sexta-feira, 10 de dezembro de 2010

Privacidade ?

Uma decisão muito importante foi anunciada no meio do ano e não comentei por aqui, por grande descuido mesmo.

A Suprema Corte de New Jersey enfim estabeleceu regras para determinar o direito à privacidade nos emails pessoais. Esse assunto já é bastante controverso em relação aos emails corporativos. Pelo que bem entendi das explicações dos colegas advogados, esse tema é polêmico porque o direito à privacidade bate de frente com o direito à propriedade. Ou seja, o funcionário teria direito à privacidade em relação aos seus emails, mas ao mesmo tempo a empresa tem direito de monitorar o email, visto que é usado no trabalho.

Essa questão rodou muito até aparecerem as primeiras decisões do nosso Supremo, favorecendo às organizações. Alguns cuidados foram estabelecidos, e dentre eles o claro aviso ao colaborador de que o email corporativo é monitorado e deve ser usado para fins de trabalho.

Ainda assim, a questão continua delicada quando envolve o famoso webmail pessoal, que todo mundo tem. A empresa pode monitorar o seu webmail particular ??

De acordo com a Suprema Corte de New Jersey, não. Se o email não é fornecido pelo seu empregador e é protegido por senha, então não pode ser monitorado porque, segundo essa decisão, há expectativa de privacidade.

Se faz sentido por um lado, por outro isso pode aumentar os casos de vazamento de informações através do webmail. Como estão as decisões sobre esse ponto em particular, aqui no Brasil ? Você acredita que a implantação de soluções DLP iriam ferir essa decisão ? Como você acha que as corporações devem lidar com esse ponto ? Comente !

Até o próximo post !

terça-feira, 7 de dezembro de 2010

TSK novo na área

A notícia nem é tão nova (ando perdendo o timing de algumas novidades) mas é bastante interessante. O The Sleuth Kit, um dos utilitários open source mais utilizados em Computação Forense, lançou no final de outubro a sua mais nova versão (3.2.0).

Com versões para Linux e binários para Win32, o TSK novo vem com algumas novidades, além do tradicional conserto dos bugs reportados:

- Flag de case-sensitive para o fsstat no HFS+

- Nome default do atributo $Data do NTFS tem nova regra de formação

- Adicionaram os parâmetros -e e -s no img_cat, dessa forma permitindo recuperar apenas uma faixa de setores

- Uma nova classe foi criada para tornar mais fácil a criação de ferramentas que analisam todos os arquivos da imagem

- Criou-se uma nova camada de abstração (camada de automação). A idéia dessa camada é conter ferramentas que realizam operações mais complexas, correlações, etc. Dentre elas:

* tsk_recover localiza e extrai arquivos diretamente de uma imagem. Muito bom para extrair/recuperar arquivos não-alocados;

* tsk_loaddb analisa a imagem forense, baixando todas as informações da imagem para um arquivo de banco de dados sqlite. Muito útil para que outras análises possam ser feitas na imagem sem que os utilitários do TSK sejam chamados. Logicamente, gasta-se um tempo na geração desse banco de dados mas depois as operações a partir dele se tornam mais rápidas;

* tsk_getimes varre todos os volumes em uma imagem forense e coleta as MAC times disponíveis no estilo do bodyfile (fls);

* tsk_comparedir compara um diretório montado com uma imagem, procurando detectar rootkits. A idéia é que rootkits conseguem inibir a aparição de alguns arquivos no disco, mas normalmente não tem nenhum mecanismo de ocultamento para quando o disco é acessado em modo raw. Por isso, o programa compara as saídas em modo raw com a obtida pelos comandos do SO. As discrepâncias são alertadas;

Alguém já está usando a nova versão (principalmente as novas ferramentas) e gostaria de compartilhar ?

