Tenho refletido bastante ultimamente a respeito de determinados assuntos envolvendo Forense Computacional.
Parte dessa preocupação começou após um trabalho e aumentou por conta de alguns artigos que curiosamente falavam de um mesmo assunto: Não estamos acompanhando o ritmo da tecnologia. Pior, não estamos evoluindo juridicamente também.
Crise de Identidade
o meu último post falou sobre ainda não termos um nome, uma identidade. Ao tocar nesse assunto, minha preocupação vai muito mais além de um simples nome. Não que o nome não seja importante, mas essa confusão de nomes que usamos para designar nossa ciência/ofício indica um tanto mais. Indica que ainda estamos em um estágio muito inicial. Percebi também que essa indefinição é menor no setor policial, onde entre os peritos criminais já acontece um consenso maior em relação a isso.
Acontece no mundo todo
A preocupação com o ritmo lento ao qual nos adaptamos à tecnologia está atingindo escala mundial. Basta ver que li recentemente dois artigos e um capítulo de um livro, e todos falavam da mesma preocupação.
Desde que a Informática Forense surgiu (é, vou mesclar nomes até que decidamos qual é o mais aplicável ... ;D), pouca coisa evoluiu em termos de conceitos. O modelo aquisição-preservação-análise-documentação/reporte praticamente continua sendo usado, e por outro lado, a mídia mais nanica hoje seria um HD de 80 Gb. Faça uma breve pesquisa; pergunte aí aos seus amigos quanto cada um tem em casa em termos de HD e você vai ver que esse modelo de aquisição não funciona mais. Nos casos onde ainda é possível, você vai passar horas duplicando um HD e "horas * n" na análise dessa miríade de informações.
Falando em termos de problemas de tempo, imagine como isso é problemático para os nossos colegas policiais, que são relativamente poucos frente a enorme demanda. Alguns comentam que em uma pequena operação 50 micros chegam a ser apreendidos, e se você pensar bem, a maioria das residências hoje tem pelo menos um micro. Neste contexto, ou fazemos algo para melhorar, ou então todos os laboratórios forenses do mundo não serão suficientes para atender a demanda.
Não pense que a vida é tranquila para quem trabalha no mercado corporativo. Discos de vários Terabytes não são mais incomuns, e tudo em arrays dificílimos de remontar. Em alguns casos, além desses enormes discos, você ainda é presenteado com um servidor que não tem interface rápida (USB 1.0 ou 1.1), e nem pensar em desligar o bicho. Todos querem a melhor investigação, definindo o grau de comprometimento dos dados e do servidor, mas ele fica de pé !
O problema não está limitado a tecnologia, mas em nosso caso, alastra-se na seara jurídica. Situações envolvendo tecnologia estão acontecendo com cada vez mais frequência. Não apenas crimes, mas processos cíveis e até mesmo trabalhistas estão demandando perícias e investigações em pendrives, HDs e outras mídias. Infelizmente, apesar do número de casos, ainda há muitos Juízes que não conhecem sobre o assunto, ou conhecem muito pouco. Advogados, idem. Você consegue apontar planejamentos, estudos ou documentações voltadas a resolver isso ? Não tenho conhecimento de nenhum manual de orientação da parte legal, do que seria aceitável ou não envolvendo tarefas em Forense Computacional. Dessa forma, apesar de muitas orientações de como proceder, há uma incerteza sobre os métodos, e isso piora quando estamos nos deparando com problemas como os narrados acima, de mídias enormes.
Questão de Ritmo
A questão é que, seja na parte tecnológica ou legal, os problemas e dificuldades estão crescendo a um ritmo maior do que as respostas que estamos dando. Poucas soluções endereçam tecnologia. Os métodos de Live Acquisition são ainda pouco conhecidos, e por vezes contestados por ainda oferecerem certo risco de alteração nos dados. Há, inclusive, muita discussão sobre isso por aí, onde se afirma que um procedimento bem documentado produz alterações previsíveis e sob controle. No entanto, essas discussões não acontecem levando em conta o sistema jurídico usado no Brasil (são foruns americanos, australianos e ingleses, na maioria).
Tecnologicamente, aconteceu uma grande reviravolta bem recentemente. Uma empresa americana lançou um produto chamado F-Response que consegue mapear fisicamente pela rede um disco em outra máquina. Esse mapeamento é read-only, o que garante a integridade dos dados colhidos. É um grande passo, e está ficando melhor ainda, pois há uma versão Beta que promete fazer aquisição da memória RAM também. Porém, melhorias tecnológicas precisam ser seguidas por melhorias na parte legal. de nada adianta podemos usar ferramentas novas se legalmente elas ainda não são reconhecidas ou tem seus resultados aceitos. Pior, mesmo os métodos não são discutidos como devido. Um exemplo disso foi divulgado em uma lista recentemente, onde um participante disse ter trabalhado em um processo onde um print screen da tela foi aceito como prova, enquanto que todos os advogados indicam fazer a Ata Notarial.
