Introductie

Het komt steeds vaker voor dat de hulp wordt ingeroepen van digitaal forensisch onderzoekers. Onderzoek van pc's, netwerken, mobiele telefoons en aanverwante media vragen diepgaande kennis. Naast deze kennis zijn de tools voor het achterhalen van bepaalde gegevens en de interpretatie van gegevens zeer belangrijk. Deze blog zal proberen oplossingen aan te dragen voor hulp bij digitaal onderzoek. Verschillende tools passeren de revue, interessante artikelen worden verder uitgediept, links naar andere forensische sites en handleidingen ter ondersteuning komen aan bod.
ip information

woensdag 23 april 2008

1 May 2008 Official launch of The Maastricht Forensic Institute

Press Release [PDF] April 2008

The Maastricht Forensic Institute (TMFI) is een onafhankelijk forensisch instituut dat per 1 mei 2008 van start gaat en zich richt op forensisch-technisch en wetenschappelijk onderzoek van topniveau. TMFI is een initiatief van Maastricht
University en DSM Resolve. Als eerste in Nederland zal The Maastricht Forensic Institute het forensisch-technisch onderzoek van materiƫle, d.w.z. fysische, chemische, biologische of digitale sporen combineren met rechtspsychologische en gedragswetenschappelijke expertise, indien mogelijk in de vorm van integrale
deskundigenrapporten. Onderzoek wordt uitgevoerd in opdracht van politie, justitie en advocatuur, voor particulieren en voor bedrijven.
Gepost door op Geen opmerkingen:

vrijdag 18 april 2008

De zwakste schakel...

Afgelopen jaar heeft Fox-IT een rapport uitgebracht waarin een achttal usb sticks aan de tand zijn gevoeld. Welke stick is veilig genoeg om confidentiele data te mogen bevatten? Uiteindelijk kreeg de Kobil mIDentitiy het predikaat meest veilige usb stick in een "lost-and-found scenario". De betekenis hiervan is duidelijk: zodra de stick wordt verloren zal een vinder geen mogelijkheid hebben om de data te achterhalen.

Ook Defensie heeft eindelijk de knoop doorgehakt. Na een aantal blunders in de afgelopen jaren heeft men nu eindelijk besloten de Kingston Data Traveller Elite Secure Privacy Edition te gaan gebruiken, zo is te lezen in de Defensie krant van begin april.

De thuisgebruiker moet continue rekening houden met een aantal zaken. Verouderde virusscanners, updates, firewall, lekke third party applicaties. Het risico dat de thuisgebruiker loopt is aanzienlijk als hij met deze zaken geen rekening houdt.
Zodra uw pc niet meer up to date is zal ook uw beveiligde usb stick niet meer veilig zijn...

Hetzelfde geldt in principe ook voor de werkomgeving. In de meeste gevallen zullen updates wel worden uitgevoerd. Ook zal de virusscanner wel zijn voorzien van de laatste virusdefinities. Echter heeft onderzoek wel uitgewezen dat werknemers meer risico vormen dan vaak gedacht wordt. Een hacker kan natuurlijk ook van binnen uit uw organisatie komen... Daarbij zijn de werkstations binnen een bedrijf ook een belangrijk element. Als deze niet goed zijn geconfigureerd werkt dat in het voordeel van de hacker. Ook de informatie op usb sticks wordt daarbij niet ontzien.

Als voorbeeld nemen we de Kingston Data Traveller Elite. In principe maakt het niet uit welke stick gebruikt of welke vorm van encryptie gebruikt wordt. Zodra de stick door u in de pc wordt gestoken loopt u het risico dat de bestanden onder uw neus worden gekopieerd... zonder dat u het merkt.

De hacker, die reeds in een eerder stadium voldoende rechten heeft verworven op uw netwerk of uw pc, kan op afstand zien of u gebruik maakt van externe devices. De externe harddisk die aangesloten wordt, de camera, telefoon of usb stick, het maakt niets uit. De hacker ziet een nieuwe driveletter verschijnen.

