quinta-feira, 17 de fevereiro de 2011

eDiscovery - Processo de Gerenciamento da Informação

Por Rodrigo Antão*

Seguindo o ultimo post que apresentou a estrutura integral do EDRM, agora vou me ater ao primeiro processo Information Management ou Gerenciamento da Informação.

Este item é o mais negligenciado na construção dos processos de investigação digital. O método mais comum (infelizmente) continua sendo a tratativa simplória nos processos de investigação digital: coleta de dados e procura por palavra-chave.

Nos processos de investigação de grandes volumes de dados é notório o alto custo da fase de revisão. Esta fase demanda contextualização dos dados e revisão humana. Para otimizar o custo das horas de revisão humana é preciso que as empresas tenham capacidade de gerenciar de maneira eficaz seus registros digitais, sabendo diferenciar dado de informação, quais são os custodiantes, o que possuem, onde estão e qual é o volume de dados que são passíveis de manipulação.

Quando o gerenciamento destes registros digitais é falho, especialmente atualmente quando o custo de armazenar dados digitais cai absurdamente, fica difícil segurar o ímpeto de liberar espaço inadvertidamente. É necessário deixar claro que quanto mais confuso o ambiente mais tempo e dinheiro serão gastos durante a fase de revisão.


"Nos processos de investigação de grandes volumes de dados é notório o alto custo da fase de revisão. Esta fase demanda contextualização dos dados e revisão humana. Para otimizar o custo das horas de revisão humana é preciso que as empresas tenham capacidade de gerenciar de maneira eficaz seus registros digitais, sabendo diferenciar dado de informação, quais são os custodiantes, o que possuem, onde estão e qual é o volume de dados que são passíveis de manipulação."

Em linhas gerais, a introdução do gerenciamento de informações envolve a definição de regras específicas para determinados tipos de conteúdo. Dentre os ganhos que as corporações conseguem com a implementação destes controles estão, entre outros:

- Capacidade de rastreamento das informações
- Controle do tempo de posse dos dados (TTL)
- Controle do poder de uso dessas informações pelos usuários

Para trazer luz a esta questão o time do Projeto EDRM criou um framework exclusivo para tratar o gerenciamento de informacoes. O framework escolhido foi o IMRM (Information Management Reference Model). A definição do IMRM segundo o site EDRM.NET é: Prover uma estrutura comum, prática e flexível.[1]

Este modelo define alguns principais atores:

• Usuários que precisam acessar informações para manter a organização funcionando
Departamentos de Tecnologia que precisam implementar o gerenciamento da informação
Departamentos Jurídico, de Riscos e de Regulamentações, que precisam entender o compromisso da empresa de preserver informação.

Para melhor compreensão do modelo o grupo de criação do EDRM criou e incentiva o uso do diagrama abaixo. De maneira básica o diagrama expõe os stakeholders, os processos e as áreas envolvidas no gerenciamento da informação.

Ao falar de governança unificada este framework também prega a união dos diversos departamentos da empresa que detêm poder ou influência sobre as informações: altos executivos, se preocupando com a lucratividade e a geração de valor; departamento jurídico, que identifica os deveres e obrigações legais corporativas; departamentos de Riscos e TI, que vão cuidar da disponibilização e segurança dos dados.



* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).


quinta-feira, 3 de fevereiro de 2011

Desafios e soluções para a perícia forense em dispositivos portáteis

Por Luiz Sales Rabelo*

A pergunta é: você consegue se imaginar hoje sem um aparelho de telefonia celular? A resposta provavelmente será NÃO. E essa dependência dos aparelhos celulares vai além da necessidade de comunicação das pessoas.

Os telefones celulares hoje vão muito além da função para o qual foram concebidos. Os chamados smartphones são capazes de integrar em um mesmo bloco de circuitos impressos, todas as funções esperadas de um telefone celular, tais como chamadas e mensagens SMS, somados a diversos recursos avançados, como uma câmera digital poderosa, uma filmadora HD, um receptor de GPS, um receptor de TV digital, um MP3 player, um cliente de e-mail, jogos, acesso a internet, e por aí vai... A capacidade de processamento de alguns smartphones é comparável a computadores de dois ou três anos atrás!

