Fundamentos da Forense Digital
2. Preservação e recolha de evidências digitais no local do crime/incidente
2.2. Gestão e mitigação de incidentes
A ISO/IEC 27035 define 5 etapas na gestão e mitigação de incidentes, a saber:
- Preparação e Planeamento
- Deteção e registo
- Avaliação e decisão
- Resposta
- Lições Aprendidas
1.Preparação e Planeamento é a fase de identificação de todos os ativos críticos da instituição, processos internos de acessos à informação, criação de sistemas de monitorização que permitam a identificação de incidentes, bem como de todas as responsabilidades e procedimentos em caso de incidente.
Preparação
· Preparação do laboratório digital
· Definir o responsável de equipa
· Definir os membros da equipa e responsabilidades
· Preparar o briefing / estratégia de intervenção
Briefing
· Estratégia de intervenção?
· Equipamento necessário para levar ao local do incidente?
· Qual o tipo de recolha/métodos de aquisição (ferramentas)?
· Qual a atividade de rede?
· Volatilidade dos dados recolhidos?
· O equipamento pode ter sido configurado para destruir evidências?
· Como vamos armazenar/ transportar as evidências digitais?
· Equipamentos relacionados, manuais, etc?
· Identificar possíveis conflitos de interesse?
· Avaliação de Riscos
2. Deteção e registo é necessariamente a fase de identificação de eventos e distinção entre evento ou consecutivos eventos e possível incidente.
Semelhante a qualquer outro local de crime, já que o incidente poderá ter sido intencionalmente provocado por um colaborador interno da organização. Deste modo devemos ter em consideração a prévia preparação para atuar de acordo com os seguintes pontos:
· Proteger a cena do crime
· Recolher informação preliminar
· Documentar o local do crime
· Recolher a preservar as evidências
· Embalar e transportar
· Cadeia de custódia
Deve ser efetuada a máxima recolha de informação possível, adequada ao tipo de possível incidente, de modo a possibilitar uma tomada de decisão eficiente. Deste modo devemos ter em consideração todos os tipos de informação possíveis de serem adquiridos, tais como:
· Tipo de conexão (Wi-Fi/Ethernet)
· Os computadores que são utlizados para ligação a internet?
· Localização dos sistemas e identificar que são as pessoas com acesso
· Detalhes sobre dispositivos removíveis e propriedades do utilizador
· Obter detalhes sobre a topologia de rede
· Obter detalhes sobre outros periféricos ligados ao computador
· Existem outras perguntas sobre o assunto que não foram respondidas?
Destas informações, devemos ter em consideração a informação envolvente, tais como:
· Quais os serviços oferecidos pela organização?
· Quem são os afetados pelos incidentes? Foram informados?
· Existem medidas de proteção lógica (antivírus, firewall, IDS, IPS)? Alarmes?
· Quais as medidas de segurança física que estão em vigor?
· Existem registos de CCTV
· Identificar o número de computadores e computadores ligados a internet
· Verificar as últimas substituições de hardware
· Nível de acesso dos funcionários? Despedimentos recentes?
· Níveis de acesso Administrativo / Administrador?
· Políticas de segurança da organização?
· Procedimentos dados para conter o incidente?
· Lista de suspeitos? Porque são suspeitos?
· Logs de sistema? Rede? Algo suspeito?
· Utilização do sistema após o incidente? Comandos CMD/Shell? Scripts? Tarefas? Processos?
· Procedimentos de análise pós-incidente?
A equipa de resposta a incidentes deverá ter em consideração a recolha de dados voláteis, sendo estes possivelmente críticos para a rápida tomada de decisão referente a todos os eventos passados. Assim, é importante atuar de modos diferentes de acordo com o estado do computador, se ligado ou desligado (Figura 7).
Como encontra o computador?
Figura 7 - Primeira atuação
The first responder must have proper authority and expertise to act
O U.S. Department of Homeland Security dos Estados Unidos da América, publicou um pequeno guia para os First Responders, com o título “Best Practices for seizing Electronic Evidence”, o qual conta com o que designaram de regras de ouro, que se apresentam na Figura 8.
