Pular para o conteúdo
Tags

, , , , , , ,

O Papel do First Responder

16 de janeiro de 2011

Um first responder é a primeira pessoa a responder a um incidente. Entendamos que responder significa uma ação qualificada, e não simplesmente ligar para um determinado número dizendo que as luzes estão apagadas ou todas acesas. Essa pessoa é apenas a primeira a identificar o incidente, e não a primeira a responder

Em um incidente de segurança, o first responder vive dois dilemas:

1) Recuperar o ambiente o quanto antes ou preservar as evidências

2) Manter o dispositivo ligado e preservar as evidências da memória mais volátil ou desligar e garantir que nenhuma alteração será feita nas memórias mais persistentes (Ex: HD)

Se por um lado o first responder deve estar próxima e disponível para responder rapidamente a um incidente (e por esse motivo normalmente não é a pessoa mais qualificada da corporação), por outro lado ele deve estar preparado para lidar conter o incidente identificando-o e preservando a cena do crime, assim como as evidências, mesmo as encontradas na memória volátil.

O first responder prepara o caminho para o investigador, que estabelece a cadeia de custodia, investiga a cena do crime e preserva a integridade da evidência. Este por sua vez é sucedido pelo técnico, que preserva a evidência volátil, duplica disco, desliga, rotula, embala e registra os equipamentos para transporte, além de posteriormente processar a evidência. Essas são funções (roles) que podem se acumular em uma mesma pessoa ou ser desempenhadas por pessoas diferentes, de acordo com o tamanho e disponibilidade da equipe.

Os first responders nunca devem ultrapassar suas qualificações, ou seja, as pessoas que entrarem em contato com as evidências nunca devem tentar explorar o conteúdo ou recuperar informações de um computador se não forem preparadas para tal, sob pena de destruir ou inutilizar juridicamente as evidências. Se esse for o caso, é importante que não se pressione nenhum botão, tecla ou movimente o mouse. Apenas uma pessoa com o conhecimento adequado poderá operar o dispositivo eletrônico com um risco menor de comprometer as informações existentes no mesmo.

Historicamente, a bibliografia forense nos aponta uma grande quantidade de utilitários que podem ser utilizados no momento em que o equipamento se encontra ainda ligado (live response). Encontramos utilitários para detectar conexões, processos de memória, módulos de kernel, etc. Mas temos que admitir que além de lento e complexo, esse processo é vulnerável à ação de rootkits, que podem prejudicar a saída dos comandos. Para piorar, os procedimentos de ˜Live response” não são reproduzíveis em corte.

Na maioria dos casos, o melhor caminho seria treinar o pessoal de TI (normalmente os primeiros a atender um incidente) para que realizem um despejo de memória, e documentem o hash do arquivo gerado. Esse procedimento é mais simples rápido e salva todas informações na memória volátil, liberando o equipamento para ser desligado, e consequentemente recuperado mais rapidamente (assim que a memória persistente for salva).

Uma vez que temos uma imagem persistente, podemos utilizar ferramentas de “Memory analysis”, que trazem as mesmas informações possíveis de ser coletadas em um Live response, mas com a vantagem de não termos a interferencia do sistema operacional comprometido e de ser um procedimento facilmente reproduzível em corte.

As vantagens da “Memory analysis” sobre o “Live response” serão alvo de um novo artigo em breve.

From → BCP/DRP, Forense, Gestão

3 Comentários
  1. Sandro Suffert permalink

    Olá Fernando, tudo certo?

    Parabéns pelo post. Realmente a importância do primeiro contato com o ambiente afetado por um incidente de segurança pode significar a diferença entre a usabilidade em corte dos dados obtidos durante a posterior análise ou não.

    É claro que uma preparação do ambiente (e dos 1st Responders) é fundamental para que isto seja executado com sucesso. Precisamos também considerar que não existem dois ambientes ou duas equipes iguais, então bastante adequação precisa ser feita para aplicar as referências que cito abaixo.

    Dito isto, gostaria de contribuir com algumas referências de material do CERT (apesar de terem sido publicados em 2005, continuam relevantes sob o ponto de vista macro – deve-se considerar apenas modificações de upgrades/novas ferramentas).

    First Responders Guide to Computer Forensics – http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf

    First Responders Guide to Computer Forensics – Advanced Topics –

    Clique para acessar o 05hb003.pdf

    Este é um documento que sempre me apoio ao discutir a superioridade do dump e análise de memória sobre o “live response”:

    Clique para acessar o 08tn017.pdf

    Quanto à material atualizado sobre aquisição e análise Forense de Memória – eu publiquei recentemente algum material sobre o assunto neste link: http://sseguranca.blogspot.com/2010/08/docencia-no-mestrado-em-informatica.html

    um grande abraço,

    Sandro Süffert
    http://blog.suffert.com

    Responder
  2. Alexandre Teixeira permalink

    Fala Fernando!

    E por falar em “First Responders”, aproveitando a lista do Suffert, adicionaria esta referência super interessante, publicada pelo departamento de justiça americano:

    Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition

    Clique para acessar o 219941.pdf

    Apesar de o documento ser de Abril de 2008, também é uma ótima fonte para se ter como referência. Documento extremamente bem ilustrado e com explicações bem claras, vale uma “folheada”.

    Abraço!

    Alexandre
    http://foren6.wordpress.com

    Responder
  3. José Antonio Milagre permalink

    Fernando,

    Pertinente seu artigo, recentemente estava ministrando treinamento para equipe de militares e um ponto foi amplamente debatido o qual coloco em complemento a seu artigo.

    O Itiniano normalmente confunde o first responder como atendente de primeiro nível em um service desk o que é um equívoco, se o incidente chegou ao first responder, é porque ele foi catalogado, diagnosticado e a intervenção preservacional é necessária (para efeitos legais), logo ele foi escalonado para isso dentre a equipe de especialistas na gestão de problemas (Ou outsourcing). Atenção, não esperem um “first responder” via 0800 ou algo parecido, pelo menos por enquanto, porém este profissional pode atuar via “network analysis”, o que hoje ainda é meio “CSI” considerando a estrutura brasileira.

    Outro ponto, na área pública, comumente quem será o first responder é o próprio policial civil, eis que este é o primeiro que tem contato com o artefato (potencial evidencia), e deverá preservar o local até a chegada da equipe de forensics. Vejamos do CPP:

    Art. 6o Logo que tiver conhecimento da prática da infração penal, a autoridade policial deverá:

    I – dirigir-se ao local, providenciando para que não se alterem o estado e conservação das coisas, até a chegada dos peritos criminais;

    Assim demonstra-se indispensável que também na área pública tenhamos uma abordagem efetiva em crimes desta natureza.

    Apenas consignaria que em casos excepcionais, a cadeia de custódia inicia-se com o First e não com o investigador, como por exemplo, em crimes de propriedade intelectual (Software), onde busca e apreensão já é feita por peritos e os policiais só acompanham. Logicamente, aqui, já existe ato de coleta, e em se havendo primeira coleta, há necessariamente cadeia de custódia.

    Ficam as idéias, e ansioso pelo capítulo do livro.

    Atentamente

    José Antonio Milagre
    http://www.legaltech.com.br
    http://www.josemilagre.com.br/blog

    Responder

Deixar mensagem para Sandro Suffert Cancelar resposta

«
»