sábado, 7 de junho de 2008

Helix x ReiserFS

Está acontecendo um debate muito interessante em uma lista de discussão internacional sobre Forense Computacional.

A controvérsia é se o Helix altera ou não o journal do ReiserFS. Um dos participantes levantou a questão, trazida por um de seus alunos, e o criador e mantenedor do Helix, Drew Fahey, inicialmente negou de forma veemente que o Helix fizesse qualquer atualização ou alteração indevida em qualquer sistema de arquivos, mesmo os que mantêm estruturas de journaling.

Depois de uma briga boa, Drew finalizou os testes e acabou de postar os resultados. A versão 1.9a do Helix realmente permite a alteração do journaling, mesmo que montado como read-only. Ele identificou a raiz do problema e se comprometeu a incluir a correção na próxima release, que segundo ele estará liberada em 60 dias. Tendo dito isso, gostaria de deixar dois dedim de prosa:

1) Tomem cuidado quando estiverem manipulando imagens forenses. Digo isso porque esse problema não acontece quando se está fazendo a aquisição da imagem, pois ela não é montada nessa hora. O problema acontece quando o perito monta a imagem para iniciar sua análise. Não importa indicar o parâmetro de read-only, pois com esse problema, o hash da imagem nunca mais vai conferir com o hash da mídia original, o que pode comprometer todo o laudo pericial.
Solução de contorno 1: sempre faça suas análises em uma cópia da imagem, incluindo nos seus procedimentos um hash/conferência antes e outro no final da análise. Caso eles não sejam o mesmo, e a causa seja essa discutida aqui, envolvendo journaling, simplesmente descarte o arquivo no final. Logicamente, documente o que aconteceu no laudo ou relatório.

2) Esse assunto me despertou para uma reflexão. Estamos ainda fazendo verificação da integridade usando hashs sobre a imagem inteira, mas esse método ficará inválido em pouco tempo. Estamos cada vez mais caminhando para novos rumos em termos de Forense Computacional. Entre eles, a Forense de Memória e o Live Forensics, onde a análise é feita em uma máquina em operação. Ambos os métodos são aplicáveis e úteis, quando a situação os requer. No entanto, em ambos não temos como comprovar a integridade usando os métodos atuais.

Gostaria de receber comentários a respeito disso, e de quais rumos a verificação de integridade vai acabar tomando. Vamos debater !

Até o próximo post !

4 comentários:

Fellipe Henrique disse...

Amigo, não sei se é o local certo, mas venho acompanhando seu blog - muito bom por sinal - estou querendo seguir carreira nesta área, gostaria de uma dica sua, onde procurar emprego, se vale a pena ser empregado de uma firma ou se vale a pena abrir uma empresa nesta área, ou seja, coisas afins da área. Se puder podemos discutir melhor em PVT.

Fico no aguardo,

[]s

Tony Rodrigues disse...

Obrigado pelo feedback, Fellipe.
Vou tentar manter a resposta aqui, em um novo post, ok ?

Oribe disse...

Boa tarde Tony!

Como fica a perícia em caso de crime cujo meio foi um thinclient ou mesmo um PC bootado com live CD?

Parabéns pelo Blog!!!

TFA

Tony Rodrigues disse...

Obrigado pelas palavras, Oribe.

Em todos os casos, leve em consideração três coisas:
1) O Princípio de Troca de Locard
2) A Primeira Lei da Forense Computacional (Sempre há evidências)
3) Não há crime digital perfeito

É muito comum que olhemos apenas para a máquina quando falamos sobre crimes virtuais. Dessa forma, thinclients e LiveCDs deixam alguma interrogação. Mas, na verdade, Forense Computacional trata de localizar artefatos que se comprovem evidências da ação criminosa, e neste caso, temos:
- Artefatos nos servidores por onde o usuário passeou.
- Artefatos no servidor do thinclient
- Artefatos em outras mídias que o usuário possa ter usado (uma memória flash, um pendrive, etc)
- Artefatos na infra de onde foi acessado (logs do firewall, logs do proxy, etc)
- Artefatos do local (log de entrada na sala, log do estacionamento, log da catraca do prédio, imagens da câmera, etc)

Nem sempre é possível localizar os artefatos, mas sabemos que eles existem. Em muitos casos, quando se investiga uma situação assim, e não se chega a muita coisa, monta-se um ambiente de "campana virtual", onde as suspeitas são vigiadas (um sniffer, por exemplo). Crimes virtuais tem uma aura de anonimidade, e dificilmente o culpado faz apenas uma vez.
[]s