terça-feira, 27 de janeiro de 2009

DEFT 4.1

A notícia da dificuldade de continuidade do Helix foi (está sendo, na verdade) uma pancada dura para a comunidade forense de informática. Apesar disso, nunca surgiram tantos Live CDs dedicados à Forense Computacional como nos últimos 6 meses. E não foram só criados, eles foram e vem sendo atualizados com frequência. Já falei do Caine e do FDTK, e ressaltei que entre postar sobre a liberação deles, por volta de novembro, e agora, ambos já ganharam versões novas. Isso é bom e estimulante. Serve para diminuir a sensação ruim que a notícia do Helix deixou. No entanto, isso não ficou restrito aos dois aí. O DEFT entrou no ritmo, lançou desde novembro a versão 4.01 e já disponibilizou, há poucos dias, a versão 4.1. Também já está no site do projeto o que se espera para a versão 4.2, prometida para março agora, e a versão 5, que virá para novembro. É a italianada a todo vapor !!! (só para relembrar, o Caine, o DEFT e o PTK estão vindo do país da bota ...)
O DEFT já começou bem. Apesar de não ser feito por uma equipe que tem como principal idioma o inglês, o DEFT já começa requisitando qual teclado o investigador vai querer usar. Esse é um detalhe, mas mostra uma boa preocupação. O Caine e mesmo o FDTK caíram nesse quesito, e setaram o teclado diretamente para italiano e abnt, respectivamente.

Da mesma forma que o FCCU, o DEFT não vai direto para a interface gráfica. Logo que sai do boot, você vai para a velha e boa linha de comando. Bom, pelo menos é root ...

A interface gráfica precisa ser acionada com o comando DEFT-GUI. O que vemos em seguida é o desktop do xfce 4, quebrando a sequência que vimos até então (todo mundo estava usando GNome).



Já no desktop podemos ver a força do DEFT. Além dos tradicionais Autopsy/Sleuthkit, do Firefox e do Ophcrack, a presença do Dhash e do Xplico dão um tempero que só o DEFT tem. A parte de rede está bem representada pelo Wireshark, e embora eu não veja tanta utilidade para o Nessus em Forense Computacional, ele também faz parte desse grande Live CD. O ClamTK, interface gráfica do ClamAV, completa o bom conjunto dos ícones do desktop.

Especificamente sobre os dois programas inéditos comentados acima, o Dhash é uma interface gráfica que permite conferir o hash md5, sha-1 e SFV de um arquivo ou um dispositivo de armazenamento. Já o Xplico é um decoder de tráfego de rede que tem até site próprio. Falaremos de ambos à frente.

O restante do menu não traz grandes novidades. O melhor dos utilitários está mesmo no desktop. Uma ausência são os utilitários do OpenOffice, que acabaram sendo representados pelo Calendar e Gnumeric Spreadsheet.

DHASH




O Dhash é uma interface gráfica que permite obter o hash de um arquivo ou de um dispositivo (HD) em 3 opções diferentes: MD5, SHA-1 e SFV. Para quem está se perguntando por que isso, já que temos md5sum e cia, a resposta: O Dhash é útil para quem precisa de mais de um registro de hash. Usá-lo é muito mais rápido do que usar o md5sum seguido do sha1sum. Quem usava o Helix 1.9 vai lembrar do 2hash, que faz a mesma coisa, mas é CLI.

XPLICO

O Xplico é um componente ilustre. É um projeto grande, tem site próprio e está prometendo decodificar tráfegos que nem o Wireshark decodifica. Ele pode ser usado tanto pela linha de comando como pela sua interface. Nos dois casos, é possível capturar e analisar um tráfego imediatamente (realtime) ou então analisar a partir de um arquivo pcap capturado anteriormente.

Para usar a interface gráfica do Xplico, é necessário clicar no ícone de start. Ao fazê-lo, alguns processos são iniciados e o Xplico fica acessível a partir do Firefox.

Após o clique no ícone do Xplico, há uma tela de login:

Logo em seguida, o Xplico exibe a lista de casos e a opção de criar um caso novo.


Criar uma Session of Listening (SoL) é indicar qual ou quais arquivos pcap fazem parte dessa sessão:

Em seguida, o Xplico analisa o arquivo, usa vários "dissectors" para identificar e decodificar conteúdos que transitaram na conexão capturada.
Emails:
Sip Calls:
HTML:
Imagens:
Impressão via rede:

Uma observação: Analisar em tempo real somente está disponível em console-mode (linha de comando).
Pontos positivos

- Só carrega a GUI se o investigador requisitar;
- Atualizações constantes e um roadmap claro e publicado;
- Produtos muito bons e exclusivos, como o Xplico;
- Boot mais rápido que os demais;
- Forte candidato a substituto do Helix, se este realmente sair de produção.
- Disponível para USB, em breve.
Pontos negativos

- Não há utilitários para configuração de rede;
- Alguns utilitários importantes não estão no projeto (análise de atividade de browser, forense de memória, e outros).


Comentários ???

Até o próximo post !!!

Um comentário:

rfobuzat disse...
Este comentário foi removido pelo autor.