quinta-feira, 15 de janeiro de 2009

FDTK 2.0

O FDTK foi repaginado e ganhou algumas novidades da versão anterior para essa. A versão 2.0 adicionou alguns utilitários, eliminou outros e ultrapassou um problema que assola as versões de live cd: chegou a sua segunda distribuição.




O FDTK tem um algo a mais para os brasileiros, já que ele é o primeiro e único trabalho nessa área de live CDs disponibilizado por brasileiros e para brasileiros. Além da vantagem de usar o sistema na nossa língua, a turma da Unisinos está mais perto e acessível; Um dos criadores, o Paulo Neukamp, participa da nossa lista de discussões e é um bloggeiro aqui do blogspot.

As novidades dessa versão incluem não usar mais o SWAP (a exemplo do que o Helix faz), não monta automaticamente as unidades de disco encontradas (essencial para um live cd garantir integridade das mídias), os menus foram reescritos e, infelizmente, a remoção do pyFlag. Infelizmente porque o pyFlag é um dos melhores recursos free/open source que existem para Forense Computacional, e o FDTK era um dos últimos que ainda o trazia. Apesar disso, essa remoção é compreensível, pois não dava mesmo para fazer o pyFlag funcionar em Live CD.

Comentário offtopic: "Conversei" recentemente com o Dr Michael Cohen, criador do pyFlag, sobre a possibilidade de mantê-lo e distribuí-lo em um formato de máquina virtual, VMWare. A turma do SANS fez isso com o SIFT, achei a idéia excelente, e dessa forma poderíamos contar com uma ferramenta muito boa e instalada de forma correta. A resposta dele foi muito cordial, mas em sua opinião, esse é um formato difícil de manter, além de exigir muito espaço disponível. Sugeriu-me a versão do pyFlag para Windows, que já instalei e testei superficialmente (vai virar assunto para post, claro), mas ainda assim acho que poderíamos nos mobilizar e criar um projeto para disponibilizar uma máquina virtual com o pyFlag, o PTK e outras soluções mais novas.


Continuando, o nosso FDTK tem o menu semelhante ao do Helix, assim que é carregado. Além da estrutura completa do menu estar traduzida, outro ponto que ajuda bastante é a existência de entradas no menu para muitos, senão todos os utilitários, mesmo os de CLI (linha de comando):





Outro ponto importante é que ele não apresenta os mesmos sinais de mal acabamento do PlainSight. Não há menus com itens desnecessários, como Games.

A oferta de utilitários é vasta. A turma pesquisou bem, e há uma boa quantidade de utilitários disponíveis. Notei uma semelhança com o grupo de utilitários do FCCU, e posso apostar que ele esteve nas pesquisas do pessoal. Para se dar uma idéia, tem bem mais utilitários que o famoso Helix. Há alguns itens inéditos, como a interface gráfica do DC3DD. Em relação ao browser, o Firefox é o que está disponível.




Pontos positivos:
- Criadores acessíveis. Lembro-me que na minha primeira avaliação do FDTK 1, sugeri algumas coisas aqui pelo blog e por email, e o pessoal prontamente planejou a implementação;
- Interface em português;
- Grande parte dos utilitários acessível via menu;
- Continuidade da manutenção com a versão 2.0;

Pontos negativos:

- O teclado padrão é o ABNT2, o que é um problema para quem tem notebook comprado fora; Dá para mudar na hora do boot;
- Pouca documentação, principalmente um what's new detalhado (é questão de tempo, o Paulo tem trabalhado nisso);
- A parte de network forensics não recebeu muita atenção; Não achei nenhum utilitário específico para sniffer e verificação de pacotes;
Alteração em 19/1/2009: Em www.fdtk.com.br é possível encontrar a mais nova versão do FDTK, a 2.01. As releases estão saindo em prazos muito bons, e isso pode ser adicionado aos pontos positivos.

Comentários ????

Até o próximo post !












5 comentários:

Régis Mesquita disse...

Gostei muito dos reviews e conheci agora o blog porém sem duvida irei virar leitor um assíduo, parabéns e continue o bom trabalho.

Aderbal Botelho disse...

Maravilha o post, quanto a criar uma maquina virtual para rodar aplicativos como ptk ou o pyflag, não acho muito interessante, não só pela questão de espaço em disco, mais até uma questão de processamento, IO e memória que são itens muito importantes numa maquina que vai ser usada como servidor para realização de perícias, estou escrevendo um artigo e pretendo mostrar como fazer a instalação de um verdadeiro ambiente de produção para peritos no fdtk com o ptk e o pyflag.

http://aderbal.fdtk.com.br/

Tony Rodrigues disse...

Esse artigo será muito bem vindo, Aderbal.

Concordo com vc com relação a maior demanda de processamento por esses softwares, mas não vejo esse fator como limitação. A tecnologia de máquinas virtuais tem crescido enormemente, e se já não estamos no patamar de performance, em breve estaremos. Por outro lado, a instalação de certos produtos é complicada, principalmente pela cadeia de dependência de cada um. Já vi compilações onde era necessário instalar vários níveis até chegar ao programa objetivo. Nestes casos, é fácil comprometer um produto, tendo funcionalidades que não operam ou ainda cuja performance fica problemática, única e exclusivamente por causa dessas intermináveis cadeias de instalações. Isso sem falar em configurações e optimizações necessárias em outros produtos, bases para eles, como o caso do MSSQL.
Com tudo isso, minha sugestão seria algo como os criadores do produto, que frequentemente o testam e sabem como configurar todos os itens envolvidos, fazerem a instalação em um ambiente virtual e distribuí-lo. Essa abordagem vem sendo feita mesmo por vendors de produtos críticos, trocando appliances por máquinas virtuais.

Vou dar um exemplo do meu ponto: O PyFlag é uma ferramenta excepcional, mas ainda não encontrei um Live CD que o implementasse corretamente. Em todos os que eu testei, em algum ponto ele travava. E olha que quem distribui um live cd tem conhecimento avançado do SO e dessas instalações. Não obstante, a equipe de desenvolvedores do pyFLag, capianeada pelo Dr Michael Cohen, ganhou um contest em 2008 usando o produto, concorrendo com equipes que usavam vários outros produtos, inclusive produtos comerciais. O que isso me diz ? Que o produto é muito bom, mas temos que saber instalá-lo e configurá-lo, e isso é pedreira !

Essa é uma discussão muito boa ! QUando o artigo ficar pronto, por favor me avise !

Abraço,

Tony

WepNET disse...

Olá! Boa tarde,
Na realidade não é um comentário, as uma pergunta.
Quando se diz:
"As novidades dessa versão incluem não usar mais o SWAP", o não usar mais a SWAP só é possível se utilizar-mos o live cd? ou o sistema em si já está preparado para não utilizar a swap do sistema quando se utiliza as aplicações forense?
obrigado, por antecipação.

Tony Rodrigues disse...

Esse é o ponto. Um cd voltado para Forense Computacional não deve montar o SWAP pelo risco que isso traz em alterar algo da mídia sendo coletada ou analisada. O FDTK anterior ao 2.0 não foi montado levando esse item em conta (talvez tenha sido um breve esquecimento). Enfim, da forma como ele está agora, nem sombra de SWAP ...

[]s

Tony