Diretrizes para Coleta e Preservação de Evidências Digitais

REFERÊNCIAS:

·         Norma Complementar nº 08/IN01/DSIC/GSIPR

·         ABNT NBR ISO/IEC 27037:2013

·         RFC 3227

TRATAMENTO: 

  

  

 IDENTIFICAÇÃO:

·         Envolve a busca, reconhecimento e documentação

·         Priorização com base na importância do ativo e na volatilidade da evidência digital

·         Possibilidade de evidências ou ativos ocultos (pendrives, partições criptografadas, etc)

ORDEM DE VOLATILIDADE:

1.Registradores, memória cache

2.Tabela de rotas, cache ARP, tabela de processos, RAM

3.Disco rígido

  

COLETA/AQUISIÇÃO:

·         Obtenção dos dispositivos computacionais envolvidos e geração de cópia da evidência digital

·         Disco rígido inteiro, partição ou arquivos selecionados

·         De acordo com o caso, acondicionar apropriadamente o dispositivo para futura aquisição

·         Evitar sempre que possível métodos que alterem a evidência digital

·         Documentar o processo

·         Outros materiais (papéis com senhas, cabos de alimentação, etc)

Impossibilidade de cópia da mídia completa:

·         –Ex.: disco muito grande, storage, serviço crítico, etc

Solução:

·         –Aquisição lógica (partições, diretórios ou arquivos relacionados ao incidente)

•Duas situações:

–dispositivo ligado

–dispositivo desligado

PRESERVAÇÃO:

·         Manutenção da integridade e (se for o caso) do sigilo dos dados coletados

·         Uso de funções de verificação:

–resumo criptográfico (hash)

·         Acondicionamento apropriado:

–Proteção contra choque, calor, umidade e magnetismo

  

REQUISITOS IMPORTANTES:

·         Fonte de tempo confiável (NTP / ON)

·         Registro de eventos dos ativos de informação

·         Registros de eventos (logs) armazenados por no mínimo 6 (seis) meses

·         Registro de auditoria armazenados remotamente