A extorsão digital Ransonware e a perícia digital e computação forense.

O recente episódio envolvendo o worm WannaCry aclarou de forma única a ameaça muito comum atualmente, a qual muitas empresas e pessoas já experimentaram de forma trágica. O ataque ransonware. O WannaCry foi massificado com uso de um exploit, aparentemente obtido da NSA.

O exploit explorava uma desatualização do sistema Windows, da Microsoft, que lançou informações sobre como se proteger contra o worm, incluindo a implantação do patch MS17010, atualização do Windows Defender, bem como a não utilização do SMBv1.

O ransonware criptografa o disco das vitimas e exige um resgate para o envio da chave necessária para recuperar os arquivos. Estima-se mais de 74 países afetados em 45 mil ataques. No Brasil, inúmeros órgãos públicos ficaram fora do ar. Estes eventos demonstram a importância de prevenção, mas principalmente, de respostas forenses adequadas.  O que um time de resposta pode imaginar é que basta desconectar a máquina infectada, impedindo que se prolifere pela rede, infectando as demais, reduzindo o poder do ataque. Mas a questão é: Como saber qual máquina foi a gênese do worm em uma rede?

A computação forense em Ransonware é embrionária, mas já tem valores e consenso em alguns pontos. Uma iniciativa interessante é o script PowerShell que, sabendo que o ransonware sobrescreve na NTFS arquivos por versões cifradas, é capaz de responder quando um arquivo é gravado, enviando e-mail e demonstrando as unidades mapeadas, logo, destinado à detecção e contenção do ataque. Pode-se inclusive tentar matar o processo relativo ao worm. [1]

Outra trilha valiosa é lecionada por Chris Brewer, da Nuix, que infectando-se com o CryptVault, realizou análise de rede, sistemas de arquivos e processos, de modo a determinar o host de origem do ataque, valendo-se ferramentas como Wireshark, Regshow, Processes Monitor e NetworkMiner.[2]

Algumas orientações são importantes diante de um ataque. Inicialmente, deve-se determinar qual tipo e versão do ransonware atacou a rede. Por exemplo, em sendo CryptoLocker, já se tem roteiros de recuperação de dados. [3]

Posteriomente a) deve-se determinar o vetor inicial do ataque, b) deve-se estimar a origem do mesmo, ou seja, como ele chegou à rede, e-mails em anexo, compartilhamento de arquivos, exploits, executáveis ou ameaças externas; c) pode ser possível identificar o numero da carteira bitcoin no e-mail de resgate.

A perícia poderá examinar evidências digitais de sistemas comprometidos para levantar artefatos de origem e de conexões remotas e demais dados. Uma outra fase pode, dependendo do ransonware, resultar em um trabalho de decodificação dos arquivos. Comumente, porém, o perito poderá ajudar no processo de negociação, com redução do valor do resgate afim de recuperar arquivos críticos.

Por fim, minimizado o dano causado, a equipe de computação forense poderá atuar na remediação, juntamente com a equipe de segurança digital, atuando para evitar explorações no futuro e cuidando para que o ambiente esteja realmente limpo.

As recomendações adicionais de respostas para um ataque desta natureza são a) desconectar o dispositivo afetado da rede, evitando que ataque acesse as unidades compartilhadas; b) muito cuidado com ações impensadas, como tentativas de recuperação (adicionar drives) em ambientes ainda infectados ou cópia de arquivos; c) conheça quais as opções diante do ataque e d) conte com o apoio de uma consultoria em computação forense especializada, sobretudo para a cópia bit-a-bit da unidade encriptada para eventualmente ser decodificada no futuro, caso nada seja possível ser feito no momento.

Um ataque de ransonware não precisa ser sobre dinheiro, podendo ser um ataque a uma delegacia de polícia ou órgão público para queima de provas, por exemplo. E se o atacante não quer dinheiro, os dados nunca mais serão recuperados (Como o ocorrido com Departamento de policia de Cocrell Hill, em caso recente.) Neste sentido, prevenção também é fundamental.

Portanto, contanto não se possa afirmar ser possível em todos os casos a recuperação integral dos arquivos, resta demonstrada que o papel do perito digital é indispensável na contenção, coletas e preservação das evidências, bem como na minimização do dano, com a possibilidade de identificação da origem do ataque, bem como de recuperação parcial ou futura dos dados.

 

Notas:

[1] http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware.html

[2]  https://www.nuix.com/blog/ransomware-part-4-analyzing-results

[3] https://threatpost.com/forensics-method-quickly-identifies-cryptolocker-encrypted-files/103049/

 

José Antonio Milagre

Advogado. Perito em Informática. Mestre e Doutorando em Ciência da Informação pela UNESP, Coordenador da Pós-Graduação em Computação Forense pelo ESB – Brasília. Árbitro de tecnologia da CIAMTEC.br

E-mail: assessoria@josemilagre.com.br  Website: www.direitodigital.adv.br

Em Blog | Deixar um comentário

A perícia forense digital na fraude telefônica do “bypass”

É sabido que as operadoras de telefonia legitimamente faturam com ligações móvel-móvel, fixo-móvel e fixo-fixo, cada qual com sua tarifa. Do mesmo modo, uma ligação local não é tarifada da mesma forma que uma ligação interurbana ou internacional.

Quando você utiliza seu celular em São Paulo e liga para um celular de Natal, pagará logicamente a tarifa específica para esta ligação interurbana. A cobrança é feita com base na sua localização, ou seja, uma ERB específica de São Paulo capta seu sinal, sendo identificada também a ERB de destino, no Rio Grande do Norte.

Agora imagine que você pudesse “enganar” todo este sistema de localização e tarifas, confundindo a rede da empresa de telefonia, fazendo com que uma ligação de São Paulo/Natal fosse cobrada como sendo Natal/Natal? Imagine que uma ligação interurbana fosse considerada pela rede como uma ligação local? Agora imagine o mesmo exemplo no cenário internacional. Uma ligação Seattle/São Paulo sendo tarifada como São Paulo/São Paulo?

Exemplo mais didático não poderia ilustrar como funciona a dinâmica da fraude Bypass. Por meio dela, criminosos redirecionam tráfego de origem e destino de chamas, fazendo a rede “enxergar” um cenário que não existe.

A fraude se dá por diversas formas e variantes, mas a mais frequente consiste na aquisição de chips, normalmente com planos corporativos, que são instalados em equipamentos com SIM BOX ou GSM BOX, posteriormente uma configuração é feita nos aparelhos do cliente do fraudador. A partir daí sempre que o cliente utiliza o equipamento para ligações interurbanas ou internacionais o sistema aciona a BOX que escolhe a rede até o ponto local mais próximo do destinatário da chamada, originando então a chamada de um número local.

Normalmente este tráfego utiliza a rede IP (Voip+GSM Gateways) que não é enxergado pela rede. O tráfego só aparece quando volta ao serviço telefônico em um ponto próximo ao destinatário. Algumas modalidades de bypass inclusive são direcionadas a “planos” das operadoras da telefonia móvel, ou seja, são configurados de acordo com as promoções lançadas pelas teles.

Fraudadores montam estas redes e revendem minutos a pequenos e grandes negócios, empresas e comércios, que às vezes sequer sabem que estão utilizando um serviço ilegal. E o pior, muitas empresas são laranjas na compra de chips que são instalados nas boxes e alimentam o mercado do bypass. São milhões e milhões em perdas financeiras com uma operação que é ilegal, inclusive vedada pela Anatel.

As operadores contam com mecanismos antifraude para a detecção remota destes números e redes clandestinas. Mas a melhor forma de perícia é no cliente das operadoras. A comunidade especializada em auditorias e antifraudes já traz alguns critérios como importantes a serem avaliados em perícias desta natureza como:

  1. a) Ausência de mobilidade da origem: Não é comum que um telefone celular permaneça sempre ligado na mesma ERB;
  2. b) Mobilidade extrema da origem: Aquele celular que de manhã fez ligações de Natal, a tarde originou chamadas do Rio Grande do Sul, e a noite fez chamadas de São Paulo é muito suspeito;
  3. c) Volume de chamadas: Um volume humanamente impossível de chamadas ou mesmo minutagem exagerada é um indício;
  4. d) Relação Incoming/Outgoing: Um indício de fraude é quando a relação chamada recebidas e originadas são desproporcionais, com muitas chamadas feitas e um número mínimo de chamadas realizadas.
  5. e) Análise de IMEI e TAC: As operadoras registram os IMEIs dos aparelhos que originam as chamadas, podendo a perícia forense extrair o type allocation code (TAC) e assim identificar que o chip está instalado não em um celular convencional, mas em uma BOX.

Atuamos na fase preventiva, com profissionais especializados para assessorar o anti-fraude na detecção e preservação de provas que apontem anomalias no uso. Detectada a fraude, atuamos como assistentes técnicos em processos judiciais para reparação dos danos em decorrência das operações clandestinas. Do mesmo modo, podemos atuar na produção da prova técnica simplificada, esclarecendo os sujeitos processuais sobre a dinâmica da fraude, em cada caso concreto, incluindo sustentações orais.

Já para empresas que tiveram contas bloqueadas, podemos auditar o sistema e verificar se existem indícios de uso indevido ou irregular das redes ou não e neste sentido, fornecer elementos para apuração da autoria dos responsáveis.

Importante esclarecer por fim que a prova pericial é indispensável em processos desta natureza, considerando a necessidade da certeza técnica ao Magistrado, para que possa decidir sobre casos de reparações de danos, inclusão de nomes em serviços e de proteção ao crédito e até mesmo sobre cancelamento/bloqueio de serviços telefônicos.

Em Blog | Com a tag , , , | Deixar um comentário

O que fazer em caso de crimes cometidos pelo WhatsApp?

O WhatsApp é um dos mais populares aplicativos no Brasil. Cresceu ao integrar o celular à comunicação via Internet, de forma gratuita. Não se justifica mais o envio de torpedos SMS pagos se é possível se comunicar com maior eficiência em uma interface gratuita. Além disso, o aplicativo permite o envio de conteúdo multimídia, áudio e vídeo e a criação de grupos. A aplicação diz ter 38 milhões de usuários no Brasil. 430 milhões de usuário no mundo.

PDF Link PDF

Em White Paper | Deixar um comentário

Vitima de ofensas no WhatsApp: Justiça autoriza quebra de sigilo de conversas de grupos

O WhatsApp se tornou uma febre da comunicação instantânea no Brasil. É sem duvida o aplicativo principal da grande maioria dos usuários de telefonia móvel do País. A simplicidade de ingressar cadastrando um número telefônico para troca de mensagens e a criação de grupos proporcionou que o meio se desenvolvesse rapidamente. Porém ao contrario do que pensam, o WhatsApp não é terra sem lei e ambiente anônimo. Enquanto muitos usuários partem para aplicações mais seguras como Telegram e Wickr, fato é que crimes contra a honra, vazamento de dados e violação à privacidade são constantes no aplicativo do Facebook.

Pessoas se veem inseridas em grupos onde muitas vezes tem contato a conteúdos ilícitos, fotos íntimas, vídeos e dados pessoais, instantaneamente. Embora os grupos não possuam um “ID” exibível ao usuário (arquitetado pela aplicação para dificultar a quebra de sigilo) é fato que a vítima não pode ser prejudicada se tudo que a aplicação oferece é o “nome” do grupo suspeito ou criado com fins difamatórios. Assim, diante de um crime ou ofensa no aplicativo, o primeiro passo é registrar em meio eletrônico as telas, o nome do grupo e os telefones envolvidos (clicando na opção Info do Grupo). Perceba também que é importante anotar a data e hora em que o grupo foi criado. Identifique também quem é o administrador e eventuais “locais” postados no grupo por seus membros.

Caso não faça parte do grupo, é importante comunicar alguém que é integrante ou caso desconheça, anote ao menos o nome do Grupo. De posse destes dados e registros, procure um advogado especializado em tecnologia da informação. Sendo uma aplicação de responsabilidade, no Brasil, de Facebook Serviços Online do Brasil Ltda, CNPJ 13.347.016/0001-17, esta pessoa jurídica tem responsabilidade, pelo Marco Civil da Internet (Lei 12.965/2014) em cooperar com autoridades na apuração de crimes informáticos, sobretudo em apontar os dados das pessoas por trás das ofensas em tais grupos ou aplicação.

