Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Capítulo 2: Obter os dados

Publicado em: 11 de janeiro de 2007

Este capítulo discute as maneiras de se obter os dados necessários à investigação. Alguns dados de investigação computacional são frágeis, altamente voláteis e podem ser facilmente modificados ou danificados. Desta forma, é necessário garantir que os dados sejam coletados e preservados corretamente antes de feita a sua análise. Use o processo em três etapas, conforme mostra a figura a seguir:

Fase de aquisição da investigação computacional

Figura 2.1. Fase de aquisição do modelo de investigação computacional
Nesta página

Elaborar um kit de ferramentas de investigação computacional
Coletar dados
Armazenar e arquivar

Elaborar um kit de ferramentas de investigação computacional

A sua empresa precisará de um conjunto de ferramentas de hardware e software para a aquisição dos dados durante uma investigação. Tal kit de ferramentas pode conter um laptop equipado com os programas e ferramentas, sistemas operacionais e patches, mídias de aplicativos, dispositivos de backup protegidos contra gravação, mídias vazias, equipamento básico de rede e cabos adequados. Teoricamente, o kit de ferramentas será criado com antecedência e os membros da equipe se familiarizarão com as ferramentas antes de realizarem uma investigação.

Cc162837.note(pt-br,TechNet.10).gif Observação:

Consulte as seções "Preparando a sua organização para uma investigação computacional" e "Ferramentas" do Apêndice Apêndice: Recursos apresentados neste guia para uma lista de ferramentas de software sugeridas que podem ser incluídas no kit de ferramentas de investigação computacional e para as diretrizes a serem seguidas durante a elaboração do kit de ferramentas.

Coletar dados

A coleta de dados da evidência digital pode ser executada tanto localmente como em uma rede. A obtenção de dados localmente possui a vantagem de um controle maior sobre o(s) computador(es) e os dados envolvidos. Todavia, nem sempre isso é viável (por exemplo, quando os computadores se encontram em ambientes protegidos ou em outros locais de difícil acesso, ou quando servidores de alta disponibilidade estiverem envolvidos). Outros fatores, como o sigilo nas investigações, a natureza das evidências a serem reunidas e o prazo para as investigações irão determinar de forma definitiva se as evidências devem ser coletadas localmente ou pela rede.

Cc162837.important(pt-br,TechNet.10).gif Important

Ao utilizar ferramentas para coletar os dados, é importante determinar inicialmente a necessidade de se instalar ou não um programa de rootkit. Os rootkits são componentes de software que assumem o controle total de um computador, ocultando a sua existência das ferramentas de diagnóstico padrão. Por operarem em um nível de hardware muito baixo, os rootkits podem interceptar e modificar chamadas do sistema. Não é possível localizar um rootkit procurando por seu arquivo executável, já que o rootkit remove a si próprio da lista dos resultados encontrados na busca. A verificação nas portas não revela que as portas utilizadas pelo rootkit estão abertas, pois o rootkit evita que o verificador detecte a porta aberta. Desta forma, fica difícil assegurar a não-existência de rootkits. Uma ferramenta disponível que você pode utilizar é o Microsoft® Windows® Sysinternals RootkitRevealer.

Ao obter dados em uma rede, é necessário considerar o tipo de dado a ser coletado e a quantidade de esforço a ser empregada. Considere quais os tipos de dados que você precisa obter para servirem de base na acusação às partes transgressoras. Por exemplo, talvez seja necessário obter dados de diversos computadores através de diferentes conexões de redes, ou talvez fazer cópia de um volume lógico de um único computador já seja suficiente.

O processo recomendado de obtenção de dados é apresentado a seguir:

  1. Crie uma documentação precisa que lhe permitirá mais tarde identificar e autenticar as evidências coletadas. Lembre-se de anotar quaisquer itens de potencial interesse e registrar as atividades que possam ser relevantes mais tarde nas investigações. A chave para uma investigação bem sucedida é a própria documentação, incluindo informações como as apresentadas a seguir:

    • Quem executou a ação e por quê. Qual era o objetivo a ser alcançado?

    • Como executaram a ação, incluindo as ferramentas utilizadas e os procedimentos seguidos.

    • Quando a ação foi executada (data e hora) e quais os seus resultados.

  2. Determine quais os método de investigação a serem utilizados. Normalmente, é usada uma combinação de investigações online e offline.

    • Nas investigações offline, a análise adicional é executada sobre uma cópia baseada em bits da evidência original. (Uma cópia baseada em bits é uma cópia completa de todos os dados provenientes da fonte à qual a investigação se destina, incluindo informações como o setor de inicialização, partições, e espaço de disco não-alocado.) Deve-se utilizar o método de investigação offline sempre que possível, pois ele minimiza o risco de danos possíveis à evidência original. Todavia, este método é apropriado apenas para situações onde pode ser criada uma imagem, sendo assim, ele não pode ser usado para a obtenção de dados voláteis.

    • Em uma investigação online, a análise é realizada na evidência original. Deve-se tomar bastante cuidado ao executar a análise online dos dados em função do risco de alteração das evidências que podem ser necessárias como provas de um caso.

  3. Identificar e documentar as fontes potenciais de dados, incluindo o seguinte:

    • Servidores. As informações sobre servidores incluem o papel do servidor, os logs (como logs de eventos), arquivos e aplicativos.

    • Os logs provenientes de dispositivos de rede de face interna e externa, como firewalls, roteadores, servidores proxy, servidores de acesso a redes (NAS), e sistemas de detecção de invasão (IDS) que podem ser usados em um eventual caminho para o ataque.

    • Componentes de hardware internos, como adaptadores de rede (que incluem informações sobre o controle de acesso à mídia (MAC)) e placas PCMCIA. Observe também os tipos de portas externas, como as Firewire, USB e PCMCIA.

    • Dispositivos de armazenagem que precisam ser adquiridos (internos e externos), incluindo discos rígidos, dispositivo de armazenagem em rede e mídias removíveis. Não esqueça dos dispositivos móveis portáteis, como o PocketPC, dispositivos do Smartphone e MP3 players como o Zune™.

  4. Quando tiver que capturar dados voláteis, considere com cuidado a ordem pela qual os dados serão coletados. A evidência volátil pode ser destruída com facilidade. Informações como processos de execução, dados carregados na memória, tabelas de roteamento e arquivos temporários podem ser perdidos para sempre quando o computador é desligado. As informações sobre as ferramentas e comandos que facilitam a reunião dessas informações se encontram disponíveis na seção "Ferramentas" doApêndice: Recursos deste guia.

  5. Use os seguintes métodos para coletar os dados da mídia de armazenagem e registrar as informações sobre configuração da mídia.

    • Se precisar remover quaisquer dispositivos de armazenagem interna, desligue antes o computador. Todavia, antes de desligar o computador, você deve verificar se todos os dados voláteis foram capturados, sempre que possível.

    • Determine se você deve remover o dispositivo de armazenagem do computador suspeito e utilizar o seu próprio sistema para obter os dados. Talvez não seja possível remover o dispositivo de armazenamento em função das considerações e incompatibilidades do hardware. Normalmente, não devem ser desconectados dispositivos de armazenamento como dispositivos RAID, dispositivos de armazenamento com dependência de hardware (por exemplo, equipamento legado), ou dispositivos em sistemas de armazenamento em rede, como as redes de área de armazenamento (SANs).

    • Crie uma cópia baseada em bits das evidências em um destino de backup, assegurando que os dados originais estejam protegidos contra gravação. A análise dos dados subseqüentes deve ser realizada a partir dessa cópia e não da evidência original. A orientação passo a passo para a geração de imagem está fora do escopo deste guia, mas é parte integrante da coleta de evidências.

      Cc162837.important(pt-br,TechNet.10).gif Important

      Utilize ferramentas aceitas pela indústria ao adquirir uma cópia baseada em bits. Por exemplo, o EnCase da Guidance Software ou o FTK da AccessData.

    • Documente os dispositivos de armazenamento interno e certifique-se de incluir informações sobre as suas configurações. Por exemplo, anote o modelo e o nome do fabricante, as configurações de jumper e o tamanho do dispositivo. Além disso, inclua o tipo de interface e a condição da unidade.

  6. Verifique os dados coletados. Crie somas de verificação e assinaturas digitais sempre que possível para ajudar a manter os dados copiados idênticos ao original. Em certas circunstâncias (por exemplo, quando há um setor danificado na mídia de armazenamento), talvez não seja possível criar uma cópia perfeita. Certifique-se de ter obtido a melhor cópia possível com os recursos e as ferramentas disponíveis. É possível utilizar a ferramenta Microsoft File Checksum Integrity Verifier (FCIV) para computar um hash criptográfico SHA1 ou MD5 do conteúdo de um arquivo.

Armazenar e arquivar

Quando a evidência é coletada e está pronta para a análise, é de suma importância armazená-la e arquivá-la de forma a preservar a sua segurança e integridade. Você deve seguir todos os procedimentos de armazenamento e arquivamento existentes na sua organização.

As práticas recomendadas para armazenar e arquivar dados incluem os seguintes itens:

  • Guarde fisicamente e armazene a evidência em um local à prova de violações.

  • Certifique-se de que nenhuma pessoa não-autorizada tenha acesso às evidências, à rede ou a qualquer outro elemento. Documente quem possui acesso físico e através da rede às informações.

  • Proteja o equipamento de armazenamento de campos magnéticos. Utilize soluções de armazenamento de controle estático para proteger o equipamento de armazenamento de eletricidade estática.

  • Faça pelo menos duas cópias das evidências coletadas e armazene uma cópia em um local externo seguro.

  • Certifique-se de que cada evidência se encontra segura fisicamente (por exemplo, guardando-a em um cofre) e também segura digitalmente (por exemplo, atribuindo uma senha para a mídia de armazenamento).

  • Documente claramente a cadeia de custódia da evidência. Crie uma lista de controle de entrada e saída que inclua informações como o nome da pessoa que examinar a evidência, a data e hora exatas em que a evidência foi verificada e a data e hora exatas em que a evidência foi devolvida. Um modelo de Planilha – Cadeia da documentação de registro de custódia está incluído junto às planilhas mencionadas no Apêndice: Recursos deste guia.



Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft