Home 01 - Conceitos 07 - Forense e Antiforense 08 - Técnicas Antiforenses

No contexto das técnicas antiforense, os ataques de negação de serviço (DoS) contra ferramentas, exemplificados pelo Zip da Morte (ou Zip Bomb), representam uma estratégia agressiva para interromper ou inviabilizar o processo de investigação.

Abaixo, detalho como essa técnica funciona e como ela se insere no cenário da antiforense segundo as fontes:

1. O Contexto: Atacando a Credibilidade e as Ferramentas

A antiforense é definida como o conjunto de métodos que visa comprometer a disponibilidade ou a utilidade das evidências. Uma das abordagens mais modernas e ameaçadoras consiste em realizar ataques diretos contra as ferramentas de computação forense. Os invasores exploram vulnerabilidades conhecidas desses softwares para que, se a confiabilidade das evidências puder ser questionada ou o processo interrompido, as provas se tornem inúteis para o tribunal.

2. O Funcionamento do “Zip da Morte”

O Zip da Morte é descrito como o ataque de negação de serviço mais popular nesse meio. Ele explora a configuração padrão de muitas ferramentas e a curiosidade do investigador em analisar o conteúdo de arquivos compactados.

  • A Armadilha: São arquivos compactados com um tamanho físico muito pequeno, o que não levanta suspeitas iniciais.
  • O Efeito: Quando a ferramenta forense tenta descompactar o arquivo para análise, ele se expande massivamente, consumindo quantidades extremas de espaço em disco e memória RAM.
  • O Resultado: O sistema fica sobrecarregado, fazendo com que a ferramenta perca a disponibilidade, trave ou pare de funcionar completamente.
  • Ferramentas Vulneráveis: Softwares que abrem arquivos por padrão baseados em suas extensões são os mais expostos. As fontes citam o EnCase como um exemplo de ferramenta vulnerável a esse tipo de ataque.

3. Exemplo Clássico: O arquivo 42.zip

As fontes citam o arquivo 42.zip como o exemplo típico de uma “bomba de compressão”:

  • Ele possui apenas 42.374 bytes compactados.
  • Contém 16 arquivos internos, que por sua vez contêm mais 16, em camadas sucessivas.
  • Se extraído totalmente, o espaço ocupado aproximar-se-ia de 4,5 PB (Petabytes), algo impossível de ser processado pela maioria das estações de trabalho forenses.

4. Outras Variantes e Prevenção

Além do Zip da Morte, as fontes mencionam o ReDoS (negação de serviço por expressão regular), que utiliza entradas mal elaboradas (como o Evil Regex) para fazer com que a máquina de processamento leve um tempo exponencial para validar dados, resultando também no desligamento do sistema.

Como prevenir: Embora ataques DoS não possam ser evitados em sua totalidade, sua ocorrência pode ser mitigada se os peritos escolherem as entradas das ferramentas com cuidado. Ao determinar previamente o tipo exato de arquivo que se busca, economiza-se tempo e evita-se que o software processe dados maliciosos que nem precisariam ser verificados.

Em suma, o Zip da Morte é uma tática antiforense que utiliza a própria funcionalidade da ferramenta de análise contra o investigador, transformando uma simples descompactação em um colapso técnico que atrasa ou impede a coleta de provas.