terça-feira, 19 de junho de 2007

Resposta a Incidentes

Uma discussão interessante rolou há alguns dias na lista windowsforensicsanalysis, mantida por Harlan Carvey.
Em meio ao assunto de o quanto invasivo podem ser algumas técnicas de análise da RAM, Harlan fez um comentário bastante pertinente:

"Nós, que trabalhamos com Resposta a Incidentes, podemos ser equiparados aos paramédicos. Ao chegar a uma cena de crime, eles entram em cena e fazem o seu papel, de certa forma alterando a cena. No entanto, como as ações deles seguem um procedimento definido, as alterações são aceitáveis porque estão previstas e documentadas".

Embora no Brasil os aspectos legais envolvendo a captura de informações para provas ainda estejam engatinhando e tenhamos poucas definições a respeito, tenho acompanhado muitas discussões sobre os procedimentos de Resposta a Incidentes e Forense Computacional em muitas listas com grande parte de usuários nos EUA, Inglaterra e Austrália.

Os procedimentos de Resposta a Incidentes compreendem, entre outras coisas, coletar o máximo de informações da máquina, seguindo a ordem de volatilidade. Os procedimentos de Forense Computacional compreendem a coleta de informações da máquina depois de desligada, normalmente capturando uma imagem do HD da máquina, e sua posterior análise. Há quem chame isso de análise "post-morten" e também acabem atribuindo o nome de Forense Computacional para todo o conjunto de procedimentos acima.

Há controvérsias para os dois lados. Os críticos da análise da RAM dizem que não é possível coletar os dados da mesma sem introduzir mudanças na análise. Os favoráveis a esses procedimentos dizem que desligar a máquina para iniciar a coleta dos dados desperdiça um grande número de informações e seria semelhante a um paramédico acabar de matar a vítima para iniciar a autópsia e finalmente descobrir o que aconteceu, ao invés de salvá-la.

Nos próximos posts vou colocar algumas das argumentações sobre as duas correntes.

Algum comentário ?

Até o próximo post !

Nenhum comentário: