Dois grandes perigos pode sem detacados no que se
diz respeito a coleta de material para análise: perda e alteração.
Se os cuidados necessários não forem tomados, dados importantes
podem ser sobrescritos e perdidos totalmente, ou apenas parte deles,
alterando seu significado ou apagando informações críticas. Uma
coleta conduzida de maneira inadequada pode comprometer totalmente
a investigação forense, em particular aquela com fins judiciais.
Sendo assim, alguns aspectos fundamentais devem ser considerados
durante a etapa de coleta de material para análise:
- deve- se tratar cada informação como se ela fosse ser usada
para fins judiciais;
- coletar o máximo de material possível, observando sua ordem de
volatilidade. Uma vez terminada a etapa de coleta, geralmente não
há retorno, de modo que algumas das informações inicialmente consideradas
desnecessárias podem ter desaparecido (na dúvida é melhor coletar);
- autenticar, identificar, catalogar e preservar cada item coletado;
- produzir cópias exatas e autenticadas das informações digitais coletadas;
A documentação dos itens coletados é uma das atividades
de grande importância realizadas durante a etapa de coleta de material
para análise. Cada item coletado deve ser unicamente identificado
e minuciosamente descrito em seu estado original. Além disso, essa
descrição deve identificar a localização original do item, data
e hora da coleta e a identificação da pessoa responsável. Importantes
também são a atividade de transporte e armazenamento dos itens coletados,
que deve zelar pela integridade dos mesmos, tomando especial cuidado,
por exemplo, com campos magnéticos, quedas e acessos não autorizados.
Abaixo, temos uma tabela que mostra a relação entre o método de
coleta e análise e o nível de esforço empregado para proteger as
evidências e evitar a execução de código hostil.
Método |
Vantagens |
Desvantagens |
Usar uma estação forense dedicada
para examinar o disco suspeito
(protegido contra escrita) ou
uma imagem do mesmo |
Não requer preocupação quanto
a validade do software ou
hardware da máquina suspeita |
Pode depender do desligamento
do sistema suspeito. Pode resultar
na perda de informações voláteis |
Inicializar a máquina comprometida
usando um kernel e ferramentas
verificados e protegidos contra
escrita, contidos em uma mídia
removível |
Conveniente e rápido. Nesse caso,
os discos da máquina suspeita
devem ser montados somente
para leitura |
Assume que o hardware da máquina
suspeita não foi comprometido (o que é
raro). Resulta na interrupção dos serviços
disponibilizados pelo sistema suspeito
e pode causar a perda de informações
voláteis |
Reconstruir o sistema suspeito
a partir de sua imagem e, então,
examiná−lo |
Recria completamente o ambiente
operacional do sistema suspeito,
sem o risco de alterar as informações
originais |
Requer disponibilidade de hardware
idêntico ao do sistema suspeito. Pode
resultar na perda de informações voláteis |
Examinar o sistema suspeito
através de mídias removíveis
contendo ferramentas verificadas |
Conveniente e rápido. Permite acessar
informações voláteis |
Se o kernel estiver comprometido, os
resultados podem ser inconcistentes |
Verificar o software contido no
sistema suspeito e, então, utilizá−lo
para conduzir o exame |
Requer uma preparação mínima. Permite
acessar informações voláteis e pode ser
realizado remotamente |
Pode tomar muito tempo e o programa
usado para verificação de integridade pode
estar comprometido. A falta de proteção
contra escrita nos discos do sistema
suspeito pode resultar na alteração ou
destruição de informações |
Examinar o sistema suspeito
usando o software nele contido,
sem qualquer verificação |
Requer nenhuma preparação. Permite
acessar informações voláteis e pode ser
realizado remotamente |
Método menos confiável e representa
exatamente aquilo que os atacantes
esperam que seja feito. Na maioria
das vezes é uma completa perda de tempo |
|