Até o próximo post !

segunda-feira, 6 de dezembro de 2010

Novidades para Memory Forensics

Embora não seja uma notícia tão nova assim, a área de Memory Forensics ganhou um bom upgrade: A Mandiant liberou em setembro a nova versão do seu utilitário free Memoryze.

As seguintes melhorias estão listadas no site do produto:

- O produto ganhou uma GUI chamada Audit Viewer. Essa interface mostra os resultados apurados pela ferramenta e tem uma funcionalidade bem interessante: A Malware Rating Index, que emite um score sobre os arquivos extraídos da memória (imagens de executáveis) e analisados pela ferramenta. Mais alto o score, mais o arquivo se parece com malware.

- Agora a ferramenta suporta Win7 e Win2008 64-bit

- O algoritmo de detecção de processos foi alterado para perceber o uso de rootkits e algumas técnicas de anti-forense.

- Performance melhorada em até 40%

- Havia um bug na instalação do Memoryze em pen drives. Foi corrigido.

Alguém já está usando a nova versão e gostaria de compartilhar ?

Até o próximo post !

domingo, 5 de dezembro de 2010

Prevenir é melhor do que remediar

Dizem que prevenção e canja de galinha não fazem mal a ninguém. A canja eu não posso passar pelo blog, mas na questão de prevenção posso dar uma mãozinha.

A essa altura do campeonato, você já deve ter escutado algumas milhares de vezes que não se pode modificar um arquivo de imagem forense, que isso pode ser confirmado calculando o hash do arquivo antes e depois de se trabalhar com ele, etc, etc e etc. Ao trabalhar com uma imagem forense, você já deve ter visto também uma série de options para o -o do mount de forma a se proteger que qualquer alteração indesejada.

Porém, como em um adesivo muito comum em carros americanos, "shit happens" e você pode acabar executando algo fora do esquema, alterando ou até mesmo apagando o arquivo. Lembre-se que pode haver apenas uma maneira de fazer a coisa certa, mas certamente haverá muitas de se fazer trapalhadas. E, em muitas dessas, estaremos como "root".

Antes que alguma coisa aconteça, vale adicionar um pequeno e salvador comando à sua prática forense: chattr.

Esse exemplo, indicado em um dos artigos da SANS, fala de um bit/atributo chamado immutable que, se estiver ligado, nem o root consegue fazer nada no arquivo. Ele não apaga nem altera. Ou seja, perfeito para nós, peritos.

# chattr +i imagem.dd

Depois desse comando, para alterar qualquer coisa no arquivo será necessário antes que o bit-atributo seja desligado (-i). Senão, nada acontece e o arquivo fica protegido contra as mãozadas que às vezes nos assombram. Sabe como é, madrugada, muitas imagens para analisar, desastres batem à porta.

Mãos a obra e mais tranquilidade no dia a dia. Deus abençoe o chattr ...

Até o próximo post !

quarta-feira, 1 de dezembro de 2010

Compartilhar ou não compartilhar, eis a questão !

Uma discussão recente foi levantada no evento de Resposta a Incidentes da Mandiant.

Thomas Dullen apresentou o que pode realmente ser um impasse em relação a IR e as tecnologias atuais aplicadas aos anti-virus. Segundo ele, as proteções e estratégias são basicamente focadas em assinaturas. No entanto, as mesmas assinaturas produzidas para proteger informam aos atacantes o que o anti-virus está checando, e daí passa a ele toda a inteligência utilizada e dá, de graça, o conhecimento que o atacante precisa para alterar a versão inicial do malware, precavendo-se de ser pego novamente. Esse modelo faz com que, no fim das contas, os atacantes sempre tenham mais informações do que os defensores. Na mesma palestra, Thomas discute alternativas possíveis a essa abordagem.

O que você, nobre leitor deste blog, acha ? A tecnologia atual de detecção e ações automáticas de contenção, todas baseadas em assinaturas, deve evoluir ? A submissão de novos malwares detectados aos fabricantes é beneficial ou prejudica ?

Comentem !

Até o próximo post !