositivos de segurança;
Avaliar ataques sob a ótica de mecanismos clássicos como o uso de DDOS
(Distributed Denial Of Service)
Avaliar vulnerabilidades da solução de virtualização (ex.: VMWare ou
VirtualBox.
Em termos de ferramenta de automação, para o nível de IaaS, podem ser pensadas
soluções análogas aos sistemas de gerenciamento de rede (ex.: padrão SNMP), mas voltadas
69
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
para ambientes de serviços, como, por exemplo, o JON – Jboss Operation Network sob as
várias máquinas virtuais.
5.3 Metodologia de investigação
Com base no que foi apresentado, podem ser questionados vários aspectos acerca
das diretrizes de investigação. A seguir, mostra-se uma autocrítica do processo e evidenciam-
se pistas que podem, em trabalhos futuros, amadurecer o trabalho apresentado.
A. Objetividade dos critérios:
O primeiro aspecto é o fato de que os critérios apresentados sempre possuem
elementos subjetivos de investigação. Embora isso possa pesar com relação ao caráter
presumivelmente exato da computação, não foge à regra da natureza subjetiva da investigação
forense. No entanto, pode-se ainda cogitar o uso de sistemas especialistas para buscar inferir
mais exatamente regras que determinem e qualifiquem os indícios periciais em questão.
B. Analogias anteriores:
Outro ponto a ser comentado diz respeito ao fato de que, para os diferentes
cenários, foram mencionados elementos de investigação baseados em casos anteriormente
destacados pela imprensa ou pelas referencias bibliográficas mencionadas. Embora isso possa
limitar a visão de como os indícios devem ser coletados, não implicam obrigatoriamente na
impossibilidade de avaliá-los em uma nova abordagem. Além disso, uma vez que existe toda
uma variedade de serviços afins nas diversas configurações possíveis de nuvens, o fato de que
um problema tenha sido solucionado para uma determinada solução não implica que o
problema tenha sido de todo sanado, considerando cenários e ferramentas adicionais.
70
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
C. Relatividade da jurisprudência:
Conforme apresentado no capítulo referente aos aspectos legais, a ausência de
uma norma universal de direito sobre as infrações e crimes digitais pode tornar mais ou menos
exigente a observância dos pontos propostos como critérios de investigação. Isso implica que,
considerando as peculiaridades dos delitos e as normas legislativas aplicáveis nas diversas
regiões do globo, inúmeros outros detalhes devem ser considerados.
Tendo considerado tais aspectos, pode-se considerar fundamental a investigação
da aplicação dos critérios aqui propostos para a validação e amadurecimento dos mesmos,
conforme será apresentado no capítulo final deste estudo.
71
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
6. CONCLUSÕES
Com a popularização do conceito de computação nas nuvens, percebe-se uma
mudança na forma como se realiza a troca e armazenamento de dados, além do
desenvolvimento de novas aplicações. As nuvens oferecem os mais variados serviços e, por
mais atrativos, que eles sejam ainda é preciso muito cuidado antes de migrar informações que
hoje estão guardadas localmente para os servidores em nuvem. Um dos fatores que demanda
uma maior precaução está relacionado com a questão de segurança. Por mais que as empresas
prestadoras de serviços em nuvem garantam que não existe razão para se preocupar, tem-se
observado um crescente número de falhas de segurança criminosas ou não tendo como alvo
aplicações, plataformas ou servidores que se encontram nas nuvens.
A adoção do serviço de nuvens também contribuiu para se identificar mudanças
na forma de se investigar crimes digitais. Se na investigação forense tradicional para se
desvendar um crime precisaria adentrar em quatro fases distintas: coleta, exame, análise e
resultados obtidos, em um ambiente de computação nas nuvens as etapas de coleta e exame
não são possíveis ou mais dificilmente poderão ser realizadas uma vez que os serviços em
nuvem podem estar espalhados em qualquer lugar do mundo. Dessa forma, no decorrer dos
estudos realizados foi identificado que seria necessário se adequar as fases da computação
forense as nuvens e, portanto se focar nas fases que são mais plausíveis de investigação que
seriam as de análise e resultados obtidos.
Ao se desejar estudar os crimes cometidos nas nuvens e como seria possível
investigá-los, foi possível perceber a ausência de leis específicas para se tratar esse tema.
Muito se foi discutido e alguns países até já possuem leis sobre crimes digitais, entretanto, tais
leis não são aplicáveis a um cenário de computação nas nuvens.
