Esse não é um artigo sobre CSI ou um desses livros de suspense. É um caso prático, na verdade.
Lembro-me que quando comecei em Forense Computacional, a maioria dos que na época ensinavam, o faziam através das técnicas e principalmente do uso de algumas ferramentas. Uma das coisas que eu sentia falta era como aplicá-las em um caso real. Qual era o momento no qual um investigador ou perito parava e dizia "vou fazer isso e isso, usando a ferramenta xyz". Para mim, havia uma falha no modelo de ensino. Esse é, inclusive, um dos pontos que procurei atacar na montagem do CFPF, nosso treinamento em Forense Computacional e Resposta a Incidentes. Ele tem muita teoria, mas está recheado de práticas usando algumas metodologias voltadas para fazer o aluno pensar.
O artigo que gostaria de recomendar faz exatamente isso. O investigador mostra um problema, e como foi a linha de raciocínio e atuação para chegarem a uma conclusão sobre o que ocorreu. Esse artigo pode ajudar e muito a quem procura exemplos na linha do "eu tenho mil ferramentas, mas não sei a hora de usá-las".
Para resumir, uma investigação foi requisitada após a suspeita inicial de que um funcionário estaria realizando alguma atividade ilícita na Internet. Após algumas verificações, descobriu-se que o tal suspeito percebera que estavam de olho nele e apagou tudo que podia de vestígios sobre o que ele estava fazendo: vendendo licenças dos softwares da companhia em um site de leilões.
O que o tal funcionário não contava é que, ao andar no pântano da Internet, sempre sujamos as botas. Ele acabou infectado por um trojan nas suas inúmeras buscas por ferramentas de geração de serial numbers e crackers. Para ironia do destino, o tal trojan era justamente um keylogger, e qual não foi a surpresa do investigador ao achar o arquivo de log do keylogger e encontrar, intacto, todas as tecladas do dito cujo. Uma prova e tanto, e que fez o tal funcionário confessar a ação.
O artigo é simples e excelente. Vale a pena a leitura, principalmente porque mostra o quanto nós precisamos estar atentos aos detalhes no nosso trabalho.
Alguém já passou por uma situação semelhante e gostaria de compartilhá-la ? Comentem !
Até o próximo post !
domingo, 29 de março de 2009
quinta-feira, 26 de março de 2009
Spam nunca mais
Você está no meio de uma análise forense e se depara com um arquivo qualquer. Depois de uma ou duas olhadas no dito cujo, você lembra que o Google é seu amigo e vai à luta.
Hits para cá e para lá, e enfim o trecho que parece melhor explicar o que está procurando pertence a um fórum, e no primeiro click vem aquela irritante mensagem te bloqueando e mandando você para uma página de registro.
Ok, você pensa, são só mais uns minutos, e no fim das contas, eu preciso desse informação.
Duas horas depois, sua contagem de spams está uma centena maior ...
A cena é comum e se repete praticamente pelo menos uma vez por semana. Ou se repetia !
Há uma solução para uma parte desse problema. O domínio mailinator.com (há outros) provê emails temporários para esse fim. Tudo que precisamos fazer é informar um email com esse domínio nesses fóruns. Se eles mandarem algum tipo de confirmação, basta pegá-la direto no site do Mailiminator. Você ganha acesso à informação e os spams ficam lá, sem aborrecer sua caixa de correio verdadeira.
Bom, né ? Comente !
Até o próximo post !
Hits para cá e para lá, e enfim o trecho que parece melhor explicar o que está procurando pertence a um fórum, e no primeiro click vem aquela irritante mensagem te bloqueando e mandando você para uma página de registro.
Ok, você pensa, são só mais uns minutos, e no fim das contas, eu preciso desse informação.
Duas horas depois, sua contagem de spams está uma centena maior ...
A cena é comum e se repete praticamente pelo menos uma vez por semana. Ou se repetia !
Há uma solução para uma parte desse problema. O domínio mailinator.com (há outros) provê emails temporários para esse fim. Tudo que precisamos fazer é informar um email com esse domínio nesses fóruns. Se eles mandarem algum tipo de confirmação, basta pegá-la direto no site do Mailiminator. Você ganha acesso à informação e os spams ficam lá, sem aborrecer sua caixa de correio verdadeira.
Bom, né ? Comente !
