SANITIZAÇÃO
Por: Vinícius Machado de Oliveira
Estudo acerca de metodologias e boas práticas sobre Aquisição Forense de Imagem para fins de documentação e criação de acervo de conteúdo voltado â Segurança Cibernética e Forense Digital na Academia de Forense Digital
Orientador: Renan Cavalheiro
SUMÁRIO
INTRODUÇÃO
1 PRESERVAÇÃO DE EVIDÊNCIAS DIGITAIS
2 MÍDIAS DE ARMAZENAMENTO
3 RECUPERANDO ARQUIVOS DELETADOS
4 SANITIZAÇÃO
4.1 PADRÃO DOD 5220.22-M
4.2 OUTROS MÉTODOS DE SANITIZAÇÃO
CONCLUSÃO
Introdução
Compreendido em Forense Digital, o processo de sanitização de mídias de armazenamento de dados, consiste em limpar, apagar, de forma irreversível todos os dados de um dispositivo de armazenamento, ou seja, eliminar permanentemente suas informações residuais.
Dentro de sua rotina, o profissional em Forense Digital, eventualmente precisará esterilizar a unidade de armazenamento antes de alocar um novo caso, evitando assim a “contaminação cruzada” ou do inglês “cross contamination“.
Existem vários sinônimos para esse ato de apagamento: wipe, higienização de dados, destruição de dados, destruição de informações residuais, dentre outros. Ou seja, a sanitização é o processo de eliminação permanente de dados seja em Hds, pendrives ou do dispositivo que tenha dados de informações, impedindo assim a recuperação das informações.
1 Preservação de Evidências Digitais
Segundo a Norma ISO 27037:2013, convém que a evidência digital seja sempre preservada para garantir sua integridade como “objeto” questionado. O processo de preservação envolve a guarda da evidência digital assim como o dispositivo digital que pode conter a evidência digital contra espoliação ou adulteração.
Então, recomenda-se que não haja espoliação aos dados em si ou a quaisquer metadados associados a ele (data e horário por exemplo). Convém o agente seja capaz de demonstrar que a evidência não foi modificada, desde que ela foi coletada ou adquirida, ou de fornecer os fundamentos e ações documentadas se alterações inevitáveis forem realizadas.
Objetivando garantir a preservação dos dados contidos na mídia de armazenamento digital, deve, o profissional em Forense Digital, certificar que não contenham dados, tão pouco fragmentos de dados anteriores na mídia de armazenamento a qual serão alocadas as evidências digitais.
2 Mídias de Armazenamento
São dispositivos que contêm bits e bytes, como discos rígidos, memória de acesso aleatório (RAM), memória somente leitura (ROM), discos, memória flash, dispositivos de memória, telefones, dispositivos móveis de computação, dispositivos de rede, equipamentos de escritório e muitos outros.
Dispositivo de destino: deve o perito atentar para que a cópia seja realizada em um dispositivo de igual ou maior (recomendável) capacidade de armazenamento de dados. Cabe ressaltar a necessidade de certificar que a mídia de destino não contenha dados brutos em seu conteúdo, de maneira a não interferir no processo de análise na mídia duplicada.
3 Recuperando Arquivos Deletados
Muitas pessoas acreditam que ao simplesmente deletar um arquivo ele se torna irrecuperável. Essa crença é errada, pois quando um arquivo é deletado a única coisa apagada é o dado do ponteiro que remete à localização do arquivo no disco, fazendo com que o espaço apontado seja considerado livre para escrita de um novo dado.
Dessa forma, basta simplesmente recuperar e reorganizar os fragmentos de dados espalhados pelo HD (ou outro tipo de mídia), que o arquivo pode ser obtido inteiro ou parcialmente.
Então, para executar tal tarefa, basta somente utilizar uma ferramenta de recuperação de dados de acordo com as características do sistema de alocação de arquivos usados pelo sistema operacional. Qualquer pessoa pode encontrar uma dessas ferramentas hoje na WEB, devido também à sua grande utilidade prática no dia a dia de recuperar arquivos acidentalmente apagados.
4 Sanitização
Consiste em apagar, bit a bit, todo o espaço de armazenamento de dados no dispositivo de armazenamento de dados. Os dados contidos nos setores apagados são normalmente substituídos por zeros ou valores aleatórios.
Desta maneira, não sejam recuperados os arquivos de dados na unidade de armazenamento, nem mesmo através de métodos de recuperação de arquivos baseados em software, bem como os métodos de recuperação baseados em hardware, recuperem dados significativos da unidade de armazenamento.
4.1 Padrão DOD 5220.22-M
O método DoD 5220.22-M para sanitização de dispositivos de armazenamento de dados apareceu pela primeira vez, quando foi publicado pelo Departamento de Defesa dos EUA (DoD) no Manual Operacional do Programa Nacional de Segurança Industrial (também conhecido como “NISPOM”, ou documento do Departamento de Defesa #5220.22-M), especificou um processo de substituição de unidades de disco rígido (HDDs) com padrões de uns e zeros.
Então, o processo exige três etapas de substituição seguros e verificação no final do passe final. Isso foi em 1995, antes da estreia dos smartphones e do amplo uso de tecnologias de armazenamento.
Refletindo seus requisitos originais, o método de higienização de dados do DoD 5220.22-M, ou o método do DoD em 3 etapas, e é implementado da seguinte maneira:
- Etapa 1: Substituição de todos os locais endereçáveis por zeros binários;
- Etapa 2: Substituição de todos os locais endereçáveis pelos binários (o complemento do exposto acima);
- Etapa 3: Substituição de todos os locais endereçáveis com um padrão de bits aleatório;
Verifique a etapa de substituição final;
A sanitização de um disco rígido usando o método DoD 5220.22-M impedirá que todos os métodos de recuperação de arquivos baseados em software, bem como os métodos de recuperação baseados em hardware, recuperem dados significativos da unidade de armazenamento.
Em 2001, um memorando do Departamento de Defesa especificou métodos adicionais de substituição e verificação que foram aceitos como parte do “padrão”. O método DoD 5220.22-M ECE é uma versão estendida (7 etapas) do DoD 5220.22-M. Ele roda o DoD 5220.22-M duas vezes, com um passe extra (padrão do DoD 5220.22-M (C)).
4.2 Outros Métodos de Sanitização
Apagamento criptográfico (CE): É uma técnica emergente de higienização que pode ser usada em algumas situações quando os dados são criptografados à medida que são armazenados na mídia. Com o CE, a higienização da mídia é realizada higienizando as chaves criptográficas usadas para criptografar os dados, em vez de higienizar os locais de armazenamento na mídia que contém os próprios dados criptografados. As técnicas de CE geralmente são capazes de higienizar a mídia muito rapidamente e podem oferecer suporte à sanitização parcial, uma técnica em que um subconjunto da mídia de armazenamento é a higienização. A higienização parcial, às vezes chamada de higienização seletiva, tem aplicativos em potencial na computação em nuvem e dispositivos móveis. No entanto, o uso operacional da CE hoje apresenta alguns desafios. Em alguns casos, pode ser difícil verificar se a CE efetivamente higienizou a mídia. Se a verificação não puder ser realizada, as organizações devem usar métodos alternativos de higienização que possam ser verificados ou usar o CE em combinação com uma técnica de higienização que possa ser verificada. Essas características podem ser usadas para direcionar os tipos de perguntas que os usuários de mídia devem fazer aos fornecedores, mas, idealmente, essas informações seriam prontamente disponibilizadas pelos fornecedores.
Padrão Alemão BSI Verschlusssachen-IT-Richtlinien (VSITR): Desenvolvido pelo departamento federal alemão de TI, é similar ao anterior, porém utiliza 7 etapas. Nas primeira, um padrão de bits é escolhido e os setores sensíveis são sobrescritos com ele. Na segunda, utiliza-se o complemento do padrão de bits da primeira para sobrescrever os mesmos setores. Depois de repetir essas etapas por três vezes, utiliza-se o padrão de bits “010101” para a sobrescrita.
Algoritmo de Bruce Schneier: Utiliza 7 etapas, gravando “11111111” na primeira, “00000000” na segunda, e um padrão de bits aleatório nas etapas subsequentes. Esse método é considerado superior ao anterior, pois a natureza aleatória dos padrões torna mais difícil o investigador fazer qualquer suposição sobre o que estava gravado anteriormente. Porém, é bastante custoso criar o padrão aleatório de bits quando uma etapa de sobrescrição é realizada.
Algoritmo de Peter Gutmann: Trata-se de um algoritmo com 35 passos de sobrescrita do disco para a exclusão de dados. Foi desenvolvido pelo especialista em exclusão segura de dados, Peter Gutmann.
Método DSX da Real Polícia Montada do Canadá: A Divisão de Segurança Técnica da Real Polícia Montada do Canadá desenvolveu uma ferramenta, onde, gravando o padrão de bits “00” na primeira etapa, “11” na segunda, e um padrão de texto que consiste no número da versão do software e na data e hora em que ocorreu o apagamento.
Conclusão
No presente artigo, objetivou-se em detalhar a importância e conceitos básicos referente ao processo de sanitização de mídias digitais, quando empregadas na obtenção de evidências digitais.
Compreendido na Comunidade em Forense Digital em específico na etapa de Aquisição de Imagem em dispositivos de armazenamento de dados, deve, o perito certificar que não existam dados anteriores no dispositivo de armazenamento aonde serão alocadas as evidências digitais.
BIBLIOGRAFIA
CARDOSO,Thiago. Método DoD 5220.22-M HYPERLINK “https://www.gta.ufrj.br/grad/08_1/forense/ExclusoSeguradeDados.html”. gta.ufrj.br, 06 jun. 2006. Disponível em: <https://www.gta.ufrj.br/grad/08_1/forense/ExclusoSeguradeDados.html#Topic22>. Acesso em: 04 ago. 2020.
Reciclagem Brasil. Sanitização de Dados HYPERLINK “https://www.gta.ufrj.br/grad/08_1/forense/ExclusoSeguradeDados.html”. Disponível em: <https://reciclagembrasil.com.br/servicos/sanitizacao-de-dados>. Acesso em: 04 ago. 2020.
CBL Recuperação de Dados. Programa Para Destruição De Dados. Disponível em <https://cbltech.com.br/servicos/programa-para-destruicao-de-dados.html>. Acesso em: 04 Ago 2020.