sábado, 23 de junho de 2007

Live Acquisition X Dead Acquisition

O meio mais comum de se fazer a aquisição de uma imagem forense continua sendo o boot por um live CD com utilitários de captura de imagem, desviando o arquivo para algum destino. Adaptamos o HD a ser duplicado em uma interface USB, de preferência protegido por um write-blocker, que é um dispositivo que bloqueia qualquer sinal de escrita que passe pela interface com o HD, impedindo qualquer alteração. Em geral, os CDs bootáveis dedicados a Forense Computacional (Helix, FCCU, FIRE, e outros) se preocupam em evitar qualquer escrita, mas como dizia meu avô, seguro morreu de velho... O write-blocker é um grande dispositivo para fazer investigadores dormirem tranquilos.
O processo é mais ou menos o mesmo: O investigador faz as devidas conexões, inicializa a máquina onde fará a duplicação bootando com o live CD, prepara o HD de destino e inicia a cópia.
Algumas vezes é impossível retirar o HD a ser duplicado da máquina onde ele está e nesses casos podemos reinicializar a própria máquina com o live CD. Esse processo é mais arriscado, pois é necessário assegurar que a ordem de inicialização na BIOS está devidamente alterada, indicando o CD como o primeiro device de boot. Vários artefatos poderão ser perdidos se, por engano, o HD a ser duplicado for acionado durante o boot da máquina.
Uma outra variação desse procedimento é quando não há como adaptar seguramente um HD para destino da imagem. Nesses casos é comum ter na máquina onde está sendo feita a duplicação o utilitário netcat, enviando por rede os dados para serem escritos em outra máquina, onde estará o HD de destino.
Pois bem, esses procedimentos e suas variações são conhecidos como Dead Acquisition. O HD a ser duplicado não está sendo escrito pelo sistema operacional em nenhum momento, e não apenas é o meio mais indicado para se fazer a captura, mas também o único que cobre os requisitos da RFC 3227, que dá diretrizes sobre isso, e contém as regras que tornam evidencias colhidas válidas nas cortes americanas. Entre outras coisas, dessa forma podemos atestar a validade da imagem como duplicação perfeita (bit a bit) do HD original. Em geral, funções HASH são usadas com esse objetivo.
Recentemente, acompanhei alguns posts na lista Windowsforensicsanalysis onde comentava-se sobre um outro procedimento de captura, referenciado por live acquisition. Seria um procedimento com o mesmo objetivo que os descritos anteriormente: capturar uma imagem que é a duplicação exata de um HD. A diferença dessa técnica é que o HD está em uso e montado pelo SO. Estranho, né ? Mas é válido.
Alguns motivos:
- A máquina a ser analisada é um servidor 24x7 que não pode sair do ar;
- A máquina usa uma unidade de storage ou RAID e não há drivers disponíveis que consigam acessar o seu conteúdo;
- Outros casos onde o tempo de captura é crítico.

Vale lembrar que em todos os casos discutidos, não houve comentários sobre como comprovar a duplicação exata dos dados, até porque como o HD está recebendo escritas, seu estado ao final da geração da imagem será com certeza diferente de quando o processo de captura da imagem começou, e os HASHs nunca coincidiriam. Evidências obtidas em casos como esses não seriam aceitas nas cortes americanas como provas, mas valem em investigações privadas, desde que todos estejam cientes desses detalhes e aceitem o procedimento de olho nos benefícios que ele dá.

Gostaria de ver comentários de quem já usou essa técnica. Alguém se habilita ?

Até o próximo post !

2 comentários:

81duz1d0 disse...

Olá,
sou programador e analista de sistemas e vi esse blog no orkut.

Qto à não-confirmação do hash, eu acredito numa alternativa para isso: a cópia é feita na presença de um analista externo (não envolvido com o caso) então ele retira o hash da imagem gerada e guarda-o. Como o crime aconteceu antes da coleta, as evidências estariam na imagem.

abraço!

Tony Rodrigues disse...

Olá, 81duz1d0

Vc tem razão, essa é uma saída. O nome disso é Ata Notarial.

O Perito traz com ele à tiracolo um agente de um cartório para fazer a Ata Notarial, que seria uma espécie de autenticação de tudo que o perito fez. Como ele tem Fé Pública, ele vai atestar que embora o hash da mídia não seja igual ao hash da imagem (pois a mídia está em uso), o processo foi realizado conforme descrito.

Daí para frente, o processo de uso do hash para confirmação da integridade continua o mesmo.

Em alguns dos exemplos que comentei, vale até mesmo realizar cópias de arquivos mais importantes usando esse processo.

Esse também é o processo indicado para confirmar integridade de operações envolvendo Network Forensics.

Embora essa questão da Ata Notarial resolva o nosso lado, em muitos países esse processo não existe, e há imensas discussões nas listas em torno desse assunto. Vejo muito uma comparação desse procedimento com o fato de se tirar uma foto de algo se movendo. Há sempre a possibilidade da foto ficar um borrão ...

Abraço