Upload
lamdat
View
217
Download
0
Embed Size (px)
Citation preview
Curso de Tecnologia em Segurança da Informação – TSI
TRABALHO DE CONCLUSÃO DE CURSO
SANITIZAÇÃO DE DISPOSITIVOS DE ARMAZENAMENTO DE
DADOS NO ÂMBITO DO STF
Euflázio Paulo da Silva
Guará - DF
Dezembro/2014
1
Euflázio Paulo da Silva
SANITIZAÇÃO DE DISPOSITIVOS DE ARMAZENAMENTO DE DADOS NO ÂMBITO
DO STF
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo em Segurança da Informação.
Orientadora: Profa Dra Maria José de Oliveira.
Guará - DF
Dezembro/2014
2
Dados Internacionais de Catalogação na Publicação (CIP) _______________________________________________________________
Silva, Euflázio Paulo da.
Sanitização de dispositivos de armazenamento de dados no âmbito do STF / Euflázio Paulo da Silva: Professora orientadora Maria José de Oliveira. – [S.l]: [s.n.], 2014.
79f. : il. Monografia (Graduação em Tecnologia em Segurança da Informação) –
Faculdades Promove de Brasília, 2014.
I. Oliveira, Maria José de. II. Doutora.
_______________________________________________________________ Bibliotecário: Luís Sérgio de Rezende Moura – CRB1/DF-1929
3
TRABALHO DE CONCLUSÃO DE CURSO
Euflázio Paulo da Silva
Título do trabalho: Sanitização de dispositivos de armazenamento de dados no âmbito do STF
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para a obtenção do título de tecnólogo em Segurança da informação.
Aprovado em 18/12/2014
Orientadora: Profa. Dra Maria José de Oliveira Faculdades Promove de Brasília
_____________________________________________ Avaliador: Prof. MSc Cid Bendahan Coelho Cintra Faculdades Promove de Brasília
Avaliador: Prof. MSc Hamilton Iwamoto da Silva Faculdades Promove de Brasília
4
CESSÃO DE DIREITOS
Nome do autor: Silva, Euflázio Paulo
Título da monografia: SANITIZAÇÃO DE DISPOSITIVOS DE ARMAZENAMENTO DE DADOS NO ÂMITO DO STF
Tecnólogo em Segurança da Informação
É concedida às Faculdades Integradas ICESP PROMOVE, permissão para reproduzir e emprestar cópias desta monografia somente para fins acadêmicos e científicos. Os autores reservam-se outros direitos de publicação.
Euflázio Paulo da Silva
5
Aos meus filhos, João Paulo e Samuel,
Aos quais tive que negligenciar nossas horas de
brincadeiras e jogatinas no videogame em prol da
conquista de mais esse objetivo na minha vida.
6
AGRADECIMENTOS
A realização deste trabalho só foi possível graças à colaboração direta e indireta de
muitas pessoas. Manifesto minha gratidão a todas elas e de forma particular:
A Deus, por ter permitido que eu concluísse com êxito mais essa fase da minha vida;
À minha família, pela compreensão e paciência durante as minhas ausências por estar
totalmente dedicado a essa meta;
À minha professora e orientadora Dra. Maria José “Zezé”, pela paciência, dedicação,
pela maneira como “abraçou” o tema escolhido por mim, e por ter acreditado na minha
capacidade;
Ao professor Cid por ter despertado, em suas aulas, o meu interesse sobre o assunto,
sempre que citava as tais “informações residuais”;
À minha grande amiga Mônica, pela paciência e interesse em me ouvir sempre falando
sobre as madrugadas que passei em claro e sobre o meu desespero em entregar este trabalho
dentro do prazo.
E por fim, ao colega de trabalho e professor e Dr. Rafael Rabelo que, durante uma de
nossas “conversas de corredor”, sugeriu que eu desenvolvesse esse tema como trabalho de
conclusão de curso.
7
Tudo tem o seu tempo determinado, e há
tempo para todo o propósito debaixo do céu.
(Eclesiastes 3:1)
8
RESUMO
Este trabalho teve por objetivo propor, para adoção por parte do Supremo Tribunal Federal -
STF, uma Instrução Normativa – IN que fizesse referência a procedimentos de trabalho que
orientassem e padronizassem processos de sanitização de dispositivos eletrônicos e
magnéticos de armazenamento de dados. Para a realização do trabalho foram realizadas
entrevistas não estruturadas com colaboradores do STF diretamente envolvidos no processo
de desfazimento desses dispositivos. Trata-se de um Estudo de Caso, onde os eventos
relacionados à segurança das informações armazenadas nos dispositivos eletrônicos e
magnéticos de armazenamento de dados foram submetidos a uma análise de risco, utilizando-
se o método de Análise Preliminar de Risco – APR. Os resultados obtidos, após análise da
APR e do ambiente, mostraram riscos associados à possibilidade de vazamento de
informações após o desfazimento desses bens e esses riscos foram considerados inaceitáveis,
e por isso devem ser eliminados ou mitigados. Concluiu-se que para mitigar esses riscos
deveriam ser criados procedimentos de trabalho orientandos a sanitização dos dispositivos de
armazenamento de dados. Esses procedimentos de trabalho deverão ser referendados em uma
IN para adoção pelo STF.
Palavras-chaves: sanitização de dados; risco; desfazimento de bens; descarte de mídias;
instrução normativa; vazamento de informações.
9
ABSTRACT
This study aimed to propose for adoption by the Supremo Tribunal Federal - STF, a
Normative Instruction - NI that made reference to working procedures to gear and standardize
sanitization processes of electronic and magnetic devices data storage. To conduct the study
were not structured interviews with STF employees directly involved in the process of
undoing these devices. It is a Case Study, where the security-related events of the information
stored in the electronic and magnetic data storage devices to have undergone a risk analysis,
using the method Preliminary Analysis of Risk - PAR. The results obtained after analysis of
the PAR and the environment, showed risks associated with the possibility of information
leakage after the undoing of these properties and these risks were considered unacceptable,
and therefore should be eliminated or mitigated. It was concluded that to mitigate these risks
working procedures should be established mentees sanitization of data storage devices. These
working procedures would be referenced in an NI for adoption by the STF.
Keywords: data sanitization; risk; undoing of properties; disposal of media; normative
instruction; information leakage.
10
LISTA DE FIGURAS
Figura 1 - Modelo de Instrução Normativa .............................................................................. 20
Figura 2 - Ciclo de Vida da Informação ................................................................................... 26
Figura 3 - Porção de uma trilha de disco. Ilustração com dois setores. ................................... 31
Figura 4 - Disco com quatro pratos .......................................................................................... 31
Figura 5 - Disco com cinco zonas. Cada zona tem muitas trilhas. ........................................... 32
Figura 6 - Interior de um SSD .................................................................................................. 33
Figura 7 - Descrição dos algoritmos DoD 5220.22-M (E) e DoD 5220.22-M (ECE) ............. 38
Figura 8 - Organograma do STF............................................................................................... 46
Figura 9 - Organograma da STI ................................................................................................ 47
Figura 10 - Desmagnetizador Degaus T1.5 .............................................................................. 53
Figura 11 - Destruidor de discos Data Destroyer PD-5 ............................................................ 54
11
LISTA DE QUADROS
Quadro 1 - Matriz de Classificação de Risco ........................................................................... 21
Quadro 2 - Classificação do Risco – Severidade x Frequência ................................................ 21
Quadro 3 - Tratamento que Precede o Desfazimento de Bens de Microinformática ............... 49
Quadro 4 - Tratamento que Precede o Desfazimento de Bens de Infraestrutura ..................... 50
Quadro 5 - Análise Preliminar de Risco - APR ........................................................................ 51
Quadro 6 - Tipo de bem x Situação x Tratamento ................................................................... 52
12
LISTA DE ABREVIATURAS E SIGLAS
APR - Análise Preliminar de Risco
DBAN – Dariks Boot and Nuke
HD - hard disk
IDE - Integrated Drive Electronics
IN - Instrução Normativa
NIST - National Institute of Standards and Technology
NCSC – National Computer Security Center
NSA - National Security Agency
PT - Procedimento de Trabalho
RAID - Redundant Array of Independent Disks
SAIN - Seção de Ativos de Infraestrutura
SCP - Seção de Controle do Patrimônio
SCSI - Small Computer System Interface
SIMI - Seção de Infraestrutura de Microinformática
SSD - Solid State Disk
STF – Supremo Tribunal Federal
STI - Secretaria de Tecnologia da Informação
TI - Tecnologia da Informação
USB - Universal Serial Bus
13
SUMÁRIO CAPÍTULO I ............................................................................................................................ 15
INTRODUÇÃO ........................................................................................................................ 15
1.1. Problema ............................................................................................................................... 16
1.2. Justificativa ........................................................................................................................... 16
1.3. Objetivos ............................................................................................................................... 17
1.3.1. Geral .............................................................................................................................. 17
1.3.2. Específicos .................................................................................................................... 17
CAPÍTULO II ........................................................................................................................... 18
2.1. Procedimentos Metodológicos .............................................................................................. 18
CAPÍTULO III ......................................................................................................................... 23
3.1. Referencial Teórico ............................................................................................................... 23
3.1.1. Ativo .............................................................................................................................. 23
3.1.2. Dado .............................................................................................................................. 23
3.1.3. Informação .................................................................................................................... 24
3.1.4. Ciclo de Vida da Informação......................................................................................... 25
3.1.5. Segurança da Informação .............................................................................................. 26
3.1.6. Classificação da Informação ......................................................................................... 27
3.1.7. Risco .............................................................................................................................. 28
3.1.8. Tecnologia da Informação ............................................................................................. 29
3.1.9. Dispositivos de Armazenamento de Dados ................................................................... 29
3.1.10. Recuperação de Dados .................................................................................................. 34
3.1.11. Informação Residual ..................................................................................................... 35
3.1.12. Sanitização de Dados .................................................................................................... 36
3.1.13. Darik’s Boot and Nuke – DBAN ................................................................................... 37
3.1.14. O Algoritmo DoD 5220.22-M ....................................................................................... 38
3.1.15. O BitLocker ................................................................................................................... 39
3.1.16. O Eraser ........................................................................................................................ 40
3.1.17. Desmagnetização ........................................................................................................... 41
3.1.18. Desfazimento de Bens no Âmbito do Governo Federal ................................................ 41
3.1.19. Descarte de Mídias de Armazenamento ........................................................................ 43
CAPÍTULO IV ......................................................................................................................... 45
4.1. Estudo de Caso ...................................................................................................................... 45
4.1.1. O Supremo Tribunal Federal - STF ............................................................................... 45
4.1.2. A Secretaria de Tecnologia da Informação do STF - STI ............................................. 46
14
4.1.3. A Seção de Infraestrutura de Microinformática - SIMI ................................................ 47
4.1.4. A Seção de Ativos de Infraestrutura – SAIN ................................................................ 47
4.1.5. A Seção de Controle do Patrimônio do STF - SCP ....................................................... 48
4.1.6. O Desfazimento de Bens de TI no Âmbito do STF....................................................... 48
4.1.7. Análise de Risco ............................................................................................................ 50
4.2. A Instrução Normativa - IN .................................................................................................. 51
4.3. Procedimento de Trabalho .................................................................................................... 52
CAPÍTULO V .......................................................................................................................... 55
Conclusão .......................................................................................................................................... 55
Referências ........................................................................................................................................ 56
GLOSSÁRIO .................................................................................................................................... 58
Apêndices .......................................................................................................................................... 60
Apêndice A - Instrução Normativa ................................................................................................... 60
Apêndice B - PT – 01 ........................................................................................................................ 62
Apêndice C - PT – 02 ........................................................................................................................ 66
Apêndice D - PT – 03 ........................................................................................................................ 71
15
CAPÍTULO I
INTRODUÇÃO
A Tecnologia da Informação – TI evolui cada vez mais rápido, componentes
eletrônicos estão cada vez menores e mais eficientes. Isso impacta diretamente nos
dispositivos de armazenamento de dados, as mídias magnéticas e eletrônicas (Hard Disk -
HD, Solid State Disk - SSD, pendrives e etc.) estão cada vez mais rápidas, baratas e com
maior capacidade. Essas características, ao mesmo tempo que as tornam mais atrativas,
também as tornam um risco à confidencialidade de informações. Quanto mais “espaço” se
tem em um HD, ou em um pendrive, mais informações são salvas nesses dispositivos, e maior
o risco de perda ou vazamento dessas informações. Também devido a essa rápida evolução e
ao barateamento daquelas mídias, a frequência com que elas são descartadas é muito maior, e
mais uma vez surge o risco de vazamento de informações sensíveis.