Até o próximo post !
terça-feira, 24 de março de 2009
Treinamento em Forense Computacional - CFPF
Demorou, mas finalmente ficou pronto. O treinamento que preparamos já tem data para acontecer. Verifique os detalhes no site da TISafe, no item CFPF - Curso de Formação de Peritos Forenses Computacionais.
A primeira turma será em maio. O curso tem duração de 40h com teoria e muita, muita prática.
O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs. Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações. A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, de forma que essa experiência será benéfica para o CFPF.
Inicialmente, o curso será oferecido no Rio de Janeiro, mas estamos verificando a possibilidade de termos o treinamento em outros estados também.
Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.
Até o próximo post !
A primeira turma será em maio. O curso tem duração de 40h com teoria e muita, muita prática.
O conteúdo abrange Resposta a Incidentes na parte de captura e análise, e obviamente, Computação Forense em seus diversos aspectos. Neste ponto, o foco será na aquisição e na análise forense, com muitos exercícios práticos e estudos de caso. As práticas serão baseadas em software livre, principalmente em live CDs. Para montar a ementa e o material, procurei aliar minha experiência como perito/investigador com minha experiência com ensino (já fui instrutor de cursos MOC, os cursos oficiais da Microsoft, já dei aula de banco de dados e, num passado distante, já montei um treinamento completo de Visual Basic, que na época ainda não era muito conhecido), e o resultado foi um material que está focado nas principais teorias e técnicas, tratando os assuntos com a profundidade na medida mais adequada à didática, e está recheado de exemplos e aplicações. A TISafe, tradicional consultoria de Segurança de Informações do Rio de Janeiro com expertise diferenciado em criptografia e PKI, é minha parceira nesse treinamento. Ela também já oferece um treinamento de sucesso na área de formação de analistas de Segurança de Informações, o CFAS, de forma que essa experiência será benéfica para o CFPF.
Inicialmente, o curso será oferecido no Rio de Janeiro, mas estamos verificando a possibilidade de termos o treinamento em outros estados também.
Se tiverem alguma dúvida, entrem em contato por email ou mesmo deixe um comentário aqui no blog.
Até o próximo post !
segunda-feira, 23 de março de 2009
XII CNASI Rio - Primeiro Dia
O evento foi bastante interessante em seu primeiro dia. Começamos bem, com um treinamento muito bom sobre riscos legais e TI, ministrado pela Dra Camilla, do escritório Ópice Blum. Além do tema ser importante para CIOs e departamentos jurídicos de empresas, muito do que se falou ali ajuda aos peritos e investigadores digitais, que em muitas vezes ficam perdidos no tecquiniquês de Sistemas Operacionais, mas não conhecem uma vírgula do lado jurídico da atividade.
Computação Forense agitou a parte da tarde na Sala 1. O Dr Antonio Rigo trouxe vários fundamentos da Forense Computacional e comentou um caso onde ferramentas de software livre foram usadas. Em seguida, meu camarada Sandro Suffert trouxe um assunto interessante, focado nos processos que a Resposta a Incidentes e a Computação Forense. Pausa na parte de Forense para uma apresentação de uma solução e chegou a hora da minha palestra sobre Live CDs e outros recursos envolvendo ferramentas não-comerciais e Computação Forense.
Amanhã tem mais CNASI.
Até o próximo post !
Computação Forense agitou a parte da tarde na Sala 1. O Dr Antonio Rigo trouxe vários fundamentos da Forense Computacional e comentou um caso onde ferramentas de software livre foram usadas. Em seguida, meu camarada Sandro Suffert trouxe um assunto interessante, focado nos processos que a Resposta a Incidentes e a Computação Forense. Pausa na parte de Forense para uma apresentação de uma solução e chegou a hora da minha palestra sobre Live CDs e outros recursos envolvendo ferramentas não-comerciais e Computação Forense.
Amanhã tem mais CNASI.
Até o próximo post !
quinta-feira, 19 de março de 2009
O ótimo é inimigo do bom
Estava lendo esses dias um artigo do blog da SANS sobre o aparente efeito colateral que algumas leis americanas está provocando.
Há certas leis que foram elaboradas com o intuito de obrigar a instituição a tornar público que sofreu ataques e teve informações de clientes expostas. O objetivo dessas leis parece muito claro, de proteger as pessoas que tiveram suas informações roubadas, certo ? Nem tanto.
Apesar de termos a empresa atacada como uma vítima, tanto quanto aquelas pessoas que perderam informações, o que vem acontecendo por lá é que as empresas que realmente obedeceram a estas leias acabaram por amargar um prejuízo enorme em ações conjuntas. O que vem acontecendo em seguida ? As empresas pararam de tornar público os ataques e perdas de informações. O artigo comenta o fato, e dentre uma série de sugestões, fica evidente que eles estão passando por um efeito que é inesperado, mas de certa forma, compreensível: algumas leis podem ser criadas com excelentes intenções, mas nem sempre acertam em cheio. Por vezes, o efeito colateral que ela produz é pior do que a situação que a lei tenta tratar.
O ponto principal nisso tudo é que, ainda assim, ninguém ataca a lei, ou menciona que ela deveria ser retirada. Nem mesmo fala-se em aumentar o tempo para um projeto de lei amadurecer antes de virar lei, ou alterar o processo. Ou seja, as leis nem sempre resolvem de imediato os problemas, mas os efeitos são sempre estudados e novas propostas de ajuste são feitas. Esse processo parece ser melhor do que este que aparentemente temos experimentado por aqui. Nossa lei sobre crimes de informática está há dez anos em tramitação, e não sai nunca. A impressão que isso passa é que discutimos demais na tentativa de chegar ao estado da arte no que se refere à lei, e no fim das contas não temos lei nenhuma.
Parece-me a clássica situação do ótimo que é inimigo do bom. Buscamos o ótimo, e como não o alcançamos, ficamos mesmo é sem nada.
O que você acha ? Comente !
Há certas leis que foram elaboradas com o intuito de obrigar a instituição a tornar público que sofreu ataques e teve informações de clientes expostas. O objetivo dessas leis parece muito claro, de proteger as pessoas que tiveram suas informações roubadas, certo ? Nem tanto.
Apesar de termos a empresa atacada como uma vítima, tanto quanto aquelas pessoas que perderam informações, o que vem acontecendo por lá é que as empresas que realmente obedeceram a estas leias acabaram por amargar um prejuízo enorme em ações conjuntas. O que vem acontecendo em seguida ? As empresas pararam de tornar público os ataques e perdas de informações. O artigo comenta o fato, e dentre uma série de sugestões, fica evidente que eles estão passando por um efeito que é inesperado, mas de certa forma, compreensível: algumas leis podem ser criadas com excelentes intenções, mas nem sempre acertam em cheio. Por vezes, o efeito colateral que ela produz é pior do que a situação que a lei tenta tratar.
O ponto principal nisso tudo é que, ainda assim, ninguém ataca a lei, ou menciona que ela deveria ser retirada. Nem mesmo fala-se em aumentar o tempo para um projeto de lei amadurecer antes de virar lei, ou alterar o processo. Ou seja, as leis nem sempre resolvem de imediato os problemas, mas os efeitos são sempre estudados e novas propostas de ajuste são feitas. Esse processo parece ser melhor do que este que aparentemente temos experimentado por aqui. Nossa lei sobre crimes de informática está há dez anos em tramitação, e não sai nunca. A impressão que isso passa é que discutimos demais na tentativa de chegar ao estado da arte no que se refere à lei, e no fim das contas não temos lei nenhuma.
Parece-me a clássica situação do ótimo que é inimigo do bom. Buscamos o ótimo, e como não o alcançamos, ficamos mesmo é sem nada.
O que você acha ? Comente !
domingo, 15 de março de 2009
CNASI nos dias 23 e 24 no Rio de Janeiro
O CNASI terá sua 12a edição aqui no Rio na semana que vem. Nos dias 23 e 24 de março teremos excelentes palestras sobre Segurança de Informações, Computação Forense e Auditorias. Aproveito para lembrar que estarei palestrando no dia 23, falando sobre os mais recentes Live CDs de Computação Forense. O título da palestra, Computação Forense 0800 (ou quase !) é uma alusão a um termo carioca que designa como "0800" algo que é de graça. A parte do "quase" fica por conta do Helix, amarelão do ano, que como alguns dizem por aqui, roeu a corda, não aguentou a pressão e agora virou um software comercial. Há quem o defenda, e no fim das contas todos tem mesmo o direito de cobrar e receber pelo seu trabalho. Há também, várias discussões nas listas e foruns, e a maioria questiona o direito da turma da eFense de fazer essa virada e ficar vendendo uma enorme compilação do que é "de graça". Alegaram que eles podem sim, segundo a própria licença de software livre. Entretanto, a eFense altera o kernel do Linux em alguns pontos, e neste caso a licença os obrigaria a distribuir o fonte, e eles não estão fazendo isso.
