FACULDADE FARIAS BRITO · deles de forma direta ou indireta foram muito importantes na minha...

Proposta de diretrizes para investigação pericial em um cenário de Computação nas Nuvens Públicas

FACULDADE FARIAS BRITO CIÊNCIA DA COMPUTAÇÃO

DANIELLY BRASILEIRO BATISTA

Proposta de diretrizes para investigação pericial em um

cenário de Computação nas Nuvens Públicas.

Fortaleza, 2012


DANIELLY BRASILEIRO BATISTA

Proposta de diretrizes para investigação pericial em um

cenário de Computação nas Nuvens Públicas.

Monografia apresentada para obtenção dos

créditos da disciplina Trabalho de Conclusão do

Curso da Faculdade Farias Brito, como parte das

exigências para graduação no Curso de Ciência

da Computação.

Orientador: Paulo Benício Melo de Sousa.

Fortaleza, 2012


PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO

PERICIAL EM UM CENÁRIO DE COMPUTAÇÃO NAS

NUVENS PÚBLICAS.

Danielly Brasileiro Batista

PARECER __________________

NOTA: FINAL (0 – 10): _______

Data: / /

BANCA EXAMINADORA:

Dr. Paulo Benício Melo de Sousa

Orientador

Me. Leopoldo Soares de Melo Júnior

Examinador

Me. Ricardo Wagner Cavalcante Brito

Examinador


"É preciso sonhar,

mas com a condição de crer em nosso sonho,

de observar com atenção a vida real,

de confrontar a observação com nosso sonho,

de realizar escrupulosamente nossas fantasias.

Sonhos, acredite neles."- Vladimir Ilitch Lenin

http://pensador.uol.com.br/autor/vladimir_ilitch_lenin/


AGRADECIMENTOS

Agradeço primeiramente a Deus por cada dia da minha vida, por todas as oportunidades

que Ele me deu para que eu conseguisse hoje a realização de mais essa conquista.

A minha mãe (in memorian) por todos os sacrifícios feitos para que eu tivesse a

possibilidade de estudar e crescer tanto como pessoa como profissionalmente.

Ao Orientador Dr. Paulo Benício, pela presteza, disponibilidade, paciência e dedicação

com que aceitou o desafio de concluir comigo esse trabalho.

Ao Orientador Me. José Helano, pela ajuda nas definições do projeto que serviu como

ponto de partida para esse trabalho. Por ter proposto um tema tão atual, envolvente e

desafiador.

Aos demais professores pelos anos de convivência e troca de experiências, cada um

deles de forma direta ou indireta foram muito importantes na minha formação acadêmica.

A todos os meus amigos que fizeram parte de toda essa jornada, se alegrando com meus

momentos de felicidade e me apoiando nos momentos difíceis. Só eles sabem o quanto essa

conquista foi desejada e esperada.

E a todos que puderam contribuir de alguma forma.


RESUMO

O cenário de computação nas nuvens já é uma realidade e muitas são as empresas

que direta ou indiretamente já se utilizam de serviços nas nuvens para prover a seus usuários

maior flexibilidade, acessibilidade, economia e outras tantas características encontradas nas

nuvens.

Um ambiente assim tão propício a novos investimentos acaba atraindo também a

atenção de criminosos virtuais que vêem aqui a oportunidade de cometer os mais variados

tipos de crimes, que em alguns casos e países podem ainda nem terem sido tipificados. Assim,

uma vez praticadas tais ações ilegais, percebeu-se que não se poderia querer investigá-las

como se faz em ambientes computacionais tradicionais uma vez que, quando se investe em

nuvens, se trabalha muito fortemente com o conceito de virtualização, ou seja, os dados

armazenados nas nuvens podem estar em um servidor em qualquer parte do mundo e não

mais em um servidor fisicamente alocado na empresa do usuário.

A partir da identificação dessas dificuldades tanto em termos de localização

geográfica, legislação, como da própria forma de se conduzir uma investigação criminal,

percebeu-se a oportunidade de se inserir essa monografia nesse contexto bastante atual e

ainda sem muita literatura a respeito.

Dessa forma, este trabalho realiza um estudo tanto dos conceitos de computação

nas nuvens, como de computação forense, adentrando pelos aspectos legais dos crimes

digitais para finalizar trazendo como contribuição o desenvolvimento de uma proposta de

diretrizes que visam auxiliar na investigação pericial em um ambiente de computação nas

nuvens.


SUMÁRIO

INTRODUÇÃO ................................................................................................................................................... 12

1. COMPUTAÇÃO NAS NUVENS .............................................................................................................. 15

1.1 Introdução ......................................................................................................................................... 15

1.2 Serviços em Computação nas Nuvens ................................................................................................ 17

1.3 Tipos de Nuvens ................................................................................................................................. 19

1.4 Arquitetura em Computação nas Nuvens ........................................................................................... 20

1.5 Segurança da Informação ................................................................................................................... 21

1.5.1 Segurança em Computação nas Nuvens .............................................................................................. 23

2. COMPUTAÇÃO FORENSE ..................................................................................................................... 27

2.1 Introdução ......................................................................................................................................... 27

2.2 Fases da Computação Forense ........................................................................................................... 29

2.3 Coletando Vestígios Digitais ............................................................................................................... 30

2.4 Metodologias Investigativas ............................................................................................................... 32

3. ASPECTOS LEGAIS DOS CRIMES DIGITAIS .................................................................................... 34

3.1 Introdução ......................................................................................................................................... 34

3.2 Conceito de Crimes Digitais ................................................................................................................ 35

3.3. Classificação dos Crimes Digitais ........................................................................................................... 37

3.4. Legislação Vigente referente aos Crimes Digitais .................................................................................. 40

3.4.1. Espanha ............................................................................................................................................. 42

3.4.2. França .................................................................................................................................................. 42

3.4.3. Chile ..................................................................................................................................................... 43

3.4.4. Estados Unidos ..................................................................................................................................... 43

3.4.5. Brasil .................................................................................................................................................... 44

3.4.6. A Convenção de Budapeste ................................................................................................................. 46

3.4.7. Perspectivas de regulamentação de crimes digitais em Computação nas Nuvens ............................ 47

4. CENÁRIOS DE APLICAÇÃO DA PROPOSTA DE DIRETRIZES A SER DESENVOLVIDA ....... 51

4.1 Cenários de Aplicação ........................................................................................................................ 51


4.2 Tipos de Cenários ............................................................................................................................... 52

4.2.1 CENÁRIO: SaaS – Caso: Dropbox .......................................................................................................... 52

4.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure .............................................................................. 55

4.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2 ............................................................. 60

5. PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO PERICIAL EM UM AMBIENTE DE

COMPUTAÇÃO NAS NUVENS ....................................................................................................................... 63

5.1 Proposta de Diretrizes Gerais ............................................................................................................. 63

5.2 Proposta de Diretrizes Específicas ...................................................................................................... 65

5.2.1 CENÁRIO: SaaS – Caso: Dropbox ......................................................................................................... 65

5.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure ............................................................................. 66

5.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2 ............................................................. 68

5.3 Metodologia de investigação ............................................................................................................. 69

6. CONCLUSÕES ........................................................................................................................................... 71

REFERÊNCIAS BIBLIOGRÁFICAS............................................................................................................... 73


LISTA DE FIGURAS

Figura 1 - Visão geral de um ambiente de atuação da Computação nas Nuvens.. ................................................. 16

Figura 2 - Tipos de serviços e atuação dos usuários de aplicações nas nuvens. .................................................... 19

Figura 3 - Modelo arquitetural de aplicações nas nuvens.. .................................................................................... 21

Figura 4 - Fases da Computação Forense.. ............................................................................................................ 30

Figura 5 - Interface do serviço de SaaS Dropbox.. ................................................................................................ 53

Figura 6 - Identificação do arquivo no iOS que dá acesso a conta no Dropbox. ................................................... 54

Figura 7 - Arquitetura do serviço de Computação nas Nuvens da Microsoft. ....................................................... 56


LISTA DE TABELAS

TABELA 1 – Alguns países da Convenção de Budapeste . .................................................................................. 47

11


LISTA DE SIGLAS

AMI - Amazon Machine Instance

API - Application Programming Interface

CEPD - Comitê Europeu para os Problemas Criminais

CPU - Central Processing Unit

CRM - Customer Relationship Management

CSP - Serviço de Provedor nas Nuvens

DDoS – Distributed Denial-of-Service

DVD - Digital Versatile Disc

EC2- Elastic Computing Cloud

ESB - Enterprise Service Bus

HD - Hard Disk

IAAS - Infrastructure as a Service

iOS - iPhone Operating System

JON – Jboss Operation Network

MTBF – Tempo Médio entre Falhas

PAAS -Plataform as a Service

PC - Computador Pessoal

PL - Projeto de Lei

PSK - Pre-Shared Key

REST - Representational State Transfer

SAAS -Software as a Service

SOA - Service-Oriented Architecture

SOAP - Simple Object Access Protocol

SQL - Structured Query Language

SQS - Simple Queue Service

TTR – Tempo para Recuperação do Serviço

VHD - Virtual Hard Disk

VM - Vitual Machine

Wi-Fi - Wireless Fidelity

WPA - Wi-Fi Protected Access

XML - Extensible Markup Language

12


INTRODUÇÃO

O modelo arquitetural cliente-servidor ainda é bastante utilizado pelas empresas

no mundo todo. Nesse modelo, diversos computadores estão interligados através de uma rede,

existindo um computador principal (servidor) onde ficam centralizadas as decisões quanto à

acessibilidade das demais máquinas e a responsabilidade de disponibilizar os serviços

requeridos pelos outros computadores da rede, denominados clientes. Devido a essa relação

entre computador servidor e computadores clientes, o servidor deve ser um computador

robusto, com alta capacidade de armazenamento e eficaz em relação à segurança de

informações, pois ele também é o responsável por filtrar os dados recebidos da Internet.

Dada a importância do servidor no modelo cliente-servidor, as empresas que o

adotam costumam ter um alto custo com a manutenção de suas máquinas, aplicativos e

serviços para que possam manter um alto padrão de qualidade do seu funcionamento. E é

exatamente esse um dos fatores que diferenciam esse “novo” modelo arquitetural, a partir da

definição do conceito de Computação nas Nuvens.

Computação nas Nuvens é, portanto, um termo que vem sendo usado para

exemplificar um ambiente computacional baseado em uma rede de servidores, virtuais ou não,

que trazem para as empresas e usuários o benefício de amenizar a preocupação de gravar

dados e informações em uma máquina local, uma vez que eles estarão na “nuvem”, podendo

ser acessados de qualquer lugar, através de qualquer aparelho eletrônico com acesso à

Internet.

Apesar das aparências, a Computação nas Nuvens não tem nada de ficção e já está

bem presente no nosso dia-a-dia. Um exemplo bem concreto e corriqueiro envolve, por

exemplo, os nossos e-mails. Ao acessarmos diariamente o site do Hotmail, Gmail ou Yahoo

ou qualquer outro, não sabemos onde nossas mensagens ficam armazenadas e como é possível

acessá-las de qualquer lugar por meio da Internet.

Em se tratando de um sistema de computação em nuvem percebe-se que há uma

diminuição significativa da carga de trabalho nos computadores locais já que eles não serão

mais responsáveis por executar aplicações. A demanda por hardware e software no lado do

usuário também diminui e a uma das poucas ações que a máquina do usuário deve ser capaz

de fazer é operar o software que proporciona a interface do sistema. Seu funcionamento

ocorre de forma que os serviços são entregues aos clientes e eles não precisam saber como

13


funciona o mecanismo para entrega desses serviços ou a localidade em que estes serviços

estão fisicamente.

Todas essas facilidades no uso da Computação nas Nuvens não trazem

necessariamente apenas benefícios. Esse tipo de centro de processamento de dados, distante

fisicamente da empresa pode vir a trazer vários problemas com relação à segurança das

informações. No caso da investigação forense, essa mudança dos centros de processamento de

dados de uma área local para um lugar remoto, onde o acesso direto a eles se torna

praticamente improvável, se não impossível, é um dos grandes desafios.

Caso uma grande empresa possua vários computadores que guardam seus dados, é

de se esperar que essa mesma empresa ao utilizar de um sistema de Computação nas Nuvens

tenha seus dados armazenados em servidores virtuais que, além de terem a possibilidade de

pertencer a provedores de serviços distintos, podem ainda estar situados em países diferentes.

Assim, a virtualização deve acabar mudando a forma como a segurança

computacional e a computação forense lidam com crimes de segurança através da rede. Não

existe mais um sólido “perímetro de segurança” como se conhecia anteriormente. O perímetro

de segurança se tornou qualquer lugar onde pessoas tenham acesso à rede e a sistemas de

serviços que são providos por uma empresa. A flexibilidade, no que se tornou o novo

“perímetro de segurança”, é atribuída agora a diversas maneiras como consumimos os

diversos dispositivos tecnológicos a que temos acesso. (LILLARD, 2010).

Dessa forma, o objeto de estudo deste trabalho consiste em criar uma proposta de

diretrizes para investigação pericial em um cenário de Computação nas Nuvens. Para tanto,

faz-se necessário estudar o que já foi disposto sobre o tema até o momento para, a partir deste

conhecimento adquirido, apresentar uma estratégia de abordagem investigativa para os crimes

cometidos nas nuvens.

Este trabalho será organizado nos seguintes capítulos: o capítulo 1 irá abordar o

conceito de Computação nas Nuvens, seu funcionamento, serviços e sua arquitetura. Em

seguida, o capítulo 2 irá tratar do conceito de Computação Forense e quais os procedimentos

utilizados para se investigar crimes de informática. O capítulo 3 apresentará o conceito de

crime digital e como as legislações de diversos países têm evoluído com o intuito de

identificar e punir os praticantes de ações delituosas. Ao adentrarmos no capítulo 4

exemplificaremos três cenários propostos, um de cada serviço na nuvem - SaaS,PaaS e IaaS -,

14


que serão ambientes propícios como objeto de estudo para se desenvolver a proposta de

diretriz investigativa esperada. Finalmente, o capítulo 5 apresentará uma proposta de

diretrizes que tem como objetivo ajudar na resolução de crimes praticados tendo como cenário

esse novo ambiente computacional conhecido como Computação nas Nuvens. Em seguida,

serão apresentadas as conclusões do trabalho.

15


1. COMPUTAÇÃO NAS NUVENS

1.1 Introdução

Segundo Taurion (2009), a primeira vez que o termo Computação nas Nuvens foi

mencionado aconteceu em uma palestra de Eric Schmidt, do Google, em 2006, enquanto

citava como a sua empresa gerenciava seus centros de banco de dados. Desde então, o

conceito de Computação nas Nuvens tem se difundido no mundo inteiro como um movimento

de profundas transformações na área de TI.

De uma forma simplificada, Computação nas Nuvens proporciona uma

“revolução” na forma como se cria, acessa e gerencia documentos em um computador. No

modelo tradicional, um software é executado em um computador, onde é criado um arquivo e

este arquivo é salvo no mesmo computador onde foi criado. E, embora esse arquivo possa ser

acessado de qualquer outro computador que se encontre na mesma rede, não se pode ter

acesso aos dados através de um computador que esteja em outra rede. Em um ambiente de

Computação nas Nuvens, como afirma Miller (2008), os softwares utilizados não estão

instalados no computador que está sendo usado, mas sim em um servidor acessado via

Internet. Assim, se o seu computador não puder mais ser utilizado, o software continua

acessível a qualquer pessoa que dele necessite aonde quer que essa pessoa esteja. O mesmo

acontece para qualquer outro documento que se encontre nas Nuvens.

Assim, a chave do conceito de Computação nas Nuvens está exatamente na

palavra “nuvens”, que representam um conjunto de inúmeros computadores interconectados,

que podem ser públicos ou privados, pessoais ou parte de um datacenter, que podem ser

acessados, alterados e manipulados de qualquer lugar desde que se tenha acesso a Internet e a

autorização necessária para isso. Na Figura 1 que se segue podemos visualizar melhor como

esse conceito é aplicado.

16


Figura 1 - Visão geral de um ambiente de atuação da Computação nas Nuvens. Adaptado de (MILLER, 2008).

Segundo Miller (2008), na perspectiva do Google, um dos pioneiros no seu uso de

Computação nas Nuvens, as seis características chaves desse paradigma seriam as seguintes:

Centrada para usuários: uma vez conectado nas “nuvens”, tudo o que

está armazenado nela - documentos, aplicações, imagens, qualquer

coisa - se torna acessível. Na verdade, esses dados não se tornam

acessíveis somente a você, mas também podem ser distribuídos com

qualquer outro usuário conectado.

Centrada para tarefas: ao invés de se focar na aplicação e no que ela

pode fazer, o foco está no que precisa ser feito e como a aplicação

pode fazer isso. Aplicações tradicionais tais como: aplicativos de texto,

email, entre outros - tem se tornado menos importante do que os

documentos armazenados ou trocados.

Robusta: conectar centenas e milhares de computadores em uma

“nuvem” cria um rico entrelace de informações que dificilmente pode

se comparar com o poder/uso de um único computador.

17


Acessível: uma vez que os dados armazenados se encontram em uma

“nuvem”, usuários podem mais facilmente ter acesso a dados que se

encontram em diversos repositórios distintos. Não se fica limitado a

um único centro de informações.

Utiliza técnicas de Inteligência Artificial: com milhares de dados

espalhados em vários lugares, é preciso que se tenha um processo de

data mining e de análise eficientes para que o acesso a esses dados seja

feito da melhor forma possível.

Dinâmica: para proteger a integridade dos dados, as informações

guardadas na “nuvem”, devem ser duplicadas para outros

computadores.

Diante dessas características, percebe-se que a Computação nas Nuvens já está

totalmente presente em nosso dia a dia. Quando se acessa qualquer um dos aplicativos da

“família” Google – Gmail, Picasa, Google Calendário, entre muitos outros, se está diante de

aplicações que estão instaladas nos servidores do Google, mas que são acessíveis a qualquer

usuário que tenha interesse em manuseá-las.

Dessa forma, objetivo deste capítulo é contextualizar fundamentos computação

nas nuvens, iniciando abordando os serviços ofertados nas nuvens, em seguida serão

abordados a sua arquitetura, e finalizando com a importância da segurança da informação,

especificamente a segurança nas nuvens.

1.2 Serviços em Computação nas Nuvens

A Computação nas Nuvens, para fins de maior entendimento, pode ser dividida

em camadas que representam a arquitetura geral do que seria uma “Nuvem”, conforme

apresentado a seguir:

Software como Serviço (Software as a Service - SaaS): é a camada que está mais

diretamente ligada ao usuário. É através dela que ele consegue usufruir dos serviços

oferecidos pela Computação nas Nuvens. A função da camada de serviço é hospedar

aplicações que rodam na “Nuvem” e são fornecidas para os usuários conforme solicitadas. Em

ambos os casos, os pedidos são entregues aos usuários de forma transparente e sem a

18


necessidade de instalação e manutenção do software. Dessa forma, paga-se pelo software

como se fosse apenas um serviço, sem necessidade de licenças. Nesse sentido, afirma Taurion

(2009):

SaaS está relacionado com a funcionalidade da aplicação, entregue via

modelo de subscrição pela Internet. O cliente não precisa ter a

“propriedade” do software. [...] No SaaS, ele não “possui” o software

e adicionalmente não precisa se preocupar com a tecnologia em que o

software vai operar.[...] Software-as-a-service é um modelo

disruptivo. Sua proposição de valor é a funcionalidade oferecida e não

a “propriedade do produto”.[...] O cliente não adquire licença de uso,

mas paga uma taxa mensal baseada no número de funcionários que

acessem o serviço. SaaS, por ser um modelo disruptivo, vai afetar toda

a estrutura da indústria de software. (TAURION, 2009, p 102).

Dessa forma, com o conceito de SaaS, a Computação nas Nuvens passou a

oferecer um serviço no qual o usuário trabalha apenas com o que necessita evitando gastos

desnecessários com hardware e/ou software. Como afirma Rosenberg e Mateos (2010), a

Computação nas Nuvens oferece a vantagem de se comprar um serviço da forma pay-as-you-

go, ou seja, pode-se adquirir hardware e/ou software à proporção que se percebe a necessidade

de utilizá-los. Podem-se citar como alguns exemplos de SaaS: Dropbox, Google Apps,

Facebook, Sky Drive (Microsoft).

Plataforma como Serviço (Platform as a Service - PaaS): essa camada trata da

disponibilização de um ambiente para que os desenvolvedores de programa possam ter um

espaço destinado a produzir aplicações que devem executar em um ambiente de Cloud

Computing. Como exemplo de PaaS se enumera os seguintes: Google AppEngine, Windows

Azure, Force.com, Amazon S3, etc.

Infraestrutura como Serviço (Infrastructure as a Service - IaaS): é a camada mais

inferior da nuvem. É onde se encontram os dispositivos físicos como os servidores, os

dispositivos de rede e discos de armazenamento que são oferecidos aos consumidores. Aqui

também se percebe uma grande utilização do método de virtualização utilizado para fornecer

o racionamento na demanda dos recursos. Exemplos de IaaS são: Amazon EC2, GoGrid,

Eucalyptus (open source), etc.

19


Lima (2010) acrescenta ainda que grandes empresas, como a Amazon, IBM, entre

outras, já dispõem desse serviço e colocam como grande diferencial o fato de que pelo

pagamento de uma pequena quantia tem-se acesso às mais modernas tecnologias disponíveis.

Na Figura 2 se visualiza mais claramente como os níveis de serviço em Nuvem se

relacionam entre si e a relação entre cada um deles e seus respectivos usuários.

Figura 2 - Tipos de serviços e atuação dos usuários de aplicações nas nuvens. Adaptado de (SOSINSKY, 2011).

1.3 Tipos de Nuvens

Existem três tipos básicos de nuvens, sendo elas públicas, privadas e híbridas. Sua

escolha dependerá das necessidades das aplicações implementadas.

As nuvens públicas são serviços em nuvem fornecidos por terceiros, ou seja,

fornecedores. Os serviços são completamente hospedados e gerenciados pelo provedor de

nuvem. Os recursos são facilmente escaláveis, basta o usuário reservar uma quantidade maior

deles caso seja necessário.

O provedor de nuvem assume as responsabilidades de instalação, gerenciamento,

fornecimento e manutenção do serviço, sendo os clientes cobrados apenas pelo o que está

sendo utilizado. Como exemplo, vale citar os provedores de serviços – como a Amazon e o

Google – cujos equipamentos, infraestrutura ou aplicações são compartilhados por milhares

de clientes em todo o mundo, por intermédio da Internet.

Já as nuvens privadas são serviços em nuvem fornecidos dentro da empresa. Essas

nuvens existem dentro do firewall da empresa e são gerenciadas por ela, tendo total controle

20


sobre como as aplicações que são implementadas na nuvem. Uma nuvem privada é, em geral,

construída sobre um datacenter privado.

Uma limitação nesse modelo é que além da escalabilidade ser reduzida ao

tamanho do investimento feito no seu próprio datacenter, a empresa continua responsável pela

administração física dos recursos de hardware, assim como evolução de software e

atualizações necessárias.

A principal diferença entre uma nuvem pública e privada é a responsabilidade de

configurar e manter a nuvem. Dentre as empresas que se utilizam desse tipo de nuvens pode-

se enumerar o Itaú-Unibanco, que mantém uma nuvem privada para executar o correio

eletrônico, CRM e banco de dados. Outro exemplo também seria a empresa brasileira UOL.

Uma combinação entre as nuvens públicas e privadas, as nuvens híbridas são

criadas pela empresa e as responsabilidades de gerenciamento seriam divididas entre a

empresa e o provedor de nuvem pública. A nuvem híbrida usa serviços que estão no espaço

público e no privado.

A principal desvantagem dessa nuvem é a dificuldade de criar e controlar de

forma efetiva tal solução. Serviços de diferentes origens devem ser obtidos e fornecidos como

se tivessem originado de um único local e interações entre componentes privados e públicos

podem tornar a implementação ainda mais complicada.

1.4 Arquitetura em Computação nas Nuvens

O conceito arquitetural da plataforma de Computação nas Nuvens é representado

por uma rede de servidores em nuvem interligados, podendo, de acordo com a necessidade, se

utilizar da técnica de virtualização para maximar o desempenho do computador que está

atendendo a esse serviço naquele determinado instante (LAMB,2009). Conclui-se que a infra-

estrutura da Computação nas Nuvens pode ser estruturada se utilizando das técnicas de

virtualização, de Grid Computing ou ainda se utilizando de ambas.

Pode-se conceituar o que seria Grid Computing como a utilização de diversos

computadores na resolução de um único problema (LAMB, 2009). Esse problema, que pode

ser científico ou técnico, requer um número de ciclos de processamento ou o acesso a grande

21


quantidades de dados. É uma forma de computação distribuída através da qual um

aglomerado de rede, composto por computadores fracamente acoplados, se auxiliam para em

conjunto executar muitas tarefas. Uma visão esquemática do modelo arquitetural é

apresentada na Figura 3.

Figura 3 - Modelo arquitetural de aplicações nas nuvens. Adaptado de (REED; BENNETT, 2010).

Neste cenário, um conceito importante empregado é o de virtualização, pelo qual

as instâncias de aplicações e recursos existem logicamente, permitindo uma gerência mais

ampla e a permitindo uma otimização do uso de infraestrutura.

1.5 Segurança da Informação

A segurança da informação tem passado por uma constante evolução. Antes da era

de processamento de dados, a segurança das informações mais valiosas para uma empresa era

feita por armários com fechadura de segredo especialmente designados para armazenar

documentos confidenciais. Entretanto, com o advento do computador se viu a necessidade de

criar ferramentas automatizadas para proteger arquivos e outras informações armazenadas no

computador. A partir do uso de sistemas distribuídos e de redes de computadores, a obsessão

pelo aprimoramento constante das técnicas de segurança que visam desencorajar, impedir,

22


detectar e corrigir violação de segurança na transmissão de informações se tornou cada vez

mais essencial (STALLINGS, 2008).

Dessa forma, em uma sociedade moderna, onde as pessoas procuram cada vez

mais estarem conectadas a uma rede, buscando realizar suas atividades de forma mais fácil,

rápida e eficiente, o quesito segurança foi ganhando um papel de grande importância. Isto

tornou a tecnologia um requisito primordial para garantir confiabilidade, integridade e

disponibilidade desses serviços. Portanto, vale ressaltar que é preciso se entender segurança

não apenas como uma forma de proteção, mas também, como um requisito para o

funcionamento do sistema (NAKAMURA; GEUS,2007).

Assim, para tentar garantir essa segurança, segundo Kurose (2010), podem ser

identificadas algumas propriedades desejáveis para uma comunicação segura. Elas seriam as

seguintes:

Confidencialidade: apenas o receptor e o destinatário devem ter acesso ao

conteúdo da mensagem transmitida. Uma forma de impedir que terceiros

interceptem tal mensagem é a utilização de criptografia.

Autenticação do ponto final: receptor e destinatário devem confirmar a

identidade da outra parte envolvida na comunicação.

Integridade na mensagem: além da autenticação entre o receptor e

destinatário, faz-se necessário garantir que a mensagem que eles estão

recebendo é realmente a que foi enviada e não houve alteração do

conteúdo durante a transmissão dos dados.

Segurança operacional: uma vez que grande parte das empresas está

conectada à Internet, elas se tornam expostas a ataques de criminosos. Para

tentar impedir tal ação, a utilização de mecanismos operacionais, como

firewalls e sistemas de detecção de invasões são essenciais a qualquer

organização.

Quanto ao desenvolvimento de software, Krutz e Vines (2010) acrescentam ainda

que, para se obter um software seguro, é preciso atender a princípios que garantam as bases

fundamentais de segurança para que quando em operação, o software opere de forma

confiável, mesmo se vier a sofrer algumas falhas. Em termos práticos, esse software deverá

23


ser capaz de resistir ao maior número de ataques, tolerá-los, conter os danos e se recuperar o

mais rápido possível.

1.5.1 Segurança em Computação nas Nuvens

Segundo Reed e Bennett (2010), o ponto de maior preocupação para quem ainda

não adotou o conceito de Computação nas Nuvens é a segurança. Certamente, essa

preocupação não é infundada, afinal segurança não é um tema trivial e fácil de ser resolvido.

Observa-se que apesar dos inúmeros esforços que são tomados para preservar determinados

tipos de ambientes de ataques maliciosos, o cenário de ameaças está sempre em constante

mutação.

Além da questão de segurança, outro fator que gera receio por parte das

organizações antes de utilizar os recursos propostos pela Computação nas Nuvens está em um

fator que também tem relação com segurança, que seria a privacidade dos dados armazenados

nas “nuvens”.

Esses dois pontos levantados não são os únicos responsáveis pelo fato de uma

organização ou empresa não “estar nas nuvens” ainda. A virtualização dos serviços, utilizada

pela Computação nas Nuvens, introduz muitos novos riscos, além de manter os riscos

provenientes da forma tradicional de se armazenar dados - em servidores localmente

instalados.

De acordo com a empresa de pesquisa norte-americana Gartner, existem sete

riscos de uma migração para as “nuvens”. São eles:

1. Acesso privilegiado de usuários: Quando se escolhe por armazenar seus

dados fora do ambiente da empresa, está se correndo o risco de que pessoas

não autorizadas possam vir a ter acesso aos dados confidenciais. Muitas vezes,

os serviços terceirizados podem não implantar os controles “físicos, lógicos e

de pessoal” que as áreas de TI criam em casa.

2. Responsabilidade com a regulamentação: As empresas são as responsáveis

pela segurança e integridade de seus próprios dados, mesmo quando essas

informações são gerenciadas por um provedor de serviços. Dessa forma,

24


devem-se buscar serviços de Computação nas Nuvens de empresas que

garantam certificações de segurança aos dados nela armazenados.

3. Localização dos dados: É preciso ter consciência de que, em um ambiente de

Computação nas Nuvens, não se tem conhecimento de exatamente onde os

dados estão armazenados. Na verdade, a empresa pode nem saber qual é o país

em que as informações estão guardadas.

4. Segregação dos dados: Até os dados de uma mesma empresa podem estar

separados em ambientes diferentes e dividindo espaço com dados de outras

empresas.

5. Recuperação dos dados: Mesmo sem ter noção de onde os dados estão

armazenados, o fornecedor da “nuvem” tem que saber como recuperar esses

dados caso aconteça alguma falha no serviço e como fazer essa recuperação

em um tempo hábil para que a empresa contratante não seja prejudicada.

6. Apoio à investigação: Investigar a prática de ações ilegais em Computação

nas Nuvens pode se tornar um trabalho bastante árduo. Isso acontece porque os

serviços o acesso e os dados dos vários usuários podem estar localizados em

vários lugares, espalhados em uma série de servidores que mudam o tempo

todo.

7. Viabilidade em longo prazo: Existe a possibilidade de uma empresa que

forneça serviços de Computação nas Nuvens vir a falir ou ser adquirida por

uma empresa maior e, caso isso aconteça, é preciso se analisar como será

possível conseguir os dados daquela nuvem de volta e em que formato eles

estarão disponíveis para serem importados.

Muitos desses desafios/riscos podem ser amenizados a partir de um melhor

gerenciamento de segurança. Para tanto, é fundamental se definir claramente os papéis e as

responsabilidades dos agentes - Serviço de Provedor nas Nuvens (CSP) e Cliente - dessa nova

relação que surgiu com as “nuvens”. Assim, os gerenciadores de segurança devem ser

capazes de determinar quais controles de detecção e de prevenção existentes se adequam

melhor para o perfil de aplicações em “nuvens” e é exatamente aqui que muitas vezes se

encontram as maiores dificuldades. (KRUTZ; VINES, 2010) sugerem como alternativa para

resolução desses problemas a adoção das seguintes práticas:

25


Política de implementação de segurança: a adoção de políticas de

segurança é a base para implementá-la. Comunentemente, as organizações

têm implementado soluções técnicas de segurança sem primeiro criar essa

base de políticas, normas, diretrizes e procedimentos, gerando assim

controles de segurança desfocados e ineficazes. A palavra política pode se

referir a uma gama de significados, em se tratando do seu uso no sentido

de políticas de segurança em firewalls, ela aborda o controle de acesso e

informações da lista de roteamento. Normas, procedimentos e orientações

também são referidas como políticas no sentido mais amplo de uma

política global de segurança da informação. Uma política de adoção de

segurança bem escrita e definida pode ser a salvação caso se venha a

perder os dados armazenados, ou no caso da ocorrência de qualquer outro

tipo de problema eventual.

Detecção de malwares e resposta aos atos por eles praticados: manter uma

equipe responsável pela avaliação dos riscos e tomada de decisões, tais

como, notificar as partes interessadas sobre o problema apresentado pelo

sistema, mitigar riscos minimizando os efeitos negativos que eles trazem,

buscar a correção dos erros ocorridos, gerenciar os logs do sistema

tentando identificar que dados foram atingidos e ainda gerir a resolução

do incidente reportando as ações tomadas para a correção.

Virtualização da gestão de segurança: apesar da utilização da

virtualização ser algo recente, as ameaças à infraestruturas que utilizam

esse tipo de conceito estão evoluindo rapidamente. Como, historicamente,

o desenvolvimento e a implementação de novas tecnologias sempre acaba

precedendo à plena compreensão de seus riscos inerentes à segurança, o

mesmo aconteceu com relação aos sistemas de virtualização. É

interessante observar que uma das vulnerabilidades das máquinas virtuais

está no fato de que quando descoberta a vulnerabilidade de uma das

máquinas virtuais daquele sistema, essa informação pode ser utilizada

para atacar as outras máquinas. Para tentar fugir desse problema, têm-se

realizado atualmente análises de segurança e prova de conceito para evitar

ataques contra os sistemas virtualizados.

26


Finalmente, pode-se considerar que a temática de segurança em nuvem representa

um ponto de fundamental importância na adoção do novo modelo de serviços corporativos e a

visão de como melhor utilizar estratégias para assegurá-la é motivo de pesquisa ainda hoje em

voga (vide, por exemplo, MCDONALD, 2010).

No próximo capítulo, outros aspectos que transcendem à questão tecnológica

serão abordados, voltando-se mais para a visão processual em que a investigação de

mecanismos de segurança devem ser considerados, o que será de grande relevância para

fundamentar os critérios que serão posteriormente apresentados.

27


2. COMPUTAÇÃO FORENSE

Neste capítulo serão abordados aspectos importantes referentes à computação

forense. Os tópicos tratam de uma breve introdução sobre conceito de computação forense.

Em seguida, busca-se entender as fases que precisam ser seguidas para que se atinja o

objetivo primordial da computação forense que é elucidar crimes. Também será tratada a

questão da coleta dos vestígios digitais e como a forma de manusear tais evidências pode

fazer a diferença na hora de se investigar um crime. Por fim, serão elencadas algumas

metodologias investigativas já utilizadas por peritos e que deverão ser analisadas para que se

possa ter conhecimento se elas podem ou não serem utilizadas em uma investigação cujo

ambiente seja de computação nas nuvens.

2.1 Introdução

Segundo Costa (2003), a Computação Forense pode ser conceituada como uma

ciência que trata de estudos e avaliações de situações que envolvam a computação como meio

para cometer crimes. Podemos concluir que a Computação Forense tem como intuito analisar

metodicamente mídias computacionais ou outros dispositivos eletrônicos buscando encontrar

e/ou reconstituir atividades muitas vezes ilícitas realizadas por um determinado usuário. Em

outras palavras, a Computação Forense inclui o recolhimento, preservação, análise e

apresentação de evidências que podem vir a serem úteis em processos criminais, litígios civis,

dentre outros.

Assim, pode-se entender que o objetivo da Computação Forense é recuperar,

analisar e apresentar provas que possam ser utilizáveis como evidências em um tribunal de

direito. Esse é o ponto chave da disciplina: Deve-se fazer tudo o possível para que nenhum

dos equipamentos ou métodos utilizados durante o exame feito no computador suspeito

impeçam que esse objetivo seja alcançado (VACCA, 2005).

28


Percebe-se então que a Computação Forense está preocupada principalmente com

os procedimentos forenses, as regras para se conseguir provas e processos judiciais. Portanto,

em contraste com grande parte das outras áreas da informática, onde a velocidade é a

principal preocupação, em Computação Forense a prioridade absoluta é a precisão. Fala-se de

completar o trabalho de forma mais eficiente possível, isto é, o mais rápido possível, mas sem

sacrificar a precisão (VACCA, 2005).

Considerando que grande parte dos usuários de computadores não tem

consciência da dificuldade de se eliminar uma informação armazenada em um computador, a

Computação Forense encontra aqui uma forte aliada quando necessita encontrar provas ou até

mesmo recuperar totalmente informações independentemente do fato delas terem sido

apagadas intencionalmente ou não.

Para rever tais informações, a Computação Forense pode até se utilizar das

mesmas técnicas usadas quando precisa recuperar dados de um software que apresentou

algum defeito. Entretanto, aqui o objetivo não é apenas a recuperação dos dados perdidos,

mas poder utilizar esses dados para realizar uma análise mais aprofundada sobre o conteúdo

de tais dados.

É interessante observar que com o advento da Internet, desenvolveu-se uma nova

modalidade de crime: o cybercrime. Segundo Shinder e Cross (2008), o cybercrime é um

termo amplo e genérico que se refere aos crimes cometidos usando computadores e a Internet.

Esses dispositivos podem estar envolvidos em uma ação criminosa quando são usados como

instrumento do crime, quando são alvos do crime ou ainda quando são usados para fins

acessórios ligados ao crime. Esse assunto ainda será mais detalhado no capítulo seguinte.

Com a evolução contínua da tecnologia, tem-se tornado difícil para os policiais e

profissionais de informática ficarem um passo à frente dos criminosos tecnologicamente mais

experientes. Dessa forma, para lutar eficazmente contra o cybercrime, maior atenção deve ser

dada no campo da Computação Forense, incluindo a não limitação do apoio financeiro, as

diretrizes e leis internacionais, e treinamento dos profissionais envolvidos no processo

(VACCA, 2005).

29


2.2 Fases da Computação Forense

A Computação Forense se utiliza de uma sequência de fases para alcançar o seu

objetivo primordial: elucidar um crime cometido através do computador. Citam-se as etapas

de coleta, exames, análise e interpretação dos dados como de fundamental importância para

que o perito computacional consiga gerar um documento formal que conterá as informações

necessárias para a conclusão investigativa do caso a ele designado. Em seguida, será abordado

o propósito de cada uma dessas fases.

Coleta de dados: etapa vital do processo e a que demanda maior cuidado

por parte dos peritos responsáveis pela investigação. Toda a sua

importância está no fato de que a massa crítica de dados será coletada

nesse momento, necessitando assim uma atenção especial para que se

mantenha a integridade das informações. Segundo Brown(2009), a fase de

coleta na Computação Forense ocorre quando os artefatos considerados de

valor probatório são identificados e recolhidos. Normalmente, esses

artefatos são dados digitais sob a forma de unidades de disco, unidades de

memória flash ou outras formas de mídias digitais e dados, podendo

incluir ainda materias tais como políticas de segurança corporativa,

manuais de operação e procedimentos de backup.

Exames dos dados: nesta segunda etapa, o principal objetivo é separar as

informações relevantes ao caso investigado das que nada interessam.

Conforme Jones e Valli (2008), este processo pode incluir a documentação

de todos os itens e do uso de criptografia para garantir que os itens de

dados não foram alterados. Um ponto importante antes do início dessa fase

é escolher que ferramentas serão utilizadas para o exame dos dados. O

processo de escolha está diretamente relacionado com o tipo de

investigação e de informações que desejam ser encontradas.

Análise de Informações: aqui, as informações que foram previamente

separadas serão analisadas visando obtenção de dados úteis e relevantes na

investigação do caso. Todos os dados encontrados devem ser organizados

estruturalmente de forma a ajudarem na conclusão e elucidação do crime.

30


Interpretação dos resultados: a última fase da investigação forense tem

como objetivo apresentar um relatório técnico informando a conclusão

final de todo o processo investigativo. Esse relatório deve conter todo o

processo pericial desde o seu início, as ferramentas utilizadas e

informações relevantes à integridade das informações obtidas. Para Jones e

Valli (2008), o objetivo dessa fase é apresentar as evidências obtidas de

uma maneira estruturada e entendível para que o público-alvo

normalmente membros de júri tenha total ciência de todos os passos que

levaram às conclusões relatadas.

Cada uma das fases da Computação Forense citadas acima estão interligadas e

suas interdependências podem ser visualizadas na Figura 4.

Figura 4 - Fases da Computação Forense. Disponível em http://www.sbseg2007.nce.ufrj.br/

documentos/Minicursos/minicurso_forense.pdf. Acesso em: 08 mai.2011.

2.3 Coletando Vestígios Digitais

Conforme Volonino e Anzaldua (2008), a forma como são adquiridas as

evidências computacionais é a pedra angular para que uma boa investigação forense seja

conduzida e para que isso ocorra, faz-se necessário se trabalhar da forma mais profissional

possível. Costa (2003) acrescenta ainda que a perícia de crimes de informática requer

cuidados especiais durante a sua execução e, em muitos casos, é a partir de uma operação de

31


busca e apreensão bem conduzida que se tem a possibilidade ou não de se examinar o material

e/ou equipamento apreendido.

Uma regra primorial quando se está trabalhando com perícia forense

computacional é documentar todos os passos que estão sendo seguidos. Para Costa(2003) a

documentação de todo o processo desde o seu início é uma etapa que não deve ser esquecida.

Informações como órgão solicitante da perícia, data de recebimento e descrição do material,

perito encarregado do caso, data e hora de cada exame realizado e o fim dos trabalhos são de

fundamental importância.

Para se começar a coleta de evidências, é importante estabelecer uma ordem de

passos a serem seguidos. Segundo Volonino e Anzaldua (2008), esse processo deve seguir tais

indicações:

1. Determinar o tipo de mídia que se está trabalhando: o objeto da investigação

pode ser um dispositivo de armazenamento magnético, como um disco rígido

unidade, um dispositivo ótico como um DVD, ou com a memória volátil tal

como um telefone móvel.

2. Encontrar a ferramenta certa para o tipo de trabalho: depois de saber que tipo

de mídia será o objeto da investigação, é necessário garantir que sejam

utilizadas as ferramentas corretas para recuperar os dados da mídia.

3. Realizar a transferência dos dados: faz-se necessário escolher o equipamento

adequado para transferir os dados do dispositivo original para a mídia estéril

(se necessário) garantindo a integridade da transferência dos dados.

4. Autenticar os dados preservados: dados digitais são fáceis de serem alterados.

Para se evitar que isso ocorra, deve-se fazer uma autenticação dos dados

coletados.

5. Fazer duplicação das mídias: é importante que se faça uma cópia de trabalho da

evidência encontrada. Esse passo é fundamental não importa o tipo de mídia

que se esteja trabalhando.

De todos os passos acima citados, o relacionado à duplicação da mídia é colocado

em maior destaque. Para Costa(2003), os trabalhos periciais na área penal devem manter as

provas materiais preservadas para garantir que elas possam vir a ser examinadas novamente

32


no futuro em caso de alguma dúvida. No caso da Computação Forense, que envolve a

apreensão de equipamentos e mídias para perícia, à duplicação na mídia de prova é necessária

e fundamental para preservação das informações inicialmente contidas na mídia apreendida.

2.4 Metodologias Investigativas

Existem várias técnicas e metodologias que são empregadas para elucidação de

crimes cometidos em ambientes computacionais. Tocchetto e Espindula (2005) citam as

seguintes em especial:

Preservação de memórias: consiste em realizar cópias dos dados de uma

mídia transpondo-os para outra mídia, preservando todas as informações

essenciais do conteúdo original.

Inicialização controlada: visa garantir que os programas utilizados desde

o início do funcionamento da máquina, adicionando-se um sistema

operacional, executem funções cujos efeitos já sejam os esperados.

Análise de artefatos: técnica que busca a análise e classificação dos

resultados que os programas de computadores podem produzir. É uma

técnica utilizada para abordar questões de vírus e worms, que surgem

com grande freqüência e não permitem análises aprofundadas.

Recuperação de arquivos excluídos: essa técnica pode trazer benefícios

como a obtenção de um agrupamento de dados que podem estar dispersos

através de uma mídia, e mesmo seus metadados que podem ser de

enorme utilidade para traçar o histórico através de datas de criação ou

para identificar usuários que manipularam objetos dentro da mídia.

Monitoramento telemático: trata-se de uma observação do fluxo de

comunicação existente nas transações da rede. Pode ser, em muitos casos,

a única opção para demonstrar fatos, suas conseqüências, autores e como

os ilícitos foram realizados.

33


Criptoanálise: tem como função revelar conteúdos embaralhados ou

criptografados. Essa técnica pode ser desenvolvida tanto através de dados

estatísticos, tentativa e erro ou ainda na força bruta.

Verificação de assinaturas eletrônicas: ao produzir conteúdos digitais,

eles podem ser marcados como de autoria da pessoa que o criou,

mediante o emprego de funções criptografadas. As assinaturas eletrônicas

são resultado de funções associadas aos dados produzidos como algo

pertencente somente ao seu autor, algo que deve ser mantido em sigilo

para que não sejam utilizados por outros (chave privada).

Sucessão de eventos: técnica que se compõe da remontagem da sucessão

de eventos realizados por um individuo ao se utilizar do computador para

cometer algum crime e que permite tanto a compreensão dos fatos quanto

a validação dos dados de origem. Um exemplo de rastros que são gerados

pelo computador que podem auxiliar o perito criminal é o registro de

atividades.

Entretanto, no caso de investigações em ambientes computacionais que adotam o

paradigma da Computação nas Nuvens, é interessante observar que muitas dessas técnicas e

metodologias podem não ser aplicadas. De acordo com Lillard (2010) esse diferencial surge

do fato de que além da questão da máquina física e dos componentes de rede associados que

não podem ser fisicamente apreendidos e analisados, a Computação nas Nuvens acrescenta

desafios adicionais ao levar o perito forense a se deparar com a virtualização dos dados a

serem investigados, da procura por evidências em sistemas que não estão fisicamente

acessíveis ou a falta de opções de ferramentas apropriadas para investigação.

No capítulo a seguir será dado maior destaque ao elemento fundamental da perícia

forense: o crime digital. Iniciando pela definição do seu conceito e características, adentrando

pela questão de legislação mundial e como a mesma tem evoluído para tratar os crimes

cometidos através de um computador, e finalizando com uma visão geral sobre as

perspectivas de regulamentação de crimes digitais em cenário de nuvens.

34


3. ASPECTOS LEGAIS DOS CRIMES DIGITAIS

Neste capítulo serão abordados os crimes digitais, que são objetos de trabalho da

perícia forense. Será abordado como a legislação vigente em vários países aborda esse tipo de

delito e ainda se existe a possibilidade de se adequar a legislação existente para tratar os

crimes digitais praticados em um ambiente de computação nas nuvens.

3.1 Introdução

Não há como voltar atrás no que diz respeito ao desenvolvimento tecnológico. Ele

já está presente e modificou irreversivelmente a forma como as pessoas realizam suas

atividades cotidianas. A facilidade com que hoje se paga uma conta, compra-se um livro,

adquire-se uma passagem aérea ou reserva-se um hotel através da Internet é inquestionável.

Entretanto, todas essas vantagens também trazem consigo desafios a serem superados, já que

as redes de informática tem se revelado, conforme cita Monteiro Neto (2008), um facilitador

para a penetração de ilícitos, uma vez que os meios existentes para as práticas de delitos

eletrônicos são inúmeros e devido às características dessas infrações, os vestígios deixados

são mínimos, o que torna a repressão e a persecução a estes atos tarefa árdua.

É exatamente nesse momento que se percebe a necessidade de se estabelecer uma

relação mais próxima entre o Direito Penal, ramo do direito que se dedica a reprimir os delitos

imputando as penas cabíveis a cada crime com a finalidade de preservar o convívio em sociedade, e a

Informática. Essa conexão se estabelece da seguinte forma:

Partindo da premissa que o Direito é a única forma de controle capaz

de conter o avanço da criminalidade no mundo virtual, isto porque, de

todos os sistemas de controle social, o Direito, possuindo estrutura

imperativa atributiva e a coercitividade, sancionando assim as

condutas ilícitas qualquer que seja a angulação enfocada, penal, civil

ou trabalhista. ( DOUN; BLUM ,2000, pag.119).

Entretanto, ainda não se percebe que haja no Brasil uma tipificação específica dos

crimes eletrônicos. Seguindo esse raciocínio, Luis Flávio Gomes (2001) considera que é

35


necessária uma legislação mais específica, ao se identificar que o uso da informática pode ser

considerado um fator criminógeno pelas seguintes razões:

a) abre novos horizontes ao delinqüente (que dela pode valer-se para

cometer infindáveis delitos – é a instrumentalização da informática);

b) permite não só o cometimento de novos delitos (p.ex.: utilização

abusiva da informação armazenada em detrimento da privacidade,

intimidade e imagem das vítimas) como a potencialização dos delitos

tradicionais (estelionato, racismo, pedofilia, crimes contra a honra

etc.); c) dá ensejo, de outro lado, não só aos delitos cometidos com o

computador ("computer crime"), senão também os cometidos contra o

computador (contra o "hardware", o "software" ou mesmo contra a

própria informação). (GOMES, 2007).

Dessa forma, para minimizar ou eliminar tais atos criminosos, faz-se necessário

que, como afirma Monteiro Neto (2008), seja dada a devida atenção ao desenvolvimento do

Direito Penal Eletrônico para que este discipline a matéria evitando assim a ampliação da

situação periclitante de que os meios eletrônicos, principalmente a Internet, são carentes de

regulamentação, sendo territórios anárquicos, férteis para a prática de ilícitos, e isto deve ser

coibido.

Vale ressaltar que, ao se pensar em se desenvolver um Direito Penal Eletrônico,

hoje, com o advento da Computação nas Nuvens esses fatores foram reforçados e é preciso se

começar a pensar além de uma legislação específica brasileira. Percebe-se a necessidade de

leis mais abrangentes, uma vez que, como identificam Ana Santos e Paulo Machado (2010),

na Cloud Computing é comum existir um provedor que forneça serviço em outro país ou

utilize recursos no exterior, e é nesse ponto que surge a necessidade de um acordo

internacional para cobrir os aspectos jurídicos e de segurança.

3.2 Conceito de Crimes Digitais

Como já mencionado, o advento do computador em muito facilitou a vida

humana. Entretanto, não se pode deixar de observar que o uso cada vez mais dependente do

computador traz incertezas quanto ao verdadeiro impacto e dimensão do desenvolvimento

tecnológico computacional em nossas vidas. Por certo, um dos grandes receios que se tem diz

respeito às mudanças nas relações sociais, de trabalho, entre outros. Muito se imaginava sobre

36


como o uso do computador para determinadas atividades poderia vir a impactar na perca de

emprego por parte de muitos trabalhadores. Isso com certeza aconteceu e ainda deve

acontecer, mas se pensado pelo aspecto do desenvolvimento e das oportunidades geradas, o

computador, como ferramenta de inserção a um mundo globalizado, tem se mostrado um

meio de se gerar e difundir riquezas, sejam elas intelectuais, comerciais, culturais, etc. E é

justamente por conta desse seu atrativo que se tem evidenciado um número cada vez mais

crescente de crimes que se utilizam do computador como meio, uma vez que:

As informações virtualizadas que podem ser acessadas nos sistemas

de rede de computador são riquezas que ampliam o patrimônio

material e intelectual dos usuários. Constata-se, historicamente, que a

riqueza atrai o crime e, conseqüentemente, o criminoso. O que

impressiona é a fragilidade da riqueza das informações uma vez que

dados virtuais representam polpudas quantias em dinheiro, que podem

ser sonegadas, interceptadas ou subtraídas por simples sinais digitais,

quase sempre de identidade anônima. Com as teclas dos computadores

(e não com o uso de pistolas automáticas e metralhadoras), os

assaltantes virtuais de bancos e de empresas passam a utilizar a

riqueza das informações arquivadas nos computadores, servindo-se de

sofisticados programas e softwares para cometer crimes impunemente.

(CORRÊA, 2010).

Por si só, os computadores não podem ser tratados como perversos, pois eles

apenas são ferramentas, como tantas outras, que podem ser utilizadas para auxiliar no

cometimento de um crime. Talvez o grande diferencial dos crimes que se utilizam da máquina

computacional está no fato de, como afirma Lima (2011), os criminosos não serem facilmente

vistos e ouvidos – ocultos estão em um terreno virtual e pouco explorado. Vale ressaltar ainda

que alguns crimes cometidos por intermédio de computadores podem vir a afetar diversos

países, vitimas por diversas nacionalidades e distintas legislações, sem que o agente criminoso

necessite se deslocar da segurança de sua casa e covil.

Diante do exposto, consegue-se caracterizar que todo crime utilizado tendo como

meio o uso de um computador recebe o nomem júris de “Crimes de Computador”, ou ainda

“Crimes Digitais”. Mas, esse conceito dedutivo e trivial, vai além quando se busca uma

definição jurídico-penal. Nesse momento, muitos autores têm seu posicionamento e sua ideia

própria a respeito do tema. Para Lima (2011), pode-se discorrer sobre crimes digitais como

sendo:

37


(...) qualquer conduta humana (omissiva ou comissiva) típica,

antijurídica e culpável, em que a máquina computadorizada tenha sido

utilizada e, de alguma forma, facilitado de sobremodo a execução ou a

consumação da figura delituosa, ainda que cause um prejuízo a

pessoas sem que necessariamente se beneficie o autor ou que, pelo

contrário, produza um benefício ilícito a seu autor, embora não

prejudique a vítima de forma direta ou indireta. (LIMA, 2011).

Seguindo essa mesma linha de raciocínio, Junior (2010) conclui que o crime

digital consiste em “uma conduta lesiva, dolosa, a qual não precisa necessariamente

corresponder à obtenção de uma vantagem ilícita, porém praticada, sempre com a utilização

de dispositivos habitualmente empregados nas atividades de informática”.

Tendo ciência de que esses dois conceitos figuram entre outros inúmeros

entendimentos que se pode verificar a despeito da definição de crime digital, vale a pena

traçar pontos que caracterizam esses crimes digitais praticados e como eles podem ser

distinguidos, para que se possa mais claramente chegar a uma classificação, ainda que sem se

ter bases doutrinarias sólidas, dos crimes digitais.

3.3. Classificação dos Crimes Digitais

Vários são os critérios para se estabelecer uma classificação dos crimes digitais

de forma a tentar abranger a maior quantidade de tipos de delitos possível. Nesse momento

será abordada a classificação conforme Ulrich Sieber (1986, apud Maria Helena Junqueira

Reis, 1996, p.29), que apesar de não tão atual, ainda é bastante relevante, e trata de realizar a

classificação dos crimes digitais a partir da forma de atuação do autor do crime.

A priori são listadas as seguintes classificações: crimes eletrônicos, ofensas contra

direitos individuais e ofensas contra interesses supraindividuais. Essa divisão é ainda, no

entendimento do autor, mais didaticamente entendida quando se faz o seguinte agrupamento:

1. Crimes Eletrônicos:

Fraude por manipulação de um computador contra um sistema de

processamento de dados, que se caracteriza por se modificar dados de um

38


sistema eletrônico tendo como principal objetivo obter uma vantagem

ilícita.

Espionagem informática consiste na tentativa de se conseguir informações

sigilosas através da utilização de programas espiões que monitoram os

passos de um usuário dentro da Internet, sem que o mesmo tenha

consciência ou permitido tal ação.

Furto de tempo é uma das praticas ilícitas mais comuns. Esse crime,

conforme afirma Lima (2011) consiste na utilização, sem autorização dos

proprietários, para uso pessoal, de programas ou equipamentos de

informática e periféricos de um sistema informático alheio.

Intrusão de sistemas se caracteriza pelo uso ilegítimo de senhas por parte

de hackers para que se invada um sistema informático sem a autorização

do proprietário e se tenha acesso a dados confidenciais que podem ou não

ter valor econômico.

Ofensas tradicionais que, segundo Monteiro Neto (2008), consubstancia-

se na utilização de um sistema eletrônico para a prática de ilícitos comuns,

onde o computador ou o sistema computacional não passa de novo meio

de execução, como por exemplo, a falsificação de documentos.

2. Ofensas Contra Direitos Individuais:

Uso incorreto de informação que se refere basicamente a obtenção e

utilização de informações de cunho pessoal de forma abusiva e ou

errônea.

Obtenção ilegal de dados e posterior arquivo das informações, crime no

qual se adquire através da invasão da privacidade, arquivos de

informações que podem ser utilizados para denegrir a imagem do

ofendido.

Revelação ilegal e mau uso de informações que trata de se obter

informações até mesmo de forma legal, mas depois de adquiridas, elas

serem utilizadas para fins ilícitos.

39


Dificultar a distinção da obtenção, arquivamento ou revelação de dados

que, segundo Lima (2011), define a conduta de quem dolosamente

dispusesse arquivos eletrônicos de forma a dificultar o arquivo de novos

dados, sua obtenção ou divulgação.

3. Ofensa Contra Direitos Supraindividuais:

Ofensas contra interesses estaduais e políticos, ou seja, condutas

criminosas contra interesses do Estado.

Ofensas contra a integridade humana, que tratam de manipulação de

informações visando atingir a integridade de uma ou mais pessoas.

Outra classificação proposta é a de Pradel (1986, apud Monteiro Neto, 2008,

p.29) que, ao contrário da citada acima, coloca como centro da classificação a finalidade do

delito. Dessa forma, para ele, os crimes digitais se classificariam em: manipulação para

obtenção de dinheiro, que deve ser entendida como qualquer atividade ilícita que traga

benefício econômico para o seu autor, e manipulação para obtenção de informações, que diz

respeito a qualquer informação obtida a partir da violação de sigilo.

A classificação de Padrel, segundo Monteiro Neto (2008), é uma das mais bem

elaboradas uma vez que se preocupa em classificar apenas os verdadeiros delitos eletrônicos.

Ela peca, entretanto, no fato de que não abraça todos os possíveis ilícitos cometidos contra

sistemas informacionais, uma vez que estes novos crimes muitas vezes são praticados sem o

intuito de obtenção de vantagem, mas simplesmente com o objetivo de causar prejuízo

danificando o equipamento, como na sabotagem informática. (MONTEIRO NETO, 2008).

Porém, ainda de acordo com Moreira Neto (2008), uma doutrina que vem se

destacando no contexto internacional é o sistema binário de conceituação, proposta por Hervé

Croze e Yver Bismuch, e que vem sendo defendida por diversos autores, na qual se distingue

duas categorias de crimes digitais:

Condutas delituosas perpetradas contra um sistema de informática sejam

quais forem às motivações do agente;

Crimes cometidos contra outros bens jurídicos, por meio de um sistema

de informática.

40


Analisando cada uma dessas categorias separadamente se nota que a primeira

categoria, relativa às ações ilícitas praticadas contra sistemas de informática, engloba, como

afirma Lima (2011), os crimes que compreendem todas aquelas ações que desejam causar

danos no hardware ou no software de um sistema. Várias são as formas que podem ser

utilizadas para se atingir tal objetivo, sendo possível observar ainda que as técnicas utilizadas

tenham sofrido constante evolução e estão cada vez mais sofisticadas e de difícil detecção.

Conforme acrescenta Lima, essas ações se desenvolvem de duas formas: dirigidas para

ocasionar danos físicos, que em termos de legislação não trariam nenhuma diferença na forma

como a legislação penal já trata tais atos, e as dirigidas objetivando a causar danos lógicos, ou

seja, realizar ações criminosas que alteram, destroem ou ocultam dados de um sistema.

Quanto às condutas criminosas praticadas por intermédio de um sistema de

informática, percebe-se que elas estão cada vez mais presentes, uma vez que o avanço da

tecnologia e sua influência na vida social é indiscutível. Tanto que as transações comerciais, a

comunicação, os processos industriais, as investigações, a segurança etc. são todos aspectos

que dependem cada dia mais de um adequado desenvolvimento da tecnologia da informática.

O que se observa é que, assim como todos os ramos do saber humano acabaram por se render

ante os progressos tecnológicos, começando a utilizar os sistemas de informação para

executar tarefas que em outros tempos realizavam manualmente, com os crimes e os

criminosos o mesmo aconteceu. (LIMA, 2011).

Diante da percepção de que diversos autores têm uma classificação própria no que

diz respeito aos crimes digitais, não nos cabe analisar aqui qual a mais correta e mais

completa a ser seguida. O que se pretende com essas categorizações dos crimes digitais é ter

uma visão global respeito desse tema, para, ao adentrar no aspecto da legislação, conseguir se

identificar as ações cometidas, os autores dos delitos, além dos comportamentos previstos

pelos legisladores para que os crimes venham a ser tipificados.

3.4. Legislação Vigente referente aos Crimes Digitais

Com o advento do uso da informática e a sua popularização, tornou-se claro que a

forma como as leis penais dos países tratavam os crimes convencionais não poderiam ser

simplesmente adaptadas a esse novo meio. Fez-se necessária então uma quebra de

41


paradigmas, uma vez que, se no século XX os códigos penais apenas protegiam coisas

tangíveis, agora eles teriam que se preocupar com os bens incorpóreos e às informações.

(CRESPO, 2011).

Muitas foram às novas questões jurídicas especificas que surgiram com o advento

da sociedade digital. Segundo, Siber (1986, apud Maria Helena Junqueira Reis, 1996), pode-

se enumerar seis grandes ondas legislativas referentes à criminalidade informática:

a) Proteção de privacidade, que surgiu entre as décadas de 1970 e 1980,

que tratava do armazenamento e transmissão de dados a partir das

novas tecnologias. Países como Suécia (1973), Estados Unidos (1977)

e Alemanha (1978) foram os pioneiros a tratar desse assunto.

b) Direito penal econômico, quando relacionado aos crimes informáticos,

as primeiras mudanças surgiram no inicio da década de 1980. Nesse

momento se preferiu também tratar de crimes de acesso ilícito e

manipulação de sistemas. Os Estados Unidos foram os pioneiros ao

tratar desse tema, através de uma lei estadual, promulgada em 1978.

c) Proteção da propriedade industrial especifica para os casos no âmbito

da informática. Tal mudança ocorreu no inicio dos anos 1980, também

tendo inicio nos Estados Unidos.

d) Conteúdo ilegal e lesivo que começou a ser descrita em alguns países na

década de 1980 e se expandiu com a rápida ascensão da internet (desde

os anos 1990).

e) Aspectos processuais, leis desse tipo foram primeiramente promulgadas

na Austrália (1971) e Reino Unido (1984).

f) Leis de segurança, que tiveram o início de suas discussões na década

de 1990 e tratam da criação de condições para que se possam coibir

ações e a propor medidas de segurança dos diretos de privacidade ou

interesse publico geral.

Diante das informações expostas, vê-se que há muito tempo alguns países já

tratavam sobre os aspectos de crimes digitais. Nos itens a seguir, serão tratados com maiores

42


detalhes como determinadas legislações estrangeiras fazem tratamento penal desses crimes até

chegarmos ao âmbito da legislação brasileira.

3.4.1. Espanha

A Constituição espanhola, no art 18, parágrafo 4, trata das questões de informática

quando dispõe que a lei limitará o seu uso visando assegurar a honra e a intimidade pessoal e

familiar dos cidadãos e o pleno exercício de seus direitos (CRESPO, 2011).

Segundo Marcelo Xavier de Freitas Crespo, na Espanha existe uma Lei Orgânica,

que versa sobre o tratamento automatizado de dados. Essa lei alterou inclusive o Código Penal

desse país e instituiu ainda há incriminação daquele que se apodera, sem autorização de

qualquer documento seja ele eletrônico ou não, com o intuito de descobrir segredo ou violar a

intimidade de qualquer pessoa. O Real Decreto 1332/1994, que regulamenta a citada lei.

A legislação espanhola abrange também a questão de interceptação de

telecomunicações sem autorização. Outro aspecto interessante com relação ao código penal

espanhol está no fato de que ele incrimina a utilização não autorizada de terminal de

telecomunicação, incluindo os que fornecem acesso a internet. E trata da fraude informática

visando combater o estelionato praticado com uso de instrumentos tecnológicos.

3.4.2. França

A legislação francesa teve seu código penal reformulado pela Lei n.88-19, em

1988, e foi introduzido um capitulo especial que trata somente de crimes praticados contra

sistemas informáticos.

De acordo com Crespo, tais foram às novas disposições na Lei n.88-19:

a) Acesso fraudulento a sistema de elaboração de dados: é considerado

delito tanto o acesso, quanto permanecer no mesmo ilegalmente. A

pena é piorada caso haja alteração ou ocultação dos dados;

43


b) Sabotagem informática: é punida a conduta de quem apaga ou

falsifica o funcionamento do sistema eletrônico;

c) Falsificação de documentos informatizados: punição daqueles que

falsificam documentos informatizados na busca de causar prejuízos a

outrem.

É interessante observar que o código francês trata de questões como a conduta de

se introduzir vírus em um sistema informático, pune ações de introduzir, suprimir de forma

fraudulenta dados, reprime ação organizada de criminosos para preparação de algum desses

crimes acima citados e engloba ainda a questão da responsabilidade penal das pessoas

jurídicas, prevendo tanto casos em que a interdição das atividades da empresa, até sua

dissolução (CRESPO, 2011). Vale ressaltar ainda que a França foi um dos primeiros países a

ter leis de combate a criminalidade na informática.

3.4.3. Chile

A importância de se abordar a legislação chilena está no fato de que o Chile foi o

primeiro país da America Latina a atualizar a sua legislação para contemplar alguns crimes

digitais. A Lei n.19.223, de 1993, foi à responsável por introduzir tipos penais relativos a

crimes atentatórios a sistemas de informação. Essa lei não faz parte do código penal chileno e

consta apenas de três artigos, sendo os citados abaixo:

No art. 1° tem-se punição para aquele que destrua ou inutilize um

sistema ou seus componentes ou que impeça ou obstaculize seu

regular funcionamento. A pena é aumentada caso haja danos aos

dados armazenados. No art 2° tem-se a incriminação do acesso ou

interceptação indevidos em sistema. Por fim, no art 3° tem-se

incriminada a conduta de alterar, danificar ou destruir os dados

contidos em um sistema. (CRESPO, 2011).

3.4.4. Estados Unidos

O direito penal norte-americano é bem particular. Cada estado tem seus próprios

estatutos. Dessa forma, como afirma Crespo, a intervenção legislativa federal se resume a um

44


papel secundário, tratando apenas de algumas normas de âmbito nacional. Nos Estados

Unidos se percebe duas formas de incriminações: uma que está definida em espécies de

códigos penais (tipificação estatutári) e outra que não está disposta em um código escrito

(definidas por decisões judiciais tomadas em outros casos similares).

Apesar de a Suécia ter sido o primeiro país a especificar leis que tratavam de

crimes digitais, os Estados Unidos foram os iniciantes no quesito de combate a esses ilícitos,

tanto no tocante a esfera estadual como federal. Podem ser citadas as seguintes leis

americanas: Lei de Proteção aos Sistemas Computacionais (1981), a CounterFeit Access

Device and Computer Fraud and Abuse Act (1984) e a Computer Fraud and Abuse Act

(1986), que com suas alterações e atualizações, é a lei federal mais aplicada no combate aos

crimes digitais.

3.4.5. Brasil

Antes de adentrar um pouco sobre a legislação existente no Brasil que trata sobre

crimes digitais, considera-se interessante esclarecer como é o entendimento da construção

jurídica constitucional brasileira. De acordo com Monteiro Neto (2008), por conta do

princípio da reserva legal, disposto no artigo 5° da nossa Constituição Federal, é vedada a

utilização de interpretação análoga na esfera penal sempre que tal ato acabe por prejudicar ou

ampliar as possibilidades de condenação de um indivíduo. Ou seja, no direito penal brasileiro,

a lei deve sempre beneficiar o acusado e não o contrário.

Diante de tal consideração e se percebendo que uma nova realidade criminosa

surge com o advento da era da informática, o Congresso Nacional viu a necessidade de se

gerar debates sobre o assunto e desses debates surgiram inúmeras propostas legislativas. Do

conjunto de projetos de lei que versam sobre o tema da criminalidade nas áreas da

informática, das telecomunicações e da Internet pode-se destacar o PL N.84/99, também

conhecido como projeto Azeredo. Tal projeto tipifica a respeito de condutas realizadas

mediante o uso de sistema eletrônico, digital ou similares, de rede de computadores, ou que

sejam praticadas contra dispositivos de comunicação ou sistemas informatizados e similares, e

dá outras providências. (CRESPO, 2011).

45


Apesar de ser uma importante iniciativa na tentativa de coibir diversas práticas

ilícitas, o PL N.84/99 passou por várias criticas no que diz respeito a sua generalidade,

imprecisão e por, devido ao seu rigor, poder chegar a representar uma castração da inovação

tecnológica no país. Fato que fez o projeto ficar por alguns anos em espera de apreciação por

parte do Congresso Nacional, tendo sido aprovado somente pela Comissão de Ciência e

Tecnologia em 25 de maio de 2012, com apenas 6 dos 23 artigos previstos no substitutivo

aprovado pelo Senado. Na época da redação deste texto, o projeto ainda precisava ser

avaliado por parte da Comissão de Constituição e Justiça, devendo, em seguida, partir para a

sanção presidencial.

Após a diminuição dos artigos propostos inicialmente, o projeto Azeredo agora

aborda basicamente quatro pontos: (1) estabelece como crime a falsificação de dado

eletrônico, inclusive cartões de crédito/débito; (2) a transferência de informações de

segurança (ou seja, traição); (3) a determinação para que a polícia crie estruturas de combate

aos crimes eletrônicos e, (4) a possibilidade de retirar do ar páginas com mensagens

racistas (Grossmann, 2012).

Outro projeto que versa também sobre o tema de crimes digitais é o PL 2793/11,

de autoria do deputado Paulo Teixeira (PT-SP) e outros. O mesmo já foi aprovado pela

Câmara dos Deputados e tipifica crimes cibernéticos no Código Penal (Decreto-Lei 2.848/40).

Dentre os assuntos abordados na lei está o crime de “devassar dispositivo informático alheio”

com o objetivo de mudar ou destruir dados ou informações, instalar vulnerabilidades ou obter

vantagem ilícita, ao qual será atribuída a pena de três a um ano de detenção e multa. Nesse

mesmo crime será enquadrado todo aquele que produzir, oferecer, distribuir, vender ou

difundir programa de computador destinado a permitir o crime de invasão de computadores

ou de dispositivos como smartphone e tablet. O Projeto de Lei agora depende da aprovação

do Senado Federal (PROJETO, 2012).

Apesar de toda essa movimentação atual em termos de se criar leis contra os

crimes digitais, percebe-se que, como observa Crespo (2011), no Brasil, ainda se faz

necessário o amadurecimento de algumas ideias, principalmente com relação à forma como

serão redigidos os tipos penais. Para que dessa forma, as leis saiam do papel e possa-se

perceber algum concreto avanço no que diz respeito ao combate aos crimes praticados tendo

como meio um computador.

http://www.planalto.gov.br/ccivil_03/decreto-lei/Del2848compilado.htm

46


3.4.6. A Convenção de Budapeste

Percebe-se que mesmo com o esforço do governo brasileiro ou de outros tantos

países em criar uma legislação específica que trate a respeito dos crimes digitais, o

entendimento de boa parte da doutrina, especialmente a internacional é a de que, por conta das

características da criminalidade eletrônica, com sua ausência de barreiras e/ou fronteira

dificilmente se conseguirá um só Estado, ser responsável por reprimir os autores da tal

conduta ilícita. (MONTEIRO NETO, 2008).

Diante de tais dificuldades, viu-se a necessidade de se criar uma regulação

supranacional. Após vários anos de debates, em 2001, o Comitê Europeu para os Problemas

Criminais (CEPD), propôs um projeto de Convenção que, conforme cita Crespo (2011),

buscava harmonizar elementos relativos ao Direito Penal substantivo dos países subscritos,

assim como definir poderes e ações que facilitassem a persecução penal, além de se buscar

uma rápida e eficaz colaboração internacional. Até o ano de 2006, vários estados haviam

assinado, ratificado ou aderido à Convenção, enquanto muitos outros apenas a assinaram, mas

não a ratificaram. Na Tabela 1 a seguir se evidencia alguns dos países da Europa que estão

entre os que realmente fazem parte da Convenção de Budapeste e outros que apenas a

assinaram.

De acordo com Monteiro Neto (2008), estruturalmente a Convenção é formada

por quatro capítulos: o primeiro que trata do aspecto conceitual e terminológico; o segundo,

que versa sobre as medidas políticas a serem empreendidas a nível interno pelos Estados

pactuantes; o terceiro, que trata das condutas criminosas e das medidas processuais cabíveis e

por último, o quarto que trata das disposições finais.

Para Souza e Pereira (2009), o principal destaque da Convenção é o fato dela

tratar (Capítulo I) os cybercrimes, tipificando-os como infrações contra sistemas e dados

informáticos (Capítulo II, Título 1), infrações relacionadas com computadores (Capítulo II,

Título 2), infrações relacionadas com o conteúdo, pornografia infantil (Capítulo II, Título 3),

infrações relacionadas com a violação de direitos autorais (Capítulo II, Título 4). Todos

dentro do Direito Penal Material.

47


Tabela 1 – Alguns países da Convenção de Budapeste (Até 02/09/2006).

PAÍSES DATA DA ASSINATURA NA CONVENÇÃO ENTRADA EM VIGOR NO PAÍS

Albânia 23/11/2001 01/07/2004

Bulgária 23/11/2001 01/08/2005

Chipre 23/11/2001 01/05/2005

Croácia 23/11/2001 01/07/2004

Dinamarca 22/04/2003 01/10/2005

Estônia 23/11/2001 01/07/2004

Finlândia 23/11/2001 -

França 23/11/2001 01/05/2006

Alemanha 23/11/2001 --

Hungria 23/11/2001 01/07/2004

Islândia 30/11/2001 -

Lituânia 23/06/2003 01/07/2004

Romênia 23/11/2001 01/09/2004

Sérvia e Montenegro 23/11/2001 01/01/2005

Noruega 23/11/2001 -

Eslovênia 24/07/2002 01/01/2005

Suíça 23/11/2001 -

Ucrânia 23/11/2001 -

Reino Unido 23/11/2001 -

Adaptado de http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?CL=ENG&CM=&NT=185&DF=9/2/2006&VL=.

Acesso em: 15 abr.2012.

3.4.7. Perspectivas de regulamentação de crimes digitais em Computação nas Nuvens

Levando-se em consideração o já exposto, percebe-se que os aspectos jurídicos

relacionados à questão da tecnologia da informação caminham a passos lentos e, de uma

48


forma geral, não acompanham questões mais especificas para que seja garantida a mínima

segurança a dados, logs, ips, etc. que podem ser utilizados como provas dos crimes digitais.

Boa parte das dificuldades já encontradas está relacionada com o grande número

de serviços prestados na rede e com o fato de que, cada vez mais os controles de segurança,

estão sendo transmitidos para terceiros. E é exatamente aqui que o paradigma da Computação

nas Nuvens surge para complicar ainda mais a forma de se identificar e punir os autores de

crimes praticados através da internet, uma vez que nem todas as metodologias e técnicas

utilizadas na pericia forense tradicional podem ser utilizadas em um ambiente de Nuvens uma

vez que:

Serviços de Cloud são especialmente difíceis de investigar, porque os

logs e dados de vários clientes podem estar localizados conjuntamente

e também estar distribuídos com uma constante mudança no conjunto

de máquinas e data centers. (HEISER, 2009)

Essa questão de registros de auditoria ou logs confiáveis e preservados é algo

realmente preocupante uma vez que disso depende o desenvolvimento de uma perícia bem

sucedida. Assim,

(...) a maneira como os logs são armazenados torna-se um fator de

extrema relevância e os mesmo necessitam conter informações

suficientes para identificação do usuário - o endereço de IP, login e a

data e o horário dos acessos. Alguns prestadores de Cloud Computing

não vêem razões para armazenar seus logs fora da nuvem, mas os

riscos deste ato devem ser levados em consideração. Suponha uma

paralisação no serviço, com os logs armazenados em nuvem, nem

mesmo a eles a empresa terá acesso. Numa invasão, dependendo do

nível e controle que o invasor tiver sobre os dados, o invasor pode

facilmente apagar os logs, eliminar possíveis provas e encobrir seus

rastros; e a chance de descobrir qual foi à vulnerabilidade que

possibilitou a invasão ou ataque passa a ser mínima. A

obrigatoriedade e o armazenamento dos logs de dados é um dos

principais fatores a serem considerados na hora de regulamentar o

modelo de Cloud Computing. Nos padrões de segurança o log é

princípio básico, pois nele estarão armazenados os dados para

recuperação do sistema em caso de falhas; a origem do erro ou

problema; os usuários que estavam utilizando; e assim, identificar

autores de crimes cibernéticos. As empresas que desejam aderir a

Cloud Computing devem exigir de seus prestadores a garantia do

armazenamento desses logs por alguns anos, para que crimes futuros

possam ser investigados através de perícia. (SANTOS; MACHADO,

2010)

49


Outro agravante em termos de pericia criminal em Computação nas Nuvens está o

fato de que como o ambiente de nuvens é dividido por várias empresas e utilizado por um

número considerável de pessoas, dependendo do crime executado, muitas vezes não será

possível garantir o momento exato em que o delito aconteceu e muito menos garantir a

preservação de qualquer prova que possa ter sido preservada.

A localização geográfica também é um fator preocupante quando se fala na

necessidade de se realizar pericia forense nas Nuvens, pois fazer cópia de um HD, recolher

uma máquina para analise, entre outras ações feitas atualmente, tendem a se tornar inviável já

que, como afirma o advogado Caio César Lima, especialista em Direito Digital, em seu

trabalho sobre perícia em Cloud Computing durante o Iccyber 2010 na “VII Conferência

Internacional de Perícias em Crimes Cibernéticos”, se as informações estão na nuvem, e não

mais nos HDs, de nada adianta apreender máquinas, como fazemos hoje.

Todos esses fatores são agravados ainda pelo fato de que, como já foi observado,

cada país possui uma legislação especifica no que diz respeito a crimes digitais e, como a

Internet não possui fronteiras definidas, acaba-se perdendo a noção de territorialidade, sem se

poder delimitar ao certo qual legislação deverá ser aplicada para resolver litígios.

A ideia para se solucionar tal impasse seria a se criar uma normatização

internacional para se tratar conflitos entre as leis de países estrangeiros. Muitos países já

preocupados com à proporção que a Computação nas Nuvens tem alcançado, a proibirem que

dados públicos estejam localizados fora do país, assim, inibindo possíveis problemas quanto à

privacidade desses dados. (SANTOS; MACHADO, 2010). Na Europa e nos Estados Unidos

convenções, diretivas e organizações foram formadas e dedicadas a tais preocupações. Além

da Convenção de Budapeste, já abordada anteriormente, pode-se enumerar ainda as seguintes:

A União Européia elaborou e aprovou a Diretiva 46:95/CE3 que trata

dos direitos fundamentais de proteção aos dados pessoais e a livre

circulação desses dados entre estados-membros, que estejam

protegidos pela diretiva. Já o Departamento de Comércio dos EUA,

em parceria com a Comissão Européia, desenvolveu o “Safe Harbor”,

também com o intuito de observar questões de à proteção dos dados e

a privacidade. O Congresso norte-americano tem como proposta

adotar uma regra que obrigue os prestadores a reterem os logs por

pelo menos dois anos, para fins de investigação criminal. Na Europa,

foi criada em 2004 a ENISA - European Network and Information

50


Security Agency, que tem como objetivo melhorar a segurança da

informação na União Européia, desenvolvendo a cultura de rede e

segurança para benefício dos cidadãos, consumidores e empresas. A

ENISA foi uma das primeiras a criar um relatório de análise de

Computação em Nuvem, o “Cloud Computing Risk Assessment”, que

avalia os principais riscos e estratégias permitindo aos políticos

europeus criarem medidas legislativas, aplicar estratégias para adotar

a tecnologia e assim, avaliar a relação custo/benefício do modelo.

(SANTOS; MACHADO, 2010).

Após se ter uma visão global de como os crimes digitais e as questões legais estão

sendo abordadas em vários países, pode-se, no capítulo subsequente, identificar cenários

propícios dentre os serviços ofertados pela computação nas nuvens para que os criminosos

digitais praticarem atividades ilícitas.

51


4. CENÁRIOS DE APLICAÇÃO DA PROPOSTA DE DIRETRIZES A SER

DESENVOLVIDA

Neste capítulo serão apresentados alguns cenários que são passíveis da aplicação

da proposta de diretrizes para investigação criminal em um ambiente de Computação nas

Nuvens. Neles serão identificadas possíveis falhas de segurança que já serviram, ou poderão

ser utilizadas, para se praticar crimes virtuais em ambientes de computação nas nuvens,

vislumbrando associar as características de um cenário de computação nas nuvens com uma

proposta de diretrizes que venha a ajudar na elucidação dos crimes praticados nesse ambiente.

Os resultados obtidos a partir desse estudo são meramente ilustrativos, se baseando na

fundamentação histórica dos cenários reais e nas análises comparativas de casos similares.

4.1 Cenários de Aplicação

Muitas empresas já têm descoberto as oportunidades de se utilizar da Computação

nas Nuvens, enquanto tantas outras ainda estão temerosas quanto ao seu uso. Caso se encontre

no primeiro caso, essas empresas já estão se utilizando dessa ferramenta para alcançar um

maior número de usuários e, dessa forma, oferecer todas as comodidades que as nuvens trás

como atrativos, tais como: acesso a documentos online, possibilidade de se ter um

computador não tão potente para acesso a dados, diminuição da necessidade de se ter

softwares instalados na máquina, entre tantas outras. Dentre tais empresas, que saíram na

frente quando se trata de Computação nas Nuvens, podemos citar o Google, IBM, Microsoft,

Amazon, entre outras.

Entretanto, é preciso ressaltar, que apesar da atual popularidade, os receosos em

adotar esse conceito não estão totalmente desprovidos de razão para tal temerosidade. Ainda

são muitas as incertezas quanto à segurança dos dados, a legislação, a acessibilidade total dos

dados, a localização desses dados, entre outros. Essa cautela em se usar das nuvens é aceitável

uma vez que entrar na Computação em Nuvem deve ser uma ação planejada e não impulsiva.

Não sendo necessária uma adoção no estilo big-bang, mas pode ser uma estratégia gradual,

52


começando com a adoção desse conceito em alguns serviços e ao longo do tempo aumentando

sua abrangência na operação de TI da corporação (TAURION, 2009).

4.2 Tipos de Cenários

Diante dos vários serviços oferecidos pela Computação nas Nuvens e tendo a

Internet como uma aliada na sua popularização não se poderia citar melhores exemplos para a

aplicação de uma proposta de diretrizes para investigação criminal do que os serviços nas

nuvens acessados a partir de um computador conectado a Internet. Afinal, conforme afirma

Taurion (2009), as nuvens são como “um conjunto de recursos como capacidade de

processamento, armazenamento, conectividade, plataformas, aplicações e serviços

disponibilizados na Internet”.

A seguir serão apresentados alguns cenários nos quais o uso de uma proposta de

perícia forense pode ser aplicado. O roteiro visa avaliar cada um dos três níveis de arquitetura

de serviços em nuvem, detalhando as alternativas tecnológicas e os problemas de segurança

previamente encontrados nestes exemplos.

4.2.1 CENÁRIO: SaaS – Caso: Dropbox

A. Visão Geral

Como cenário de um serviço de primeiro nível (software), será indicado um dos

serviços que mais se expande em termos de número de usuários da rede: o uso de espaço

virtual de armazenamento. Diante de um conceito tão simples, se percebe um grande potencial

de armazenamento e disponibilização de documentos.

O Dropbox é um exemplo popular nesta categoria. Utilizando-se desse software

gratuito, o usuário pode instalar uma pasta virtual na área de trabalho do seu computador e a

partir desse momento, tudo que for adicionado dentro da pasta é carregado em uma pasta

idêntica em todos os seus demais computadores nos quais esse mesmo usuário instalou o

Dropbox. A princípio o usuário que se cadastra, recebe 2GB de capacidade de armazenamento

53


gratuitos, entretanto essa quantidade pode ser aumentada até um total de 11GB à proporção

em que mais amigos são indicados para usarem a aplicação. Existe ainda a possibilidade de se

ter uma conta com um armazenamento ainda maior, sendo, nesse caso, necessário o

pagamento de uma taxa pelo serviço.

O software torna possível a continuidade de um trabalho que é iniciado em um

escritório, e depois se tem a necessidade de finalizá-lo em casa ou em qualquer outro local

sem que o usuário jamais precise enviar, carregar ou mesmo transferir arquivos.

Outra facilidade do Dropbox está relacionada ao fato dele também poder ser

considerado um sistema simples de backup automático. Tudo o que é transferido para um

computador, automaticamente é copiado para todos os demais computadores onde o software

está instalado, servindo como garantida de se ter várias cópias de segurança para o usuário.

Figura 5 - Interface do serviço de SaaS Dropbox. Disponível em http://techsplurge.com/3485/dropbox-amazon-

cloud-drive-detailed-comparison/. Acesso em: 13 mai.2012.

O Dropbox possibilita ainda o compartilhamento de documentos com outros

usuários através de links ou por mesmo solicitando que os mesmos enviem documentos para a

54


sua pasta virtual tornando o Dropbox uma opção de ferramenta para a troca de

informações/arquivos entre membros de uma equipe de trabalho. Assim, ele se tornou uma

maneira prática e fácil de substituir pendrives, anexos de email e outros programas

complicados de backup. Na Figura 5, a seguir, pode-se observar a interface do aplicativo.

B. Falhas de Segurança

Por sua comodidade e popularização, o Dropbox tem se tornado alvo de diversas

falhas de segurança que acabam por evidenciar a fragilidade e as dúvidas dos usuários mais

céticos quanto a se migrar informações importantes e até mesmo confidenciais para as

nuvens. Um dos problemas de segurança identificados aponta que o Dropbox permitia o

acesso a pastas e até a sincronização de dados em contas de outros usuários, sem a

necessidade de se informar uma senha de acesso.

Figura 6 - Identificação do arquivo no iOS que dá acesso a conta no Dropbox. Disponível em

http://www.tecmundo.com.br/seguranca/21801-apps-do-facebook-e-do-dropbox-para-smartphones-possuem-

falha-de-seguranca-critica.htm. Acesso em: 13 mai.2012.

55


Outra falha observada está no modo com que o Dropbox gerencia a ligação entre

o seu computador e os servidores do serviço. No software todas essas informações ficam

armazenadas em um único arquivo, chamado config.db. Assim, um simples malware poderia,

silenciosamente, roubar esse importante arquivo e enviá-lo para um cracker, em qualquer

ponto do globo tornando possível se conectar a conta invadida imediatamente sem que o

usuário fique sabendo. Ainda segundo Newton, o Dropbox também tem como deficiência em

sua segurança o fato do programa não avisar quando um novo computador é conectado à sua

conta e nem pede autorização para isso.

Na sua versão para smartphones iOS, o Dropbox também está vulnerável a

proteção de dados do usuário uma vez ele não se utiliza de criptografia para armazenar tais

informações. Assim, basta ao criminoso digital ligar o smartphone a um PC e ter acesso ao

arquivo do Dropbox que possibilita ao usuário se conectar a sua conta. Na Figura 6,

identifica-se tal problema.

Diante desse cenário de aplicação, onde tantas falhas já foram identificadas e

divulgadas, o Dropbox não poderia deixar de ser estudado como um software nas nuvens que

tem inúmeras utilidades, mas que também pode ser alvo de ataques de criminosos virtuais que

desejam ter acesso a informações ali armazenadas. Dessa forma, após se ter configurado um

crime de acesso os dados de um usuário sem autorização, tem-se que se seguir um conjunto de

diretrizes para se identificar e punir o responsável por tal ação.

4.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure

A. Visão Geral

O segundo cenário da arquitetura de serviços deve contemplar a questão da

plataforma de desenvolvimento. O cenário se concentrará na plataforma da Microsoft

denominada Windows Azure, considerado o ponto chave da estratégia da empresa para entrar

nas nuvens.

56


O Azure fornece tanto uma Internet baseada em Computação nas Nuvens

responsável por rodar aplicações e guardar dados em datacenters da Microsoft espalhados

pelo mundo, quanto um framework arquitetural para a construção de aplicações. Na Figura 7

abaixo, pode-se visualizar sua plataforma que é formada pelo sistema operacional Windows

Azure e um conjunto de serviços: Live Services, .NET Services, SQL Services, SharePoint

Services e Dynamics CRM Services (SOUZA; MOREIRA; MACHADO, 2009).

Figura 7 - Arquitetura do serviço de Computação nas Nuvens da Microsoft. Disponível em

http://www.slideshare.net/giovanni.bassi/introduo-ao-windows-azure-sesso-1-mais-terica. Acesso em: 08

mai.2012.

Percebe-se assim que, conforme cita Taurion (2009), o Azure Services Plataform é

uma estratégia e um conjunto de produtos que se propõe a implementar a visão de nuvem da

Microsoft, baseada no conceito de “software-plus-services”:

a) Ser uma nova geração do ambiente Windows para ambiente de

computação em nuvem. A função básica do Azure é automaticamente

ligar a aplicação do usuário a máquinas virtuais operando nos

datacenters da Microsoft. Na verdade o Windows Azure é

essencialmente uma versão modificada doWindows 2008 e do

mecanismo de virtualização chamado Hyper-V suplementada com

software projetado para hospedar e gerenciar aplicações e serviços em

nuvem;

b) Fornecer serviços orientados aos desenvolvedores, como SQL

Services, .Net Services, Live Services, cada um contendo um pequeno

número de funções, a ser expandido ao longo do tempo. Além destes

57


serviços estão incluídos o Share Point Services e Dynamic CRM

Services. O Share Point Services oferece APIs para funcionalidades

do Share Point como sites de colaboração e workflows. O Dynamic

CRM Services oferece APIs para interface com as funções do

aplicativo Dynamics CRM.;

c) Ser um novo modelo de programação. Para a aplicação extrair

todos os benefícios do Azure, ela deve ser desenvolvida com este

conceito desde o início. Hoje não é possível migrar as aplicações.

Provavelmente no futuro esta possibilidade de migração poderá

existir. Mas, por enquanto, não é possível se livrar das licenças dos

produtos .Net e ficar rodando aplicativos apenas na nuvem.

Como elemento fundamental da Window Azure Plataform, figura o Windows

Azure, que é o sistema operacional criado pela Microsoft para oferecer um serviço completo

no qual os usuários podem rodar suas aplicações, armazenar seus dados e administrá-los na

Internet se utilizando de servidores da própria Microsoft. Dessa forma, os desenvolvedores

precisam ter como preocupação apenas a criação de aplicações que rodem no Windows Azure,

uma vez que o mesmo suporta qualquer tipo de linguagem e ambientes. Em um nível mais

acima figuram todos os demais serviços – SQL Services, Live Services, entre outros, que são

ofertados ao usuário para utilização tanto no Azure como em aplicações externas.

É importante observar, que por ser um serviço nas nuvens, o Windows Azure se

utiliza da ideia de que os dados necessários para se rodar qualquer aplicação do usuário

podem estar espalhados em qualquer um dos servidores da Microsoft espalhados pelo mundo.

Entretanto, tudo isso tem que ficar transparente para o usuário. Para se conseguir alcançar tal

objetivo, o Azure disponibiliza um conjunto de mecanismos tais como tables, queue, locks,

entre outros, que permitam ao usuário administrar, visualizar e desenvolver sua aplicação sem

ter preocupação a respeito de onde e em sob qual hardware a mesma está executando. Assim,

como afirma Coelho (2008), o Windows Azure é um sistema operacional para a nuvem que

roda em um conjunto grande de computadores de forma organizada e que abstrai do usuário

todo o hardware e toda a infraestrutura.

O Windows Azure se utiliza de uma máquina virtual (VM) que irá criar uma

imagem (VHD) da máquina virtual do Windows Service 2008 R2. Após ser gerada usando

uma máquina local do Windows Server, a imagem é carregada no Windows Azure. E, uma vez

nas nuvens, os usuários podem configurar e manter o sistema operacional e se utilizar dos

demais Windows Services apenas se utilizando da máquina virtual.

58


Uma facilidade que a nuvem oferece para os desenvolvedores e que está

disponibilizada pelo Windows Azure está no fato de se poder escolher a partir da necessidade

da aplicação a ser desenvolvida a quantidade de espaço a ser adquirido na máquina virtual

para executar a aplicação.

Como foi evidenciado anteriormente, o Windows Azure é a base do conceito de

Plataforma como Serviço (PaaS) implementado pela Microsoft, mas outros serviços também

são ofertados juntamente com ele. O Live Services é um desses serviços. Ele proporciona aos

desenvolvedores trabalharem em aplicações web que podem ser migradas para os mais

diversos dispositivos, oferecendo ainda dentro do próprio Azure os mais variados recursos,

tais como o tratamento e sincronização de dados do usuário.

Outro serviço a ser destacado por oferecer os componentes necessários para um

desenvolvimento robusto, utilizando-se de bibliotecas de alto nível, além de oferecer os

componentes fundamentais para aplicações as nuvens é o Microsoft .Net Services. De acordo

com Velte e Elsenpeter (2010), o .NET Services pode ajudar os desenvolvedores a se

concentrar mais em seu produto final do que na construção e implantação de infra-estrutura

própria nuvem.

Para armazenar e processar consultar dos dados, a Microsoft trabalhou com o

conceito do SQL Server para oferecer o SQL Service. O SQL Service estende a dimensão de

armazenamento nas nuvens permitindo que sejam guardados dados estruturados,

semiestruturadas e dados não estruturados. SQL Services oferece um conjunto de serviços

integrados que permitem consultas relacionais, pesquisa, elaboração de relatórios,

análises,integração e sincronização de dados. Isso pode ser feito por usuários móveis,

escritórios remotos ou parceiros de negócios (VELTE; ELSENPETER, 2010).

Vale observar ainda com relação ao SQL Services de acordo com Souza, Moreira

e Machado (2009) é o fato de que o mesmo tem suporte a interfaces SOAP (Simple Object

Access Protocol) e REST (Representational State Transfer), permitindo que seus dados sejam

acessados de várias formas. Para garantir a escalabilidade, o SQL Services implementa apenas

partes do modelo relacional e não possui suporte completo para a linguagem SQL. A

componente SharePoint Services permite colaborar e criar aplicações Intranet e o Dynamics

CRM Services é um sistema totalmente integrado de CRM (Customer Relationship

Management).

59


Ao escolher um serviço como o do Windows Azure Plataform, espera-se ter toda a

facilidade e intuitividade que o Windows oferece, com o plus de ter um sistema operacional e

outros serviços associados alocados diretamente nos servidores da Microsoft, sem ter a

preocupação com instalação, configuração de ambiente, entre outros. Inclusive, para o ano de

2012, a Microsoft já estuda a possibilidade do Azure rodas em sistemas operacionais Linux.

Entretanto, toda essa comodidade pode ser interrompida quando, algum problema de

segurança, seja ele a princípio culposo ou não, ocorre colocando em risco os dados ali

colocados.


No caso do Windows Azure, ao longo do tempo foram percebidas falhas, tais

como: em 2009 o serviço ficou mais de 22 horas fora do ar e esse tipo de interrupção

aconteceu várias vezes durante os anos seguintes. Em fevereiro de 2012, o sistema de gestão

de serviço do Azure também foi retirado do ar durante várias horas até que se identificassem o

porquê de se estar tendo problemas relacionados ao controle de acesso aos aplicativos

hospedados pelo Azure e sincronização de dados. A Microsoft chegou a admitir que clientes,

principalmente da região central dos Estados Unidos e do norte da Europa foram os mais

afetados.

Apesar de a disponibilidade ser considerada a métrica chave para serviços em

nuvem, existem outras variáveis que devem ser levadas em conta em um processo

investigativo, como a própria qualidade do serviço. Um exemplo recentemente reportado

constatou um erro nos serviços de calendários que não tratou adequadamente a data do dia

29/02/12 representativa do ano bissexto de 2012.

Em um cenário em que esses problemas descritos ou muitas outras

vulnerabilidades do Windows Azure fossem sendo enumeradas e usadas para se causar

transtornos a clientes da Microsoft seria interessante seguir o conjunto de diretrizes propostas

nesse trabalho para se identificar se o problema ocorrido se trata apenas de um erro de

programação ou algo do tipo, ou se foi planejado dentro de um interesse maior seja de se tirar

60


algum proveito da situação ou simplesmente para prejudicar a própria Microsoft, por

exemplo.

4.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2

A. Visão Geral

Um último cenário envolve a análise da camada de infraestrutura de serviços

(IaaS), que fica muito menos acessível a boa parte dos serviços de nuvem mas que,

estritamente falando, é o que confere todas as características de universalidade, abstração e

transparência.

A Amazon, mundialmente conhecida por seu comércio eletrônico, também está

investindo pesado no conceito de computação nas nuvens. A empresa criou uma subsidiária

chamada de Amazon Web Services para oferecer a seus clientes serviços em computação nas

nuvens, abordando as seguintes áreas: o EC2 (Elastic Computing Cloud), para alugar

máquinas virtuais Linux, nos quais o usuário pode alugar dezenas ou até milhares de CPUs, o

S3, serviço de armazenamento (storage) em nuvem, o SimpleDB, oferta de Database-as-a-

Service e o SQS (Simple Queue Service) para serviços de mensagens. Essa gama de serviços

busca segundo Cezar Taurion (2009), com que os usuários possam operar seu negócio sem ter

a necessidade de investir em infraestrutura, como servidores storage. E a plataforma

computacional oferecida é a própria plataforma que roda os aplicativos da Amazon, uma

infraestrutura de tecnologia que incluiu milhares de servidores e que levou anos para ser

construída e ajustada.

Dentre os serviços da Amazon Web Services, o EC2 (Elastic Computing Cloud) é

um dos mais antigos, tendo sido lançado em 2006. Dessa forma, a Amazon iniciou sua

empreitada nas nuvens oferecendo para as organizações Infraestrutura como Serviço (Iaas),

ou seja, foi disponibilizado para seus clientes todo o poder de processamento, armazenamento

e outros serviços dos servidores da Amazon.

Para Souza, Moreira e Machado (2009), o EC2 é um sistema responsável pelo

gerenciamento da execução de aplicações na infraestrutura da Amazon. O EC2 permite um

controle completo das instâncias dos sistemas, sendo possível acessar e interagir cada uma

61


destas, de forma similar a máquinas convencionais. Também é possível escolher as

características de cada instância, tais como sistema operacional, pacotes de software e as

configurações das máquinas, como CPU, memória e armazenamento. Para garantir a

segurança, o EC2 utiliza firewall para controlar o acesso às instâncias, criando ambientes

virtuais privados.

O EC2 trabalha com o conceito de máquina virtual, ou seja, para se ter acesso a

esse serviço, faz-se necessário ao usuário ter uma conta na Amazon, e a partir daí, criar uma

Amazon Machine Instance (AMI). Essa AMI funciona como uma imagem de máquina

criptografada onde estão disponibilizadas aplicações e bibliotecas de programas e

componentes. Há muitas AMIs comuns disponíveis a partir da Amazon e da comunidade EC2.

Elas podem usar tanto Windows quanto Linux, e os mais diversos conjuntos de software livre,

como o Apache, MySQL e quaisquer linguagens que escolha usar. Caso não encontre uma

AMI que atenda suas necessidades, a Amazon fornece ferramentas para criar sua própria AMI,

que pode ser privada ou compartilhada com a comunidade (TAURION, 2009).

Servidores nas nuvens oferecem a facilidade de se começar a operar aplicações

em poucos minutos, configurando seu ambiente virtual de forma rápida e simplificada, em

contraposição ao modelo tradicional, em que se precisaria investir na compra de um servidor,

contratar profissionais para instalá-lo, configurá-lo e mantê-lo continuamente atualizado. O

EC2 não é um serviço de IaaS gratuito, entretanto o investimento cobrado pela Amazon é

reduzido dentre outras razões porque ela já possui todo um parque computacional equipado

essencialmente para oferecer esse serviço e porque o usuário pode escolher o tamanho do

servidor virtual que ele necessita.


Nesse cenário de aplicação, a questão de segurança também deve ser estudada.

Mesmo com as precauções adotadas pela Amazon já foram identificados vários ataques aos

servidores da empresa. Em um deles, ocorrido em 2011, deixou boa parte dos serviços de uma

parte da região Leste dos EUA paralisados por quase quatro dias.

Outro problema ocorrido durante um período do ano de 2011 identificou que o

serviço EC2 permitiu que usuários não autorizados realizassem tarefas administrativas. Uma

62


equipe de pesquisadores da Germany's Ruhr University of Bochum, liderada pelo professor

Jörg Schwenk, relatou que os atacantes foram, por exemplo, capazes de iniciar e parar as

máquinas virtuais, criando novas imagens e gateways, em uma instância EC2. Em sua

apresentação intitulada "All Your Clouds are Belong to us", os pesquisadores explicaram

como um ataque de assinatura XML pode ser usado para manipular mensagens SOAP, de tal

forma que a EC2 irá considerá-las autênticas e intactas.

O EC2 apresentou ainda falhas de segurança ao permitir em 2009, que um Trojan

bancário ZeuS-base usasse o serviço da Amazon para comandar e controlar um canal de

atualizações de software, conseguindo dessa forma infectar PC com malware. Também já foi

possível se ter acesso a senhas protegidas WPA-PSK de acesso Wi-Fi que se encontravam no

EC2, além de ter sido identificado que hackers que violaram a segurança do serviço

PlayStation Network e tiveram acesso a dados confidenciais de cerca de 77 milhões de

assinantes que utilizavam os serviços web da Amazon.

Diante de tantos casos com falhas de segurança apontados em serviços de

computação nas nuvens em seus mais diversos serviços oferecidos, evidenciam-se ainda mais

a necessidade de se construir uma proposta com um conjunto de diretrizes que possam servir

de base para condução das investigações criminais em ambiente de nuvens. Tal proposta será

exposta no capítulo a seguir.

63


5. PROPOSTA DE DIRETRIZES PARA INVESTIGAÇÃO PERICIAL EM UM

AMBIENTE DE COMPUTAÇÃO NAS NUVENS

Neste capítulo será desenvolvida a proposta de diretrizes que pretende ser um

auxílio para a realização de investigação pericial tendo como cenário do crime praticado um

ambiente de computação nas nuvens seja ele identificado como um serviço de infraestrutura

(IaaS), software (SaaS) ou plataforma (PaaS). Para a escolha das características que mais se

adéquam à investigação a ser realizada, será levada em consideração a real necessidade destas

para os cenários propostos no capítulo anterior.

Levando-se em consideração que as fases da computação forense tradicional de

coleta e exame são extremamente difíceis de serem realizadas sob o cenário de computação

nas nuvens, uma vez que o perito criminal provavelmente não terá acesso a um servidor do

ambiente de nuvem para apreendê-lo, serão focadas nessa proposta apenas as fases de análise

e resultados obtidos.

Muito provavelmente alguns dos passos a serem adotados durante a investigação

podem vir a serem aplicáveis a mais de um dos serviços, mas por questões didáticas, nesse

trabalho, preferiu-se especificá-los em itens distintos.

5.1 Proposta de Diretrizes Gerais

O primeiro objetivo consiste em propor algumas diretrizes de investigação para o

cenário de nuvem considerando as arquiteturas de serviços previamente indicadas. O objetivo

não é exaurir as possibilidades, mas, com base nos cenários anteriores, propor mecanismos de

investigação. Neste sentido, são pontuadas primeiramente considerações de caráter geral,

onde pesam mais os procedimentos periciais preliminares.

O caminho para se avaliar indícios de possíveis crimes será apresentado como um

conjunto de recomendações a serem seguidos (não obrigatoriamente na sequência

apresentada) em que a elaboração de um checklist pode orientar os procedimentos,

independente do nível de arquitetura considerado. Como sugestões, seguem os seguintes

pontos:

64


Preparação da investigação:

Analisar um elenco de itens de segurança e avaliar quais foram

transgredidos, permitindo que, além de se identificar os possíveis

culpados, se tenha um mapa das fragilidades do serviço;

Identificar o problema ocorrido:

Pode servir de auxílio à investigação se o usuário usar o

artifício de realizar a captura de tela(s) que comprove(m), por

exemplo, uma invasão ou adulteração de dados;

Identificar qual quesito de segurança foi supostamente violado:

Neste passo, recomenda-se a indicação do nível de severidade

afetado e quais os efeitos colaterais decorrentes;

Verificar os aspectos legais:

Com base na legislação em vigor naquele lugar, avaliar a

situação da jurisprudência aplicável ou os aspectos contratuais

infringidos;

Realização da investigação:

Dependendo das condições operacionais, garantir o isolamento do nível

de requisito que foi violado;

Utilizar-se de ferramentas para, a partir dos dados recebidos pelo

servidor, identificar algo que possa levar à comprovação de

fragilidades do serviço em nuvem, bem como à indicação dos

prováveis infratores / criminosos;

Análise dos resultados:

Buscar, por meio de auditoria, encontrar a localização dos possíveis

culpados / envolvidos com o cenário criminoso ou fraudulento;

Redigir o laudo e anexar as evidências encontradas durante a

investigação que foram relevantes para se chegar à conclusão do caso.

65


5.2 Proposta de Diretrizes Específicas

Após as configurações gerais, nesta seção, busca-se desenvolver especificamente

as ideias relacionadas com os padrões arquiteturais do modelo SOA, do nível de SaaS,

passando por PaaS e chegando no IaaS. Como propostas fundamentais serão feitas avaliações

das vulnerabilidades enfrentadas por situações análogas às vulnerabilidades previamente

indicadas pelas arquiteturas de serviços mencionadas anteriormente mencionados.

5.2.1 CENÁRIO: SaaS – Caso: Dropbox

Um crime observado com relação ao aplicativo Dropbox e que foi elencado nos

cenários identificados no capítulo anterior está relacionado à invasão de contas de usuários se

utilizando de um malware para obter o login e senha que dá acesso a todas as informações

contidas na conta do usuário. No modelo SaaS, o usuário tem a sua frente a aplicação e para

ele é transparente todas as questões que estão por trás dela, fazendo com que não apenas todos

os controles de segurança física e ambiental, como também os controles de segurança na

infraestrutura, nas aplicações e nos dados são de responsabilidade unicamente do servidor que

provê o serviço em nuvens.

Aqui, como adverte Jerry Archer et. al (2009), ao formalizar o documento

Security Guidance for Critical Areas of Focus in Cloud Computing, os controles tanto de

segurança, quanto de escopo são negociados em contratos de serviço, que normalmente o

usuário aceita ao instalar a aplicação. O caminho para se elucidar um crime como esse pode

ser sugerido como o seguinte:

Avaliar os critérios de confidencialidade e a segurança das chaves

criptográficas (tamanho) e os algoritmos utilizados (ex.: RSA, DES, etc.)

Analisar os critérios que definem controle de acesso:

Incluir na investigação o uso de cadeias de certificados e os

mecanismos de delegações de permissões para uso dos usuários;

Considerar os mecanismos de compartilhamento de recursos (arquivos);

66


Analisar os mecanismos de acessos simultâneos a recursos

compartilhados.

Neste contexto, um elemento importante a ser considerado consiste nas

ferramentas de software e recursos computacionais que podem auxiliar na análise do serviço.

Assim, para a camada de SaaS, necessariamente devem ser pensadas ferramentas específicas

de acordo com as funcionalidades providas pelo software.

Por exemplo, em termo de compartilhamento de arquivos, um grande desafio

consiste em garantir que o sistema resista a ataques de serialização de arquivos e/ou

modificações não autorizadas. Programação direta feita por APIs podem fazer uso de

tentativas de comunicação que busquem testar o serviço.

5.2.2 CENÁRIO: PaaS – Caso: Microsoft Windows Azure

De acordo com o Jerry Archer et. al (2009), o ambiente de PaaS em termos de

responsabilidade quanto à segurança traz um equilíbrio entre garantia da própria plataforma

que recai sobre o provedor, enquanto que a segurança das aplicações desenvolvidas para a

plataforma e a tarefa de desenvolvê-las de forma segura pertencem ambas ao cliente que

contrata o serviço.

Diante de um ataque a um ambiente de serviço PaaS, especificamente ao

Microsoft Windows Azure, como o que pôde ser visto no capítulo anterior, em que por um

determinado período de tempo o serviço se torna inacessível ao usuário final, ou seja um

ataque de DDoS (Distributed Denial-of-Service) se poderia seguir como passos para

investigar se a ação é criminosa ou não e quem seriam os culpados por tal ação:

Identificar as camadas de protocolos afetadas e os mecanismos de comunicação

envolvidos;

Solicitar auditoria de logs ou mecanismos auxiliares que dão suporte à

infraestrutura (no caso, Windows Azure);

Obter métricas de disponibilidade da plataforma de desenvolvimento usada

(ex.: MTBF – tempo médio entre falhas, TTR – tempo para recuperação do

serviço, etc.)

67


Na perspectiva do usuário, esta abordagem serve para qualificar quais

softwares podem ser mais indicados em uma dada plataforma ou

serviço;

Na perspectiva do perito, tais informações podem ajudar a avaliar se os

incidentes estão dentro do padrão de anormalidade das métricas;

Avaliar as documentações e modificações da infraestrutura arquitetural usada

pelo middleware, que incluem:

Os mecanismos de segurança das sincronizações;

Os critérios de cobertura de testes foram efetivamente realizados antes

de disponibilizar uma plataforma para uso;

Os mecanismos de conversão entre os diferentes modelos de

comunicação providos pelo Middleware: todas as entradas e saídas e

eventuais brechas de vazamento das informações por canais indevidos

ou sem uso de criptografia.

Em termos de software, podem ser fornecidas algumas idéias para investigar a

plataforma de serviço que está sendo avaliada. Basicamente podem ser fornecidos dois níveis

de inspeção:

Inspeção dos componentes da plataforma: Neste caso, pode-se tanto

avaliar as documentações desenvolvidas pela API da plataforma, quanto

fazer uso de uma solução alternativa em que certos componentes possam

ser substituídos por outro, desde que possuam funcionalidades similares;

Inspeção das soluções desenvolvidas: Neste cenário, tem-se a construção

de clientes maliciosos usando a plataforma a fim de validar sua imunidade

a várias vulnerabilidades. Normalmente, isso pode ser feito com alterações

propositais dos componentes por interfaces similares.

