Análise forense no mundo corporativo
As técnicas e ferramentas existentes para análise forense têm uma certa maturidade, mas em geral padecem de um defeito: estão orientadas para o mundo PC. Acesso físico ao hardware, discos duros de tamanho razoável, possibilidade de desligar o sistema e confiscá-lo, etc.
Em muitos casos é difícil, se não mesmo impossível, aplicar as técnicas de investigação forense no mundo de uma grande empresa. Isto pode dever-se a muitas causas:
-
Tamanho do ambiente tecnológico, distribuição geográfica, grande número de sistemas, tamanho do armazenamento, etc.
-
Complexidade tecnológica e existência de múltiplas tecnologias
-
Complexidade organizativa, política ou legal, incluindo diferentes jurisdições ou sistemas legais
-
Existência de sistemas críticos em ambientes controlados
Coisas tão básicas como a distância, a possibilidade de acesso físico a sistemas remotos (talvez ao outro lado do mundo), diferenças culturais ou de idioma, zonas horárias, etc. podem limitar ou dificultar a realização de uma investigação forense.
Quando se tem que obter a evidência de forma remota, a largura de banda disponível (às vezes mínima) e a proliferação de grandes meios de armazenamento (discos de centenas de gigabytes), tornam difícil a obtenção de imagens de disco para exame.
A existência de sistemas de armazenamento externo (NAS, SAN, etc.) e a ténue separação por vezes existente entre o físico e o virtual (sistemas virtuais, armazenamento distribuído, clusters geográficos) só complicam ainda mais a tarefa do investigador. O tamanho dos volumes actuais de disco, no melhor dos casos, pode implicar várias horas para realizar uma imagem bit-a-bit [pdf], localmente.
Por último, nem sempre é possível aceder à evidência no caso de sistemas críticos, devendo avaliar a conveniência com base em:
-
Custo de downtime contra custo do incidente
-
Custo de reinstalação e implementação
-
Custo de revalidação ou recertificação do sistema
Perante configurações RAID é possível, em certos casos, utilizar um dos discos em “espelho” para realizar a cópia, podendo extraí-lo “imediatamente” sem afectar a continuidade do serviço.
Caso não haja acesso físico ao sistema, pode ser necessário recorrer a operadores remotos (nesta circunstância o procedimento a seguir deve estar muito detalhado, para que qualquer pessoa o possa executar) ou utilizar outros métodos como a transferência através de rede da imagem ou o arranque do sistema a partir de um CD-ROM virtual mapeado através de cartões de gestão remota tipo “Lights out”.
Uma vantagem que tem o ambiente de uma grande empresa sobre outros ambientes é a sua normalização de sistemas. A plataforma uniformizada de clientes e servidores permite a criação de “bases de dados de hashes” de tamanho razoável que facilitam a investigação ao descartar logo depois os ficheiros “conhecidos” e centrar a análise nos ficheiros desconhecidos. O uso de uma base de dados de “hashes” de ficheiros permite descartar entre 80% a 90% dos ficheiros de uma partição de um PC ou de um servidor, de forma rápida e cómoda.
Conclusões
Existe uma certa sensação de que a prática forense esteja a passar por um “momento de desilusão” (“trough of disillusionment”), na terminologia de Gartner. Isso deve-se à incapacidade das técnicas e ferramentas actuais para dar resposta às necessidades dos ambientes modernos. Isto faz com que a prática deixe de ser “interessante” e pareça que “passou de moda”.
O futuro da prática de investigação forense em sistemas informáticos passa necessariamente por renovar-se e incorporar técnicas amadurecidas que enfrentem:
-
A transferência do campo de batalha do disco duro para a memória. Certas aplicações, troianos e “rootkits” são capazes de residir em memória sem tocar no disco. A análise da memória e as ferramentas necessárias estão actualmente numa fase muito adiantada, ainda que haja algo promissor.
-
O desenvolvimento de técnicas e ferramentas para a análise de dispositivos móveis.
-
A entrada da prática forense no mundo corporativo (sistemas críticos, grandes armazenamentos, falta de acesso físico a máquinas, virtualização, distâncias geográficas, etc.)
-
A proliferação e facilidade de obtenção, por parte do grande público, de ferramentas que dificultem a investigação forense.
Será decisivo para o desenvolvimento de um dos campos mais fascinantes da Segurança da Informação, manter a “corrida às armas” contra as novas técnicas e ferramentas para a concretização de actividade maliciosa e contra as ferramentas anti-forenses, assim como a maturidade da prática para adequá-la ao ambiente corporativo.
Alfredo Reino
Alfredo Reino tem uma vasta experiência internacional em Segurança Informática e um espaço na web que vivamente se recomenda.
| Parte 1 | Parte 2 |