Do que precisamos, afinal ?
Precisamos definitivamente de pensar nos problemas que a tecnologia está apresentando para os métodos atuais. Precisamos repensar neles e definir novos procedimentos que permitam, com segurança e exatidão, mostrar o que está acontecendo sem ter que levar os milhares de Terabytes. Precisamos que estes procedimentos dêem suporte tanto ao trabalho dos policiais, em suas perícias a cerca de crimes, quanto aos que trabalham no mercado corporativo. Precisamos que eles sejam adequadamente divulgados para todos os envolvidos: Juízes, advogados e peritos.
Vamos discutir sobre isso ? Comente, afinal só vamos resolver esse pepino se colocarmos todos os envolvidos para conversar.
Até o próximo post !
terça-feira, 28 de outubro de 2008
terça-feira, 21 de outubro de 2008
Crise de Identidade
Já parou para pensar que temos um problema de identidade ?
É um problema simples, mas acaba incomodando. Veja se você também já passou por isso.
Você encontra um amigo em uma festa. Conversa vai, conversa vem, e você pergunta:
- Rapaz, mas e o trabalho, como está indo ? Tudo bem por lá ?
- Sim, tudo certinho. Continuo trabalhando com vendas. Negocio peças de automóveis. E você, tá fazendo o quê ?
- Trabalho com algo muito interessante, além de muito novo, principalmente no contexto brasileiro. Trabalho com ......
Nesse momento você para e se pergunta qual mesmo é o nome do que você faz. São tantas opções que você já nem sabe mais o nome que usa. Para não deixar aquele espaço vago no ar e o seu amigo achar que você está trabalhando em uma dessas empresas de marketing de rede, você apela e diz "Trabalho com perícia. Perícia de computador".
Mil Nomes
No fim das contas, quem pode com toda propriedade dizer que trabalha com perícia de computadores são os peritos criminais. Esses são os únicos que são peritos. Quem trabalha na iniciativa privada pode ser nomeado perito em um processo, e nesse caso, a pessoa "está" perita.
Além disso, há uma verdadeira salada de nomes. Vejamos alguns:
- Perícia Forense Aplicada a Informática
- Perícia Computacional
- Forense Computacional
- Informática Forense
- Investigação Digital
- eDiscovery
- Forense Digital
Comentando um pouco sobre cada um:
- Perícia Forense Aplicada a Informática
É o nome usado por uma lista de discussão sobre o assunto. Acho o termo um tanto vago, pois, fazendo uma analogia, nunca li sobre expressões similares em relação a outras ciências forenses. Por exemplo, nunca vi Perícia Forense Aplicada à Medicina, ou Perícia Forense Aplicada à Química.
- Perícia Computacional
Segue a lógica dos termos Perícia Contábil, Perícia Médica, Perícia Criminal, etc. Acredito que esteja mais ligado à uma atividade/ação, denotando um exame para averiguar algo, do que ao nome de uma ciência.
- Forense Computacional
É o nome do meu blog, mas nem por isso acho o mais adequado. De qualquer forma, é a tradução literal de Computer Forensics, termo em inglês usado mundialmente. É muito usado, principalmente pelos pioneiros dessa atividade no Brasil, como a Axur, por exemplo.
- Informática Forense
É o que me parece mais lógico. Pelo menos, segue o paralelo com outras ciências forenses mais antigas, como Biologia Forense, Balística Forense, Documentoscopia Forense, etc.
- Investigação Digital
Termo aplicado às mesmas técnicas da Informática Forense, mas cujo objetivo principal não é (pelo menos inicialmente) a prova jurídica, mas sim a descoberta de informações. Acredito que este termo seja o mais aplicado quando estamos trabalhando no mercado corporativo e precisamos verificar/investigar algo.
- eDiscovery
Termo em inglês que se refere a uma etapa do processo civil no direito americano onde as evidências são apresentadas. eDiscovery seria a apresentação das evidências eletrônicas, e para isso muitas técnicas similares as técnicas de Forense Computacional são usadas. Não pode ser usado como sinônimo para Forense Computacional, ainda que use técnicas parecidas. (Agradecimento ao colega Guilherme Damásio pelos esclarecimentos e ajuda).
