Computação Forense e Investigação Digital

RFC 3227 - Diretrizes para Coleta e Armazenamento de Evidências

PETTER ANDERSON LOPES

RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS

Se a coleta de evidências é feita corretamente,

é mais útil para apreender o atacante, e tem
uma chance muito maior de ser admissível em
caso de acusação.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências
– Ordem de Volatilidade
– Coisas para evitar
– Considerações de privacidade
– Considerações legais
O Procedimento de coleta
– Transparência
– Etapas da coleta
O Procedimento de arquivamento
– Cadeia de custódia
– Onde e como arquivar
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências

• Aderir à Política de Segurança do seu local e envolver o pessoal adequado da Manipulação de Incidentes e
Aplicação da Lei.
• Capture a imagem mais precisa possível do sistema.
• Mantenha notas detalhadas. Estas devem incluir datas e horários. Se possível, gere uma transcrição
automática (por exemplo, em sistemas Unix, o programa ‘script’ pode ser usado, no entanto, o arquivo de
saída que ele gera não deve ser a mídia que fará parte da evidência). As notas e impressões devem ser
assinadas e datadas.
• Observe a diferença entre o relógio do sistema e o UTC. Para cada timestamp fornecido, indique se foi usado
UTC ou a hora local.
• Esteja preparado para testemunhar (talvez anos mais tarde) descrevendo todas as ações que você tomou e
em que momentos. As notas detalhadas serão vitais.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências

• Minimize as alterações nos dados que você estiver coletando. Isso não se limita às alterações de
conteúdo; você deve evitar atualizar os tempos de acesso aos arquivos ou diretórios.
• Remova as vias externas para a mudança.
• Quando confrontado com uma escolha entre coleta e análise, você deve fazer a coleta primeiro e
depois analisar.
• Embora não seja necessário indicar, seus procedimentos devem ser implementáveis. Como em
qualquer aspecto de uma política de resposta a incidentes, os procedimentos devem ser
testados para assegurar a viabilidade, particularmente em uma crise. Se possível, os
procedimentos devem ser automatizados por razões de velocidade e precisão. Seja metódico.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências

• Para cada dispositivo, deve ser adotada uma abordagem metódica que siga as diretrizes
estabelecidas no seu procedimento de coleta. A velocidade será muitas vezes crítica, então, onde
há uma série de dispositivos que exigem análise, pode ser apropriado distribuir o trabalho entre
sua equipe para coletar as evidências em paralelo. No entanto, em uma única coleta de sistema,
deve ser feito passo a passo.
• Proceda do volátil para o menos volátil (veja a Ordem de Volatilidade abaixo).
• Você deve fazer uma cópia bit-a-bit da mídia do sistema. Se você deseja fazer análises forenses,
você deve fazer uma cópia bit-a-bit da sua cópia da evidência para esse propósito, pois sua
análise certamente irá alterar os tempos de acesso aos arquivos. Evite fazer perícias na cópia das
evidências.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Ordem de Volatilidade
Proceder do volátil para o menos volátil

• Registros, cache
• Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória
• Sistemas de arquivos temporários
• Disco
• Registro remoto e dados de monitoramento relevantes para o sistema em questão
• Configuração física, topologia de rede
• Mídia de arquivamento
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Coisas para evitar

