Escolar Documentos
Profissional Documentos
Cultura Documentos
• Aderir à Política de Segurança do seu local e envolver o pessoal adequado da Manipulação de Incidentes e
Aplicação da Lei.
• Capture a imagem mais precisa possível do sistema.
• Mantenha notas detalhadas. Estas devem incluir datas e horários. Se possível, gere uma transcrição
automática (por exemplo, em sistemas Unix, o programa ‘script’ pode ser usado, no entanto, o arquivo de
saída que ele gera não deve ser a mídia que fará parte da evidência). As notas e impressões devem ser
assinadas e datadas.
• Observe a diferença entre o relógio do sistema e o UTC. Para cada timestamp fornecido, indique se foi usado
UTC ou a hora local.
• Esteja preparado para testemunhar (talvez anos mais tarde) descrevendo todas as ações que você tomou e
em que momentos. As notas detalhadas serão vitais.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências
• Minimize as alterações nos dados que você estiver coletando. Isso não se limita às alterações de
conteúdo; você deve evitar atualizar os tempos de acesso aos arquivos ou diretórios.
• Remova as vias externas para a mudança.
• Quando confrontado com uma escolha entre coleta e análise, você deve fazer a coleta primeiro e
depois analisar.
• Embora não seja necessário indicar, seus procedimentos devem ser implementáveis. Como em
qualquer aspecto de uma política de resposta a incidentes, os procedimentos devem ser
testados para assegurar a viabilidade, particularmente em uma crise. Se possível, os
procedimentos devem ser automatizados por razões de velocidade e precisão. Seja metódico.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Princípios orientadores durante a coleta de evidências
• Para cada dispositivo, deve ser adotada uma abordagem metódica que siga as diretrizes
estabelecidas no seu procedimento de coleta. A velocidade será muitas vezes crítica, então, onde
há uma série de dispositivos que exigem análise, pode ser apropriado distribuir o trabalho entre
sua equipe para coletar as evidências em paralelo. No entanto, em uma única coleta de sistema,
deve ser feito passo a passo.
• Proceda do volátil para o menos volátil (veja a Ordem de Volatilidade abaixo).
• Você deve fazer uma cópia bit-a-bit da mídia do sistema. Se você deseja fazer análises forenses,
você deve fazer uma cópia bit-a-bit da sua cópia da evidência para esse propósito, pois sua
análise certamente irá alterar os tempos de acesso aos arquivos. Evite fazer perícias na cópia das
evidências.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Ordem de Volatilidade
Proceder do volátil para o menos volátil
• Registros, cache
• Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória
• Sistemas de arquivos temporários
• Disco
• Registro remoto e dados de monitoramento relevantes para o sistema em questão
• Configuração física, topologia de rede
• Mídia de arquivamento
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Coisas para evitar
• Não desligue até completar a coleta das evidências. Muitas evidências podem ser perdidas e o
atacante pode ter alterado os scripts/serviços de inicialização/desligamento para destruir as
evidências.
• Não confie nos programas do sistema. Execute seus programas de coleta de evidências de mídias
adequadamente protegidos (veja abaixo).
• Não execute programas que modifiquem o tempo de acesso de todos os arquivos no sistema
(por exemplo, ‘tar’ ou ‘xcopy’).
• Ao remover as vias externas para a nota de mudança, a simples desativação ou filtragem da rede
pode desencadear “deadman switches” que detectam quando estão fora da rede e apagam
evidências.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Considerações de Privacidade
• Respeite as regras de privacidade e diretrizes de sua empresa e sua jurisdição legal. Em
particular, certifique-se de que nenhuma informação coletada juntamente com a evidência que
você está procurando está disponível para qualquer pessoa que normalmente não tenha acesso
a esta informação. Isso inclui acesso a arquivos de log (que podem revelar padrões de
comportamento do usuário), bem como arquivos de dados pessoais.
• Não invada a privacidade das pessoas sem uma forte justificativa. Em particular, não colete
informações de áreas que normalmente não existem motivos para acessar (como
armazenamento de arquivos pessoais), a menos que você tenha indicação suficiente de que
exista um incidente real.
• Certifique-se que você tem o apoio dos procedimentos estabelecidos da sua empresa para
tomar as medidas que você faz para coletar evidências de um incidente.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Considerações Legais
A evidência do computador precisa ser:
• Admissível: Deve estar em conformidade com certas regras legais antes de poder ser submetida
a um tribunal.
• Autêntica: Deve ser possível amarrar positivamente o material probatório ao incidente.
• Completa: Deve contar toda a história e não apenas uma perspectiva particular.
• Confiável: Não deve haver nada sobre como a evidência foi coletada e, posteriormente,
causando dúvidas da autenticidade e veracidade.
• Crível ou Acreditável: Deve ser facilmente acreditável e compreensível por um tribunal.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
O Procedimento de Coleta
Seus procedimentos de coleta devem ser os mais detalhados possíveis. Tal como ocorre com
os seus procedimentos de Manipulação de Incidentes, eles devem ser inequívocos e devem
minimizar a quantidade de tomada de decisão necessária durante o processo de coleta.
– Transparência
Os métodos utilizados para coletar evidências devem ser transparentes e reprodutíveis. Você
deve estar preparado para reproduzir com precisão os métodos que você usou e ter esses
métodos testados por especialistas independentes.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Etapas da Coleta
• Onde estão as evidências? Liste quais sistemas foram envolvidos no incidente e de quais
evidências serão coletadas.
• Estabeleça o que é provável de ser relevante e admissível. Quando estiver com dúvidas, erre no
lado da coleta a mais, em vez de não o suficiente.
• Para cada sistema, obtenha a ordem de volatilidade relevante.
• Remova as vias externas para a mudança.
• Seguindo a ordem de volatilidade, colete a evidência com as ferramentas conforme discutido na
Seção 5.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Etapas da Coleta
Quando possível, você deve considerar a geração da soma de verificação (checksums) e assinatura
criptografada da evidência coletada, pois isso pode facilitar a preservação de uma forte cadeia de
evidências. Ao fazê-lo, você não deve alterar a evidência.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
O Procedimento de Arquivamento
Você deve ser capaz de descrever claramente como a evidência foi encontrada, como ela foi tratada e
tudo o que aconteceu com ela.
Se possível, a mídia comumente usada (em vez de alguns meios de armazenamento obscuros) deve ser
usada para arquivamento.
O acesso à evidência deve ser extremamente restrito e deve ser claramente documentado. Deve ser
possível detectar acesso não autorizado.
RFC 3227 - DIRETRIZES PARA COLETA E ARMAZENAMENTO DE EVIDÊNCIAS
Referência