Este não será uma resenha nem um resumo muito longo... porque estou meio que desapontado com o livro.
Ok, o livro foi publicado no final de Nov de 2004. Acho que livros de segurança, hoje, estão ficando desatualizados muito rapidamente. Mas não foi isso que me incomodou, pois seria o mesmo caso do livro de Buffer Overflow, que apesar de não ser nenhum espetáculo, acabei aprendendo umas coisas bem legais.
O site do livro, por exemplo, nem existe mais. Acho isso um vacilo muito grande por parte da editora e dos autores.
Os 3 primeiros capítulos formas a parte 1 - e introdutória - do livro.
O primeiro capítulo, diz o que é uma análise forense, os passos normalmente tomados, tudo que tem de ser feito, desde o registro (para documentação posterior), coleta das evidências e finalmente a análise... bem básico.
O segundo capítulo explica coisas básicas como o que é a BIOS, tipos de mídia: hds, cds, disquete, fitas, etc... Até tem umas coisinhas interessantes... mas nada que realmente seja ligado a segurança, está mais para "conhecimentos gerais".
Capítulo 3 discute o que deve ser e como de ver um laboratório de investigação forense. Até aqui está bem interessante... mas bem básico. Ele fala sobre toda a segurança que você precisa ter, para não deixar pessoas não autorizadas entrarem por exemplo.
Agora começamos a parte 2.
O capítulo 4, trata da coleta da evidência.
O capítulo 5, fala sobre investigação remota.
Fala sobre como devem ser feitos, explicam algumas coisas... falam que deve ser feito o hash dos arquivos coletados, blablabla...
No mais, demonstra como fazer tudo utilizando ferramentas, tipo EnCase e algumas outras. (Quase sempre comerciais)
Parte 3:
Capítulo 6: Forense em ambiente Windows
Capítulo 7: Forense em ambiente Linux
Capítulo 8: Forense em ambiente MacOS
A parte mais interessante dos 3 capítulos é quando são discutidos os sistemas de arquivos mais utilizados nos 3 SOs.
Tirando isso, é somente mais uma longa sequencia de "como fazer isso usando a ferramenta XXX"... e normalmente a ferramenta é a EnCase.
Capítulo 9: Técnicas anti-forenses.
Aqui pode ser interessante para os investigadores terem uma noção de problemas que podem ter... como criptografia, estenografia, limpeza de disco (gravando bytes aleatórios diversas vezes por todo o disco)...
Capítulo 10: Análise em Storage em empresas.
Basicamente fala sobre RAID e fitas.
Capítulo 11: Análise de e-mail:
Fala sobre como abrir arquivos .pst (outlook), .dbx (outlook express), formato padrão de mailbox do unix, Netscape/Mozilla e AOL (WTF?!), Hotmail e Yahoo!.
No final, 2 páginas sobre cabeçalhos de e-mail... muito básico.
Capítulo 12: Rastreando as atividades dos usuários.
Fala sobre cookies e o cache dos browsers. E sobre meta-dados em documentos office.
[Aqui eu ja estava de saco cheio e comecei a ler as coisas com leitura dinâmica... ou seja... 4 pagina no tempo de 1]
Capítulo 13: Análise de PDAs e Celulares.
Esse é o capítulo "ultra novidade" deste livro... e a idéia é boa! Quem hoje não tem um celular que lava, passa e cozinha? (Só não liga quando é preciso :P).
Mas novamente é somente um "how-to" de ferramentas... PDA/Cell Seizure da Paraben e da EnCase. Desculpem... mas fiquei completamente de saco cheio.
A última parte, tenta mostrar tipos de relatórios (internos, para a justiça, etc...) e depois como o sistema de justiça dos EUA funciona. Interessante... pelo menos eles não falaram mais da EnCase aqui.
Depois temos os apêndices:
Apêndice A: Alguns formulários e checklists, para serem usados ou servirem como base para criação de outros.
Apêndice B: Consequências legais. Basicamente descreve um caso que foi a justiça.
Apêndice C: Fala sobre as leis (dos EUA) sobre o tratamento de evidências.
Apêndice D: RegExp básico em 4 páginas.
Apêndice E: Ferramentas que deverias estar no toolkit de um investigados. Diversas ferramentas... algumas livres, outras comerciais...
E pronto, é isso.
Se alguém ainda não entendeu minha frustração com o livro eu posso resumir em 1 linha:
O livro poderia se chamar "EnCase for Dummies" ;)
Infelizmente o modo do livro ser escrito, que em 90% é apenas "fazendo isso com *essa* ferramenta" me desmotivou muito a ler.
Apenas segui em frente pois queria acabar ele de uma vez.
Não recomendo o livro mesmo...
Nenhum comentário:
Postar um comentário