sábado, 27 de março de 2010

Novo SIFT também é Live CD

A bem da verdade, virou um Live DVD. Essa é apenas uma das novidades trazidas na versão 2.0 do appliance virtual da SANS voltado para Forense Computacional.

Além dessa novidade, de termos disponíveis um Live DVD e um appliance virtual, a turma da SANS avisa que a VM foi completamente refeita, desta vez baseada em Ubuntu. Abaixo, uma lista de algumas funcionalidades e ferramentas disponíveis:

Suporta os seguintes sistemas de arquivos:
  • Windows (MSDOS, FAT, VFAT, NTFS)
  • MAC (HFS)
  • Solaris (UFS)
  • Linux (EXT2/3)
Tipos de imagens suportados:
  • Expert Witness (E01 - formato do Encase)
  • RAW (dd)
  • Advanced Forensic Format (AFF)
Ferramentas:
  • The Sleuth Kit
Simplesmente o melhor para análise de sistema de arquivos
  • log2timeline
Gerador de linha de tempo que expande as funcionalidades além dos MAC times
  • Regripper
Usado para resgatar valores do Registry
  • ssdeep & md5deep
Hash e fuzzy hash
  • Foremost/Scalpel
Carving de arquivos
  • WireShark
Network Forensics
  • Vinetto
Examina e lista conteúdo de arquivos thumbs.db
  • Pasco
Examina o history do IE
  • Rifiuti
Verifica arquivos INFO2 do Recycle Bin
  • Volatility Framework
Análise de artefatos em Memoria
  • DFLabs PTK
Interface para o Sleuth-Kit
  • Autopsy
Interface para o Sleuth-Kit
  • PyFLAG
Interface com várias funções de investigação


A turma vem reportando uma grande lentidão no download, então prepare-se e tenha bastante paciência. Alguém já baixou e tem algum comentário ??

Até o próximo post !

domingo, 21 de março de 2010

You Shot The Sheriff 4

Um dos eventos mais comentados da comunidade de Segurança de Informações do Brasil vai ter sua nova edição. O YSTS 4 já tem data marcada e eu estarei lá para conferir. Aliás, não somente isso, porque estarei palestrando também !

O tema sobre o qual vou falar é Virtualização e Computação Forense. Minha idéia é falar sobre a reviravolta, no sentido mais positivo da palavra, que a virtualização trouxe para TI. Logicamente, onde há tecnologia, há formas de exploração e também benefícios. Vamos discutir sobre esse assunto por lá, em meio a altas concentrações etílicas e a possibilidade de virtualização da platéia também hehehe.

A agenda do evento está muito boa. Acompanhe maiores detalhes aqui. Além de Forense, vamos ter Cloud Computing, Segurança Física, Pen Test de SAP, Exploits avançados e outras coisas mais.

Vejo vocês lá, no dia 17 de maio. Quem vai ?

Até o próximo post !


sábado, 6 de março de 2010

Web Page Saver

Quantas vezes, durante um processo investigativo, não precisamos obter uma "foto" de um grupo de sites, exatamente como eles estão naquele momento ? É muito comum.

A tarefa pode ser executada de maneira até muito simples. Basta digitar o endereço no seu browser, esperar para carregar a página, usar um capturador de tela ou mesmo o famigerado Print Screen, colar em algum software que manipule imagens e, finalmente, salvar no local escolhido e no formato escolhido. Nada mal, se não fossem os excessos de cliques e a espera por cada operação. Quando isso deve ser feito em conjunto com várias URLs, pode ser bem desagradável.

Para contornar isso, a JAD Software, mesma criadora do IEF, apresentou recentemente o WPS. O Web Page Server aceita uma lista de URLs digitada manualmente ou carregada a partir de um .txt, e executa todos os passos necessários para carregar cada página e registrar um snapshot dela. O arquivo originário pode ser gravado em local e formato escolhidos previamente.

A idéia pode parecer simples, mas vai poupar um trabalhão na hora da necessidade. Pena que o software, assim como a maioria na JAD, não é free ou open source. Ainda assim, faço questão de registrá-lo aqui porque os valores cobrados são bem acessíveis e convidativos. Em geral, são utilitários bem simples e muito eficientes.

Alguém já usa esse software ou conhece outro utilitário da JAD e gostaria de comentar ?

Até o próximo post !