ISO 27037 Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

ISO 27037

Apresento este artigo através da Academia de Forense Digital, um resumo com os principais pontos de interesse da Norma ABNT ISO/IEC 27037:2013 – Diretrizes para identificação, coleta, aquisição e preservação de evidência digital, sua leitura na íntegra é imprescindível a todos que pretendem atuar na área de investigação cibernética e Forense Digital.

A série de normas ISO, foram criadas pela Organização Internacional de Padronização (ISO), com o objetivo de melhorar a qualidade de produtos e serviços. A ISO, é uma das maiores organizações que desenvolve normas no mundo, e foi criada a partir da união da International Federation of the National Standardizing Associations (ISA) e a United Nations Standards Coordinating Committee (UNSCC).

A Norma é padrão internacional para identificação, coleta, aquisição e preservação de evidências forenses digitais em todas as etapas no processo de investigação. Esta norma faz parte das 45 normas da família ISO 27000 – Gestão da Segurança da Informação. Sem dúvidas, uma das normas mais relevantes para profissionais que seguem ou pretendem seguir carreira de perito forense.

No Brasil, estas normas são compostas pela sigla NBR. Elas são revisadas e gerenciadas pela Associação Brasileira de Normas Técnicas (ABNT), podendo ser adquirida em sua integra através do site https://www.abntcatalogo.com.br/norma.aspx?ID=307273

 ABNT NBR ISO/IEC 27037:2013

A Norma ABNT NBR ISO/IEC 27037:2013 tem por finalidade padronizar o tratamento de evidências digitais, processos esses fundamentais em uma investigação afim de preservar a integridade da evidência digital – metodologia esta, que contribuirá para obter sua admissibilidade, força probatória e relevância em processos judiciais ou disciplinares.

Esta norma assegura que os indivíduos gerenciem a evidência digital por meio de métodos práticos aceitáveis mundialmente, com o objetivo de padronizar a investigação envolvendo dispositivos digitais e/ou evidências digitais de maneira sistemática e imparcial, com o objetivo de preservar a sua integridade e autenticidade.

Indivíduos estes divididos em duas categorias:

Interventores: Indivíduo que possua conhecimento suficiente para auxiliar no manuseio da potencial evidência digital;

Especialistas: Indivíduo bastante experiente que possa garantir que a evidência digital possa ser efetivamente preservada;

A evidência digital considerada na norma pode ser produzida através de diferentes tipos de dispositivos digitais, redes, computadores, smartphones, banco de dados, sistemas de CFTV, equipamentos periféricos, etc. Ela refere-se a dados que já estão em formato digital.

Em virtude à fragilidade da evidência digital, é necessário padronizar o seu tratamento afim de garantir sua integridade e autenticidade. Os principais componentes que fornecem credibilidade à investigação são a metodologia aplicada durante o seu tratamento e as pessoas qualificadas na execução das atividades.

A aplicação desta norma está em conformidade com leis, regras e regulamentos internacionais, e é recomendado que ela não substitua exigências legais de qualquer jurisdição, em vez disso, ela deve servir de diretriz prática para qualquer Interventor ou Especialista em investigações envolvendo potenciais evidências digitais.

Considerando que os processos e atividades descritas nesta norma são medidas reativas usadas na investigação de um incidente depois de ocorrido.

Escopo

A norma padroniza as atividades específicas no tratamento de evidências digitais que vão desde a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório, auxilia as organizações em seus procedimentos disciplinares na facilitação de intercâmbio de evidências digitais entre jurisdições.

A norma em geral considera os seguintes dispositivos e/ou funções que são utilizadas em várias circunstâncias:

  • Meios de armazenamento digitais usados em computadores, como HD, disquetes, CD/DVD, pen-drive;
  • Smartphones, Tablets, assistentes digitais pessoais (PDA), dispositivos eletrônicos pessoais (PED), cartões de memória;
  • Sistemas de navegação móveis (GPS);
  • Sistemas embarcados;
  • Câmeras digitais de vídeo e fotografias (incluindo CFTV);
  • Desktops, Notebooks;
  • Redes baseadas em TCP/IP e outros protocolos digitais, e
  • Dispositivos com funções semelhantes das descritas acima. 

1 – Evidência Digital

Em regra, toda evidência digital válida é governada por três pilares fundamentais:

Relevância: A evidência digital é considerada relevante quando se destina a provar ou refutar um elemento de um caso específico que está sendo investigado.

Confiabilidade: Este termo define a evidência digital quando “para garantir que a evidência digital seja o que pretende ser”

Suficiência: O conceito de suficiência significa que a evidência digital seja suficiente para permitir que elementos questionados sejam adequadamente examinados ou investigados.SO 27037

1.1  Tratamento da evidência digital ISO 27037

São considerados quatro aspectos fundamentais no tratamento da evidência digital:

1.1.1 Auditabilidade ISO 27037

Possui o intuito de determinar se o método científico, técnica ou o procedimento foi adequadamente seguido. É altamente recomendado que os processos realizados sejam documentados para uma avaliação nas atividades realizadas.

1.1.2 Repetibilidade ISO 27037

Este conceito é considerado quando os mesmos resultados de testes são produzidos utilizando os mesmos procedimentos e métodos de medição, utilizando os mesmos instrumentos e sob as mesmas condições; e pode ser repetido a qualquer tempo depois do teste original.

1.1.3 Reprodutibilidade ISO 27037

Este conceito é válido quando os mesmos resultados são produzidos utilizando diferentes instrumentos, diferentes condições; e a qualquer tempo. Exemplo: Comparando as strings de Hash.

1.1.4 Justificabilidade ISO 27037

Este conceito tem como objetivo justificar todas as ações e métodos utilizados para o tratamento da evidência digital. A justificativa pode será considerada demonstrando que a decisão foi a melhor escolha para obter toda a potencial evidência digital.

1.2 Processo de tratamento da evidência digitalISO 27037

A evidência digital pode facilmente pode ser alterada, adulterada ou destruída devido ao tratamento incorreto. É altamente recomendado aos indivíduos que irão realizar o tratamento da evidência digital sejam competentes para identificar e administrar os riscos e consequências advindos de possíveis linhas de conduta quando tratam com a evidência. Um simples erro no tratamento da evidência digital, pode a inutilizar para os devidos fins.

É imprescindível aos agentes que realizam o tratamento da evidência sigam procedimentos documentados para garantir que sua integridade e a confiabilidade sejam mantidas.

Deve-se os seguintes princípios fundamentais:

  • Minimizar o manuseio do dispositivo digital original ou da evidência digital;
  • Considerar quaisquer alterações e documentar ações tomadas;
  • Não é recomendado que os agentes adotem ações além de suas competências.

1.2.1 Identificação ISO 27037

Evidência digital é representada na forma física e lógica. A forma física inclui a representação de dados dentro de um dispositivo. A forma lógica da evidência digital refere-se á representação dos dados dentro do dispositivo.

O processo de identificação envolve a pesquisa, reconhecimento e documentação da evidência digital. Convém que durante este processo se identifique os dispositivos de armazenamento de mídia digital e os dispositivos de processamento que podem conter a evidência digital relevante para o caso.

Neste processo também é considerado a atividade para identificar/priorizar a coleta da evidência baseada em sua volatilidade afim de garantir a correta ordem dos processos de coleta e aquisição afim de minimizar o dano à potencial evidência digital.

Ainda no estágio de identificação, é recomendado que caso os computadores ou dispositivos periféricos estiverem desligados, não os ligar. Se os computadores ou dispositivos periféricos estiverem ligados, recomenda-se que o não os desligue, pois pode espoliar a potencial evidência digital.

É recomendado também considerar o uso de detector de sinal de rede sem fio para detectar e identificar sinais de rede sem fio a partir de dispositivos de rede que podem estar escondidos.

1.2.2 Coleta ISO 27037

Coleta é o processo que consiste em recolher o dispositivo questionado de sua localização original para um laboratório ou outro ambiente controlado para posterior aquisição e análise. Neste processo inclui a documentação de toda abordagem (cadeia de custódia), bem como o devido acondicionamento destes dispositivos antes do transporte. A potencial evidência digital pode ser perdida ou danificada se cuidados razoáveis não forem aplicados.

1.2.3 Aquisição ISO 27037

O processo de aquisição consiste na produção da cópia da evidência digital (por exemplo, disco rígido completo, partição, arquivos selecionados) e documentação dos métodos usados e atividades realizadas.

Recomenda-se que ambas as fontes originais e a cópia da evidência digital sejam verificadas com uma função de verificação (Função de Hash) convém que a fonte original e cada cópia de evidência digital produzam o mesmo resultado de função de verificação.

Caso necessário, recomenda-se que o método de aquisição utilizado seja capaz de obter o espaço alocado e não alocado do dispositivo.ISO 27037

1.2.4 Preservação ISO 27037

Convém que a evidência digital seja sempre preservada para garantir sua integridade como “objeto” questionado. O processo de preservação envolve a guarda da potencial evidência digital assim como o dispositivo digital que pode conter a evidência digital contra espoliação ou adulteração. Recomenda-se que não haja espoliação aos dados em si ou a quaisquer metadados associados a ele (data e horário por exemplo). Convém o agente seja capaz de demonstrar que a evidência não foi modificada, desde que ela foi coletada ou adquirida, ou de fornecer os fundamentos e ações documentadas se alterações inevitáveis forem realizadas.ISO 27037

2 Principais componentes de identificação, coleta, aquisição e preservação de evidência digital

2.1 Cadeia de custódia

É o documento identificando a cronologia de movimento e manuseio da evidência digital. Recomenda-se que seja elaborado a partir do processo de coleta ou aquisição. O propósito de manter o registro de cadeia de custódia é para possibilitar a identificação, acesso e movimento da evidência digital a qualquer tempo. Convém que o registro de cadeia de custódia contenha no mínimo as seguintes informações:

  • Identificador único da evidência;
  • Quem acessou a evidência e o tempo e local em que ocorreu;
  • Quem checou a evidência interna e externamente nas instalações de preservação da evidência e quando isto ocorreu;
  • Quaisquer alterações inevitáveis da potencial evidência digital, assim como o nome do indivíduo responsável e a justificativa para a introdução da alteração.Recomenda-se como “boa prática” que a cadeia de custódia seja mantida durante todo tempo de vida da evidência e preservada por certo período de tempo depois do fim da evidência.

2.2 Precauções no local do incidente

É recomendado realizar atividades para assegurar e proteger o local da evidência digital tão logo chegue ao local. Convém que as atividades apoiem o seguinte, sujeitas à lei local:

  • Assegurar e assumir o controle da área que contém os dispositivos;
  • Identificar o indivíduo responsável pelo local;
  • Garantir que indivíduos sejam afastados dos dispositivos e fontes de energia;
  • Documentar (por exemplo, por desenho, fotografia ou vídeo) a cena, todos os componentes e cabos na sua posição original. Se não houver câmera fotográfica disponível, desenhar um plano de esboço do sistema e rotular as portas e cabos de forma a garantir que o sistema possa ser validado e reconstruído caso necessário;
  • Se permitido, pesquisar itens como notas, diários, papéis, computadores portáteis ou manuais de hardware software com detalhes cruciais sobre os dispositivos, como senhas e PIN.

2.2.1 Pessoal

Conduzir a análise de riscos em relação à segurança de pessoal antes de iniciar o processo é importante, uma vez que a segurança das pessoas envolvidas no processo é vital. Algumas questões devem ser consideradas:

  • O indivíduo investigado estará presente? Se presente, ele é propenso à violência?
  • Durante qual período do dia a operação será conduzida?
  • A cena do incidente pode ser isolada?

2.2.2 Potencial evidência digital

É recomendado que se tenha cuidado ao utilizar ferramentas específicas para coletar ou adquirir potencial evidência digital. Não calcular os riscos antes de agir pode ocasionar a perda de algumas ou todas as potenciais evidências digitais devido à metodologia aplicada durante a coleta ou aquisição.

