Skip to content

A Teoria, na prática é perfeita!

PortaDesde criança, eu vejo pessoas abrindo portas com cartões de crédito e outros instrumentos na televisão. Quando comecei a frequentar os eventos hacker (destaques para a Defcon e You Shot The Sheriff) eu conheci ás áreas de lock picking e as palestras sobre o assunto.

Como este não era meu objetivo principal, eu me limitei a assistir as palestras, que demonstram o funcionamento das fechaduras e chaves. Assim como toda as palestras que assisti com atenção, eu obtive aquele conhecimento e não mais o esqueci, embora não o tenha praticado.

Passados alguns anos, chego em casa 03:30 da madrugada e depois de diversas horas de viagem, e descubro que minha esposa deixou um chaveiro na casa de sua mãe (a 500 Km, no interior de São Paulo). Tudo bem, se aquele chaveiro não fosse o único a conter a chave velha, que raramente usamos, mas com a qual tranquei a casa para viajar (além da tetra chave, é claro). Passado algum tempo, eu me convenço que a solução mais lógica seria chamar um chaveiro (o que seria um pouco estressante naquele horário) ou partir para vencer a fechadura eu mesmo. Começando pela segunda opção, saí à procura de uma arma imediatamente.

Peguei cada objeto que achei e pensei em como poderia manipulá-lo, até que alguns minutos depois, encontrei um pregador de varal, desses que só tem dois pedaços de madeira presos por um arame. Desmontei o bichinho, utilizei a madeira para modelar as pontas o arame (uma ponta para abaixar os pinos e outra para girar o tambor) e comecei a forçar os pinos para baixo. Dentro de poucos minutos minha porta estava aberta.

Sabe qual a moral da história? Entender como a coisa funciona me fez modelar um pregador de varal para atingir meu resultado, o de abrir minha primeira fechadura. Se eu soubesse utilizar magnificamente bem o kit de lock picking, que estava trancado dentro da casa, mas não entendesse bem sobre fechaduras aquele pregador seria inútil.

Eu raramente ataco ideias ou pessoas em meus posts, mas foi impossível não pensar que triunfara sobre um monte de pessoas míopes que atacam os estudiosos, os cursos e as certificações categorizando-os como “teóricos” ou “acadêmicos”, ou ainda os pobres profissionais de RH que não sabem recrutar pessoas de era tecnológica e ficam focados no que a pessoa fez, e não no que ela sabe.

Acordem recrutadores, no mundo de TI e SI os desafios mudam a cada dia, e somente um profissional com o conhecimento enraizado poderá se adaptar. Contratar um colaborador porque ele já clica nos mesmo botões há dois anos não vai garantir que ele clique no botão certo na próxima versão do software, ou em um novo sistema que for implantado. Da mesma forma eu deixo meu alerta para aqueles que entram na sala de aula já querendo clicar em alguma coisa. Se você aprender bem a teoria você pode escolher qualquer software para fazer o que quiser. Os laboratórios nos cursos devem ser dosados, e utilizados somente para sedimentar os conceitos. O bom curso entrega o conhecimento sobre um assunto, não sobre uma ferramenta.

Em minha opinião, Hacker de verdade é como o MacGyver, que usa o conhecimento para criar ferramentas, e não como o Batman que tem um monte de brinquedos feitos pelos outros e só aperta os botões. Atenção pilotos de Backtrack, se você não souber intimamente o que faz cada comando, e o que cada pacote que você está mandando ou recebendo significa, você pode ser apenas um “clicking monkey” ou “writing monkey” se preferir os comando de console. Nada contra o Backtrack, adoro aquela distro, mas copiar os comandos de uma revista ou tutorial não faz de você um hacker, mesmo que você tenha sucesso em suas empreitadas por repetidas vezes.

Já que o mundo vai acabar mesmo, aproveito para cutucar as pessoas que repetem que na prática a teoria é diferente, como se tudo que se documenta como boas práticas só se aplicassem no mundo de Polyanna. Eu já vi ISO 27001, BS 25999, CobiT e outros padrões sendo aplicados com sucesso, em empresas eficientes e comprometidas. Se a teoria não se aplica em uma empresa é porque ela falha em pelo menos uma dessas duas características e distorce a realidade para sentir-se menos incapaz. Os frameworks são excelentes, e cabem em qualquer empresa, mas isso dá trabalho. Se a empresa não quer cortar na própria carne e encarar as mudanças necessária, é mais prático ridicularizar os frameworks, continuar fazendo do jeito que funcionou até hoje e criticar os padrões e quem os defende.

No mais, só poderia fazer uma observação: respeitem o conhecimento! Se você é técnico  abstraia-se das ferramentas e concentre-se nos protocolos, se você é gestor compre um vidro de humildade numa drogaria homeopática e comece a estudar as normas e frameworks. Elas foram feitos por dezenas a centenas de pessoas com muita experiência, que compartilharam situações que viveram em suas carreiras para ajudar aos colegas. Ninguém escreve uma norma como tese empírica de doutorado!

Anúncios

As questões realmente relevantes no caso Carolina Dieckmann

O que não é relevante: as fotos em si! Depois que as fotos da Scarlett Johansson foram publicadas em setembro de 2011 nada melhor pode vir. Não estou menosprezando a beleza da atriz nacional, cujas fotos tiveram 8 milhões de acessos em 5 dias e acabaram virando homepage da CETESB por alguns minutos, mas as fotos da Scarlett foram quase artísticas, e renderam até algumas paródias no site tumblr, registradas abaixo:

Este slideshow necessita de JavaScript.

O Que é relevante: como a atriz se sentiu.

Eu assisti uma entrevista da atriz dada à repórter Patrícia Poeta, e percebi que sem querer ela demonstrou para todos os espectadores porque os crimes digitas são relevantes, e por precisarem ser combatidos, merecem uma lei específica. Não me refiro a uma lei feita às pressas em um ano eleitoral, mas uma lei que auxilie a polícia nas investigações, e dê subsídios para a prisão e condenação correta dos acusados.

Ao contrário da atriz norte americana de 27 anos, que pouco se importou com a publicação das fotos, Carolina Dieckmann é mãe de um adolescente de 13 anos que ela não gostaria de ver envolvido nessa história. Essa “vulnerabilidade” lhe rendeu uma tentativa de extorsão de R$ 10.000,00.

Para quem não assistiu o vídeo, vale a pena tirar alguns minutos e ver que ela coloca muito claramente a situação: “O Pior para mim foi ter sido roubada desse jeito. A pessoa ter tentado tirar dinheiro de mim com uma informação sobre a qual ela não tem direito. Não é dele, é minha!”

Essa frase me lembrou as discussões que tive enquanto diretor da ISSA (Information Systems Security Association), sobre o PLS 76, do Eduardo Azeredo. Um  dos problemas relevantes na ocasião era tipificar a coisa jurídica, ou seja, tornar a informação algo tangível para os magistrados, visando a aplicação das leis por analogia. Na época, era complicado para os juízes entender como uma pessoa roubava algo e ela ainda continuava lá, como no caso da Carolina Dieckmann. Outra questão seria como mensurar o valor de algo que se multiplica praticamente sem custo.

O que deve ser lembrado: já houvi de algumas pessoas que os rapazes só foram presos, e que o Google só tomou uma atitude, porque se tratava de uma atriz famosa. Casos como esse acontecem todos os dias e as empresas ou a polícia não agem de forma sequer semelhante à qual agiram nesse caso. Se você se indignou ao ver uma celebridade receber um tratamento não discrepante, deve lembrar-se que igualar por baixo não resolve o problema, deixar todo mundo sem atendimento não desfaz a situação. Reclamar do tratamento recebido pela atriz é errado, o certo é exigir um tratamento igualmente digno a todos.

Conclusões: eu já acompanhei episódios de muito sofrimento devido a roubo de dados e apropriação de perfis, por isso sempre advoguei a favor de um tratamento mais sério e uma legislação mais adequada para tratar crimes por computador. O que vi  acontecer no entanto foi um congresso se agitando de forma oportunista para votar às pressas algo que estão “chocando”  há quase 20 anos, e aprovarem uma lei “nas coxas”, que acabou sendo apelidada de lei “Dieckmann”. Acho que a atriz Carolina Dieckmann recebeu um tratamento justo das autoridades, e que vários setores foram oportunistas nessa situação. Mas a pergunta que não que calar é: Como nós, simples mortais, seremos tratados se precisarmos da mesma atenção um dia?

Dia dos Professore: Deixar filhos melhores para o nosso planeta…

Uma das melhores frases que já li: Todo mundo pensa em deixar um planeta melhor para nossos filhos.Quando é que pensarão em deixar filhos melhores para o nosso planeta?

Tenho que confessar que sou um pouco covarde. Minha desilusão com nível (de educação, interesse e conhecimento) dos alunos foi tamanha, que deixei de lecionar nos cursos de graduação para focar somente com treinamentos e cursos de pós-graduação.

Recebi alguns e-mails de parabéns pelo dia do professor, mas dedico este post, e todos e-mails que recebi aos verdadeiros herois, aqueles que estão tentando formar as crianças, tarefa delegada pelos pais aos professores do ensino fundamental.

Aos meus amigos, que assim como eu conquistaram muito na vida graças ao conhec0imento, deixo a lembrança de que temos uma grande obrigação com nossos filhos. Se os trouxemos para esse mundo, não foi para mimá-los e compensá-los com presentes pela nossa ausência, foi para que tenham a oportunidade de crescer espiritualmente, e se tornarem agentes de mudança para um mundo melhor, que eles entregarão a nossos netos.

As mudanças que fiz na minha vida e carreira tem um motivador maior: Não existe projeto ou sucesso maior no mundo que criar bem os filhos. É preciso estar perto para ensiná-los o respeito, a moral e a lidar com os desafios. Não adianta falhar em nossos deveres, e depois culpar a escola, a professora ou a babá.

Como me disse um jangadeiro em Maceió: Se a gente não tiver tempo para orientar nossos filhos, quem que vai fazer isso para a gente?

Certificação Security+ da Prática ao Exame SY0-301

Passei alguns dias degustando o este livro gentilmente enviado para mim por um dos autores,  Yuri Diógenes, e gostaria de compartilhar com todos minha impressão.

Já no começo, o livro reafirma aos profissionais de TI a importancia da segurança da informação nas empresas, e a necessidade de se o bter conhecimentos nessa área. Os autores mostram em seguida os requisitos para a obtenção da certificação Secutiy+

O primeiro capítulo é perfeito para um início de curso, pois além de abordar os conceitos básicos de CID (Confidencialidade, Integridade e Disponibilidade), os autores tratam do funcionamentos dos sistemas operacionais, abordando tópicos já “esquecidos”, ou nunca estudados por alguns profissionais como os anéis de proteção dos processadores, modo kernel e modo usuário e UAC (User Access Control), para depois disso explicar as pragas virtuais que atormentam empresas e profissionais diariamente, como vírus, worms e trojans.

O Segundo capítulo analisa os riscos relacionados a hardware e periféricos de uma forma simples e objetiva, condensando de uma forma prática e objetiva informações
importantes sobre infecções em hardware, descarte inadequado de mídia, uso de dispositivos móveis, entre outros.

O Capitulo 3 trata do hardening do sistema, ou seja, como mantê-lo forte e saudável para enfrentar as diversas ameaças do dia-a-dia. Como não poderia deixar de ser, os
autores iniciam o módulo explicando a importância das atualizações de segurança, para posteriormente partirem para um descritivo das ferramentas utilizadas para diagnosticar a saúde de nosso sistema. Na continuação, os autores nos levam a uma discussão sobre como a performance do sistema pode nos indicar problemas de segurança, e e após debaterem sobre a forma correta de acesso a hosts, trazem uma introdução ao Common Criteria (ISO 15408), e ao uso dos assistentes de configuração de segurança do Windows.

No capítulo 4, os autores tratam um assunto cada vez mais relevante: A segurança em aplicações. Com a exposição constante dos sistemas operacionais a tentativas de
ataque, esses ganharam  um grau de maturidade que os tornaram menos susceptíveis (mas não impermeáveis) a ataques, levando os atacantes a explorarem falhas nas aplicações, tornando-as o elo mais fraco da corrente. O Capítulo começa abordando aplicações como os Instant Messengers (MSN, Skype, etc) e parte depois para as vulnerabilidades em
aplicações Web, abordando temas como Cross-Site-Scripts (XSS), o uso de cookies, navegadores, active X, applets java, redes sociais, etc. Os autores fecham o capítulo explicando os ataques de buffer overflow,  SQL Injection e problemas de SMTP Relay. Conceitos fundamentais para se entender as vulnerabilidades atuais.

O Capítulo 5 tradas das ameaças de rede, começando pelo mais importante (e algumas vezes ignorado) estudo do modelo OSI e TCP/IP. A partir dessa introdução, o leitor
passa a estudar o 3-way-handshake, ataques de SYN Flood, spoofing, man in the midle, null session, session hijack, replay, DNS cache poisoning, ARP
Poisoning, DOS e DDOS. Como todos os outros, esse capítulo é escrito de forma clara e objetiva, provendo ao leitor um entendimento fácil das ameaças de rede.

O Capítulo 6 leva o leitor a conhecer os as topologias de redes, começando pelos tipos de barramentos e avançando para a noções de segmentação, VLAN, DMZ, Subneting e
NAT. Mais uma vez os autores fizeram um excelente trabalho de escolha de termos e mostraram um excelente poder de síntese.

Utilizando-se dos conhecimentos adquiridos no capítulo anterior, no capítulo 7 o leitor é apresentado a conceitos importante de segurança em rede, descrevendo o
funcionamento das 3 gerações de firewall, dos proxys, IDS’s IPS’s Honeypots e inspeção de conteúdo, além de definir e demonstrar o funcionamento das
ferramentas de análise de protocolo.

O Capítulo 8, começa conceituando de forma precisa e objetiva os tokens de acesso dos processos aos recursos, conceituando também os SID’s do Windows e apresentando
várias informações importantes sobre a política de senhas e a melhor configuração para as mesmas.

No capítulo 9 os autores tratam as redes sem fio, começando pela definição dos padrões e protocolos básicos, para depois entrar em detalhes sobre configuração alguns
tipos de ameaças relacionadas às redes wi-fi e bluethooth como: Wardriving, bluejacking, bluesnarfing, rogue access points, etc. Os autores fecham o capítulo com uma explicação sobre os protocolos de criptografia WEP, WPA, WPA2 e com uma demonstração de uma captura de dados em redes Wireless.

No capítulo 10 conceitua de forma bem didática os modelos de acesso baseados em MAC (Mandatory Access Control) e DAC (Discritionary Access Control) como
Bell-LaPadula, Biba, Clark-Wilson, information flaw, noninterference, e RBAC. O Capítulo encerra-se com uma importante revisão das melhores práticas para
controle administrativo de acesso, como o privilégio mínimo, separação de tarefas e rotação de trabalho.

O Capítulo 11 trata do controle de acesso físico, com um interessante exemplo de defesa em profundidade em 5 camadas. Começando nos muros da empresa e indo até o leitor
biométrico de uma sala reservada. Vários controles físicos são a bordados nesse capítulo, tais como: fechaduras biométricas, mantraps, tokens, câmeras, etc.

O Capítulo 12 trata da análise e controle de riscos, e da monitoração do ambiente, primeiro levando o leitor a entender os impactos no negócio causados pela concretização da ameaça em incidente. Logo em seguida, os autores mostram algumas maneiras de se mensurar o risco, e algumas ferramentas tecnológicas para se obter uma visão mais clara do nível de risco. Esse capítulo aborda pontos importantíssimos para a segurança da empresa como a inspeção (scan) de vulnerabilidades, quebra de senhas, monitoração do ambiente, auditoria, logs de antivírus, etc.

O Capítulo 13 apresenta os conceitos básicos de criptografia, conceituando de uma forma didática criptografia simétrica, assimétrica, assinatura digital, hashing, etc. O Capítulo não é muito extenso, mas apresenta todos os conceitos nacessários para a certificação Security+.

Dando continuidade aos conceitos de criptografia, o capítulo 14 mostra a certificação digital, apresentando os certificados digitais, autoridades de registro e autoridades certificadoras. Novamente vemos um capítulo compacto, objetivo e de fácil digestão pelos leitores.

No Capítulo 15, o leitor é levado a fazer um importante estudo sobre a continuidade das operações de negócio, não focando apenas nos aspctos de TI, mas em todos os
elentos fundamentais para a continuidade, como energia, água e gás. Na parte de TI temos um estudo sobre modelos de redundância, RAID, backup e as formas de tratamentos de eventos de falhas completas, utilizando-se de localidades (sites) alternativos.

Como “Gran Finale”, o último capítulo do livro trata de um elemento sem o qual não poderíamos garantir a efetividade de tudo visto até o momento: a preparação da
empresa. Os autores tratam da política de segurança, da necessidade de trabalho conjunto com o RH, respostas a incidentes e investigação forense. É importante
ressaltar que as políticas sustentam os controles estudados durante todo o livro, e são a alma da segurança na empresa, fazendo com que os controles sejam
implementados, revisados e atualizados. A abordagem dos autores nos mostra mais uma vez que a tecnologia trás ferramentas, mas a segurança da informação tem que ser um processo vivo dentro da empresa para que funcione plenamente.

Depois de tudo descrito nos parágrafos acima, fica clara minha satisfação com a leitura desse livro, e minha admiração pelo trabalho dos autores, a quem só tenho a
parabenizar. Recomendo fortemente a leitura desse livro para todos os proficionais de TI, e àqueles que adentram na área de segurança da informação.

Informações Técnicas:

Título: Certificação Security+ – Da Prática ao Exame SY0-301
Autores: Yuri Diógenes e Daniel Mauser
Número de Páginas: 416
Formato: 17,5cm x 23cm
ISBN: 978-85-61893-03-3

A História da Forense

O primeiro registro conhecido sobre procedimentos forenses vem da china, e data de 1248 (Calma, não era forense digital). Trata-se do livro Washing Away of Wrongs, escrito para descrever o processo de investigação de mortes com causas questionáveis, e nele, o autor delimita as responsabilidades dos oficiais que lidarem com as provas, sugere procedimentos para exame médico, dá dicas de como entrevistar suspeitos e familiares e ainda chama a atenção dos investigadores sobre as consequências de se levantar falsas suspeitas.

Esse documento aplica os conhecimentos médicos do autor para a solução de crimes. O livro mostra que á possível identificar um afogamento pela agua presente nos pulmões e um estrangulamento através das marcas de pressão na garganta e dos danos na cartilagem do pescoço da vítima.

Em 1609,  O Médico francês Antoine Louis Barye, dedica-se a diferenciar suicídios de assassinatos, além de identificar a causa de mortes. Dois séculos depois,  em 1813, Mathieu Orfila publica”, o primeiro estudo científico sobre a detecção de efeitos de venenos, chamado “Traite des poisons or Toxicologie generale, o que lhe deu o título de pai da toxicologia forense.

Em 1835, Henry Goddard utiliza pela primeira vez a comparação de balas disparadas da arma para capturar um assassino. E quatro anos mais tarde, o Dr. John Davi faz os primeiros experimentos para tentar determinar o tempo de morte através da medição da queda da temperatura do corpo com um termômetro de mercúrio.

O Primeiro questionamento

Em 1840, Mathiel Orfila exumou o corpo do ex-marido de Marie LaFarge acusada de assassinato por arsênico, que havia sido encontrado na comida do marido mas não no corpo do mesmo, devido a um erro nos procedimentos de perícia. Orfila, comprovou a presença dessa substância nos órgãos internos da vítima e garantiu ao júri que tanto o cemitério quanto seu laboratório eram livres dessa substância, mesmo assim esse caso entrou para a história como o primeiro em que tentou-se refutar uma prova do estado com um perito contratado para a defesa, que alegou que poderia extrair arsênico de praticamente qualquer coisa, inclusive da cadeira do juiz

Sherlock Holmes

Em 1887,  Sir. Arthur Conan Doyle publicou “A Study in a Scarlet” , a primeira história de Sherlock Holmes. Sherlock é considerado o protótipo do investigador criminalista da atualidade, devido aos métodos científicos empregados pelo mesmo.

Sangue, impressões digitais e documentos

Em 1887,  Leone Lattes desenvolve o primeiro teste para grupos sanguíneos (A, B, AB e O) e escreve também o livro “L’Individualità del sangue nella biologia, nella clinica, nella medicina, legale” que trata não apenas de questões clínicas, mas de hereditariedade, paternidade e manchas secas de sangue.

Em 1892, Francis Galton publica “Finger Prints”, que tratava da primeira evidência estatística da unicidade de uma impressão digital e descreveria os princípios fundamentais que até hoje são aplicados nesse método de identificação. Anos mais tarde, em 1918, Edmond Locard descreveu doze pontos característicos para a identificação de impressões digitais.

