Introductie

Het komt steeds vaker voor dat de hulp wordt ingeroepen van digitaal forensisch onderzoekers. Onderzoek van pc's, netwerken, mobiele telefoons en aanverwante media vragen diepgaande kennis. Naast deze kennis zijn de tools voor het achterhalen van bepaalde gegevens en de interpretatie van gegevens zeer belangrijk. Deze blog zal proberen oplossingen aan te dragen voor hulp bij digitaal onderzoek. Verschillende tools passeren de revue, interessante artikelen worden verder uitgediept, links naar andere forensische sites en handleidingen ter ondersteuning komen aan bod.
ip information

zondag 4 maart 2007

Peer 2 Peer Forensics


Internet heeft onze maatschappij veranderd. Heeft de wereld veranderd. Met internet deel je informatie. Om deze informatie nog toegankelijker te maken heeft men een aantal manieren bedacht die daarbij helpen. Niet alle informatie die wordt gedeeld is legaal. In sommige gevallen moet de digitaal onderzoeker achterhalen of bestanden via P2P zijn gedownload, wanneer, en waar vandaan. Een moeilijke klus, aangezien er tegenwoordig honderden P2P programma's zijn waar de gebruiker uit kan kiezen. Natuurlijk gebruikt het grootste percentage de meer bekende programma's zoals eMule, Kazaa, Limewire, BitTorrent of Shareaza, en kan hiermee al een goede forensische knowledge base aangelegd worden. Indien je zelf onderzoek moet verrichten naar een P2P programma is het verstandig eerst een zelfstandige installatie te doen in een VMware omgeving. Na enkele gebruikers handelingen, zoals zoeken met specifieke trefwoorden, downloaden en uploaden, kan je vervolgens met Filemon en Regmon nagaan welke registersleutels zijn aangepast en waar meer informatie te vinden is.


Om je alvast in te lezen is het stuk in deze link een goed begin: http://www.ctin.org/Presentations/P2P%20Presentation.pdf
Aan de andere kant is het al langer bekend dat veel gebruikers van P2P programma's de risico's niet goed inschatten. Een standaard installatie van een P2P programma heeft vaak als resultaat dat privegegevens van gebruikers gedeeld worden met de rest van de wereld. Limewire vraagt tijdens de installatie of het mag zoeken naar "gewilde" bestanden. Deze vraag staat standaard op ja. Als je dus doorklikt gaat het progamma vervolgens zoeken naar alle jpg, mp3 en doc files en zal die dan ook gaan delen. Het programma nestelt zich ook in de startup van de pc. Zonder het in de gaten te hebben staat de pc open zodra die wordt aan gezet. Een handleiding lezen zou dan ook niet onverstandig zijn. http://www.limewire-info.nl/nieuws.php
Nadat er in het nieuws een aantal van deze lekken zijn gepubliceerd http://www.geenstijl.nl/mt/archieven/013407.html , heeft half Nederland een poging gewaagd vertrouwelijke informatie te vinden. Niet altijd zonder resultaat. De trefwoorden "vertrouwelijk, geheim, prive of wachtwoorden" hebben de meeste bestanden met die teksten wel boven water gehaald.
Gepost door op
Labels:

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)

Real Time Visitors !