Arquivo mensais:setembro 2010

Inmetro, regulamentar a Perícia Forense no Brasil?

Recentemente o Jornal Folha de São Paulo publicou, em 27/09/2010, que no Brasil a perícia forense passará a ser regulamentada. Segundo a notícia, a pedido do Ministério da Justiça, o INMETRO está elaborando parâmetros para a certificação, sendo que seus agentes foram capacitados nos Estados Unidos (Flórida), com técnicas dignas de “CSI”.

Segundo a justificativa, falta de estrutura nos 173 laboratórios de perícia no Brasil, onde muitos não conseguem sequer realizar exames de DNA.

Embora consideremos ser relevante a adoção de boas práticas para a perícia forense, o termo “padronização” nos causa arrepio, sobreutdo na perícia digital, onde sabemos,  métodos diferentes são utilizados de acordo com a característica do caso em que se apresenta, diga-se, a metodologia para uma análise disco físico, pode não ser a mesma para uma perícia envolvendo um ataque web.

Certamente, a proposta do INMETRO para regulmentar a área deriva de estudos comparados, como o da Europa, que desde 2003 conta com o Cyber Tools On-Line Search for Evidence (CTOSE), considerando um “padrão” para a forense em cybercrime, bem como nos Estados Unidos, onde temos o NIST (National Institute of Standards and Technology), que também padroniza algumas áreas periciais como a própria perícia digital (http://www.cftt.nist.gov/)

Porém, a regulamentação do NIST não impõe um procedimento, tão somente homologando ferramentas para diversas áreas como:

Com efeito, tais ferramentas contam com a avaliação do Inmetro Norte-Americano e em um processo legal, acusação, defesa, perito e assistentes técnicos podem se valer da documentação do NIST para validar ou descredenciar determinada ferramenta utilizada por um experto.

Bem diferente é o que querem fazer no Brasil, com a “padronização”.  Sobretudo na perícia digital, temos uma máxima que preconiza que o padrão é “não ter padrão”, eis sermos reféns da tecnologia mutável a cada segundo e das novas técnicas para prática de crimes digitais, bem como de destruição de evidências e colisão de hashes.

Evidentemente que em muitos Estados Americanos como a Flórida, temos a padronização de exames forenses, principalmente no que cerne à DNA (http://www.floridaforensics.net/), porém,  são exames que diante da prática e avanço científico, já permitem uma padronização. Bem diferente é a forense digital.

Aliás o exame de DNA já é padronizado até mesmo no FBI (http://www.fbi.gov/hq/lab/codis/forensic.htm). No ambito internacional temos a “The International Society for Forensic Standards”, cujo site é http://www.forensicstandards.org/

Neste cenário, entendemos que o Ministério da Justiça deve agir com cautela, ao delegar ao INMETRO tal regulamentação, considerando que perícia forense envolve uma gama de ciências aptas a colaborar, cada qual com suas características, com as autoridades de aplicação de Lei. Não se pode padronizar em um mesmo documento, perícia criminal, ambiental, digital, grafotécnica, segurança do trabalho e outras especialidades, considerando que lidam com cenários distintos e também são ciências em estágios evolutivos distintos.

Uma sugestão seria não o INMETRO, mas a ABNT, trabalhasse em conjunto com peritos publicos e privados, na concepção de um documento de “recomendações” ou “boas práticas” para coleta, preservação, custódia, análise de evidências, juntamente com boas práticas para confecção de laudos periciais, tal como as RFCs (Requests for Comments), mantidas no ambito da Internet pelo IETF (Internet Engineering Task Force), onde já temos inclusive uma norma de boa prática para a perícia digital a RFC 3227.

O Brasil pode, inclusive, submeter uma proposta de RFC ao IETF.

Além disso, temos que considerar que não podemos criar mais uma “certificação” como muro para a inicitiva privada atuar. Todos sabemos que só o Estado não tem condições de prestar pericia forense, e em muitos casos, são os laboratórios privados que suprem o papel estatal.

A solução, segundo nossa modesta ótica, é considerar os guias, mas nunca a padronização, a exemplo do Departamento de Justiça Americano, que no ambito da pericia digital, criou um “Guia” sem pretensão de ser um “padrão”, para todos que atuam com law enforcement (www.ncjrs.gov/pdffiles1/nij/199408.pdf)

Como pudemos demonstrar, a criação de uma padronização genérica para a fonrese pode gerar inúmeras injustiças processuais e deixar peritos “engessados” em técnicas e ferramentas ultrapassadas ou onerosas. Um padrão poderá descredenciar um excelente trabalho pericial, mas que, por exemplo, utilizou ferramentas freeware ao invés de proprietárias.

Boas práticas são suficientes e ainda assim, em alguma investigação, caso o perito não as adote, não deve ter seu lado desconsiderado, desde que fundamente as circustancias que o impediram de utilizar a prática recomendada. Neste momento, no Brasil, não precisamos de padrões, mas práticas recomendadas,  amadurecimento e investimento em capacitação e equipamentos, sobretudo no novíssimo ramo perícia forense digital.

StaySAFE Podcast: Entrevista sobre Segurança e Marco Civil

Em maio de 2010 participamos de um bate papo com Thiago Bordini e Jordan Bonagura no StaySafe PodCast. O debate evoluiu e durou mais de uma hora.

Dentre os Assuntos tratados:

– Direito Digital e suas vertentes:
– Contribuições – Roubo de dados, pedofilia, difamação, direitos autorais e etc…
– Dificuldade de obter resultados concretos devido a legislação
–  Proposta Lei Luiz Eduardo Azeredo
–  Marco Civil da Internet
– Eleições digitais e segurança (uso de hackers por partidos):
– Casos (PT e PMDB) Defacement
– Como os profissionais de SI podem deslumbrar as eleições como mercado
– Compra de cadastro eletrônico e bases de emails (INSS/RF/Telefônica)
– A dificuldade da venda de serviços na área de SI (Pentest)
– Como abordar/vender este assunto de maneira legal
– Como um advogado pode auxiliar neste ponto?
– Dicas para profissionais interessados em ingressar no mercado de SI.
– Cuidados que devem ser tomados em relação a legalidade.

Ouça agora: http://www.staysafepodcast.com.br/?p=41

Baixe a entrevista: http://www.staysafepodcast.com.br/edicoes/6-StaySafe-05-2010.mp3

PODSEMFIO: Segurança nas transações Móveis

Em dezembro de 2009 tive a honra de ser entrevistado por ninguém menos que a @garotasemfio. O Assunto? Segurança nas transações eletrônicas móveis. Agora que estamos organizando nosso clipping, creio ser interessante disponibilizar o padcast que foi ao ar e conta com informações úteis para quem não vive sem os dispostivos móveis.

Meu agrande abraço à Bia Kunze e seu brilhante Podcast!

Acesse o PDF do Post Podsemfio

Ouça o Pos Cast, Clique  podsemfio84-low

Governança de TI: O aprender com os Mineiros soterrados no Chile

“Estamos todos bem no refúgio, os 33”.

Relato dos mineiros após duas semanas do incidente, quando foram encontrados.

A perplexidade envolvendo soterramento dos 33 mineiros chilenos, em agosto de 2010, presos a 700 metros de profundidade, em uma câmera de segurança (com 50 metros quadrados) da mina de São José não se limita pela tragédia propriamente dita. Mais do que preocupação pela vida destas pessoas, fato que nos faz refletir é o exemplo e aprendizado que o episódio nos apresenta, os quais podemos aplicar com precisão em muitos projetos profissionais e corporativos, principalmente em tecnologia da informação. Diversos institutos fundamentais ao êxito de estratégia, projetos, segurança da informação e operações são aclarados quando refletimos sobre como estas pessoas estão lidando com o imprevisto, os quais apresentamos:

1) Auto-Conhecimento

Assim como na mina, mas como em qualquer negócio, sobretudo na área de tecnologia da informação, é indispensável que os envolvidos conheçam bem as carcterísticas do negócio em que atuam. Todo gestor deve ter um mapa de cada processo, sobretudo para que este processo atenda as necessidades do negócio, como cultura, políticas, condições sociais, políticas, geográficas e outras características do negócio. Auto-conhecimento também permite que em operações cada recurso empregado nas atividades corporativas tenham um conjunto de habilidades necessárias. No caso dos mineiros, todos eram cientes dos detalhes mais íntimos desta atividade, bem como conheciam claramente as habilidades de cada um dos integrantes do grupo, consequentemente, concebendo um mapeamento prévio dos recursos à disposição e principalmente, como e quando utilizá-los, em caso de um incidente como o que experimentaram.

2) Análise de Risco

Justamente por conhecerem absolutamente o negócio que operam os mineiros puderam criar uma análise de risco, onde puderam compreender, as vulnerabilidades existentes na operação, as ameaças que atuam sobre estas vulnerabilidades, e principalmente a probabilidade de incidentes ocorrerem. Conhecendo tais fatores, os mineiros conseguiram avaliar o impacto dos riscos e consequentemente, a urgência e prioridade em tratá-los. Com isso, sabendo das condições climáticas do terreno e dos constantes deslocamentos de terras, desenvolveram uma “câmera de segurança”, prevendo a hipótese de um incidente desta natureza. Só estão vivos graças a esta análise, que lhe deram informações para decidirem implementar medidas de contingência e abrigo. No ITIL, a análise de risco está no âmbito do gerenciamento da continuidade.

3) Resposta a incidentes

Se os chilenos soterrados não tivessem capacitação para responderem a incidentes desta natureza, com certeza já estariam mortos. Isto fez toda a diferença para eles, e isto faz toda a diferença no seu negócio. Infelizmente, empresas que atuam de forma reativa e não pró-ativa, tendem a perder as rédeas quando um incidente acontece, onde excepcionalmente o resultado é catastrófico. No caso dos mineiros, cada integrante investiu-se da qualidade de um recurso para uma atividade de um processo, cujo objetivo imediato é devolvê-los ao convívio de seus familiares, logicamente, com a preservação da vida. Logo, se arrumaram com uma “solução de contorno”, onde buscaram estabelecer uma convivência que primasse pela estabilidade mental, saúde, organização. Não bastasse, realizaram um excelente atendimento ao incidente em primeiro nível, onde muniram de informações as equipes de resgate que estão na superfície, informações estas que foram importantes para definir a melhor alimentação, ventilação, apoio psicológico e principalmente, serviu de insumo para que as equipes de resgate criassem a melhor estratégia para recuperação, com o objetivo de salvar todas as vidas e impedir a desestabilização mental, com consequente depressão. No caso apresentado, se a equipe de segundo nível do incidente, que são os resgatadores que estão na superfície, não tiverem condições para o regaste, deveriam recorrer ao outsourcing ou a terceiros. E assim foi feito eis que a NASA foi chamada para auxiliar à resolução do problema.

4) Plano de contingência e recuperação do desastre

Se eu armazeno históricos de incidentes eu consigo ter “base de situações passadas ou erros conhecidos” e consequentemente me preparar para ao futuro, prevendo ações corretivas e sabendo como agir caso a história se repita. Posso saber que no verão, o risco de deslocamentos de terra é maior, razão pela qual precisarei de estratégias assertivas para que este evento futuro e incerto seja repudiado ou no mínimo tratado. Crio então um plano de contingência, onde defino como deverá ser a comunicação, apoio e operação durante um incidente. Na mina uma fenda com 7 centímetros de diâmetro foi aberta e por ela é que todo o suporte aos mineiros está sendo realizada. Uma decisão acertada e tomada no tempo adequado, certamente fruto do estudo de casos passados semelhantes. Os mineiros foram muito perspicazes em definirem os critérios para ativação do plano de contingência, onde rapidamente desenvolveram os arranjos recíprocos, planos de fortificação (como o pôster da mulher pelada e o jogo de dominó), bem como os responsáveis por colocar em prática cada atividade do plano, com vistas ao objetivo maior: A manutenção da vida, seja a alimentação, a abordagem psicológica, a ventilação, etc. Plano de recuperação de desastres também envolve plano “B”, em caso do impedimento dos planos prioritários, como no caso da mina, onde o duto de ventilação poderá ser alargado para servir de resgate.

5) A liderança

Os mineiros podem nem saber a teoria, mas governança (de tecnologia) nada mais é do que o desafio como aplicar liderança, estrutura e processos para que a ti atinja os objetivos de negócios (governança corporativa). Onde temos muitas pessoas envolvidas, sobretudo no tratamento de um incidente catastrófico, é preciso que tenhamos uma matriz de responsabilidades clara e definida, em Governança chamada de matriz RACI (Responsible, Accountable, Consult and Inform), também muito utilizada em projetos. Igualmente, não existe operação ou projeto sem liderança, que pode envolver uma ação, uma mudança ou mesmo a comunicação. Na mina, acertadamente, surgiram as figuras dos lideres, como o religioso e o de comunicação com imprensa. O papel do líder, aqui, é coordenar as atividades e transmitir as necessidades dos mineiros. Na TI não é diferente, onde o líder deve estar em sintonia com a área de negócios e principalmente sensibilizá-la sobre a necessidade de novos processos visando um melhor alinhamento da TI ao negócio. O Líder é o que abraça a causa e define a estratégia de engajamento, cria o “report” e faz com que todos os recursos sejam conjugados para um objetivo comum. Tal ponto foi fundamental para a sobrevida dos mineiros soterrados no Chile.

Conclusões

Tal episódio demonstra claramente que só teoria não é suficiente para que operações, projetos e resposta a incidentes sejam efetivas. A despeito dos catedráticos e amantes da doutrina, o exemplo vem de mineiros, que absolutamente preparados de fato, estão lidando com um incidente grave com absoluta governança e controle, com excelente relacionamento com todos os envolvidos no projeto de resgate. Efetivamente que nada é fácil e o resgate lida com premissas e fatores desconhecidos. Apesar disso, deve-se destacar que a postura destas pessoas tem cooperado contundentemente para ampliar suas chances de sobrevivência. Evidentemente que lições serão tiradas deste fato, e deverão, servir de base para a melhoria contínua de tais serviços, assim como na Governança, onde o alinhamento da ti com o negócio pressupõe o aperfeiçoamento dos serviços (Ciclo de Demming, PDCA), sobretudo, convergindo para que incidentes não mais ocorram, e caso ocorram, sejam rapidamente contingenciados e solucionados em nível temporal aceitável, impedindo o advento do dano, em uma dinâmica constante de “aprender com o erro”.

Cadastro Nacional de Pedófilos é pena perpétua.

O Cadastro Nacional de Pedófilos, projeto de lei já aprovado pela Comissão de Constituição e Justiça, proposto pela senadora Marina Serrano (PSDB-MS), trouxe à baila uma discussão interessante e que pode inaugurar no Brasil um contexto da utilização da rede mundial de computadores como instrumento punitivo.

Isto porque, ao prever um cadastro com dados pessoais dos condenados por crimes sexuais, disponível na Internet, o projeto cria a completa exclusão social dos condenados, onde conceberíamos uma espécie de pena perpétua que nitidamente distorce completamente o objetivo da pena privativa de liberdade, diga-se, a ressocialização. A vida de um egresso não é fácil no Brasil, sobretudo, se cadastros forem criados e mantidos para sempre na rede mundial de computadores. Soma-se a isso o fato de tais cadastros vazarem ou erros de lançamento que poderão causar sérios danos a pessoas.

Se tal projeto prosperar, em breve deveremos criar os cadastros de homicidas, cadastros de condenados por crimes contra o patrimônio, os cadastros de condenados por colarinho branco e outros cadastros para todos os crimes e delitos praticados. A alegação de que a sociedade tem o direito de saber quem são os pedófilos de longe não pode se sobrepor ao direito constitucional penal da não discriminação dos direitos e liberdades fundamentais. Neste sentido, temos o art. 5o., inciso XLVII, da Constituição Federal, que nos assegura que não haverá no Brasil penas perpétua e cruéis.

Ademais estar-se-ia a criar uma pena restritiva de direitos fundamentais, qual seja, a honra, privacidade e intimidade de indivíduos, que não obstante terem cumprido suas penas, terão de suportar esta mancha indelével associado à suas identidades, lançada na Internet.

Diante deste cenário, entendemos que a medida, conquanto à altura de crimes repugnantes como os sexuais, é inconstitucional e ineficaz, na medida em que pedófilos poderão agir no absoluto anonimato, sem maiores complicações. Por outro lado, o cadastro poderá gerar o preconceito e impedir que a pessoa outrora condenada torne ao convívio pleno na sociedade. De outra ordem, entendemos que os antecedentes criminais, hoje existentes e à disposição da sociedade e das polícias, é meio mais que suficiente para identificar, em casos de suspeitas, uma pessoa anteriormente condenada por crimes desta natureza.