¿ EnCase fue Hackeado ?

Esa es la información que fue publicada en ComputerWorld sobre una de las ponencias que se realizará en la BlackHat llamada "Breaking Forensics Software: Weaknesses in Critical Evidence Collection".

Los autores pertenecen a la empresa iSec Partners Inc, y hasta hace unos días no habían incluido ninguna descripción en el cronograma de la BlackHat, mientras que ahora podemos encontrar lo siguiente:

"In this talk, we will present our findings from applying several software exploitation techniques to leading commercial and open-source forensics packages. We will release several new file and file system fuzzing tools that were created in support of this research, as well as demonstrate how to use the tools to create your own malicious hard drives and files."

Según el artículo de ComputerWorld, iSec Partners descubrió fallas de seguridad en EnCase y The Sleuth Kit, que harían que estas dos reconocidas soluciones de análisis forense dejen de funcionar. No esta claro si sería posible ejecutar código arbitrario en el sistema del examinador, o si sería posible contaminar la evidencia que esta bajo investigación.

En cualquier caso, hay muchos ojos que estarán puestos sobre esta presentación, y principalmente de abogados de la defensa a los que les encantaría tener un buen argumento para desestimar análisis realizados con EnCase en la corte.

Lo que podemos dar por seguro, es que los autores de esta presentación deben encontrarse bajo una gran presión si tenemos en cuenta que Guidance Software esta estrechamente ligado al gobierno, y a fuerzas militares y de seguridad de los USA.

Ya sea que esta presentación tenga algo de cierto o no, yo estaré presente en la BlackHat para darles mis comentarios, así que me despido por dos semanas en la que intentaré seguir blogueando! ;)

---> ACTUALIZADO Horas más tarde....

Las vulnerabilidades en cuestión serían las siguientes:

1. [Logical] Disk Image Cannot be Acquired With Certain Corrupted MBR Partition Table.
2. Corrupted NTFS file system crashed EnCase during acquisition.
3. Corrupted Microsoft Exchange database crashes EnCase during multi-threaded search/analysis concurrent to acquisition.
4. Corrupted NTFS file systems Causes Memory Error.
5. EnCase Had Difficulty Reading Intentionally Corrupted NTFS File System Directory.
6. EnCase Crashes When Viewing Certain Deeply Nested Directories.

Guidance Software ha emitido un comunicado respondiendo a cada una de estas vulnerabilidades. Pueden encontrar esta respuesta en los archivos de Bugtraq en Security Focus.

Después de Las Vegas comentaré más sobre esto...