Tuesday, December 28, 2010

Missão EnCE: Estrutura do arquivo E01


O arquivo E01 é o formato proprietário para arquivos de imagens forense, criado pela Guidance Software. Também chamado de EnCase Evidence File Format, é uma forma de se trabalhar com uma cópia bit-a-bit da evidência, preservando assim o original.

Basicamente, este arquivo é composto por um header contendo as informações do caso, blocos de dados de 32KB (padrão 64 setores), registros CRC para garantia de integridade dos blocos de dados e um hash no final do arquivo, para garantia de integridade do arquivo como um todo. Este hash no final do arquivo deve coincidir com o hash da evidência original, a fim de garantir que não houveram manipulações no arquivo de evidência durante o processo.



O header armazena informações sobre o caso, não manipuláveis após criação do arquivo de imagem. Estas informações armazenadas no header são "autenticadas" pelo CRC do header.

O header contem as seguintes informações:
  • Case number
  • Examiner name
  • Evidence number
  • Unique description
  • Date/time of computer system clock
  • Acquisition notes
  • Serial number of physical hard drive
Cada bloco de dados contém, por padrão, 64 setores (32KB de dados). A partir da versão 5 do EnCase, os tamanhos destes blocos podem ser alterados para até 32.768 setores (16MB de dados). Por razões didáticas, assumiremos que esta customização não é possível e os blocos de dados tem 64 setores. Para cada um destes blocos de dados, é calculado um CRC no momento da geração do arquivo, que é checado quando se adiciona o arquivo de imagem a um caso e a cada acesso a este bloco de dados durante o processo de investigação.


A partir da versão 6 do EnCase, o hash gerado para integridade do arquivo de imagem pode ser armazenado em MD5 e/ou SHA1.

O arquivo de imagem pode ser dividido em múltiplos segmentos, com o tamanho máximo dependendo do suporte do sistema de arquivos utilizado. Até a versão 5 do EnCase, o tamanho máximo do arquivo de imagem era de 2GB, devido a uma limitação interna de offset de 31bit. A partir da versão 6 do EnCase, um "work arround" resolveu esta limitação.

O arquivo de imagem pode ser protegido por senha. Esta senha não pode ser alterada após criação do arquivo de imagem.

Pode ser aplicado compresão ao arquivo de imagem durante o processo de criação. Esta compresão poderá reduzir bastante o tamanho do arquivo de imagem, mas não irão alterar o hash de controle, que deverá sempre coincidir com o hash do disco original.

Missão: EnCE - Algumas "notas de rodapé" II

Finalizando o post de ontem sobre notas de rodapé, estou publicando mais algumas notas sobre o EnCase, da Guidance Software:



File Systems 
• FAT file systems (FAT12, 16, 32) group one or more sectors in powers of 2 into clusters.
• The number of clusters that the file system can manage is determined by the available bits employed by the FAT.
• FAT16 (2/16) allows 65,536 clusters.
• FAT32 (2/28) allows 268,435,456 clusters.
• The FAT maintains information regarding the status of all the clusters on the volume (available -0, in use), indicated cluster number, containing the end of a file (EOF), and containing one or more defective sectors (BAD).
• The FAT also tracks file fragmentation.
• Directory entries maintain the file name, logical file size, and starting cluster.
• FAT is read to begin locating the files data.
• Each FAT volume maintains two copies of the FAT – FAT1 and FAT2.
• Each sector contains 512 data bytes, and this size is consistent across different media types. (ZIP disks, floppies, HDD, etc.)
• Logical file size is the actual number of bytes that the file contains.
• Physical file size is the amount of actual media space allocated to the file.
• Only one file can occupy a cluster at one time – no two files can occupy the same cluster.

File Slack 
• Displayed in EnCase as red text. It is the data from the end of the logical file to the end of the physical file.
• EnCase also displays FAT directory entries in red text because neither slack nor FAT directories have any logical file size


Deleted Files 
• Two actions occur when a file is deleted from a FAT system – the first character of the directory entry(s) pertaining to the file is/are changed to E5h, and the values within the FAT that pertain to this file are reset to 0
(available).
• Deleting a file has no effect on the actual data in FAT or NTFS.
• EnCase reads the directory entry for a deleted file and will obtain the starting extent. It then will determine the number of clusters the file requires by dividing the logical file size by the bytes per cluster.
• EnCase reads the FAT to determine if the indicated starting extent (cluster) is in use by any other file.
• If the indicated starting extent (cluster) is in use by another file, EnCase deems this file to be overwritten.

