Escolar Documentos
Profissional Documentos
Cultura Documentos
1 INTRODUÇÃO
A segurança da informação se torna cada vez mais uma grande preocupação das
empresas. “A informação e o conhecimento são, talvez, os bens mais valiosos de uma empresa.
A forma como são tratados, manipulados e armazenados é uma preocupação constante e
crescente dos seus administradores” afirma Lento (2011, p.9). Diante do grande desafio que é
trabalhar sobre evidências e vestígios digitais, este artigo tem como tema a utilização de
estratégias para realização de análise e manutenção de evidências digitais garantindo sobre elas
as propriedades da segurança da informação.
Ao se trabalhar com evidências digitais é preciso lidar com o problema da falta de
confiança nesse tipo de prova. “Apesar do alto nível de precisão da computação forense, há
uma fragilidade: a coleta das evidências. Coletar de forma errônea pode tornar ilícita ou invalida
determinada prova” afirma Pinheiro (2009, p.174). Porém, essa preocupação não é apenas com
a coleta das informações, mas também com o seu manuseio, tratamento, análise e
Artigo apresentado como trabalho de conclusão de curso de Especialização em Gestão de Segurança da
Informação da Universidade do Sul de Santa Catarina, como requisito parcial para obtenção do título de
Especialista em Segurança da Informação. Orientador: Prof. Luiz Otavio Botelho Lento, MSC, 2017.
Acadêmico (a) do curso de Especialização em Gestão de Segurança da Informação da Universidade do Sul de
Santa Catarina. Endereço eletrônico
2
2 FORENSE COMPUTACIONAL
A evidência digital possui algumas características próprias: pode ser duplicada com
exatidão, permitindo a preservação da evidência durante sua análise; utilizando métodos
apropriados pode-se identificar se ela foi adulterada; é extremamente volátil, podendo ser
alterada durante o processo de análise. A procura por evidências em um sistema computacional
constitui-se de uma varredura minuciosa nas informações que nele residam, sejam dados em
arquivos ou em memória, “deletados” ou não, cifrados ou possivelmente danificados (GEUS e
REIS, 2002).
As cinco regras para a evidência eletrônica são: a admissibilidade, ou seja, ter
condições de ser usada no processo; autenticidade, ser certa e de relevância para o
caso; a completude, pois esta não poderá causar ou levar a suspeitas alternativas; a
confiabilidade, não devem existir dúvidas sobre sua veracidade e autenticidade; e a
credibilidade, que é a clareza, o fácil entendimento e interpretação (PINHEIRO, 2009,
p. 172).
3
Resultados
Coleta Exame Análise
obtidos
O investigador sempre trabalhará com a cópia, para que caso os dados sejam
danificados durante uma análise, ainda se tenha o arquivo original para obter uma nova cópia
de trabalho, ou para caso sejam necessários novos exames. Para que o material original seja
identificado e preservado integralmente é criada a cadeia de custódia (MADEIRA, 2012).
Um conjunto de dados voláteis pode ser organizado pela ordem recomendada para
a coleta (KENT et al., 2006 apud PEREIRA et al., 2007):
4
Após realizada toda fase de coleta e restauração das cópias dos dados, o perito inicia
o exame dos objetos resultantes da primeira fase. Esse exame tem como finalidade localizar,
filtrar e extrair somente informações que contribuam, de alguma maneira, para a reconstrução
dos eventos que deram origem a investigação (PEREIRA et al., 2007).
5
pode ocorrer sempre de maneira não-invasiva. Esses princípios estabelecidos devem seguir as
seguintes condições (NBR ISO/IEC 27037, 2012):
Relevância: demostrar que o material adquirido é relevante para a investigação.
Confiabilidade: os processos utilizados na manipulação de evidências digitais
em potencial devem ser auditáveis e repetíveis.
Suficiência: material suficiente deve ser recolhido.
Auditabilidade: os processos utilizados devem ser passíveis de auditoria para
determinar se um método científico, técnica ou procedimento adequado foi
seguido.
Repetibilidade: um perito qualificado e experiente deve ser capaz de realizar os
processos descritos na documentação e chegar aos mesmos resultados. Podem
existir circunstancias em que não seria possível repetir o teste. Nesse caso, o
perito deve assegurar-se de que o processo de aquisição foi confiável.
Reprodutibilidade: é estabelecida quando os mesmos resultados do teste são
reproduzidos usando o mesmo método de medição, usando instrumentos
diferentes e sob diferentes condições, e pode ser reproduzida a qualquer
momento após o teste original.
Justificabilidade: o perito deve ser capaz de justificar todas as ações e métodos
utilizados no tratamento da evidência digital.
A partir dos estudos realizados foi possível determinar as diretrizes que guiarão o
trabalho pericial, baseadas na NBR ISO/IEC 27037 (2012) e no documento Eletronic Crime
Scene Investigation (NIJ, 2001). Atualmente não existe um documento oficial que oriente a
realização dessa prática. Por entender que é imprescindível a garantia das propriedades de
segurança sobre as informações, esse conjunto de diretrizes define:
O perito deve ser pessoa capaz de exercer a atividade proposta, com
conhecimentos relacionados a sua área de atuação, condizentes com a natureza
do exame, além de possuir ética e caráter.
Ao realizar a apreensão de qualquer equipamento, este deve ser devidamente
identificado e registrado na cadeia de custódia.
O perito deve conhecer o incidente detalhadamente, conhecer as suspeitas, se
existe pessoa suspeita, qual material está envolvido, período em que aconteceu,
qual é o de modus operandi para a prática do incidente, além de qualquer
informação que permita identificar uma evidência relevante.
O perito deve definir sua estratégia de atuação de acordo com o incidente e assim
definir quais dados devem ser coletados a partir dos equipamentos apreendidos
e quais as técnicas e ferramentas de análise, tratamento e manutenção deverão
ser utilizadas.
Equipamentos ou evidências coletados devem ser isolados do acesso de qualquer
pessoa, registrando devidamente todo contato que tiver com o objeto em questão
e justificando-o na cadeia de custódia. Deve-se preservar o acesso físico e lógico
das evidências, em local com controle de acesso.
Ao realizar a coleta, o perito deve certificar-se de que suas ações não iram alterar
os dados coletados e de que as possíveis evidências serão preservadas.
Quando realizar cópias ou acessar algum dado, arquivo, partição, disco rígido,
mídia, etc. deve-se preocupar em realizar esse acesso em modo somente leitura.
O perito deve registrar todas as ferramentas utilizadas para a coleta dos dados,
bem como de qual equipamento foram obtidos, além de detalhar os
procedimentos realizados em sua utilização.
9
Deve preocupar-se em coletar dados que possam ter sido perdidos, deletados,
modificados, ocultados, escondidos, criptografados, entre outros, relatando o
estado em que foram encontrados.
Coletar os dados voláteis, conexões de rede, sessões de login, processos em
execução, arquivos abertos, configurações de rede, IP e mac address, data e hora
do sistema operacional, e também realizar o dump da memória RAM.
Coletar dados não voláteis, realizar cópia com imagem do disco rígido.
Os dados coletados devem ser obrigatoriamente duplicados e todos os trabalhos
devem ser realizados sobre as cópias para que seja possível recriar o ambiente
original, caso seja necessário. Toda a análise deve ser realizada sobre cópias do
conteúdo original.
Deve-se gerar o hash de cada evidência coletada para garantir sua integridade.
As evidências comprovadas, bem como todo o material obtido na coleta e
utilizado na análise, devem ser criptografadas para garantir o acesso apenas por
parte do perito ou pessoas autorizadas e para que se possa comprovar que
ninguém não autorizado teve acesso a elas. A utilização de um sistema
operacional que exija autenticação também garante esse registro, pois existem
logs do sistema operacional que permitem verificar os usuários que tiveram
acesso ao computador.
O perito deve analisar todos os dados obtidos a fim de encontrar informações
que permitam correlacionar o incidente, criar a linha do tempo do incidente e
identificar pessoas e ações.
O perito deve redigir laudo pericial, detalhando todo o processo ocorrido nas
fases anteriores bem como sua conclusão sobre cada uma das evidências
encontradas.
A realização do processo forense baseada nas diretrizes propostas é uma garantia
de que as evidências serão mantidas e protegidas para que possam ter validade jurídica e
comprovem tudo o que aconteceu em um crime ou incidente.
10
Após obtenção das evidências forenses, é necessário garantir sua segurança. Dessa
forma, propõe-se:
Garantir Confidencialidade: o perito deve garantir que todo o material obtido, as
comprovadas provas digitais, sejam confidenciais e que somente pessoal
autorizado possa ter acesso a elas. A criação de políticas de segurança, com
regras de acesso físico e lógico e o uso de mecanismos de criptografia são
maneiras de garantir a confidencialidade.