Em 1910, Albert Osborne publica “Questioned Documents”, um trabalho exaustivo, reimpresso diversas vezes e indispensável até hoje. Por seus esforços, os tribunais passaram a aceitar o testemunho de peritos sobre a falsificação de documentos como prova legal.

O Princípio de Locard

Em 1910, Edmond Locard utiliza sua influência e constrói o primeiro laboratório forense, em Lyon, França, e torna-se diretor do mesmo. Formado em medicina e direito, Edmond Locard estabeleceu um princípio simples mas de grande profundidade:

“quaisquer que sejam os passos, quaisquer objetos tocados por ele, o que quer que seja que ele deixe, mesmo que inconscientemente, servirá como uma testemunha silenciosa contra ele. Não apenas as suas pegadas ou dedadas, mas o seu cabelo, as fibras das suas calças, os vidros que ele porventura parta, a marca da ferramenta que ele deixe, a tinta que ele arranhe, o sangue ou sémen que deixe. Tudo isto, e muito mais, carrega um testemunho contra ele. Esta prova não se esquece. É distinta da excitação do momento. Não é ausente como as testemunhas humanas

são. Constituem, per se, numa evidência factual. A evidência física não pode estar errada, não pode cometer perjúrio por si própria, não se pode tornar ausente. Cabe aos humanos, procurá-la, estudá-la e compreendê-la, apenas os humanos podem diminuir o seu valor.”

Forense Contemporânea

Em 1932, o FBI criou seu primeiro laboratório de serviços forenses, e em 1934, Paul Leland Kirk, um dos cientistas responsáveis pela pesquisa de plutônio do Projeto Manhattan (que levou ao desenvolvimento da bomba atômica) inicia a utilização de bioquímica na área forense. Seu livro “Physical evidence and the police laboratory” apresentava as técnicas essenciais para análise de evidências físicas na cena do crime, incluindo impressões digitais, fibras, cabelos, sangue, armas de fogo e acidentes com veículos. Este livro é até hoje uma referência na área

Em 1970, Roland Menzel utiliza pela primeira vez lasers para identificar impressões digitais. Curiosamente, Roland formou-se na Poli-USP no final dos anos 60, e foi o autor do livro Fingerprint Detection With Laser.

Em 1985,  Alec Jeffreys desenvolve o primeiro teste de DNA, e publica suas descobertas na revista “Nature”, comprovando a unicidade das sequencias de DNA, o que revoluciona a medicina forense

O Papel do First Responder

Um first responder é a primeira pessoa a responder a um incidente. Entendamos que responder significa uma ação qualificada, e não simplesmente ligar para um determinado número dizendo que as luzes estão apagadas ou todas acesas. Essa pessoa é apenas a primeira a identificar o incidente, e não a primeira a responder

Em um incidente de segurança, o first responder vive dois dilemas:

1) Recuperar o ambiente o quanto antes ou preservar as evidências

2) Manter o dispositivo ligado e preservar as evidências da memória mais volátil ou desligar e garantir que nenhuma alteração será feita nas memórias mais persistentes (Ex: HD)

Se por um lado o first responder deve estar próxima e disponível para responder rapidamente a um incidente (e por esse motivo normalmente não é a pessoa mais qualificada da corporação), por outro lado ele deve estar preparado para lidar conter o incidente identificando-o e preservando a cena do crime, assim como as evidências, mesmo as encontradas na memória volátil.

O first responder prepara o caminho para o investigador, que estabelece a cadeia de custodia, investiga a cena do crime e preserva a integridade da evidência. Este por sua vez é sucedido pelo técnico, que preserva a evidência volátil, duplica disco, desliga, rotula, embala e registra os equipamentos para transporte, além de posteriormente processar a evidência. Essas são funções (roles) que podem se acumular em uma mesma pessoa ou ser desempenhadas por pessoas diferentes, de acordo com o tamanho e disponibilidade da equipe.

Os first responders nunca devem ultrapassar suas qualificações, ou seja, as pessoas que entrarem em contato com as evidências nunca devem tentar explorar o conteúdo ou recuperar informações de um computador se não forem preparadas para tal, sob pena de destruir ou inutilizar juridicamente as evidências. Se esse for o caso, é importante que não se pressione nenhum botão, tecla ou movimente o mouse. Apenas uma pessoa com o conhecimento adequado poderá operar o dispositivo eletrônico com um risco menor de comprometer as informações existentes no mesmo.

