Thursday, August 18, 2011

Sua empresa está preparada para manipular evidências digitais?


Os seguintes tópicos descrevem os passos básicos para conduzir investigações digitais e sugerem a ordem em que eles devem ser conduzidos. 

Desenvolvimento dos Procedimentos e Políticas
As áreas destinadas à investigação forense corporativa demandam profissionais especialmente treinados, suporte executivo da empresa e verbas suficientes para serem proficientes no seu trabalho.

Os departamentos devem criar procedimentos e políticas para não serem surpreendidos em situações não esperadas. Dentre os documentos que devem ser criados estão:

Declaração de Missão – Deve incluir as funções básicas do departamento, a visão estratégica aplicada ao negócio, perfil dos funcionários, etc.

Considerações administrativas – Incluir informações sobre licenciamento de software, alocação de recursos financeiros, treinamento, etc.

Requisição de Serviço – Estabelecer diretrizes para oficializar um processo de pedido de serviços forenses corporativos. 

Gerenciamento de Caso – Uma vez que a requisição de serviço está aprovada deve haver critérios para priorizar o trabalho e designar investigadores adequados para cada tipo de trabalho. 

Manipulação de Evidências – Parâmetros devem ser estabelecidos para receber, processar, examinar, documentar e manipular evidências digitais. É importante lembrar que um trabalho forense pode requerer participação de outras ciências forenses, tais como análise de impressão digital, fios de cabelo ou fibras no teclado, etc. 

Desenvolvimento de Procedimentos Técnicos – Estabelecer procedimentos que assegurem a manipulação eficiente dos dados. Estes passos, produtos ou tecnologias devem ser testados previamente em ambiente de laboratório.

Levantamento das Evidências
As evidências digitais devem ser acessadas respeitando sempre o escopo das pesquisas. É necessário que o investigador revise a requisição de serviço para fazer o trabalho e entregar apenas o que foi pedido pelo requisitante.

Levantamento do Caso
Revisão da Requisição de Serviço
Discussão se há necessidade de envolvimento de outras especialidades forenses no caso (Análise de DNA, impressão digital, etc. ;
Considerações da investigação de outros objetos, tipo: impressoras, scanners, câmeras digitais, pocket pc´s, etc.;
Especificação dos tipos de arquivos a serem procurados, tipo: fotos, planilhas, documentos, bancos de dados, registros financeiros, etc.;
Determinação das informações adicionais relacionadas ao caso, tipo: IP, nome da máquina, contas de e-mail, usuários que acessam comumente a máquina, logs de sistema, senhas, etc.
Identificar o nível de conhecimento do investigado. Técnicas empregadas por usuários avançados podem dificultar o trabalho de levantamento de informações (criptografia, esteganografia, etc.).
Determinar o tipo de equipamento necessário para o trabalho.

Um ponto importante a se ressaltar no início dos trabalhos é a garantia da segurança dos investigados. Nunca se sabe a reação que será tomada por um suspeito que pegue sua máquina aberta inadvertidamente!



Considerações sobre o local das investigações
- Determinar se há rede wireless presente
- Entrevistar os administradores de sistema
- Identificar possíveis locais de armazenamento de backups e mídias removíveis
- Identificar previamente o Sistema Operacional

Considerações legais
- Determinar com o jurídico da empresa se há embasamento jurídico para o trabalho
- Assegurar a cadeia de custódia, caso a mídia possa ser apresentada na justiça
- Identificar possíveis problemas relacionados à justiça trabalhista e civil.

Aquisição das Evidências
As evidências digitais por natureza são extremamente frágeis, podendo ser invalidadas, alteradas ou destruídas. Devido a isso alguns tipos de procedimentos devem ser seguidos para se preservar esse tipo de evidência.

O princípio básico é garantir a aquisição dos dados digitais de maneira a se proteger a evidência. Alguns dos cuidados que devem ser tomados para isso são:

Manipular a evidência digital de acordo com os padrões corporativos previamente
Documentar o hardware e o software da máquina do examinador
Abrir a CPU do computador examinado para ter acesso físico aos dispositivos internos
Identificar os dispositivos que precisam ser adquiridos (removíveis ou não)
Documentar os dispositivos internos e a configuração de hardware da máquina investigada



Exame dos Dados
Nesse ponto os dados já estão disponíveis para aferição. Os conceitos abaixo servem para auxiliar ao investigador a pontuar e desenvolver uma seqüência para o exame dos dados digitais. Os passos abaixo citados não são definitivos e podem ser alterados ou acrescentados de outros detalhes. Fica a cargo do investigador decidir quais são os melhores métodos a serem adotados.

