Thursday, May 13, 2010

"Excluir" é um termo impróprio...

Muita gente sabe que um arquivo quando excluído do disco, este não é excluído de fato... Mas muitos usuários não sabem disso e imaginam que recuperação de dados é uma tarefa árdua, que envolve ferramentas modernas e especializadas. A verdade é que o sistema operacional nunca apaga os arquivos realmente, e recuperar esta informação é uma tarefa muito simples, das mais básicas...

Imagine que você criou um documento no Bloco de Notas e o salvou no seu computador com o nome doc.txt

O processo de salvar um arquivo no seu disco rígido envolve, basicamente, três eventos:
  • Uma entrada é gravada na FAT (File Allocation Table) para indicar o espaço onde está armazenado a "região de dados do arquivo". Como qualquer arquivo, doc.txt aloca clusters no disco rígido.
  • Uma entrada de diretório é feita para indicar doc.txt como o nome do arquivo, seu tamanho, link para o FAT, e algumas outras informações.
  •  doc.txt é escrito para a região de dados. Ou seja, é salvo em um cluster em sua unidade de disco rígido. (Claro, os arquivos podem ocupar mais de um cluster, mas vamos manter o conceito simples.)



Mas quando você decidir excluir doc.txt, apenas dois eventos acontecem:
  • A entrada do FAT para o arquivo é zerado, o que significa que o cluster é declarado vago e disponível para armazenar outro arquivo
  • O primeiro caractere do nome do arquivo de entrada do diretório é alterado para um especial de modo que o sistema operacional sabe a ignorá-lo. Como efeito, o sistema operacional finge que o arquivo não está mais no disco

Como muitos outros arquivos apagados, o arquivo doc.txt permanece intacto, porque nada foi feito para com sua região de dados. Para que o arquivo doc.txt seja totalmente substituído e (quase) irreparável, são necessários dois eventos:
  • O sistema operacional deve salvar outro arquivo (como arq.txt) exatamente no mesmo cluster.
  • arq.txt deve ser pelo menos tão grande como doc.txt.



Se, por exemplo, doc.txt preencher um cluster inteiro e o arquivo arq.txt ocupar menos espaço, restos de doc.txt permanecem no disco e são recuperáveis. A parte não utilizada do cluster é o "espaço de folga". Mais precisamente, é a parte do cluster não utilizados pelo novo arquivo. Estes espaços são chamados de Slack e não podem ser vistos sem ferramentas especializadas. Estes espaços podem, inclusive, ser utilizados por malwares para armazenar informações.


Este post pode parecer um tanto quanto "For Dummies", mas será o fundamento para o próximo post que irei escrever aqui no blog. Até lá!

novo método para burlar a proteção dos softwares antivírus

Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.



A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.

De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* - foi bem sucedido em 100% dos produtos testados.

A equipe da Matousec informou que o ataque pode ser efetivo quando executado em uma conta sem privilégios administrativos e ele afeta todas as versões do Windows (32 e 64 bits). O único fator limitante é a complexidade da técnica, que requer que uma grande quantidade de código esteja presente no sistema, o que torna difícil seu uso em ataques do tipo drive-by download (um ataque de drive-by download explora brechas ou erros de design em softwares para fazer com que um programa malicioso seja baixado e executado sem que o usuário perceba o que aconteceu).

Como prova de conceito, os pesquisadores da Matousec criaram um mecanismo para o desenvolvimento de exploits chamado Kernel HOok Bypassing Engine (ou KHOBE).

Maiores informações na página da Matousec: http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

Monday, May 10, 2010

JN destaca a importância da computação forense

Reportagem do Jornal Nacional (Rede Globo) veiculado em 08/05/2010 mostra como o Instituto de Criminalística do estado de São Paulo está preparado para os novos desafios dos crimes digitais.



A investigação policial do futuro já chegou ao Brasil. Em São Paulo, as perícias feitas com computadores prendem cada vez mais criminosos. Sem lupa, sem luvas. Quando a prova do crime está em bites e bytes, a perícia convencional dá lugar a uma investigação digital. Um equipamento revela as últimas ligações e mensagens do celular. Conectado a um computador ou cartão de memória, um superprograma usado pelas principais polícias do mundo, como o FBI, vasculha todos os arquivos. Revela quando e para quê o computador foi usado, quebra senhas de acesso e até recupera o que foi apagado. Nos últimos dez anos, o número de perícias digitais em São Paulo pulou de 535 para 2.876, um aumento de 437%. Esse tipo de perícia é cada vez mais comum, porque, cada vez mais, as pessoas usam aparelhos eletrônicos para se comunicar, acessar e armazenar informações. Esses equipamentos foram tão incorporados ao dia a dia que muitas vezes o criminoso deixa vestígios sem se dar conta.

Vídeo da reportagem completa:







Update: Já em 21/04, o jornal Hoje em Dia (Rede Record), falava também sobre crimes que aproveitam dos meios virtuais: estelionato, pedofilia, crimes conta a honra...