Bem, questões de GNU a parte, o irritante é perceber que esta já era a estratégia há tempos, bem antes da versão 2008 ir para o ar. Esta versão é uma sombra do que era a anterior. Ainda neste fim de semana, eu fui compartilhar um diretório para analisar um arquivo pelo Windows e, para surpresa e espanto, o Samba não está instalado. Pois é ...
Espero encontrar com a turma de leitores do blog por lá. Estarei no evento inteiro, fique à vontade para papear comigo, até porque o cofee break é para isso mesmo.
Até o próximo post !
Bem, questões de GNU a parte, o irritante é perceber que esta já era a estratégia há tempos, bem antes da versão 2008 ir para o ar. Esta versão é uma sombra do que era a anterior. Ainda neste fim de semana, eu fui compartilhar um diretório para analisar um arquivo pelo Windows e, para surpresa e espanto, o Samba não está instalado. Pois é ...
Espero encontrar com a turma de leitores do blog por lá. Estarei no evento inteiro, fique à vontade para papear comigo, até porque o cofee break é para isso mesmo.
Até o próximo post !
terça-feira, 10 de março de 2009
To hash or not to hash: Eis a questão
O assunto hash como comprovação de integridade veio a tona algumas semanas atrás nos blogs dos EUA. Além do já conhecido "birthday attack", foram levantadas novas polêmicas em relação a esta forma de cálculo. De certa forma, o assunto retornou porque não faz muito tempo um grupo de pesquisadores conseguiu emitir um certificado digital válido atacando vulnerabilidades do MD5. Depois do burburinho inicial, a polêmica do uso de hashs acabou por retornar.
O fato novo é que, desta vez, a discussão não parou no uso do algoritmo X, Y ou Z. De certa forma, foi mais profunda e acredito que tenha ajudado a levantar questões ainda não respondidas. Sim, porque em muitas situações, adotamos um procedimento como o correto a ser feito para todas as ocasiões, sem o menor questionamento, e acaba por ficar anos assim. Isso me lembra a estória do caminho das cabras. Há quem diga que, há alguns séculos, as cabras criavam suas próprias rotas no pasto, em busca de alimento. Os colonizadores, ao chegar, percebiam mais facilidade naquele caminho, pois a vegetação ali já estaria menos densa. Ao usá-los com frequência, acabaram por alargar a vegetação a sua volta e criaram ali as primeiras ruas. O progresso chegou e o primeiro passo foi asfaltar as ruas da tal cidade. Hoje, crianças perguntam aos avós porque determinada rua faz curva, enquanto que outras são retas e ninguém sabe a resposta. É porque aquele era o caminho das cabras ...
Pois bem, a polêmica foi boa para se repensar nos procedimentos e não ficarmos colocando asfalto sobre caminho de cabras. Um dos pontos questionados foi por que é obrigatório o uso de hash em casos de comprovação de integridade, quando os algoritmos usados já foram quebrados. É possível uma prova não ser admitida só porque alguém quebrou o algoritmo que comprovaria a sua integridade ??? E o caso de Live Forensics, onde o hash não vai ser igual porque o ambiente muda o tempo todo, já que ainda está em uso ? Houve ainda quem falasse da própria forense de memória, e que não dá para usar esta forma de comprovação de integridade.
Entre perguntas para cá e para lá, gostei muito da postura e opiniões de um dos participantes. Algo que ele ponderou, e que vale para nós brasileiros, é que não há nenhuma exigência legal de que seja usado o hash para a garantia de integridade. Isso foi um procedimento adotado e que agora precisa ser questionado. No caso americano, não haveria nenhum ponto no que eles conhecem como Dalbert Challenge que eliminaria uma prova só porque o hash dela não está idêntico. Outro ponto muito bem indicado é que a prova deve ter uma integridade estrutural por si mesma. Se ela não tiver, então não há caso. Simplificando o que ele disse, não podemos nunca basear uma conclusão em um único ponto, mas sim em um conjunto de vestígios que irão comprovar a história toda. Não podemos dizer que alguém é pedófilo porque simplesmente uma foto foi encontrada em um HD, mas poderemos se a foto estiver em um diretório particular, com algum tipo de classificação, se encontrarmos vestígios de que ela foi baixada em um site e que este site está gravado nos favoritos, ou ainda achamos atalhos no "recent documents" apontando para ela. Neste caso, é inegável a conclusão, e um hash não faria a menor falta ao processo.
O que você tem feito para constatar a integridade de dumps de memória ? E em casos onde o conteúdo só está on-line ? Ou ainda, caso seja impossível capturar toda a mídia, o que você usa como procedimento ? Comente !
Até o próximo post !
O fato novo é que, desta vez, a discussão não parou no uso do algoritmo X, Y ou Z. De certa forma, foi mais profunda e acredito que tenha ajudado a levantar questões ainda não respondidas. Sim, porque em muitas situações, adotamos um procedimento como o correto a ser feito para todas as ocasiões, sem o menor questionamento, e acaba por ficar anos assim. Isso me lembra a estória do caminho das cabras. Há quem diga que, há alguns séculos, as cabras criavam suas próprias rotas no pasto, em busca de alimento. Os colonizadores, ao chegar, percebiam mais facilidade naquele caminho, pois a vegetação ali já estaria menos densa. Ao usá-los com frequência, acabaram por alargar a vegetação a sua volta e criaram ali as primeiras ruas. O progresso chegou e o primeiro passo foi asfaltar as ruas da tal cidade. Hoje, crianças perguntam aos avós porque determinada rua faz curva, enquanto que outras são retas e ninguém sabe a resposta. É porque aquele era o caminho das cabras ...
Pois bem, a polêmica foi boa para se repensar nos procedimentos e não ficarmos colocando asfalto sobre caminho de cabras. Um dos pontos questionados foi por que é obrigatório o uso de hash em casos de comprovação de integridade, quando os algoritmos usados já foram quebrados. É possível uma prova não ser admitida só porque alguém quebrou o algoritmo que comprovaria a sua integridade ??? E o caso de Live Forensics, onde o hash não vai ser igual porque o ambiente muda o tempo todo, já que ainda está em uso ? Houve ainda quem falasse da própria forense de memória, e que não dá para usar esta forma de comprovação de integridade.
Entre perguntas para cá e para lá, gostei muito da postura e opiniões de um dos participantes. Algo que ele ponderou, e que vale para nós brasileiros, é que não há nenhuma exigência legal de que seja usado o hash para a garantia de integridade. Isso foi um procedimento adotado e que agora precisa ser questionado. No caso americano, não haveria nenhum ponto no que eles conhecem como Dalbert Challenge que eliminaria uma prova só porque o hash dela não está idêntico. Outro ponto muito bem indicado é que a prova deve ter uma integridade estrutural por si mesma. Se ela não tiver, então não há caso. Simplificando o que ele disse, não podemos nunca basear uma conclusão em um único ponto, mas sim em um conjunto de vestígios que irão comprovar a história toda. Não podemos dizer que alguém é pedófilo porque simplesmente uma foto foi encontrada em um HD, mas poderemos se a foto estiver em um diretório particular, com algum tipo de classificação, se encontrarmos vestígios de que ela foi baixada em um site e que este site está gravado nos favoritos, ou ainda achamos atalhos no "recent documents" apontando para ela. Neste caso, é inegável a conclusão, e um hash não faria a menor falta ao processo.
O que você tem feito para constatar a integridade de dumps de memória ? E em casos onde o conteúdo só está on-line ? Ou ainda, caso seja impossível capturar toda a mídia, o que você usa como procedimento ? Comente !
Até o próximo post !
terça-feira, 3 de março de 2009
Wipe sem wiping
Estava lendo um post interessante sobre pendrives e SSD (Solid State Disk).
Por eles serem dispositivos NAND EEPROM, há uma vida útil associada ao ciclo de apagamento/escrita de células. A maioria fica na faixa de 100mil a 1 milhão de ciclos. Para extender o uso, os fabricantes lançam mão de um algoritmo chamado wear-levelling, que na prática fica mudando o local físico dos "setores" da mídia para não deixar a mesma célula sendo apagada e re-escrita várias vezes. Ou seja, se uma aplicação manda escrever um arquivo em uma mídia, o conjunto Sistema Operacional/Sistema de Arquivos trabalha para traduzir esse comando de alto nível em instruções do tipo "escreva tal informação nos setores 100, 101 e 105". Em um HD, esses setores vão estar sempre no mesmo local, mas em um pendrive ou em um SSD, eles vão mudar a cada vez que forem sobrescritos. Você estará mandando os mesmos comandos de "escreva tal informação nos setores 100, 101 e 105", mas fisicamente essa informação será jogada em outro lado (em outras células).
O que isso tem a ver com Segurança de Informações ?
Você é um profissional consciente dos riscos à confidencialidade de informações e por conta disso sempre roda um programa de wipe para sobrepor o arquivo com lixo antes de apagá-lo. Se este arquivo estiver em um pendrive ou SSD, o que vai acontecer é que o comando de sobrepor as informações com lixo ou zeros vai jogar fisicamente esse lixo/zeros em outro local, e não sobre os dados que você deseja apagar. Tudo por causa do Wear-Levelling. Vale ressaltar que obter esses dados não será nada fácil, pois a "controladora" do pendrive vai endereçar qualquer leitura da área não alocada para as células que fisicamente contém o lixo/zeros, mas ainda assim, os valores do arquivo que se desejou apagar ainda estarão lá. Existem processos e até mesmo artigos publicados (eu já li alguns) que mostram como fazer aquisição de dados diretamente da memória do pendrive, contornando a sua "controladora" (nada fácil, por sinal, e envolve até extrair o chip da plaquinha do pendrive). Nesse caso, o arquivo que supostamente passou pelo wipe pode ser recuperado, expondo a informação.
O que isso tem a ver com Forense Computacional ?
Com o que expus acima, poderemos recuperar arquivos que passaram pelo processo de wipe. O processo, como comentei, é bastante delicado e especializado, mas factível e altamente recomendável para laboratórios forenses em Polícias, por exemplo. Isso fica ainda mais importante quando notamos a proliferação do uso de SDD como discos, ao invés de HDs. O Asus Eee é um modelo que "vende igual água" e usa essa tecnologia. Há vários assim disponíveis no mercado.
Comentários ?
Até o próximo post !
Por eles serem dispositivos NAND EEPROM, há uma vida útil associada ao ciclo de apagamento/escrita de células. A maioria fica na faixa de 100mil a 1 milhão de ciclos. Para extender o uso, os fabricantes lançam mão de um algoritmo chamado wear-levelling, que na prática fica mudando o local físico dos "setores" da mídia para não deixar a mesma célula sendo apagada e re-escrita várias vezes. Ou seja, se uma aplicação manda escrever um arquivo em uma mídia, o conjunto Sistema Operacional/Sistema de Arquivos trabalha para traduzir esse comando de alto nível em instruções do tipo "escreva tal informação nos setores 100, 101 e 105". Em um HD, esses setores vão estar sempre no mesmo local, mas em um pendrive ou em um SSD, eles vão mudar a cada vez que forem sobrescritos. Você estará mandando os mesmos comandos de "escreva tal informação nos setores 100, 101 e 105", mas fisicamente essa informação será jogada em outro lado (em outras células).
O que isso tem a ver com Segurança de Informações ?
Você é um profissional consciente dos riscos à confidencialidade de informações e por conta disso sempre roda um programa de wipe para sobrepor o arquivo com lixo antes de apagá-lo. Se este arquivo estiver em um pendrive ou SSD, o que vai acontecer é que o comando de sobrepor as informações com lixo ou zeros vai jogar fisicamente esse lixo/zeros em outro local, e não sobre os dados que você deseja apagar. Tudo por causa do Wear-Levelling. Vale ressaltar que obter esses dados não será nada fácil, pois a "controladora" do pendrive vai endereçar qualquer leitura da área não alocada para as células que fisicamente contém o lixo/zeros, mas ainda assim, os valores do arquivo que se desejou apagar ainda estarão lá. Existem processos e até mesmo artigos publicados (eu já li alguns) que mostram como fazer aquisição de dados diretamente da memória do pendrive, contornando a sua "controladora" (nada fácil, por sinal, e envolve até extrair o chip da plaquinha do pendrive). Nesse caso, o arquivo que supostamente passou pelo wipe pode ser recuperado, expondo a informação.
O que isso tem a ver com Forense Computacional ?
Com o que expus acima, poderemos recuperar arquivos que passaram pelo processo de wipe. O processo, como comentei, é bastante delicado e especializado, mas factível e altamente recomendável para laboratórios forenses em Polícias, por exemplo. Isso fica ainda mais importante quando notamos a proliferação do uso de SDD como discos, ao invés de HDs. O Asus Eee é um modelo que "vende igual água" e usa essa tecnologia. Há vários assim disponíveis no mercado.
Comentários ?
Até o próximo post !
Assinar:
Postagens (Atom)