Arquivo mensais:janeiro 2014

Regras para o uso da Internet nas Eleições 2014

Proferirei uma série de palestras informativas sobre regras para uso da Web na Campanha Eleitoral 2014, sendo uma por mês até julho. Vagas são limitadas. Faremos as palestras em São Paulo e em cidades estratégicas do Estado. Para começar, segue o banner dos primeiros encontros. Vejo todos no evento!

Curso-Eleitoral-Internet

Para quem não comprou o livro Guerra Eleitoral na Internet, clique aqui e faça já seu pedido!

Sobre o anúncio da venda de negros no Mercado Livre

Seria reinventar a roda dizer que as pessoas por trás da ofensa podem ser responsabilizadas. De igual modo é chover no molhado dizer que é cabível a responsabilização do site que hospedou a ofensa. Igualmente, dizer que a internet  vem a favorecer práticas racistas…

Sobre a responsabilidade civil do meio que hospeda o crime cometido por terceiros, é engano, por outro lado, dizer que é absolutamente pacífico o dever de indenizar. No momento em que estiver lendo este artigo, haverá pelo menos um provedor de serviços sendo absolvido no Judiciário, alegando que “é o meio” e que não pode “julgar o que é legal ou ilegal”, logo não podendo remover o conteúdo de plano.

Claro, inafastabilidade do judiciário. Até aí tudo bem. Agora, diante de uma página que estampa crianças negras sendo vendidas a um real, não seria normal ao homem mediano (e até ao abaixo da média) compreender que ali se estampava um crime? Por que esperar para remover? E nos crimes de vazamentos de vídeos de menores ou fotos intimas? Minutos a mais no ar representa a difusão do conteúdo para todo o planeta… Dano potencializado e a culpa é de quem? Do usuário que não denunciou?

Neste ponto outra desculpa esfarrapada. Os sites de serviços agora transformaram seus clientes em “fiscais”, e diante de um crime grave em uma de suas páginas, simplesmente alegam “Ora, temos um botão disponível para o usuário denunciar abusos”.

O que? Um botão? Um código html capaz de afastar a responsabilidade do site de avaliar crimes cometidos em suas páginas e transferi-la ao usuário? Não, isso não pode prosperar e é uma dinâmica mais que desproporcional.

Grandes sites e portais investem milhões em atendimento, otimização de conteúdo e coleta de dados para traçar padrões de consumo, mas não movem uma palha para usarem filtros e análise de dados para identificar conteúdo abusivo e ilegal. Em investigação e perícia, um mínimo.  E diante do crime… “Existia um botão para denuncias…”

Ação Civil Pública pode ser proposta além de ações individuais por todas as pessoas que se sentiram lesadas no caso do anúncio preconceituoso. O meio deve ser responsável pela postagem sim, pois não é crível que não disponha de mecanismos tecnológicos e recursos humanos para de plano identificar ações como esta, em tempo de cadastro. Será que realmente estamos na idade da pedra e é preciso deixar alguém publicar um anuncio para só então constatar um abuso?

De qualquer modo, importante mencionar que o Marcado Livre aparentemente forneceu os dados do possível suspeito diretamente à Ouvidoria Nacional de Igualdade Racial, órgão vinculado à Secretaria de Promoção da Igualdade Racional e também ao Ministério Público.  Percebam, não forneceu a um Juiz de Direito e não se recusou a fornecer a uma entidade legitima, como fazem a maioria dos provedores de serviços do Brasil, que só agravam o crime e a lesão aos direitos e garantias individuais das vitimas de crimes na internet.

Qual o dano que o site teve em fornecer os dados? Nenhum, simplesmente amenizou sua responsabilização, não só removendo o conteúdo, mas repassando os dados à autoridades  e entidades para que procedam com as medidas cabíveis, antes de uma possível ordem judicial. Evitou uma ação de responsabilização e eventual condenação em honorários por ter dado causa ao ajuizamento de uma ação de quebra de sigilo. Sim, um  exemplo que nos faz pensar:

Não seria o caso de repensarmos se a remoção de conteúdos em todas as situações dependem mesmo de ordem judicial? Ou em crimes flagrantes como preconceito no ambiente cibernético poderia-se cogitar de uma pronta remoção? Temos tecnologia para auditar tudo em tempo de execução do crime?

Não seria o caso de relativizarmos e imperativa necessidade de ordem judicial para identificação da autoria em crimes de preconceito, franqueando acesso às informações, em casos específicos, às autoridades policiais e Ministério Público? Ou no mínimo, não seria o caso de agilizarmos ordens judiciais em crimes graves desta natureza, que se propagam na velocidade da Internet? Um processo eletrônico para delitos tecnológicos? Existem correntes com fundamentos plausíveis em ambos os sentidos.

O que sabemos é: Precisamos de maior eficiência não só na criação de leis, mas na capacidade de fazer frente e investigar crimes cibernéticos. Na internet, tempo é dano. Provedores, repitam…

Enfim, os responsáveis pela publicação no Mercado Livre, se efetivamente identificados, estarão incursos no artigo 20 da lei n° 7.716/1989, que lembrando, não protege as pessoas apenas do preconceito racial, mas prevê pena de reclusão de dois a cinco anos e multa a quem pratica, induz ou incita a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional.

Mas de nada adiantará a Lei posta, se as pessoas lesadas não provocarem o Judiciário e provocarem (pela dor financeira) uma mudança qualitativa no zelo de sites e provedores de serviços para com auditoria em suas redes, páginas e serviços em geral.

