giovedì 9 agosto 2007

Hard Time For Forensic Tools

Gli ultimi 10 giorni sono stati estremamente "caldi" per molti strumenti di digital investigation. in particolare, sono state segnalate alcune vulnerablità sia su prodotti commerciali (come guidance encase) sia su prodotti opensource.

Di seguito i dettagli

Encase:

CVE-2007-4194 (v 5.0)
CVE-2007-4201 (v 6.2 and 6.5)
CVE-2007-4202 (v EEE 6)

The Sleuth Kit (v <2.09):

CVE-2007-4195
CVE-2007-4196
CVE-2007-4197
CVE-2007-4198
CVE-2007-4199
CVE-2007-4200

I problemi sembrano maggiormente relativi al parsing di vari files, sia appositamente malformati sia volutamente creati all'interno di immagini FS.

Per quanto riguarda Guidance Software, il vendor ha pubblicato la sua risposta ufficiale qui
, mentre per quanto riguarda Sleuthkit, probabilmente Brian Carrier dirà qualcosa in merito al Dfrws o sul sito ufficiale (al momento in cui scriviamo non c'è nulla); ma conoscendolo non credo che sarà preoccupato più di tanto. Si metterà al lavoro e cercherà di patchare in fretta (ove necessario e possibile).

Desideriamo focalizzare l'attenzione dei nostri lettori su alcune riflessioni:

  • Lungi dal proteggere Guidance, ma alcune delle vulnerabilità segnalate alla BH 07 sono si possibili ma ogni forensic examiner che si voglia definire tale dovrebbe essere in grado di gestire e controllarle. Inoltre, una di esse presume addirittura l'esistenza di una connessione su network pubblico della forensic workstation, cosa evidentemente fuori standard.
  • L'esistenza di un così importante numero di segnalazioni di sicurezza, anche per gli strumenti Open, evidenzia che la debacle opensource Vs commercial forensics non può essere basata sull'intrinseca sicurezza di una categoria piuttosto che dell'altra. E' vero che in teoria l'Opensource può essere patchato più velocemente, ma chi conosce davvero i processi di validazione dei forensic tools in generale e la gestione del core di sleuthkit fatta dal suo autore sa che il concurrent engineering è solo teoria in questo caso.
  • Sono in molti ad averci chiesto la nostra opinione sull'argomento. La nostra posizione è che sia la fase di preservation (e quindi l'imaging e i formati correlati) a dover essere open, o quantomeno non vincolata ai vendor/formati proprietari, salvo casi eccezionali. Questo dovrebbe consentire un riscontro più agevole dei risultati investigativi, a prescindere dallo strumento di analisi utilizzato. In pratica: agendo su un formato open e magari validato (es. dd, Aff si vedrà) si potrà ragionare dopo sui findings e riscontrare questi ultimi in maniera incrociata. Si tratta comunque di un principio quasi sempre applicabile nell'analisi postmortem, un po' meno su quella live.
Pubblicato da alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)