E para desempenhar tais tarefas, podemos contar com uma infinidade de fabricantes e diversos modelos, cada qual com uma interface de navegação diferente: os principais são Blackberry, Symbian, Android e iOS... Isso sem mencionar os menos populares (Palm WebOS, maemo, MeeGo), as interfaces proprietárias (Sony Ericson, Samsung, LG, Blackberry), as variações possíveis para as interfaces (Symbian v60, Symbian v90, Android 1.6, Android 2.0) e o ciclo de atualizações de cada versão de sistema operacional (iOS 3.2, iOS4.0, Android 1.5, Android 1.6...).

Talvez você até consiga navegar nos menus de um Blackberry Curve, um Motorola Android 1.6 e um Apple iPhone 4 para buscar o histórico de acessos web, histórico de chamadas discadas/recebidas/não atendidas, lista de contatos... Mas quando agentes de forças da lei realizam buscas e apreensões, Symbians, Androids e suas variações são apenas a ponta do iceberg...

E, como se este cenário já não fosse complexo o suficiente, alguns smartphones resolveram crescer e viraram tablets: iPad e Galaxy Tab são os principais exemplos desta turma que apresenta forte tendência para crescimento em 2011. Imagine o tipo de informação que poderemos encontrar nestes novos dispositivos tablets! Adicionamos à nossa lista inicial de informações sensíveis: arquivos de texto, planilhas eletrônicas, apresentações de slides, livros digitais, arquivos PDF...

Como realizar um dump da memória física de um Ipad/iPhone? Onde estão os contatos neste Motorola? As mensagens de texto deste Nokia Symbian, onde estão? Os e-mails deste Blackberry?


Observe que é complexo, praticamente impossível, traçar um paralelo entre uma investigação desempenhada em uma estação de trabalho rodando Windows ou Linux e outra em um dispositivo portátil: a forma de armazenamento dos dados é diferente, o tipo da informação armazenada é diferente (para o histórico de chamadas, por exemplo). Como realizar um dump da memória física de um Ipad/iPhone? Onde estão os contatos neste Motorola? As mensagens de texto deste Nokia Symbian, onde estão? Os e-mails deste Blackberry?

Como solução, poderia dissertar aqui centenas de páginas sobre onde estas informações estão dispostas no sistema de arquivos destes dispositivos e como recuperá-las, mas estão disponíveis no mercado livros e outras documentações que descrevem detalhadamente os passos para investigar estes dispositivos portáteis. Mas este processo manual seria viável para o caso de apreensão de um ou dois dispositivos suspeitos: imagine o trabalho de análise da apreensão de centenas de celulares?!


Já existem hoje no mercado soluções específicas para os mais variados tipos de dispositivos: TDMA, CDMA, GSM, iDEM... As diferentes formas de conexões de dados, muitas vezes proprietárias, também não são problemas: os fabricantes das soluções de investigação incluem kits contendo mais de 40 cabos específicos para cada modelo de cada fabricante, além de contar com interfaces infrared e bluetooth para a captura de informações nos dispositivos suspeitos.

A grande vantagem em se utilizar uma solução deste tipo é a simplicidade de operação e agilidade no tempo de resposta: uma vez capturada a informação do dispositivo, a mesma interface utilizada para vasculhar os dados de um dispositivo, será utilizada para todas as análises, sem necessidade do investigador se adequar aos menus do Blackberry ou Android... E na ocasião do lançamento de um novo modelo, basta atualizar o seu sistema de investigação para conseguir capturar as informações do novo dispositivo.

Vou falar um pouco mais sobre as soluções disponíveis para investigação de dispositivos portáteis em um próximo texto!

Aproveitando o ensejo, Rob Adams escreveu um artigo muito bom sobre este tema.


* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).