NBR ISO/IEC 27037

Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

 Resumo
O presente trabalho trata-se de um breve estudo sobre a norma
NBR ISO/IEC 27037 que tem como objetivo padronizar o processamento
das provas digitais, processo essencial nas investigações, para manter a
integridade da prova digital – abordagem que ajudará a ganhar sua
admissibilidade, poder probatório e relevância em processos judiciais ou
disciplinares.
A norma garante que os indivíduos gerenciem evidências digitais
por meio de um método prático e globalmente aceitável, e visa padronizar
investigações envolvendo dispositivos digitais e/ou evidências digitais de
forma sistemática e imparcial para manter sua integridade e autenticidade.
 Introdução

A norma regulamenta atividades específicas para o tratamento de

provas digitais, incluindo a identificação, coleta, aquisição e preservação
de provas digitais que possam ter valor probatório, auxiliando as
organizações a facilitar a troca de provas digitais entre jurisdições em seus
processos disciplinares.
A norma geralmente considera os seguintes dispositivos e/ou
funções usados em várias situações:
Introdução
• Meios de armazenamento digitais usados em computadores,
como HD’s, disquetes, CD/DVD, pen-drive;
• Smartphones, Tablets, assistentes digitais pessoais (PDA),
dispositivos eletrônicos pessoais (PED), cartões de memória;
• Sistemas de navegação móveis (GPS);
• Sistemas embarcados;
• Câmeras digitais de vídeo e fotografias (incluindo CFTV);
• Desktops, Notebooks;
• Redes baseadas em TCP/IP e outros protocolos digitais, e
• Dispositivos com funções semelhantes das descritas acima.
Introdução
• Meios de armazenamento digitais usados em computadores,
como HD’s, disquetes, CD/DVD, pen-drive;
• Smartphones, Tablets, assistentes digitais pessoais (PDA),
dispositivos eletrônicos pessoais (PED), cartões de memória;
• Sistemas de navegação móveis (GPS);
• Sistemas embarcados;
• Câmeras digitais de vídeo e fotografias (incluindo CFTV);
• Desktops, Notebooks;
• Redes baseadas em TCP/IP e outros protocolos digitais, e
• Dispositivos com funções semelhantes das descritas acima.
Evidências
 Evidências Digitais
Geralmente, todas as evidências digitais válidas estão vinculadas a
três pilares básicos: relevância, confiabilidade e suficiência.
Relevância: A evidência digital é considerada relevante quando se
destina a provar ou refutar um elemento do caso particular que está sendo
investigado.
Confiabilidade: O termo define evidência digital quando “garante
que atende às expectativas”
Suficiência: O conceito de suficiência significa que a evidência
digital é suficiente para permitir inspeção ou investigação suficiente de
elementos suspeitos.
 Evidências Digitais
No tratamento das evidências digitais considera-se quatro aspectos
fundamentais: auditabilidade, repetibilidade, reprodutibilidade e
justificabilidade.
Auditabilidade: Ele é projetado para determinar se um método
científico, técnica ou procedimento foi seguido corretamente. É altamente
recomendável documentar os processos realizados para avaliar as atividades
realizadas.
Repetibilidade: Este conceito é levado em consideração quando os
mesmos procedimentos e métodos de medição são usados, os mesmos
instrumentos são usados e os mesmos resultados de teste são produzidos nas
mesmas condições; e pode ser repetido a qualquer momento após o teste
original.
 Evidências Digitais

Reprodutibilidade: Este conceito é válido quando o uso de diferentes

instrumentos, em diferentes condições, produz os mesmos resultados; e em
todos os momentos. Exemplo: comparar strings de hash.
Justificabilidade: Este conceito visa justificar todas as ações e
métodos utilizados para processar evidências digitais. Pode-se considerar
justificar a decisão como a melhor opção para obter todas as possíveis
evidências digitais.
Processos de tratamento das evidências

Devido ao manuseio incorreto, as evidências digitais podem ser

facilmente alteradas, adulteradas ou destruídas. É altamente recomendável
que os indivíduos que realizarão o processamento de evidências digitais
tenham a capacidade de identificar e gerenciar os riscos e as
consequências da maneira como podem se comportar ao processar as
evidências. Erros simples no manuseio de evidências digitais podem torná-
las inutilizáveis para o propósito pretendido.
Processos de tratamento das evidências

Os agentes que realizam o processamento de evidências devem

seguir procedimentos escritos para garantir que sua integridade e
confiabilidade sejam mantidas.
Deve-se seguir os seguintes princípios básicos:
• Minimizar o manuseio do dispositivo digital original ou da evidência
digital;
• Considerar quaisquer alterações e documentar ações tomadas;
• Não é recomendado que os agentes adotem ações além de suas
competências.
Processos de tratamento das evidências
A evidência digital é representada na forma física e lógica. A forma
física inclui a representação dos dados dentro do dispositivo. A forma lógica de
evidência digital refere-se à representação de dados dentro do dispositivo.
O processo de identificação envolve a busca, identificação e registro
de evidências digitais. Durante esse processo, dispositivos de armazenamento
e processamento de mídia digital que possam conter evidências digitais
relevantes para o caso devem ser identificados.
O processo também considera atividades para identificar/priorizar a
coleta de evidências com base em sua volatilidade para garantir a sequência
correta dos processos de coleta e aquisição para minimizar danos a possíveis
evidências digitais.
Processos de tratamento das evidências

Ainda na fase de identificação, se o computador ou periféricos

estiverem desligados, é recomendável não ligar o computador. Se um
computador ou periférico estiver ligado, é recomendável que você não os
desligue, pois isso pode destruir possíveis evidências digitais.
Também é recomendável considerar o uso de um detector de sinal
de rede sem fio para detectar e identificar sinais de rede sem fio de
dispositivos de rede potencialmente ocultos.
Coleta das evidências

A coleta é o processo de trazer o equipamento questionado de seu

local original para um laboratório ou outro ambiente controlado para
posterior aquisição e análise. Esse processo inclui a documentação de
todo o método (cadeia de custódia), bem como a embalagem adequada
desses dispositivos antes do envio. Potenciais evidências digitais podem
ser perdidas ou danificadas se não forem tomados os devidos cuidados.
Aquisição das evidências
O processo de aquisição inclui a geração de cópias de evidências
digitais (por exemplo, discos rígidos completos, partições, arquivos
selecionados) e métodos de registro utilizados e atividades realizadas. .
Recomenda-se que tanto a fonte original quanto a cópia da
evidência digital sejam verificadas usando uma função de verificação
(função hash). Recomenda-se que cada cópia da fonte original e evidência
digital produza o mesmo resultado da função de verificação.
Se necessário, recomenda-se que o método de aquisição utilizado
seja capaz de localizar a área compartilhada e não alocada do dispositivo.
Preservação das evidências
A evidência digital deve sempre ser preservada para garantir sua
integridade como o “objeto” em questão. O processo de preservação
envolve proteger a evidência digital subjacente e os dispositivos digitais
que podem conter a evidência digital contra espoliação ou adulteração.
Recomenda-se não destruir os dados em si ou quaisquer
metadados associados a eles (como data e hora). O agente deve ser
capaz de demonstrar que a evidência não foi alterada desde que foi
coletada ou obtida, ou, se mudanças inevitáveis ocorreram, fornecer
razões e ações documentadas.
Cadeia de custódia

Documento que identifica a cronologia de movimento e manuseio

da evidência digital. É recomendado que se elabore a partir do processo de
coleta ou aquisição. A proposta do mesmo, é de manter o registro de
cadeia de custódia para possibilitar a identificação, acesso e movimento da
evidência digital quando necessário. O registro de cadeia de custódia
necessita conter no mínimo as seguintes informações:
Cadeia de custódia
• Identificador único da evidência;
• Quem acessou a evidência e o tempo e local em que ocorreu;
• Quem checou a evidência interna e externamente nas instalações
de preservação da evidência e quando isto ocorreu;
• Quaisquer alterações inevitáveis da potencial evidência digital,
assim como o nome do indivíduo responsável e a justificativa para a
introdução da alteração. Recomenda-se como “boa prática” que a
cadeia de custódia seja mantida durante todo tempo de vida da
evidência e preservada por certo período de tempo depois do fim da
evidência.
Precauções no local do incidente
Recomenda-se a realização de atividades que assegurem a
proteção do local da evidência digital tão logo chegue ao local. As
atividades devem-se apoiar nos seguintes termos, sujeitos à lei local:
• Assegurar e assumir o controle da área que contém os
dispositivos;
• Identificar o indivíduo responsável pelo local;
• Garantir que indivíduos sejam afastados dos dispositivos e fontes
de energia;
Precauções no local do incidente

