10 melhores práticas para uma investigação forense digital

 

Inicio este artigo com a seguinte frase, que com o tempo aprendi:

"Na área de Forense Digital, a excelência não é uma opção, é uma necessidade operacional."

Excelência, em nível individual, é uma combinação de integridade, perseverança, um compromisso com os mais elevados padrões da profissão e uma interminável sede de conhecimento através da investigação e da educação.

Ao longo do tempo, com a contribuição e sugestões de muitos colegas, tenho montado uma lista desse tipo. Ela nunca deve ser considerada obrigatória ou como um padrão. Em vez disso, consideram que é sugerida uma abordagem que dinâmica, flexível, e raramente, ou nunca realizá-la toda.
Como dito, cada caso é um caso, e ambos os instrumentos e os ambientes computacionais estão em um constante estado de mudança.

Também se lembre de que qualquer pesquisa (incluindo análise de hash) deve ser conduzida no âmbito da sua autoridade sobre ela. Não se esqueça de, antes de tudo, buscar a realização das atividades de aquisições Forenses com equipamentos e aplicações que possam garantir a autenticidade das evidências e o respaldo judicial como, por exemplo, a sanitização de um determinado disco rígido para novas coletas, eliminando, assim, qualquer risco de contaminação de dados. Com estas ressalvas e condições estipuladas, segue a lista de sugestões de medidas. Os dados a seguir são dados que ao longo do tempo pude verificar:
1. Registre as informações do seu caso dentro do seu gerenciador de banco de dados de casos em seu laboratório ou em seu casebook;

2. Analise e Documente os sistemas do computador em análise, tendo o cuidado de realizar rigorosamente um controle de registros tanto internos quanto externos:

• Arquivos digitais;

• Notas das Ações;

• Notas dos Horários;

3. Determine o Método de Aquisição, Visualização (se aplicável), e Adquira a imagem da mídia;
4. Certifique-se de que todos os setores da unidade foram Identificados e efetivamente adquiridos (HPA determinar se está presente ou DCO);
5. Faça uma Cópia de Backup* de todas as imagens, guarde os originais em um local seguro, e conduza o seu exame em cópias;
6. Obtenha todos os sistemas, de uma vez, a partir de todas as máquinas em análise e, simultaneamente, anote o tempo de espera de cada uma, antes alinhe seu Time Zone;
7. Quanto às imagens a serem adquiridas e levadas para o caso, certifique-se de que o arquivo está verificado quanto à integridade;
8. Sobre o Preview das imagens adquiridas, determinar o total de setores sobre os vários dispositivos;
9. Reconcilie os setores, com setores dentro das partições, e verifique se todas as partições estão certas, montadas e contabilizadas.
10. Recupere e Monte qualquer partição deletada;
*Algumas Ferramentas já têm ações para Backups automatizadas.
Vou desenvolver um questionário de melhores práticas para Investigação com Ferramentas de Forense Digital, mas ainda está inacabado.
Fiquem com Deus, vejo vocês no próximo artigo.

Raffael Vargas é analista de sistemas, especialista em processos laboratoriais e metodológicos na busca, aquisição, análise e manuseio de evidências em investigação, forense digital, inteligência e contra-inteligência. Trabalha em investigações e na produção de projetos para núcleos internos e móveis de inteligência e contra inteligência em setores do governo, departamentos de segurança metropolitanos, empresas nacionais e internacionais do ramo de cartões de crédito, finanças, telefonia, bancos e instituições de ensino. Possui certificações em forense digital e softwares de investigação.