Perspectiva da Polícia Judicária
I. A Secção de Investigação da Criminalidade Informática e Tecnológica da PJ II. Tipologia Criminal / Enquadramento III. Casos Demonstrativos IV. Desafios V. Recomendações para Profissionais de TI s VI. Ciberterrorismo, uma ameaça real 2
Assim como as sociedades se adaptaram ás novas tecnologias também os comportamentos desviantes das normas sociais sofreram uma mudança radical passando a integrar essas mesmas tecnologias na sua génese. 3
Toda a criminalidade foi tocada pela modernidade E a Investigação Criminal? Com que intensidade? 4
Como podem os métodos tradicionais de Polícia investigar ou mesmo recolher prova, nesta nova era? Deixámos efectivamente de poder contar unicamente com os métodos tradicionais de recolha de prova, passando os suspeitos a representar um conjunto de Bits & Bytes muitas vezes sem deixar qualquer rasto viável. 5
crimes nas TIC contra as pessoas contra o património contra dados & informação 6
t proc vs. P comp STORAGE APP text sheet present p2p - M otivação - O portunidade - T empo 7
1991 1994 1997 2001 2005 2009 2014 2 Inspectores 1 Caso (BBS) Meios Pessoais Criação da BICI 4 Inspectores +20 casos Meios Corporativos Criação da SICIT 10 Inspectores 1 CIC +100 casos Meios Corporativos 1.ª Rede PJ Criação SCICIT Criação do NPI 16 Insp. 1 Esp. 2 IC 1 CIC +400 casos Meios Corporativos Meios Forenses Rede PJ Criação do GTI 20 Insp. 4 Esp. 4 IC 1 CIC +600 casos Meios Corporativos Meios Forense Rede PJ Rede Exames Regionalização SICIT-DLVT C/ Coord. Nacional 24 Insp. 4 Esp. 3 IC 1 CIC +1000 casos Meios Corporativos Meios Forense Rede PJ Rede Exames + 20 (+/-) Insp. Nac. Proposta criação UNCCIT Criação sector Forense Fora da SICIT +1500 Casos a Investigar +1600 Pedidos Perícia Forense 8173 crimes reportados 2013 nacional (Informáticos e com recurso a meios informáticos) 8
Tipologia Criminal Malware : Lei 109/2009, artigo 4º Infeção; Disseminação; Alojamento web ou servidor; Replicação. Não Disponibilidade e sabotagem: Lei 109/2009, artigo 5º DoS; Disrupção da capacidade de processamento e resposta; Flood de pacotes; Exploit; Ou distribuídos (DDoS, etc.); Danificar, interromper, alterar ou eliminar informação, sistema ou processo; Vandalismo; Disrupção de transmissão e tratamento de dados; Recolha ilícita de Informação: Lei 109/2009, artigo 7º Scan; Probe a sistema; Scan de rede; Transferência zona DNS; Sniffing; Wiretapping 9
Tipologia Criminal Engenharia Social: Lei 109/2009, artigo 3º Disseminação de emails de Phishing; Alojamento de sites de Phishing; Agregação de informação recolhida em esquemas de Phishing Intrusão: Lei 109/2009, artigo 6º Exploit; SQL Injection; XSS; File Inclusion; Login ilícito (Brute-force; Password cracking; Ataque Dicionário); Bypass sistema controle. Roubo de credenciais de acesso. SPAM: Decreto-Lei nº 7/2004 Flood de emails; envio de mensagem não solicitada. 10
Tipologia Criminal Direitos de Autor: Código do Direito de Autor e dos direitos conexos. Distribuição ou partilha de conteúdos protegidos; Usurpação. Pornografia infantil, racismo e apologia da violência: Código Penal, Artigos 176º, 177º, 179º; Artigo 13º Constituição Portuguesa; Artigo 240º Lei 7/82. Disseminação e detenção de conteúdos proibidos por lei (crimes públicos). 11
Exemplos: BlackBoxing 12
Exemplos: Dialers 13
Intrusões em PABX private automatic branch exchange Asterisk
Exemplos: Dialers posto público caixas de distribuição 15
Caso Lobo Mau 16
17
Meios de prova Return-Path: <asterix.obelix@aldeia.gauleses.pt> Received: from firewall.gauleses.pt ([194.243.108.194]) by fep01-svc.mail.telepac.pt (InterMail vm.4.01.02.27 201-229-119-110) with ESMTP id <20010521194759.GLEL8729.fep01- svc.mail.telepac.pt@firewall.gauleses.pt> for <temoteo.arguido@okepuderes.pt>; Mon, 21 May 2001 20:47:59 +0100 Received: from gauleses.pt - 4.0.1.98 by firewall.gauleses.pt with Microsoft SMTPSVC(5.5.1774.114.11); Mon, 21 May 2001 21:22:27 +0200 Subject: FW: Teste... To: julio.cesar@romanos.pt 19
20
21
22
23
25
26
Meios de prova C : \ W I N N T \ P r o f i l e s \ t e m o t e o \ D e s k t o p \ m a n i f. d o c T i m e s N e w R o m a n 5 S y m b o l 3 A r i a l b o y l o v e m a n i f e s t o T i m o t e o A r g u i d o t e m o t e o \\hp boy love manifesto Timoteo Arguido Normal Microsoft Word 8.0 boy love manifesto Title _PID_GUID { 6 8 2 1 B E 7 1-5 0 1 F - 1 1 D 5-8 2 8 E - 0 0 0 8 C 7 8 9 7 4 F 4 } R o o t E n t r y T a b l e W o r d D o c u m e n t Documento do Microsoft Word MSWordDoc Word.Document.8 27
28
Informação para buscas Utiliza um PC com software utilitário O PC está ligado em rede - SO Windows NT O PC imprime para uma impressora marca HP A rede deve ser uma LAN e o username é temoteo Processador texto Word em Português versão 8 (97) O doc manif está/esteve na directoria desktop O título do doc é(foi) boy love manifesto A placa de rede do PC é da marca compaq Provavelmente usa o editor html frontpage Muito provavelmente o PC é da marca compaq O site está sediado nos USA 29
30
31
32
33
Exemplos: PHISHING 34
Exemplos: PHISHING 35
Exemplos: PHISHING 36
Exemplos: PHISHING 37
Exemplos: PHISHING 38
Exemplos: PHISHING 39
Exemplos: PHISHING 40
Phishing MO 1 Sucesso <HTML> Transferência TR 2.000 200 2.000 NIB 111xxx IGOR Francisco COD. 27 NIB Ax5111xxx </HTML> NIB 0000x Sucesso TR 2.000 IGOR? COD. Sucesso 27 Verificação Transferência 200 Francisco? COD. 27 Malware 41
Phishing MO 2 <HTML> Username: <HTML> xxxxx Password: TR 2.000 ******** Transferência NIB 111xxx 2.000 COD. 27 IGOR Ax5 NIB </HTML> 111xxx </HTML> TR 2.000 IGOR? COD. Sucesso 27 Malware 42
Phishing MO 3 Agentes financeiros, aka mulas ou human proxies, são contratados, via Internet, como colaboradores (Representantes de Vendas), recebendo dinheiro nas suas contas. Têm como função canalizar as verbas via Western Union Empresas Liberty Financial Union Viscard EuroGroup Finance 7 Seguros Eco Transfer Smartvex 43
Exemplos: 419 (Cartas da Nigéria) 44
Exemplos: Pirataria (Warez) 45
Desafios Bitcoin Branqueamento de capitais Financiamento de crime organizado e organizações terroristas Fraudes Burlas 46
Desafios CloudComputing Administração remota Sem Controlo do suporte Proliferação de Plataformas com Serviços Ilícitos Incapacidade técnica de Acesso aos dados que constituem prova digital Ocultação intencional de dados probatórios Facilidade no acesso (ilícito) a dados críticos (pessoais; profissionais) Sem Conhecimento correcto do local físico onde ocorre o processamento ou o armazenamento. 47
CloudComputing As ações de engenharia social. A disseminação de botnets. A dispersão e aumento do poder de computação em ciberataques. A disponibilidade de ferramentas ilícitas online. 48
Desafios Antiforensics 49
Prevenção Recomendações para Profissionais de TI s Para além de todas as recomendações e boas práticas de segurança já estabelecidas em normas como por exemplo ISO/IEC 27001 ou a NIST 800-53 os profissionais responsáveis por sistemas corporativos devem atender ao facto da sua empresa poder vir a ser vítima de Cibercrime. Pelo que dois aspetos devem ser tidos em conta: A ameaça mais nefasta é a interna. A cadeia probatória inicia-se com a prova da existência dos factos ilícitos. 50
Cuidados dos gestores de sistemas face ao cibercrime. Boa implementação de politicas de segurança. Manter mapas de rede, planos de segurança e continuidade atualizados. Meios de recolha de prova digital. Contacto próximo com um CERT (FCCN). 51
Cuidados dos gestores de sistemas face ao cibercrime. Boa capacidade de resiliência. Boa implementação de politicas de Audit (ex. recolha in-site e off-site de logs). Ter em mente que as políticas de autenticação são tão ou mais importantes do que a proteção de informação critica. 52
Em Caso de Incidente (de origem externa): Ponderar sobre a recolha de prova digital VS continuidade de produção. Reportar ao CERT e FCCN assim que possível; Reportar à PJ assim que possível; Recolher todos os dados possíveis do sistema; Elaborar relatório de incidente detalhado. 53
Ciberterrorismo, uma ameaça real Lulzsecportugal antisecpt Cidadãos.pt a atacar como Anonymous Através do uso da ferramenta LOIC (ou outras parecidas), hping, [ ] Resultado: DDoS massivo; Defacing; site exploitation ( doxing ) apenas dois casos 54
QUESTÕES OBRIGADO Pela Vossa Atenção 55