Procedimentos técnicos do PoP-BA

PR-111 - Processo de Análise Forense em Sistemas Comprometidos
Data Criação:
Data Revisão:

1. Objetivo

Este documento descreve o processo de análise forense nos sistemas comprometidos em tratamento pelo CERT.BA.

2. Aplicação

Este processo se aplica ao CERT.BA.

3. Definições

4. Descrição das etapas

O processo P-GI-004 inicia com a chegada de uma imagem a ser analisada, que pode ser via o processo de tratamento de incidentes ou através de uma solicitação direta. Inicia-se, então, as duas fases do processo:

Preparação

Esta fase consiste no cadastro do sistema no Sistema de Tratamento de Incidentes (STI) do CERT.BA. Nos casos de solicitação direta, em se tratando de um sistema de um cliente do PoP-BA, deverá ser feito também o cadastro na ferramenta de tratamento de incidentes do CERT.BA RT.

Os cadastros realizados serão importantes para a realização das estatísticas relacionadas com o serviço de análise forense.

A imagem deverá ser salva no servidor lencois, no diretório /imagens/[NUM], onde NUM representa o identificador da imagem. Este identificador é obtido no cadastro da imagem no STI e corresponde ao número no final do nome do tópico criado (ImagemXX). Em seguida, para garantir a integridade da imagem, deverá ser gerado um hash da mesma:

# md5sum [imagem]

Esta imagem, assim como o seu hash md5, deverão ser mantidos inalterados, devendo o responsável gerar uma cópia para a realização da análise na mesma.

Análise de Imagem

Nesta fase, a equipe responsável pela análise forense da imagem deverá identificar:
  • As alterações no sistema
  • Como ocorreu as alterações
  • Comandos utilizados e quando
  • Programas instalados
  • Como ocorreu a invasão
  • Arquivos encontrados

Em seguida, deverá ser desenvolvido o relatório da análise contendo a reconstrução de eventos com o histórico das ações realizadas pelo invasor, como e quando ocorreu a invasão e qual a extensão do comprometimento no sistema.

O relatório deverá ser anexado ao STI, no tópico da Imagem em questão.

5. Responsabilidades e Autoridades

6. Fluxograma

ProcessoAnaliseForense.png

7. Documentos Relacionados

8. Referências