Ao iniciar os exames de evidências digitais, considere usar os seguintes passos:

PREPARAÇÃO
Procure pelos diretórios pelos arquivos e dados que podem ser recuperados e extraídos.

EXTRAÇÃO
Existem dois tipos de extração de dados, a física e a lógica. A extração física identifica e recupera dados através de um disco inteiro sem se ater ao sistema de arquivos. A extração lógica trabalha sob o sistema operacional, o sistema de arquivo e as aplicações.

Extração Física
Durante essa fase os trabalhos acontecem no nível físico do disco, sem se importar com o sistema de arquivos existente. Podem ser feitas pesquisas por palavra-chave, recuperação de clusters não alocados do disco e partições, entre outros.

Extração Lógica
Nesta fase dos trabalhos se trabalha no nível do sistema de arquivos presentes no disco e podem incluir áreas como arquivos deletados, file slack, e áreas não-alocadas. Algumas das tarefas que podem ser executadas nessa fase são:

1. Coleta das informações do sistema de arquivos para revelar características como estrutura de diretórios, atributos de arquivos, nome de arquivos, tamanho de arquivos, horários de acesso, etc.
2. Afunilamento de dados para identificar e eliminar arquivos conhecidos através de comparação de hashes ou assinatura de arquivos
3. Recuperação de arquivos e e-mail apagados, ou em áreas de paginação do disco (Ex.: Arquivo Pagefile.sys, nos sistemas Windows)
4. Identificação de dados protegidos por senha, encriptados ou comprimidos
5. Identificação e extração de espaços não-alocados e file slack

ANÁLISE DOS DADOS EXTRAÍDOS
Essa fase contempla a interpretação dos dados extraídos para determinar a correlação com o caso ou não. Alguns tipos de análise que podem ser executados são:

Análise de linha do tempo – É útil para determinar se um evento aconteceu em um computador tem associação com um ou mais investigados.
Revisão dos logs de aplicação e de sistema – Podem incluir erros de aplicação, logs de instalação, conexões e segurança, etc.
Análise de dados ocultos – Pode-se encontrar Alternate Data Streams, arquivos criptografados, esteganografia, entre outros.
Análise de aplicações e arquivos – Vários programas e tipos de arquivos podem conter dados substanciais ao caso. Dentre os métodos que podem ser utilizados para aferir esses dados podemos citar: Revisão de tipos de arquivo, assinaturas, hash, sistemas operacionais presentes, entre outros.

CONCLUSÃO
A partir de todos os dados coletados, documentados e aferidos é possível se vislumbrar uma conclusão para o incidente. Nesse passo todo o processo e conferido, organizado e apresentado à área que demandou o serviço.

Organização do Relatório Final
O examinador é responsável por documentar com responsabilidade e isenção os seus achados. A documentação é um processo recorrente no trabalho de um investigador corporativo e deve ser seguido metodicamente. 

É importante lembrar que normalmente os dados encontrados, muitas vezes bits e bytes, não são inteligíveis ao grande público. É importante que o relatório final seja escrito com linguagem simples e sem “tecnoquês”.

Algumas informações que devem estar em um anexo do relatório final:
Cópia da abertura do chamado, com os detalhes especificados
Cópia do documento de cadeia de custódia
Notas detalhadas do processo de duplicação forense dos dados
Notas sobre as datas e horários de cada fase do exame dos dados
Documentação sobre irregularidades encontradas e quais ações foram tomadas sob esses imprevistos
Informações adicionais sobre informações do domínio/rede, lista de usuários que já tiveram acesso à máquina investigada, senhas, acordos de serviço assinados com o usuário
Documentação sobre backup dos dados do investigado

RELATÓRIO FINAL
Estas são algumas sugestões sobre quais informações devem estar detalhadas num relatório final. Estes detalhes devem ser firmados durante a implantação da área na corporação, e devem ter aprovação dos departamentos jurídicos, tecnologia, segurança, auditoria, e demais envolvidos.

Nome da Empresa
Número do Incidente
Nome do Investigador
Data do início e do fim dos trabalhos
Descrição dos itens enviados para investigação, incluindo números de série, modelo e fotos
Descrição dos passos tomados para investigação, bem como palavras-chave utilizadas, imagens encontradas e arquivos deletados recuperados
Conclusões

OBS: este arquivo foi repassado para mim por um cliente, não sei a origem das informações nem o autor. Procurei no Google, mas sem sucesso. Se alguém souber quem é o "dono" do texto, por favor, me avisem =)

No comments:

Post a Comment