A norma ISO / IEC 27037: 2012 - Capítulos

1. Âmbito

2. Enquadramento

3. Termos e Definições

4. abreviações

5. Descrições Gerais

6. Elementos para a identificação, coleta, aquisição e preservação de evidências digitais

7. As instâncias da identificação, coleta, aquisição e preservação de evidências digitais

Anexos

A Norma e Códigos Processual

Nós encontramos muitos pontos de contato entre a norma e do CPP, essencialmente sobre os
aspectos forenses de evidências digitais que são comuns a outras provas, como a documental.

O norma é um elemento que permite que os especialistas informáticos se aproximem das

autoridades judiciais.

1. Âmbito

Esta norma fornece orientações para o gerenciamento de evidências digitais e estabelece as

seguintes atividades: identificação, coleta, aquisição e preservação de:

* Digital Storage

* Dispositivos móveis

* GPS

*CCTV

*Dispositivos em rede TCP / IP ou semelhante

A lista não é exaustiva e inclui dispositivos de qualquer forma ...

2. Enquadramento

Tronco normativo ISO 27000 de Segurança da Informação

* ISO / IEC 27037: 2012 Diretrizes para identificação, coleta, aquisição e preservação de
evidências digitais

* ISO / IEC 27042 Tecnologia da Informação – Técnicas de Segurança - Orientações para a

análise e interpretação de evidências digitais
Suporte normativo:

* ISO 15801 Gestão Documental - informações lojas eletronicas

* ISO 17020 Avaliação da Conformidade - Requisitos

* ISO 17025 Requerimentos Gerais para a competência de teste e calibração de laboratórios.

3. Termos e Definições

Glossário extenso que inclui, entre outros: Aquisição, coleção, dispositivos digitais, provas
digitais, valor de hash, imagem, repetibilidade, validação, espaço alocado e não alocado,
espoliação ...

DEFR: Digital Forensic Evidence Responder – Indivíduo autorizado, treinado e qualificado para
atuar na cena do fato capaz de coleta e aquisição de evidências digitais

DES: Digital Evidence Specialist - DEFR + Capacidade de Análise

4. Abreviações

Dicionário de abreviaturas:

AVI

CCTV

CD / DVD

ESN

IMEI

MD5

SHA1

PIN

PUK

RAID

USB

...

5. Descrições Gerais

Requisitos de evidências digitais

Relevância: Este é um conceito jurídico indicando que a prova digital deve estar relacionada
com os eventos sob investigação.
Confiabilidade: A evidência deve ser confiável por isso deve ser repetível e auditável por um
terceiro usando o mesmo princípio de funcionamento aplicada atingem idênticos resultados.

Suficiência: Os dados recolhidos devem ser suficientes para suportar as descobertas pelo
analista forense, é o que eu chamo de coleta efetiva.

DEFR e DES deve documentar todas as suas ações, que são regidos pelos seguintes princípios:

a manipulação da evidência digital original

uma mudança irreversível

leis e regulamentos locais

suas funções

Identificação: Reconhecimento de onde a evidência digital é, seja ela física ou lógica.

Coletar: Muitas vezes o DEFR deve tomar a decisão de recolher as provas e movê-lo para o
laboratório para aquisição, dependendo do tempo e recursos de computacionais disponíveis no
local do fato, apoiado por mandado judicial. Em qualquer caso, ele deve documentar a sua
decisão fundamentada, e estar preparado para defendê-lo no tribunal.

Aquisição: O processo de cópia forense que o DEFR ou DES executará obtendo uma cópia
binária exata do conteúdo lógico ou físico dos objetos envolvidos da investigação. A norma
estabelece que a cópia deve ser verificada com um "método comprovado de verificação"
evitando expressar-se sobre o uso de algum HASH particular.

Preservação: A evidência digital deve ser preservada de modo a assegurar a sua integridade
durante todo o processo. Isso inclui acondicionamento, que em alguns casos têm necessidades
especiais.

Nada diz do NÚMERO DE CÓPIAS que se deve manter

6. Elementos para a identificação, coleta, aquisição e preservação de evidências digitais

Cadeia de custódia: Registro de Identificação cronológica do transporte e manuseio de

potenciais evidencias.

Pode ser um formulário ou de um conjunto de documentos que contenham pelo menos:

1. Um identificador exclusivo da prova

2. Quem localizou a evidência, que o lugar / data / hora

3. Quem removeu ou armazenou a prova do local de abrigo

4. Motivo Sustentável da autoridade competente

5. Em caso de produzir mudanças na prova. Quem quer quem fez e justificativa

- Precauções da cena do fato(DEFR):

*Garantir a segurança pessoal

*Proteger e isolar a área física contendo ED(evidencia digital)

*Identificar a pessoa responsável

*Retirar as pessoas das equipes com potencial ED

*Isolar o perímetro da rede

*Se o dispositivo está desligado mante-lo assim

*Se o dispositivo está ligado manter-lo assim

*Documentar, se permitido pela foto e vídeo

*Identificar e post-its com informações potencialmente úteis

-Considerações sobre a cena do fato (DEFR):

*Não há autorização legal para recolher ED?

*interrupção do serviço computador está autorizado?

*É necessário recolher provas em flagrante?

*Se a coleção está escondido ... há suporte legal?

*O ED é um dispositivo de missão crítica?

* O tamanho é muito grande? (RAID / NAS), considere adquirir LEF

* Parada do dispositivo pode afetar a vida?

*O dispositivo fornece serviços a terceiros não envolvidos?

- Outros relevantes para os aspectos de preservação:

* Adquirir por ordem de volatilidade (RFC3227)

* Possui autoridade legal sobre o endereço do computador?

* Etiquetar, nomear, selar ...

*Bloquear Eletricidade estático (embalagens antiestáticas)

* Bloquear EMI (Saco de Faraday)

* Isolamento magnético (fitas digitais)

* Proteção térmica em áreas críticas.

7. As instâncias da identificação, coleta, aquisição e preservação de evidências

digitais
Coleta de computadores e dispositivos de armazenamento digital

* Documentar marca, modelo e números de série de dispositivos de armazenamento em

massa (magnética, eletrônicos e ópticos)

* Durante a documentação manter o estado on / off para decidir se recolhe memória RAM

* Fotografar tela e documentar

* Se você tiver autorização, registre processos em execução e aplicações ativas

Coleta ou aquisição? Fatores que afetam a decisão

* Disponibilidade de DEFR / DES

* A volatilidade provas

* Existência de FDE ou recipientes criptografados

** sistemas críticos (ver Capítulo 6)

* Autorização legal

* Recurso físico para armazenamento e transporte

* Janela Tempo

Aquisição de dispositivos de autenticação dinâmica:

* Servidores de rede ou recursos compartilhados

* Unidades mapeadas

* Dispositivos críticos ligados

* Terminais thin client

* Celulares

* Tablets

Aquisição de CCTV

* Adquirir HD interno

* Aquisição de vídeos através de exportação (Reprodutor Proprietário?)

* Aquisição de vídeos através de uma conexão de rede

* Exportar os vídeos (MPEG / AVI / MP4), incluindo codecs proprietários

Anexos
A) Conhecimentos mínimos e competência que deve ter um DEFR

* Identificação

* Coleta

* Aquisição

* Preservação

B) Requisitos mínimos de documentação para transferência de informações

Reflexões e conclusões

A) A que distância estamos da norma? (Peritos e instituições)

A) Como podemos ajustar a ele?

A) É glossário útil de termos e abreviaturas?

Pensamento final:

A adoção de regras para estabelecer com antecipação procedimentos sólidos irá fortalecer o
nosso trabalho. Pouco é o valor de um parecer impecável do ponto de vista técnico, se ele tem
pontos fracos em sua forma.