Integridade

Aquisição, Cadeia de Custódia, Cyber Security, Incident Response, Resposta a incidentes, Segurança Cibernética

A integridade, dentro do conceito da tríade CIA (Confidencialidade, Integridade e Disponibilidade) da segurança cibernética, garante que a informação estará sempre correta e será fornecida de maneira confiável para os usuários autorizados. Ela é importante para proteger tanto contra alterações não autorizadas por atividades maliciosas, como também contra erros e modificações não autorizadas realizados pelos usuários autorizados, sendo que tais proteções devem observadas tanto nos dados armazenados, com naqueles em trânsito e também em processamento.

Ademais, a manutenção da integridade também significa que um objeto está com sua consistência mantida, de modo que reflete corretamente uma característica que se deseja para os seus usuários autorizados, sendo ainda válido e verificável.

Em alguns casos a integridade pode ser dependente da confidencialidade, como, por exemplo, em uma transação bancária. Em outras situações ela pode ser independente, sendo esse o caso na verificação de uma assinatura digital (ou hash).

Um algoritmo de hash é uma função matemática que calcula o valor de uma entrada arbitrária de bits, gerando uma espécie de assinatura (sumário ou valor de hash ou message digest) de tamanho fixo (que usualmente varia entre 56 e 512 bits) para a evidência, que pode ser um arquivo ou mesmo um disco rígido inteiro. A sua segurança reside no fato de que é computacionalmente fácil calcular o sumário, mas não é possível fazer o inverso. Além disso, o hash deve ser possuir um baixo índice de colisão, ou seja, ser bastante difícil encontrar a existência do mesmo sumário em diferentes entradas.

Os hashes devem ser calculados para todo tipo de evidência, seja um disco rígido, memória ou conexões de rede, e são importantes para a devida cadeia custódia, onde se busca garantir a autenticidade e a integridade. Sempre deve ser utilizado um algoritmo aceito como adequado e com a menor possibilidade de colisão.

O NIST (National Institute of Standard Technologies) dos EUA, publicou o NISP Special Publication 800-107 Revision 1 em agosto de 2012, no qual aprovou sete algorítimos de hash, conforme especificado no FIPS-180-4: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 e SHA-512/256.

Em agosto de 2015 (revisto em março de 2020) foi publicado pelo NIST o FIPS 202, que especifica a nova família SHA-3 de funções de permutação baseadas em KECCAK como resultado da competição de algoritmo de hash criptográfico “SHA-3”: quatro algoritmos de hash de comprimento fixo: SHA3-224, SHA3-256, SHA3-384 e SHA3-512; e duas funções de “saída extensível” intimamente relacionadas (XOFs): SHAKE128 e SHAKE256.

Assim, em março de 2021 a página do NIST indicava que os 4 algoritmos de tamanho fixo do padrão SHA-3 eram considerados com sendo os aprovados, oferecendo alternativas à família de funções de hash do SHA-2.

Uma vez que o hash da evidência digital esteja calculado, esta poderá em tese ser armazenada em qualquer local. Inclusive o próprio FBI recomenda que em alguns casos as evidências sejam armazenadas em RAID1.

A seguir são elencados alguns outros conceitos que estão relacionados com a integridade:

  • Autenticidade: propriedade que garante algo ser verídico, genuíno, fidedigno. Apesar de ser um conceito derivado da integridade, observa-se que alguns autores, equivocadamente ao nosso ver, definem que os conceitos básicos da segurança da informação são quatro: Confidencialidade, Integridade, Disponibilidade e Autenticidade;
  • Não repúdio: qualidade que impede que alguém queira negar de ter executado alguma ação, como por exemplo assinar digitalmente um documento;
  • Exatidão: propriedade que garante que não há erro, omissão ou fraude, ou seja, reproduz fielmente uma realidade;
  • Completude: qualidade que afirma como certo que todos os componentes necessários fazem parte e integram a informação;
  • Compreensivo: qualidade que determina ser completo em seu escopo;
  • Responsabilidade (accountability): ser responsável por ações ou resultados ou ainda podendo significar possuir controle sobre algo; e
  • Validez: propriedade que garante uma fundamentação ou lógica.

As violações de integridade podem ter origens tanto externas como internas, sendo que as salvaguardas que protegem a integridade contra as ameaças incluem várias formas diferentes, mas não limitadas a: rigoroso controle de acesso, criptografia e hashes, sistemas de detecção de intrusão, checagens de entradas de dados e de funções, procedimentos de autenticação, etc;

Enfim, é sempre bom lembrar, a integridade na perícia digital deve sempre ser buscada em função de ser um elemento essencial para garantir a avalidade de uma evidência, pois, qualquer alteração nos mecanismos de checagem da integridade pode ser um indicativo de que a evidência foi (indevidamente) manipulada, podendo levar até mesmo a invalidação da mesma.

1http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/april2008/standards/2008_04_standards03.htm