No Brasil, uma Câmara do TJ/SP já determinou que o Facebook disponibilizasse o conteúdo das conversas de dois grupos do WhatsApp (AI 21147742420148260000 SP 2114774-24.2014.8.26.0000). É necessária uma medida judicial e neste caso a busca é pela materialidade do delito, ou seja, comprovar se realmente ou não imagens ou vídeos íntimos circularam pelo WhatsApp. Além disso, é dever do provedor de aplicações Facebook, intimado judicialmente, apresentar os dados de IP relativos aos envolvidos em grupos difamatórios. A aplicação tem o dever de guardar tais dados (de acesso a aplicação) por seis meses no Brasil. Portanto é importante agir rapidamente. Importa dizer que mesmo não possuindo representação no território nacional, o Facebook é responsável, no Brasil, pela aplicação WhatsApp e toda a defesa em sentido contrário comumente é desconsiderada pelo Judiciário.

É importante também conhecer os termos de uso do WhatsApp (http://www.whatsapp.com/legal/?l=pt_br#TOS), encaminhar uma notificação ainda que extrajudicial a support@whatsapp.com e principalmente, registrar uma ocorrência e diligenciar para que autoridade policial notifique o provedor de aplicação para preservar os dados por mais tempo que o mínimo legal. Importa dizer que mesmo que um usuário limpe as conversas, o WhatsApp registra o conteúdo que poderá ser fornecido mediante ordem judicial, nos moldes do art. 10, parágrafo segundo do Marco Civil da Internet.

De posse dos dados de IP ou dos números telefônicos, cabe também medida em face dos provedores de acesso responsáveis (empresas de telefonia móvel) para que mediante ordem judicial, forneçam os dados cadastrais dos que utilizam determinado número ou que estavam conectados na rede com o IP especificado, em determinada data e horário. Os provedores de acesso devem guardar tais dados por 1 (um) ano. Assim, tão importante quanto responder rapidamente, tão logo um crime ou vazamento de conteúdo íntimo tenha ocorrido no ambiente dos mensageiros, é tomar todas as medidas corretas e ordenadas para identificar, registrar e buscar a apuração dos ofensores.

Conheça aqui o processo, no Brasil, em que foi determinado ao WhatsApp o fornecimento de dados de um grupo: http://esaj.tjsp.jus.br/cpo/sg/search.do?conversationId=&paginaConsulta=1&localPesquisa.cdLocal=-1&cbPesquisa=NUMPROC&tipoNuProcesso=UNIFICADO&numeroDigitoAnoUnificado=2114774-24.2014&foroNumeroUnificado=0000&dePesquisaNuUnificado=2114774-24.2014.8.26.0000&dePesquisaNuAntigo=

Baixe aqui a decisão: TJ-SP_AI_21147742420148260000_8d484

Advocacia especializada em Direito Digital – José Milagre & Associados – (11) 3254-7616

Em Blog | Deixar um comentário

A necessidade de auditoria nas urnas eletrônicas

Auditoria nas Urnas EletrônicasO PSDB protocolou nesta quinta-feira (30/10) no Tribunal Superior Eleitoral (TSE) pedido de auditoria para verificar o resultado das eleições. A nota explicativa do partido à imprensa esclarece os fundamentos.

Não é de hoje que vimos alertando sobre inúmeros pontos obscuros quando o assunto é a segurança eletrônica do processo eleitoral brasileiro. Em recente entrevista para o Terra Eleições, juntamente com o Prof. Diego Aranha, da UNICAMP, pude expor inúmeros pontos vulneráveis e a insegurança que é o voto sem uma checagem impressa ou do que se passa dentro das urnas.

Seja como for, esperamos que o TSE autorize os testes, para que especialistas em segurança digital possam avaliar o sistema de votação, permitindo o aprimoramento para processos futuros. Como está, estamos na contramão do mundo, onde os países permitem testes públicos ou adotam mecanismos impressos para validação do voto eletrônico.

Não temos dúvidas que no Brasil existem especialistas gabaritados para conduzir um projeto de auditoria. Resta ao TSE cumprir, simplesmente, os princípios e garantias constitucionais, dando um importante passo para a transparência em relação aos sistemas informáticos de votação.

Leia mais em: http://veja.abril.com.br/blog/felipe-moura-brasil/2014/10/31/petistas-estao-com-medo-da-auditoria-das-urnas-por-que-tanto-mimimi-apos-o-pedido-do-psdb/

Em Blog | Deixar um comentário