Post on 24-Jun-2020
Perspectiva da Polícia Judicária
2
I. A Secção de Investigação da Criminalidade Informática e
Tecnológica da PJ
II. Tipologia Criminal / Enquadramento
III. Casos Demonstrativos
IV. Desafios
V. Recomendações para Profissionais de TI’s
VI. Ciberterrorismo, uma ameaça real
3
Assim como as sociedades se adaptaram ás novas tecnologias também os comportamentos desviantes das normas sociais sofreram uma mudança radical passando a integrar essas mesmas tecnologias na sua génese.
4
“Toda a criminalidade foi tocada pela modernidade”
E a Investigação Criminal?
Com que intensidade?
5
Como podem os métodos tradicionais de Polícia investigar ou mesmo recolher prova, nesta nova era?
Deixámos efectivamente de poder contar unicamente com os métodos tradicionais de recolha de prova, passando os suspeitos a representar um conjunto de Bits & Bytes muitas vezes sem deixar qualquer rasto viável.
6
crimes nas TIC contra as pessoas
contra o património
contra dados & informação
7
STORAGE APP
text
sheet
present
p2p
t proc vs. P comp
- M otivação
- O portunidade
- T empo €
8
1991 2014
2 Inspectores 1 Caso (BBS)
Meios Pessoais
1994 1997
Criação da BICI 4 Inspectores
+20 casos Meios Corporativos
Criação da SICIT 10 Inspectores
1 CIC +100 casos
Meios Corporativos 1.ª Rede PJ
2001
Criação SCICIT Criação do NPI
16 Insp. 1 Esp. 2 IC
1 CIC +400 casos
Meios Corporativos Meios Forenses
Rede PJ
2005 2009
Criação do GTI 20 Insp. 4 Esp. 4 IC
1 CIC +600 casos
Meios Corporativos Meios Forense
Rede PJ Rede Exames
Regionalização SICIT-DLVT
C/ Coord. Nacional 24 Insp. 4 Esp. 3 IC
1 CIC +1000 casos
Meios Corporativos Meios Forense
Rede PJ Rede Exames
+ 20 (+/-) Insp. Nac.
Proposta criação UNCCIT Criação sector Forense
Fora da SICIT +1500 Casos a Investigar
+1600 Pedidos Perícia Forense 8173 crimes reportados 2013 nacional (Informáticos e com recurso a meios informáticos)
9
Malware : Lei 109/2009, artigo 4º Infeção; Disseminação; Alojamento web ou servidor; Replicação. Não Disponibilidade e sabotagem: Lei 109/2009, artigo 5º DoS; Disrupção da capacidade de processamento e resposta; Flood de pacotes; Exploit; Ou distribuídos (DDoS, etc.); Danificar, interromper, alterar ou eliminar informação, sistema ou processo; Vandalismo; Disrupção de transmissão e tratamento de dados; Recolha ilícita de Informação: Lei 109/2009, artigo 7º Scan; Probe a sistema; Scan de rede; Transferência zona DNS; Sniffing; Wiretapping
Tipologia Criminal
10
Engenharia Social: Lei 109/2009, artigo 3º Disseminação de emails de Phishing; Alojamento de sites de Phishing; Agregação de informação recolhida em esquemas de Phishing Intrusão: Lei 109/2009, artigo 6º Exploit; SQL Injection; XSS; File Inclusion; Login ilícito (Brute-force; Password cracking; Ataque Dicionário); Bypass sistema controle. Roubo de credenciais de acesso. SPAM: Decreto-Lei nº 7/2004 Flood de emails; envio de mensagem não solicitada.
Tipologia Criminal
11
Direitos de Autor: Código do Direito de Autor e dos direitos conexos. Distribuição ou partilha de conteúdos protegidos; Usurpação. Pornografia infantil, racismo e apologia da violência: Código Penal, Artigos 176º, 177º, 179º; Artigo 13º Constituição Portuguesa; Artigo 240º Lei 7/82. Disseminação e detenção de conteúdos proibidos por lei (crimes públicos).
Tipologia Criminal
12
Exemplos: BlackBoxing
13
Exemplos: Dialers
Intrusões em PABX “private automatic branch exchange”
Asterisk
15
Exemplos: Dialers
caixas de distribuição
posto público
16
„ Caso Lobo Mau“
17
19
Meios de prova
Return-Path: <asterix.obelix@aldeia.gauleses.pt>
Received: from firewall.gauleses.pt ([194.243.108.194])
by fep01-svc.mail.telepac.pt
(InterMail vM.4.01.02.27 201-229-119-110) with ESMTP
id <20010521194759.GLEL8729.fep01-svc.mail.telepac.pt@firewall.gauleses.pt>
for <temoteo.arguido@okepuderes.pt>;
Mon, 21 May 2001 20:47:59 +0100
Received: from gauleses.pt - 4.0.1.98 by firewall.gauleses.pt with Microsoft SMTPSVC(5.5.1774.114.11);
Mon, 21 May 2001 21:22:27 +0200
Subject: FW: Teste ...
