A ISO 27037 e as orientações para identificação, coleta, aquisição e preservação de indício digital

Exponho um resumo com os principais pontos de interesse da Norma ABNT ISO/IEC 27037:2013[i] orientações para identificação, coleta, aquisição e preservação de indício digital, sua leitura é indispensável a todos que pretendem atuar na área de investigação cibernética e Forense Digital.

A diretriz é padrão internacional para identificação, coleta, aquisição e preservação de evidências forenses digitais em todas as etapas no processo de investigação. Este preceito faz parte das 45 normas da família ISO 27000 – Gestão da Segurança da Informação. Sem dúvidas, uma das normas mais pertinentes para profissionais que seguem ou pretendem seguir carreira de perito forense.

No Brasil, estas normas são compostas pela sigla NBR. Elas são revistas e gerenciadas pela Associação Brasileira de Normas Técnicas (ABNT), podendo ser adquirida em sua integra através do site https://www.abntcatalogo.com.br/norma.aspx?ID=307273

ABNT NBR ISO/IEC 27037:2013

A Norma ABNT NBR ISO/IEC 27037:2013 tem por intuito padronizar o tratamento de indícios digitais, métodos esses fundamentais em uma investigação afim de resguardar a integridade da evidência digital – metodologia esta, que favorece para obtenção de sua admissibilidade, força probatória e relevância em processos judiciais ou disciplinares.

Esta norma garante que os indivíduos gerenciem o indício digital por meio de métodos práticos aceitáveis mundialmente, com o propósito de padronizar a investigação envolvendo aparatos digitais e/ou evidências digitais de maneira ordenada e imparcial, com o objetivo de preservar a sua integridade e autenticidade.

Indivíduos estes divididos em duas categorias:

Interventores: sujeito que possua conhecimento suficiente para auxiliar no manuseio da potencial evidência digital;

Especialistas: sujeito bastante experiente que possa garantir que a evidência digital possa ser efetivamente preservada;

A evidência digital tida na norma pode ser produzida através de diferentes tipos de dispositivos digitais, redes, computadores, smartphones, banco de dados, sistemas de CFTV, equipamentos periféricos, etc. Ela atribui-se a dados que já estão em formato digital.

Em decorrência à fragilidade da evidência digital, é necessário normatizar r o seu tratamento afim de garantir sua integridade e autenticidade. Os principais componentes que oferecem credibilidade à investigação são a metodologia aplicada durante o seu tratamento e as pessoas habilitadas na execução das atividades. A aplicação desta norma está em compatibilidade e com leis, regras e regulamentos internacionais, e é recomendado que ela não substitua exigências legais de qualquer jurisdição, em vez disso, ela deve servir de diretriz prática para qualquer procurador ou Especialista em investigações envolvendo potenciais evidências digitais. Considerando que os processos e atividades descritas nesta norma são medidas reativas usadas na investigação de um incidente depois de ocorrido.

FINALIDADE

A diretriz padroniza as atividades específicas no tratamento de evidências digitais que vão desde a identificação, coleta, aquisição e preservação de evidência digital que sejam capazes de possuir valor probatório, auxilia as organizações em suas metodologias disciplinares na facilitação de intercâmbio de evidências digitais entre jurisdições. A diretriz em geral considera os seguintes dispositivos e/ou funções que são utilizadas em várias circunstâncias: · Meios de armazenamento digitais usados em computadores, como HD, disquetes, CD/DVD, pen-drive; · Smartphones, Tablets, assistentes digitais pessoais (PDA), dispositivos eletrônicos pessoais (PED), cartões de memória; · Sistemas de navegação móveis (GPS); · Sistemas embarcados; · Câmeras digitais de vídeo e fotografias (incluindo CFTV); · Desktops, Notebooks; · Redes baseadas em TCP/IP e outros protocolos digitais, e · Dispositivos com funções semelhantes das descritas acima.

Indicio Digital Em regra, toda evidência digital válida é governada por três pilares fundamentais: Relevância: A evidência digital é vista como relevante quando se destina a provar ou refutar um elemento de um caso específico que está sendo investigado. Confiabilidade: Este vocábulo define a evidência digital quando “para garantir que a evidência digital seja o que pretende ser” Suficiência: O conceito de suficiência significa que a evidência digital seja suficiente para permitir que elementos questionados sejam devidamente examinados ou investigados. ANÁLISE DA EVIDÊNCIA DIGITAL São considerados quatro aspectos fundamentais no tratamento da evidência digital AUDITABILIDADE Possui o objetivo de determinar se o método científico, técnica ou o procedimento foi adequadamente seguido. É grandemente recomendado que os processos realizados sejam documentados para uma avaliação nas atividades realizadas. REPETIBILIDADE Este conceito é considerado quando os mesmos resultados de testes são produzidos utilizando os mesmos procedimentos e métodos de medição, utilizando os mesmos instrumentos e sob as mesmas condições; e pode ser repetido a qualquer tempo depois do teste original.

REPRODUTIBILIDADE

Este conceito é válido quando os mesmos resultados são produzidos utilizando diferentes instrumentos, diferentes condições; e a qualquer tempo. Exemplo: Comparando as strings de Hash.

JUSTIFICABILIDADE

Este conceito tem como objetivo justificar todas as ações e métodos utilizados para o tratamento da evidência digital. A justificativa pode será considerada demonstrando que a decisão foi a melhor escolha para obter toda a potencial evidência digital.

MÉTODO DE TRATAMENTO DO INDÍCIO DIGITAL

O indício digital pode facilmente pode ser alterado, adulterado ou destruído devido ao tratamento incorreto. É altamente aconselhado aos sujeitos que irão realizar o tratamento da evidência digital sejam competentes para identificar e administrar os riscos e consequências advindos de possíveis linhas de conduta quando tratam com a evidência. Um simples erro no tratamento da evidência digital, pode a inutilizar para os devidos fins. É imprescindível aos agentes que realizam o tratamento do indício digital sigam procedimentos documentados para garantir que sua integridade e a confiabilidade sejam mantidas. Deve-se os seguintes princípios fundamentais: · . Minimizar o manuseio do dispositivo digital original ou do indicio digital; · . Considerar quaisquer alterações e documentar ações tomadas; · . Não é recomendado que os agentes adotem ações além de suas competências. RECONHECIMENTO

Indicio digital é representado na forma física e lógica. A forma física inclui a representação de dados dentro de um dispositivo. A forma lógica do indicio digital refere-se á representação dos dados dentro do dispositivo. O processo de reconhecimento envolve a pesquisa, identificação e documentação do indicio digital. Convém que durante este processo se identifique os dispositivos de armazenamento de mídia digital e os dispositivos de processamento que podem conter a evidência digital relevante para o caso. Neste procedimento também é considerado a atividade para identificar/priorizar a coleta da evidência baseada em sua volatilidade afim de garantir a exata ordem dos processos de coleta e obtenção afim de minimizar o dano à potencial ao indício digital.

RECOLHIMENTO DAS PROVAS

O recolhimento das provas é o processo que consiste em recolher o dispositivo questionado de sua localização original para um laboratório ou outro ambiente controlado para posterior aquisição e análise. Neste processo inclui a documentação de toda abordagem (cadeia de custódia), bem como o devido acondicionamento destes dispositivos antes do transporte. A potencial evidência digital pode ser perdida ou danificada se cuidados razoáveis não forem aplicados.

A OBTENÇÃO

O processo de obtenção consiste na produção da cópia da evidência digital (por exemplo, disco rígido completo, partição, arquivos selecionados) e documentação dos métodos usados e atividades realizadas. Recomenda-se que ambas as fontes originais e a cópia do indício digital sejam verificadas com uma função de verificação (Função de Hash) convém que a fonte original e cada cópia de evidência digital produzam o mesmo resultado de função de verificação. Caso necessário, recomenda-se que o método de aquisição utilizado seja capaz de obter o espaço alocado e não alocado do dispositivo. CONSERVAÇÃO

Convém que o indício digital seja sempre preservado para garantir sua integridade como “objeto” questionado. O processo de preservação envolve a guarda do potencial indício digital assim como o dispositivo digital que pode conter a evidência digital contra espoliação ou adulteração. Recomenda-se que não haja espoliação aos dados em si ou a quaisquer metadados associados a ele (data e horário por exemplo). Convém o agente seja capaz de demonstrar que o indício não foi modificado, desde que ele foi coletado ou adquirido, ou de fornecer os fundamentos e ações documentadas se alterações inevitáveis forem realizadas.

PRINCIPAIS COMPONENTES DE RECONHECIMENTO, OBTENÇÃO, RECOLHIMENTO E CONSERVAÇÃO DE INDÍCIO DIGITAL CADEIA DE CUSTÓDIA

É o documento identificando a cronologia de movimento e manuseio da evidência digital. Recomenda-se que seja elaborado a partir do processo de coleta ou aquisição. O propósito de manter o registro de cadeia de custódia é para possibilitar a identificação, acesso e movimento da evidência digital a qualquer tempo. Convém que o registro de cadeia de custódia contenha no mínimo as seguintes informações: · Identificador único da evidência; · . Quem acessou a evidência e o tempo e local em que ocorreu; · . Quem checou a evidência interna e externamente nas instalações de preservação da evidência e quando isto ocorreu; · . Quaisquer alterações inevitáveis da potencial evidência digital, assim como o nome do indivíduo responsável e a justificativa para a introdução da alteração. Recomenda-se como “boa prática” que a cadeia de custódia seja mantida durante todo tempo de vida da evidência e preservada por certo período de tempo depois do fim da evidência.

POTENCIAL INDÍCIO DIGITAL

É recomendado que se tenha cuidado ao utilizar ferramentas específicas para coletar ou adquirir potencial indício digital. Não calcular os riscos antes de agir pode ocasionar a perda de algumas ou os potenciais indícios digitais devido à metodologia aplicada durante a coleta ou aquisição.