A análise de risco envolve a avaliação sistemática de riscos e do potencial impacto que eles podem ter sobre a análise da evidência digital. Aspectos a considerar durante a análise de risco da potencial evidência incluem, mas não se limitam a:

  • Qual método de coleta/aquisição será aplicado?
  • Quais os equipamentos que poderão ser necessários no local?
  • Qual o nível de volatilidade dos dados e informações relacionados à potencial evidência digital?
  • É possível o acesso remoto a qualquer dispositivo digital e isso oferece uma ameaça à integridade da evidência?
  • O que acontece se um dado/equipamento está danificado?
  • Um dado poderia ter sido comprometido?
  • Um dispositivo digital poderia ter sido configurado para destruir (por exemplo, usando uma bomba lógica), espoliar ou ofuscar um dado se desligado ou acessado de forma descontrolada?

2.3 Documentação

A elaboração da documentação é fundamental quando no tratamento de dispositivos digitais que podem conter potencial evidência digital. Faz-se necessário que todo o processo seja documentado para garantir que nenhum detalhe foi deixado de lado durante os processos de identificação, coleta, aquisição e preservação.

Recomenda-se que as configurações do tempo sejam documentadas e anotadas se quaisquer diferenças estiverem presentes.

Documentar todos os identificadores dos dispositivos e as partes associadas, como números de série, números de licença, marca, modelo, fabricante, identificadores (incluindo danos físicos) sejam documentados sempre que possível.

2.4 Instruções

É fundamental que os agentes estejam adequadamente instruídos pela autoridade competente antes da realização de suas tarefas no processo de coleta ou aquisição, e ao mesmo tempo respeitar as leis de confidencialidade. Convém que as instruções sejam suficientes para eles estarem bem preparados no desempenho de suas funções e responsabilidades; deste modo, assegurando a extração de todas as potenciais evidências digitais relevantes.

2.4.1 Evidência digital específica

Orientações específicas a serem adotadas na coleta ou aquisição da evidência digital são necessárias para informar os agentes sobre detalhes fundamentais à investigação. Durante a etapa de instrução, é recomendado que os agentes sejam providos com informações relevantes e instruções detalhadas relacionadas ao tipo de evidência digital a ser coletada ou adquirida. Isso pode incluir:

  • Detalhamento do incidente (se conhecido);
  • Data e horário do ocorrido (se conhecido);
  • Plano de ação (coleta ou aquisição, atividades de rede, dados voláteis);
  • Especificar ferramentas necessárias parar adquirir a evidência digital;
  • Avaliar a evidência digital que está relacionada com tipos específicos da investigação;
  • Coletar equipamentos e manuais relacionados aos dispositivos digitais;
  • Relembrar aos integrantes da equipe para desligar qualquer Bluetooth ou rede sem fio de seus telefones/ computadores de tal modo que eles não interajam, inadvertidamente, com os dispositivos digitais;
  • Importância de documentar todos os passos durante a investigação.

2.5 Coleta ou Aquisição

Na etapa de priorização entre coleta ou aquisição de uma evidência digital é fundamental que o agente entenda todas as circunstâncias para coletar ou adquirir a potencial evidência digital. Entretanto, pode ser necessário priorizar itens pela volatilidade e/ou pelo valor probatório quanto a sua relevância. Itens de valor probatório de alta relevância são aqueles que são mais prováveis de conter dados relativos diretamente ao incidente investigado.

A evidência digital pode ser dividida em duas categorias:

Dados voláteis ou Dados não voláteis, estas definições são aplicadas às memórias (componentes de armazenamento de informações). A memória RAM é considerada um tipo de memória “volátil”, pois todos os dados que não forem guardados de forma permanente serão apagados após desligamento do computador. A memória ROM e os outros dispositivos de armazenamento de dados são considerados “não voláteis” (pendrive, HD, SDCard, etc)

Após a identificação, é recomendado ao agente:

  • Priorizar a potencial evidência digital que pode ser perdida para sempre se a fonte de energia for removida; e
  • Tomar ações rápidas para adquirir este dado utilizando métodos validados.

Obs: Quando há suspeita de criptografia ou de um programa malicioso, será necessário adquirir o dado volátil.

