terça-feira, 11 de novembro de 2008

Se a moda pega ...

Estava lendo esses dias um artigo no blog do Keith Jones e Brian Dykstra. Não é um artigo muito novo, e comentava sobre um suposto especialista em Forense Computacional ter sido processado nos EUA, após vir a tona que o tal especialista não sacava do riscado tanto assim.
O artigo é uma espécie de alerta, já que muita gente vai pelo que lê no currículo e acaba sendo prejudicada por um trabalho ou assistência mal feitos. Foi o caso em questão, pois ao que parece o tal perito andou incrementando o currículo com lorotas.
O caso do artigo não aconteceria aqui simplesmente porque lá há uma fase do processo chamado cross examination, onde o advogado da outra parte tenta, como parte da estratégia, literalmente acabar com a credibilidade do perito. Foi assim que o tal malandro foi descoberto.
Fiquei lembrando certas situações. Realmente, já estive em casos onde percebi que o profissional não sabia absolutamente nada sobre a parte mais básica de Forense Computacional. Já vi gente procurando informações com DIR, tendo bootando a máquina pelo HD original, que estava sendo guardado lacrado. Vi um cara uma vez dizer que havia um malware provocando certo comportamento, mas como não conseguia provar, disse que o malware estava instalado na placa mãe ...

Comente as histórias que você já viu. Afinal, pérolas são para serem apreciadas ;)

Até o próximo post !

4 comentários:

L1NUX disse...

Não entendi muito bem sua colocação sobre o "DIR"...
é um procedimento errado?
sobre o HD hehe.. preciso neim falar... o kra que faz pericia com HD original não tem noção de pericia forense computacional..!

bem tem um caso interessante...

Me contaram que teve um perito que fez uma copia de HD do acusado pelo GHOST e a parte de acusação conseguiu "derrubar" a copia alegando que queria "PROVAS" que a copia que foi feita era exatamente uma IDÊNTICA não sendo alterado para prejudicar o seu cliente...
resultado.. ghost é "shareware", não tendo assim o "codigo fonte" livre para mostrar e prova-se que ele fazia uma copia identica..!

Filipe Balestra disse...

Ah... pérola existem varias. Acho que a pior foi quando um "especialista" disse que o User-Agent do navegador IE variava de acordo com o que era acessado, por exemplo, se o cara acessa um .html usando o IE, o User-Agent vai de uma forma nos arquivos de log, se acessa um .doc, vai de outra, e assim vai.... Seria praticamente um User-Agent polimorfico ;)

Tony Rodrigues disse...

L1nux,
O Dir não está errado. Mas usá-lo direto em um HD original sem write-block, aí é uma catástrofe.

Dois detalhes:
1) O Ghost mais novo tem uma opção que faz a cópia bit-a-bit, para poder ser usado em Informatica Forense. Nesse caso, é totalmente válido. Sem essa opção ligada, o Ghost faria uma imagem apenas do conteúdo alocado.
2) O meio correto de garantir que a cópia é exata ao original é o hash das duas serem iguais. A acusação conseguiu derrubar a cópia usando um argumento falho ...

Tony Rodrigues disse...

Grande Filipe,

Parabéns pelo evento !!!