Um post rápido para colocar a turma para comentar.
Não é incomum vermos os assuntos de Computação Forense (Forense Computacional, Informática Forense, ou seja lá como for que você chame) incluírem também a parte de forense de telefone celular, forense de smartphone, PDA, iPod e mp3 player. Não é difícil ver esses temas juntos em conferências, palestras, blogs e papers. Por causa disso, já tenho visto em alguns sites o uso do nome Digital Forensics ao invés do conhecido Computer Forensics.
Você concorda com o termo ? Está mais adequado, ou é modismo, na sua opinião ?
Comente.
Até o próximo post !
quinta-feira, 26 de fevereiro de 2009
terça-feira, 24 de fevereiro de 2009
Caine 0.5
Não demorou muito tempo para que a nova versão do CAINE chegasse. A versão 0.5 traz uma série de benefícios, de acordo com a documentação:
- FrontEnd em Windows (WinTaylor) - Estava faltando esse para completar a lista dos heróis de CSI :))
- Execução dos utilitários Windows a partir de um HTML (o que facilita bastante em relação às ferramentas e suas necessidades)
- Atualização do ntfs-3g
- Opção de boot em modo texto (excelente !)
- Atualização dos pacotes do Ubuntu
- GtkHash
- Firefox 3.0.6
- Possibilidade de colocar o nome do caso e dos investigadores no relatório
- Templates de relatórios em Alemão, Francês e Português, além de Inglês e Italiano, que já existiam (o template em Português foi minha humilde contribuição a esse excelente projeto).
- A página inicial do Firefox é uma lista das ferramentas e um manual simplificado (excelente).
Uma das melhores novidades é, sem dúvida, a parte Windows do CAINE, destinada a Resposta a Incidentes em Windows. O único Live CD Open Source que oferecia esta funcionalidade era o Helix, e com a saída dele para o mercado "não-livre", tínhamos ficado sem opções. A turma do DEFT também prometeu para breve a sua versão com utilitários Windows para Resposta a Incidentes. Vamos ver !
Um ponto a ser mencionado: a sensível melhoria na parte de documentação. O website traz muito mais detalhes a respeito das ferramentas e interfaces. A turma está mesmo de parabéns.
Alguém já testou e gostaria de comentar ?
Em breve atualizarei minha análise do CAINE.
Até o próximo post !
- FrontEnd em Windows (WinTaylor) - Estava faltando esse para completar a lista dos heróis de CSI :))
- Execução dos utilitários Windows a partir de um HTML (o que facilita bastante em relação às ferramentas e suas necessidades)
- Atualização do ntfs-3g
- Opção de boot em modo texto (excelente !)
- Atualização dos pacotes do Ubuntu
- GtkHash
- Firefox 3.0.6
- Possibilidade de colocar o nome do caso e dos investigadores no relatório
- Templates de relatórios em Alemão, Francês e Português, além de Inglês e Italiano, que já existiam (o template em Português foi minha humilde contribuição a esse excelente projeto).
- A página inicial do Firefox é uma lista das ferramentas e um manual simplificado (excelente).
Uma das melhores novidades é, sem dúvida, a parte Windows do CAINE, destinada a Resposta a Incidentes em Windows. O único Live CD Open Source que oferecia esta funcionalidade era o Helix, e com a saída dele para o mercado "não-livre", tínhamos ficado sem opções. A turma do DEFT também prometeu para breve a sua versão com utilitários Windows para Resposta a Incidentes. Vamos ver !
Um ponto a ser mencionado: a sensível melhoria na parte de documentação. O website traz muito mais detalhes a respeito das ferramentas e interfaces. A turma está mesmo de parabéns.
Alguém já testou e gostaria de comentar ?
Em breve atualizarei minha análise do CAINE.
Até o próximo post !
sexta-feira, 20 de fevereiro de 2009
De uma vez por todas
O Dr Craig Wright colocou um ponto final sobre um assunto que já se tornou bastante polêmico: Afinal, é possível ou não sobrescrever um dado e depois recuperá-lo ??? A resposta é um sonoro NÃO !
