INFORMÁTICA FORENSE: MANIPULAÇÃO DE DADOS

Perito informático: manipulação de dados

Este relatório judicial foi efectuado a pedido de uma das partes. Foi solicitado a um perito informático que avaliasse se tinha havido ou não manipulação de dados de uma instituição pública por um antigo funcionário.

Ficha técnica:

  • Tipo de trabalho: perito judicial a pedido de uma parte
  • Motivo da ação: Suspeita de manipulação de dados por um antigo funcionário.

 

Questões levantadas:

Uma antiga empregada é despedida de uma administração pública. Posteriormente, apareceram dados alterados na base de dados da segurança social a que ela tinha acesso. O seu diretor processou-a. É necessário um perito informático para estabelecer os factos e a plausibilidade das afirmações.

O problema decorre de uma má aplicação da política de segurança que não abordou os princípios básicos de:

  • Licença mínima (o trabalhador não deve causar danos irreparáveis se for despedido ou se perder o seu emprego).
  • Não refutação: A não implementação adequada de uma política de atribuição e proibição de partilha de palavras-passe e espaços pode pôr em dúvida a autoria das alterações.
  • Acessos externos fechados por predefinição: As portas e os IP's, por predefinição, devem estar fechados e devem ser acedidos através de uma lista branca.

 

Procedimento adotado:

  • Estudo da documentação apresentada e dos extractos do processo administrativo.
  • Análise do disco rígido do computador principal.
  • Levantamento da configuração da rede e dos dispositivos informáticos ligados na casa do arguido.
  • Estudo dos registos apresentados como prova no processo judicial.
  • Estudo do relatório da polícia e da documentação apresentada pelos operadores da Internet e do telefone.

 Resultados obtidos:

O perito informático ajudou a esclarecer se o inquirido era realmente responsável pelas alterações que apareciam na base de dados ou se poderia ter sido outra pessoa a fazer as alterações.

Acções sugeridas:

Como resultado do incidente, foi sugerida uma política de segurança mais rigorosa à instituição que sofreu a alteração de dados, com base em

  • Estabelecer um protocolo de acesso e gestão de utilizadores e palavras-passe.
  • Bloquear o acesso aos servidoresa um subconjunto de utilizadores e endereços IP.
  • Atribuir aos trabalhadores o mínimo de tempo livre para poderem efetuar o seu trabalho.
  • Formar o pessoal sobre a política de segurança aplicada.