Criminosos digitais empregam técnicas complexas para evitar que sejam detectados enquanto se infiltram em redes corporativas ou pessoais a fim de roubar propriedade intelectual ou reter arquivos para pedir resgate e, muitas vezes, as ameaças são criptografadas para fugir da detecção e localização. Fato é que os ataques chegam por todos os lados: e-mail, dispositivos móveis, via Web e por meio de exploits automatizados. Além disso, a vítima não importa. Para um hacker, você é apenas um endereço IP, um endereço de e-mail ou uma vítima em potencial que navega em algum site. O que podemos fazer é interceptar esse tráfego malicioso e analisar sua fonte para tentar descobrir a origem do ataque e os seus atacantes.
Os critérios para a realização da interceptação do tráfego de informações digitais são previstos na legislação brasileira, especialmente na Lei no 9.296, de 24 de julho de 1996, que define as circunstâncias e os critérios para a realização da interceptação do tráfego de telecomunicações buscando o cumprimento de ordem judicial. A interceptação telemática pode ser realizada por um provedor de acesso (ISP) para capturar qualquer tráfego de telecomunicações e fluxo de comunicações em sistemas de informática e telemática e encaminhá-los ao responsável pela investigação e/ou responsáveis pela interceptação.
Por exemplo, através da interceptação de e-mails pode-se descobrir a prática de um crime por meio da Internet, como o estelionato, fraude etc., como também pode servir de apoio para uma investigação criminal, auxiliando na localização do autor de algum crime que esteja foragido. Independentemente de se constatar ou não o crime, as mensagens interceptadas servirão como meio de prova para a formalização da investigação criminal.
Internacionalmente, alguns padrões são fortemente adotados, especialmente o modelo especificado pelo European Telecommunications Standards Institute (ETSI). O modelo abrange todos os aspectos de interceptação a partir de uma visão lógica de toda a arquitetura, define o fluxo de dados interceptados de diferentes tecnologias, incluindo serviços específicos, como serviços de e-mail e de Internet.
No Brasil, a ABNT (Associação Brasileira de Normas Técnicas), publicou a Norma ABNT NBR 16386:2015 – Tecnologia da informação – Diretrizes para o processamento de interceptação telemática judicial – que estabelece as orientações para a interceptação telemática oriunda de ordem judicial, considerando o relacionamento entre provedores de acessos, os responsáveis pela investigação e/ou responsáveis pela interceptação e o judiciário.
A Norma considera como premissa que as diretrizes para interceptação legal devem ser abordadas separadamente para o provedor de acesso (nível de rede) e provedor de serviço ou conteúdo (nível de serviço) e as diretrizes e padrões da interceptação abordadas diferentemente para esses dois níveis.
Esta versão da Norma especifica o modelo de entrega para os dados interceptados pelos provedores de acesso a autoridade solicitante, fornecendo um conjunto de orientações relativas à interface de entrega desses dados e estabelece diretrizes para a operacionalização das interceptações telemáticas (em redes de dados, redes IP ou Internet), decorrentes de ordem judicial.
Para a definição da interface de entrega dos dados interceptados foram considerados aspectos como alta confiabilidade, baixo custo, interrupção mínima, rapidez de processamento, segurança e autenticação, garantia na entrega dos dados interceptados, padronização dos procedimentos operacionais e eficácia no seu emprego. A interface de entrega do sistema de interceptação deverá utilizar o SSH File Transfer Protocol (SFTP), protocolo de transferência de arquivos. Os dados capturados deverão ser entregues no formato PCAP a entidade policial que solicitou a interceptação. O formato PCAP é um padrão utilizado na maioria dos sistemas de captura de pacotes de rede, como o Wireshark e Tcpdump, por exemplo. O sistema responsável por armazenar essas informações deverá ter como método de autenticação básico o login e senha.