To: julio.cesar@romanos.pt
20
21
22
23
25
26
27
Meios de prova
C : \ W I N N T \ P r o f i l e s \ t e m o t e o \ D e s k t o p \ m a n i f . d o c T i m e s N e w R o m a n 5 S y m b o l 3 A r i a l b o y l o v e m a n i f e s t o T i m o t e o A r g u i d o t e m o t e o \\hp boy love manifesto Timoteo Arguido Normal Microsoft Word 8.0 boy love manifesto Title _PID_GUID { 6 8 2 1 B E 7 1 - 5 0 1 F - 1 1 D 5 - 8 2 8 E - 0 0 0 8 C 7 8 9 7 4 F 4 } R o o t E n t r y T a b l e W o r d D o c u m e n t Documento do Microsoft Word MSWordDoc Word.Document.8
28
29
Informação para buscas
•Utiliza um PC com software utilitário •O PC está ligado em rede - SO Windows NT •O PC imprime para uma impressora marca HP •A rede deve ser uma LAN e o username é “temoteo” •Processador texto Word em Português versão 8 (97) •O doc “manif” está/esteve na directoria “desktop” •O título do doc é(foi) “boy love manifesto” •A placa de rede do PC é da marca “compaq” Provavelmente usa o editor html “frontpage” Muito provavelmente o PC é da marca “compaq” O site está sediado nos USA
30
31
32
33
34
Exemplos: PHISHING
35
Exemplos: PHISHING
36
Exemplos: PHISHING
37
Exemplos: PHISHING
38
Exemplos: PHISHING
39
Exemplos: PHISHING
40
Exemplos: PHISHING
41
Malware
Phishing – MO 1
TR
2.000€
IGOR ?
COD. 27
TR
2.000€
IGOR
Sucesso
VerificaçãoVerificação
Transferência
200€
Francisco?
COD. 27
<HTML>
Transferência
2.000€
IGOR
NIB 111xxx
</HTML>
<HTML>
TR 2.000€
NIB 111xxx
COD. 27
Ax5
</HTML>
SucessoSucesso
TR 200€
Francisco
NIB 0000x
Sucesso
42
Malware
Phishing – MO 2
<HTML>
Username: xxxxx
Password: ********
Transferência
2.000€
IGOR
NIB 111xxx
</HTML>
TR
2.000€
IGOR ?
COD. 27
<HTML>
TR 2.000€
NIB 111xxx
COD. 27
Ax5
</HTML>
TR
2.000€
IGOR
Sucesso
43
Phishing – MO 3
• Agentes financeiros, aka “mulas” ou “human proxies”, são “contratados”, via Internet, como colaboradores (Representantes de Vendas), recebendo dinheiro nas suas contas. Têm como função canalizar as verbas via Western Union
• Empresas – Liberty Financial Union – Viscard EuroGroup Finance – 7 Seguros – Eco Transfer – Smartvex
44
Exemplos: 419 (Cartas da Nigéria)
45
Exemplos: Pirataria (Warez)
46
Desafios
•Bitcoin Branqueamento de capitais Financiamento de crime organizado e organizações terroristas
Fraudes Burlas
47
Desafios
•CloudComputing • Administração remota Sem Controlo do suporte
• Proliferação de Plataformas com Serviços Ilícitos
• Incapacidade técnica de Acesso aos dados que constituem prova digital
• Ocultação intencional de dados probatórios
• Facilidade no acesso (ilícito) a dados críticos (pessoais; profissionais)
• Sem Conhecimento correcto do local físico onde ocorre o processamento ou o armazenamento.
48
CloudComputing
As ações de engenharia social.
A disseminação de “botnets”.
A dispersão e aumento do poder de computação em
ciberataques.
A disponibilidade de ferramentas ilícitas online.
49
Desafios
•Antiforensics
50
Recomendações para Profissionais de TI’s
Prevenção
Para além de todas as recomendações e boas práticas de segurança já estabelecidas em normas como por exemplo ISO/IEC 27001 ou a NIST 800-53 os profissionais responsáveis por sistemas corporativos devem atender ao facto da sua empresa poder vir a ser vítima de Cibercrime.
Pelo que dois aspetos devem ser tidos em conta:
•A ameaça mais nefasta é a interna.
•A cadeia probatória inicia-se com a prova da
existência dos factos ilícitos.
51
Cuidados dos gestores de sistemas face ao cibercrime.
Boa implementação de politicas de segurança.
Manter mapas de rede, planos de segurança e continuidade atualizados.
Meios de recolha de prova digital.
Contacto próximo com um CERT (FCCN).
52
Cuidados dos gestores de sistemas face ao cibercrime.
Boa capacidade de resiliência.
Boa implementação de politicas de Audit (ex. recolha in-site e off-site de logs).
Ter em mente que as políticas de autenticação são tão ou mais importantes do que a proteção de informação critica.
53
Em Caso de Incidente (de origem externa):
Ponderar sobre a recolha de prova digital VS continuidade de produção.
Reportar ao CERT e FCCN assim que possível;
Reportar à PJ assim que possível;
Recolher todos os dados possíveis do sistema;
Elaborar relatório de incidente detalhado.
54
Ciberterrorismo, uma ameaça real
Lulzsecportugal antisecpt Cidadãos .pt a atacar como “Anonymous”
Através do uso da ferramenta LOIC (ou outras parecidas), hping, […]
Resultado:
DDoS massivo;
Defacing;
site exploitation (“doxing”) – apenas dois casos
55
QUESTÕES OBRIGADO
Pela Vossa Atenção