quinta-feira, 7 de agosto de 2008

Cuidado com o novo AccessData FTK

Li um artigo muito interessante hoje sobre o novo FTK, da AccessData. Este software é bem conceituado no mercado, e concorrente do EnCase, da Guidance.

Acontece que a nova versão do FTK traz, dentre algumas melhorias, uma que pode ser considerada um tanto perigosa. É possível acompanhar detalhes dos casos via web, pelo browser. Ou seja, você pode publicar seu servidor de casos e acessá-lo remotamente, passeando pelas evidências e detalhes já cadastrados para o caso. É aí que mora o problema ...

Como o HogFly bem notou e escreveu em seu blog, se você estiver trabalhando em um caso de Pedofilia, e acontecer de acompanhar as fotos-evidências remotamente, invariavelmente o seu Internet Explorer vai fazer o cache do que você está vendo. Pode ser que isso comprometa o investigador, ou até mesmo o dono da máquina, pois o cache vai guardar e, para todos os fins, atestar que alguém está acessando conteúdo de pedofilia naquela máquina. É possível que, além do cache, outros artefatos existam, tais como um cache de thumbs.

Preocupante, não ?

HogFly também aponta outras coisas, como a possibilidade de ter esse servidor explorado. Concordo com ele. Servidor de casos ou um servidor de Forense Computacional não é para ficar pendurado na internet.

O que vcs acham ? Algum usuário do FTK ? Participem !

Até o próximo post !

4 comentários:

Alessandro Pereira disse...

Espantoso constatar como uma nova versão de um software para um fim que deveria ser seguro pode expor de tamanha forma seu operador remoto. Esta é mais uma prova que nos leva a refletir sobre a avaliação de uso destes programas, em sua forma online. Talvez seja realmente melhor deixar o equipamento sem acesso via web / rede.

Tony Rodrigues disse...

É verdade, Alessandro.
Só para reforçar, a questão desse software não é um bug, mas um erro no design (na minha opinião). Tentou-se flexibilizar e dar algumas facilidades ao Investigador, mas no final abriram um problema ...
Uma dica boa para isso, pelo menos com relação ao problema do que fica em cache: Usar o SODP, software da Symantec que cria uma máquina virtual ao acessar um site, e ao final ele desmonta o drive e o apaga, não deixando nada na máquina. É muito bom, nós usamos aqui para proteção de endpoint.
[]s

MBORILE disse...
Este comentário foi removido pelo autor.
Unknown disse...

Pessoal, meu inglês não tão bom. mas acho que estes softwares monitoram menságens de celulares né? eu gostaria de recuperar mensagens excluídas de um andróide.

Poderiam me ajudar?