Con mucha expectativa por parte del público, iSec Partners presento las vulnerabilidades descubiertas en The Sleuth Kit y EnCase.
Básicamente eran las que ya se habían hecho públicas unas semanas antes, que incluían ocultamiento de información, denegación de servicio e infinitos loops que causaban la no respuesta de ambos programas. Pero quedo claro que en ningún caso se pudo realizar una ejecución de código arbitrario en la computadora del Examinador, ni tampoco un compromiso de la evidencia adquirida, algo que había generado una preocupación importante.
Una novedad se produjo en el caso particular de EnCase Enterprise Edition v6, donde se presento una debilidad en el método criptográfico con el cual el SAFE verifica la identidad de una computadora a ser adquirida. Esto crearía la oportunidad para un atacante de realizar un hijacking de un sistema que recibió un pedido de adquisición, y donde el atacante podría enviarle al Examinador/SAFE otra imagen de disco alternativa. Este ataque en particular es solo para la versión Enterprise de EnCase que trabaja sobre la red, y no afecta a adquisiciones de datos que se hayan hecho en forma directa o a través del disco físico.
En mi opinión, las vulnerabilidades que podemos llegar a encontrar en el campo son las que provocan una denegación de servicio, ya que son generadas con el simple malformamiento de archivos, directorios, links y sistemas de archivos, pero hay que tener en cuenta que si bien solo se habló de TSK y EnCase, estas vulnerabilidades seguramente afectan a todos los programas conocidos de análisis forense.
Esperemos que todos los desarrolladores comiencen a focalizar aun más su atención en los estándares de seguridad con los que hacen sus productos.
A modo de anécdota, se realizó en la Black Hat la primera edición de los Pwnie Awards (ver caballito dorado), y EnCase quedo en cuarto lugar después de BMC, OpenBSD Y Norman Antivirus, en la categoría "Pwnie for Lamest Vendor Response".
No hay comentarios.:
Publicar un comentario