Introductie

Het komt steeds vaker voor dat de hulp wordt ingeroepen van digitaal forensisch onderzoekers. Onderzoek van pc's, netwerken, mobiele telefoons en aanverwante media vragen diepgaande kennis. Naast deze kennis zijn de tools voor het achterhalen van bepaalde gegevens en de interpretatie van gegevens zeer belangrijk. Deze blog zal proberen oplossingen aan te dragen voor hulp bij digitaal onderzoek. Verschillende tools passeren de revue, interessante artikelen worden verder uitgediept, links naar andere forensische sites en handleidingen ter ondersteuning komen aan bod.
ip information

woensdag 21 november 2007

Let op wat u print...

De GHDB, oftewel de Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php), is een aardige bron om eens een avondje aan te besteden. Er staan zoekopdrachten voor Google in die wat andere resultaten geven dan die je normaal gesproken kan verwachten. Alhoewel er al een aardig aantal queries in de database zijn terug te vinden, is deze natuurlijk nooit volledig. Hieronder mijn bevindingen met betrekking tot een querie die nog niet in de GHDB staat, maar er ongetwijfeld vroeg of laat in zal komen.

De opdracht “web/user/nl/websys” levert 2 resultaten op. Eventueel kan nl veranderd worden in een andere landcode om meer resultaten te krijgen.



De twee links in dit geval wijzen beide naar hetzelfde IP adres. Het aanklikken van deze link brengt je naar een pagina die afkomstig is van een printer of multifunctional. Door het adres aan te passen, en alleen het ip adres te laten staan kom je op de frontpage terecht.



Zonder in te hoeven loggen kunnen diverse opties van de IS 2127 bekeken worden. De opties onder de tab “> Opdr. -> Printer -> Historie” Laten zien dat er actief gebruik wordt gemaakt van deze machine.



Toch wel nieuwsgierig geworden welke instantie zijn machines op deze wijze aan het internet heeft gekoppeld, heb ik een scan uitgevoerd op de iprange. Dit levert het volgende op:



Klaarblijkelijk betreft het hier de UvA, oftewel de Universiteit van Amsterdam. Sommige ip adressen leveren interessante gegevens op. Gegevens die je niet open en bloot op het internet wil zetten. Via de optie Document Server kunnen opgeslagen gegevens worden opgevraagd zonder op het apparaat in te hoeven loggen. Faxen, kopieen en prints blijven soms langer bestaan dan wenselijk is. Een aantal van deze apparaten beschikt namelijk over een harddisk. Organisaties schaffen deze machines aan vanwege het efficiente gebruik, echter wordt vaak vergeten dat ze afgeconfigureerd moeten worden nadat ze ook zijn neergezet...

De CERT van de Universiteit van Amsterdam is inmiddels geinformeerd. Uit de reactie van Jeroen Roodhart, lid van het CERT team, blijkt wel dat het inderdaad niet de bedoeling is geweest: "Dank voor uw melding, hiervoor is een call aangemaakt met call-id CERT-UvA#001255. Dit kan inderdaad niet de bedoeling zijn en wij zullen zo snel mogelijk deze misconfiguratie verhelpen."

1 opmerking:

ano niem zei

hey, de index be-hacked.skynetblogs.be is enkel voor .be domainen, al zijn er daar een pak van in handen van nederlanders, wat hun recht is, geeft het geen indicatie van het hackingniveau tegen het Nederlandse domeinveld, temeer daar overheden en grote bedrijven allemaal een .nl gebruiken. Tevens is het zo dat op deze manier kan worden aangetoond dat de lokale besturen, hosters en DNS moeten optreden tegen sites die maanden lang gehacked blijven
vond emailadres niet direct
mailforlen at yahoo.com

Real Time Visitors !