Wednesday, January 26, 2011

Etapas da Investigação Digital - a Coleta

Um profissional que leva as informações de uma investigação forense digital para um âmbito jurídico, sabe que algumas medidas devem ser tomadas para que nenhuma falha no processo culmine em anulação de todo o processo investigativo.

Minha idéia é escrever aqui no blog os processos para uma análise simples em disco rígido, em uma máquina post mortem. Não vou apenas descrever os processos, mas também vou apresentar minhas experiências e dar algumas dicas sobre as etapas e o processo como um todo.

O processo ao qual me refiro foi definido pelo Departamento de Justiça Americano, em 2001*, descrito em quatro etapas para uma investigação forense digital, a saber:
  1. Coleta
  2. Exame
  3. Análise
  4. Relatório
A primeira etapa é talvez a mais importante: a Coleta. A Coleta consiste em, basicamente, capturar os dados a serem investigados e prepará-los (gerar HASH, por exemplo) para o Exame (etapa 02). As boas práticas (e a experiência também) recomendam duplicar o disco original para evitar acidentes (queda acidental no HD suspeito) ou possível manipulação/corrupção dos dados (acidental ou ilícita, com objetivo de adulterar o resultado da investigação). Existem várias formas para se duplicar um disco rígido, mas com certeza a mais prática é utilizando um duplicador de discos forense.


Este post é baseado totalmente na minha experiência utilizando o duplicador de discos SOLO-4.

O SOLO-4 é um hardware com bloqueio de escrita nas portas de HD "suspeito", capaz de evitar qualquer alteração nos dados do disco "suspeito". Utilizando discos SATA-2, é capaz de transferir dados a uma velocidade de até 7GB por minuto! Como possui duas interfaces para "suspeito" e duas interfaces para "evidência", este equipamento é capaz de realizar duas cópias distintas simultaneamente.

Tem suporte para cópia de/para dispositivos SATA, SAS e USB (para HDs portáteis e Pen Drives). É capaz de gerar HASH em MD5, SHA1 e SHA256 das evidências.



Detalhe para as portas de Evidence / Target e Suspect / Source (clique para ampliar)


Basicamente, o que o SOLO-4 faz é duplicar discos a uma velocidade altíssima e garantindo a integridade dos dados originais.



O equipamento possui dois modos de uso: wizard (assistente), para quem é objetivo ou não quer cometer nenhum erro, e um modo advanced, que permite maior controle da operação que está sendo executada.

Interface Advanced Screen, para quem sabe o que está fazendo.

Na interface Advanced Screen, a pessoa que estiver criando a imagem do disco, pode selecionar o tipo de operação (Single Capture, Linux DD Capture), definir o Hash a ser gerado (SHA1, SHA256, MD5...) dentre outras opções.

Além do processo de copia, o SOLO-4 é capaz ainda de sanitizar discos, evitando assim possível contaminação cruzada de evidências. Para tal, ele pode ser configurado para utilizar o modo WipeOut-DOD ou o modo WipeOut-Fast:

O modo de operação WipeOut DoD oferece o método de sanitização definido pelo Departamento de Defesa Norte Americano como DOD 5220-22M. Usando os comandos DELETE e ERASE, os dados no disco rígido permanecem acessíveis para uma variedade de operações. A técnica de WipeOut DoD fornece uma solução para esse problema utilizando uma série de operações de escrita de valores nulos que remove completamente todos os dados do disco rígido. O processo é realizado em três iterações que escrevem os dados diretamente no disco conectado à unidade forense. Cada iteração realiza duas passagens de escrita em todo o disco. A primeira passagem escreve sequências de números um (hexadecimal 0xFF) no disco todo. A segunda passagem escreve sequências de zeros (hexadecimal 0x00) em toda a superfície do disco. E após a terceira iteração ocorre a passagem de escrita em toda a superfície do disco chamada código “246” (hexadecimal 0xF6), seguida pela oitava passagem que realiza a inspeção através de operações de leitura e verificação.

O modo de operação Wipeout Fast fornece um método rápido de sanitização não-DoD a todos os dados armazenados. O processo envolve a escrita de um valor hexadecimal definido pelo usuário no disco de destino conectado à unidade forense. O número de iterações para esse método também é definido pelo usuário. O processo é contínuo e sistemático, iniciando no primeiro byte do primeiro setor do disco e termina quando encontra o último byte do último setor do disco.

Detalhe da opção Wipeout settings

O pessoal do Forensic Focus também escreveu um review sobre o Solo-4. Maiores informações no site do fabricante.


*Este processo foi remodelado em 2007 e possui desde então7 etapas fundamentais.

2 comments:

Sandro Süffert said...

Beleza de post, Luizao..

dois comentarios:

1 - pesquisas mais recentes mostram que omwipe fast (1 passagem) eh suficiente para sanitizar as midias (sobre as ssd merece outro post..)

2 - eu fiz um estudo sobre processos existentes, incluindo os de 2001 e 2007 do DoJ e esta linkado aqui: http://sseguranca.blogspot.com/2010/12/flowcharts-para-processos-de-forense.html

no mesmo link ha um flowchart do processo de coleta compilado pelo forensickb muito bom que tive a oportunidade de contribuir .

abraco!

SS

Luiz Rabelo said...

Suffert, meu amigo! O que seria deste blog sem suas constantes contribuições!! Muito obrigado, mais uma vez!

Post a Comment