quinta-feira, 15 de outubro de 2009

Anti-Anti-Forense

Esse é o tema sobre o qual estarei falando na 6a edição do mais importante evento Hacker do Brasil - o H2HC - Hacker-2-Hacker Conference. O evento será no final de semana de 28 e 29 de novembro, em São Paulo.

Já faz algum tempo que venho olhando esse assunto com atenção. A primeira vez que li sobre esse termo foi em uma palestra feita pela turma do projeto Metasploit. A palestra procurava expor fraquezas em algumas técnicas ou ferramentas usadas em Computação Forense.

Depois dessa palestra, anti-forense entrou para o abstrato. Tudo seria resolvido por anti-forense, e os peritos estavam com os dias contados. Não levaria muito tempo e todos aplicariam os conceitos que, por hora, apenas alguns Hackers Jedi conheciam. Com o passar do tempo, chegamos ao ponto de perceber uma certa disputa, quase um clima de guerra. Hackers que escrevem sobre o assunto desdenham dos investigadores e colocam as técnicas como imbatíveis. Os peritos, por outro lado, usam de grande ironia e expõem a questão como se fosse brincadeira de criança resolver qualquer coisa relacionada a isso. Vi muitos desses textos enquanto pesquisava alguns detalhes para a palestra.

Nem "rocket science" nem algo trivial. Anti-Forense deve ser visto como crítica construtiva e pode ajudar (e muito !) no combate aos crimes, uma vez que tira o perito de sua posição de conforto e o faz repensar nas suas técnicas e ferramentas. É com esse intuito que venho pesquisando algumas técnicas, principalmente como poderiam ser detectadas ou revertidas. O ponto comum nas técnicas de "contra-ataque" é que, em algum momento, algo aparece. Harlan Carvey costuma usar uma analogia com técnicas militares, onde mesmo o melhor e mais prudente snipper precisa fazer alguns movimentos, comer, dormir ... É nessa hora que ele pode se expor, e de forma análoga, quando o malware, o atacante ou o utilitário são usados, marcas e vestígios importantes aparecem. É só estar bastante atento a elas.

Espero vê-los por lá. Será uma boa oportunidade para conhecer a turma que acompanha o blog.

Até o próximo post !

2 comentários:

Anderson disse...

bom dia, Tony,

Eu vi que voce vai ministrar uma palestra sobre anti-forense lá no H2H. Eu não vou poder ir no evento, mas tem como voce disponibilizar essa palestra em algum lugar? Mais uma coisa: tem como voce me indicar algum material para o estudo de anti-forense?

Desde já, muito obrigado!

Anderson

Tony Rodrigues disse...

O material será disponibilizado pela Organização do evento, Anderson. Tem que ficar acompanhando lá na pagina do H2HC.

Quanto a material de estudo, tem muita coisa em palestras. Livro nunca vi ... Dê uma googada, vc vai achar bastante material, principalmente nas palestras da Black Hat e no Metasploit Project.

[]s

Tony