• Documentar (por desenho, foto, vídeo, etc) a cena, todos os

componentes e cabos na sua posição original. Se não houver câmera
fotográfica disponível, desenhar um plano de esboço do sistema e
rotular as portas e cabos de forma a garantir que o sistema possa ser
validado e reconstruído caso necessário;
• Se permitido, pesquisar itens como notas, diários, papéis,
computadores portáteis ou manuais de hardware e software com
detalhes cruciais sobre os dispositivos, como senhas e PIN.
Potencial evidência digital

Quando se trabalha na busca de evidencias digitais, é necessário

ter cuidado ao utilizar ferramentas específicas para coletar ou adquirir
potencial evidência digital. Os riscos devem ser calculados antes de
agir, para não ocorrer uma possível perda parcial ou total de evidências
digitais, por uso de metodologia aplicada durante a coleta ou aquisição.
A análise de risco envolve uma revisão sistemática dos riscos e
implicações potenciais para a análise de evidências digitais. Os fatores
a serem considerados ao avaliar o risco potencial da evidência
incluem, mas não estão limitados a:
Potencial evidência digital
• Qual método de coleta/aquisição será aplicado?
• Quais os equipamentos que poderão ser necessários no local?
• Qual o nível de volatilidade dos dados e informações relacionados à
potencial evidência digital?
• É possível o acesso remoto a qualquer dispositivo digital e isso
oferece uma ameaça à integridade da evidência?
• O que acontece se um dado/equipamento está danificado?
• Um dado poderia ter sido comprometido?
• Um dispositivo digital poderia ter sido configurado para destruir (por
exemplo, usando uma bomba lógica), espoliar ou ofuscar um dado
se desligado ou acessado de forma descontrolada?
Documentação
Ao trabalhar com equipamentos digitais que podem produzir fortes
evidências digitais, a preparação de documentos é fundamental. Para
garantir que nenhuma informação seja negligenciada durante os
processos de identificação, coleta, detecção e manutenção, todo
sistema deve ser documentado.
Se houver diferenças nas configurações de tempo, é recomendável
que elas sejam registradas e marcadas.
Sempre que possível, anote quaisquer identificadores de
dispositivos e componentes associados, como números de série,
números de licença, composição, modelo, fabricante e identificadores
(mesmo lesões físicas).
Instruções

No cumprimento das leis de sigilo, os agentes devem ser

devidamente instruídos pelas autoridades competentes antes de
realizarem tarefas no processo de cobrança ou aquisição. Essas
instruções devem ser suficientes para prepará-los adequadamente
para desempenhar suas funções e responsabilidades, garantindo
assim a extração de todas as evidências digitais potencialmente
relevantes.
Evidência digital específica
É necessário adotar diretrizes específicas na coleta ou obtenção
de provas digitais, a fim de informar ao agente os detalhes básicos da
investigação. Durante a fase educacional, recomenda-se fornecer ao
agente informações relevantes e instruções detalhadas sobre o tipo de
evidência digital a ser coletada ou obtida. Isso pode incluir:
• Detalhamento do evento (se conhecido);
• Data e hora da ocorrência (se conhecida);
• Plano de ação (coleta ou aquisição, atividade de rede, dados
voláteis);
• Especificar as ferramentas necessárias para obter provas digitais;
Coleta ou Aquisição

Ao priorizar as etapas entre a coleta ou a obtenção de evidências

digitais, o agente deve estar ciente de todas as circunstâncias sob as
quais as possíveis evidências digitais estão sendo coletadas ou
obtidas. No entanto, pode ser necessário priorizar projetos por
volatilidade e/ou valor demonstrado quanto à sua relevância. Itens de
valor probatório altamente relevantes são aqueles com maior
probabilidade de conter dados diretamente relacionados ao incidente
sob investigação.
Coleta ou Aquisição

A evidência digital pode ser dividida em duas categorias, Dados

voláteis ou não voláteis. Essas definições se aplicam à memória (o
componente de armazenamento de informações). A memória RAM é
considerada um tipo de memória "volátil" porque todos os dados que
não são armazenados permanentemente serão excluídos quando o
computador for desligado. A memória ROM e outros dispositivos de
armazenamento de dados são considerados "não voláteis" (pendrive,
HD, SDCard, etc.)
Coleta ou Aquisição

Após a identificação, o agente recomenda:

• Dar prioridade as potenciais evidencias digitais que corram o risco

de serem perdidas pra sempre quando o equipamento for desligado
• Obtenção rápida dos dados utilizando métodos válidos

Obs: Se houver suspeita de criptografia ou malware, os dados voláteis

devem ser coletados.
Preservação da evidência digital
Durante o processo de preservação de possíveis evidências
digitais e dispositivos digitais O manuseio e acondicionamento desses
artefatos são essenciais de forma a minimizar a possibilidade de serem
roubados ou falsificados.
A espoliação pode ser causada por degradação magnética,
degradação elétrica devido a fatores como alta temperatura, exposição
a alta ou baixa humidade, choque e vibração.
A adulteração pode resultar da falsificação ou alteração intencional
de evidências digitais. Por esta razão, é imperativo tratar “cópia” de
provas digitais e utilizar o mínimo possível os dados originais.
Preservação da evidência digital
A atividade mais importante no processo de preservação é a
preservação da integridade e autenticidade da evidência digital e sua
cadeia de armazenamento. O dispositivo digital coletado e as provas
digitais realizadas devem ser armazenados em local adequado, com
controles de segurança física, controle de acesso, sistemas de
monitoramento ou sistemas de detecção de intrusão ou outros
controles ambientais para preservação das provas digitais. Objetivando
a segurança física para proteger e prevenir perdas, danos e
adulterações, e para garantir a audibilidade quando apropriado.
Coleta de evidência não digital

Os agentes são aconselhados a considerar a coleta de evidências

não digitais. Para isso, o líder da equipe deve identificar o responsável
pela instalação no local. Essa pessoa pode fornecer informações e
documentos adicionais, como senhas e outros detalhes para
dispositivos digitais. O agente precisa registrar os nomes e títulos
dessas pessoas.
Coleta de evidência não digital

Durante a coleta dessa prova oral, o agente pode solicitar

informações como configuração do sistema e senhas de
administrador/raiz. Essas informações adicionais podem ser úteis
durante a etapa de processamento de evidências digitais. Recomenda-
se que essas conversas sejam gravadas para garantir a precisão dos
detalhes e para garantir que o depoimento gravado não seja alterado.
Os agentes precisam estar familiarizados com os requisitos legais
associados à coleta de evidências não digitais.
Dispositivos digitais de missão crucial

Essencialmente, são dispositivos digitais que não podem ser

interrompidos ou desativados, como servidores de data center,
sistemas de vigilância e sistemas médicos. Se o dispositivo digital não
puder ser desligado, uma captura parcial e/ou uma captura instantânea
deve ser realizada.
Aquisição parcial de evidencia digital

As aquisições parciais devem ser feitas quando não dispomos de

outra forma para tal, como por exemplo:
• O sistema de armazenamento é muito grande para ser adquirido
(como um servidor de banco de dados);
• Um sistema é muito importante para ser desligado;
• Limita o escopo quando aplicado por autoridade legal, como um
mandado de busca e apreensão.
Aquisição Imediata

A recuperação imediata serve para extrair dados voláteis de

dispositivos que ainda estão em execução. O acesso instantâneo a
dados voláteis direto da memória RAM pode fornecer informações
valiosas, como o status da rede e descriptografia de senhas e
aplicativos.
Conclusão

Neste presente trabalho foi abordado o tema de regulamentação

de atividades específicas para o tratamento e aquisição de provas
digitais e que conclui-se que, o trabalho do perito digital utiliza-se de
várias técnicas, normas e leis que regem a aquisição de evidencias
digitais.
Quando trata-se de uma evidencia digital todo cuidado é pouco
para não perde-la, adultera-la ou modifica-la. A forte recomendação é a
cópia da evidencia para manipulação, para não haver risco de perder a
evidencia original.
Referências Bibliográficas

• https://academiadeforensedigital.com.br/iso-27037-diretrizes-para-
identificacao-coleta-aquisicao-e-preservacao-de-evidencia-digital/

• https://www.abntcatalogo.com.br/