A controvérsia iniciou com um fundamento em parte correto (que eu já escutei e passei adiante, admito): Um bit 1 sobrescrito sobre um bit zero não seria realmente 1, mas algo em torno de "0.95", ao passo que sobrescrito sobre um bit 1 seria "1.05". Dessa forma, seria possível recuperar o conteúdo anterior buscando essas "variações com padrão" do 1. O problema é que isso não é mais verdade. Já foi, um dia, lá atrás, quando falávamos de drives de disquete. Os HDs atuais não teriam esse tipo de característica, nem de longe.
O artigo dele é muito interessante, e coloca outros fatores e técnicas. Uma delas até faz com que a recuperação seja possível, porém demoraria tanto tempo que não seria viável economicamente (na faixa de dezenas de anos). No final do artigo, ele mostra o resultado de uma pesquisa onde vários padrões de sobrescrita foram usados, a partir de drives muito utilizados ou mesmo em drives zerados de fábrica, novinhos. O resultado é que há cerca de 0.9% de chance de se recuperar UM bit. Dois bits já faz a probabilidade cair, um byte então, nem pensar ...
Isso põe em discussão outro ponto que é dado como certo. Vale a pena mesmo perder horas fazendo um wipe com zilhões de passadas, quando apenas uma daria certo e impediria a recuperação ?
Comente !!!
Até o próximo post !
A controvérsia iniciou com um fundamento em parte correto (que eu já escutei e passei adiante, admito): Um bit 1 sobrescrito sobre um bit zero não seria realmente 1, mas algo em torno de "0.95", ao passo que sobrescrito sobre um bit 1 seria "1.05". Dessa forma, seria possível recuperar o conteúdo anterior buscando essas "variações com padrão" do 1. O problema é que isso não é mais verdade. Já foi, um dia, lá atrás, quando falávamos de drives de disquete. Os HDs atuais não teriam esse tipo de característica, nem de longe.
O artigo dele é muito interessante, e coloca outros fatores e técnicas. Uma delas até faz com que a recuperação seja possível, porém demoraria tanto tempo que não seria viável economicamente (na faixa de dezenas de anos). No final do artigo, ele mostra o resultado de uma pesquisa onde vários padrões de sobrescrita foram usados, a partir de drives muito utilizados ou mesmo em drives zerados de fábrica, novinhos. O resultado é que há cerca de 0.9% de chance de se recuperar UM bit. Dois bits já faz a probabilidade cair, um byte então, nem pensar ...
Isso põe em discussão outro ponto que é dado como certo. Vale a pena mesmo perder horas fazendo um wipe com zilhões de passadas, quando apenas uma daria certo e impediria a recuperação ?
Comente !!!
Até o próximo post !
sexta-feira, 13 de fevereiro de 2009
Computação Forense 0800 (ou quase !) - CNASI RJ
Estarei palestrando no XII CNASI RJ no dia 23 de março. A palestra - Computação Forense 0800 (ou quase !) - trata de ferramentas open source para Forense Computacional, explorando suas potencialidades no dia a dia de um perito. A princípio, a programação da palestra é para dia 23 de março às 16h45. Se houver mudanças, eu aviso por aqui.
Para quem ainda não viu, a grade do CNASI RJ está bastante interessante. Vale a pena dar uma olhada.
Até o próximo post !
Para quem ainda não viu, a grade do CNASI RJ está bastante interessante. Vale a pena dar uma olhada.
Até o próximo post !
segunda-feira, 9 de fevereiro de 2009
Introdução à Forense Computacional - Instituto Infnet
Estarei na próxima segunda, dia 16 de Fevereiro, novamente no Instituto Infnet aqui do RJ ministrando a palestra Introdução à Forense Computacional. A palestra tem cerca de duas horas e aborda conceitos, áreas de trabalho, principais características e as novidades do mercado. Começa às 18h30 em ponto, e é necessário registrar-se no site da Infnet.
Aguardo vocês por lá !
Até o próximo post !
Aguardo vocês por lá !