- Forense Digital
Aproximação do nome Forense Computacional. Alguns autores usam este termo.
Gostaria de ver comentários sobre isso. Qual nome você prefere, ou imagina que exprime da melhor maneira o nome dessa nova ciência ? Na sua opinião, essa ausência de um nome "oficial" atrapalha ?
Comentem !
Até o próximo post !
É um problema simples, mas acaba incomodando. Veja se você também já passou por isso.
Você encontra um amigo em uma festa. Conversa vai, conversa vem, e você pergunta:
- Rapaz, mas e o trabalho, como está indo ? Tudo bem por lá ?
- Sim, tudo certinho. Continuo trabalhando com vendas. Negocio peças de automóveis. E você, tá fazendo o quê ?
- Trabalho com algo muito interessante, além de muito novo, principalmente no contexto brasileiro. Trabalho com ......
Nesse momento você para e se pergunta qual mesmo é o nome do que você faz. São tantas opções que você já nem sabe mais o nome que usa. Para não deixar aquele espaço vago no ar e o seu amigo achar que você está trabalhando em uma dessas empresas de marketing de rede, você apela e diz "Trabalho com perícia. Perícia de computador".
Mil Nomes
No fim das contas, quem pode com toda propriedade dizer que trabalha com perícia de computadores são os peritos criminais. Esses são os únicos que são peritos. Quem trabalha na iniciativa privada pode ser nomeado perito em um processo, e nesse caso, a pessoa "está" perita.
Além disso, há uma verdadeira salada de nomes. Vejamos alguns:
- Perícia Forense Aplicada a Informática
- Perícia Computacional
- Forense Computacional
- Informática Forense
- Investigação Digital
- eDiscovery
- Forense Digital
Comentando um pouco sobre cada um:
- Perícia Forense Aplicada a Informática
É o nome usado por uma lista de discussão sobre o assunto. Acho o termo um tanto vago, pois, fazendo uma analogia, nunca li sobre expressões similares em relação a outras ciências forenses. Por exemplo, nunca vi Perícia Forense Aplicada à Medicina, ou Perícia Forense Aplicada à Química.
- Perícia Computacional
Segue a lógica dos termos Perícia Contábil, Perícia Médica, Perícia Criminal, etc. Acredito que esteja mais ligado à uma atividade/ação, denotando um exame para averiguar algo, do que ao nome de uma ciência.
- Forense Computacional
É o nome do meu blog, mas nem por isso acho o mais adequado. De qualquer forma, é a tradução literal de Computer Forensics, termo em inglês usado mundialmente. É muito usado, principalmente pelos pioneiros dessa atividade no Brasil, como a Axur, por exemplo.
- Informática Forense
É o que me parece mais lógico. Pelo menos, segue o paralelo com outras ciências forenses mais antigas, como Biologia Forense, Balística Forense, Documentoscopia Forense, etc.
- Investigação Digital
Termo aplicado às mesmas técnicas da Informática Forense, mas cujo objetivo principal não é (pelo menos inicialmente) a prova jurídica, mas sim a descoberta de informações. Acredito que este termo seja o mais aplicado quando estamos trabalhando no mercado corporativo e precisamos verificar/investigar algo.
- eDiscovery
Termo em inglês que se refere a uma etapa do processo civil no direito americano onde as evidências são apresentadas. eDiscovery seria a apresentação das evidências eletrônicas, e para isso muitas técnicas similares as técnicas de Forense Computacional são usadas. Não pode ser usado como sinônimo para Forense Computacional, ainda que use técnicas parecidas. (Agradecimento ao colega Guilherme Damásio pelos esclarecimentos e ajuda).
- Forense Digital
Aproximação do nome Forense Computacional. Alguns autores usam este termo.
Gostaria de ver comentários sobre isso. Qual nome você prefere, ou imagina que exprime da melhor maneira o nome dessa nova ciência ? Na sua opinião, essa ausência de um nome "oficial" atrapalha ?
Comentem !
Até o próximo post !
domingo, 19 de outubro de 2008
Já era bom, agora está melhor ainda
A Agile Risk Management, empresa criadora do F-Response, recentemente anunciou em seu website a liberação da versão 2.03 Beta, que traz a capacidade de fazer a aquisição da memória remotamente. Essa evolução nasce de uma parceria interessante da Agile com a Volatile Systems, empresa do mestre da parte de forense de memória Aaron Walters.
Em breve estarei baixando a minha versão e compartilhando aqui minhas impressões a respeito dessa maravilha. Sem dúvidas, esse é mais um grande passo para a Forense Computacional.
Alguém já baixou e gostaria de comentar ?
Até o próximo post !
Em breve estarei baixando a minha versão e compartilhando aqui minhas impressões a respeito dessa maravilha. Sem dúvidas, esse é mais um grande passo para a Forense Computacional.
Alguém já baixou e gostaria de comentar ?
Até o próximo post !
sexta-feira, 17 de outubro de 2008
Helix 2.0 - Feedback
Precisei usar o Helix recentemente em um trabalho e aproveitei para colocar a nova versão no front de batalha.
Estas são as minhas primeiras impressões e feedbacks sobre o produto. No resumo, ficou bacana.
1- É muito mais pesado do que o anterior. Nota-se isso logo de cara, o boot demora para terminar e deixar livre para operar
2- Arrancaram a melhor ferramenta de análise de todos. O PyFlag foi retirado para abrir espaço. Interessante que o PyFlag, a partir do Helix, era mesmo muito limitado. Como não contava com persistência do banco (tínhamos que fazer isso na "mão") e nem de arquivo de swap, ele acabava dando vários problemas. Ainda assim, eu esperava que se achasse uma solução para isso, e não que ele fosse removido completamente ...
Para quem não conhece, o PyFlag é uma suite de ferramentas para análise, desenvolvido por uma turma australiana, e que foi usado no último DFRWS por quase todos os primeiros colocados. O primeiro colocado, por exemplo, foi o trio do criador do PyFlag (Cohen) junto com a turma do Volatility (que foi recentemente integrado ao PyFlag).
3- O Aimage roda perfeitamente, mas o Adepto usando formato AFF não roda nem apanhando. Há um problema aqui, pelo menos aconteceu comigo em todas as tentativas. Ainda preciso ver se há um bug aberto para esse problema.
Bom, espero acrescentar mais itens a essa lista. Comentários ? Feedbacks ? Posso mandar o que postarem aqui para o mantenedor do Helix, Drew Farrey.
Até o próximo post !
Estas são as minhas primeiras impressões e feedbacks sobre o produto. No resumo, ficou bacana.
1- É muito mais pesado do que o anterior. Nota-se isso logo de cara, o boot demora para terminar e deixar livre para operar
2- Arrancaram a melhor ferramenta de análise de todos. O PyFlag foi retirado para abrir espaço. Interessante que o PyFlag, a partir do Helix, era mesmo muito limitado. Como não contava com persistência do banco (tínhamos que fazer isso na "mão") e nem de arquivo de swap, ele acabava dando vários problemas. Ainda assim, eu esperava que se achasse uma solução para isso, e não que ele fosse removido completamente ...
Para quem não conhece, o PyFlag é uma suite de ferramentas para análise, desenvolvido por uma turma australiana, e que foi usado no último DFRWS por quase todos os primeiros colocados. O primeiro colocado, por exemplo, foi o trio do criador do PyFlag (Cohen) junto com a turma do Volatility (que foi recentemente integrado ao PyFlag).
3- O Aimage roda perfeitamente, mas o Adepto usando formato AFF não roda nem apanhando. Há um problema aqui, pelo menos aconteceu comigo em todas as tentativas. Ainda preciso ver se há um bug aberto para esse problema.
Bom, espero acrescentar mais itens a essa lista. Comentários ? Feedbacks ? Posso mandar o que postarem aqui para o mantenedor do Helix, Drew Farrey.
Até o próximo post !
sábado, 4 de outubro de 2008
IC CYBER 2008
Na semana passada o Rio de Janeiro foi palco de uma Conferência Internacional sobre Crimes Cybernéticos, Perícias e Investigações na área de Informática Forense. Estava lotado de Peritos Criminais da nossa PF e também de outras Polícias. Além disso, muitos do setor privado estavam lá, principalmente da área Financeira.
Eu não podia perder essa, e vou tentar fazer um breve resumo dos três dias de conferência:
Primeiro Dia
O evento abriu com uma solenidade (Best Paper Award) e falou também do evento em 2009, que será em Natal.
Em seguida tivemos uma palestra com o Presidente da Microsoft no Brasil e outra sobre a investigação policial em crimes virtuais na Espanha.
A parte da tarde dividia as turmas, e lá estava eu no auditório D com as palestras sobre:
Eu não podia perder essa, e vou tentar fazer um breve resumo dos três dias de conferência:
Primeiro Dia
O evento abriu com uma solenidade (Best Paper Award) e falou também do evento em 2009, que será em Natal.
Em seguida tivemos uma palestra com o Presidente da Microsoft no Brasil e outra sobre a investigação policial em crimes virtuais na Espanha.
A parte da tarde dividia as turmas, e lá estava eu no auditório D com as palestras sobre:
- WMM: Palestra do Perito Galileu Souza (vencedor do Best Paper), falando sobre a ferramenta de extração de vestígios (artefatos) do Windows Live Messenger.
- O Perito Breno Rangel exibiu uma metodologia bastante interessante para tratar modificações em arquivos e sua aplicação no combate a pedofilia e a outras formas de crime virtual. A sacada de transformar uma figura em ascii para comparar o conteúdo e não os bits e bytes (que são muito diferentes devido a compactação de jpg, por exemplo) foi genial. Mandei um e-mail para ele, comentando sobre um artigo que escrevi aqui a respeito do ssdeep, ferramenta de fuzzy hash criada pelo Jesse Kornblum, para comparar arquivos desiguais, mas com certo grau de semelhança. Pode ser útil.
- Daniel Miranda e Leandro Pozzebon mostraram técnicas de OCR e sua utilização na busca de vestígios.
- Fuga para o auditório C, Palestra do David Petty sobre Ferramentas para Forense e seus desafios. Falou do EnCase quando pode, mas foi boa palestra.
Segundo Dia
Iniciamos o dia com a boa palestra de Jeffrey Hill, do Secret Service Americano, seguido por uma palestra expondo o trabalho da Guarda Civil da Espanha na luta contra os crimes virtuais e uma dupla do FBI (J Burns e Troy Kelly) fechou a manhã com uma palestra sobre análise de malwares.
Após o almoço, eu estive:
- Análise de Fluxos para coleta de evidências, de um trio de universitários. Paralelamente, peguei um pedaço da palestra sobre vestígios em iPhone e iTouch, do Perito Ivo Peixinho.
- Guilherme Braz falou sobre um projeto chamado Saint Nicholas, muito interessante, que ajuda no combate a Pedofilia fazendo uma base de hashes, no mesmo estilo que existe na NSRL.
- Thiago Cavalcante mostrou um estudo de caso de como chegou nos vestígios de um caso. Essa palestra foi uma das melhores, pois ilustrou muito bem o dia a dia de um Perito, buscando pistas e informações, garimpando literalmente o HD.
- A turma da PF estava com tudo no segundo dia, e fechei com a palestra sobre celulares como prova de crime, da Perita Andréia Stanger.
Terceiro dia
Perdi a primeira palestra - graças ao trânsito ruim que peguei na ida - mas peguei a excelente palestra do Oscar Bermudez, do CSIRT da Colômbia. Depois, tivemos uma também excelente palestra do Marcos Vinícius, Perito da PF que comentou a rotina dos trabalhos e como é a estrutura da nossa PF para o trabalho com Forense.
Uma colocação do Vinícius me chamou a atenção para um ponto. Ainda não temos um nome "oficial". Alguns chamam de Computação Forense, outros de Forense Computacional (como o meu blog), outros de Informática Forense, eDiscovery, Investigação Digital e Perícia Forense Aplicada a Informática. Precisamos resolver isso ...
Na parte da tarde:
- Curta (para o tema), mas excelente palestra do Cris Ard, da Microsoft, sobre Forense no Vista
- Gabriel Menezes mostrou a ferramenta MSN Shadow
- Stephanas e Gilson Silva finalizaram no auditório D o evento com a palestra sobre maneiras de se rastrear acessos a Internet.
O evento foi bom, mas senti falta de maior participação do setor privado. Gostaria de ter visto alguma palestra sobre como o Judiciário tem visto as questões que envolvem prova digital, mas não são crimes. Gostaria de ter visto um estudo de caso de uma investigação no setor privado, algo que mostrasse como foi conduzido e não apenas detalhes técnicos.
Também lamentei a parte das exposições. Não que estivesse ruim, mas é uma triste constatação vermos que só temos um fornecedor de produtos em Forense Computacional exibindo produtos lá. A TechBiz é competentíssima, mas um evento desses nos EUA atrairia muitos expositores ...
Terminei o evento sugerindo que no próximo tragam o Harlan Carvey ou o Jesse Kornblum. AAron Walters também não seria ruim ... Michael Cohen, Brian Carrier, ou outro do Olimpo da Computer Forensics mundial. Temos muito a aprender com esses caras ...
Gostaria de ver comentários de outros participantes, sugestões, etc. Comentem !
Até o próximo post !
Assinar:
Postagens (Atom)