sexta-feira, 17 de outubro de 2008

Helix 2.0 - Feedback

Precisei usar o Helix recentemente em um trabalho e aproveitei para colocar a nova versão no front de batalha.

Estas são as minhas primeiras impressões e feedbacks sobre o produto. No resumo, ficou bacana.

1- É muito mais pesado do que o anterior. Nota-se isso logo de cara, o boot demora para terminar e deixar livre para operar

2- Arrancaram a melhor ferramenta de análise de todos. O PyFlag foi retirado para abrir espaço. Interessante que o PyFlag, a partir do Helix, era mesmo muito limitado. Como não contava com persistência do banco (tínhamos que fazer isso na "mão") e nem de arquivo de swap, ele acabava dando vários problemas. Ainda assim, eu esperava que se achasse uma solução para isso, e não que ele fosse removido completamente ...

Para quem não conhece, o PyFlag é uma suite de ferramentas para análise, desenvolvido por uma turma australiana, e que foi usado no último DFRWS por quase todos os primeiros colocados. O primeiro colocado, por exemplo, foi o trio do criador do PyFlag (Cohen) junto com a turma do Volatility (que foi recentemente integrado ao PyFlag).

3- O Aimage roda perfeitamente, mas o Adepto usando formato AFF não roda nem apanhando. Há um problema aqui, pelo menos aconteceu comigo em todas as tentativas. Ainda preciso ver se há um bug aberto para esse problema.


Bom, espero acrescentar mais itens a essa lista. Comentários ? Feedbacks ? Posso mandar o que postarem aqui para o mantenedor do Helix, Drew Farrey.

Até o próximo post !

9 comentários:

danpos disse...

Olá! Blog interessante, vou acompanhar as postagens aqui. Terminei hoje um curso de 40h em Auditoria e Análise Forense provido pela Escola Superior de Redes / RNP no Rio de Janeiro e lá rodamos o Helix 1.9-07 através de uma máquina virtual. Gostei bastante da ferramenta (já havia baixado a versão 2.0 antes de fazer o curso). Estou iniciando na área de perícia computacional, com ênfase na área criminal. Gostaria que comentasse mais sobre ferramentas novas que eventualmente venha a testar. Sds, Danpos.

Tony Rodrigues disse...

Obrigado, Danopos. Estou planejando uma série de testes de ferramentas, assim que eu finalizar a apostila do curso que estou montando.
Neste curso da RNP, o que vc mais gostou e o que, na sua opinião, poderia ser melhorado ?
Um abraço

danpos disse...

Olá Tony! Respondendo ao questionado, deveria ter sido preparado uma máquina virtual com windows para se fazer a auditoria nesta, usando as ferramentas e técnicas forenses adequadas a esse ambiente. Não sei como pensa em implementar o seu curso, mas desde já alerto para a preparação de atividades práticas (você tem um ambiente com computadores para implantar as máquinas virtuais?), como também pensar na carga horária do mesmo (40 h dá para passar o básico, porém fica muito apertado - talvez sete dias - 14 sessões). Sds, Danpos.

Tony Rodrigues disse...

Danpos,

eu concordo com vc sobre o tempo. É uma eterna briga entre o que seria o mais adequado e o custo, porque quanto mais horas/aula, maior o custo. A questão financeira é importante, mas não é fundamental, e vou primar pela qualidade em todos os aspectos.

Estou com meu planejamento envolvendo teoria e prática. Não montei máquina virtual em windows porque a aquisição em máquina virtual é extremamente lenta (os drives USB do VMWare, por exemplo, funcionam como USB 1.1). Minha idéia é usar máquinas bootando pelo CD mesmo.
Um ponto importante que vou ressaltar é que deve sempre existir a independência de um ambiente para se fazer a perícia. É possível usar Linux (Helix, FCCU e outros) em um HD com Windows, e a partir das ferramentas do live CD levantarmos os vestígios necessários. Caso detecte algo importante e que seria melhor avaliado em uma ferramenta que o analista/perito só tem em box Windows, então vou mostrar técnicas para levar a imagem para lá.

No mais, obrigado pela colaboração aqui no blog. É assim que a comunidade toda cresce.

abraço,

Tony

danpos disse...

Prezado Tony:

Não me fiz compreender corretamente (lendo agora percebi isso): a idéia seria preparar a imagem de um sistema windows "comprometido" e então fazer a análise com essa imagem comprometida (eu fiz com imagens de partições ext2/ext3). Relativamente às tua outras colocações, estou de pleno acordo, o uso de um liveCD adequado resolve bem boa parte dos problemas.

Danpos.

Tony Rodrigues disse...

ah, sem dúvidas, isso é fundamental. Mais do que analisar um problema em Linux, pois a proporção Win x Linux ainda é muito mais favorável ao Windows.
Obrigado pela ajuda, Danpos.

Pierre disse...

Bom dia Tony!

Estou tentando instalar o Helix3 no HD e não passo ta tela de particionamento. Na verdade nem chega nesta tela, travando antes.
Você tem alguma dica?

Tony Rodrigues disse...

Pierre,

Eu nunca testei essa opção e tem um motivo muito simples: O Helix não foi feito para ser instalado. Essa opção aparece aí por causa do Ubuntu, mas de repente foi algo que o criador do Helix nem sequer olhou. Talvez até devesse ter tirado das opções, mas não foi o que aconteceu.
O porque disso ?
O Helix é um SO todo preparado para Forense, mas o que o diferencia não é o fato de ele ter muitos utilitários de análise. O que o diferencia é que muitas funções do Kernel do Helix são modificações do Ubuntu para prover características essenciais relativas à Forense, como não alterar de jeito nenhum um sistema de arquivos montado como ro (por exemplo, para não deixar o journaling ser alterado). Tudo isso faz com que o Helix seja o rei da cocada preta quando se trata de aquisição de imagens forenses, mas apenas um cara qualquer quando se trata de análise da imagem. Para a aquisição, o ideal é que vc trabalhe com live CD; Para análise, eu diria o oposto. Ora, como ele é mais preparado para aquisição, nada melhor do que deixá-lo no Live CD mesmo ...

That´s it. No mais, com certeza tem posts falando sobre instalação no Forum do Helix, mas antes dessa versão 2.0, o discurso do Drew era sempre o mesmo: Não instale o Helix e ponto ...

Abração,

Sinval disse...

Alguém sabe que algum tutorial do helix 3, tenho que fazer um trabalho e não tenho ideia de onde começar!