Há um post interessante sobre anti-forense no blog do Lance Mueller que vem bem a calhar sobre a nossa ultima discussão, falando de correlação. No post ele comenta acerca de um caso onde um atacante procurou usar técnicas de anti-forense para atrapalhar as investigações e encobrir alguns vestígios. O atacante trocou nomes e timestamps (datas de criação, modificação, etc) dos arquivos envolvidos no ataque. De maneira bastante divertida, Lance diz que não concorda com esse termo "anti-forense" e que isso é, na verdade, anti-administrador.
Por que ele disse isso ?
Primeiro porque um perito deve sempre verificar vários itens, independentemente do lugar que estão. Se estiverem no System, System32 ou Windows, mais atenção ainda deveremos ter. Em segundo lugar, porque o sistema era um Windows 2003, e o atacante usou timestamps de 2001.
Repare que, nos dois casos, o autor está usando correlação para chegar a uma conclusão a respeito do que aconteceu, e das técnicas de obfuscação usadas.
Um outro autor muito famoso no meio da Computação Forense, Harlan Carvey, costuma dizer que anti-forense não afeta os sistemas, mas sim as pessoas. Seria mais um anti-perito, pois o profissional atento vai correlacionar os dados que puder e vai concluir o que de fato ocorreu.
Comentários ?
Até o próximo post !
Nenhum comentário:
Postar um comentário