segunda-feira, 22 de fevereiro de 2010

Brazuca no blog de forensics do SANS

Minha falta de criatividade em títulos continua e agora eu "roubei" o título do micro-post do meu camarada Alexandre Teixeira, que viu a novidade antes mesmo de mim :) .

Há algum tempo recebi um convite para escrever para o blog de Forense Computacional que eu considero o mais conceituado do mundo no momento. Há diversos blogs muito bons por aí, mas o da SANS se destaca, principalmente porque é escrito por uma comunidade de peritos e investigadores digitais ao invés de apenas um escritor, como na maioria.

Ao receber o convite, além de ficar bastante lisonjeado, ocorreu-me que eu não tenho o certificado GCFA, da SANS, mas a turma que dirige o blog me deixou bem à vontade quanto a isso.

Hoje o meu primeiro artigo foi para o ar.

Para nós, o assunto não é tanta novidade, já que eu publiquei recentemente o texto antes aqui (Hashset de malware). Ainda assim, foi um grande motivo de orgulho estar publicando no mesmo veículo que alguns monstros da Forense Computacional mundial, como Rob Lee, Scott Moulton, Eoghan Casey e Craig Wright, entre outros.

Vamos ver os próximos artigos em breve ! Conto com o suporte de todos os amigos que me acompanham aqui no blog.

Até o próximo post, agora também em versão internacional :D !

** Alteração em 20/3 **

E não é que o artigo deu ibope ??

Agradeço todos os hits e espero continuar postando um conteúdo de qualidade por lá também.


3 comentários:

Alexandre disse...

É isso aí Tony, sucesso nos posts!

Ainda seremos privilegiados! No seu blog, em Português, os artigos são publicados primeiro! ;)

Abraço!

Sandro Süffert disse...

Grande Tony,

Meus Parabéns pelo post e pelas companhias ilustres! =)

Havia recebido um convite também mas agora que você já aceitou não vão querer outro brazuca, senão vira samba!

Agora, sobre o assunto do post (consultas ao NSRL do NIST), não sei se você já leu a abordagem usando dns / publicada ontem no blog dev/random:

http://blog.rootshell.be/2010/02/22/applications-white-list-by-iscnist/

$ find /data -type f -ctime 1 -exec dig -short /bin/md5sum {} \; | while read L
do set $L dig +short $L.md5.dshield.org TXT
done


Grande [ ] e congrats!

S.S.

Tony Rodrigues disse...

Obrigado, meu camarada !

Quanto ao convite, muito pelo contrário ! Aceite e formaremos cada vez mais um bom time de brazucas ! Vai ser muito bom ver os seus artigos por lá.

Eu não conhecia esse abordagem, via DNS. Ela é interessante, principalmente se vc está querendo confirmar um grupo pequeno de arquivos e tem conexão com a web. Não me parece viável fazer uma filtragem por hash completa usando esse método, por causa do tempo, mas ainda assim é possível. O artigo do blog só tem um detalhe a acertar: O hashset da NSRL não é um white list, pois lá tem arquivos maliciosos tb. Esse foi, inclusive, o ponto onde eu consultei o analista do NIST e ele me deu a dica de fazer a separação baseada na classificação que eles dão (selecionar os Hacker Tool e jogar em um outro arquivo).

Ae, vou ficar te perturbando até ver o seu primeiro artigo lá, hein ?!? Vamos lotar aquilo lá de brasileiros. :)