Talkshows como ‘Análise de fraudes em sistemas de e-commerce’ e ‘Novos paradigmas na investigação dos crimes cibernéticos’ foram apresentados.
Até o ano de 2021, haverá mais de 3 milhões de vagas para profissionais da Segurança Cibernética em todo mundo – número que revela a crescente demanda por profissionais qualificados que saibam atuar na prevenção, investigação e resolução de incidentes. Para discutir os desafios do presente e do futuro em Cyber Security, a DARYUS realizou, na última segunda-feira (30 de julho), o workshop ‘Investigação Forense em IoT: novos paradigmas em cena’, que reuniu profissionais de diferentes especialidades dedicados à prevenção e investigação de cibercrimes.
Na parte da manhã, foram apresentados os talkshows ‘Análise de fraudes em sistemas de e-commerce’, ‘Novos paradigmas na investigação dos crimes cibernéticos’ e o estudo de caso ‘Biochip – demonstração de um ataque e análise forense em IoT’. Thiago Bordini (NS Prevention) e Luiz Rabelo (Nextel do Brasil) abriram o evento mostrando alguns dos inúmeros casos recentes de incidentes envolvendo Internet das Coisas e e-commerce, como geladeiras “inteligentes” que dão acesso a páginas e-commerce de alimentos e os “dash buttons” criados pela Amazon para a compra de refrigerantes e outros produtos com apenas um toque. Mesmo proporcionando grande comodidade, economia de tempo e dinheiro, esses dispositivos ainda possuem sistemas operacionais relativamente precários, facilitando invasões e usos indevidos – como, por exemplo, se uma criança aperta o dash button diversas vezes, um mesmo produto será comprado indiscriminadamente e dificilmente o problema será contornado com o fornecedor.
Além disso, segundo os especialistas, a Internet das Coisas geralmente apresenta obstáculos a uma investigação forense: a extensão da internet às “coisas”, como a carros, geladeiras, relógios etc dificulta o processo de coleta de dados e consequente formação de evidências. Frente a esse cenário, Rabelo afirma que o desenvolvimento das investigações prima pela criatividade de quem as realiza – pensar “fora da caixa”. “A metodologia tradicional de investigação forense contempla um legado antigo, no entanto é preciso encontrar caminhos para realizar todos os passos investigativos em dispositivos cada vez mais diversos”, afirma ele.
Para debater os novos paradigmas nessas investigações, Thiago Bordini recebeu Giuliano Giova, Diretor do Instituto Brasileiro de Peritos e Doutor em Sistemas Eletrônicos. Segundo Giova, o maior desafio atual da Forense Digital diz respeito à cadeia de custódia – no caso da Internet das Coisas, por exemplo, é extremamente difícil rastrear e documentar a história das evidências. Sendo assim, o perito apontou para algumas mudanças necessárias para contribuir com as investigações: os setores econômicos têm que prover camadas de proteção e uma cadeia de custódia, bem como a indústria de dispositivos tecnológicos deve ser vista como corresponsável pela ocorrência de incidentes, uma vez que ainda presa insatisfatoriamente pela segurança do consumidor.
Na parte da tarde, foi apresentado o estudo de caso “Passo a passo de uma investigação forense digital’, conduzido por Luiz Rabelo, Renne Cardoso (Grupo DARYUS) e pelo perito computacional Marcelo Nagy. Utilizando um caso verídico, de um assassinato cometido nos Estados Unidos em 2017, os especialistas apontaram questões relevantes sobre IoT, como a possibilidade de determinados dispositivos serem utilizados em prol de investigações, já que possuem sensores de tempo, movimento etc. O caso relatado somente foi concluído porque a justiça resolveu utilizar dados gravados no smart watch da vítima, ou seja, neste exemplo a IoT entra como elemento favorável à investigação. Em contrapartida, outros dispositivos não possibilitam o discernimento de um uso lícito ou ilícito, como o próprio caso dos “dash buttons”. Dessa maneira, mais uma vez fica evidente a importância dos peritos forenses ampliarem sempre as formas interpretativas e as alternativas de coleta e criação de evidências.
Na sequência, foram apresentados o painel ‘Crimes cibernéticos e a nossa legislação’, conduzido por Cristiano Breder (Wipro) e com a participação do especialista em Processo Penal Santiago Schunck (SASC Adogados) e Thiago Morisse, Security Engineer (Rapid7), e o talkshow ‘Times de alta performance em Forense Digital’, por Jeferson D’Addario (CEO DARYUS), Ricardo Tavares (coordenador da pós-graduação em Cyber Security DARYUS Educação e Faculdade Impacta) e Luiz Rabelo (coordenador da pós-graduação em Investigação Forense Digital DARYUS Educação e Faculdade Impacta).
Em resumo, deficiências do sistema legislativo brasileiro e da cultura empresarial com relação à Cyber Security foram colocadas em debate. Um consenso entre especialistas é a necessidade imediata de se conscientizar gestores e executivos sobre a importância do investimento na área. Investir em Segurança Cibernética não pode mais ser visto como ‘gasto’, mas como preservação do negócio. Além disso, é preciso haver uma mudança profunda na maneira como as empresas lidam com incidentes – é preciso assumir que houve uma invasão, que se foi vítima de incidentes etc. Somente compartilhando experiências e descobertas investigativas, o corpo empresarial brasileiro se fortalecerá. Como apontado pelo Dr. Santiago Shunck, “o crime é altamente organizado e as empresas também