Garantir Integridade: deve ser garantido que as informações e dados obtidos e
armazenados não serão corrompidos, perdidos ou danificados, seja de maneira
acidental ou proposital. Transporte, manuseio, condições climáticas, ou até
mesmo a exposição a campos eletromagnéticos podem influenciar na integridade
do conteúdo de equipamentos eletrônicos. O perito deve preocupar-se em manter
a redundância e replicação de todo o material da investigação.
Garantir Autenticidade: a autenticidade deve garantir que a informação é
legítima, e que a fonte da informação também é legítima. A autenticidade
permite confirmar a identidade. Mecanismos de criptografia garantem a
autenticidade pois somente com acesso à chave criptográfica as evidências
poderão ser acessadas.
Garantir disponibilidade: sempre que houver a necessidade de realizar uma nova
análise, ou uma nova verificação de qualquer natureza em uma evidência, deve
ser garantido o acesso a evidência em seu estado original, autêntica e íntegra.
Garantir Não Repúdio: deve ser garantido o registro de que a pessoa que teve
algum acesso a evidência ou realizou alguma alteração seja realmente ela. O não
repúdio é a capacidade de provar que determinado indivíduo realizou uma
determinada ação, ou seja, o autor do fato não poderá negar que o fez. O
correlacionamento das evidências com o crime ou incidente são a garantia de
não repúdio.
11
4 ESTUDO DE CASO
Este estudo de caso propõe demonstrar brevemente como lidar com uma evidência
durante uma investigação forense digital. Neste caso, o objetivo da investigação é conseguir
identificar se houve vazamento de informação confidencial. O perito precisa conseguir
comprovar, através de sua análise, que um usuário suspeito copiou um determinado arquivo
para um pendrive.
Analisando as diretrizes, o perito deve aplicar tudo que se encaixa nesse incidente.
Ao se obter acesso ao computador suspeito, dá-se início ao preenchimento da documentação da
Cadeia de Custódia. O perito deve realizar uma imagem bit a bit do disco, acessando o HD em
modo somente leitura para não interferir nos dados. Por já existir uma suspeita de modus
operandi do suspeito, o perito utiliza a ferramenta chamada ERDNT para realizar a cópia dos
arquivos de registro do sistema operacional. Os arquivos salvos através dessa ferramenta serão
analisados utilizando a ferramenta Windows Registry Recovery da MiTeC, mais
especificamente o arquivo “NTUSER.DAT” referente ao usuário da máquina correspondente a
pessoa suspeita.
Ao verificar a Figura 2 é possível observar que após realizar a busca por parte do
nome do arquivo, neste caso “segredo.docx”, existe duas menções a ele, uma delas
12
provavelmente em um dispositivo móvel de unidade “E:\”. Ao realizar a análise deste item, nas
suas propriedades (Figura 3) é apresentada a data de 26/06/2017 e o horário 12:57:57, que
precisa ser ajustado para o fuso horário de Brasília (-3), portanto horário de 09:57:57. O perito
deve verificar se a data e horário obtidos correspondem com a suspeita, por exemplo, se é
possível provar que o usuário estava no local neste momento.
Para uma análise mais detalhada, o perito utiliza uma ferramenta chamada
RegRipper, para analisar os arquivos “SOFTWARE” e “SYSTEM”, obtidos do registro com a
ferramenta ERDNT. Ele vai gerar um relatório. Ao analisar esse relatório, é possível verificar
que na data encontrada na evidência existe o registro de que foi utilizado um portable device (
Figura 4).
Sandisk. Posteriormente o perito deve realizar a redação do laudo pericial, detalhando todo seu
trabalho e os resultados obtidos. Em uma investigação, esta poderia ser uma das evidências que
auxiliaria na resolução da investigação deste incidente, porém, precisaria ser correlacionada
com outras evidencias, como por exemplo: gravação de câmeras de segurança, registro de
acesso ao prédio, entre outras.
5 CONCLUSÃO
para comprovação da validade das evidências e do uso das diretrizes como guia da execução do
estudo de caso.
REFERÊNCIAS
LENTO, Luiz Otávio Botelho. Segurança da informação: livro didático / Luiz Otávio
Botelho Lento; design instrucional Ana Cláudia Taú; [assistente acadêmico Leandro Rocha,
Michele Antunes Corrêa. 3. ed. Palhoça: UnisulVirtual, 2011.
15
PINHEIRO, Patricia Peck. Direito digital. 3 ed. rev., atual. e ampl. São Paulo: Saraiva, 2009.
PINHEIRO, Patricia Peck. Direito digital. 4 ed. rev., atual. e ampl. São Paulo: Saraiva, 2010.