Até o próximo post !
sábado, 7 de fevereiro de 2009
Helix em nova versão
Conforme eu vinha anunciando por aqui, a e-fense estava mudando a forma de trabalhar com o Helix. A história foi anunciada no melhor formato do "gato subiu no telhado". Aos poucos, as notícias sinalizavam que o Helix não seria mais um open source.
Ontem saiu finalmente a constatação. A versão 2009R1 está liberada, traz algumas modificações nos bugs reportados e atualiza duas ferramentas. Não chega a ser uma mudança que justifique uma nova release. Está mais para marcar a mudança no formato de trabalho, pois agora só se consegue baixá-la se estiver registrado no fórum e comprar um "token", ou seja, tem custo.
O restante das novidades está por conta de algumas ferramentas comerciais: O Live Response, um software de aquisição de dados voláteis (incluindo memória, registry, etc) vendido em um pen drive (por pouco mais de 400 doletas) e o Helix Enterprise, baseado no Live CD do Helix, que nem preço tem divulgado abertamente.
Para fechar, há o anúncio do Helix Pro, uma ferramenta considerada a evolução do Helix Live CD, com foco em Live Response, para CD ou pen drive.
Alguém com intenções de adquirir o produto, ou que já o tenha adquirido, gostaria de comentá-lo ?
Até o próximo post !
Ontem saiu finalmente a constatação. A versão 2009R1 está liberada, traz algumas modificações nos bugs reportados e atualiza duas ferramentas. Não chega a ser uma mudança que justifique uma nova release. Está mais para marcar a mudança no formato de trabalho, pois agora só se consegue baixá-la se estiver registrado no fórum e comprar um "token", ou seja, tem custo.
O restante das novidades está por conta de algumas ferramentas comerciais: O Live Response, um software de aquisição de dados voláteis (incluindo memória, registry, etc) vendido em um pen drive (por pouco mais de 400 doletas) e o Helix Enterprise, baseado no Live CD do Helix, que nem preço tem divulgado abertamente.
Para fechar, há o anúncio do Helix Pro, uma ferramenta considerada a evolução do Helix Live CD, com foco em Live Response, para CD ou pen drive.
Alguém com intenções de adquirir o produto, ou que já o tenha adquirido, gostaria de comentá-lo ?
Até o próximo post !
segunda-feira, 2 de fevereiro de 2009
ForLex 1.5.0
ForLex é mais um live CD que vem da terra da bota. Os italianos não estão dormindo em serviço, e o ForLex é mais um exemplo disso.
Pontos Positivos
Criado por Luca Guerrieri há pouco menos de um ano, o ForLex já está na sua terceira release. A base dele é o Knoppix.
Algo que vai ser um obstáculo à maioria dos usuários é que tanto o site quanto o live CD estão em italiano. O site ainda mantém algumas poucas linhas em inglês (bem pouco mesmo). O CD não tem opção de troca de teclado logo no boot.
O Desktop está bem limpo, com apenas alguns ícones essenciais. A ausência do Firefox, em favor do Iceweisel, é facilmente observada. A parte de software de office foi deixada de fora, mas o Vim está presente, para alegria dos mais antigos desse tipo de editor. Estranhamente, vários itens do menu não funcionam, sem dar nenhuma mensagem de erro, e o Autopsy/SleuthKit não estão na versão mais atual, apesar da versão 1.5.0 ter sido lançada recentemente. A novidade fica por conta do Allin1 (leia All in one), um aplicativo que roda sobre o SleuthKit e permite executar uma série de tarefas sem precisar navegar por menus, como no Autopsy. Eu disse que esse item é novidade porque ele existe no Helix, mas por algum motivo não funcionou. Para aquisição, o Guymager e o Linen estão disponíveis, fora os tradicionais em CLI.
Pontos Positivos
- A interface do All in One pode facilitar o trabalho para quem não gosta do Autopsy
- Boot bastante rápido
- Guymager e Linen, dois excelentes utilitários de aquisição
Pontos Negativos
- Pouca documentação
- Site somente em italiano
- Poucos utilitários e alguns defasados
Comentários ???
Até o próximo post !
Assinar:
Postagens (Atom)