Met een simpel vb script kan hij in de gaten houden of er op enig moment een nieuw device wordt aangekoppeld.

strComputer = "." '(Any computer name or address)
Set wmi = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set wmiEvent = wmi.ExecNotificationQuery("select * from __InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device'")
While True
Set usb = wmiEvent.NextEvent()
Select Case usb.Path_.Class
Case "__InstanceCreationEvent" WScript.Echo("USB device found")
Case "__InstanceDeletionEvent" WScript.Echo("USB device removed")
Case "__InstanceModificationEvent" WScript.Echo("USB device modified")
End Select
Wend


Ook met DeviceLock Plug and Play Auditor kunnen in korte tijd hele netwerken gescand worden. Niet alleen de devices die aan de pc zitten kunnen worden gezien, nee, ook de devices die op enig moment in het verleden(!) aan de pc hebben gezeten worden getoond. You will be amazed what you find!

Vervolgens kan op afstand met behulp van computerbeheer het device worden benaderd.



Bij schijfbeheer kan nog even worden gecontroleerd of er inderdaad een device is aangekoppeld. In dit geval wordt er als E volume een removable device gevonden met een capaciteit van 498 Mb.



Om het device ook te kunnen benaderen wordt er een nieuwe bestandsshare aangemaakt. Wel hidden, zodat deze verborgen blijft voor de gebruiker.



De map wordt gedeeld...



Waarna vervolgens de bestanden bekeken en gekopieerd kunnen worden...

Gepost door op Geen opmerkingen:
Labels: ,

zaterdag 12 april 2008

New Software lets Law Enforcement Patrol Peer-to-Peer Networks

OAK HILL, West Virginia. - March 28, 2008 – Zemerick Software, Inc. has announced
the availability of free computer software that lets law enforcement patrol peer-to-peer file sharing networks. This software, called Forensic P2P, joins other free software for law enforcement collectively known as SPEAR Forensics.
Forensic P2P lets officers search the Gnutella peer-to-peer network for files, such as music, image, and video files. Forensic P2P has all the features of popular file-sharing programs such as Bearshare and Limewire but with extra features designed specifically for use by law enforcement. Forensic P2P can integrate with the officers’ database of known illegal files to quickly highlight known illegal files in search results. Also, Forensic P2P can show the IP address and internet service provider information of users that are sharing files on the network.
Forensic P2P requires Windows XP or newer and is available for free to members of law enforcement at www.spearforensics.com.

Gepost door op Geen opmerkingen:
Labels: ,

zaterdag 5 april 2008

Wardriving

Afgelopen week heeft het consumentenprogramma "Kassa" maar weer eens gewaarschuwd om uw draadloze netwerk goed te beveiligen. In deze aflevering van 29 maart wordt getoond hoe gemakkelijk het is om draadloze netwerken te vinden die helemaal niet beveiligd zijn, of nog gebruik maken van de niet zo veilige WEP encryptie. Deze is, zoals te zien is, binnen enkele minuten te kraken.

In de studio gaat een juriste vervolgens in op de wet die sinds 2006 in Nederland geldt voor het misbruik van uw verbinding. Is het nu eigenlijk verboden om gebruik te maken van het onbeveiligde netwerk van de buren of niet?
Gepost door op Geen opmerkingen:

dinsdag 1 april 2008

CaseNotes

The last months I was looking for a manner to write things down. I've tried different programs for writing a forensic report. Surprisingly somebody, John Douglas, released a program in juli 2007 which does all the things I was searching for: CaseNotes from QCC Information Security


The purpose of CaseNotes is to provide a single lightweight application program to run on the Microsoft Windows platform to allow forensic analysts and examiners of any discipline to securely record their contemporaneous notes electronically.




The main features are:

- Flexible configuration of case meta-data (case details, like the reference number, etc.)
- Secure “write-once, read-many” style of case note data capture
- Full audit trail of case note data entry and meta data edits in a self contained log
- Tamper evident storage of data using internal MD5 hashes for all data entered
- No use of heavy database technologies – all you need is the program and your case file
- Use of AES 512bit encryption (optional) to further secure data in sensitive cases
- Storage of configuration information in a user editable text based .ini file
- Support for running multiple copies of CaseNotes at the same time
- Tested and works in languages other than English (Japanese, Russian, Greek, Italian, ...)
- Supports changing time zones and any standard Windows date or time format
- Tested on Windows XP, Server 2003 and Windows Vista. (sorry if you use a Mac)
It’s free! That means no dongles and no restrictions on how many copies you use!
Gepost door op Geen opmerkingen:
Labels: , ,

vrijdag 28 maart 2008

Farid founds ‘digital forensics’

Paper article By Michael Coburn from The Dartmouth Staff

With $100 Photoshop software and a little training, computer users can drastically alter digital photos, shedding a few pounds from a high school prom picture or removing a tumor from a medical image. While manipulated photos can be very difficult to detect, Hany Farid, associate chair of the computer science department at Dartmouth, is one of the first people to develop a method to find alterations in digital photographs.
Gepost door op

woensdag 26 maart 2008

CTRL+C

Although an old problem, its still alive and can be (mis)used! Ctrl+C may be the most important work we do everyday. But it's not a very safe thing to do. Read on to know why. What happens when you press Ctrl+C while you are online. We do copy various data by Ctrl + C for pasting elsewhere. This copied data is stored in clipboard and is accessible from the net by a combination of Javascripts and ASP. This is called clipboard hack problem.

Do not keep sensitive data (like passwords, credit card numbers, PIN etc.) in the clipboard while surfing the web. It is extremely easy to extract the text stored in the clipboard to steal your sensitive information. Forward this information to as many friends as you can, to save them from online frauds!

It is true, text you last copied for pasting (copy & paste) can be stolen when you visit web sites using a combination of JavaScript and ASP (or PHP, or CGI) to write your possible sensitive data to a database on another server.

The Clipboard hack is done by the following Source Code:



How to safeguard yourself from Clipboard Hack Problem?

To avoid clipboard hack problem, do the following:

1.Go to internet options->security.
2.Press custom level.
3.In the security settings, select disable under Allow paste operations via script.

Now the contents of your clipboard are safe.

Interestingly, this hack works only on internet explorer, and not on Mozilla Firefox browser. Please forward this article to as many friends as you can to make them aware of this issue with CTRL+C.

NOTE : HERE THE HACK APPLIES TO ALL METHOD OF COPY OR CUT
LIKE CTRL + INSERT / SHIFT + DEL / BY RIGHT CLICK COPY OR CUT
Gepost door op Geen opmerkingen:

donderdag 27 december 2007

Adverteren naar het onderwerp...

Dagelijks heb ik een aantal vaste sites die ik langsloop. Tegenwoordig kan je daarbij geholpen worden door je "eigen" startpagina, iGoogle. Vandaag zag ik bij de nieuwsitems op FOK!frontpage die ik vanuit mijn iGoogle aanklikte een artikel over een vrouw die door een onbekende man voor de trein is geduwd. Diep triest dat dit soort dingen gebeuren. Echter worden de pagina's van FOK ook gevuld met advertenties. Van de Google advertenties weten we dat deze gerelateerd zijn aan de website waarop ze staan, maar dat het soms ook averechts kan werken toont de onderstaande afbeelding aan.



In dit geval geen "gerelateerde" advertentie van Google, maar wel een advertentie van Ditzo, een verzekeringsmaatschappij. In het flashfilmpje wordt een nietsvermoedende man platgewalst door een sloopkogel. De advertenties worden weliswaar random onder de artikelen gezet, maar het lijkt mij dat deze niet helemaal gepast is...