Historicamente, a bibliografia forense nos aponta uma grande quantidade de utilitários que podem ser utilizados no momento em que o equipamento se encontra ainda ligado (live response). Encontramos utilitários para detectar conexões, processos de memória, módulos de kernel, etc. Mas temos que admitir que além de lento e complexo, esse processo é vulnerável à ação de rootkits, que podem prejudicar a saída dos comandos. Para piorar, os procedimentos de ˜Live response” não são reproduzíveis em corte.

Na maioria dos casos, o melhor caminho seria treinar o pessoal de TI (normalmente os primeiros a atender um incidente) para que realizem um despejo de memória, e documentem o hash do arquivo gerado. Esse procedimento é mais simples rápido e salva todas informações na memória volátil, liberando o equipamento para ser desligado, e consequentemente recuperado mais rapidamente (assim que a memória persistente for salva).

Uma vez que temos uma imagem persistente, podemos utilizar ferramentas de “Memory analysis”, que trazem as mesmas informações possíveis de ser coletadas em um Live response, mas com a vantagem de não termos a interferencia do sistema operacional comprometido e de ser um procedimento facilmente reproduzível em corte.

As vantagens da “Memory analysis” sobre o “Live response” serão alvo de um novo artigo em breve.

Mudanças são inevitáveis, o crescimento é opcional.

Primeiramente gostaria de justificar minha ausência no Blog, listas, etc. Estou há um mês nos Estados Unidos e, depois de sentir todo o frio do mundo, estou finalmente instalado e produzindo novamente. Meu objetivo aqui, além dos contatos que estou fazendo, é tirar um trimestre de pesquisa e desenvolvimento de material para apresentar no Brasil em Abril. Para começar resolvi comprar um MacBook (o último Mac que tive foi um iMac onde hoje minha filha de 2,5 anos assiste Xuxa) e um desktop Linux (o qual sempre usei como servidor) para estudar as plataformas e aprofundar meus conhecimentos sobre Forense nas mesmas. Minha meta é não usar o Windows esse trimestre, vamos ver até quando eu resisto 🙂

 

Acredito que sair completamente da minha zona de conforto, na qual uso o mesmo sistema e ministro os mesmos cursos, me ajudará muito a dar um novo salto qualitativo em meu trabalho. Não se pode viver à sombra do conhecimento alcançado ou dos bons serviços prestados no passado. O mundo vai mudando e o mundo de segurança muda a uma velocidade inacreditável. Cabe a nós definirmos nosso foco e trabalhar para o crescimento. Essas são também as bases do trabalho que pretendo fazer no Brasil quando voltar: levar novos, pequenos a acessíveis cursos sobre novidades em segurança da informação e forense digital.

 

Essa década começou diferente pra mim. Para iniciar a conversa, estou escrevendo esse post em um Fedora 14, o qual estou desde ontem tentando utilizar como desktop. Após um dia eu já desisti de rodar filmes Blu-ray e estou me matando para colocar uma maldita cedilha nele, além de testemunhar o SO congelar completamente por duas vezes e ter que reiniciar uma vez para poder voltar a usar o VMWare.

 

Nos dias anteriores estava usando o MacBook, que deu um tipo de “Kernel Panic” duas vezes em duas semanas.  Não estou escrevendo para falar mal das duas plataformas, mas para desmistificar aquele papo furado de que Unix nunca trava e que o Windows é o rei da Tela Azul. Minha conclusão é que desktops travam, e na maioria das vezes por culpa do usuário. Se eu consigo travar o Linux e Mac tantas vezes, acredito que os Linux e Mac users devem fazer o mesmo com o Windows.

 

Espero não ter ofendido os Mac e Linux users. Estou realmente impressionado com as duas plataformas, apesar dos espinhos, tenho feito tudo nelas. Tenho certeza que vou terminar o trimestre bem mais confortável com ambas,  estou até planejando minha ida para a Scale 9x (Southern California Linux Expo) em Fevereiro.

Por fim, deixo uma frase que sempre uso: “Experiência não é o que se vive, mas sim o que se aprende com o que se vive”

PS: Tive que acabar o post no Mac para poder usar a cedilha. Tenho certeza que vou resolver isso muito em breve 🙂