Arquivo mensais:março 2014

Marco Civil da Internet é aprovado: O que muda para as vítimas de crimes virtuais e para os provedores?

Em 25/03/2014 o Marco Civil da Internet foi, enfim, aprovado na Câmara dos Deputados. O PL 2126/2011 segue agora para o Senado. A aprovação só foi possível pois o PMDB, um dos maiores críticos ao projeto, mudou de ideia e decidiu aprovar o texto (retirando suas restrições).

Para o PMDB o “notice e take down” deveria existir quando se tratasse de remoção de conteúdos ilícitos. Logicamente que a proposta não passaria e a regra continua sendo a ordem judicial. Por outro lado, o texto ainda precisa ser melhorado no Senado Federal.

Na composição atual, o Provedor só é responsabilizado se notificado judicialmente, não remover o conteúdo apontado. Ocorre que no dia-a-dia, o provedor é notificado para remover o conteúdo e informar os dados que possam indicar a autoria do conteúdo. E se não indicar? Pelo projeto, não poderia ser responsabilizado, pois o texto é expresso em consignar que a responsabilização só deverá ocorrer se este não remover o conteúdo. Impunidade. Embora possa ser responsabilizado por um juiz de direito, trata-se de uma disposição que poderia estar expressa no texto e auxiliaria e muito pessoas que são diariamente vítimas de crimes cibernéticos e que se deparam com a informação de que “não temos os dados” por parte de alguns provedores.

Mas é um avanço, pois a partir de agora existe a garantia da proteção dos dados dos usuários de Internet e principalmente, em breve teremos base legal para responsabilizar provedores de conteúdo e serviços diante das variadas modalidades de violação à privacidade de usuários.

Para o cidadão, este poderá ser valer de perícia em informática para constatar utilização indevida de dados ou mesmo coleta de dados além do necessário por serviços de internet, comprovando a violação que poderá lhe ensejar direito a reparação por danos morais e eventualmente, materiais, com amparo no Marco Civil.

Igualmente, pela garantia do art. 11, mesmo que o provedor de serviços seja internacional ou com sede em outro país, é a Lei Brasileira que se aplicará ao processamento de dado de brasileiros, se pelo menos uma das operações de processamento (como a coleta), se der no Brasil.

Ainda, deverá ser rápido o cidadão em buscar a perícia e as medidas jurídicas para apuração da autoria, caso seja vítima de crime cibernético pois de acordo com o texto, provedores de serviços deverão manter por 6 (seis) meses os logs de acesso aos serviços (art. 15). Já os provedores de acesso, comumente acionados após o fornecimento dos dados pelos provedores de serviço, deverão guardar os registros de conexão por 1 (um) ano (art. 14).

A norma prevê ainda, em seu art. 21, em casos de crimes envolvendo divulgação de fotos e conteúdos de cunho sexual, íntimo, ou com cenas de nudez, a possibilidade da vitima ou representante legal diretamente notificar o provedor de conteúdo, requerendo a remoção. Este será subsidiariamente responsável pela violação da intimidade, se não indisponibilizar este conteúdo. Ou seja, especificamente para os casos acima narrados, dispensou-se a ordem judicial para remoção do conteúdo, bastando a notificação da vítima ou seu advogado, assumindo o provedor o risco, se decidir manter o conteúdo no ar.

O texto deverá provocar uma revisão dos processos e termos de uso de provedores de acesso, conteúdo e serviços, sobretudo para manterem a conformidade com a futura norma. Igualmente, sistemas que coletem dados massivos ou informação não agregadas precisarão ser revisados, de modo a se verificar se estão ou não dentro da “Constituição da Internet”. Sites e lojas de comércio virtual necessitarão também readequar suas políticas e termos, adequando-se as garantias do Marco Civil, evitando problemas futuros.

Recomenda-se uma revisão completa de termos de uso, política de privacidade e de abusos de portais e serviços disponíveis na web e que manipulem dados pessoais. Ainda, provedores deverão conceber um claro processo para recepção de ordens judiciais e processamento para remoção de conteúdos, bem como um processo que apresente total transparência no trato com dados pessoais.

O texto segue para o Senado, onde poderá alterado.

Acesse o texto final completo do Marco Civil aqui

Análise forense de redes sociais e Facebook

Quanto tratamos de perícias em redes sociais, temos que fazer uma grande distinção. A primeira área é aquela que envolve coleta de grandes volumes de dados ou a utilização de data minning aplicado a computação forense. Esta área é embrionária e esbarra em questões de privacidade e desafios para a computação forense.

Nicole Beebe, uma pesquisadora da Universidade do Texas, tem um trabalho interessante sobre o tema. Uma outra área envolve a análise de uma máquina que realizou o acesso à redes sociais. A este padrão, já é possível aplicar muitos conceitos da Forense Convencional e as pesquisas já estão mais avançadas.