Então, o que fazer para mitigar ou eliminar esse risco? A resposta é sanitizar.
Submeter essas mídias a um processo de sanitização de dados a fim de que a recuperação
desses dados se torne uma tarefa muito difícil, inviável ou até mesmo impossível.
Normalmente, quando essas mídias são utilizadas por usuários domésticos, esse risco é
ignorado. No entanto, no caso de empresas e órgãos públicos, as informações contidas nessas
mídias, na maioria dos casos, possui valor estratégico para o negócio, e esse risco não pode
ser ignorado.
No caso específico do Supremo Tribunal Federal - STF, as informações contidas em
mídias eletrônicas e magnéticas são provenientes dos processos de trabalho daquela Corte, ou
seja, informações relativas a processos judiciais de classificação pública ou restrita (segredo
de justiça).
O descarte de mídias e equipamentos no âmbito do STF nem sempre é precedido de
sanitização. Para resolver esse problema e mitigar os riscos relativos ao vazamento de
informações, esse trabalho propõe a adoção, por parte do STF, de uma Instrução Normativa –
IN que institucionalize a obrigatoriedade da sanitização de mídias antes de seu descarte. Essa
IN fará menção a Procedimentos de Trabalho – PT que irão padronizar e orientar de que
forma essa sanitização deverá ser realizada.
16
Esta monografia está dividida em cinco capítulos assim distribuídos: no primeiro
capítulo são apresentados o problema, a justificativa e os objetivos, no segundo capítulo os
procedimentos metodológicos, no terceiro, o referencial teórico, o quarto capítulo trás o
estudo de caso, a IN e os PTs, e por fim, no quinto capítulo são apresentados a conclusão, as
referências e os apêndices.
1.1. Problema
Computadores, notebooks, servidores, HDs externos e pendrives possuem um tempo
de vida útil. No STF depois de considerados inservíveis ou tecnologicamente defasados são
descartados, vendidos, leiloados ou doados. Porém, mesmo formatados ou com defeito, os
dados contidos naqueles equipamentos e dispositivos podem ser restaurados por especialistas
ou até mesmo por “curiosos” ou pessoas mal intencionadas. Este problema pode ser resolvido
com a sanitização dos dados contidos nos dispositivos de armazenamento.
No âmbito do Supremo Tribunal Federal nem sempre o procedimento de sanitização
dos dados é realizado quando do desfazimento dos equipamentos citados acima.
1.2. Justificativa
A sanitização de dados é de extrema importância nos casos em que estejam envolvidos
dados e/ou informações com algum grau de sigilo.
O risco de vazamento de informações sigilosas, por meio de processo de recuperação
de dados, requer a implantação de políticas que padronizem processos para mitigação desse
mesmo risco.
No âmbito do STF, essas políticas são apresentadas sob a forma de Instruções
Normativas – IN e os respectivos processos são os Procedimentos de Trabalho – PT. Portanto,
sugere-se a publicação e adoção de uma IN que faça referência a procedimentos de trabalho
que padronizem a sanitização de dados nos diversos dispositivos de armazenamento utilizados
no STF.
17
1.3. Objetivos
1.3.1. Geral
Propor, no âmbito do Supremo Tribunal Federal – STF, uma Instrução Normativa – IN
e os respectivos Procedimentos de Trabalho – PTs que orientem a adoção de processos de
sanitização dos dispositivos magnéticos e eletrônicos de armazenamento de dados para o
desfazimento seguro de tecnologias da informação.
1.3.2. Específicos
a. Levantar a literatura sobre os assuntos “sanitização de dispositivos, magnéticos e
eletrônicos, de armazenamento de dados” e “desfazimento de bens de tecnologia da
informação no âmbito do Governo Federal”.
b. Descrever os procedimentos existentes, no âmbito do STF, para o desfazimento de
equipamentos e dispositivos, magnéticos e eletrônicos, de armazenamento de dados.
c. Propor uma Instrução Normativa e seus respectivos procedimentos de trabalho para
os processos de sanitização de dispositivos, magnéticos e eletrônicos, servíveis e
inservíveis, de armazenamento de dados.
18
CAPÍTULO II
2.1. Procedimentos Metodológicos
Para a elaboração do trabalho foram seguidos os seguintes procedimentos
metodológicos:
1) Análise da literatura referente aos seguintes temas: informação, segurança da informação,
análise de riscos, tecnologia da informação, dispositivos eletrônicos e magnéticos de
armazenamento de dados, sanitização de dispositivos de armazenamento, desfazimento de
bens no âmbito do Governo Federal, descarte de mídias de armazenamento de dados.
2) Para a elaboração da Instrução Normativa foram utilizados dois procedimentos distintos:
a) Aplicação de uma entrevista não estruturada aos colaboradores pertencentes à Seção
de Ativos de Infraestrutura e à Seção de Infraestrutura de Microinformática, nos dias 8
e 9 de outubro de 2014. A entrevista aplicada teve por objetivo obter informações
sobre os procedimentos de descarte de dispositivos magnéticos e eletrônicos de
armazenamento de dados e foi composta das seguintes perguntas:
i) Quais equipamentos que possuem dispositivos de armazenamento de dados são
disponibilizados para desfazimento pela Secretaria de Tecnologia da Informação –
STI?
ii) Com que frequência esse desfazimento acontece?
iii) Que informações estão armazenadas nesses dispositivos?
iv) Qual tratamento é dado a esses dispositivos antes de serem disponibilizados para
desfazimento?
Os dados coletados nas entrevistas foram utilizados no estudo de caso, para descrever
a realidade do STF, na análise de risco, na IN, e para verificar a viabilidade de implantação
dos PTs propostos.
b) Também foi realizada a análise do Manual de Atos Oficiais Administrativos do STF.
O Manual de Atos Oficiais Administrativos do STF, disponível na Intranet, tem por
19
objetivo padronizar os documentos oficiais gerados naquela Corte e orientar, não só na
forma, mas também sobre os assuntos e conteúdos que podem ser abordados por esses
documentos, além de sua abrangência.
Assim o Manual se autodescreve:
O intuito deste manual é auxiliar o consulente na elaboração de textos que seguem os preceitos da redação oficial — clareza, objetividade e concisão da informação — e as regras gramaticais da língua portuguesa. Pretende, ainda, orientar os usuários acerca da estrutura dos diferentes documentos oficiais, para que sejam concebidos em conformidade a padrões específicos. À parte o apoio linguístico e a orientação relativa à apresentação dos textos oficiais, compõe, também, este trabalho o tema “Processo Administrativo”, que obedece à disciplina estabelecida na Instrução Normativa n. 10/2004 deste Tribunal. A prática dos procedimentos definidos nesta instrução refletirá, por certo, na agilidade dos atos e das decisões administrativas, essenciais ao complexo de atividades que dão suporte ao Supremo Tribunal para o cumprimento das suas atribuições institucionais. Espera-se que este manual, elaborado com fundamento em bibliografia técnica especializada, dinamize os trabalhos desenvolvidos por esta Casa. (BRASIL. 2005, p. 9)
20
O Manual foi usado para nortear a confecção da IN proposta neste estudo de caso. Ela
foi construída rigorosamente nos moldes padronizados pelo manual, conforme figura 1
abaixo:
Figura 1 - Modelo de Instrução Normativa
Fonte: Intranet do STF
Esta IN faz referência a procedimentos de trabalho elaborados de acordo com modelos
disponíveis na Intranet do STF.
O conteúdo desses procedimentos de trabalho é compatível com o ambiente real da
Secretaria de Tecnologia da Informação do STF, ou seja, é possível de execução na atual
infraestrutura do STF podendo sugerir a implantação de nova infraestrutura para sua
21 execução. Os procedimentos de trabalho foram elaborados a partir das informações obtidas
nas entrevistas não estruturadas com colaboradores do STF que participam diretamente do
processo de desfazimento.
3) Análise Preliminar de Risco – APR:
O produto das entrevistas estruturadas, das conversas informais e análise do processo
de desfazimento foram submetidos a uma análise de risco cuja técnica utilizada foi a Análise
Preliminar de Risco – APR1.
O Objetivo da APR é identificar perigos, eventos, situações que possam trazer riscos à
organização e classificar esses riscos conforme a Matriz de Classificação de Risco, mostrada
no Quadro 1.
Quadro 1 - Matriz de Classificação de Risco
Fonte: Oliveira(2014)1
A matriz é preenchida levando-se em conta a frequência e a severidade dos eventos, e
assim, classificar os riscos, segundo o Quadro 2.
Quadro 2 - Classificação do Risco – Severidade x Frequência
Severidade Frequência Risco I - Desprezível A - Extremamente Remota 1- Desprezível II - Marginal B - Remota 2 - Menor III - Crítica C - Improvável 3 - Moderado IV - Catastrófica D - Provável 4 - Sério E - Frequente 5 - Crítico
Fonte: Oliveira(2014)1
1 Conceitos e tabelas provenientes de anotações da aula sobre risco ministrada por Maria José de Oliveira, em 20 de abril de 2014 nas Faculdades Integradas Promove.
22
De posse daquelas informações pode-se decidir o que fazer com o risco, mitigá-lo,
aceitá-lo, transferi-lo ou contê-lo.
Fases do processo de desfazimento foram submetidas a uma Análise Preliminar de
Risco – APR, que comprovou que existem riscos que não podem ser aceitos, devem ser
mitigados ou eliminados.
4) Estudo de Caso
Pelo fato de ter acesso ao ambiente que seria estudado e considerando que “investigar
um fenômeno contemporâneo em profundidade em seu contexto de vida real quando os
limites entre o fenômeno e o contexto não são claramente evidentes” (YIN, 2010, P.39), a
metodologia de pesquisa escolhida foi o Estudo de Caso.
Baseado nas entrevistas estruturadas, nas conversas informais com a equipe de
colaboradores da STI, nas visitas aos ambientes onde ficam armazenados os equipamentos de
informática antes de seu desfazimento, foi elaborado um estudo de caso orientado ao risco de
vazamento de informações restritas pelo processo de recuperação de dados.
23
CAPÍTULO III
3.1. Referencial Teórico
3.1.1. Ativo
As normas ABNT NBR ISO/IEC 27001 (2006, p.2) e ABNT NBR ISO/IEC 27002
(2005, p.1) definem ativo como “qualquer coisa que tenha valor para a organização.”.
Sêmola (2003, p.45) o descreve como sendo “Todo elemento que compõe os processos
que manipulam e processam a informação, a contar a própria informação, o meio em que ela
é armazenada, os equipamentos em que ela é manuseada, transportada e descartada.”
(grifo meu).
Diante da definição acima, pode-se facilmente fazer as associações abaixo no que se
refere a ativos no âmbito do Tribunal:
• Meio de armazenamento da informação – dispositivos de armazenamento de
dados (HD, SSD, pendrive);
• Equipamentos para manuseio da informação – parque computacional do STF;
• Equipamentos para transporte da informação – pendrive, HD externo, rede de
dados;
• Descarte da informação – processo de desfazimento dos dispositivos de
armazenamento.
3.1.2. Dado
É comum a confusão entre os termos dado e informação, porém, há grande diferença
entre eles. Dado é a matéria prima da informação, é a sua forma mais bruta.
Norton (1996, p. 102) conceitua dado desta forma:
O termo que usamos para descrever os sinais com os quais o computador trabalha é dado. Apesar de as palavras dado e informação serem muito usadas como sinônimos, há uma diferença importante entre elas. No sentido mais estrito, dados são os sinais brutos e sem significado individual que os computadores manipulam para produzir informações.
24
Kissel et al (2012, p. 37) no Guia para Sanitização de Mídias, escrito para o Instituto
Nacional de Padrões e Tecnologia dos EUA - NIST, definem o termo dado como (tradução
nossa) “Peças de informação a partir do qual "a informação compreensível" é derivada.”
3.1.3. Informação
Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. ix),
A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e consequentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades [...].
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
Fontes (2006, p. 2) conceitua que “[...] informação é um ativo de valor. É um recurso
crítico para a realização do negócio, e a execução da missão da organização. Portanto, sua
utilização deve ter regras e procedimentos.”.
Ainda nessa mesma linha, Ferreira (2003, p. 1 e 17) ratifica que:
A informação é um ativo que, como qualquer outro ativo importante, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegido.
A informação pode estar armazenada em ambientes informatizados ou no formato convencional (papel). Em ambos os ambientes ela tem valor e precisa ser protegida de uma forma profissional e estruturada.
Kissel et al (2012, p. 37) no Guia para Sanitização de Mídias, escrito para o NIST,
define informação como (tradução nossa) “Interpretação ou uma expressão significativa de
dados.”
No escopo deste trabalho, a informação será tratada como os arquivos provenientes
25 dos processos de trabalho no STF, salvos nos dispositivos de armazenamento de dados do
parque computacional do STF.
3.1.4. Ciclo de Vida da Informação
Segundo Sêmola (2003, p. 10) o ciclo de vida da informação é composto por quatro
momentos:
1. Manuseio;
2. Armazenamento;
3. Transporte;
4. Descarte.
Sêmola (2003, p. 10) descreve da seguinte forma as do ciclo de vida da informação:
Manuseio Momento em que a informação é criada e manipulada [...] Armazenamento Momento em que a informação é armazenada, seja em banco de dados compartilhado, em uma anotação de papel posteriormente postada em um arquivo de ferro, ou, ainda, um uma mídia de disquete depositada na gaveta da mesa de trabalho, por exemplo. Transporte Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou, ainda, ao falar ao telefone uma informação confidencial, por exemplo. Descarte Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa[...]
No processo de sanitização de dados, atua-se na fase do descarte da informação, ou
seja, o processo procura destruí-la de uma forma que não possa ser recuperada.
26
A Figura 2, abaixo, mostra os momentos do ciclo de vida da informação interagindo
com os pilares da segurança e seus aspectos complementares.
Figura 2 - Ciclo de Vida da Informação
Fonte: Sêmola (2003, p. 11)
No STF, o objetivo da sanitização é descartar, de forma definitiva e segura, sem que
restem informações residuais dos dados provenientes dos processos de trabalho salvos nos
dispositivos de armazenamento do parque computacional.
3.1.5. Segurança da Informação
Sobre a Segurança da Informação a norma ABNT NBR ISO/IEC 27001 (2005, p. ix)
diz o seguinte:
Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Sêmola (2003, p. 43) define Segurança da Informação da seguinte forma:
[...] uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações ou sua indisponibilidade.
27
De forma mais ampla, podemos também considerá-la como prática de gestão de riscos de incidentes que impliquem no comprometimento dos três principais conceitos da segurança: confidencialidade, integridade, e disponibilidade da informação.
Ferreira (2003, p. 1) diz que “A Segurança da Informação protege a informação de
diversos tipos de ameaças garantindo a continuidade dos negócios, minimizando os danos e
maximizando o retorno dos investimentos e das oportunidades.”.
Fontes (2006, p. 11) destaca que “A segurança da informação existe para minimizar os
riscos do negócio em relação à dependência do uso dos recursos de informação para o
funcionamento da organização.”.
No caso específico do STF, os ativos de informação que esta política de sanitização
visa proteger são os dispositivos, eletrônicos e magnéticos, de armazenamento de dados. A
proteção almejada é contra acessos não autorizados após o seu desfazimento, e o pilar a ser
preservado é a confidencialidade.
A ideia de padronizar procedimentos de trabalho para a correta sanitização de dados é
ratificada por Sêmola (2003, p. 44): “A segurança da informação é alcançada por meio de
práticas e políticas voltadas a uma adequada padronização operacional e gerencial dos ativos,
e processos que manipulam e executem a informação.".
3.1.6. Classificação da Informação
Ferreira (2003, p. 17) diz que:
Classificar as informações corporativas baseadas nos riscos do negócio, valor dos dados ou qualquer outro critério é uma questão de bom senso. Nem toda informação possui o mesmo valor ou uso, ou está sujeita aos mesmos riscos. Portanto, mecanismos de proteção e processos de recuperação devem ser diferenciados. A classificação dos dados é necessária para minimizar o custo com a proteção das informações e ajudar nas tomadas de decisões corporativas.
No caso específico do STF, as informações classificadas como restritas são salvas em
locais específicos para esse fim na rede de dados. O descarte dessas informações só acontece
no momento do desfazimento dos equipamentos de infraestrutura tecnológica (servidores,
storages e fitas magnéticas). Algumas dessas informações são processos que correm em
segredo de justiça e que, teoricamente, quando os dispositivos que as armazenam são
28 descartados, essas informações já foram classificadas como públicas. No entanto, nada
impede que algum usuário que manuseie essas informações, enquanto sigilosas, as salvem em
outros locais não autorizados (microcomputadores, notebooks, pendrives, HDs externos e
etc.).
3.1.7. Risco
O ponto central que motiva a proposta da norma é o risco. O risco de recuperação de
dados após o desfazimento dos dispositivos de armazenamento, e com isso, o vazamento de
informações sensíveis.
Segundo a norma ABNT NBR ISO/IEC 27002 (2005, p. 2) risco é a “combinação da
probabilidade de um evento e de suas consequências”.
Outros conceitos de risco:
• Ameaça concreta de dano que paira sobre nós; • Qualquer coisa desconhecida ou incerta que possa impedir o sucesso; • Eventos incertos que podem afetar os objetivos; • Incerteza.2
A norma ABNT NBR ISO/IEC 27002 (2005, p. 2 e 3) traz ainda outros conceitos
ligados a risco: Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco. Análise/avaliação de riscos: processo completo de análise e avaliação de riscos. Avaliação de riscos: processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. Tratamento do risco: processo de seleção e implementação de medidas para modificar um risco. Ameaça: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
2 Anotações da aula sobre risco, ministrada por Maria José de Oliveira, em 20 de abril de 2014 nas Faculdades Integradas Promove.
29
Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
3.1.8. Tecnologia da Informação
Tecnologia da Informação é um facilitador tecnológico que automatiza processos de
trabalho gerando valor ao negócio e auxiliando a organização no alcance de seus objetivos.
Vieira (2007, p. 3) define assim a Tecnologia da Informação:
Em geral, a coleção de sistema de computação utilizada por uma empresa é considerada tecnologia da informação. Um dos objetivos da tecnologia da informação é dar suporte às operações das organizações, sejam elas privadas ou públicas, e na maioria dos setores. O motivo para esse uso generalizado é porque ela se tornou o principal facilitador das atividades empresariais no mundo de hoje.
Dentre os diversos tipos de tecnologia da informação, pode-se destacar como um dos
elementos significativos no processo e que necessitam de procedimentos seguros, os
dispositivos de armazenamento de dados.
3.1.9. Dispositivos de Armazenamento de Dados
Os computadores possuem vários tipos de dispositivos de armazenamento de dados, e
eles estão divididos em memória primária e secundária. Os pendrives e SSDs possuem
características semelhantes à memória primária, no entanto, fazem papel de memória
secundária.
A sanitização de dados abordada nessa pesquisa é focada nos dispositivos de memória
secundária (HDs, SSDs, pendrives e fitas magnéticas).
Assim, Austin e Tanenbaum (2013, p. 111) dividem assim os tipos de memória:
Memórias podem ser categorizadas como primárias ou secundárias. A memória primária é usada para conter o programa que está sendo executado no momento. Seu tempo de acesso é curto - algumas poucas dezenas de nanossegundos, no máximo - e independe do endereço que está sendo acessado. Caches reduzem ainda mais esse tempo de acesso. Algumas memórias são equipadas com códigos de correção de erros para aprimorar a confiabilidade. Memórias secundárias, ao contrário, têm tempos de acesso muito mais longos (milissegundos ou mais) e dependem da localização dos dados que estão sendo lidos ou escritos. Fitas, discos magnéticos e discos óticos são as memórias secundárias mais comuns. Há muitas variedades de discos magnéticos, incluindo
30
discos flexíveis , discos Winchester, discos IDE, discos SCSI e RAIDs . Entre os discos óticos figuram CD-ROMs, CD-Rs e DVDs.
Os principais dispositivos tratados no processo de sanitização são os HDs e SSDs.
Austin e Tanenbaum (2013, p. 68 a 70) descrevem os HDs assim:
Discos magnéticos – HD Um disco magnético é composto de um ou mais pratos de alumínio com um revestimento magnetizável. Um cabeçote de disco que contém uma bobina de indução flutua logo acima da superfície, apoiado sobre um colchão de ar (exceto para discos flexíveis , onde tocam a superfície). Quando uma corrente positiva ou negativa passa pelo cabeçote, ele magnetiza a superfície logo abaixo dele, alinhando as partículas magnéticas para a esquerda ou para a direita, dependendo da polaridade da corrente. Quando o cabeçote passa sobre uma área magnetizada, uma corrente positiva ou negativa é induzida nele, o que possibilita a leitura dos bits armazenados antes. Assim, à medida que o prato gira sob o cabeçote, uma corrente de bits pode ser escrita e mais tarde lida. A sequência circular de bits escritos quando o disco faz uma rotação completa é denominada trilha. Cada uma das trilhas é dividida em algum número de setores de tamanho fixo, que normalmente contêm 512 bytes de dados, precedidos por um preâmbulo que permite a sincronização do cabeçote antes de uma leitura ou escrita. Em seguida aos dados há um código de correção de erros (ECC - Error-Correcting Code), ou um código de Hamming ou, mais comumente, um código que pode corrigir múltiplos erros, denominado código de Reed-Solomon. Entre setores consecutivos há uma pequena lacuna intersetores. Todos os discos têm braços móveis que podem se mover para dentro e para fora a diferentes distâncias radiais da haste ao redor da qual o prato gira. A cada distância radial pode ser escrita uma trilha diferente. Assim, as trilhas são uma série de círculos concêntricos ao redor da haste. A largura da trilha depende da largura do cabeçote e da precisão com que ele pode ser posicionado radialmente. Com a tecnologia atual, os discos têm em torno de 50 mil trilhas por centímetro, resultando em larguras de trilha na faixa de 200 nanômetros (1 nanômetro = 1/1.000.000 mm). Deve-se notar que uma trilha não é um sulco físico na superfície, mas simplesmente um anel de material magnetizado com pequenas áreas de proteção que o separa das trilhas que estão dentro e fora dele. A densidade linear de bits ao redor da circunferência da trilha é diferente da radial. Ela é determinada em grande parte pela pureza da superfície e pela qualidade do ar. Os discos de hoje atingem densidades de 25 gigabits/cm. Para conseguir alta qualidade de superfície e ar, a maioria dos discos é selada na fábrica para evitar a entrada de pó. Esses drives são denominados discos Winchester. A maioria dos discos é composta de vários pratos empilhados na vertical [...] Cada superfície tem seu próprio braço e cabeçote. Os braços são agrupados de modo que todos se movimentem para diferentes posições radiais ao mesmo tempo. O conjunto de trilhas em uma dada posição radial é denominado cilindro. Os discos usados hoje em PCs normalmente têm 12 pratos por drive, o que resulta em 12 a 24 superfícies de gravação. Hoje, usa-se uma estratégia diferente. Os cilindros são divididos em zonas (normalmente 10 a 30 por drive) e o número de setores por trilha aumenta de zona
31
em zona partindo da trilha mais interna para a mais externa. Essa mudança dificulta o rastreamento de informações mas aumenta a capacidade do drive, que é considerada mais importante. Todos os setores são do mesmo tamanho.
As figuras 3, 4 e 5 ilustram partes internas de um HD:
Figura 3 - Porção de uma trilha de disco. Ilustração com dois setores.
Fonte: Austin e Tanenbaum (2013, p. 68)
Figura 4 - Disco com quatro pratos
Fonte: Austin e Tanenbaum (2013, p. 69)
32
Figura 5 - Disco com cinco zonas. Cada zona tem muitas trilhas.
Fonte: Austin e Tanenbaum (2013, p. 70)
Já os SSDs são descritos dessa forma pelo site INFO Wester:
[...] SSD é a sigla para Solid-State Drive, algo como "Unidade de Estado Sólido", em português. Trata-se de um tipo de dispositivo para armazenamento de dados que, de certa forma, concorre com os discos rígidos. Aceita-se a ideia de que seu nome faz alusão à inexistência de peças móveis na constituição do dispositivo, o que já não acontece nos HDs, que precisam de motores, discos e cabeçotes de leitura e gravação para funcionar. O termo "Estado Sólido", na verdade, faz referência ao uso de material sólido para o transporte de sinais elétricos entre transistores em vez de uma passagem baseada em tubos a vácuo, como era feito na época das válvulas. Em aparelhos SSD, o armazenamento é feito em um ou mais chips de memória, dispensando totalmente o uso de sistemas mecânicos para o seu funcionamento. Como consequência desta característica, unidades do tipo acabam sendo mais econômicas no consumo de energia, afinal, não precisam alimentar motores ou componentes semelhantes (note, no entanto, que há outras condições que podem elevar o consumo de energia, dependendo do produto). Esta característica também faz com que "discos SSD "(não se trata de um disco, portanto, o uso desta denominação não é correto, mesmo assim, é um termo relativamente comum) utilizem menos espaço físico, já que os dados são armazenados em chips especiais, de tamanho reduzido. Graças a isso, a tecnologia SSD começou a ser empregada de forma ampla em dispositivos portáteis, tais como notebooks ultrafinos (ultrabooks) e tablets. A tecnologia SSD é baseada em chips especialmente preparados para armazenar dados, mesmo quando não há recebimento de energia. São, portanto, dispositivos não-voláteis. Isso significa que não é necessário usar baterias ou deixar o dispositivo constantemente ligado na tomada para manter os dados nele. Para que isso seja possível, convencionou-se entre os fabricantes de SSD o uso de memórias Flash. Trata-se de um tipo de memória EEPROM* (ver explicação abaixo) desenvolvido pela Toshiba nos anos 1980. Os chips de memória Flash são parecidos com a memória RAM usada nos computadores, porém, ao contrário desta última, suas propriedades fazem com que os dados não sejam perdidos quando não
33
há mais fornecimento de energia, como já informado. * EEPROM é um tipo de memória ROM que permite a regravação de dados, no entanto, ao contrário do que acontece com as memórias EPROM, os processos para apagar e gravar informações são feitos eletricamente, fazendo com que não seja necessário mover o dispositivo de seu lugar para um aparelho especial para que a regravação ocorra. Há, basicamente, dois tipos de memória Flash: Flash NOR (Not OR) e Flash NAND (Not AND). O nome é proveniente da tecnologia de mapeamento de dados de cada um. O primeiro tipo permite acesso às células de memória de maneira aleatória, tal como acontece com a RAM, mas com alta velocidade. Em outras palavras, o tipo NOR permite acessar dados em posições diferentes da memória de maneira rápida, sem necessidade de esta atividade de ser sequencial. O tipo NOR é usado em chips de BIOS ou firmwares de smartphones, por exemplo. O tipo NAND, por sua vez, também trabalha em alta velocidade, porém faz acesso sequencial às células de memória e as trata em conjunto, isto é, em blocos de células, em vez de acessá-las de maneira individual. Em geral, memórias NAND também podem armazenar mais dados que memórias NOR, considerando blocos físicos de tamanhos equivalentes. É, portanto, o tipo mais barato e mais utilizado em SSD.
Abaixo, na figura 6, tem-se o interior de um SSD da SanDisk. Nela podemos observar
os chips de memória flash.
Figura 6 - Interior de um SSD
Fonte: Sítio INFO Wester (http://www.infowester.com/ssd.php)
34
3.1.10. Recuperação de Dados
O risco a ser mitigado com a sanitização é uma provável tentativa de recuperação de
dados por um agente mal intencionado ou até mesmo “curioso”. Alguns fatores contribuem
para essa “curiosidade” ou má intenção de agentes são:
• O STF é o órgão de cúpula do Judiciário Federal;
• Ultimamente vem aparecendo com frequência na mídia por conta de
importantes e polêmicos julgamentos e;
• Processos que correm em segredo de justiça podem despertar o interesse de
das partes envolvidas e da imprensa.
Eleutério e Machado (2010, p. 62-64) fazem uma breve descrição sobre o processo de
recuperação de dados em discos magnéticos (HDs):
Os dispositivos de armazenamento de dados digitais podem guardar muito mais informações do que as visíveis pelos usuários comuns. Isso ocorre basicamente devido ao tipo de organização dos dados dentro desses dispositivos. Ao apagar um arquivo de um computador o sistema operacional não sobrescreve todo o conteúdo ocupado por esse arquivo no disco rígido com zeros e/ou uns. Ele apenas tem um controle de quais partes do disco rígido estão livres e quais estão ocupadas. Assim, na realidade, ao apagar um arquivo, o sistema operacional apenas altera o status desse espaço de ocupado para livre (disponível). Com isso, os dados referentes aos arquivos apagados continuam armazenados no disco rígido e podem ser recuperados por meio de técnicas específicas. Na prática, a recuperação de arquivos é baseada na procura de assinaturas (também chamadas de cabeçalhos) do disco. Quando uma assinatura é encontrada, realiza-se uma busca pelo conteúdo do arquivo, recuperando a informação original (antes de ser apagada) de forma integral ou parcial (quando o conteúdo completo não estiver mais disponível, ou seja, parte foi sobrescrita por outro arquivo). Por percorrer todos os bits do dispositivo, esse procedimento permite que se recuperem arquivos mesmo que eles não tenham sido salvos pelo usuário. Assim, até uma página de internet acessada uma única vez pode ser recuperada de um disco rígido, uma vez que pode ter sido armazenada de forma temporária pelo navegador de internet. Esse processo de recuperação de arquivos com base na procura de assinaturas conhecidas é efetuado de maneira automática por muitas ferramentas disponíveis no mercado e é conhecido como Data Carving [...].
O sítio oficial do Eraser fala sobre a dificuldade de se eliminar arquivos de forma
segura e da facilidade de recuperá-los (tradução nossa):
[...] quando você apaga um arquivo, o sistema operacional não remove o arquivo do disco, ele apenas remove a referência do arquivo da tabela de sistema de arquivos. O arquivo permanece no disco até que outro arquivo é criado sobre ele, e mesmo
35
depois disso, talvez seja possível recuperar os dados, estudando os campos magnéticos na superfície dos discos. Antes que o arquivo seja substituído, qualquer pessoa pode facilmente recuperá-lo com uma manutenção de disco ou um utilitário undelete. Existem vários problemas na remoção segura de arquivos, na sua maioria, causadas pelo uso de cache de escrita, pela construção do disco rígido e pelo uso de codificação de dados. (ERASER, 2013)
O sítio de uma renomada empresa de recuperação de dados, a CBL, diz o seguinte
sobre a recuperação de dados em discos rígidos:
A reformatação de um disco ou a exclusão de arquivos em geral deixará os dados gravados na superfície do disco, porém removerá as entradas do “Índice”. É possível recuperar esses arquivos. No entanto, um disco com problemas físicos ou mecânicos pode ter áreas que não permitem mais a leitura. Esses erros de leitura algumas vezes são chamados de “setores ruins”, porém podem ser, na verdade, uma indicação precoce de uma falha física iminente. Na maioria dos casos, os setores com danos físicos não podem ser recuperados. Quando o sistema operacional é reinstalado por meio de um novo imageamento ou de uma restauração do sistema, essa sobregravação causará alguns danos. A capacidade total de recuperação dependerá da quantidade de dados presentes anteriormente no disco, da quantidade de novos dados gravados no disco, do nível de fragmentação e da localização física real dos dados necessários. (CBL, 2014)
3.1.11. Informação Residual
Entende-se por informação residual ou dados remanescentes os vestígios, rastros que
permitem a recuperação de dados excluídos por meio de um método convencional (deleção,
formatação e etc.).
