quinta-feira, 9 de abril de 2009

Anti-Forense ?

Há um post interessante sobre anti-forense no blog do Lance Mueller que vem bem a calhar sobre a nossa ultima discussão, falando de correlação. No post ele comenta acerca de um caso onde um atacante procurou usar técnicas de anti-forense para atrapalhar as investigações e encobrir alguns vestígios. O atacante trocou nomes e timestamps (datas de criação, modificação, etc) dos arquivos envolvidos no ataque. De maneira bastante divertida, Lance diz que não concorda com esse termo "anti-forense" e que isso é, na verdade, anti-administrador.

Por que ele disse isso ?

Primeiro porque um perito deve sempre verificar vários itens, independentemente do lugar que estão. Se estiverem no System, System32 ou Windows, mais atenção ainda deveremos ter. Em segundo lugar, porque o sistema era um Windows 2003, e o atacante usou timestamps de 2001.

Repare que, nos dois casos, o autor está usando correlação para chegar a uma conclusão a respeito do que aconteceu, e das técnicas de obfuscação usadas.

Um outro autor muito famoso no meio da Computação Forense, Harlan Carvey, costuma dizer que anti-forense não afeta os sistemas, mas sim as pessoas. Seria mais um anti-perito, pois o profissional atento vai correlacionar os dados que puder e vai concluir o que de fato ocorreu.

Comentários ?

Até o próximo post !

Nenhum comentário: