Criminosas:
preservao de evidncias, triagem e
comunicao s autoridades
Webinar RNP
Braslia/DF
Polcia Federal
Atribuies (em resumo)
SRCC/CGPFAZ/DICOR/DPF
SRCC/CGPFAZ/DICOR/PF
Histrico
DICOR
CGPFAZ
SRCC
GRCCs
constitudos
15 GRCCs
operacionais
Responsvel
designado nos
estados sem
GRCC
Atuao em 100%
do territrio
nacional.
SRCC/CGPFAZ/DICOR/PF
Misso
Evidncia digital:
informao ou dado, armazenado ou
transmitido eletronicamente, em modo
binrio, que pode ser reconhecida como
parte de um evento.
Tratamento de Incidentes
Viso geral
Tratamento do
Incidente
Incidente
de Tratamento das
Segurana Evidncias Digitais
Tratamento de Incidentes
Viso geral
Fonte: http://fdtk.com.br/wiki/tiki-index.php
Tratamento das Evidncias
Viso geral
Coleta Aquisio
Identificao Preservao
Tratamento
das
Evidncias
Tratamento das Evidncias
Consideraes iniciais
Minimizar o manuseio
Pertinncia:
a evidncia prova ou refuta um elemento do caso.
Confiabilidade:
a evidncia o que diz ser.
Suficincia:
deve-se coletar vestgios suficientes para permitir o exame
ou investigao adequados.
Evidncias Digitais
Pontos-chave
Auditabilidade
Repetibilidade / Reprodutibilidade
Justificabilidade
Evidncias Digitais
Tratamento
1. Registradores,
memria cache
2. Tabela de rotas,
cache ARP, tabela
de processos, RAM
3. Disco rgido
Tratamento das Evidncias
Coleta/Aquisio
Tratamento das Evidncias
Coleta/Aquisio
Documentar o processo
Soluo:
Aquisio lgica (parties, diretrios ou arquivos
relacionados ao incidente)
Tratamento das Evidncias
Coleta/Aquisio
Duas situaes:
dispositivo ligado
dispositivo desligado
Identifique / Documente e
INCIO preserve todas as evidncias
NO Dispositivo SIM
Ligado
No
No ligue
desligue
Criptografia
Cpia de NO Armadilhas SIM
FIM dados no- Dados
volteis Volteis
Fotografar
Cpia de
dados
volteis
Tratamento das Evidncias
Preservao
Acondicionamento apropriado:
Proteo contra choque, calor, umidade e
magnetismo
Norma Complementar 21
Requisitos Importantes
Responsabilidade da ETIR
Mdias de armazenamento
Copia dos arquivos caso seja invivel
Todos os registros de eventos
Inclusive dispositivos de rede
Hashes dos arquivos
Hash do arquivo de hashes
Material lacrado + termo de custdia
Anexos da NC
Norma Complementar 21
Triagem de material
CERT.br:
FIH e AIH (http://www.cert.br/cursos/)
Contato