__          ___      .______        _______.
                                                       |  |        /   \     |   _  \      /       |
                                                       |  |       /  ^  \    |  |_)  |    |   (----`
                                                       |  |      /  /_\  \   |   _  <      \   \    
                                                       |  `----./  _____  \  |  |_)  | .----)   |   
                                                       |_______/__/     \__\ |______/  |_______/    

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ www.octanelabs.net
                             In God We Trust. All Others, We Investigate

Data Juicer

Computação Forense tem por um dos objetivos/técnicas analisar informações que estão armazenadas em meio digital, como por exemplo, em um disco rígido, suas estruturas, o sistema operacional e aplicações. Infelizmente, existe grande carência de ferramentas que auxiliem os peritos na coleta de informações ligadas a incidentes envolvendo aplicações específicas, principalmente em Bancos de Dados.
Em 2007, Paul M. Wright lançou o primeiro livro desta área titulado: Oracle Forensics - Oracle Security Best Practices. Em 2009, Kevvie Fowler lançou também um livro para o Microsoft SQL Server, SQL Server Forensic Analysis e a partir dele surgiu a ideia do projeto DataJuicer.
O projeto DataJuicer iniciou-se através do contato de Tony Rodrigues, Investigador-Chefe e Pesquisador-Chefe do Octane Labs, com Kevvie Fowler, autor e Diretor de Serviços Gerenciados de Segurança para TELUS. Juntos, deram inicio ao projeto que tem o objetivo de desenvolver ferramentas que ajudarão as áreas de Computação Forense e Segurança de Informações.
O DataJuicer tem como fonte de coleta outras bases que não são somente as bases de auditoria, já que estas podem ser apagadas ou desligadas pelo invasor, eliminando a maioria dos rastros e vestígios. Quando ocorre uma invasão em BD, é necessário responder três perguntas: Quando houve, Quem invadiu e até que ponto foi esta invasão. Por isso que uma análise completa não consegue ser concluída apenas com os log de auditoria do BD. O DataJuicer terá ferramentas de imensa importância para ajudar os peritos a encontrar os invasores, pois utilizará os Transaction Log’s do BD para ajudar na identificação. Transaction Log é um log que permite ao SGBD(Sistema Gerenciador de Banco de Dados) retornar o BD a um estado consistente, caso ocorra problemas no decurso de uma transação. Conforme o BD utilizado, o Transaction Log terá outros nomes. No caso do Oracle ele é chamado de Redo Log, por exemplo. O primeiro resultado do projeto é o SQLJuicer que ainda está em fase de aprimoramento, mas já pode ser usado com eficiência quando o SQL Server estiver envolvido em um incidente.

Linguagem: PERL

Página do projeto: https://sourceforge.net/projects/sqljuicer/

Veja outros projetos do Octane Labs