68


5.2.3 CENÁRIO: IaaS – Caso: Amazon Web Services – Amazon EC2

O modelo de serviço ofertado pela Amazon disponibiliza ao cliente máquinas

virtuais onde estes podem armazenar seus dados e, dessa forma, aproveitar as vantagens de se

trabalhar nas nuvens. Nesses casos, o crime pode ocorrer tanto porque algum cracker alugou

o espaço para ali colocar algum objeto criminoso (como no caso dos invasores do serviço da

PlayStation Network (PSN) que usaram o Amazon EC2 para armazenar os dados dos clientes

que tiveram suas contas invadidas) ou ainda quando o próprio serviço é invadido sendo

infectado por algum vírus ou malware.

Seja qual for à forma de agir dos criminosos, segundo Jerry Archer et. al (2009)

em uma oferta IaaS, enquanto a responsabilidade de proteger a infraestrutura básica e

camadas de abstração pertence ao provedor, o restante da pilha é de responsabilidade do

consumidor. O caminho para se elucidar um crime ou ações suspeitas neste nível pode

envolver os seguintes passos:

Notificar o servidor do ocorrido e solicitar a retirada das informações que

foram adquiridas de forma ilegal;

Solicitar a documentação dos controles de segurança internos e externos do

provedor;

Solicitar legalmente o direito a visualizar logs, rastros e registros de acesso, por

isso é importante que o cliente ao contratar o serviço de nuvens tenha

colocado como claúsula do contrato o backup de seus dados, a gravação de

logs, entre outros dispositivos de segurança;

Avaliar ataques sob a ótica de mecanismos clássicos como o uso de DDOS

(Distributed Denial Of Service)

Avaliar vulnerabilidades da solução de virtualização (ex.: VMWare ou

VirtualBox.

Em termos de ferramenta de automação, para o nível de IaaS, podem ser pensadas

soluções análogas aos sistemas de gerenciamento de rede (ex.: padrão SNMP), mas voltadas

69


para ambientes de serviços, como, por exemplo, o JON – Jboss Operation Network sob as

várias máquinas virtuais.

5.3 Metodologia de investigação

Com base no que foi apresentado, podem ser questionados vários aspectos acerca

das diretrizes de investigação. A seguir, mostra-se uma autocrítica do processo e evidenciam-

se pistas que podem, em trabalhos futuros, amadurecer o trabalho apresentado.

A. Objetividade dos critérios:

O primeiro aspecto é o fato de que os critérios apresentados sempre possuem

elementos subjetivos de investigação. Embora isso possa pesar com relação ao caráter

presumivelmente exato da computação, não foge à regra da natureza subjetiva da investigação

forense. No entanto, pode-se ainda cogitar o uso de sistemas especialistas para buscar inferir

mais exatamente regras que determinem e qualifiquem os indícios periciais em questão.

B. Analogias anteriores:

Outro ponto a ser comentado diz respeito ao fato de que, para os diferentes

cenários, foram mencionados elementos de investigação baseados em casos anteriormente

destacados pela imprensa ou pelas referencias bibliográficas mencionadas. Embora isso possa

limitar a visão de como os indícios devem ser coletados, não implicam obrigatoriamente na

impossibilidade de avaliá-los em uma nova abordagem. Além disso, uma vez que existe toda

uma variedade de serviços afins nas diversas configurações possíveis de nuvens, o fato de que

um problema tenha sido solucionado para uma determinada solução não implica que o

problema tenha sido de todo sanado, considerando cenários e ferramentas adicionais.

70


C. Relatividade da jurisprudência:

Conforme apresentado no capítulo referente aos aspectos legais, a ausência de

uma norma universal de direito sobre as infrações e crimes digitais pode tornar mais ou menos

exigente a observância dos pontos propostos como critérios de investigação. Isso implica que,

considerando as peculiaridades dos delitos e as normas legislativas aplicáveis nas diversas

regiões do globo, inúmeros outros detalhes devem ser considerados.

Tendo considerado tais aspectos, pode-se considerar fundamental a investigação

da aplicação dos critérios aqui propostos para a validação e amadurecimento dos mesmos,

conforme será apresentado no capítulo final deste estudo.

71


6. CONCLUSÕES

Com a popularização do conceito de computação nas nuvens, percebe-se uma

mudança na forma como se realiza a troca e armazenamento de dados, além do

desenvolvimento de novas aplicações. As nuvens oferecem os mais variados serviços e, por

mais atrativos, que eles sejam ainda é preciso muito cuidado antes de migrar informações que

hoje estão guardadas localmente para os servidores em nuvem. Um dos fatores que demanda

uma maior precaução está relacionado com a questão de segurança. Por mais que as empresas

prestadoras de serviços em nuvem garantam que não existe razão para se preocupar, tem-se

observado um crescente número de falhas de segurança criminosas ou não tendo como alvo

aplicações, plataformas ou servidores que se encontram nas nuvens.

A adoção do serviço de nuvens também contribuiu para se identificar mudanças

na forma de se investigar crimes digitais. Se na investigação forense tradicional para se

desvendar um crime precisaria adentrar em quatro fases distintas: coleta, exame, análise e

resultados obtidos, em um ambiente de computação nas nuvens as etapas de coleta e exame

não são possíveis ou mais dificilmente poderão ser realizadas uma vez que os serviços em

nuvem podem estar espalhados em qualquer lugar do mundo. Dessa forma, no decorrer dos

estudos realizados foi identificado que seria necessário se adequar as fases da computação

forense as nuvens e, portanto se focar nas fases que são mais plausíveis de investigação que

seriam as de análise e resultados obtidos.

Ao se desejar estudar os crimes cometidos nas nuvens e como seria possível

investigá-los, foi possível perceber a ausência de leis específicas para se tratar esse tema.

Muito se foi discutido e alguns países até já possuem leis sobre crimes digitais, entretanto, tais

leis não são aplicáveis a um cenário de computação nas nuvens.

Diante dos desafios citados, esse trabalho se propõe a criar uma proposta de

diretrizes de investigação pericial em um ambiente de computação nas nuvens. Entretanto,

para chegar a tal objetivo foram necessários estudos relacionados a computação nas nuvens,

como suas características, seus principais conceitos, serviços ofertados, arquitetura. Também

foi necessário pesquisar sobre computação forense, crimes digitais e legislação existente para

tipificar tais crimes, estudo esse que forneceu as bases do conhecimento necessário para se

72


entender como se conduzir uma investigação pericial. Para se chegar aos objetivos

delimitados pelo escopo do trabalho se verificou a necessidade de abordar cenários nos três

níveis de serviço da computação nas nuvens e que fossem propensos a serem alvos de falhas e

ou crimes de segurança. Por fim, foi elaborada uma proposta de diretrizes para investigação

pericial em computação nas nuvens que melhor se adéqua às peculiaridades de cada cenário.

Vale ressaltar que essa proposta de diretrizes criada não é um modelo fechado de

investigação pericial para nuvens. Por ainda ser uma área nova, muito se precisa ser estudado

e pesquisado para superar os desafios investigativos, uma vez que se tem observado que a

proporção de crimes digitais praticados sempre acaba por superar as mais novas estratégias de

segurança desenvolvidas.

Como trabalhos futuros sugerem-se:

Ampliar o cenário de investigação forense em computação nas nuvens, de

forma a permitir a inclusão das fases de coleta e exame;

Propor novos cenários de aplicação e testar a aplicabilidade da proposta

de diretrizes para investigação pericial citadas neste trabalho;

Estudar, comparar e analisar a aplicabilidade dessa proposta de diretrizes

de investigação pericial a novos serviços de nuvens que podem vir a ser

criados;

Acrescentar pontos a proposta de diretrizes para investigação pericial que

a princípio não foram identificados, mas que poderiam vir a contribuir

para elucidação mais eficaz do crime cometido;

Aplicar as diretrizes propostas a novos casos de crime cometido em um

cenário de computação nas nuvens para comprovar na prática sua eficácia.

Finalmente, pode ser objetivo de futuros estudos a validação dos critérios de

auditoria aqui definidos e a correção de algumas das deficiências da abordagem aqui proposta.

O objetivo final, que consiste em garantir corretamente o balanceamento entre segurança e

disponibilidade (normalmente contraditórios) será uma grande conquista para o modelo de

negócio e serviços baseados em nuvem.

73


REFERÊNCIAS BIBLIOGRÁFICAS

ARAÚJO JUNIOR, João Marcello apud MELO, Aline Mary M. de. Os Crimes de

Informática. Suas formas de punição e o Direito. Manaus: Instituto Luterano de

Ensino Superior, 2000.

ARCHER, Jerry. et al: Security Guidance for Critical Areas of Focus in Cloud

Computing. Cloud Security Alliance, 2009. Disponível em: <

http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf>. Acesso em: 05 mai.

2012.

BROWN, Christopher L. T. Computer Evidence: Collection and Preservation. Florence,

Ky: Course Technology Ptr, 2009.

COELHO, O. P; CONDÉ, L.; CHRISTEN, M.; CAMBIUCCI, W.. Azure Academy: O

Sistema Operacional Azure. Disponível em: <http://blogs.msdn.com/otavio>. Acesso

em: 08 mai. 2012.

COSTA, Marcelo. Computação Forense. Campinas: Millennium Editora, 2003.

CORRÊA, Gustavo Testa. Aspectos Jurídicos da Internet. São Paulo: Saraiva, 2010.

CRESPO, Marcelo Xavier de Freitas. Crimes Digitais. São Paulo: Saraiva, 2011.

DOUN, Alexandre Jean; BLUM, Renato. Cybercrimes. In: LUCCA, Newton; SIMÃO

FILHO, Adalberto (Coord.). Direito e Internet – Aspectos jurídicos relevantes. São

Paulo: Edipro, 2000.

GOMES, Luis Flávio apud ELIAS, Paulo Sá. A questão da reserva legal no Direito Penal e

as condutas lesivas na área da informática e da tecnologia. Jus Navigandi, Ed. 12,

out. 2001. Disponível em: <http://www1.jus.com.br/doutrina/texto.asp?id=2038 >.

Acesso em: 08 mar. 2012.

GROSSMANN, Luís Osvaldo. Crimes na Web: Minimizado, PL Azeredo é aprovado.

Disponível em:

<http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=30516&sid=

4>. Acesso em: 23 mai.2012.

74


HEISER, Jay. What You Need to Know About Cloud Computing Security and

Compliance. Disponível em:

<http://www.gartner.com/DisplayDocument?doc_cd=168345&ref=g_noreg>.

Acesso em: 12 fev.2012.

JONES, Andrew; VALLI, Craig. Building a Digital Forensic Laboratory. Burlington:

Syngress, 2008.

KEEN, Martin; MOORE, Bill; CARVALHO, Antonio et al: Getting Started with

WebSphere Enterprise Service Bus V6. IBM Redbooks, 2006.

KRUTZ, Ronald L.; VINES, Russell D. Cloud Security: A Comprehensive Guide to

Secure Cloud Computing. Indianapolis: John Wiley & Sons, 2010.

KUROSE, James F. Redes de computadores e a internet: uma abordagem top-down.

Tradução Opportunity translation. 5.ed. São Paulo: Addison Wesley, 2010.

LAMB, John. The Greening of IT: How Companies Can Make a Difference for the

Environment. Boston: Pearson Education, Inc., 2009.

LILLARD, Terrence. Digital Forensics for Network, Internet, and Cloud Computing: A

Forensic Evidence Guide for Moving Targets and Data. Burlington: Syngress, 2010.

LIMA, Caio Cesar Carvalho. Aspectos Legais da Perícia Forense Computacional em um

Cenário Cloud Computing. The International Journal Of Forensic Computer Science,

Brasília, p. 24-32. 1 set. 2010.

LIMA, Paulo Marco Ferreira. Crimes de Computador e Segurança Computacional. São

Paulo: Atlas, 2011.

MCDONALD, Kevin T. Above the Clouds: Managing Risk in the World of Cloud

Computing. Cambrigdeshire: IT Governance Ltd, 2010.

MILLER, Michael. Cloud Computing: Web-Based Applications That Change the Way

You Work and Collaborate Online. Indianapolis: Que, 2008.

75


MONTEIRO NETO, João Araújo. Aspectos constitucionais e legais do crime eletrônico.

2008. 191 f. Dissertação (mestrado) – Universidade de Fortaleza, 2008. Disponível em:

< uol01.unifor.br/oul/conteudosite/?cdConteudo=1139476 >. Acesso em 10 de março de

2012.

NAKAMURA, Emílio T.; GEUS, Paulo Lício. Segurança de Redes: em ambientes

cooperativos. São Paulo: Novatec Editora, 2007.

PROJETO torna crime invasão de computador. Estado de Minas Online, Belo Horizonte,

15 maio 2012. Disponível em http://www.em.com.br/app/noticia/nacional/

2012/05/15/interna_nacional,294504/projeto-torna-crime-invasao-de-

computador.shtml.. Acesso em: 23 mai. 2012.

PRADEL, Jean; FEUILLARD, Cristian apud FERREIRA, Ivette Senise. A criminalidade

informática. In: LUCCA, Newton; SIMÃO FILHO, Adalberto (Coord.), op. cit, 2000.

PEREIRA, Evandro Della Vecchia et al. Forense Computacional: fundamentos,

tecnologias e desafios atuais. Disponível em:

<http://www.sbseg2007.nce.ufrj.br/documentos/Minicursos/minicurso_forense.pdf>.

Acesso em: 08 mai. 2011.

REED, Archie; BENNETT, Stephen G. Silver Clouds, Dark Linings: A Concise Guide to

Cloud Computing. Boston: Prentice Hall, 2010.

REIS, Maria Helena Junqueira. Computer crimes: A criminalidade na era dos

computadores. Belo Horizonte: Del Rey, 1996.

ROSENBERG, Jothy; MATEOS, Arthur. The Cloud at Your Service: The when, how, and

why of enterprise Cloud Computing. Greenwich: Manning Publications Pub, 2010.

SANTOS, Ana P.V; MACHADO, Marcos. Cloud Computing: Impasses Legais e

Normativos. Revista Intr@ Ciência, 2010.

SOSINSKY, Barrie. Cloud Computing Bible. Indiana: Wiley Publishing, Inc., 2011.

SOUZA, F; MOREIRA, L; MACHADO, J. Computação em Nuvem: Conceitos,

Tecnologias, Aplicações e Desafios. Capítulo 7. Universidade Federal do Piauí (UFPI),

2009.

76


SOUZA, Gills L.M; PEREIRA, Dalliana V. A Convenção de Budapeste e as Leis

Brasileiras. Disponível em: <

http://www.charlieoscartango.com.br/Images/A%20convencao%20de%20Budapeste%2

0e%20as%20leis%20brasileiras.pdf>. Acesso em: 05 abr 2012.

SHINDER, Debra L.; CROSS, Michael. Scene of the Cybercrime. Burlington: Syngress,

2008.

STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4.ed. São

Paulo: Pearson, 2008.

TAURION, Cezar. Cloud Computing: Computação em nuvem: transformando o mundo

da tecnologia da informação. Rio de Janeiro: Brasport, 2009.

TOCCHETTO, Domingos; ESPINDULA, Alberi. Criminalistica procedimentos e

metodologias. Porto Alegre: [s.n], 2005.

VACCA, John R. Computer Forensics: Computer Crime Scene Investigation. Boston:

Charles River Media, Inc., 2005.

VELTE, A. T; VELTE, T. J; ELSENPETER, R. Cloud Computing: A Practical Approach.

Editor Copyright. 2010.

VOLONINO, Linda; ANZALDUA, Reynaldo. Computer Forensics For Dummies.

Hoboken: For Dummies, 2008.

FACULDADE FARIAS BRITO · deles de forma direta ou indireta foram muito importantes na minha...

Documents

Transcript of FACULDADE FARIAS BRITO · deles de forma direta ou indireta foram muito importantes na minha...