Wednesday, June 9, 2010

Cross Contamination

Já a algum tempo queria escrever um artigo sobre cross contamination, um tema muito interessante e que merece muita atenção durante todo o trabalho de investigação.


Assim como nos crimes do mundo real, as evidencias de crimes realizado do mundo virtual devem ser preservadas. Posso dizer que as evidências dos crimes virtuais são muito mais frágeis, e uma série de cuidados devem ser levados em consideração.

Princípio da Troca de Locard - A troca de Locard define que em um determinado momento em que dois objetos entram em contato haverá transferência de material entre os dois, ou seja, sempre existirá troca quando dois objetos entram em contato. No contexto da análise forense, o princípio indica que a contaminação de provas pode ocorrer, não somente pelo criminoso, mas também pelo perito no momento da investigação.

Um dos primeiros passos ao se iniciar uma investigação é definir qual a demanda do incidente, sendo um caso de litígio ou não. Caso a investigação possua um objetivo jurídico, a preservação das evidências necessita de cuidados diferenciados. Uma evidência deve possuir diversas características para que possa ser aceita no tribunal, diferente de evidências para uso interno da organização.
  •  Non-liturgical Forensic: quando o problema é “resolvido em casa” 
  • Liturgical Forensic: litígio, com desdobramentos legais. 
Em determinados casos, é possível realizar investigações apenas para conhecimento do ocorrido, tornando o processo menos detalhado e mais rápido, porém, isso prejudica a integridade das evidências.

A cena do crime, assim como em crimes não computacionais, é o ponto crítico de um processo de investigação. Porém, um crime tecnológico nem sempre possui uma cena do crime bem definida, pois existem diversas formas de burlar a localização de um ataque e até mesmo realizar um ataque utilizando acesso remoto de uma terceira parte. A cena do crime é o ponto inicial da investigação, seja esta cena um escritório, uma estação de trabalho ou uma sala de servidores.

A segurança da cena do crime é de responsabilidade do grupo de resposta a incidentes, porém, pode ser realizado por autoridades legais. Em alguns casos não é conveniente envolver terceiros ou agentes legais. O envolvimento de agentes legais é considerado one way, ou seja, após iniciada a investigação deve ir até o fim. Em determinados momentos a investigação pode causar transtornos desnecessários. Porém, existem casos em que a notificação para as autoridades é obrigatória, quando envolvem: segurança em pessoas, segurança nacional e pornografia infantil. (Esta era uma grande dúvida minha: imagine-se no meio de uma investigação na empresa XPTO Corp. No meio do processo você - examinador - encontra imagens de pedofilia. O que fazer? Acione as autoridades! Simples assim. Obrigado pela brilhante explicação, amigo @suffert!)

Documentação - A documentação pode ser criada de diferentes maneiras como, narração dos eventos (gravação), fotografias do ambiente, dos ativos envolvidos e das telas dos computadores. É importante documentar o layout do ambiente. Este trabalho de documentação é fundamental, principalmente porque possibilita que a integridade das evidências seja mantida e que estas possam ser utilizadas de forma litigiosa na conclusão do caso. Desde a criação da evidência (ex: trilhas de auditoria) até a utilização desta no tribunal, muitos cuidados devem ser tomados. As evidências devem ser protegidas de forma que sejam confiáveis aos olhos do júri. Para esta proteção pode-se utilizar, por exemplo, hash’s matemáticos ou criptografia. Um aspecto muitas vezes esquecido é a proteção das evidências durante o seu transporte, mesmo que seja entre dois ambientes.

Outro cuidado que deve ser tomado é em relação ao tempo de retenção das evidências, principalmente registros e logs, que devem possuir um tempo mínimo de armazenamento, antes de serem descartados.

A coleta de evidências deve manter a privacidade das informações como requisito principal. Na maioria dos casos, informações sigilosas são parte do processo e sua privacidade deve ser mantida. Enquadram-se também nestes casos as informações de terceiros.

Cadeia de custódia - Esta é uma nomenclatura mundialmente utilizada, não somente para forense computacional, mas para todas as categorias de análise forense. Este termo tem como objetivo definir um caminho pelo qual a evidência coletada passou, documentando informações sobre horário da coleta da evidência, dono, quem coletou, como a evidência foi armazenada e protegida, quem tem a posse atual, etc.

As informações de MAC Time (Modified, Accessed and Changed) são utilizadas amplamente nos diversos sistemas operacionais existentes no mercado. Mas o que é MAC Time? É um padrão de identificação sobre a realização de procedimentos sobre as informações em um sistema de arquivos, onde:
  • M: última leitura ou gravação 
  • A: último acesso ao arquivo 
  • C: última mudança de inode 
Uma mudança em um inode pode ser desde a alteração de um atributo de um arquivo, até uma mudança no permissionamento de um determinado diretório. Caso um arquivo seja movido para um volume diferente em um mesmo hard disk o inode é recriado, como se o arquivo tivesse sido criado no momento em que ele foi transferido para o novo volume. O MAC Time permite ao investigador criar uma linha cronológica de acesso ao sistema de arquivos e informações críticas ao processo. A manipulação inadequada das evidências e dos ativos de tecnologia pode comprometer estes atributos de tempo.

Maiores informações:
http://www.fact-index.com/c/ch/chain_of_custody.html
http://www.enotes.com/forensic-science/cross-contamination

No comments:

Post a Comment