Diante dos desafios citados, esse trabalho se propõe a criar uma proposta de
diretrizes de investigação pericial em um ambiente de computação nas nuvens. Entretanto,
para chegar a tal objetivo foram necessários estudos relacionados a computação nas nuvens,
como suas características, seus principais conceitos, serviços ofertados, arquitetura. Também
foi necessário pesquisar sobre computação forense, crimes digitais e legislação existente para
tipificar tais crimes, estudo esse que forneceu as bases do conhecimento necessário para se
72
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
entender como se conduzir uma investigação pericial. Para se chegar aos objetivos
delimitados pelo escopo do trabalho se verificou a necessidade de abordar cenários nos três
níveis de serviço da computação nas nuvens e que fossem propensos a serem alvos de falhas e
ou crimes de segurança. Por fim, foi elaborada uma proposta de diretrizes para investigação
pericial em computação nas nuvens que melhor se adéqua às peculiaridades de cada cenário.
Vale ressaltar que essa proposta de diretrizes criada não é um modelo fechado de
investigação pericial para nuvens. Por ainda ser uma área nova, muito se precisa ser estudado
e pesquisado para superar os desafios investigativos, uma vez que se tem observado que a
proporção de crimes digitais praticados sempre acaba por superar as mais novas estratégias de
segurança desenvolvidas.
Como trabalhos futuros sugerem-se:
Ampliar o cenário de investigação forense em computação nas nuvens, de
forma a permitir a inclusão das fases de coleta e exame;
Propor novos cenários de aplicação e testar a aplicabilidade da proposta
de diretrizes para investigação pericial citadas neste trabalho;
Estudar, comparar e analisar a aplicabilidade dessa proposta de diretrizes
de investigação pericial a novos serviços de nuvens que podem vir a ser
criados;
Acrescentar pontos a proposta de diretrizes para investigação pericial que
a princípio não foram identificados, mas que poderiam vir a contribuir
para elucidação mais eficaz do crime cometido;
Aplicar as diretrizes propostas a novos casos de crime cometido em um
cenário de computação nas nuvens para comprovar na prática sua eficácia.
Finalmente, pode ser objetivo de futuros estudos a validação dos critérios de
auditoria aqui definidos e a correção de algumas das deficiências da abordagem aqui proposta.
O objetivo final, que consiste em garantir corretamente o balanceamento entre segurança e
disponibilidade (normalmente contraditórios) será uma grande conquista para o modelo de
negócio e serviços baseados em nuvem.
73
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
REFERÊNCIAS BIBLIOGRÁFICAS
ARAÚJO JUNIOR, João Marcello apud MELO, Aline Mary M. de. Os Crimes de
Informática. Suas formas de punição e o Direito. Manaus: Instituto Luterano de
Ensino Superior, 2000.
ARCHER, Jerry. et al: Security Guidance for Critical Areas of Focus in Cloud
Computing. Cloud Security Alliance, 2009. Disponível em: <
http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf>. Acesso em: 05 mai.
2012.
BROWN, Christopher L. T. Computer Evidence: Collection and Preservation. Florence,
Ky: Course Technology Ptr, 2009.
COELHO, O. P; CONDÉ, L.; CHRISTEN, M.; CAMBIUCCI, W.. Azure Academy: O
Sistema Operacional Azure. Disponível em: <http://blogs.msdn.com/otavio>. Acesso
em: 08 mai. 2012.
COSTA, Marcelo. Computação Forense. Campinas: Millennium Editora, 2003.
CORRÊA, Gustavo Testa. Aspectos Jurídicos da Internet. São Paulo: Saraiva, 2010.
CRESPO, Marcelo Xavier de Freitas. Crimes Digitais. São Paulo: Saraiva, 2011.
DOUN, Alexandre Jean; BLUM, Renato. Cybercrimes. In: LUCCA, Newton; SIMÃO
FILHO, Adalberto (Coord.). Direito e Internet – Aspectos jurídicos relevantes. São
Paulo: Edipro, 2000.
GOMES, Luis Flávio apud ELIAS, Paulo Sá. A questão da reserva legal no Direito Penal e
as condutas lesivas na área da informática e da tecnologia. Jus Navigandi, Ed. 12,
out. 2001. Disponível em: <http://www1.jus.com.br/doutrina/texto.asp?id=2038 >.
Acesso em: 08 mar. 2012.
GROSSMANN, Luís Osvaldo. Crimes na Web: Minimizado, PL Azeredo é aprovado.
Disponível em:
<http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=30516&sid=
4>. Acesso em: 23 mai.2012.
74
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
HEISER, Jay. What You Need to Know About Cloud Computing Security and
Compliance. Disponível em:
<http://www.gartner.com/DisplayDocument?doc_cd=168345&ref=g_noreg>.
Acesso em: 12 fev.2012.
JONES, Andrew; VALLI, Craig. Building a Digital Forensic Laboratory. Burlington:
Syngress, 2008.
KEEN, Martin; MOORE, Bill; CARVALHO, Antonio et al: Getting Started with
WebSphere Enterprise Service Bus V6. IBM Redbooks, 2006.
KRUTZ, Ronald L.; VINES, Russell D. Cloud Security: A Comprehensive Guide to
Secure Cloud Computing. Indianapolis: John Wiley & Sons, 2010.
KUROSE, James F. Redes de computadores e a internet: uma abordagem top-down.
Tradução Opportunity translation. 5.ed. São Paulo: Addison Wesley, 2010.
LAMB, John. The Greening of IT: How Companies Can Make a Difference for the
Environment. Boston: Pearson Education, Inc., 2009.
LILLARD, Terrence. Digital Forensics for Network, Internet, and Cloud Computing: A
Forensic Evidence Guide for Moving Targets and Data. Burlington: Syngress, 2010.
LIMA, Caio Cesar Carvalho. Aspectos Legais da Perícia Forense Computacional em um
Cenário Cloud Computing. The International Journal Of Forensic Computer Science,
Brasília, p. 24-32. 1 set. 2010.
LIMA, Paulo Marco Ferreira. Crimes de Computador e Segurança Computacional. São
Paulo: Atlas, 2011.
MCDONALD, Kevin T. Above the Clouds: Managing Risk in the World of Cloud
Computing. Cambrigdeshire: IT Governance Ltd, 2010.
MILLER, Michael. Cloud Computing: Web-Based Applications That Change the Way
You Work and Collaborate Online. Indianapolis: Que, 2008.
75
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
MONTEIRO NETO, João Araújo. Aspectos constitucionais e legais do crime eletrônico.
2008. 191 f. Dissertação (mestrado) – Universidade de Fortaleza, 2008. Disponível em:
< uol01.unifor.br/oul/conteudosite/?cdConteudo=1139476 >. Acesso em 10 de março de
2012.
NAKAMURA, Emílio T.; GEUS, Paulo Lício. Segurança de Redes: em ambientes
cooperativos. São Paulo: Novatec Editora, 2007.
PROJETO torna crime invasão de computador. Estado de Minas Online, Belo Horizonte,
15 maio 2012. Disponível em http://www.em.com.br/app/noticia/nacional/
2012/05/15/interna_nacional,294504/projeto-torna-crime-invasao-de-
computador.shtml.. Acesso em: 23 mai. 2012.
PRADEL, Jean; FEUILLARD, Cristian apud FERREIRA, Ivette Senise. A criminalidade
informática. In: LUCCA, Newton; SIMÃO FILHO, Adalberto (Coord.), op. cit, 2000.
PEREIRA, Evandro Della Vecchia et al. Forense Computacional: fundamentos,
tecnologias e desafios atuais. Disponível em:
<http://www.sbseg2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf>.
Acesso em: 08 mai. 2011.
REED, Archie; BENNETT, Stephen G. Silver Clouds, Dark Linings: A Concise Guide to
Cloud Computing. Boston: Prentice Hall, 2010.
REIS, Maria Helena Junqueira. Computer crimes: A criminalidade na era dos
computadores. Belo Horizonte: Del Rey, 1996.
ROSENBERG, Jothy; MATEOS, Arthur. The Cloud at Your Service: The when, how, and
why of enterprise Cloud Computing. Greenwich: Manning Publications Pub, 2010.
SANTOS, Ana P.V; MACHADO, Marcos. Cloud Computing: Impasses Legais e
Normativos. Revista Intr@ Ciência, 2010.
SOSINSKY, Barrie. Cloud Computing Bible. Indiana: Wiley Publishing, Inc., 2011.
SOUZA, F; MOREIRA, L; MACHADO, J. Computação em Nuvem: Conceitos,
Tecnologias, Aplicações e Desafios. Capítulo 7. Universidade Federal do Piauí (UFPI),
2009.
76
Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas
SOUZA, Gills L.M; PEREIRA, Dalliana V. A Convenção de Budapeste e as Leis
Brasileiras. Disponível em: <
http://www.charlieoscartango.com.br/Images/A%20convencao%20de%20Budapeste%2
0e%20as%20leis%20brasileiras.pdf>. Acesso em: 05 abr 2012.
SHINDER, Debra L.; CROSS, Michael. Scene of the Cybercrime. Burlington: Syngress,
2008.
STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4.ed. São
Paulo: Pearson, 2008.
TAURION, Cezar. Cloud Computing: Computação em nuvem: transformando o mundo
da tecnologia da informação. Rio de Janeiro: Brasport, 2009.
TOCCHETTO, Domingos; ESPINDULA, Alberi. Criminalistica procedimentos e
metodologias. Porto Alegre: [s.n], 2005.
VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. Boston:
Charles River Media, Inc., 2005.
VELTE, A. T; VELTE, T. J; ELSENPETER, R. Cloud Computing: A Practical Approach.
Editor Copyright. 2010.
VOLONINO, Linda; ANZALDUA, Reynaldo. Computer Forensics For Dummies.
Hoboken: For Dummies, 2008.
top related