Provas Digitais e Produção de Logs
Um assunto muito interessante e controvertido em relação aos controles de Segurança da Informação é o controle de produção e armazenamento de log’s. Os log’s são registros de atividades ou eventos pré-determinados e servem para estabelecer um histórico de uma atividade tecnológica. Para tornar a explicação mais compreensível podemos trazer alguns exemplos práticos das situações em que são produzidos os logs. Um servidor de e-mail (seja ele corporativo ou comercial) geralmente é configurado para registrar os logs de sua atividade. Em geral são armazenadas informações tais como IP de origem da mensagem, horário de envio e recebimento, servidores pelos quais a mensagem passou, etc. Esses registros são úteis nos casos em que há a necessidade de identificar o autor de uma mensagem anônima. Com isso identifica-se que em determinado horário o ip de número X, enviou um e-mail para aquele servidor. Com isso, chega-se até o servidor que controla aquele IP e com base no horário é possível identificar a pessoa que naquele determinado momento estava usando a referido número. Todas essas ações, é claro, são precedidas de ordens judiciais específicas. Outro exemplo prático é a produção e armazenamento de logs em ambientes corporativos. Nesse caso em geral se armazenam históricos de atividades tais como rotinas de backup, funcionamento de servidores, tráfego de internet, funcionamento de sistemas internos, etc. Dependendo da atividade da empresa, há um sem número de atividades que podem ter seu histórico armazenado.
Dito isso, passemos à análise da utilização desses logs. Vamos imaginar que alguém necessite identificar a autoria de um e-mail difamatório, ofensivo ou ameaçador. Com a consulta dos logs dos servidores chegou-se a um determinado IP identificando-se assim o remetente da mensagem. Pois bem, a questão principal deste artigo é: como ter certeza de que este log foi produzido e armazenado com integridade? Como é possível ter certeza de que este registro não foi alterado? Como podemos afirmar que a estrutura computacional que produz tais logs, não está funcionando de maneira precária produzindo assim dados incorretos?
No Brasil não temos uma normatização que regula a produção desses registros para o setor privado. No setor público temos alguns decretos que regulam controles de segurança aplicáveis ao assunto, porém o mesmo não ocorre no setor privado. Temos visto inúmeros casos
Já vimos provedores respondendo a ofícios judiciais de pedidos de logs, de maneira desinteressada e até negligente. Em uma situação verdadeira, um simples operador de sistemas, acessou o sistema da armazenamento de logs do provedor e através do processo de “copiar e colar” montou um documento no Excel, para instruir a resposta do ofício. Esse “documento” ao chegar nos autos do processo, adquire uma força probante e uma integridade muito maior do que realmente teria se analisado sob o aspecto técnico-computacional. O processo judicial acaba por legitimar e um documento muitas vezes, mal produzido e sem a certeza de integridade.
Cabe ainda mencionar a existência do dever dos provedores (aqui provedores em sentido amplo) em armazenar tais registros, em função da especificidade de sua atividade, conforme nos ensina o mestre Marcel Leonardi na sua obra “Responsabilidade Civil dos Provedores de Serviços de Internet”.
É sabido que a utilização de provas digitais é plenamente permitida em nosso sistema jurídico. Tal fato é indiscutível e aceito pela doutrina. No entanto o artigo 225 do CC prega que: “As reproduções fotográficas, cinematográficas, os registros fonográficos e, em geral, quaisquer outras reproduções mecânicas ou eletrônicas de fatos ou de coisas fazem prova plena destes, se a parte, contra quem forem exibidos, não lhes impugnar a exatidão.”
Na grande maioria dos casos a outra parte sequer ousa impugnar a exatidão de tais registros. Cabe lembrar que o provedor ou empresa que produz tais logs (em geral fundado em um ofício judicial) em alguns casos pode até ter interesses no julgamento da causa. Esse interesse pode existir até no fato de que se o provedor não possuir os logs, pode acarretar uma co-responsabilidade pelo ato de terceiro, quando essa falha puder impedir a identificação de autoria. Isso, por si só, poderia invalidar a produção do documento ou ainda poderia servir como motivo para o provedor forjar a criação ou existências de eventos.
Tal situação torna-se ainda mais delicada se a única prova de condenação seja um desses logs. Caso uma parte seja condenada em função apenas de um log e não se tenha a garantia da integridade e autenticidade dos dados, vemos a possibilidade de uma condenação indevida ou até mesmo nula.
Recentemente tivemos notícia de uma situação ocorrida nos EUA que indica bem o quão delicada é essa questão. Na cidade de Greensburg, Pennsylvania, foi feita uma falsa denúncia de bomba por telefone em uma escola. A polícia, pela análise do histórico de ligações nos servidores (logs), chegou ao número de telefone de um estudante. Com base nessa informação o estudante ficou 12 dias preso em um centro de detenção juvenil. Sem alongar-se sobre as especificidades do caso, descobriu-se que o servidor que armazenava os logs de ligações telefônicas estava com o horário atrasado em uma hora. Ou seja, como o estudante ligou uma hora após o verdadeiro denunciante, foi com este confundido. Esse é apenas um dos tantos casos em que o excesso de confiança nos logs pode causar um grande erro judicial. Os policiais, à época da prisão, ainda comentaram o fato de que o autor da ligação negava admitir sua culpa, “amplamente demonstrada”.
Trazendo a questão para o Brasil, temos um julgado do TRT da 4ª Região que, através da analogia, pode muito bem ser aplicado às situações aqui colocadas. Vejamos:
EMENTA: CONTROLE DE PONTO. ART. 74, § 2º, DA CLT. Os controles de ponto eletrônico, em regra, não atendem as exigências do art. 74, parágrafo 2o, da CLT, que exige que o empregador com mais de dez empregados mantenha registros diários da jornada despendida pelo trabalhador, obrigando-se a apresentá-los no processo, caso determinado pelo juiz. De fato, os registros eletrônicos são elaborados por meio de "software", que não é conhecido pelo empregado, que tampouco tem acesso ao código-fonte do mesmo, nem controla as operações informáticas que produzem os relatórios em que, supostamente, consta o horário de trabalho do trabalhador.
Como se vê, a decisão reconheceu o fato de que os registros produzidos por software, desconhecidos da parte interessada ou que não haja a certeza da integridade da produção, não podem ser utilizados em um processo. Ainda, haveria a necessidade de um perito analisar a produção de tais registros para garantir a sua validade no processo, uma vez que podem ser facilmente adulterados sem deixar rastros ou vestígios.
Em que pese a falta de leis específicas para a produção e armazenamento de tais logs, não faltam regras de experiência técnica que regulam tais atividades. A norma ISO/IEC NBR 17799, publicada no Brasil pela ABNT, dispõe sobre alguns controles que podem ser observados para elevar o nível de segurança em relação aos logs. Ainda a regras de experiência técnica da atividade de Segurança da Informação, estabelecem práticas usuais sobre o assunto. Um exemplo de regras de experiência técnica sobre o assunto pode ser lido no artigo “Precisa-se de um FDR” de autoria do professor Msc. Vinícius Serafim. Nesse artigo são abordadas questões técnicas sobre o armazenamento e produção de logs à luz da Ciência da Computação. O artigo faz uma analogia com o sistema de FDR ou Flight Data Recorder, que se constitui nas caixas pretas dos aviões. O autor fala confiabilidade de tais registros (das caixas pretas) e analisa uma possível utilização desta idéia para a produção de logs.
Por fim, defendemos que tais provas devem ser produzidas por um perito judicial e, se for o caso, acompanhado por assistentes técnicos das partes envolvidas. Tal perito deverá analisar a estrutura computacional para verificar a integridade e autenticidade dos registros para assim termos um maior grau de confiabilidade dos registros.
De fato, esse é um ponto crucial: legislação relativa à retenção de dados pelos provedores de serviços. Há uma tendência mundial nesse sentido, como se pode observar da Diretiva 2002/58/CE DO Parlamento Europeu e do Conselho de 12 julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no setor das comunicações eletrônicas.
ResponderExcluir