terça-feira, 15 de dezembro de 2009

Café - parte III - DECAF

A polêmica do COFEE continua. Na verdade, agora não exatamente por ele.

Um grupo acabou de lançar o DECAF, um utilitário que monitora a máquina e faz uma série de coisas caso detecte a tentativa de uso do COFEE. A alegação inicial da turma é sempre a mesma: prover instrumentos de manutenção da privacidade. No caso, o COFEE estaria do lado dos vilões, ironicamente.

A versão disponibilizada é a 1.02 e depende do utilitário devcon, da MS. Com ele, o DECAF retira do ar o que quiser, cancela conexões de rede, remove acesso a drivers, limpa o log de eventos e informações nos caches. Enfim, faz uma enorme bagunça.

É lógico supor que vai existir um modo de perceber o DECAF e evitar que ele se esconda do COFEE.

O jogo de gato e rato vai continuar ...

Há dois pontos causando polêmica sobre esse DECAF que gostaria de comentar aqui:

* Um deles é que alguns não consideram o DECAF uma ferramenta de anti-forense. Entretanto, apesar de sua finalidade principal ser obfuscar o uso do COFEE, ele nitidamente vai, se acionado, destruir provas, o que o faz entrar na categoria de anti-forense, com certeza.

* O segundo ponto é relativo às técnicas usadas. O aparecimento do DECAF promete trazer a tona uma série de novas ferramentas que, como os rootkits, escondem as evidências em real-time. Isso pode provocar um pensamento errado de que não é eficiente realizar o procedimento comum de busca de informações voláteis. Há até alguns papers que comparam esse procedimento com o dump de memória e afirmam que somente este último é necessário.

Eu discordo dessa linha de pensamento. Imagino que atualmente há tantas ameaças a uma investigação que tudo que pudermos usar para correlacionar os vestígios é válido. Logicamente que o tempo para fazê-lo e o conhecimento de quem estará na "cena do crime" precisam ser levados em conta. Mas acredito ser temerário tirar conclusões específicas.

Durante a minha palestra no H2HC, comentei sobre uma técnica anti-forense que utiliza rootkit de kernel para se esconder e é poderoso a tal ponto de detectar que um dump de memória está acontecendo e, literalmente, se esconder do dump. Como o código está no nível do kernel, ele simplesmente pode analisar tudo que ocorre e filtrar-se do dump. Essa técnica foi parar em um excelente artigo na Hakin9, escrito pelos amigos Rodrigo BSDaemon e Filipe Balestra, organizadores do H2HC.

Para lidar com essa técnica, sugeri que além do dump de memória, seja feita a aquisição do disco também. Caso exista comportamentos não explicados, a imagem da máquina pode ser usada em uma máquina virtual, bootando-a pelo disco. Quando a máquina virtual estiver a pleno valor, ela deve ser pausada e o arquivo da memória analisado. Dessa forma, o possível malware não teria como se esconder e apareceria na análise.

Essa técnica demonstra que imagem de disco ou de memória, por si só, não fornecem uma técnica completa. Ele enganaria o perito em uma Live Analysis também. No entanto, também não quero insinuar que, para cada caso, teremos que fazer milhares de procedimentos e depois sair correlacionando tudo. Acredito que alguns procedimentos devem ser feitos por padrão e se, durante a análise, a correlação com outros vestígios mostrar que algumas peças estão fora do quebra-cabeças, pode ser necessário retornar ao ponto de partida e obter mais informações, talvez finalmente desligando o micro e partindo para uma dead analysis.

Enfim, não há receita de bolo. Temos que ficar atentos e verificar se podemos parar na Live Acquisition/Analysis, ou avançamos para a análise post-mortem, ou ainda se a análise do dump de memória já basta.


Comentários ?

=== Atualização em 18/12/2009 ====

Os criadores da ferramenta participaram de uma entrevista no Cyberspeak, famoso podcast, e também estava na mesma edição o Ovie Carroll, Diretor de Cybercrime do DoD. Não escutei o pod ainda, mas parece que a ferramenta foi imediatamente retirada do ar pelos seus criadores ...

=== Atualização em 29/12/2009 ====

É, ao que parece, não foi por conscientização que a ferramenta foi retirada. A nova versão, 2.0, já está no ar e há também um press release, indicando os motivos pelos quais a ferramenta foi removida. Nesta nova versão, o DECAF saiu do pé do COFEE e está agora atuando também contra o Helix, o EnCase e alguns outros. O CAINE e o DEFT, que também tem módulos para Resposta a Incidentes, estão fora da lista dessa versão do DECAF. Alguém já baixou o código, produziu alguma análise e gostaria de compartilhar ?


Até o próximo post !

Nenhum comentário: