segunda-feira, 24 de novembro de 2008

Não agradou ...

Uma iniciativa bastante interessante causou alguma polêmica no meio da Forense Computacional americana.
Lançado a poucos meses, a National Repository for Digital Forensic Intelligence (NRDFI, para os amantes de acrônimos) é um site que oferece uma plataforma para compartilhamento de conhecimento sobre Forense Computacional.
O site começou com mais de 1000 artigos, dicas e trabalhos sobre o assunto. Até aqui é tudo boa notícia, certo ?
A parte ruim começa com a questão de acesso. O site é restrito aos LE americanos - agentes da lei. Na prática, uma grande maioria de experts vai ficar de fora, e isso acabou levando o projeto a receber uma enxurrada de críticas. A grande ironia, inclusive, é que os autores da maioria dos textos disponíveis lá não vai poder acessá-los ... Alguns também alegaram que o projeto não é nada além do que a ForensicWiki é. No fim das contas, parecem estar certos. Talvez a diferença principal seja que a NRDFI tenha gente paga para adicionar os artigos o tempo todo, enquanto que a ForensicWiki ganha artigos de forma voluntária.

De qualquer forma, achei o projeto interessante. Não conheço nenhum tipo de iniciativa como essa aqui pelas nossas bandas. Alguém conhece alguma ? Talvez isso seja mais um tópico a discutir nas nossas listas por aí ...

Comentários ?

Até o próximo post !

quarta-feira, 19 de novembro de 2008

Novos Live CDs

Recentemente descobri duas novas opções de Live CD para Informática Forense.

O DEFT já está na versão 4, que foi lançada há poucos dias. Ela é baseada no Xubuntu 8.10, e entre outros utilitários, possui:
- Sleuthkit
- Autopsy
- Afflib
- Guymager
- dc3dd
- Linen
- Xplico

Uma opção que em breve estará liberada, segundo o seu site, é a versão para ser instalada em USB.

A turma de Informática Forense italiana está mesmo com a corda toda, pois o outro Live CD recentemente lançado também vem de lá.

O Caine (Computer Aided Investigative Environment) foi produzido em cima do Ubuntu 8.04 e tem, entre outros, os utilitários:

- Autopsy 2.20
- SleuthKit 3.0 SFDumper
- Guymager
- LRRP
- Fundl
- scalpel
- foremost
- stegdetect
- testdisk
- libewf
- afflib
- gparted
- ophcrack
- liveusb
- gtk-recordmydesktop

Em breve pretendo publicar um comparativo entre ambos, e atualizar o que já publiquei anteriormente, onde já constam Helix, FCCU e FTDK.

Alguém já testou um dois dois e gostaria de comentar ?

Até o próximo post !

terça-feira, 18 de novembro de 2008

Curto, porém pesado ...

O post de hoje é curto, porém meio pesado. Talvez por isso tenha também chegado atrasado.

Há cerca de um mês está rolando um rolo meio estranho envolvendo duas gigantes da Forense Computacional mundial. A Guidance, criadora do EnCase, não teve um ano bom e, ao que tudo parece, viu suas ações caírem em queda livre neste ano. A AccessData, que é a mãe do FTK, não deixou por menos e aproveitou para jogar lenha na fogueira: ofereceu para comprar a Guidance, comprando ações dela por U$ 4.50.

Segundo alguns comentaristas, não se sabe ao certo se a estratégia seria genuína ou se a AccessData está jogando a pá de cal. O fato é que a Guidance negou a oferta e, mesmo em meio a uma possível negação da negociação pela lei antitrust americana, o CEO da AccessData nem quis saber e já avisou que vai fazer a oferta direto aos acionistas.

Há quem diga estar rolando um certo veneno na situação, pois o atual CEO já foi executivo da Guidance.

Vamos esperar o melhor para o mercado e ver no que dá esta situação inusitada.