O Centro Nacional de Segurança da Computação dos EUA – NCSC (1991, p. 6), em
seu Guia para entender dados remanescentes em Sistemas Automáticos de Informação – IAS ,
descreve assim os dados remanescentes (tradução nossa):
Dados remanescentes é a representação física residual de dados que foram apagados de alguma forma. Depois que a mídia de armazenamento é apagada pode haver algumas características físicas que permitem que os dados sejam reconstruídos. Vários documentos foram publicados com procedimentos detalhados para compensação, purificação, a sanitização, ou desrtruição de mídias de armazenamento em Sistemas Automáticos de Informação (SAI). Em algum momento durante o ciclo de vida de um SAI, o seu armazenamento
36
primário e secundário podem precisar ser reutilizado, desclassificados, destruídos ou liberado. É importante que os agentes de segurança, operadores de computador e outros usuários ou responsáveis pelos recursos dos SAI sejam informados sobre os riscos que envolvem a reutilização, a desclassificação, a destruição e a libertação de meios de armazenamento SAI. Eles devem usar os procedimentos adequados para evitar uma possível divulgação de informações confidenciais contidas em tais meios.
Kissel et al (2012, p. 38) no Guia para Sanitização de Mídias, escrito para o NIST,
define as informações residuais como (tradução nossa) “informação remanescente em uma
mídia de armazenamento de dados após a sua limpeza.”.
3.1.12. Sanitização de Dados
Sanitização de dados ou sanitização de discos é o ato de limpar, apagar, de forma
irreversível, dados de um dispositivo de armazenamento, ou seja, eliminar permanentemente
suas informações residuais.
Existem vários sinônimos para esse ato de apagamento: wipe, higienização de dados,
destruição de dados, destruição de informações residuais, dentre outros. Porém, no escopo
deste trabalho, sempre será usada a palavra sanitização para descrever o processo de
eliminação permanente de dados.
O blogueiro e Consultor de Computação Forense, Luiz Sales Rabelo 3 diz o seguinte
sobre a sanitização de discos em seu blog denominado digital forensics:
wipe - sanitização dos dados Como já disse anteriormente, "Excluir" é um termo impróprio (em http://forensics.luizrabelo.com.br/2010/05/excluir-e-um-termo-improprio.html), pois o sistema operacional não apaga uma informação do disco. Mesmo quando utilizamos os comandos “DELETE” ou “ERASE” , os dados continuam no disco rígido, mas a área do disco ocupada por estes dados está disponível para ser utilizada pelo sistema operacional, que "enxerga" esta área como FREE SPACE. Para remover com segurança uma informação sensível do disco (sanitizar o disco), existem diversas opções, mas no fundo todas utilizam a mesma técnica, chamada WIPE. Traduzindo literalmente, WIPE significa LIMPAR. O DOD (Unites States Department of Defense, Departamento de Defesa dos Estados Unidos) estabelece determinadas normas com relação ao saneamento de discos. A especificação relevante, contida no manual 5220.22M do DOD de 1995, define que uma especificação sanitária de disco aceitável é uma “sobrescrição de todos os locais acessíveis com um caractere, seu complemento e, em seguida, um caractere aleatório e verificação
3 Blog Digital Forensicis: http://forensics.luizrabelo.com.br
37
Kissel et al (2012, p. 38 e 39) no Guia para Sanitização de Mídias, escrito para o
NIST, define assim o termo sanitização (tradução nossa):
Um termo geral que se refere às medidas tomadas para tornar os dados escritos em mídia irrecuperável por ambos os meios, ordinários e extraordinários. Um processo para tornar inviável, para um dado nível de esforço, o acesso aos dados em uma mídia. Limpar, Purificar, Danificar, e Destruir são ações que podem ser tomadas para sanear uma mídia.
A maioria dos casos sugeridos como “purificação” envolve a criptografia dos dados
contidos nas mídias e a desmagnetização dos discos, ou seja a combinação de técnicas lógicas
e físicas.
3.1.13. Darik’s Boot and Nuke – DBAN
Darik's Boot and Nuke - DBAN é um software open sourse mundialmente utilizado
para a sanitização de dados em mídias magnéticas. Possui vários algoritmos de sanitização,
entre eles o DoD 5220.22-M, homologado pelo Departamento de Defesa dos EUA, com a
possibilidade de se escolher quantas vezes esse algoritmo será executado na mídia.
Peter Gutmann, Cientista da Computação do Departamento de Ciência da Computação
da Universidade de Aukland, Nova Zelândia, cita em seu artigo denominado Secure Deletion
of Data from Magnetic and Solid-State Memory (Deleção segura de dados em memórias
magnéticas e de estado sólido) a utilização do DBAN para sanitizar mídias magnéticas
(tradução nossa):
Há duas maneiras que você pode excluir dados de mídia magnética, utilizando software ou por destruição física da mídia. Para a opção só de software, para excluir arquivos individuais no Windows eu uso Eraser [...] Para apagar unidades inteiras eu uso DBAN, ele permite criar um CD/DVD usando um kernel Linux enxuto a partir do qual se pode apagar praticamente qualquer mídia. Todos esses aplicativos são gratuitos e open-source [...] (GUTMANN, 1996)
Neste artigo, Gutmann explica o funcionamento de um algoritmo de sua autoria que
realiza operações de apagamento em mídias magnéticas durante 35 interações.
38
3.1.14. O Algoritmo DoD 5220.22-M
DoD 5220.22-M é um algorítimo implementado pelo Departamento de Defesa dos
Estados Unidos para sanitização de discos magnéticos por meio da sobrescrição de dados.
O blogueiro e Consultor de Computação Forense, Luiz Sales Rabelo, em seu blog
denominado digital forensics, diz o seguinte sobre o padrão DoD4:
O DOD (Unites States Department of Defense, Departamento de Defesa dos Estados Unidos) estabelece determinadas normas com relação ao saneamento de discos. A especificação relevante, contida no manual 5220.22M do DOD de 1995, define que uma especificação sanitária de disco aceitável é uma “sobrescrição de todos os locais acessíveis com um caractere, seu complemento e, em seguida, um caractere aleatório e verificação”. O padrão "Wipe Out DoD" garante um disco sanitizado após três padrões de dados serem escritos completamente no disco seis vezes (cada padrão é escrito duas vezes):
• A primeira "passada" escreve UM (1) nas áreas de dado do disco (hex: 0xFF);
• A próxima "passada", escreve ZERO (0) nas áreas de dado do disco (hex 0x00);
• Após este padrão de UMs e ZEROs, uma sétima passada grava um código designado pelo governo no disco (“246”, hex 0xF6), que é seguido por uma oitava passada que verifica o se algum dado ainda pode ser lido no disco.
Na figura 7, abaixo, tem-se a descrição dos algoritmos DoD 5220.22-M (E) e DoD
5220.22-M (ECE):
Figura 7 - Descrição dos algoritmos DoD 5220.22-M (E) e DoD 5220.22-M (ECE)
Fonte: Sítio Digital Forencics (http://forensics.luizrabelo.com.br/search/label/wipe)
4 Blog Digital Forensicis: http://forensics.luizrabelo.com.br
39
O algoritmo sugerido nos procedimentos de trabalho é o DoD 5220.22-M (ECE), ou
seja, com 7 passadas por todo o disco.
3.1.15. O BitLocker
O BitLocker é uma ferramenta da Microsoft, disponível a partir do Windows Vista,
para a criptografia de arquivos e de disco. Ele pode criptografar mídias magnéticas
eeletrônicas conectadas aos barramentos IDE, SATA ou USB.
No escopo desse trabalho, por meio de criptografia e da exclusão das chaves
criptográficas, o BitLocker será usado como ferramenta de sanitização de mídias eletrônicas
(SSDs e pendrives).
O sítio da Microsóft (2012) faz as seguintes considerações sobre o BitLocker:
O BitLocker criptografa as unidades de disco rígido no computador para fornecer proteção avançada contra roubo ou a exposição de dados nos computadores e nas unidades removíveis perdidas ou roubadas, além de uma exclusão de dados mais segura quando os computadores protegidos por BitLocker são descomissionados já que é muito mais difícil recuperar os dados excluídos de uma unidade criptografada do que de uma unidade não criptografada. Como o BitLocker funciona com unidades do sistema operacional? Os dados de um computador perdido ou roubado estão vulneráveis ao acesso não autorizado, seja pela execução de uma ferramenta de ataque a software ou pela transferência do disco rígido do computador para outro computador. BitLocker ajuda a reduzir esse acesso não autorizado em computadores perdidos ou roubados através de:
• Criptografando a unidade inteira do sistema operacional do Windows no disco rígido. O BitLocker criptografa todos os arquivos do usuário e arquivos do sistema na unidade do sistema operacional, incluindo os arquivos de permuta e os arquivos de hibernação.
• Verificando a integridade dos primeiros componentes de inicialização e dados de configuração de inicialização. Em computadores que possuem um TPM (Trusted Platform Module) versão 1.2 ou 2.0, o BitLocker usa os recursos avançados de segurança do TPM para assegurar que os dados fiquem acessíveis somente se os componentes de inicialização do computador aparecerem inalterados e o disco criptografado estiver localizado no computador original.
Como o BitLocker funciona com unidades de dados fixas e removíveis? O BitLocker também pode ser usado para proteger unidades de dados fixas e removíveis. Quando usado com unidades de dados, o BitLocker criptografa todo o conteúdo da unidade e pode ser configurado através do uso de uma Política de Grupo que requer a habilitação do BitLocker em uma unidade antes que o computador possa gravar os dados na unidade.
40
O BitLocker pode criptografar além da unidade do sistema operacional? Sim. No Windows Vista, o BitLocker pode apenas criptografar as unidades do sistema operacional. O Windows Vista SP1 e Windows Server 2008 adicionaram o suporte para criptografar as unidades de dados fixas. No Windows 8, Windows Server 2012, Windows 7 e Windows Server 2008 R2, o BitLocker pode criptografar as unidades de sistemas operacionais, unidades de dados fixas e unidades de dados removíveis. Como a senha de recuperação e a chave de recuperação podem ser armazenadas? A senha de recuperação e a chave de recuperação de uma unidade do sistema operacional ou de uma unidade de dados fixa podem ser salvas em uma pasta, em um ou mais dispositivos USB, em sua conta da Microsoft online ou impressa. Para unidades de dados removíveis, a senha de recuperação e a chave de recuperação podem ser salvas em uma pasta, em sua conta da Microsoft online ou impressa. Por padrão, você não pode armazenar uma chave de recuperação para uma unidade removível em uma unidade removível. Um administrador de domínio pode configurar adicionalmente a Política de Grupo para gerar automaticamente as senhas de recuperação e armazená-las no AD DS (Serviços de Domínio Active Directory) para qualquer unidade protegida com BitLocker.
3.1.16. O Eraser
O Eraser é uma ferramenta de licença livre para Windows para remoção de dados
residuais, ou seja, sanitização de dados. Por meio de algoritmos selecionáveis ela permite
sanitizar uma grande variedade de dispositivos.
No sitio oficial do Eraser (2013) ele se encontra definido da seguinte forma:
Eraser é uma avançada ferramenta de segurança para Windows que permite que você remova completamente os dados sensíveis de seu disco rígido, sobrescrevendo-o várias vezes com padrões cuidadosamente selecionados. Eraser é suportado no Windows XP (com Service Pack 3), Windows Server 2003 (com Service Pack 2), Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Eraser é um software livre e seu código fonte é liberado sob licença GNU General Public. Existem vários problemas na remoção segura de arquivos, na sua maioria causadas pelo uso de cache de escrita, construção do disco rígido e do uso de codificação de dados. Estes problemas foram levados em consideração quando Eraser foi projetado, e por causa deste design intuitivo e uma interface de usuário simples, você pode facilmente e com segurança apagar dados privados do seu disco rígido. (Tradução nossa).
No escopo desse trabalho, o Eraser será utilizado para sanitizar discos magnéticos por
meio da interface USB.
41
3.1.17. Desmagnetização
A desmagnetização é uma técnica de sanitização de mídias magnéticas por meio da
aplicação de um forte campo magnético, inverso ao campo da mídia.
Kissel et al (2012, p. 37) no Guia para Sanitização de Mídias, escrito para o NIST,
define assim o termo desmagnetizar (tradução nossa):
Redução do fluxo magnético para zero virtual por aplicação de um campo de magnetização inversa. Também chamado de desmagnetização. A desmagnetização pode ser aplicada em qualquer disco rígido da geração atual (incluindo padrões IDE, EIDE, ATA, SCSI e etc.). A desmagnetização irá tornar a unidade permanentemente inutilizável, uma vez que estas unidades de armazenamento de dados possuem uma faixa no disco rígido com regiões dedicadas para a localização dos setores de dados.
Existem equipamentos no mercado, chamados de desmagnetizadores, que realizam a
tarefa de desmagnetizar discos rígidos. A IN a ser sugerida propõe a aquisição, por parte do
STF, de um desmagnetizador para sanitizar mídias magnéticas com problemas de leitura e/ou
detecção.
3.1.18. Desfazimento de Bens no Âmbito do Governo Federal
O Decreto da Presidência da República nº 99.658 de 30 de outubro de 1990
regulamenta, no âmbito da Administração Pública Federal, o reaproveitamento, a
movimentação, a alienação e outras formas de desfazimento de material. O decreto diz o
seguinte sobre a classificação dos bens inservíveis e o desfazimento no âmbito do poder
Judiciário: Parágrafo único. O material considerado genericamente inservível, para a repartição, órgão ou entidade que detém sua posse ou propriedade, deve ser classificado como: a) ocioso - quando, embora em perfeitas condições de uso, não estiver sendo aproveitado; b) recuperável - quando sua recuperação for possível e orçar, no âmbito, a cinqüenta por cento de seu valor de mercado; c) antieconômico - quando sua manutenção for onerosa, ou seu rendimento precário, em virtude de uso prolongado, desgaste prematuro ou obsoletismo; d) irrecuperável - quando não mais puder ser utilizado para o fim a que se destina devido a perda de suas características ou em razão da inviabilidade econômica de sua recuperação. Art. 4º O material classificado como ocioso ou recuperável será cedido a outros órgãos que dele necessitem. 1º A cessão será efetivada mediante Termo de Cessão, do qual constarão a indicação de transferência de carga patrimonial, da unidade cedente para a cessionária, e o valor de aquisição ou custo de produção. 2º Quando envolver entidade autárquica, fundacional ou integrante dos Poderes
42
Legislativo e Judiciário, a operação só poderá efetivar-se mediante doação.
O Decreto da Presidência da República nº 6.087 de 20 de abril de 2007 altera os
artigos 5º, 15º e 21º do Decreto nº 99.658 de 30 de outubro de 1990, e diz o seguinte sobre o
desfazimento de bens de microinformática:
Art. 15. A doação, presentes razões de interesse social, poderá ser efetuada pelos órgãos integrantes da Administração Pública Federal direta, pelas autarquias e fundações, após a avaliação de sua oportunidade e conveniência, relativamente à escolha de outra forma de alienação, podendo ocorrer, em favor dos órgãos e entidades a seguir indicados, quando se tratar de material: I - ocioso ou recuperável, para outro órgão ou entidade da Administração Pública Federal direta, autárquica ou fundacional ou para outro órgão integrante de qualquer dos demais Poderes da União; II - antieconômico, para Estados e Municípios mais carentes, Distrito Federal, empresas públicas, sociedade de economia mista, instituições filantrópicas, reconhecidas de utilidade pública pelo Governo Federal, e Organizações da Sociedade Civil de Interesse Público; III - irrecuperável, para instituições filantrópicas, reconhecidas de utilidade pública pelo Governo Federal, e as Organizações da Sociedade Civil de Interesse Público; IV - adquirido com recursos de convênio celebrado com Estado, Território, Distrito Federal ou Município e que, a critério do Ministro de Estado, do dirigente da autarquia ou fundação, seja necessário à continuação de programa governamental, após a extinção do convênio, para a respectiva entidade convenente; V - destinado à execução descentralizada de programa federal, aos órgãos e entidades da Administração direta e indireta da União, dos Estados, do Distrito Federal e dos Municípios e aos consórcios intermunicipais, para exclusiva utilização pelo órgão ou entidade executora do programa, hipótese em que se poderá fazer o tombamento do bem diretamente no patrimônio do donatário, quando se tratar de material permanente, lavrando-se, em todos os casos, registro no processo administrativo competente. Parágrafo único. Os microcomputadores de mesa, monitores de vídeo, impressoras e demais equipamentos de informática, respectivo mobiliário, peças-parte ou componentes, classificados como ociosos ou recuperáveis, poderão ser doados a instituições filantrópicas, reconhecidas de utilidade pública pelo Governo Federal, e Organizações da Sociedade Civil de Interesse Público que participem de projeto integrante do Programa de Inclusão Digital do Governo Federal.
No caso específico do STF, o desfazimento se dá por meio de doação a outros órgãos
das esferas Federal, Estadual e Municipal, ONGs e instituições sem fins lucrativos.
43
3.1.19. Descarte de Mídias de Armazenamento
Sobre o desfazimento/descarte de equipamentos e mídias, a norma ABNT NBR
ISO/IEC 27002 (2005, p. 40 e 52) diz o seguinte:
9.2.6 Reutilização e alienação segura de equipamentos
Controle:
Convém que todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.
Diretrizes para implementação:
Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de se usarem as funções-padrão de apagar ou formatar.
Informações adicionais:
No caso de dispositivos defeituosos que contenham informações sensíveis, pode ser necessária uma análise/avaliação de riscos para determinar se convém destruir fisicamente o dispositivo em vez de mandá-lo para o conserto ou descartá-lo.
As informações podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilização do equipamento (ver 10.7.2).
10.7.2 Descarte de mídias
Controle:
Convém que as mídias sejam descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.
Diretrizes para implementação:
Convém que procedimentos formais para o descarte seguro das mídias sejam definidos para minimizar o risco de vazamento de informações sensíveis para pessoas não autorizadas. Convém que os procedimentos para o descarte seguro das mídias, contendo informações sensíveis, sejam relativos à sensibilidade das informações.
Convém que os seguintes itens sejam considerados:
a) mídias contendo informações sensíveis sejam guardadas e destruídas de forma segura e protegida, como, por exemplo, através de incineração ou trituração, ou da remoção dos dados para uso por uma outra aplicação dentro da organização;
b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c) pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a
44
serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis;
d) muitas organizações oferecem serviços de coleta e descarte de papel, de equipamentos e de mídias magnéticas; convém que se tenha o cuidado na seleção de um fornecedor com experiência e controles adequados;
e) descarte de itens sensíveis seja registrado em controles sempre que possível para se manter uma trilha de auditoria.
Quando da acumulação de mídias para descarte, convém que se leve em consideração o efeito proveniente do acúmulo, o que pode fazer com que uma grande quantidade de informação não sensível torne-se sensível.
Informações adicionais:
Informações sensíveis podem ser divulgadas através do descarte negligente das mídias (ver 9.2.6 para informações de descarte de equipamentos).
Os trechos abaixo ratificam a necessidade da criação de uma Instrução Normativa
com procedimentos de trabalho como política para o descarte correto e seguro (sanitização)
dos dispositivos de armazenamento de dados.
“Convém que os dispositivos que contenham informações sensíveis sejam destruídos fisicamente ou as informações sejam destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de se usarem as funções-padrão de apagar ou formatar. (grifo meu).
[...] pode ser mais fácil implementar a coleta e descarte seguro de todas as mídias a serem inutilizadas do que tentar separar apenas aquelas contendo informações sensíveis;” (ABNT NBR ISO/IEC 27002/2005, p. 40)
45
CAPÍTULO IV
4.1. Estudo de Caso
4.1.1. O Supremo Tribunal Federal - STF
Ao STF compete a árdua e nobre missão de guarda da Constituição Federal.
No sitio oficial do STF encontra-se a seguinte descrição:
O Supremo Tribunal Federal é o órgão de cúpula do Poder Judiciário, e a ele compete, precipuamente, a guarda da Constituição, conforme definido no art. 102 da Constituição Federal.
O Supremo Tribunal Federal é composto por onze Ministros, brasileiros natos (art. 12, § 3º, IV, da CF/88), escolhidos dentre cidadãos com mais de 35 e menos de 65 anos de idade, de notável saber jurídico e reputação ilibada (art. 101 da CF/88), e nomeados pelo Presidente da República, após aprovação da escolha pela maioria absoluta do Senado Federal.
O Presidente do Supremo Tribunal Federal é também o Presidente do Conselho Nacional de Justiça (art. 103-B, inciso I, da CF/88, com a redação dada pela EC nº 61/2009).
O Tribunal indica três de seus Ministros para compor o Tribunal Superior Eleitoral (art. 119, I, a, da CF/88).
Entre suas principais atribuições está a de julgar a ação direta de inconstitucionalidade de lei ou ato normativo federal ou estadual, a ação declaratória de constitucionalidade de lei ou ato normativo federal, a argüição de descumprimento de preceito fundamental decorrente da própria Constituição e a extradição solicitada por Estado estrangeiro.
Na área penal, destaca-se a competência para julgar, nas infrações penais comuns, o Presidente da República, o Vice-Presidente, os membros do Congresso Nacional, seus próprios Ministros e o Procurador-Geral da República, entre outros.
Em grau de recurso, sobressaem-se as atribuições de julgar, em recurso ordinário, o habeas corpus, o mandado de segurança, o habeas data e o mandado de injunção decididos em única instância pelos Tribunais Superiores, se denegatória a decisão, e, em recurso extraordinário, as causas decididas em única ou última instância, quando a decisão recorrida contrariar dispositivo da Constituição.
46
O STF é dividido, organizacionalmente, de acordo com o organograma abaixo (Figura
8). A Secretaria de Tecnologia da Informação é o local onde são realizados os procedimentos
técnicos que precedem ao desfazimento dos equipamentos e mídias.
Figura 8 - Organograma do STF
Fonte: Sítio oficial do STF (www.stf.jus.br)
A área de tecnologia da informação tem como entidade responsável a Secretaria de
Tecnologia da Informação cuja formação é descrita a seguir.
4.1.2. A Secretaria de Tecnologia da Informação do STF - STI
A Secretaria de Tecnologia da Informação do STF é responsável por prover os
recursos de tecnologia da informação necessários para o correto cumprimento da Missão do
STF. Ela é dividida em três Coordenadorias: de Governança e Gestão de TI, de Engenharia de
47 Software e de Infraestrutura Tecnológica , conforme trecho do organograma abaixo (Figura
9).
Figura 9 - Organograma da STI
Fonte: Sítio Oficial do STF (www.stf.jus.br)
4.1.3. A Seção de Infraestrutura de Microinformática - SIMI
A Seção de Infraestrutura de Microinformática é responsável pelo gerenciamento do
parque de microinformática do STF, ou seja, responsável por gerir o ciclo de vida dos ativos
de microinformática necessários para o correto cumprimento da Missão do STF. Ela atua
desde o planejamento da aquisição desses ativos, no processo de aquisição, no recebimento,
distribuição, manutenção recolhimento até a disponibilização para desfazimento.
Dentre os ativos citados acima estão os microcomputadores, os notebooks e os
ultrabooks. Esses equipamentos possuem, internamente, dispositivos de armazenamento de
dados, HD e SSD. Além desses equipamentos a SIMI também gerencia o ciclo de vida de
dispositivos portáteis de armazenamento de dados, HD externo e pendrive.
4.1.4. A Seção de Ativos de Infraestrutura – SAIN
De forma similar à SIMI, porém com foco na hospedagem dos serviços, a Seção de
48 Ativos de Infraestrutura é responsável pelo gerenciamento da infraestrutura do parque de
servidores e storages do STF.
Também de forma similar aos ativos de microinformática citados no item anterior, os
servidores e storages possuem, internamente, dispositivos de armazenamento de dados, HD.
Além desses equipamentos a SAIN também gerencia os backups dos dados que são salvos nos
equipamentos do datacenter. Esses backups são armazenados em fitas magnéticas.
4.1.5. A Seção de Controle do Patrimônio do STF - SCP
A Seção de Controle do Patrimônio é responsável por gerenciar todos os bens do STF
que possuem um número de controle, inclusive aqueles relativos à Tecnologia da Informação.
Faz parte desse gerenciamento o desfazimento desses bens, ou seja, bens considerados
antieconômicos, tecnologicamente defasados ou com defeito, são doados a outros órgãos da
administração pública ou para entidades sem fins lucrativos.
4.1.6. O Desfazimento de Bens de TI no Âmbito do STF
No STF não existe norma que trate de procedimentos anteriores ao desfazimento de
bens de TI. Os equipamentos de microinformática recolhidos dos usuários possuem todo tipo
de informação. Teoricamente não há nada sigiloso, pois esse tipo de informação deve ser
salva na rede do STF, porém, sabe-se que muitas pessoas salvam informações que podem ser
consideradas sigilosas diretamente nos computadores, para depois salvá-las na rede. Além das
informações de trabalho, podem ser encontradas nas mídias informações pessoais (fotos,
imposto de renda, contracheque, documentos pessoais).
Dentre os equipamentos de informática encontram-se ainda os servidores, cujo
desfazimento ocorre com uma frequência bem menor, e nesse caso, há sim informações
sigilosas.
O desfazimento de bens de TI no âmbito do STF acorre da seguinte forma:
1) Equipamentos de Microinformática:
a) A SIMI classifica, baseada em critérios objetivos, o equipamento de microinformática
como antieconômico ou tecnologicamente defasado;
49
b) A SIMI detecta que um equipamento de microinformática está com defeito e sua
manutenção não é vantajosa para o STF;
c) Aqueles equipamentos classificados nos casos das letras “a” e “b”, dependendo do
tipo, recebem algum tipo de tratamento e posteriormente são disponibilizados à SCP
para que seja iniciado o processo de desfazimento;
O tratamento a que se refere à letra “c”deste item é o descrito no Quadro 3 abaixo:
Quadro 3 - Tratamento que Precede o Desfazimento de Bens de Microinformática
SITUAÇÃO BEM TRATAMENTO Tecnologicamente defasado, antieconômico ou com defeito*
Microcomputador e notebook com HD Sanitizar com DBAN Microcomputador e notebook com SSD Formatação comum HD externo Sanitizar com DBAN Pendrive Formatação comum
Defeito na unidade de armazenamento de dados (não lê ou não reconhece)
Microcomputador e notebook com HD Sem tratamento Microcomputador e notebook com SSD Sem tratamento HD externo Sem tratamento
Pendrive Sem tratamento
* Unidade de armazenamento de dados pode ser reconhecida e lida
2) Equipamentos de Infraestrutura:
a) A SAIN classifica, baseada em critérios objetivos, o equipamento de infraestrutura
como antieconômico ou tecnologicamente defasado;
b) A SAIN detecta que um equipamento de infraestrutura está defeituoso cuja
manutenção não é vantajosa para o STF;
c) Aqueles equipamentos classificados nos casos das letras “a” e “b”, dependendo do
tipo, recebem alguma forma de tratamento e posteriormente são disponibilizados à
SCP para que seja iniciado o processo de desfazimento;
50
O tratamento a que se refere à letra “c” deste item é o descrito no Quadro 4 abaixo: Quadro 4 - Tratamento que Precede o Desfazimento de Bens de Infraestrutura
SITUAÇÃO BEM TRATAMENTO
Tecnologicamente defasado, antieconômico ou com defeito*
HD dos storages Formatação comum SSD dos storages Formatação comum HD dos servidores Formatação comum Fitas magnéticas Sem tratamento
Defeito na unidade de armazenamento de dados (não lê ou não reconhece)
HD dos storages Sem tratamento SSD dos storages Sem tratamento HD dos servidores Sem tratamento Fitas magnéticas Sem tratamento
* Unidade de armazenamento de dados pode ser reconhecida e lida
4.1.7. Análise de Risco
A norma ABNT NBR ISO/IEC 27002 (2005, p. 40) sugere uma análise de risco no
processo de descarte de equipamentos e mídias, e a análise é sugerida no desfazimento de
dispositivos defeituosos: “No caso de dispositivos defeituosos que contenham informações
sensíveis, pode ser necessária uma análise/avaliação de riscos para determinar se convém
destruir fisicamente o dispositivo em vez de mandá-lo para o conserto ou descartá-lo.”.
No caso do STF, a APR foi realizada em todas as fases do processo de desfazimento.
O preenchimento do Quadro 5, relativa à APR, foi realizado baseado nas respostas das
entrevistas estruturadas:
• Quais equipamentos que possuem dispositivos de armazenamento de dados
são disponibilizados para desfazimento pela STI? Respostas na coluna “Causa”
da APR.
• Com que frequência esse desfazimento acontece? As respostas ajudaram a
compor a coluna “Frequência” da APR.
• Que informações estão armazenadas nesses dispositivos? As respostas
ajudaram a compor as colunas “Perigo”, “Consequências” e “Severidade” da APR.
• Qual tratamento é dado a esses dispositivos antes de serem disponibilizados
51
para desfazimento? As respostas ajudaram a compor a coluna “Recomendações”
da APR.
Quadro 5 - Análise Preliminar de Risco - APR
Subsistema: Desfazimento de dispositivos de armazenamento de dados Equipe: STI Data: 20/11/2015
Item Perigo Causa Consequências Frequência Severidade Risco Recomendações
1
Vazamento de informações com grau de sigilo
Arquivos de trabalho salvos em mídias removíveis (pendrives e HDs externos)
Comprometimento dos processos de trabalho do negócio, exposição mídia, perda de credibilidade da STI.
C III 3 Moderado
Sanitizar dispositivos de armazenamento de dados antes de disponibilizá-los para o desfazimento.
2
Vazamento de informações com grau de sigilo
Arquivos de trabalho salvos em notebooks e computadores
Comprometimento dos processos de trabalho do negócio, exposição mídia, perda de credibilidade da STI.
C III 3 Moderado
Sanitizar dispositivos de armazenamento de dados antes de disponibilizá-los para o desfazimento.
3
Vazamento de informações com grau de sigilo
Arquivos de trabalho salvos na rede (storages e servidores)
Comprometimento dos processos de trabalho do negócio, exposição mídia, perda de credibilidade da STI.
E III 5 - Crítico
Sanitizar dispositivos de armazenamento de dados antes de disponibilizá-los para o desfazimento.
4
Vazamento de informações pessoais
Arquivos pessoais salvos em mídias removíveis (pendrives e HDs externos)
Exposição de informações pessoais, uso indevido de informações pessoais e financeiras.
D II 4 - Sério
Sanitizar dispositivos de armazenamento de dados antes de disponibilizá-los para o desfazimento.
5
Vazamento de informações pessoais
Arquivos pessoais salvos em notebooks e computadores
Exposição de informações pessoais, uso indevido de informações pessoais e financeiras.
D II 4 - Sério
Sanitizar dispositivos de armazenamento de dados antes de disponibilizá-los para o desfazimento.
Fonte: elaborada pelo autor
Os riscos foram classificados como moderados, crítico e sério e, portanto, não é
aconselhável desprezá-los. Com a adoção da IN proposta, assim como o uso dos
procedimentos de trabalho, espera-se que os riscos sejam mitigados a um nível aceitável.
4.2. A Instrução Normativa - IN
A Instrução Normativa apresentada no Apêndice A é apenas uma proposta a ser
apresentada à Administração do STF e, por esse motivo, não possui numeração oficial.
52
A parte mais importante da IN é o Quadro 6 abaixo, relacionando os diversos tipos de
dispositivos de armazenamento de dados com sua situação física e o respectivo tratamento
que deve receber antes de ser disponibilizado para o desfazimento.
Quadro 6 - Tipo de bem x Situação x Tratamento SITUAÇÃO BEM TRATAMENTO - PT
Tecnologicamente defasado, antieconômico ou com defeito*
Dispositivos com HD – conexões IDE, PATA, SATA, SCSI e discos SAS.
PT - 01
Dispositivos com SSD e pendrives PT - 02
HD externo – Conexão USB PT – 03
Fitas magnéticas A ser criado (PT -04)
Defeito na unidade de armazenamento de dados (não lê ou não reconhece)
Dispositivos com HD – qualquer conexão A ser criado (PT-04)
Dispositivos com SSD e pendrives A ser criado (PT-05)
Fitas magnéticas A ser criado (PT-04)
* Unidade de armazenamento de dados pode ser reconhecida e lida
Os tratamentos a que se refere à tabela 6 são os procedimentos de trabalho detalhados
nos apêndices de B a D.
Os tipos de dispositivos nas situações em que o tratamento indicado é “A ser criado
(PT-XX)” são dispositivos que, na situação relacionada, ainda não podem ser sanitizados no
âmbito do STF. Para esse caso a IN diz o seguinte em seu artigo 7º:
“Art. 7° Fica sob responsabilidade da SIMI adquirir, em regime de urgência, a
infraestrutura necessária para sanitizar os dispositivos sem tratamento a que se refere o Art.
5º, bem como a posterior criação de seus PTs.” Ou seja, a SIMI deve adquirir em regime de
urgência os equipamentos e/ou softwares necessários para sanitizar os dispositivos que se
encontram nas referidas situações.
4.3. Procedimento de Trabalho
Os procedimentos de trabalho apresentados nos Apêndices de B a E são apenas
propostas a serem apresentados à STI do STF e, por esse motivo não possuem numeração
oficial.
Os procedimentos de trabalho foram criados com base na realidade apresentada no
estudo de caso e são processos de fácil implementação. Para os PTs de números 1 a 3 a STI já
53 possui toda a infraestrutura para começar a implantá-los, para os PTs 4 e 5 essa infraestrutura
ainda precisa ser adquirida, e por esse motivo os PTs não foram criados. No entanto, a seguir
há uma breve descrição de qual infraestrutura é necessária para a implantação dos processos.
T – 04 - Desmagnetizando discos e fitas:
O PT4 refere-se a dispositivos magnéticos de armazenamento de dados que não podem
ser reconhecidos e/ou lidos pelos sistemas operacionais, e também às fitas magnéticas,
independente de seu estado de funcionamento.
Para esses casos, sugere-se a desmagnetização desses dispositivos. Essa
desmagnetização pode ocorrer submetendo-os a um equipamento desmagnetizador. Na figura
8 há um exemplo de um desmagnetizador, o Degaus T1.5, homologado pela National Security
Agency dos EUA - NSA .
Figura 10 - Desmagnetizador Degaus T1.5
Fonte: CBL Recuperação de Dados (www.cbltech.com.br)
Sugere-se então que o STF adquira um desmagnetizador e crie o procedimento de
trabalho 04.
PT – 05 – Destruindo unidades de armazenamento de dados:
O PT5 refere-se a dispositivos eletrônicos de armazenamento de dados que não podem
ser reconhecidos e/ou lidos pelos sistemas operacionais.
54
Para esses casos, sugere-se a destruição desses dispositivos. Essa destruição pode
ocorrer submetendo-os a um equipamento destruidor de discos. Na figura 11 há um exemplo
de um destruidor, o Data Destroyer PD-5, também homologado pela NSA.
Figura 11 - Destruidor de discos Data Destroyer PD-5
Fonte: CBL Recuperação de Dados (www.cbltech.com.br)
Sugere-se então que o STF adquira um destruidor de discos e crie o procedimento de
trabalho 05.
Os títulos dos procedimentos e seus respectivos apêndices estão descritos abaixo:
• PT – 01 - Sanitizando unidades de armazenamento de dados com o DBAN –
Apêndice B;
• PT – 02 - Criptografando unidades de armazenamento de dados com o
Bitlocker - Apêndice C
• PT – 03 - Sanitizando unidades de armazenamento de dados com o Eraser –
Apêndice D.
55
CAPÍTULO V
Conclusão
Há riscos de vazamento de informações sensíveis, por meio de tentativas de
recuperação de dados, no processo de desfazimento de bens de TI que possuam dispositivos
de armazenamento. Esses riscos não podem ser aceitos, devem ser mitigados ou eliminados.
Para que isso aconteça deve-se sanitizar dispositivos de armazenamento de dados antes de seu
desfazimento. Existem vários métodos eficientes para sanitizar mídias eletrônicas e
magnéticas. E para de definir o método ideal para determinado tipo de mídia deve se levar em
conta a sua tecnologia (eletrônica ou magnética) e a infraestrutura do ambiente (softwares e
equipamentos disponíveis) e o grau de sanitização desejado.
No âmbito do STF, a sanitização proposta não elimina totalmente os riscos de
vazamento de informações, mas os mitiga a um nível aceitável, dado o custo-benefício dos
métodos de sanitização.
Um fator crítico de sucesso para qualquer política de segurança é o apoio da alta
administração, por esse motivo, se propôs a adoção de uma IN com procedimentos de
trabalho que padronizem o processo de sanitização de mídias no âmbito do STF.
56
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS .ABNT NBR ISO 27002:2005, Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TECNICAS. ABNT NBR ISO 27001:2006. Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT, 2006.
BRASIL. Decreto-lei nº 6.087, de 20 de abril de 2007. Diário Oficial da República Federativa do Brasil, Poder Executivo, Brasília, DF, 24 abr. 2007. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2007/Decreto/D6087.htm. Acesso em: 30 de nov. 2014.
BRASIL. Decreto-lei nº 99.658, de 30 de out de 1990. Diário Oficial da República Federativa do Brasil, Poder Executivo, Brasília, DF, 31 out. 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/decreto/Antigos/D99658.htm#art6. Acesso em: 30 de nov. 2014.
BRASIL. Supremo Tribunal Federal. Institucional. Disponível em: http://www.stf.jus.br/portal/cms/verTexto.asp?servico=sobreStfConhecaStfInstitucional. Acesso em: 5 de out. 2014.
BRASIL. Supremo Tribunal Federal. Manual de Atos Oficiais Administrativos. Brasília: Supremo Tribunal Federal, Secretaria de Documentação, 2005.
BRASIL. Supremo Tribunal Federal. Organograma do STF. Disponível em: http://www.stf.jus.br/portal/cms/verTexto.asp?servico=sobreStfOrganograma. Acesso em: 5 de out. 2014.
BRASIL. Supremo Tribunal Federal. Organograma do Supremo Tribunal Federal. Disponível em: http://www.stf.jus.br/arquivo/cms/sobreStfOrganograma/anexo/Organograma_Completo_AR_192014.pdf. Acesso em: 5 de out. 2014.
CBL Recuperação de Dados. Destruição de dados. Disponível em: http://www.cblvendas.com.br/produtos.asp?marca=0&categoria=9&exibir=9&ordem=2. Acesso em: 23 de nov. 2014.
CBL Recuperação de Dados. Mitos sobre recuperação de dados. Disponível em: http://www.cbltech.com.br/quatro-mitos-sobre-recuperacao-de-dados/. Acesso em: 24 de nov. 2014.
ELEUTÉRIO, Pedro Monteiro da Silva; MACHADO, Márcio Pereira. Desvendando a Computação Forense. São Paulo: Novatec, 2010.
ERASER. Welcome to the Eraser Home Page!. Disponível em: http://eraser.heidi.ie/. Acesso em: 21 de out. 2014.
57
FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003.
FONTES, Edison. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
INFO WESTE. O que é SSD (Solid-State Drive)? Disponível em: http://www.infowester.com/ssd.php. Acesso em: 26 de nov. 2014.
KISSEL, Richard et al. NIST. Guidelines for Media Sanitization: Recommendations of the National Institute of Standards and Technology. Disponível em: http://csrc.nist.gov/publications/drafts/800-88-rev1/sp800_88_r1_draft.pdf. Acesso em: 27 de nov. 2014.
MICROSOFT. Perguntas Frequentes dobre o BitLocker. Disponível em: http://technet.microsoft.com/pt-br/library/hh831507.aspx#BKMK_WhatIsBitLocker. Acesso em: 27 de nov. 2014.
NATIONAL COMPUTER SECURITY CENTER. A Guide to Understanding Data Remanence in Automated Information Systems. Disponível em: https://www.csirt.org/color_%20books/NCSC-TG-025.2.pdf. Acesso em: 30 de nov. 2014.
NORTON, Peter. Introdução à Informática. São Paulo: Makron Books, 1996.
RABELO, Luiz Sales. DGITAL FORENSICS. Um pouco mais sobre Wipe. Disponível em: http://forensics.luizrabelo.com.br/search/label/wipe. Acesso em: 27 de nov. 2014.
RABELO, Luiz Sales. DGITAL FORENSICS. Wipe – Sanitização de dados. Disponível em: http://forensics.luizrabelo.com.br/2010/06/wipe-sanitizacao-dos-dados.html. Acesso em: 26 de nov. 2014.
SÊMOLA, Marcos. Gestão de Segurança da Informação. Rio de Janeiro: Elsevier, 2003.
TANENBAUM, Andrew S.; AUSTIN, Todd. Organização Estruturada de Computadores. 6. ed. São Paulo: Pearson, 2013.
VIEIRA, Marconi Fábio. Gerenciamento de Projetos de Tecnologia da Informação. 2. ed. Rio de Janeiro: Elsevier, 2007.
YIN, Robert K. Estudo de caso: planejamento e métodos. 4.ed. Porto Alegre: Bookman,
2010.
58
GLOSSÁRIO
Active Directory (AD) - Implementação de serviço de diretório no protocolo LDAP que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações a usuários e administradores desta rede. É um software da Microsoft utilizado em ambientes Windows.
Backup – Cópia de segurança.
Electrically Erasable Programmable Read Only Memory (EEPROM) - Chip de armazenamento não volátil usado em computadores e outros aparelhos.
Flash - Memória de computador do tipo EEPROM cujos chips são semelhantes ao da Memória RAM, permitindo que múltiplos endereços sejam apagados ou escritos numa só operação.
Integrated Drive Electronics (IDE) - Padrão para interligar dispositivos de armazenamento, como discos rígidos e drives de CD-ROMs, no interior de computadores pessoais.
Kernel - Núcleo ou cerne. É o componente central do sistema operacional da maioria dos computadores, serve de ponte entre aplicativos e o processamento real de dados feito em nível de hardware.
Lightweight Directory Access Protocol (LDAP) - Protocolo de aplicação aberto, livre de fornecedor e padrão de indústria para acessar e manter serviços de informação de diretório distribuído sobre uma rede de Protocolo da Internet (IP).
Hard Disk (HD) – Parte do computador onde são armazenados os dados. Memória não volátil. Memória secundária.
Open source – Tipo de software com código aberto.
59 Pendrive - Dispositivo de memória constituído por memória flash com aspecto semelhante a um isqueiro e uma ligação Universal Serial Bus - USB tipo “A” permitindo a sua conexão a uma porta USB de um computador ou outro equipamento com uma entrada USB.
Random Access Memory (PAM) - Memória de acesso aleatório. Tipo de memória que permite a leitura e a escrita, utilizada como memória primária em sistemas eletrônicos digitais. Memória volátil.
Redundant Array of Independent Disks (RAID) - Meio de se criar um subsistema de armazenamento composto por vários discos individuais, com a finalidade de ganhar segurança e desempenho.
Sanitização de Mídias - processo para tornar inviável, para um dado nível de esforço, o acesso aos dados em uma mídia.
Small Computer System Interface (SCSI) - Tecnologia que permite ao usuário conectar uma larga gama de periféricos, tais como discos rígidos, unidades CD-ROM, impressoras e scanners. Características físicas e elétricas de uma interface de entrada e/ou saída (E/S) projetadas para se conectarem e se comunicarem com dispositivos periféricos são definidas pelo SCSI.
Solid Disk State (SSD) - Unidade de estado sólido. Dispositivo, sem partes móveis, para armazenamento não volátil de dados digitais. São, tipicamente, construídos em torno de um circuito integrado semicondutor, responsável pelo armazenamento, diferindo dos sistemas magnéticos ou óticos. Utilizam memória flash para o armazenamento de dados.
Storages - Dispositivo projetado especificamente para armazenamento de dados, onde através de uma conexão via rede, pode-se conectar servidores a um storage, facilitando assim a expansão da capacidade de armazenamento sem impacto na produção, garantindo maior flexibilidade e confiabilidade no armazenamento.
Universal Serial Bus (USB) - Tipo de conexão, barramento, que permite a conexão de periféricos sem a necessidade de desligar o computador.
60
Apêndices
Apêndice A - Instrução Normativa
61
62 Apêndice B - PT – 01
• Sanitizando unidades de armazenamento de dados com o DBAN
63
64
65
66 Apêndice C - PT – 02
• Criptografando unidades de armazenamento de dados com o Bitlocker
67
68
69
70
71 Apêndice D - PT – 03
• Sanitizando unidades de armazenamento de dados com o Eraser
72
73
74
75
76
77
78