Para quem pretende pesquisar a área, alguns artigos são leitura obrigatória:

  1. https://www.sba-research.org/wp-content/uploads/publications/socialForensics_preprint.pdf
  2. http://www.fbiic.gov/public/2011/jul/facebook_forensics-finalized.pdf
  3. Este mapa pode lhe auxiliar a simular um ambiente para realizar a Forense em Facebook http://www.marshall.edu/forensics/files/2012/09/Helenek-Kathy-Poster-4-12-12.pdf

Já existem softwares desenvolvidos para a Perícia Digital em Facebook, como o FFS  A aplicação permite que o examinador faça um clone de um perfil, realizando um parsing dos dados para uma análise na estação forense.

Não resta dúvida que o Big Data vai mudar a forma de se coletar e analisar informações de incidentes. O mercado anseia por scripts, soluções ou mesmo um padrão de interconexão que atenda a demanda das autoridades e ao mesmo tempo preserve a privacidade dos cidadãos e estrangeiros, não esbarrando em normas de proteção. Já existe um  projeto do tradicional software forense Sleuth Kit para o Hadoop Framework, o que permitirá implantar soluções para processamento de grandes volumes de dados, mas muito precisa ser desenvolvido ainda neste setor.

Este ponto de equilíbrio é o desafio para os próximos tempos, considerando que as Redes Sociais são o “combustível do Big Data”, riquíssimas em informações que podem ser transformadas em predição e conhecimento sobre crimes e incidentes, mas por outro laudo, não se pode coletar e analisar dados de todos, sob o pretexto de “combater o crime”. Alguém já ouviu esta fala antes?

Uma abraço e até a próxima!

NOTAS

Um excelente parser para Facebook pode ser encontrado aqui

Avião da Malaysia Airlines: Por que os celulares chamam e depois e caem…

Os celulares dos passageiros do avião que desapareceu na Malásia continuam chamando, mas não necessariamente tocando. Normalmente, trata-se daquele toque inicial antes de cair a ligação, o que para muitos significa que o proprietário do equipamento “desligou” ou “não quer falar ou atender a ligação”. Para alguns ainda, o fato trata-se “de um equipamento que não está desligado”.

Porém isso não significa triangulação. O especialista em tecnologia Jeff Kagan deu importantes esclarecimentos à NPR. Segundo ele, este primeiro toque antes de cair não significa que o equipamento esteja efetivamente tocando ou que seja possivel triangular os dados para se chegar a localização das pessoas.

Para o perito, o processo de tocar uma vez simplesmente pode significar que a operadora está procurando localizar o telefone, com base no último lugar de uma chamada completa. Seria, a primeira chamada, um lapso entre o “estamos buscando o celular” e o “sua chamada está sendo encaminhada para a caixa postal e estará sujeita à cobrança após o sinal”.

O “flight mode”, configuração necessária aos passageiros, também pode cooperar para o toque, que dá a impressão de um celular ligado ou em funcionamento. Ademais, um aparelho pode chamar mais de uma vez, o que não significa que este esteja tocando do outro lado. Vale a orientação a namorados, namoradas, noivos, noivas, maridos e esposas!

Comentando a questão, não tenho dúvidas que muitas evidências ainda podem ser encontradas com base em dispositivos eletrônicos e redes sociais das vítimas. As autoridades continuam ligando para os números e buscando triangulação. É comum e compreensível que familiares entendam que um toque no equipamento móvel tão íntimo ao passageiro seja como ouvir “respiração” de um ente querido. Esperamos e acreditamos que resultados esclarecedores podem vir da análise dos vestígios digitais gerados por passageiros e tripulação.

Referências:

http://www.npr.org/blogs/thetwo-way/2014/03/11/288998085/ringing-phones-do-not-mean-malaysian-passengers-are-ok

http://gizmodo.uol.com.br/por-que-os-celulares-de-passageiros-do-misterioso-voo-que-sumiu-continuam-tocando/

Investimento em Startups pode gerar dedução no imposto de renda

Foi proposto no Congresso Nacional o Projeto de lei 54/2014, que vem no escopo de fomentar o crescimento das novas empresas inovadoras, com grande potencial de crescimento, as chamadas Startups. O projeto visa valorizar o “investimento anjo” no País.

Proposto pelo Senador José Agripino (DEN-RN), o texto pretende autorizar a dedução da base de cálculo do Imposto de Renda para pessoas físicas o valor investido em empresas desta natureza.

Inicialmente a proposta é que a dedução não ultrapasse 20% do valor integralizado na Startup. O projeto não trata de imposto de renda para pessoas jurídicas e pelo texto, o investidor deverá ser sócio quotista ou investidor da empresa, não se estendendo o beneficio a gerentes, diretores ou administradores das mesmas, nem mesmo a acionistas majoritários.

O projeto inicia sua tramitação pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT) e depois será apreciado pela  Comissão de Assuntos Econômicos (CAE). Momento importante para que Startups e Investidores se organizem no escopo de conceberem uma versão do texto que efetivamente fomente e coopere para o desenvolvimento do mercado no Brasil.

Acompanhe o andamento do projeto em http://www.senado.gov.br/atividade/materia/detalhes.asp?p_cod_mate=116284

Reputação digital no Jornal A CIDADE de Ribeirão Preto

O Advogado e Perito Digital, José Antonio Milagre, fala sobre reputação digital em entrevista ao Jornal A CIDADE de Ribeirão Preto e como as prefeituras tem interagido com os cidadãos através das redes sociais (01/03/2014, pág. A3).

Cidadãos usam redes sociais para cobrar serviços da Prefeitura.

Cidadãos usam redes sociais para cobrar serviços da Prefeitura.

Diariamente a Prefeita Dárcy Vera usa seu tablet como ferramenta de interação com os internautas.

Diariamente a Prefeita Dárcy Vera usa seu tablet como ferramenta de interação com os internautas.

 

"Nenhum órgão público pode virar as costas para as redes sociais", diz José Milagre.

“Nenhum órgão público pode virar as costas para as redes sociais”, diz José Milagre.

WhatsApp Forensics: Análise forense e investigacão digital

Não restam dúvidas que uma análise de um dispositivo móvel que contenha WhatsApp a qualquer momento chegará nas mãos de qualquer profissional de computação forense. Crimes, fraudes e ilícitos podem ser praticados por intermédio do mensageiro.

Recém comprado pelo Facebook, o aplicativo é padrão em comunicação instantânea no Brasil, e constantemente objeto de estudos, quando o tema é “quebrar” sua criptografia.Porém são raras pesquisas que se dediquem a tratar sobre a auditoria ou mesmo sobre a computação forense aplicada aos rastros deixados por este aplicativo, repise-se, febre no Brasil.

Além de texto plano a aplicação também permite o compartilhamento de fotos e vídeos, com uma agravante, o sistema de “aceitação” é precário. Se alguém compartilha conteúdo ilícito ou te insere em um “grupo” para atividades ilegais, é você quem deve estar esperto e sair ou recusar o conteúdo.

Neste excelente guia sobre “Live Memory Forensics” às fls 73 e seguintes, temos uma importante referência de Estudos para a coleta de evidências no WhatsApp.  Um plugin com a utilização do Volatility permite realizar o parsing das conversações persistentes na memória.

Lembrando que o Volatility tem uma API pública e vem com um extensível sistema de plugins que permitem a escrita de novos códigos e a extração de novos artefatos, daí porque trata-se de um importante aliado para análise de memória de dispositivos móveis.

Outro trabalho interessante vem da Índia, especificamente, escrito por profissionais e pesquisadores do “Institute of Forensic Science”, Guajarat. Ele também envolve análise não volátil e se aplica ao concorrente, o VIBER. Porém os pesquisadores utilizaram o UFED (solução proprietária) para todo o trabalho.

Em síntese, para uma análise não volátil é interessante que o examinador colete os seguintes arquivos (Lembrando que a pasta Media e ProfilePictures não são encripitadas):

Referência: http://arxiv.org/ftp/arxiv/papers/1304/1304.4915.pdf

Ocorre que a empresa cifrou seus dbs, não sendo mais tão simples a coleta e análise das conversações e outros elementos. Hoje identificamos um msgstore.db.crypt:

Fonte: http://resources.infosecinstitute.com/android-architecture-forensics/

Fonte: http://resources.infosecinstitute.com/android-architecture-forensics/

Alguns scripts (python) chegaram a ser criados para quebrar a criptografia, mas hoje não estão funcionais, mas estude os códigos aqui:

Fonte: yagi15/whatsapp-hacking-2013-lucideus-tech-private-limited

Fonte: yagi15/whatsapp-hacking-2013-lucideus-tech-private-limited

Alguns textos recomendam submeter o arquivo crypt ao http://www.recovermessages.com/ que “em tese” quebraria a criptografia da última versão do aplicativo. Não realizei testes, tampouco posso atestar a veracidade.

Diante das proteções implementadas, mais e mais ganha-se relevância a análise de memória dos dispositivos móveis. Especificamente quando falamos de WhatsApp, muitos artefatos na RAM não estarão criptografados, como estão no disco. Assim, fica recomendada esta pesquisa Forensic Analysis of WhatsApp on Android Smartphones  de junho de 2013, que é muito interessante a medida em que conclui que os mensageiros contemporâneos usam sistemas similares para armazenar mensagens e atualizar os bancos de dados. A pesquisa apresenta o whatsappRamXtract um bash script que pode ler um arquivo de memória extrair fragmentos gerados pelo comunicador.

Recomendo também aos interessados, considerando a imprescindíviel necessidade do perito em dominar o Volatility, que acessem periodicamente o Volatility Labs Blog e mantenham-se atualizados acerca das iniciativas para tunar a ferramenta, sobretudo a adaptando às características das novas aplicações, bem como sobre os desafios da forense em memória.

Não custa lembrar, o presente texto orienta para os estudos e pesquisas na área forense. Qualquer utilização não autorizada pela justiça ou mal-intencionada poderá ser considerada  criminosa, sujeitando os infratores às penas da Lei.