quinta-feira, 21 de junho de 2007

RAM or not RAM, eis a questão !

Não há dúvidas quanto a importância de se conseguir o maior número possível de artefatos em uma investigação. Até porque não devemos chegar a uma conclusão baseado apenas em um item. Há inúmeros locais em uma máquina (e fora dela também) onde devemos procurar artefatos que nos ajudarão a sustentar ou negar uma hipótese, e consequentemente descobrir o que de fato aconteceu.
Para essa busca de artefatos, devemos seguir uma ordem, que é chamada ordem de volatilidade. É uma escala do que se perde ou muda de estado, do mais volátil (ou que se perde mais facilmente) ao menos volátil, indicando essa ordem de prioridade na captura de informações. Dentre os mais voláteis, a RAM é sem dúvida a que traz o maior número de informações e artefatos.
As técnicas de se capturar os dados que constam na RAM tem melhorado bastante. No livro Windows Forensics Analysis, Harlan Carvey explora algumas dessas técnicas. A grande questão do momento é que todos os processos e técnicas apresentadas ou conhecidas hoje alteram o estado da RAM em algum grau. Isso vem recebendo críticas, já que pode ser difícil sustentar em juízo que essas alterações não estão prejudicando a análise. Alegações de que a técnica usada para obter a imagem da RAM pode alterar o estado da mesma a ponto de criar (ou destruir) artefatos que comprovariam ou negariam as hipóteses existem aos montes.
Há dois contra-argumentos a isso que gostaria de ressaltar:
1) Fazendo uma analogia com técnicas forenses usadas em outras áreas que não a computacional, sempre há algum grau de troca na "cena do crime". Entretanto, os procedimentos são documentados e as alterações são previstas.
Um paramédico, ao atender uma vítima, fatalmente introduz mudança no estado da cena. No entanto, os procedimentos que ele realiza são bem documentados e seus resultados e alterações são conhecidos.
Trazendo essa comparação para a forense computacional, procedimentos de captura bem definidos e bem documentados vão reforçar que nenhuma alteração introduzida foi capaz de criar ou destruir artefatos de suma importância.

2) Nenhuma conclusão deve ser baseada em um único artefato. Isso posto, ainda que o procedimento de captura alterasse a existência de algum artefato, isso jamais deveria por si só fundamentar toda a conclusão. A análise do que foi encontrado na RAM, correlacionada com outros dados voláteis levantados, e ainda com a análise da imagem dos HDs devem produzir um conjunto consistente de artefatos que conduzirão a uma conclusão fundamentada.

Esses dois argumentos são suficientes para me colocar na lista dos capturadores de RAM ;)

Os benefícios ? Muitos ... Análises envolvendo invasões por hackers, códigos maliciosos e imagens de disco criptografados são apenas alguns !

Comentários ?

Até o próximo post !

Nenhum comentário: