Tenho um pen drive da Kingston com uma capacidade de separar um tanto de sua capacidade para uma área protegida. Essa área só se torna acessível depois de autenticada por um programa (SecureTraveler).
É possível formatar o pen drive através dele, indicando o quando queremos de espaço para essa área protegida. O restante fica para a área pública.
Em meus testes de Forense Computacional, fiz algumas imagens desse pen drive. Em meio aos estudos, me ocorreu que em nenhum momento a tal área protegida foi detectada, por nenhum dos softwares utilizados para a captura da imagem forense.
Por conta disso, percebi que seria possível a um usuário usar esse tipo de artifício para esconder artefatos e evidências. Pior, dependendo do que a Kingston "aprontou", essa mesma técnica pode ser portada para HDs, e teremos aí um ponto de preocupação. Isso porque, para o invertigador atento, não é difícil perceber que o tamanho da imagem não bate com a capacidade escrita no label do pen drive (a maioria afirma sua capacidade externamente, indicando pen drive marca xxx, 512Mb, por exemplo). Porém, a dificuldade nesses casos seria muito maior em caso de HDs, já que nem sempre o acessamos fisicamente para fazer a imagem, de forma a ler suas etiquetas e saber que nominalmente o HD em nossas mãos tem 100Gb, e não 80Gb, como a imagem obtida.
Bom, uma vez pontuada a minha preocupação, fui a caça de entender o que o tal programa faz. Não cheguei muito longe, confesso. Consegui verificar que ele mantém um MBR com apenas uma partição, corretamente indicando seu tamanho previamente setado. Quando chamamos o programa SecureTraveler, ele nos pede a senha, e após a autenticação, o programa fecha automaticamente a janela que exibia arquivos da área publica do pen drive. Ao abrir novamente o explorer (ou outro file manager), já nos deparamos com o conteúdo da área privada. Analisei o pen drive novamente, e verifiquei que ali havia um MBR corretamente setado, com uma partição indicando valores corretos para o tamanho de área privada que eu havia setado anteriormente.
Outros fatos observados:
- Enquanto logado na área privada, o tal programa SecureTravaler fica sempre na memória. Para sair dessa área, retornando a área publica, usa-se um atalho para o próprio programa.
- Como esse sistema e a autenticação funciona em qualquer máquina, a senha obviamente fica armazenada no próprio pen drive.
- Retirei o pen drive sem usar o procedimento de logoff da área privada. A máquina tinha reinicializado, e no seu retorno, a área pública veio disponibilizada. Imagino que isso aponte para uma estratégia onde o programa, na memória, faz todas as traduções entre o que está lá, fisicamente, e o que se pediu, logicamente.
- Um passo interessante poderia ser desassemblar o código para aprender mais sobre a estratégia. Não cheguei nesse passo.
- Como há uma afirmação nos guides do produto, indicando que não é possível setar 100% da capacidade para a área protegida (o máx é 90%), e isso vale para qualquer tamanho de pen drive, podemos supor que realmente o programa deve utilizar alguns setores pré-marcados para guardar as configurações, a senha e o hint dela.
Não estou a par de nenhum caso real onde essa estratégia, ou alguma semelhante, esteja sendo aplicada em HDs. Ainda assim, creio que vale a pena pesquisarmos isso, e tentar mapear uma forma de descobrir se o HD sendo capturado está vindo inteiro.
Alguém já teve conhecimento desse tipo de estratégia ? Gostaria de ver comentários sobre isso, ou talvez alguma discussão de pontos a observar.
Até o próximo post !
**** Editado em 4 de fevereiro de 2008 ***
Má notícia: Estava passeando pela web esses dias e dei de cara com um software que faz exatamente o que esse faz, mas é genérico e também atua em HDs externos, anexados via USB. Isso confirma as minhas suspeitas ...
3 comentários:
Comprei um pen drive da kingstone e na hora de iniciar acabei colocando 90% da area dele como privada, pois achei que era um procedimento normal. Mas agora eu gostaria de diminuir ou se possivel zerar esta area privada. ja tentei formata-lo mas nao adiantou. Voce sabe dizer se este procedimento é possivel. Se for, como faço?
obrigado.
Ao formatá-lo, vc provavelmente perdeu o programa que vem com ele. Vá no site da Kingston e procure pelo programa, que é específico para o seu modelo de pen drive. Coloque o programa na raiz do pen drive e use-o para zerar a parte reservada à área privada.
bom tenho um pendrive datatraveler 101 dt101 q apos uma chuva de virus aumetou a area restrita e vive dando bug p armazenar arqvos, diz q esta protegido contra gravação, gostaria de uma ajuda sua, para acessar essa area pois creio q algo foi colokdo nessa area pelos virus...
Postar um comentário