Computer Hardware and Systems 
• BIOS – Basic Input Output System
• The BIOS is responsible for the initial checking of the system components and initial configuration of the system once power is turned on.
• Examiners should access the BIOS and determine the boot sequence as well as the indicated date/time.
• Depending on the settings, the computer system may or may not attempt to boot from a diskette drive.
• The BIOS is typically contained within a chip located on the system motherboard, which is the main circuit board within a computer system.
• Add-in cards – video controller, SCSI controller, NIC, etc.
• SCSI host adapters manage SCSI devices and make them accessible to the OS.
• RAM – Random Access Memory – stores data temporarily and is accessible immediately to the OS.
• ROM – Read Only Memory
• CPU – the actual processor chip – not the whole computer.
• POST – Power On Self Test – first activity following the application of power to the computer system.
• The POST activity includes the testing of identified attached devices on the system bus, including the HDD(s), diskette drives, installed memory, etc.
• Drive letters are assigned by the OS during the boot process, but are not recorded to the media involved.
• Bootable media must maintain a bootable partition/volume, which in the case of HDDs, must be set as active.

HDDs 
• IDE drives are set for Master/Slave/Cable. Select through jumper pinning on the physical drive.
• SCSI drives do not maintain “Master/Slave” settings; rather they are assigned ID numbers, again usually through jumper settings.
• When employing CHS geometry, the formula for determining the HDD capacity is CxHxSx512.
• The first sector on every HDD contains the Master Boot Record, and the partition table for the drive is located within this sector for Windows and Linux – offset 446-509.
• The partition table within the MBR can maintain 4 entries, each 16 bytes in length.
• Each defined partition on a physical HDD will contain a Volume Boot Record as the first sector within the partition.
• Selecting the Volume Boot sector, right-clicking and choosing Add Partition can recover deleted partitions.

Restoring E01 Files 
• Evidence files can be restored to media of equal or greater size.
• The hash value of a properly restored evidence file will match the value maintained within the evidence file, which is the value computed against the original source media.
• Restoring evidence files of physical media must be made to a physical drive, logical evidence files to a defined logical partition.
• Logical restores must be made to a created partition equal to or larger than the evidence file partition, and must be of the same file system – FAT16/32.
• Restored drives are validated by the MD5 value.

OS Artifacts 
• Review Recycle Bin functions – DC0.TXT, DC1.JPG, etc.
• On Windows XP/2003 and below, the date/time deleted stems from the INFO record within the Recycle Bin.
• FAT directory entries in DOS/Windows are 32 bytes in length.
• Review directory structure – parent/child relationships.
• Review Windows XP/2000 artifact locations: C\Windows\Recent, Desktop, Send To, and Temporary Internet Files.
• Review LNK files – linking a diskette to the computer that wrote to it – embedded date/time as well as full path and file name of the target file.
• Review EMF files, SPL, and SHD files – definition and content.
• BASE64 encoding – common to email attachments.
• Windows 2000 and XP have user personal folders stored under C:\Documents and Settings.

Os estudos continuam!

Monday, December 27, 2010

Missão: EnCE - Algumas "notas de rodapé"

Transcrevo aqui algumas "notas de rodapé" que merecem atenção dos que estudam para o exame do EnCE. Sim, estão em inglês, e o original também.


EnCase® Environment:
 • All lab media should maintain a unique volume label and a unique directory to receive the evidence file(s).
 • All lab media should be forensically sterile – wiped of all data, verified to be absent of any data, freshly partitioned, and formatted.
 • Upon starting a new case – default Export and Temp directories should be defined.
 • These folders will provide a default location for exported data as well as a specific folder to contain files that are created through the use of external viewers.
 • Both of these folders are case specific and can be modified as to location at any time.
 • When an examiner double-clicks on a file, the data is copied to the defined temp directory, and the associated viewer is then called to display the file data.
 • When EnCase is properly shut down, EnCase will delete the files from the temp folder.

E01 File
 • Bit stream image of the source media written to a file(s).
 • Contains case information as first block, validated by attached CRC.
 • No alteration to case information block can be made.
 • There is no limit to the EnCase® evidence file segment size.
 • Content of the evidence file cannot be changed – data cannot be “added” to an existing evidence file.

