Coleta de Evidências Digitais

Durante o último ICCyber, evento que ocorreu ano passado em Natal, foi entregue a alguns participantes um pequeno guia de campo sobre prova digital, escrito em Português, no qual estão descritos, resumidamente, os passos a serem seguidos por fisrt responders na apreensão e coleta de evidências digitais. Achei muito interessante e pertinente aos tópicos expostos aqui no blog.

O guia foi elaborado por integrantes do FBI e do departamento de justiça americano, apesar de ser direcionado aos policiais, o guia apresenta algumas dicas interessantes, importantes para qualquer indivíduo ou equipe que lide com este tipo de evidência (SOC/CSIRTs).

Após pesquisar mais sobre assunto, encontrei um material ainda mais completo e bem atualizado sobre o assunto, esse disponível na rede por meio do link abaixo:

Eletronic Crime Scene Investigation, a guide for First Responders – 2nd edition
http://www.ncjrs.gov/pdffiles1/nij/219941.pdf

Este guia é bem completo, elaborado dentro do mesmo departamento, National Institute of Justice (NIJ), provavelmente, o guia entregue na conferência de Natal foi baseado neste documento. É importante notar que em nosso país, o Código de Processo Penal (CPP), datado da década de 40, não trata especificamente sobre este tema.

Após ler o documento, resumi o fluxo de coleta da seguinte maneira:

  1. Avaliação do Local: a segurança do local implica na segurança das evidências presentes no lugar, óbvio. Além disso, a presença de qualquer pessoa que possa prejudicar a investigação deve ser tratada bem como todas as ações devem ser embasadas, ou seja, devem possuir fundamento e previsão legal;
  2. Identificação visual de evidências: antes de iniciar os processos a seguir, deve-se identificar (localizar) as evidências presentes no ambiente – pertinentes ao caso, quais sejam: computadores, pendrives, máquinas fotográficas, cd-roms, etc. Já existem equipamentos capazes de auxiliar neste processo;
  3. Documentação: antes de embalar ou empacotar equipamentos, deve-se documentar, ou seja, aplicar rótulos aos fios e peças que serão coletadas; fotografar telas e pontos pertinentes do local, incluindo a disposição dos computadores em uma sala, sistemas de autenticação biométricos para entrada e outros;
  4. Coleta: nesta etapa, além de observar a Lei, no caso de peritos e assistentes técnicos, por meio do famoso mandado de busca e apreensão, deve-se evitar qualquer ação que danifique a prova (contato com líquido ou imã, quedas, etc).
    Em coletas realizadas em corporações, demandadas por áreas de Anti-Fraudes ou Segurança da Informação, é importante haver formalmente definida tal atribuição, bem como observar ações que prejudiquem a privacidade do investigado, atualmente, assunto polêmico, com várias abordagens nas discussões. O importante é que, abusos ou erros irão prejudicar o processo mais adiante.

Esta última etapa é detalhada por meio do diagrama abaixo (em Inglês):

Em um post futuro, irei detalhar os pontos mais interessantes em relação ao processo de coleta, constantes naquele documento. Por exemplo:

  • Ao encontrar um computador ligado, deve-se imediatamente desligá-lo puxando o cabo de força plugado ao equipamento?
  • Computadores desligados, podem, em alguma situação, ser ligados assim que são identificados?

Até o próximo post!

7 thoughts on “Coleta de Evidências Digitais

    1. Valeu Rafa! Vou dar uma olhada, há muitos artigos bons na sua coluna do portal iMasters. Não consegui ler todos ainda… :)

      Abraço!

      Alexandre

    1. Sandro, gostaria de ter assistido a esta apresentação! Só fui em 2007, quando ocorreu no Guarujá.

      Vamos ver este ano se rola próximo a São Paulo.

      Abraço!

      Alexandre

      1. Fala Alexandre, na de 2007 eu também fiz uma apresentação, mas sobre o Centro de Oprações de Segurança da BrT – acho que não te interessa, mas devo ter o PPT sanitizado em algum lugar por aqui .. =)

        Mas falando de hoje, quais eventos/conferências você vai em 2010? Outro dia fiz um “dream list” de eventos.. ah se eu tivesse dinheiro.. =)

        [ ]s!

        S.S.

      2. Sandro, eu estava pensando em investir em um curso fora, praticar o Inglês e melhorar o CV.

        O que acha de preparar um post com esta whishlist?? :) Aqui no Brasil, acho legal a YSTS, preparada pelo pessoal do podcast I shot the sheriff: http://ysts.org

        []s

        Alexandre

      3. Sandrão, pois é n sei se tenho, mas manda pra mim sim …
        pode mandar no nosso email msm ….
        []s …

Comments are closed.