quinta-feira, 3 de fevereiro de 2011

Mais uma para se preocupar

As ações relacionadas à anti-forense estão cada vez mais criativas. Depois de milhares de técnicas diferentes para subverter a investigação, a ThotCon 0x1, primeira conferencia de segurança de informações em Chicago no estilo do nosso YSTS, trouxe uma palestra bem interessante ligada ao assunto.

Greg Ose e Chris Neckar, da Neohapsis, apresentaram Forensic Fail Malware Kombat. Nela, além de algumas técnicas, os autores mostram (e demonstram) como conseguiram executar código arbitrário durante uma perícia.

Eles perceberam que tanto o FTK quanto o Encase possuem uma falha que permite execução de código durante a análise de um malware especialmente montado. Além das óbvias implicações que isso tem, os autores afirmaram que já tinham notificado ambos os fabricantes há pelo menos 3 versões de cada produto (especula-se que a notificação tenha sido anterior à 6.14 do EnCase).

Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material. Gostaria de abrir uma linha de discussão sobre isso. Qual impacto esse problema (ou semelhantes) pode ter para a Computação Forense ? Isso fere a credibilidade dos resultados ? O problema já foi consertado ? O que dizer da postura das duas empresas em relação a demora em corrigir o problema ? Será que as ferramentas forenses também vão virar alvo de ataque ? Você já teve experiências semelhantes em outras ferramentas forenses ?

Comente !

Até o próximo post !

6 comentários:

SS disse...
Este comentário foi removido pelo autor.
SS disse...

Olá Tony, é bom ver você retomando a atividade no blog!

Quanto à esta apresentação da ThotCon 1, o pessoal da Neohapsis encontrou uma vulnerabilidade no visualizador de mais de 500 formatos de arquivos chamado "Oracle OutSide In" - que é utilizado por várias ferramentas - incluindo o FTK e Encase.

Obviamente as versões mais recentes das ferramentas já possuem o módulo Outside-In da Oracle já corrigido (superior à v8.3.2.5378) - lembrando que a apresentação é de abril de 2010.

Como sabemos, é fundamental utilizar sempre a última versão de qualquer ferramenta e esta preocupação deve ser ainda maior quando falamos de segurança forense computacional.

Infelizmente existem algumas pessoas que "se acostumam" com versões mais antigas de softwares, e continuam as utilizando.. o que pode gerar problemas - do browser a suite de investigação forense.. =)

um abraço!

S.S

Tony Rodrigues disse...

Ainda bem devagar, meu camarada ! Tenho vários artigos e idéias, mas o tempo anda escasso pacas !

Isso mesmo, o problema foi na Outside In. O que chamou a atenção é que, até então, havia pouca pesquisa sobre vulnerabilidades em ferramentas forenses.

Bom saber que as versões atuais já corrigiram o problema. Vc sabe se as empresas se manifestaram oficialmente em relação ao atraso na liberação da correção ? Houve alguma ocorrência em juízo citando o problema, tentando desqualificar as ferramentas ?

Abração !

Giancarlo disse...

Olá Tony.

Isso é bastante interessante.

Embora o TSK e Encase sejam, por natureza, como qualquer outro software e por isso estão sujeitos às mesmas ameaças, a idéia de se fazer antiforense nas ferramentas forense é orignal e também preocupante.

Já pensou em alguém utilizar algum "exploit" não documentado contra essas ferramentas?

Mais um bom motivo para correlacionar fatos e não acreditar cegamente e 100% em ferramentas.

t+

Unknown disse...

"Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material."

Ficaria grato se compartilhasses o material no blog.

"Isso fere a credibilidade dos resultados?"

Sendo a falha conhecida, divulgada, sim.
Não podemos esquecer que falho todo software e até mesmo hardware são.

Saudações,
Medina

Unknown disse...

"Essa palestra foi há quase um ano e somente agora eu pude ter contato com o material."

Ficaria grato se compartilhasses o material no blog.

"Isso fere a credibilidade dos resultados?"

Sendo a falha conhecida, divulgada, sim.
Não podemos esquecer que falho todo software e até mesmo hardware são.

Saudações,
Medina