Case File
 • Contains your “work” – search results, bookmarks, and report.
 • It is simply a text file containing information specific to a single case/investigation.
 • There is no limit to the number of evidence files that can be added to a single case – 8 hdds, 200 diskettes, 24 CDRs – as example.
 • Case file is updated by utilizing the SAVE button or selecting SAVE from the menu.  This only affects the .case file.  
 • Evidence file verification results are stored within the .case file. Backup File (.CBAK)
 • Is created at preset intervals
 • Captures current state of .case file.

EnCase® Configuration Files
 • Contain global changes to the EnCase environment – external viewers, hash sets/libraries, signature table.
 • This global environment dictates information/tools available for all cases – not case specific.
•  Example EnCase configuration .ini files:
          o FileSignatures.ini – File Signature Table
          o FileTypes.ini – organizes files into groups by extension; determines which viewer to use
          o Keywords.ini – global keywords list o Filters – available filters
          o Viewers.ini – installed external viewers
 • File Types table dictates the action that will occur if a user double-clicks on a specific file.
 • External viewers are associated with file extensions through the File Types.

Verification of E01
 • CRC (32 bit) every 64 sectors.
 • MD5 (128 bit) computed during acquisition and placed at the end of the evidence file.
 • To fully verify all CRCs as well as MD5 must validate and verify.
 • If any changes occur to an evidence file, the CRC for the affected block(s) will no longer verify, and EnCase will display an error when any data within the block is accessed.
 • EnCase will also indicate an error if the evidence file is verified again.
 • Three (3) aspects of an existent evidence file can be changed/altered
          o Password +/-, compression, and evidence file segment size.
          o The applied filename of the evidence file can be changed, and/or the evidence file(s) can be moved to another location; however EnCase will prompt you to locate the renamed evidence file if it is changed after it is added to a case.
          o Individual segments of an evidence file can be verified under Tools -> Verify Single Evidence File.
 • Compression does not have an impact on the verification of an evidence file; hash value will remain constant.

Searches - General Information
 • Searches within the Windows® environment are both physical and logical.
 • Within the EnCase® Windows environment, keywords that span noncontiguous clusters will still be located within logical files.  No searching tool will find keywords spanning noncontiguous clusters in unallocated space.
 • Searches in unallocated space are physical only as no logical definitions exist in this area.

Searches - GREP – Most Commonly Used Symbols
 •  [  ] Square brackets form a set, and the included values within the set have to match a single character.  [1-9] will match any single numeric value from 1 to 9.
 •  -  Denotes a range – such as above.
 •  ^   States “not” – [^a-z] = NO alpha characters from a to z.
 •  +  States to repeat the preceding character or set any number of times, but at least once.
 •  *  States to repeat the preceding character or set any number of times, including zero times.
 •  \x  Indicates that the following value is to be treated as a hexadecimal value - \xFF\xD8\xFF…
 •  ?  Means “or not” – joh?n will yield both JOHN and JON
 • You must indicate via the check box that the created expression is a GREP term.

Searches - Unicode
 • Selecting Unicode will cause EnCase to search for the keyword in both ASCII and Unicode.
 • Unicode uses two bytes for each character allowing the representation of 65,536 characters.


File Signatures 
 • Simply compares the displayed extension with the file’s header/signature. Four possible results will be obtained:
          o !Bad Signature - The extension is in the File Signature table but the header is incorrect, and the header is not in the File Signature table.
          o  * [Alias] - The header is in the table and the extension is incorrect.  This indicates a file with a renamed extension.
          o MATCH - The header matches the extension.  If the extension has no header in the File Signature table, then EnCase will return a Match as long as the header of the file does not match any header in the File Signature table.
          o  UNKNOWN - indicates that neither the header/signature nor the extension is listed in the table.  If either the header/signature or the extension is listed in the table, you will NOT obtain a value of UNKNOWN.
 • To examine the results of the File Signature effort, sort on the File Signature column.
 • Remember that the gallery view will not display supported image files that maintain extensions inconsistent with image files until and unless the Signature Analysis has been run.
 • The Signature Table can be edited and/or added to by accessing the table, and choosing right-click New.


Hash Analysis
 • Hash sets can be created from selected files, and the set(s) can then be added to the library.
 • The hash value computed for a given file is based upon the logical file content only – not the slack area of the file.
 • File names are maintained within the folder/directory and have no bearing on the computed hash value of a given file.
 • EnCase will compute a hash value of each file in the case and then compare these computed values to the values present in the library.
 • Hash analysis allows the examiner to identify files that are known – either as innocuous files that can be ignored or as files that are evidentiary in content.
 • Hash sets contain only the computed hash values of the files – not the file content.  A file cannot be created from the computed hash value. ASCII and Binary
 • ASCII table is a 7-bit table, and the acronym stands for the American Standard Code for Information Interchange.
 • The resultant 128 values represent alpha/numeric values, common punctuation and other values.
 • Hexadecimal notation employs two characters to represent one byte.
 • A single byte (8 bits) can represent one of 256 possible values; a nibble (4 bits) can represent one of 16 possible values.
 • The “LE” indicator within EnCase indicates the number of bytes that have been selected/swept/highlighted.
 • Nibble = 4 bits
 • Byte = 8 bits
 • Word = 2 bytes = 16 Bits
 • Dword = 4 bytes = 32 Bits

Friday, December 24, 2010

As sutilezas da Esteganografia

A palavra esteganografia é derivada de duas outras palavras de origem grega: “Steganos”, que significa segredo, e “Graphos”, que significa escrita. Basicamente, esteganografia é uma técnica utilizada para esconder informações “incorporando” mensagens importante dentro de outra mensagem, aparentemente inofensiva. O meio mais comum de esteganografia é utilizando arquivos de imagens. Os formatos de compressão mais utilizados são:

· GIF- Graphic Interface Format;
· BMP- A Microsoft standard image;
· JPEG- Joint Photographic Experts;
· TIFF- Tag Image File Format.

Algumas pessoas podem confundir a esteganografia com a criptografia, mas, salvo que ambas têm como objetivo proteger uma informação, essas técnicas não estão relacionadas entre si. É possível criptografar uma mensagem e então utilizar a esteganografia para ocultar essa massa de dados criptografada em um arquivo de imagem, como também é possível armazenar uma informação em texto simples, não criptografada, em um arquivo de imagem.






Para não estender muito este artigo (esteganografia é um assunto que cabe muita discussão), vou me limitar a falar sobre uma das técnicas mais utilizadas: Least Significant Bit Insertion. Esta técnica consiste em fazer uso do bit menos significativo dos pixels de uma imagem e alterá-lo. A mesma técnica pode ser aplicada a um arquivo de áudio ou vídeo, embora não seja tão comum. Feito assim, a distorção da imagem em geral é reduzida ao mínimo, sendo praticamente invisível. Em geral, esta técnica funciona melhor quando a imagem é de grande resolução, tem grandes variações de cor e também leva a maior profundidade de cor.

Exemplo: O valor (1 1 1 1 1 1 1 1) é um número binário de 8 bits. O bit localizado à direita é chamado de "bit menos significativo”, porque é o de menor peso, alterar este bit significa alterar o mínimo possível do valor total do número representado.

Um exemplo de esteganografia: Escondendo a letra "A". Imagine a parte de uma imagem no formato de pixel RGB (3 bytes), sua representação original pode ser: (3 pixels, 9 bytes):

(1 1 0 1 1 0 1 0) (0 1 0 0 1 0 0 1) (0 1 0 0 0 0 1 1)
(0 0 0 1 1 1 1 0) (0 1 0 1 1 0 1 1) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 0) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

A mensagem criptografada é 'A', que é a representação em binário (1 0 0 1 0 1 1 1), em seguida, os novos pixels seriam alterados:

(1 1 0 1 1 0 1 1) (0 1 0 0 1 0 0 0) (0 1 0 0 0 0 1 0)
(0 0 0 1 1 1 1 1) (0 1 0 1 1 0 1 0) (1 1 0 1 1 1 1 1)
(0 0 0 0 1 1 1 1) (0 1 0 0 0 1 1 1) (0 0 0 0 0 1 1 1)

Note-se que o algorítimo substituiu o bit da mensagem (em negrito) em cada um dos bits menos significativo dos 3 pixels de cor. Foram necessários 8 bytes para a mudança, um para cada bit da letra A, o nono byte de cor não foi usado, mas é parte do terceiro pixel (seu terceiro componente de cor).







Além disso, este método não altera o tamanho do arquivo, pois emprega uma técnica de substituição de informações. Esta técnica tem a desvantagem de que o tamanho do arquivo de suporte deve ser proporcionalmente maior quanto a mensagem a ser oculta, ou seja, você precisa de 8 bytes para cada byte de imagem para esconder a mensagem, o que limita a capacidade máxima para armazenar uma imagem de uma mensagem escondida em 12,5%. Se você pretende usar uma parcela maior de bits da imagem (por exemplo, não só por último, mas os dois últimos bits de cada byte), pode começar a ser perceptível ao olho humano as distorções causadas na imagem final pela técnica de esteganografia.

Essencialmente, a esteganografia explora as limitações da percepção humana, pois os nossos sentidos não são capazes de detectar estas mínimas anomalias geradas pela técnica. Para detecção destas informações ocultas, empregamos uma técnica chamada de estegoanálise. Vou falar sobre as técnicas de estegoanálise em um próximo post.

Original publicado no blog da TechBiz Forense Digital.

Wednesday, December 15, 2010

TOP50 senhas idiotas, by Gawker Media

No último domingo, hackers divulgaram os usernames e passwords armazenadas no banco de dados do usuário Gawker Media.

O Wall Street Journal analisou os dados vazados e, ao melhor estilo CQC, produziu uma lista dos TOP50 senhas usadas em serviços hospedados no Gawker. Acredite ou não, a lista está cheia de senhas de segurança-zero, tais como números em ordem crescente (123456 e 12345678) e palavras ridículas (password e qwerty):

Mais de 3000 pessoas acreditam que 123456 é uma senha segura...


É perturbador descobrir que uma rede com blogs voltados para técnicos e pessoas entendidas de informática apresente senhas tão fracas.

Maiores informações em: http://blogs.wsj.com/digits/2010/12/13/the-top-50-gawker-media-passwords/

Friday, December 10, 2010

O tiro no pé da Nissan

Há pouco tempo atrás, a Nissan iniciou uma interessante ação dentro das redes de relacionamento: a promoção Quero Trocar Meu Carro Por Esse carrão, ou conhecida apenas por Quero Esse Carrão. Essa promoção tinha como objetivo também fazer uma boa propaganda dos carros da Nissan, porque vários usuários do Facebook e do Twitter podem conferir as novidades da Nissan e se tornarem futuros compradores.


Os prêmios da promoção Nissan quero meu carrão são dois carros diferentes, e cada um deles depende de qual rede social você usar na promoção, os usuários do Facebook estão concorrendo ao um Nissan Tiida Sedan, e os usuários do microblog Twitter estão concorrendo ao carro Nissan Tiida Hatch S.

Para quem usa o Twitter, basta se cadastrar no hotsite da promoção e postar o seguinte tweet: “Se eu conseguir 44.500 retweets com esse tweet ganho um carrão. www.nissan.com.br/queromeucarrao #queromeucarrao”, assim aquele que conseguir 44.500 retweets ganhara o Tiida Hatch S. Já os usuários de Facebook devem ter uma foto segurando um panfleto do anuncio da família Nissan Tiida, aquele que conseguir 44.500 “Curtir” na foto ganhara o carrão Nissan.

Pelo Twitter, em algumas horas, um perfil conseguiu os 45 mil RTs necessários, mas tamanha mobilização em tão pouco tempo gerou algumas suspeitas.


O mais interessante é que, pela interface WEB do Twitter, é possível visualizar a "origem" do tuíte, e este veio do "Quero meu Carrão"... WTF?

Após vários protestos no Twitter contra o perfil @tca_oficial, suposto ganhador da promoção, a Nissan resolveu se pronunciar e "corrigir" a falha do regulamento, sorteando um segundo carro para o Twitter e lançando a segunda nota:

COMUNICADO



COMO A AÇÃO REALIZADA PELA NISSAN DO BRASIL “QUERO MEU CARRÃO” É UMA AÇÃO INOVADORA, QUE DISTRIBUI PRÊMIOS ATRELADOS ÀS REDES SOCIAIS, E DIANTE DE ALGUNS QUESTIONAMENTOS LEVANTADOS NO TWITTER, A NISSAN, APÓS A AUDITAGEM REALIZADA PELA ALY CONSULTING, CONTRATADA PARA ACOMPANHAR TODO O PROCESSO DA AÇÃO ESCLARECE QUE:

A) DE ACORDO COM O REGULAMENTO DA AÇÃO PROMOCIONAL, O PERFIL @TCA_OFICIAL NO TWITTER FOI O PRIMEIRO A ATINGIR OS 44.500 RT . DESSA FORMA, A PARTICIPANTE CONQUISTOU O NISSAN TIIDA HATCH.

B) O REGULAMENTO FOI COMPLEMENTADO COM A INCLUSÃO DE UM COMITÊ AUDITOR, FORMADO POR ESPECIALISTAS DA INTERNET E REPRESENTANTES DA NISSAN E DAS EMPRESAS ORGANIZADORAS DA PROMOÇÃO.

O COMITÊ AUDITOR AVALIARÁ TODOS OS CASOS E DÚVIDAS QUE EVENTUALMENTE VENHAM A OCORRER NAS REDES SOCIAIS E TEM DECISÃO SOBERANA PARA DECIDIR DENTRO DO REGULAMENTO PROPOSTO. MEMBROS DO COMITÊ AUDITOR:

EDEN WIEDEMAN (@REALEDEN)
FLÁVIA PENIDO (@LADYRASTRA)
BRUNO BUCALLON (@OESTAGIARIO)
LILINE FERRARI (@LILIANEFERRARI)
CARLOS MURILO MORENO – DIRETOR DE MARKETING DA NISSAN DO BRASIL
MAURY TOGNOLO – DIRETOR DE ATENDIMENTO DA ID/TBWA
WALID ALY – AUDITOR INDEPENDENTE DA ALY CONSULTING
FABIO CHIORINI – XPRESS COMUNICAÇÃO

C) REAFIRMANDO SEU COMPROMISSO COM A TRANSPARÊNCIA E A SUA CRENÇA NA IMPORTÂNCIA DAS MÍDIAS SOCIAIS, A NISSAN COLOCARÁ UM SEGUNDO CARRO NA PROMOÇÃO PARA O 2º PARTICIPANTE QUE ATINGIR 44.500 RT NO TWITTER OU TIVER O MAIOR NÚMERO DE RETWEETS AO FINAL DA AÇÃO, QUE SERÁ NO DIA 22 DE DEZEMBRO DE 2010.

A AÇÃO “QUERO MEU CARRÃO” NO FACEBOOK AINDA NÃO TEM UM GANHADOR E CONTINUA VÁLIDA ATÁ QUE UM PARTICIPANTE ALCANCE 44.500 “CURTIR” OU TENHA MAIS REGISTROS NESTE ÍCONE, CONFORME O REGULAMENTO.

CONTINUE PARTICIPANDO!
BOA SORTE!

NISSAN DO BRASIL
Os highlights foram por minha conta... 

Parabéns ao ganhador da promoção! Encontrou um "bug" no regulamento da promoção, usou um script para faturar e a Nissan irá entregar seu carro! [SARCASM mode=on]

Após a ação, a Nissan liberou a versão 1.1 do regulamento, para garantir que novas falcatruas não sejam utilizadas...

Se o objetivo da Nissan era agitar as redes sociais, ela atingiu o objetivo com esta ação. A falha da Nissan, na minha humilde opinião, foi desconhecer as redes sociais a ponto de não conseguir prever que scripts de Twitter são velhos conhecidos da comunidade. Talvez não a Nissan, mas a equipe responsável por esta ação de marketing, por tentarem inovar e utilizar uma mídia ainda pouco explorada....

No momento em que eu escrevo este post, o perfil @tca_oficial estava suspenso no Twitter.

Tuesday, December 7, 2010

EnCE x ACE

Por serem as maiores e principais fornecedoras de softwares de computação forense, é natural que exista uma certa rivalidade entre a Guidance Software (fornecedora do EnCase) e a AccessData (fornecedora do Forensic ToolKit, FTK). No meu ponto de vista, são dois excelentes produtos, cada um levando vantagem e se destacando em determinado aspecto (FTK tem indexação em Oracle, EnCase tem o EnScript...). Cada um destes fornecedores oferecem exames de certificação para seus produtos: EnCE para o EnCase e ACE para o FTK.

O exame de certificação da AccessData é um pouco mais simples, podendo ser realizado de casa, com consulta, mas ainda assim com o tempo limitado e algumas questões complexas, mas todas as questões voltadas ao uso das ferramentas que compõe o FTK: FTK Imager, PRTK, Registry Viewer. O exame de renovação e manutenção do ACE é um pouco mais complexo, mas ainda assim não há necessidade de se apresentar a um centro de provas (Vue ou Prometric) para realização deste exame.


Já o exame da Guidance Software propõe questões mais complexas e deve ser feito em um centro de provas credenciado da Prometric, e engloba não só questões sobre o produto, mas questões sobre computação forense como um todo. No manual oficial da certificação da Sybex, só a partir do capítulo 5 que se começa a falar do EnCase, os primeiros capítulos são focados em hardware, file system e outros conceitos de computação forense. Há ainda alguns pré requisitos para obtenção desta certificação, como participação em pelo menos dois treinamentos oficiais ou pelo menos um ano de trabalho (comprovados) em computação forense.


Particularmente, eu acho que a abordagem da AccessData é mais interessante, a final, o que eu busco é uma certificação no produto EnCase! Se eu quisesse uma certificação em computação forense, estaria estudando para o CHFI =). Mas ainda assim, seria melhor se o exame de certificação da  AccessData fosse realizado em um centro de provas da Prometric, pois garante uma "seriedade" maior para este exame de certificação.

Ainda não postei nada sobre o meu self-study para o EnCE por que ainda não cheguei ao capítulo 5 do manual (o.O). Afinal, relembrar alguns conceitos é sempre muito importante!

Por exemplo, o que significa o valor "??" em uma entrada na tabela FAT?? Quem quiser utilizar os comentários pode ganhar um brinde =)

Thursday, December 2, 2010

Especialistas testam segurança de empresas com impressoras “contaminadas”

Na área de tecnologia, um cavalo-de-tróia é uma das piores pragas que podem infectar um computador. Ele abre as portas da máquina e deixa um hacker controlá-la como quiser. Mas isso é na área de software. Uma empresa de segurança chamada Secure Network Technologies, no entanto, esticou esse conhecido conceito para a área de hardware. Seus pesquisadores embutiram pontos de acesso sem fio dentro de impressoras para ganhar acesso à rede das empresas.




O teste de segurança ocorre de uma maneira que deixaria Ulisses orgulhoso de ver o seu truque sendo usado nos dias atuais. Um dos funcionários da empresa se veste com um uniforme de uma empresa de tecnologia qualquer e deixa um pacote com uma impressora ou outro componente de hardware na empresa alvo. Dentro dessa impressora, há um ponto de acesso sem-fio escondido. Uma vez que ela é ligada na tomada, esse ponto de acesso é ativado e os pesquisadores passam a ter uma porta de entrada escancarada na rede da empresa.
Estranhamente, a ideia original de fazer esse tipo de ataque surgiu de uma mentira. A inspiração foi um artigo mentiroso que foi publicado pelo na revista americana InfoWorld em primeiro de abril de 1991. O texto dizia que o governo dos EUA usaram o método de impressoras contaminadas para infiltrar a rede de comunicações iraquiana e derrubá-la logo depois.

Então se você for o responsável de TI na sua empresa e acha que pode ser alvo desse tipo de golpe, lembre-se de checar dentro de impressoras por cabos soltos ou caixas que não parecem pertencer ao interior delas.

Com informações: SlashdotInfoWorld.

Copiei daqui.

Missão: EnCE

Olá pessoal! Quem acompanha o blog sabe que há algum tempo atrás (meados de abril/10, acho) eu comecei a me preparar e me focar em um exame de certificação muito importante profissionalmente: o EnCE, título concedido pela Guidance Software, a fabricante do já consagrado EnCase. Desde então, muitas coisas aconteceram, e por questões estratégicas, acabei me focando e especializando nas soluções da AccessData, fabricante dos também consagrados FTK e AD LAB. (Inclusive me certifiquei nos produtos da AccessData, me tornando assim um ACE!)




A questão é que agora devo retomar meus estudos para o exame certificação da Guidance (EnCE) e, para isso, vou utilizar este blog. Como? Vou narrar aqui os meus estudos, será uma forma de dividir o conhecimento (objetivo principal do blog) e trocar idéia com quem estuda / já estudou para este exame.

Como guia de estudos, estou utilizando o manual de estudos oficial do EnCE, escrito por Steve Bunting, o melhor e mais indicado para quem vai prestar este exame de certificação:

Não adianta clicar na imagem, não é um link para download =)

Este manual é muito bom, pois acompanha uma versão "especial" do EnCase para trabalhar com os arquivos de evidencia fornecidos no livro, então dá para estudar e praticar, muito bom!

Nos próximos posts, irei falar sobre a ferramenta EnCase e sobre este exame de certificação!

Maiores informações sobre o processo de certificação EnCE podem ser encontradas aqui.

PS: Comprei os livros do CISSP, mas a Amazon ainda não entregou, então meus estudos para este exame estão "pausados" =(