Incidentes de Segurana x Condutas

Criminosas:
preservao de evidncias, triagem e
comunicao s autoridades

Webinar RNP
Braslia/DF
Polcia Federal
Atribuies (em resumo)

Polcia judiciria da Unio

Infraes de repercusso interestadual e
internacional que exigem represso uniforme
Requer autorizao do MJ em alguns casos
(Internet)
Trfico de drogas, contrabando e descaminho
Polcia martima, aeroporturia e de fronteiras
Conflitos agrrios
SRCC/CGPFAZ/DICOR/PF

SRCC/CGPFAZ/DICOR/DPF
SRCC/CGPFAZ/DICOR/PF
Histrico

Criada em 2003 para coordenar as aes de:

Combate s fraudes eletrnicas (GPA Grupo
Permanente de Anlise)
Internet banking
Clonagem de cartes de crdito/dbito
Combate a venda de medicamentos na internet
Combate aos crimes de Alta Tecnologia
Combate pornografia infantil (2014 - URCOP)
SRCC/CGPFAZ/DICOR/PF
Estrutura

DICOR

CGPFAZ

SRCC

GPA URCOP UTC ECI

SRCC/CGPFAZ/DICOR/PF
Estrutura

GRCCs
constitudos
15 GRCCs
operacionais
Responsvel
designado nos
estados sem
GRCC
Atuao em 100%
do territrio
nacional.
SRCC/CGPFAZ/DICOR/PF
Misso

Capacitao e Desenvolvimento Cooperao

Coordenao de Tecnologia de
Treinamento Investigao Internacional
Combate s Cursos a distncia Ferramentas Cooperao na
fraudes eletrnicas para difuso do especficas para rea de crimes
Segurana conhecimento busca de cibernticos com
ciberntica bsico informaes e de outros pases e
Crimes de alta Cursos presencias investigao / foras policiais
tecnologia para inteligncia
Pornografia infantil aperfeioamento policial
Apoio aos crimes e especializao
cibernticos
imprprios
Crimes Cibernticos
Normatizao Atual

Legislao atual sobre Crimes Cibernticos

Invaso de dispositivo informtico
Produo de dispositivo ou software com objetivo ilcito
Interrupo de servio (DDoS)
Falsificao de dados ou divulgao de dados sigilosos
Pornografia infantil
Caracterizao de prejuzo e/ou dolo
Norma Complementar 21/IN01/DSIC/GSIPR
http://dsic.planalto.gov.br/documentos/nc_21_preservacao_de_evidencias.pdf
Diretrizes para:
Registro de eventos
Coleta e preservao de evidncias
Comunicao s autoridades competentes
Norma Complementar 21
Referencial

Norma Complementar n 08/IN01/DSIC/GSIPR -

Estabelece as Diretrizes para Gerenciamento de
Incidentes em Redes Computacionais nos rgos e
entidades da APF

ABNT NBR ISO/IEC 27037:2013 - Diretrizes para

identificao, coleta, aquisio e preservao de
evidncia digital

RFC 3227 - Guidelines for Evidence Collection and

Archiving
Conceitos Bsicos

Evidncia digital:
informao ou dado, armazenado ou
transmitido eletronicamente, em modo
binrio, que pode ser reconhecida como
parte de um evento.
Tratamento de Incidentes
Viso geral

Tratamento do
Incidente
Incidente
de Tratamento das
Segurana Evidncias Digitais
Tratamento de Incidentes
Viso geral

Fonte: http://fdtk.com.br/wiki/tiki-index.php
Tratamento das Evidncias
Viso geral

PREPARAO COLETA PRESERVAO COMUNICAO

Gerar hash Redigir relatrio

Gravar em mdia (correlacionar
Formalizao da Identificar / evento/pessoas/local
Definir Elaborar o termo de
ETIR Embalar /
Metodologia custdia
Treinamento Etiquetar /
Aquisio das Anexar evidncias
Aquisio de Transportar e/ou coletadas
Evidncias
Ferramentas Armazenar de Proteger o
forma segura sigilo/privacidade
Formalizar a entrega
Tratamento das Evidncias
Viso geral

Coleta Aquisio

Identificao Preservao
Tratamento
das
Evidncias
Tratamento das Evidncias
Consideraes iniciais

Fragilidade da evidncia digital

ETIR como first responder

Volatilidade da evidncia digital

Importante preservao e triagem

Criticidade do ativo afetado

Reestabelecer x preservar
Tratamento das Evidncias
Consideraes iniciais

Minimizar o manuseio

Documentar todas as aes tomadas e

modificaes resultantes.

Recursos humanos (ETIR) capacitados

Evidncia Digital
Princpios

Pertinncia:
a evidncia prova ou refuta um elemento do caso.

Confiabilidade:
a evidncia o que diz ser.

Suficincia:
deve-se coletar vestgios suficientes para permitir o exame
ou investigao adequados.
Evidncias Digitais
Pontos-chave

Auditabilidade

Repetibilidade / Reprodutibilidade

Justificabilidade
Evidncias Digitais
Tratamento

Identificao Coleta/Aquisio Preservao

Tratamento das Evidncias
Identificao

Envolve a busca, reconhecimento e

documentao

Priorizao com base na importncia do ativo

e na volatilidade da evidncia digital

Possibilidade de evidncias ou ativos ocultos

(pendrives, parties criptografadas, etc)
Tratamento das Evidncias
Identificao
Tratamento das Evidncias
Ordem de volatilidade

1. Registradores,
memria cache

2. Tabela de rotas,
cache ARP, tabela
de processos, RAM

3. Disco rgido
Tratamento das Evidncias
Coleta/Aquisio
Tratamento das Evidncias
Coleta/Aquisio

Obteno dos dispositivos computacionais

envolvidos e gerao de cpia da evidncia digital

Disco rgido inteiro, partio ou arquivos

selecionados

De acordo com o caso, acondicionar

apropriadamente o dispositivo para futura
aquisio
Tratamento das Evidncias
Coleta/Aquisio

Evitar sempre que possvel

mtodos que alterem a
evidncia digital

Documentar o processo

Outros materiais (papis

com senhas, cabos de
alimentao, etc)
Tratamento das Evidncias
Coleta/Aquisio

Impossibilidade de cpia da mdia completa:

Ex.: disco muito grande, storage, servio crtico,
RAID, tecnologia (ex: mainframe), etc

Soluo:
Aquisio lgica (parties, diretrios ou arquivos
relacionados ao incidente)
Tratamento das Evidncias
Coleta/Aquisio

Duas situaes:

dispositivo ligado

dispositivo desligado
 Identifique / Documente e
INCIO preserve todas as evidncias

NO Dispositivo SIM
Ligado

No
No ligue
desligue

Criptografia
Cpia de NO Armadilhas SIM
FIM dados no- Dados
volteis Volteis

Fotografar
Cpia de
dados
volteis
Tratamento das Evidncias
Preservao

Manuteno da integridade e (se for o caso) do

sigilo dos dados coletados

Uso de funes de verificao:

resumo criptogrfico (hash)

Acondicionamento apropriado:
Proteo contra choque, calor, umidade e
magnetismo
Norma Complementar 21
Requisitos Importantes

Fonte de tempo confivel (NTP / HLB / ON)

Horrio de vero
Registro de eventos dos ativos de
informao
Registros de eventos (logs) armazenados por
no mnimo 6 (seis) meses
Registros de auditoria armazenados
remotamente
Norma Complementar 21
Coleta e Preservao

Responsabilidade da ETIR
Mdias de armazenamento
Copia dos arquivos caso seja invivel
Todos os registros de eventos
Inclusive dispositivos de rede
Hashes dos arquivos
Hash do arquivo de hashes
Material lacrado + termo de custdia
Anexos da NC
Norma Complementar 21
Triagem de material

Registros de acesso relevantes

Relativos ao caso
Dentro de intervalo de datas factvel
Procurar um conjunto de evidncias que
Caracterize o incidente: ocorreu uma ao
criminosa deliberada
Apresente indcios de autoria
Responsabilidade da ETIR / rgo APF
Norma Complementar 21
Comunicao

Comunicao s autoridades competentes

Relatrio de comunicao de incidente de
segurana
Envelope lacrado e rubricado
Encaminhamento autoridade responsvel
Autoridade responsvel encaminha
formalmente para a autoridade competente
Preocupao com a privacidade e sigilo dos
dados custodiados
Norma Complementar 21
Concluso

Nova abordagem no tratamento de

incidentes
Foco na comunicao para investigao
No apenas reestabelecimento do servio
Importncia da coleta, preservao, sigilo e
custdia de evidncias
Relao ETIR x Autoridades Competentes
(PF)
Tratamento das Evidncias
Exemplos de cursos

Escola Superior de Redes ESR/RNP:

Anlise forense (http://esr.rnp.br/seg3)

CERT.br:
FIH e AIH (http://www.cert.br/cursos/)
Contato

PCF IVO PEIXINHO

peixinho.icp@dpf.gov.br

Servio de Represso aos Crimes Cibernticos

SRCC/CGPFAZ/DICOR/DPF