Li um artigo muito interessante hoje sobre o novo FTK, da AccessData. Este software é bem conceituado no mercado, e concorrente do EnCase, da Guidance.
Acontece que a nova versão do FTK traz, dentre algumas melhorias, uma que pode ser considerada um tanto perigosa. É possível acompanhar detalhes dos casos via web, pelo browser. Ou seja, você pode publicar seu servidor de casos e acessá-lo remotamente, passeando pelas evidências e detalhes já cadastrados para o caso. É aí que mora o problema ...
Como o HogFly bem notou e escreveu em seu blog, se você estiver trabalhando em um caso de Pedofilia, e acontecer de acompanhar as fotos-evidências remotamente, invariavelmente o seu Internet Explorer vai fazer o cache do que você está vendo. Pode ser que isso comprometa o investigador, ou até mesmo o dono da máquina, pois o cache vai guardar e, para todos os fins, atestar que alguém está acessando conteúdo de pedofilia naquela máquina. É possível que, além do cache, outros artefatos existam, tais como um cache de thumbs.
Preocupante, não ?
HogFly também aponta outras coisas, como a possibilidade de ter esse servidor explorado. Concordo com ele. Servidor de casos ou um servidor de Forense Computacional não é para ficar pendurado na internet.
O que vcs acham ? Algum usuário do FTK ? Participem !
Até o próximo post !
4 comentários:
Espantoso constatar como uma nova versão de um software para um fim que deveria ser seguro pode expor de tamanha forma seu operador remoto. Esta é mais uma prova que nos leva a refletir sobre a avaliação de uso destes programas, em sua forma online. Talvez seja realmente melhor deixar o equipamento sem acesso via web / rede.
É verdade, Alessandro.
Só para reforçar, a questão desse software não é um bug, mas um erro no design (na minha opinião). Tentou-se flexibilizar e dar algumas facilidades ao Investigador, mas no final abriram um problema ...
Uma dica boa para isso, pelo menos com relação ao problema do que fica em cache: Usar o SODP, software da Symantec que cria uma máquina virtual ao acessar um site, e ao final ele desmonta o drive e o apaga, não deixando nada na máquina. É muito bom, nós usamos aqui para proteção de endpoint.
[]s
Pessoal, meu inglês não tão bom. mas acho que estes softwares monitoram menságens de celulares né? eu gostaria de recuperar mensagens excluídas de um andróide.
Poderiam me ajudar?
Postar um comentário