• Não desligue até completar a coleta das evidências. Muitas evidências podem ser perdidas e o
atacante pode ter alterado os scripts/serviços de inicialização/desligamento para destruir as
evidências.
• Não confie nos programas do sistema. Execute seus programas de coleta de evidências de mídias
adequadamente protegidos (veja abaixo).
• Não execute programas que modifiquem o tempo de acesso de todos os arquivos no sistema
(por exemplo, ‘tar’ ou ‘xcopy’).
• Ao remover as vias externas para a nota de mudança, a simples desativação ou filtragem da rede
pode desencadear “deadman switches” que detectam quando estão fora da rede e apagam
evidências.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Considerações de Privacidade
• Respeite as regras de privacidade e diretrizes de sua empresa e sua jurisdição legal. Em
particular, certifique-se de que nenhuma informação coletada juntamente com a evidência que
você está procurando está disponível para qualquer pessoa que normalmente não tenha acesso
a esta informação. Isso inclui acesso a arquivos de log (que podem revelar padrões de
comportamento do usuário), bem como arquivos de dados pessoais.
• Não invada a privacidade das pessoas sem uma forte justificativa. Em particular, não colete
informações de áreas que normalmente não existem motivos para acessar (como
armazenamento de arquivos pessoais), a menos que você tenha indicação suficiente de que
exista um incidente real.
• Certifique-se que você tem o apoio dos procedimentos estabelecidos da sua empresa para
tomar as medidas que você faz para coletar evidências de um incidente.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Considerações Legais
A evidência do computador precisa ser:

• Admissível: Deve estar em conformidade com certas regras legais antes de poder ser submetida
a um tribunal.
• Autêntica: Deve ser possível amarrar positivamente o material probatório ao incidente.
• Completa: Deve contar toda a história e não apenas uma perspectiva particular.
• Confiável: Não deve haver nada sobre como a evidência foi coletada e, posteriormente,
causando dúvidas da autenticidade e veracidade.
• Crível ou Acreditável: Deve ser facilmente acreditável e compreensível por um tribunal.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
O Procedimento de Coleta

Seus procedimentos de coleta devem ser os mais detalhados possíveis. Tal como ocorre com
os seus procedimentos de Manipulação de Incidentes, eles devem ser inequívocos e devem
minimizar a quantidade de tomada de decisão necessária durante o processo de coleta.

– Transparência
Os métodos utilizados para coletar evidências devem ser transparentes e reprodutíveis. Você
deve estar preparado para reproduzir com precisão os métodos que você usou e ter esses
métodos testados por especialistas independentes.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Etapas da Coleta

• Onde estão as evidências? Liste quais sistemas foram envolvidos no incidente e de quais
evidências serão coletadas.
• Estabeleça o que é provável de ser relevante e admissível. Quando estiver com dúvidas, erre no
lado da coleta a mais, em vez de não o suficiente.
• Para cada sistema, obtenha a ordem de volatilidade relevante.
• Remova as vias externas para a mudança.
• Seguindo a ordem de volatilidade, colete a evidência com as ferramentas conforme discutido na
Seção 5.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Etapas da Coleta

• Registre a marcação do relógio do sistema.

• Pergunte o que mais pode ser evidência à medida que você trabalha através das etapas de
coleta.
• Documente cada passo.
• Não se esqueça das pessoas envolvidas. Faça anotações sobre quem estava lá e o que eles
estavam fazendo, o que eles observaram e como eles reagiram.

Quando possível, você deve considerar a geração da soma de verificação (checksums) e assinatura
criptografada da evidência coletada, pois isso pode facilitar a preservação de uma forte cadeia de
evidências. Ao fazê-lo, você não deve alterar a evidência.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
O Procedimento de Arquivamento

As evidências devem ser rigorosamente seguras.

Além disso, a Cadeia de Custódia precisa ser claramente documentada.

RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Cadeia de Custódia

Você deve ser capaz de descrever claramente como a evidência foi encontrada, como ela foi tratada e
tudo o que aconteceu com ela.

O seguinte deve ser documentado:

• Onde, quando e por quem a evidência foi descoberta e coletada.
• Onde, quando e por quem as evidências foram tratadas ou examinadas.
• Quem teve a custódia da evidência, durante o período. Como foi armazenado.
• Quando a evidência mudou de custódia, quando e como ocorreu a transferência (inclui números
de envio, etc.).
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS

Onde e Como Arquivar

Se possível, a mídia comumente usada (em vez de alguns meios de armazenamento obscuros) deve ser
usada para arquivamento.

O acesso à evidência deve ser extremamente restrito e deve ser claramente documentado. Deve ser
possível detectar acesso não autorizado.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS

Referência

Traduzido de: https://tools.ietf.org/html/rfc3227