OBTENÇÃO OU AQUISIÇÃO

Na etapa de priorização entre coleta ou aquisição de uma evidência digital é fundamental que o agente entenda todas as circunstâncias para coletar ou adquirir a potencial evidência digital. Entretanto, pode ser necessário priorizar itens pela volatilidade e/ou pelo valor probatório quanto a sua relevância. Itens de valor probatório de alta relevância são aqueles que são mais prováveis de conter dados relativos diretamente ao incidente investigado. O indicio digital pode ser dividido em duas categorias: Dados voláteis ou Dados não voláteis, estas definições são aplicadas às memórias (componentes de armazenamento de informações). A memória RAM é considerada um tipo de memória “volátil”, pois todos os dados que não forem guardados de forma permanente serão apagados após desligamento do computador. A memória ROM e os outros dispositivos de armazenamento de dados são considerados “não voláteis” (pendrive, HD, SDCard, etc.) Após a identificação, é recomendado ao agente: · . Priorizar a potencial evidência digital que pode ser perdida para sempre se a fonte de energia for removida; e · Tomar ações rápidas para adquirir este dado utilizando métodos validados. Obs: Quando há suspeita de criptografia ou de um programa malicioso, será necessário adquirir o dado volátil.

PRESERVAÇÃO DO INDÍCIO DIGITAL

Na etapa de preservação do potencial indicio digital e de dispositivo digital, é importante manusear e acondicionar estes artefatos de um modo que seja minimizada a possibilidade em espoliação ou adulteração

Espoliação pode resultar de uma degradação magnética, degradação elétrica, devido a alguns fatores como temperatura elevada, exposição à alta ou baixa umidade, bem como choques e vibrações.

Adulteração pode resultar de um ato intencional de adulterar ou permitir mudança da evidência digital. Por esse motivo, é fundamental manusear as “cópias” de uma evidência digital e utilizar o dado original o mínimo possível.

A atividade mais importante no processo de preservação é manter a integridade e autenticidade da evidência digital e sua cadeia de custódia. Convém que o dispositivo digital coletado e a evidência digital adquirida sejam armazenados em uma instalação adequada, com controle de segurança física, controle de acessos, sistemas de vigilância ou sistemas de detecção de intrusão ou outro controle de ambiente para preservação da evidência digital. Tendo como objetivo a segurança física para proteger e prevenir perdas, danificações e adulterações, assim como, caso necessário garantir a auditabilidade.

OBTENÇÃO PARCIAL

A obtenção parcial deverá ser realizada quando não for possível efetuarmos a aquisição ou coleta devido a várias razões, tais como: · O sistema de armazenamento é muito grande para ser adquirido (por exemplo, servidor de banco de dados); · . Um sistema é muito crucial para ser desligado; · . Quando compelido por autoridade legal, como um mandado de busca, que limita o escopo.

Obtenção Imediata

Obtenção imediata serve para adquirir dados voláteis de dispositivos que ainda estão sendo executados. Aquisição imediata de dado volátil em memória RAM pode permitir a recuperação de informação valiosa, como estado do trabalho em rede, descriptografar aplicações e senhas.

Por fim, foram descritos neste artigo os principais pontos de interesse na Norma ABNT ISO/IEC 27037:2013. É fortemente indicado a leitura do seu conteúdo na íntegra, uma vez que aqui foi apresentado apenas um breve resumo.

Atentar a todos os detalhes e estar em conformidade com a Norma é de suma importância afim de garantir a admissibilidade, força probatória e relevância em processos judiciais ou disciplinares. Assim como a correta elaboração da documentação (Cadeia de Custódia, Laudo Técnico ou Parecer Técnico) são imprescindíveis para a apresentação da prova pericial. Conforme interpretado pela equipe TecnoPerícias, a prova pericial é considerada de extrema importância pelos operadores da justiça, visto que depende de conhecimento técnico e é embasada em informações científicas.

Aproveito para te convidar a acompanhar o nosso blog basta clicar aqui.

E nossas redes sociais: Facebook advocacialudgero criminal.

Instagram: @ludgeroadvocacia

Twitter: @LudgeroContato. Referências:

[i] A série de normas ISO, foram criadas pela Organização Internacional de Padronização (ISO), com o objetivo de melhorar a qualidade de produtos e serviços. A ISO, é uma das maiores organizações que desenvolve normas no mundo, e foi criada a partir da união da International Federation of the National Standardizing Associations (ISA) e a United Nations Standards Coordinating Committee (UNSCC).

TecnoPerícias – Prova Pericial. Disponível em: <https://www.tecnopericias.com.br>. Acesso em: 15 03 2021 Normas ISO – Gestão de Qualidade. Disponível em: <http://gestao-de-qualidade.info/normas-iso.html>. Acesso em: 15 03 2021 ABNT – Catalogo de Normas ABNT. Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=307273>. Acesso em: 15 03 2021