Até o próximo post !

quinta-feira, 13 de novembro de 2008

Resposta atrasada

Ao rever meu camarada Wagner Elias no H2HC, lembrei que ficamos de papear a respeito de um procedimento em alto nível para suspeita de vazamento de dados por comprometimento de um servidor. O tempo estava escasso, muitas viagens acontecendo e o papo acabou não acontecendo.
Ao revê-lo, decidi abordar o assunto neste post aqui.

Basicamente, algumas leis americanas estão requerendo que seja determinada a extensão de um ataque, ao ponto de poder provar que os dados dos clientes não foram comprometidos. Caso a empresa não consiga apresentar provas de que nada foi comprometido, ela está obrigada a reportar a perda publicamente. Outras determinações nesse sentido estão por conta do PCI DSS, um conjunto de requisitos de Segurança de Informações para quem opera com cartões de crédito. Um dos requisitos seria a existência de um procedimento para a equipe de resposta a incidentes que deixasse explícito como agir em caso de suspeita de ataque. O procedimento seria complementar a resposta do incidente, indicando os passos necessários para determinar se houve ou não vazamento de informações privadas, principalmente as info relacionadas a número de cartão de crédito.

Não vou detalhar o procedimento aqui no post, mas a linha seria seguir:

1. Logs de rede relativos a infraestrutura e segurança (logs do firewall, logs dos roteadores, logs de acesso do servidor de dados).

2. Captura de pacotes de rede nas máquinas suspeitas de estarem comprometidas.

3. Imagem da memória das máquinas comprometidas.

4. Imagem forense das máquinas comprometidas.

Os dados dos quatro itens acima, devidamente correlacionados, poderão indicar se houve ou não o comprometimento dos dados. Pelo item 1 é possível verificar aquilo que foi negado ou permitido nas operações, e que podem ter culminado no comprometimento do servidor. Por exemplo, se os dados estão armazenados no servidor de banco de dados, os logs da trilha de auditoria deverão dar indicações do acesso e/ou modificação dos dados.

Como já foi comentado, o servidor com possibilidade de comprometimento não deve ser imediatamente desligado. Antes, deve-se espelhar sua porta no switch para um sniffer que colha informações e pacotes de todas as comunicações para esse servidor. O resultado, geralmente um arquivo pcap, deve ser analisado em busca de palavras chave nos pacotes.

Com o item 3 e 4 conseguimos, a luz de outros procedimentos, definir o que estava na memória e no disco que pudesse implicar ou indicar perda dos dados.

Alguém quer acrescentar algo ?

Até o próximo post !

terça-feira, 11 de novembro de 2008

Se a moda pega ...

Estava lendo esses dias um artigo no blog do Keith Jones e Brian Dykstra. Não é um artigo muito novo, e comentava sobre um suposto especialista em Forense Computacional ter sido processado nos EUA, após vir a tona que o tal especialista não sacava do riscado tanto assim.
O artigo é uma espécie de alerta, já que muita gente vai pelo que lê no currículo e acaba sendo prejudicada por um trabalho ou assistência mal feitos. Foi o caso em questão, pois ao que parece o tal perito andou incrementando o currículo com lorotas.
O caso do artigo não aconteceria aqui simplesmente porque lá há uma fase do processo chamado cross examination, onde o advogado da outra parte tenta, como parte da estratégia, literalmente acabar com a credibilidade do perito. Foi assim que o tal malandro foi descoberto.
Fiquei lembrando certas situações. Realmente, já estive em casos onde percebi que o profissional não sabia absolutamente nada sobre a parte mais básica de Forense Computacional. Já vi gente procurando informações com DIR, tendo bootando a máquina pelo HD original, que estava sendo guardado lacrado. Vi um cara uma vez dizer que havia um malware provocando certo comportamento, mas como não conseguia provar, disse que o malware estava instalado na placa mãe ...

Comente as histórias que você já viu. Afinal, pérolas são para serem apreciadas ;)

Até o próximo post !

domingo, 9 de novembro de 2008

H2HC - Segundo Dia

Travei uma luta enorme com o travesseiro para chegar lá no horário da primeira palestra, mas perdi feio. Quando cheguei já estava rolando uma discussão interessantíssima sobre a produção nacional em relação a Segurança de Informações.

Capitaneada pelo Ronaldo Vasconcelos, da Security Guys, a palestra terminou e o assunto rolou, nas perguntas, para a turma do projeto Mayhen, que andou distribuindo camisetas irônicas no evento com o nome da turma que já foi "ownada". Alguns exibiam um bottom enorme, parecido com aqueles "Quer emagrecer ? Pergunte-me como" que muitos gordinhos exibem por aí. No bottom, em letras garrafais, estava "I'm not a CISSP". hahahaha. Tive vontade de pendurar meu bottom da ISC2, já que o clima estava para brincadeiras, mas não daria para rivalizar com o deles, que devia ser 5 vezes maior. Na próxima conferência acho que vou fazer um bottom enorme "Yes, I'm CISSP and my bottom is bigger than yours" hahahaha.

Bem, bottoms a parte, o segundo dia prometia. Estava começando muito bem. Júlio Auto sucedeu e não deixou a peteca cair, mostrando Reverse Engineering muito bem. Excelente palestra. o evento estava um pouco atrasado por conta do volume de perguntas na palestra do Ronaldo, mas foi acertado com a ausência do Rafael Silva. Tudo certo, fomos ao almoço e na volta estava o Guto Motta, da CheckPoint, mostrando as vulnerabilidades do sistema GPRS.
Assustador ...

Em seguida, a palestra mais esperada (pelo menos por mim e acho que outros ligados a Informática Forense). Diogo Camargo falou sobre Direito Eletrônico e como a coisa está andando no Brasil. Muito boa palestra, várias perguntas apareceram e, no coffee break, eu tive de zarpar, pois teria de viajar. A palestra que perdi prometia bastante, Wagner Elias, um dos papas da Segurança de Aplicações Web, estava a postos.

No fim das contas, perdi também o resultado do CTF. Vou ver no site do evento depois.

Alguém gostaria de comentar algo sobre o evento ?

Até o próximo post !

sábado, 8 de novembro de 2008

H2HC - Primeiro Dia

O evento começou bem, e com palestras de peso.

Steve Adegbite fez uma excelente apresentação das iniciativas da Microsoft em relação à Segurança nos produtos. A palestra não se prendeu a um produto específico, mas sim a algumas metodologias usadas no grupo que ele faz parte. A partir daí, tivemos duas palestras bastante técnicas, com detalhes, sobre o funcionamento da BIOS, do barramento PCI e como explorar essas características para criar rootkits. A outra, da turma da Immunity, indicava como detonar o esquema do DEP.

Findo o almoço, Rodrigo Costa teve a árdua tarefa de manter a turma acordada depois da churrascaria, feijoada, buchada e o que mais a turma almoçou. Falou sobre Samba (o sistema, não o ritmo musical) e foi sucedido por um hermano muito gente boa, Francisco Amato, que encarou aulas de português e deu conta do recado ao mostrar o seu projeto Evilgrade. Foi a melhor palestra do dia, na minha opinião, e enquanto o ouvia, imaginei que artefatos poderiam ser colhidos nas vítimas desse tipo de ataque. Basicamente, ele desenvolveu uma ferramenta que engana o DNS durante requisições de update (Windows Update, Java, Adobe e outros). No fim das contas, ele envia um conteúdo para ser executado na máquina vítima como se fosse um patch de update. Mais uma palestra sobre Wireless USB e o dia estava terminado.

Nesse interim, algumas peças raras circulavam com dois notebooks, algumas vezes digitando freneticamente. Era o Capture The Flag rolando.

Amanha comento o segundo dia da conferência.

Até o próximo post !

sexta-feira, 7 de novembro de 2008

H2HC 2008

Estarei a partir desse sábado na H2HC, em Sampa. Quem estiver por lá e quiser papear, é só me procurar.

Vejo a turma de Forense por lá.

Grande abraço e até o próximo post !