sábado, 14 de novembro de 2009

CFIR

Uma tendência muito comum em TI é ver plataformas crescerem demais e gerarem subdivisões, cada uma mais especializada. Não posso dizer que esse é o caso do que vou apresentar aqui, mas a ideia é a mesma.

Uma turma da Malásia acabou de lançar um novo Live CD para forense, chamado de CFIR (Computer Forensics and Incident Response). Pelo que foi passado pelos autores, o Helix era a ferramenta que o grupo usava mais, só que estava cada vez maior e não atendia quando pegavam uma máquina antiga ou com poucos recursos. Ainda por cima, segundo eles, há muita coisa desnecessária. Conclusão: Criaram uma versão Linux super-reduzida em Live CD direcionada para coleta e análise.

Algumas das características do CFIR realmente impressionam. Ele levou aqui na minha máquina algo entre 8 e 12 segundos para reinicializar. No Helix, você coloca para reinicializar e depois pode ir tranquilo a uma lanchonete lotada pedir aquele chá daquelas plantas que só cresce durante o verão russo, espera irem lá colher, fazerem o chá e na sua volta, dois anos depois, a máquina ainda vai estar entrando no modo gráfico.

É realmente um ponto interessante que não precisamos de todas as ferramentas disponíveis em um Live CD em cada trabalho. Seria interessante que tivéssemos Live CDs com foco no que precisamos, separados em XXX-Captura, XXX-Análise e , por que não, o XXX-Live, onde teríamos uma possibilidade de contar com todas as ferramentas. Esse seria mais exigente, talvez.

O CFIR não é a oitava maravilha do mundo, mas está nascendo agora, e nessa linha podemos ter alguns avanços muito bons. Ele está na versão 1.2, tem kernel 2.6.26 com base no Red Hat, e seu super-fast boot cai direto no modo texto. Digite startx e uma interface gráfica bem simples aparece, com algumas opções no menu. Tudo bem enxuto.

Não há documentação alguma do produto, mas dei uma boa olhada e, dentre algumas características, posso acrescentar:

- Browser Mimos-V
- PCMan File Manager
- GCView para visualizar imagens
- xpdf viewer, Hex Editor lfhex
- regviewer (browser de registry)
- antivirus
- wireshark
- nessus
- TSK 2.52

Há outras ferramentas de linha de comando, incluindo o dcfldd, o dd e o md5sum, mas a distro é realmente bem enxuta, com pouco mais de 100 Mb. É tão enxuta que nem o "more" colocaram, o que eu acho ruim. Está configurada para o teclado americano, ou seja, se você tem ABNT2, vai sofrer um bocado. Também detectei um problema com o Autopsy, se for acionado pelo menu da interface gráfica. Pelo terminal funciona corretamente. O Linen, pela interface, não deu o ar da graça e ainda por cima travou o terminal ...


Pontos Fortes:

* Boot extremamente rápido;
* Ocupa pouco espaço, fácil de baixar e atualizar;
* Direcionado para aquisição/coleta de imagens;
* Roda bem em máquinas antigas ou com pouca memória;
* Cai direto em modo texto, o que facilita para usuários avançados;
* Sem frescuras;
* Não monta automaticamente nenhuma partição

Pontos Fracos:

* Ausência de comandos importantes, como setxkbmap e more;
* Ausência de documentação;
* Não há uma versão "irmã" voltada para análise
* Voltado quase que exclusivamente para Dead Acquisition.

Alguém já está usando e gostaria de comentar ?

Até o próximo post !

Nenhum comentário: