Vou comentar um fato que não é novo. Na verdade, trata-se de um inflamado post de meados de março, que por motivo de força maior só agora eu pude acompanhar.
Pelo artigo, não faz muito tempo a Guidance apresentou um paper comparando seus produtos com o F-Response, e o resultado foi uma agitação só. Há alguns posts com críticas bastante veementes ao que foi liberado pela Guidance na forma de comparativo, porém de longe o mais inflamado deles foi o post do HogFly sobre o assunto. Ele ficou visivelmente irado com o que classifica de má conduta na competição por mercado, e credita isso a um possível medo da famosa criadora do EnCase frente ao F-Response. O post está lotado de críticas detalhadas a cada item constando do paper da Guidance, mostrando de forma irônica e até mesmo irada, o porquê de cada ponto não ser exatamente verdade.
Bem, como eu não li o tal paper da discórdia, vou usar o meu direito de permanecer calado. No entando, se a Guidance mandou mesmo uma comparação e no nível descrito, acredito que alguém por lá não entendeu direito o que o F-Response pretende e oferece.
Este software, já comentado em detalhes diversas vezes aqui no blog, é uma grande ferramenta e sem dúvida uma revolução no nosso mercado. Ele não pretende, nem de longe, competir ou ocupar o lugar dos já renomados EnCase, FTK, ProDiscover e outros. Aliás, algo que a documentação dele deixa muito claro é que ele é tool-agnostic, ou seja, ele não preconiza nenhuma ferramenta forense para funcionar. Com ele, você usa a que tiver, sem qualquer tipo de exigência ou compatibilidade. Com ele é possível até mesmo usar ferramentas e pacotes Linux.
O F-Response usa iSCSI para fechar um canal de comunicação via rede com a máquina alvo, permitindo que seus discos sejam enxergados como se fossem discos locais à estação forense. Além disso, eles ficam completamente read-only ! Uma vez fechado o canal e estabelecida comunicação, qualquer ferramenta forense pode ser usada com total "peace of mind". Nada vai alterar o disco remoto. Satisfeito ? Mas não para por aí. Os discos podem ser trabalhados fisicamente, e com isso mesmo os arquivos mais protegidos do Windows (Restore Points, por exemplo) ficam disponíveis. Tudo, é claro, pela sua ferramenta forense favorita, que pode ser um EnCase ou um TSK, um FTK ou um DD.
Eu não li ainda nenhum desenrolar para o caso, que parece ter um desfecho negativo para a Guidance. Alguém está acompanhando e gostaria de comentar ?
Até o próximo post !
Nenhum comentário:
Postar um comentário