Perícia, auditoria e investigação de vazamento de informações por e-mail

Não restam dúvidas que o serviço de e-mails é muito utilizado por insiders ou colaboradores para a prática de concorrência desleal ou para a cópia indevida de informações corporativas, com a remessa para fora da empresa de dados, softwares, bancos de dados, dentre outros ativos. Logicamente que um atacante vai preferir um dispositivo de armazenamento para gigabytes de informações, mas não se pode descartar a cópia discreta de códigos e pequenas quantidades de informação remetidas via e-mail.

Isto pode ocorrer via webmail ou e-mail desktop. Dois conhecidos clientes Desktop são o Outlook e Thunderbird. Certamente, diante de uma possível fraude, o agente lidará com recuperação de mensagens nestes sistemas. Considere também que a empesa possa não ter um servidor ou backup centralizado, mas que as estações (incluindo a do suspeito) tenha seu próprio arquivo storage de mensagens. Um risco!

A recuperação de e-mails em arquivos storage PST é há muito tempo discutida na comunidade forense. Embora tenhamos muitas tools, vale conhecer uma técnica interessante: Com um editor hexa e um pouco de sorte é possível recuperar e-mails permanentemente deletados, desde a ultima compactação do arquivo lote.

Um método incerto (pois depende de uma série de fatores) mas muito difundindo na investigação forense e auditoria digital é o da corrupção da tabela de conteúdo (Table of Contents TOC, uma espécie de MFT dos e-mails) para ser tratada com o utilitário scanpst.exe (Windows). A TOC é usada para determinar a localização de uma mensagem de e-mail. Quando a mensagem é apagada o conteúdo continua no storage (white space) mas a referencia é removida da TOC, logo, a mensagem de e-mail “some”.

Quando o scanpst atua em um arquivo corrompido ele repara a TOC e não toma conhecimento das mensagens deletadas, trazendo o conteúdo à tona. Nem todas as mensagens podem retornar. Preenchendo com espaços (hexa: 20) a coluna de 7 a 13 e depois reparando o PST com o scanpst, existe a possibilidade da recuperação de algumas mensagens. Mais informações em http://www.techrepublic.com/article/recover-deleted-outlook-e-mail-by-corrupting-the-pst-file/


Fonte: http://www.howto-outlook.com/howto/restoredeleteditemsfromanoutlookpst.htm

Mas nem tudo é Microsoft.

Recentemente nos deparamos com uma perícia e investigação onde era a importante a necessidade de recuperar mensagens apagadas em um mailer Thunderbird, da Mozilla. Supostamente um colaborador estava remetendo informações para fora da empresa. Mas porque ele não acessou um webmail e enviou dele para ele mesmo? Não nos cabe julgar a perspicácia do insider.

Logicamente que o Postfix tinha muito a dizer e até mesmo o servidor de e-mails, mas é sempre útil corroborar evidências com outras fontes, como por exemplo, a tão almejada mensagem enviada e apagada no mailer instalado na máquina.

Uma técnica interessante é descrita por Tina Sieber em http://www.makeuseof.com/tag/how-to-recover-deleted-emails-in-thunderbird/ Basicamente, temos que coletar os arquivos de lote (mdf), comumente localizados em C:\Documents and Settings\YOUR USER NAME\Application Data\Thunderbird\Profiles em sistemas Windows. (Lembrando que é preciso habilitar a exibição da pasta Application Data, que é oculta)

No caso, buscamos o Inbox.mdf mas neste caso o interessante é acessar o arquivo Inbox sem qualquer extensão. Abramos o arquivo no Notepad.exe e vamos tomar um café pois vai demorar. Pode ser que o notepad trave. Lembrando que estamos tratando de uma mensagem apagada, com lixeira do mailer limpa, onde já coletamos o arquivo de lote.

No arquivo aberto, poderemos então buscar pelo e-mail apagado pelo concorrente desleal e alterar a expressão X-Mozilla-Status para 0000. Comumente em um e-mail apagado estará “X-Mozilla-Status: 0009 ou “0001”. Alteremos para 0000.

From – Wed Sep 26 09:07:26 2012
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00800000
X-Mozilla-Keys:
Message-ID: <5062EFE3.8000501@xxxx.com.br>
Date: Wed, 26 Sep 2012 09:06:59 -0300
From: xxxx <remetente@xxx.com.br>
User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
MIME-Version: 1.0
To: destinatario@xxxx.xom.br
Subject: teste
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

Basta salvar, e reabrir o Thunderbird. Mensagens recuperadas! Lembrando que a técnica vale apenas se o suspeito não compactou as pastas. Compactou, passamos para o próximo passo. Talvez seja interessante uma ferramenta da mitec http://www.mitec.cz/mailview.html para buscas mais apuradas (visualização).

Aproveito e indico a lista de ferramentas de Derek Newton para análises forenses, disponível em http://dereknewton.com/forensic-tools/ Um excelente vídeo sobre Forense em Thunderbird usando o Autopsy pode ser visto em http://www.youtube.com/watch?v=dK1Xu-Ylbbc (Detalhe que o Autor usa um Autopsy para Windows)

Igualmente, um addon útil ao perito ao manipular e-mails no Thunderbird
pode ser o https://addons.mozilla.org/en-US/thunderbird/addon/importexporttools/

Por fim, cumpre destacar que no curso preparatório para CHFI somos apresentados à ferramenta Stellar Phoenix Mail Recovery. Nunca tinha usado até precisar… Realmente excelente ferramenta e que otimiza a análise e recuperação de mensagens de arquivos storage de diversos mailers, dentre os quais Outlook e Thunderbird.