Figura 8 - Best Practices for seizing Electronic Evidence
Fonte: https://www.crime-scene-investigator.net/SeizingElectronicEvidence.pdf
Estas regras estão atualmente em vigor e devem ser seguidas na resposta a incidentes de segurança.
Já o U.S. Department of Justice - National Institute of Justice, publicou um fluxograma resumindo o processo de abordagem aos dispositivos, denominado de “Collecting Digital Evidence Flow Chart” (Figura 9).
Figura 9 - Collecting Digital Evidence Flow Chart
Fonte: Collecting Digital Evidence Flow Chart. US Department of Justice - National Institute of Justice (2010).
Neste sentido, podemos determinar os seguintes procedimentos:
1. Garantir a segurança física e eletrónica.
2. Caso o computador esteja desligado:
· Garantir que este não liga (Desligar o cabo da energia/Remover bateria, caso exista)
· Fazer a etiquetagem/fotos de todos os componentes e periféricos
· Identificar os dispositivos de armazenamento
· Verificar a data/hora da BIOS (Sem o disco rígido)
3. Caso o computador esteja ligado:
· Desligar as comunicações (desligar cabo de Rede/ retirar Cartão SIM)
· Fotografar o ecrã e todo o seu conteúdo (descrever o conteúdo visível)
· Se existir a necessidade de recolher dados voláteis e não voláteis:
· Realizar a aquisição em Live dos dados (de acordo com a ordem de volatilidade)
· Verificar se os dispositivos de armazenamento se encontram encriptados
· Desligar o computador da fonte de energia
· Fazer a etiquetagem/fotos de todos os componentes e periféricos
· Identificar os dispositivos de armazenamento
· Verificar a data/hora da BIOS (Sem o disco rígido)
Caso esteja envolvido
um dispositivo móvel (smartphone/Tablet):
· Se o dispositivo estiver desligado, não ligar
· Se o dispositivo estiver ligado:
· Fotografar o visor (se disponível)
· Colocar em modo de voo
· Certifique-se sempre de que o dispositivo conectado à bateria tem fonte de alimentação suficiente para o manter ativo até análise
· Utilizar uma bolsa/saco de Faraday (Figura 10)
· Etiquetar/fotografar todos os componentes
· Recolher todos os dispositivos de armazenamento adicionais (cartões de memória, cartões de SIM, etc.)
· Documentar todas as etapas envolvidas na apreensão de dispositivos móveis
· Questionar por códigos de acesso (PIN/Padrão), códigos PIN e PUK do cartão SIM (verificar as bolsas de transporte dos dispositivos – Figura 11)
· Como armazenar e transportar?
· Utilizar luvas
·
· Não cubra informações de identificação
· Provas digitais com aberturas e componentes móveis devem ser seladas com selos ou fitas de anti-adulteração ou de sinalização de abertura
· Os dispositivos devem ser armazenados em saco de dissipação estática e de faraday
· Documentar
· Documentar em relatório próprio e assinado por todos os envolvidos
· Preencher a Cadeia de Custódia dos equipamentos (Figura 12)
Figura 12 - Cadeia de custódia
3.Avaliação e decisão é a fase após o conhecimento da existência de um possível incidente, recolhendo todas as informações úteis sobre o sucedido, levando a uma tomada de decisão sobre a confirmação de um incidente de segurança informática. Com esta confirmação, deve ser realizada uma rápida resposta de modo a mitigar e resolver o mesmo.
4.Resposta é a fase onde é classificado o incidente, de acordo com o definido na fase 1, categorizando o incidente e classificando a sua severidade, realizando os procedimentos necessários à sua mitigação e resolução, utilizando mecanismos de gestão de crises e reporte de incidentes às autoridades competentes, no caso português são a Polícia Judiciária (PJ), o Centro Nacional de Ciber Segurança (CNCS) e a Comissão Nacional de Proteção de Dados (CNPD).
5.Lições Aprendidas é uma das mais necessárias fases, já que permite implementar medidas para que não volte a suceder um incidente igual, bem como, aproveitar o conhecimento gerado para melhorar o sistema de segurança da organização.
Ver: https://www.cncs.gov.pt/certpt/coordenacao-da-resposta-a-incidentes/