Tuesday, December 9, 2003

Análise Forense: Processo de Investigação Digital

Victor Hugo Menegotto, consultor da Axur Information Security.

Incidentes de segurança fazem parte da rotina de diversas organizações, abrangendo desde roubo de informações até brincadeiras de mau gosto de funcionários. Na maioria dos casos, os incidentes ocorrem através de meios internos, de conhecimento dos colaboradores, sejam estes funcionários, prestadores de serviço ou terceiros. Os incidentes que ocorrem por intrusão externa, executada por hacker ou similar, não são menos comuns, porém curiosamente nem sempre há o interesse da organização para que seja executada uma perícia técnica do caso. Os casos nos quais uma perícia técnica é requisitada, tem quase sempre, a participação de interfaces internas da organização.

Um processo de investigação forense – conhecido “forensics” -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.

Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente, de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.

Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado. Para isso é necessário que seja formada a corrente de custódia. Este é o termo utilizado para caracterizar o processo de coleta, análise, armazenamento, apresentação do ativo ao tribunal e retorno do ativo periciado ao seu dono (pode ser um computador, disquete e etc). São tantos os fatores que podem intervir na manutenção de uma boa corrente de custódia que recomenda-se a utilização de algumas normas internacionais, como por exemplo a HB 171:2003 (Norma Australiana com Procedimentos de Gestão de Evidências de Tecnologia da Informação).

Lembre-se, muito da credibilidade da sua evidência vem da capacidade que você tem em provar para o tribunal que sua análise foi isenta e que não houve qualquer alteração no ativo periciado. Uma boa evidência deve ser confiável, suficiente e relevante.

Em muitos casos, durante um processo de análise forense, o departamento de tecnologia desempenha forte papel operacional no auxílio à perícia, fornecendo a base fundamental do processo, como registros de sistemas, fornecimento de equipamento e estrutura tecnológica. Não só a área de TI, mas todos os setores envolvidos no incidente são fundamentais. Como também, a participação da Alta Administração, que ajuda a garantir a colaboração da organização como um todo.

Apesar de uma perícia técnica sempre buscar evidências que sejam conclusivas ao processo, nem sempre isso é possível, a maior parte das evidências encontradas em processos de Forensics são registros de sistemas, os quais são juridicamente considerados do tipo hearsay evidence, ou seja, registros gerados por terceiros, que podem ser modificados. Estas evidências são comumente utilizadas em conjunto com outras evidências, criando a possibilidade de uma validação jurídica. De qualquer forma, existe a necessidade da geração de registros, que mesmo não representando prova cabal da ação de determinado agente, pode ser considerado como evidência corroborativa ou circunstancial. Para que os registros possuam a integridade necessária, é extremamente importante que sejam feitas cópias de segurança dos mesmos, e em alguns casos que estes registros sejam assinados matematicamente, com HASH MD5 por exemplo.

A falta de conhecimento de como agir no momento de um incidente pode comprometer todo o processo investigatório. Nas normas de segurança da organização, deve estar definido, para todos os usuários, a quem recorrer no momento de um incidente: geralmente o Security Officer, que deve possuir um script de como agir para cada caso, insstruindo também o agente que identificou o evento suspeito. Este, por sua vez, tem a responsabilidade de manter a corrente de custódia do ativo onde ocorreu o incidente, armazenando-o de forma adequada e lacrando-o quando necessário.

A implantação de um SGSI - Sistema de Gerencia de Segurança da Informação com base no padrão BS 7799-2 é fundamental para que as organizações tenham a possibilidade de administrar seus ativos de uma forma coerente e organizada, criando registros que facilitam enormemente eventuais processos de análise forense.

Observamos que na grande maioria das empresas, após a verificação de um incidente, ocorre quase que imediatamente a percepção da importância em se proteger os ativos de informação. O primeiro e mais prudente passo seria a realização de uma análise de risco considerando a organização como um todo, esse é sem dúvida o primeiro passo de quem leva segurança à sério. Não espere o azar, mantenha-se seguro.