2.6 Preservação da evidência digital

Na etapa de preservação da potencial evidência digital e de dispositivo digital, é importante manusear e acondicionar estes artefatos de um modo que seja minimizada a possibilidade em espoliação ou adulteração

Espoliação pode resultar de uma degradação magnética, degradação elétrica, devido a alguns fatores como temperatura elevada, exposição à alta ou baixa umidade, bem como choques e vibrações.

Adulteração pode resultar de um ato intencional de adulterar ou permitir mudança da evidência digital. Por esse motivo, é fundamental manusear as “cópias” de uma evidência digital e utilizar o dado original o mínimo possível.

A atividade mais importante no processo de preservação é manter a integridade e autenticidade da evidência digital e sua cadeia de custódia. Convém que o dispositivo digital coletado e a evidência digital adquirida sejam armazenados em uma instalação adequada, com controle de segurança física, controle de acessos, sistemas de vigilância ou sistemas de detecção de intrusão ou outro controle de ambiente para preservação da evidência digital. Tendo como objetivo a segurança física para proteger e prevenir perdas, danificações e adulterações, assim como, caso necessário garantir a auditabilidade.

3 Coleta de evidência não digital

É recomendado que o agente considere a coleta de evidência não digital. Para permitir isso, o líder da equipe deverá identificar os indivíduos responsáveis pelas instalações no local. Este indivíduo pode fornecer informação e documentação adicional, como senhas para os dispositivos digitais e outros detalhes. O agente precisa documentar o nome e a designação desses indivíduos.

Durante a coleta desta evidência verbal, o agente poderá solicitar informação como a configuração do sistema e senha do administrador/root. Estas informações adicionais podem ser úteis no estágio de tratamento da evidência digital. Recomenda-se que estas conversações sejam documentadas para garantir a precisão dos detalhes e garantir que o depoimento documentado não seja alterado. O agente precisa estar familiarizado com as exigências judiciais relevantes para a coleta de evidências não digitais.

4 Dispositivos digitais de missão crucial

Trata-se de dispositivos digitais que em virtude de sua natureza, não podem ser interrompidos ou desligados, tais como servidores em centros de dados, sistemas de vigilância, sistemas médicos, etc. Quando não for possível que o dispositivo digital seja desligado, será necessário efetuar a aquisição parcial e/ou aquisição imediata.

4.1 Aquisição parcial ISO 27037

Aquisição parcial deverá ser realizada quando não for possível efetuarmos a aquisição ou coleta devido a várias razões, tais como:

  • O sistema de armazenamento é muito grande para ser adquirido (por exemplo, servidor de banco de dados);
  • Um sistema é muito crucial para ser desligado;
  • Quando compelido por autoridade legal, como um mandado de busca, que limita o escopo.

4.2 Aquisição Imediata

Aquisição imediata serve para adquirir dados voláteis de dispositivos que ainda estão sendo executados. Aquisição imediata de dado volátil em memória RAM pode permitir a recuperação de informação valiosa, como estado do trabalho em rede, descriptografar aplicações e senhas.

Por fim, foram descritos neste artigo os principais pontos de interesse na Norma ABNT ISO/IEC 27037:2013.  É fortemente indicado a leitura do seu conteúdo na íntegra, uma vez que aqui foi apresentado apenas um breve resumo.

Referências:

Normas ISO – Gestão de Qualidade. Disponível em: <http://gestao-de-qualidade.info/normas-iso.html>. Acesso em: 27 dez 2018

ABNT – Catalogo de Normas ABNT. Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=307273>. Acesso em: 27 dez 2018

Sobre o autor do artigo: Vinicius Machado de Oliveira

Mais de 15 anos atuando em Tecnologia da Informação, Graduado em Gestão em Tecnologia da Informação, Formado em Fundamentos de Forense Digital pela Academia, já está matriculado no Treinamento de Forense em Dispositivos Móveis na AFD.

Por Vinicius Machado de Oliveira

forense digitalperícia forense

1 comentário

Conheça nossos treinamentos

Introdução a Cripto Ativos

Metodologias Nacionais de Perícia Digital

Perícia Digital Para Advogados
Gratuito para Advogados

Mitre Attack

Triagem de Malware

Passware Kit Forensics: Do Zero ao Avançado
Gratuito para Law Enforcement