Evidência digital: identificação, coleta e preservação

1) Contexto e objetivo da nota

Ambientes modernos (nuvem, SaaS, BYOD, redes híbridas, dispositivos IoT) podem artefatos volumosos ou voláteis. A confiabilidade probatória depende de procedimentos repetíveis, metadados intactos e documentação suficiente para réplica independente. Esta nota explora práticas técnico-forenses para identificar, coletar e preservar artefatos digitais com foco em qualidade, rastreabilidade e controle de alterações.

2) Princípios gerais

  • Legalidade técnica: atuar dentro de um plano metodológico lícito, reconhecido, autorizado e documentado.
  • Minimização de alteração: preferir cópias bit a bit/imagens forenses; quando não viável, registrar efeitos colaterais (timestamps, ACLs, flags).
  • Reprodutibilidade: preservar dados brutos, parâmetros e versões de ferramentas.
  • Transparência: declarar limitações (chaves indisponíveis, criptografia em repouso, retenções de logs, anti-forense).
  • Cadeia de custódia digital: manter registros (logs) sobre identificadores, quem fez o quê, quando, com qual ferramenta e com quais parâmetros.

3) Identificação e escopo (planejamento)

3.1 Levantamento de fontes

  • Dispositivos: estações, servidores, VMs, hipervisores, mobiles, IoT, mídias removíveis.
  • Sistemas: e-mail, file servers, bancos de dados, EDR/XDR, SIEM, MDM, DLP, CASB.
  • Ambiente em nuvem: buckets/objetos, snapshots, logs gerenciados (CloudTrail, Audit Logs, etc.).
  • Aplicações/SaaS: histórico de alterações, auditorias internas, exportações nativas.
  • Redes: PCAPs, NetFlow, logs de firewall, DNS, proxies.

3.2 Matriz quesito → fonte → método

Construir matriz que relacione quesitos aos artefatos e ao procedimento aplicável, com critérios de aceitação e riscos.

4) Coleta preservadora

4.1 Tipos de aquisição

  • Imagem física (bit a bit): ideal para mídias locais (HDD/SSD), com write blockers; inclui espaço não alocado.
  • Imagem lógica: extração de partições, diretórios ou objetos específicos (menor impacto, mas pode omitir artefatos).
  • Exportações nativas: SaaS/cloud (APIs/portais) com metadados íntegros.
  • Volátil/ao vivo: memória RAM, tabelas de rede, processos; documentar imediatamente hora, host, hash e ferramentas usadas.

4.2 Procedimento mínimo

  1. Isolamento/estabilização (quando possível) para reduzir alteração.
  2. Registro de contexto: data/hora de início/fim, fuso, identificadores do host/conta.
  3. Ferramentas e versões: nome, versão, hash do binário, modo de execução, parâmetros.
  4. Hashing (antes/depois): SHA-256 (preferir) e MD5 (complementar); registrar cadeia de cálculo.
  5. Metadados: preservar timestamps (MACB), permissões, ACLs, atributos estendidos, fuso horário do sistema.
  6. Logs de coleta: arquivo de log assinado (ou com hash) contendo cada ação executada.

5) Preservação e cadeia de custódia digital

  • Formulário de custódia: IDs únicos, descrição do item, origem, responsável, data/hora, condições, meio de armazenamento, selos/lacres, hashes.
  • Armazenamento: mídias WORM ou repositórios com controle de versão/auditoria; redundância (3-2-1).
  • Criptografia e acesso: cifrar em repouso; registrar chaves/responsáveis; princípio do menor privilégio.
  • Transporte: mídia cifrada, lacres, embalagem antieletrostática; registro fotográfico.
  • Verificação periódica: rehash programado para detecção de bit rot.

6) Validação e versões de ferramentas

  • Ferramentas (acquisitors, parsers, analisadores) devem ser validadas para o uso pretendido (test sets, casos conhecidos, verificação cruzada).
  • Gestão de versões: registrar versão, build, plugins, módulos; impactos de atualização devem ser avaliados/documentados.
  • Cross-check: quando crítico, confirmar resultados com ferramenta alternativa/abordagem independente.

7) Sincronização temporal e integridade de metadados

  • Tempo: alinhar relógios com NTP; registrar offset local; documentar timezone do artefato.
  • Metadados: evitar operações que reescrevam timestamps/ACLs; quando inevitável, logar side effects.
  • Linhas do tempo: consolidar eventos (host/app/rede) indicando precisão/limite de confiança.

8) Gestão e integridade de dados (ALCOA+ aplicado ao digital)

  • Atribuível, Legível, Contemporâneo, Original, Acurado + Completo, Consistente, Duradouro, Disponível.
  • Trilha de auditoria: logs imutáveis (append-only), assinatura digital, hashes encadeados quando possível.
  • Backups: redundância, testes de restauração, proteção contra ransomware (air gap/snapshots).
  • Formatos: preferir abertos ou amplamente suportados; se proprietários, documentar leitor/verificador.

9) Documentação de limitações e incertezas

  • Lacunas: retenções expiradas, criptografia E2E, chaves inacessíveis, BYOD sem MDM, perda de logs rotacionados.
  • Impacto: descrever como a limitação afeta hipóteses/quesitos (ex.: impossibilidade de reconstruir parte da cronologia).
  • Sensibilidade: apresentar cenários alternativos e efeito no resultado (ex.: janela temporal ± Δt).

10) Estrutura sugerida de relatório (digital)

  1. Objetivo e escopo: quesitos; hipóteses; fronteiras de análise.
  2. Ambiente e fontes: inventário de sistemas/hosts/contas; diagrama de alto nível.
  3. Materiais e métodos: procedimentos, ferramentas e versões, validação, parâmetros, write blockers.
  4. Cadeia de custódia: formulários, lacres, hashes, trilhas de auditoria.
  5. Resultados: artefatos extraídos, análises (com prints/tabelas), hashes e correlações temporais.
  6. Discussão crítica: limitações, incerteza, hipóteses alternativas, sensibilidade; comparações cruzadas.
  7. Respostas por quesito: diretas, com remissão a itens/metadados.
  8. Anexos: dados brutos/derivados, hashes, logs, scripts, dicionário de campos, prints assinados, tabela de versões.

11) Checklists operacionais

11.1 Antes da coleta

  • Autorizações internas; plano de coleta; matriz quesito→fonte→método.
  • Ferramentas validadas e versões registradas; mídia de destino preparada (hash inicial).
  • Ambiente NTP; políticas de acesso definidas; formulários de custódia prontos.

11.2 Durante a coleta

  • Registrar hora/local, operador, host/conta, ferramenta/parâmetros.
  • Calcular hash do alvo (quando aplicável) e da imagem produzida; documentar discrepâncias.
  • Capturar metadados contextuais (timezone, locale, versões do SO/aplicativo).

11.3 Após a coleta

  • Verificar integridade (re-hash); armazenar mídia cifrada; atualizar custódia.
  • Gerar sumário técnico para controle interno (inventário de itens coletados).
  • Abrir tíquete de QA/QC para revisão técnica independente.

12) Considerações por cenário

Nuvem/SaaS

  • Preferir exportações autenticadas via API; registrar tokens/escopos; capturar audit logs.
  • Snapshots/versões: documentar point-in-time; conferir retenções e region.

Dispositivos móveis

  • Avaliar modo de bloqueio/cripto; coleta física/lógica conforme viabilidade; preservar backups em nuvem quando congruentes aos quesitos.

Ambientes corporativos com EDR/SIEM

  • Exportar casos e artefatos correlatos (alertas, evidências, IOC hits); preservar contexto bruto além do resumo do console.

Criptografia e anti-forense

  • Documentar chaves disponíveis/indisponíveis; técnicas de bypass (se usadas); limitações decorrentes.

13) Indicadores de qualidade e ações corretivas

  • KPIs: % coletas com hash verificado; % relatórios com tabela de versões; tempo médio entre identificação e aquisição; taxa de falhas de mídia; % casos com limitações documentadas.
  • Não conformidades: alteração inadvertida de metadados, erro de hashing, lacres inconsistentes; registrar, analisar causa, aplicar ação corretiva e verificar eficácia.

14) Materiais de apoio

  • Matriz de coleta (quesito → fonte → método → parâmetros → hash).
  • Formulário de custódia digital (IDs, lacres, hashes, responsáveis).
  • Tabela de versões (ferramentas, plugins, SOs; hash de binários/scripts).
  • Roteiro de sincronização temporal (NTP/offsets).
  • Template de relatório forense (itens 1–8) e lista de anexos.

15) Leituras essenciais

  • Guias de coleta preservadora, cadeia de custódia digital, validação de ferramentas e gestão de logs.
  • Boas práticas de resposta a incidentes e timeline forensics.
  • Referências de integridade de dados e documentação de hashes.

Nota de escopo

Esta publicação comenta boas práticas técnico-forenses para evidência digital. Não interpreta normas para casos concretos e não constitui consultoria jurídica.