Perspectiva da Polícia Judicária

Transcrição

1 Perspectiva da Polícia Judicária

2 I. A Secção de Investigação da Criminalidade Informática e Tecnológica da PJ II. Tipologia Criminal / Enquadramento III. Casos Demonstrativos IV. Desafios V. Recomendações para Profissionais de TI s VI. Ciberterrorismo, uma ameaça real 2

3 Assim como as sociedades se adaptaram ás novas tecnologias também os comportamentos desviantes das normas sociais sofreram uma mudança radical passando a integrar essas mesmas tecnologias na sua génese. 3

4 Toda a criminalidade foi tocada pela modernidade E a Investigação Criminal? Com que intensidade? 4

5 Como podem os métodos tradicionais de Polícia investigar ou mesmo recolher prova, nesta nova era? Deixámos efectivamente de poder contar unicamente com os métodos tradicionais de recolha de prova, passando os suspeitos a representar um conjunto de Bits & Bytes muitas vezes sem deixar qualquer rasto viável. 5

6 crimes nas TIC contra as pessoas contra o património contra dados & informação 6

7 t proc vs. P comp STORAGE APP text sheet present p2p - M otivação - O portunidade - T empo 7

8 Inspectores 1 Caso (BBS) Meios Pessoais Criação da BICI 4 Inspectores +20 casos Meios Corporativos Criação da SICIT 10 Inspectores 1 CIC +100 casos Meios Corporativos 1.ª Rede PJ Criação SCICIT Criação do NPI 16 Insp. 1 Esp. 2 IC 1 CIC +400 casos Meios Corporativos Meios Forenses Rede PJ Criação do GTI 20 Insp. 4 Esp. 4 IC 1 CIC +600 casos Meios Corporativos Meios Forense Rede PJ Rede Exames Regionalização SICIT-DLVT C/ Coord. Nacional 24 Insp. 4 Esp. 3 IC 1 CIC casos Meios Corporativos Meios Forense Rede PJ Rede Exames + 20 (+/-) Insp. Nac. Proposta criação UNCCIT Criação sector Forense Fora da SICIT Casos a Investigar Pedidos Perícia Forense 8173 crimes reportados 2013 nacional (Informáticos e com recurso a meios informáticos) 8

9 Tipologia Criminal Malware : Lei 109/2009, artigo 4º Infeção; Disseminação; Alojamento web ou servidor; Replicação. Não Disponibilidade e sabotagem: Lei 109/2009, artigo 5º DoS; Disrupção da capacidade de processamento e resposta; Flood de pacotes; Exploit; Ou distribuídos (DDoS, etc.); Danificar, interromper, alterar ou eliminar informação, sistema ou processo; Vandalismo; Disrupção de transmissão e tratamento de dados; Recolha ilícita de Informação: Lei 109/2009, artigo 7º Scan; Probe a sistema; Scan de rede; Transferência zona DNS; Sniffing; Wiretapping 9

10 Tipologia Criminal Engenharia Social: Lei 109/2009, artigo 3º Disseminação de s de Phishing; Alojamento de sites de Phishing; Agregação de informação recolhida em esquemas de Phishing Intrusão: Lei 109/2009, artigo 6º Exploit; SQL Injection; XSS; File Inclusion; Login ilícito (Brute-force; Password cracking; Ataque Dicionário); Bypass sistema controle. Roubo de credenciais de acesso. SPAM: Decreto-Lei nº 7/2004 Flood de s; envio de mensagem não solicitada. 10

11 Tipologia Criminal Direitos de Autor: Código do Direito de Autor e dos direitos conexos. Distribuição ou partilha de conteúdos protegidos; Usurpação. Pornografia infantil, racismo e apologia da violência: Código Penal, Artigos 176º, 177º, 179º; Artigo 13º Constituição Portuguesa; Artigo 240º Lei 7/82. Disseminação e detenção de conteúdos proibidos por lei (crimes públicos). 11

12 Exemplos: BlackBoxing 12

13 Exemplos: Dialers 13

14 Intrusões em PABX private automatic branch exchange Asterisk

15 Exemplos: Dialers posto público caixas de distribuição 15

16 Caso Lobo Mau 16

17 17

18

19 Meios de prova Return-Path: Received: from firewall.gauleses.pt ([ ]) by fep01-svc.mail.telepac.pt (InterMail vm ) with ESMTP id < GLEL8729.fep01- for Mon, 21 May :47: Received: from gauleses.pt by firewall.gauleses.pt with Microsoft SMTPSVC( ); Mon, 21 May :22: Subject: FW: Teste... To: julio.cesar@romanos.pt 19

20 20

21 21

22 22

23 23

24

25 25

26 26

27 Meios de prova C : \ W I N N T \ P r o f i l e s \ t e m o t e o \ D e s k t o p \ m a n i f. d o c T i m e s N e w R o m a n 5 S y m b o l 3 A r i a l b o y l o v e m a n i f e s t o T i m o t e o A r g u i d o t e m o t e o \\hp boy love manifesto Timoteo Arguido Normal Microsoft Word 8.0 boy love manifesto Title _PID_GUID { B E F D E C F 4 } R o o t E n t r y T a b l e W o r d D o c u m e n t Documento do Microsoft Word MSWordDoc Word.Document.8 27

28 28

29 Informação para buscas Utiliza um PC com software utilitário O PC está ligado em rede - SO Windows NT O PC imprime para uma impressora marca HP A rede deve ser uma LAN e o username é temoteo Processador texto Word em Português versão 8 (97) O doc manif está/esteve na directoria desktop O título do doc é(foi) boy love manifesto A placa de rede do PC é da marca compaq Provavelmente usa o editor html frontpage Muito provavelmente o PC é da marca compaq O site está sediado nos USA 29

30 30

31 31

32 32

33 33

34 Exemplos: PHISHING 34

35 Exemplos: PHISHING 35

36 Exemplos: PHISHING 36

37 Exemplos: PHISHING 37

38 Exemplos: PHISHING 38

39 Exemplos: PHISHING 39

40 Exemplos: PHISHING 40

41 Phishing MO 1 Sucesso <HTML> Transferência TR NIB 111xxx IGOR Francisco COD. 27 NIB Ax5111xxx </HTML> NIB 0000x Sucesso TR IGOR? COD. Sucesso 27 Verificação Transferência 200 Francisco? COD. 27 Malware 41

42 Phishing MO 2 <HTML> Username: <HTML> xxxxx Password: TR ******** Transferência NIB 111xxx COD. 27 IGOR Ax5 NIB </HTML> 111xxx </HTML> TR IGOR? COD. Sucesso 27 Malware 42

43 Phishing MO 3 Agentes financeiros, aka mulas ou human proxies, são contratados, via Internet, como colaboradores (Representantes de Vendas), recebendo dinheiro nas suas contas. Têm como função canalizar as verbas via Western Union Empresas Liberty Financial Union Viscard EuroGroup Finance 7 Seguros Eco Transfer Smartvex 43

44 Exemplos: 419 (Cartas da Nigéria) 44

45 Exemplos: Pirataria (Warez) 45

46 Desafios Bitcoin Branqueamento de capitais Financiamento de crime organizado e organizações terroristas Fraudes Burlas 46

47 Desafios CloudComputing Administração remota Sem Controlo do suporte Proliferação de Plataformas com Serviços Ilícitos Incapacidade técnica de Acesso aos dados que constituem prova digital Ocultação intencional de dados probatórios Facilidade no acesso (ilícito) a dados críticos (pessoais; profissionais) Sem Conhecimento correcto do local físico onde ocorre o processamento ou o armazenamento. 47

48 CloudComputing As ações de engenharia social. A disseminação de botnets. A dispersão e aumento do poder de computação em ciberataques. A disponibilidade de ferramentas ilícitas online. 48

49 Desafios Antiforensics 49

50 Prevenção Recomendações para Profissionais de TI s Para além de todas as recomendações e boas práticas de segurança já estabelecidas em normas como por exemplo ISO/IEC ou a NIST os profissionais responsáveis por sistemas corporativos devem atender ao facto da sua empresa poder vir a ser vítima de Cibercrime. Pelo que dois aspetos devem ser tidos em conta: A ameaça mais nefasta é a interna. A cadeia probatória inicia-se com a prova da existência dos factos ilícitos. 50

51 Cuidados dos gestores de sistemas face ao cibercrime. Boa implementação de politicas de segurança. Manter mapas de rede, planos de segurança e continuidade atualizados. Meios de recolha de prova digital. Contacto próximo com um CERT (FCCN). 51

52 Cuidados dos gestores de sistemas face ao cibercrime. Boa capacidade de resiliência. Boa implementação de politicas de Audit (ex. recolha in-site e off-site de logs). Ter em mente que as políticas de autenticação são tão ou mais importantes do que a proteção de informação critica. 52

53 Em Caso de Incidente (de origem externa): Ponderar sobre a recolha de prova digital VS continuidade de produção. Reportar ao CERT e FCCN assim que possível; Reportar à PJ assim que possível; Recolher todos os dados possíveis do sistema; Elaborar relatório de incidente detalhado. 53

54 Ciberterrorismo, uma ameaça real Lulzsecportugal antisecpt Cidadãos.pt a atacar como Anonymous Através do uso da ferramenta LOIC (ou outras parecidas), hping, [ ] Resultado: DDoS massivo; Defacing; site exploitation ( doxing ) apenas dois casos 54

55 QUESTÕES OBRIGADO Pela Vossa Atenção 55