Menu
Qui Quae Quod

Fechar Responsabilidade Social Corporativa

Fechar ARTIGOS DE OPINIÃO

Fechar Multiculturalismo

Fechar ARTIGOS DE FUNDO

Fechar ARTIGOS DE FUNDO II

Fechar ARTIGOS DE FUNDO III

Fechar TENDÊNCIAS 21

Fechar CIBERDIREITOS

Fechar No gesto da procura

Fechar Os erros do ditado

Fechar Para ler e deitar fora

Fechar O canto dos prosadores

Fechar UTILITÁRIOS

Fechar Apresentações

Fechar CANCIONEIRO de Castelões

Fechar Coisas e loisas da língua portuguesa

Fechar DIVULGAÇÃO DE LIVROS

Fechar Delitos Informáticos

Fechar Encontros

Fechar JURISPRUDÊNCIA

Fechar Livros Maravilhosos

Fechar MANUAL DE REQUERIMENTOS

Fechar NeoFronteras

Fechar O canto dos poetas

Fechar Vinho do Porto

Fechar Workshops

Pesquisar



Visitas

   visitantes

   visitantes online

news_artigo.gifInformática Forense (III)

Análise forense no mundo corporativo

As técnicas e ferramentas existentes para análise forense têm uma certa maturidade, mas em geral padecem de um defeito: estão orientadas para o mundo PC. Acesso físico ao hardware, discos duros de tamanho razoável, possibilidade de desligar o sistema e confiscá-lo, etc.

Em muitos casos é difícil, se não mesmo impossível, aplicar as técnicas de investigação forense no mundo de uma grande empresa. Isto pode dever-se a muitas causas:

  • Tamanho do ambiente tecnológico, distribuição geográfica, grande número de sistemas, tamanho do armazenamento, etc.
  • Complexidade tecnológica e existência de múltiplas tecnologias
  • Complexidade organizativa, política ou legal, incluindo diferentes jurisdições ou sistemas legais
  • Existência de sistemas críticos em ambientes controlados

Coisas tão básicas como a distância, a possibilidade de acesso físico a sistemas remotos (talvez ao outro lado do mundo), diferenças culturais ou de idioma, zonas horárias, etc. podem limitar ou dificultar a realização de uma investigação forense.

Quando se tem que obter a evidência de forma remota, a largura de banda disponível (às vezes mínima) e a proliferação de grandes meios de armazenamento (discos de centenas de gigabytes), tornam difícil a obtenção de imagens de disco para exame.

A existência de sistemas de armazenamento externo (NAS, SAN, etc.) e a ténue separação por vezes existente entre o físico e o virtual (sistemas virtuais, armazenamento distribuído, clusters geográficos) só complicam ainda mais a tarefa do investigador. O tamanho dos volumes actuais de disco, no melhor dos casos, pode implicar várias horas para realizar uma imagem bit-a-bit [pdf], localmente.



Por último, nem sempre é possível aceder à evidência no caso de sistemas críticos, devendo avaliar a conveniência com base em:

  • Custo de downtime contra custo do incidente
  • Custo de reinstalação e implementação
  • Custo de revalidação ou recertificação do sistema

Perante configurações RAID é possível, em certos casos, utilizar um dos discos em “espelho” para realizar a cópia, podendo extraí-lo “imediatamente” sem afectar a continuidade do serviço.

Caso não haja acesso físico ao sistema, pode ser necessário recorrer a operadores remotos (nesta circunstância o procedimento a seguir deve estar muito detalhado, para que qualquer pessoa o possa executar) ou utilizar outros métodos como a transferência através de rede da imagem ou o arranque do sistema a partir de um CD-ROM virtual mapeado através de cartões de gestão remota tipo “Lights out”.

Uma vantagem que tem o ambiente de uma grande empresa sobre outros ambientes é a sua normalização de sistemas. A plataforma uniformizada de clientes e servidores permite a criação de “bases de dados de hashes” de tamanho razoável que facilitam a investigação ao descartar logo depois os ficheiros “conhecidos” e centrar a análise nos ficheiros desconhecidos. O uso de uma base de dados de “hashes” de ficheiros permite descartar entre 80% a 90% dos ficheiros de uma partição de um PC ou de um servidor, de forma rápida e cómoda.

Conclusões

Existe uma certa sensação de que a prática forense esteja a passar por um “momento de desilusão” (“trough of disillusionment”), na terminologia de Gartner. Isso deve-se à incapacidade das técnicas e ferramentas actuais para dar resposta às necessidades dos ambientes modernos. Isto faz com que a prática deixe de ser “interessante” e pareça que “passou de moda”.



O futuro da prática de investigação forense em sistemas informáticos passa necessariamente por renovar-se e incorporar técnicas amadurecidas que enfrentem:

  • A transferência do campo de batalha do disco duro para a memória. Certas aplicações, troianos e “rootkits” são capazes de residir em memória sem tocar no disco. A análise da memória e as ferramentas necessárias estão actualmente numa fase muito adiantada, ainda que haja algo promissor.
  • O desenvolvimento de técnicas e ferramentas para a análise de dispositivos móveis.
  • A entrada da prática forense no mundo corporativo (sistemas críticos, grandes armazenamentos, falta de acesso físico a máquinas, virtualização, distâncias geográficas, etc.)
  • A proliferação e facilidade de obtenção, por parte do grande público, de ferramentas que dificultem a investigação forense.

Será decisivo para o desenvolvimento de um dos campos mais fascinantes da Segurança da Informação, manter a “corrida às armas” contra as novas técnicas e ferramentas para a concretização de actividade maliciosa e contra as ferramentas anti-forenses, assim como a maturidade da prática para adequá-la ao ambiente corporativo.

Alfredo Reino

Alfredo Reino tem uma vasta experiência internacional em Segurança Informática e um espaço na web que vivamente se recomenda.


| Parte 1 | Parte 2 |




Criado em: 18/10/2007 • 11:23
Actualizado em: 18/10/2007 • 15:00
Categoria :


Imprimir Imprimir

Comentários

Ainda ninguém comentou.
Seja o primeiro!

DIVULGAÇÃO
SOS Virus

Computador lento?
Suspeita de vírus?
Fora com eles!
AdwCleaner

tira teimas!
--Windows--

Já deu uma vista de olhos pelas gordas de hoje?


Desde 2004
PREFERÊNCIAS

Voltar a ligar
---

Nome

Password



  Lealdade, um conceito que temos vindo a preconizar e que integra dois elementos fundamentais:
a confiança e a disponibilidade, os quais, por sua vez, se projectam na afectividade  
Lourenço Dias Almeida da Silva
^ Topo ^