Daarnaast kan je je afvragen in hoeverre op deze manier adverteren effectief is. Op het moment dat je de advertentie aanklikt,zal bij een aantal mensen de informatiebalk tevoorschijn komen met de melding dat er een pop-up geblokkeerd is.



De mensen die dan toch nog de advertentie willen zien kunnen vervolgens de informatiebalk aanklikken, waarna ze kunnen kiezen voor pop-ups tijdelijk toestaan...



Helaas zal de pagina zich dan verversen. Grote kans dat de random gekozen advertentie pas weer verschijnt nadat de pagina meerdere malen is ververst. In mijn test duurde het in 1 geval wel 20x voordat de betreffende advertentie weer verscheen. Helaas... na het aanklikken van de advertentie verscheen weer de informatiebalk waarin ik de pop-up tijdelijk toe kan staan. Natuurlijk kan ik kiezen voor de andere optie "pop-ups van deze website altijd toestaan", maar wil ik dat wel? Hiermee zadel ik mijzelf op met ongewenste popups van deze "toegestane" website. Daarnaast loop ik het risico dat de beveiliging van mijn pc aangetast wordt. Het ging mij tenslotte alleen maar om die ene advertentie en niet die honderden anderen...
Gepost door op Geen opmerkingen:

Challenge yourself...

everybody goes on about reading, yes reading articles is important, but it is much better if you try and find it out yourself through experiments, you may find something nobody has discovered yet, because you didn't just follow what somebody wrote and you approached it with an open mind.

"take the stairs instead of the elevator"

its a metaphorical statement for finding something out. if you enter a building and need to go up you look for the stairs or elevator. imagine as you learn you rise up.

you could take the elevator, this will take you up the quickest. all you have to do is find the right one and push a button. however you may miss something in your apparent rapid ascent and not understand how you got there.

the alternative is the stairs. it will take you longer to get there and will require more time and effort. however each step will build on the previous ones, giving you a solid foundation to higher levels. you may also notice some interesting things on the way.

there is another way. do not rise, let the rise descend to you. this can by done by changing your reality so that you believe you are further up. if you believe it strongly enough it will "appear" to be no different from actually being there. if you can also change nearby entities' realities then they will think you are on their level. however it is a pretence and could be adverse if sustained for time. there is no subsitute for true first person experience.

thus the "mini challanges" were formed. simple and not so simple tasks for you to try. there is no race or rank and you are not graded on how you do. it is up to you to do the best you can.the challanges

use a resource hacker to modify an image and text string of a program.

save a file to your hard drive - delete it (also in recycle bin) using windows (not secure 3rd party delete) and then recover it using an undelete program or hex editor.

setup a test webserver to be accessed either on your local network or the internet, include ftp/ssh for user account upload. setup .htaccess on a folder. run a server sided script like asp/php/pl.

install a (smallish) program and record all of its file and registry entries and modifications.

tryout a different shell for your operating system.

setup a 2kpro box(no other bootable partitions or boot.ini edited) with ntfs - bios(pwd protected) set to boot from harddrive. set a (short) admin password and shutdown. get local admin access without using your memory of the password. findout what the password was.

backup a dvd and cd you own to divx (audio/video synced) and mp3 respectfully.

make a usable crosslinked piece of network cable.

hide a file/some data (atleast 512kb) somewhere on your hard drive.

crack a (shortish) des/md5 password with john the ripper.

check your email (not webmail) and send a message using telnet.

use a packet capturing program to see what information is exchanged when you connect to a website, when you check your email.

install/use pgp and exchange signed/encrypted email with a friend.

findout the manufactures, model numbers and main specifications of the major components in your computer.

signup for a shell account and try/use some of the services.

send a spoofed arp reply to a remote computer

do a trace on a domain name, find the ip, find out all the connections to get there, who is it hosted by, who was it registered by and under which accredited registrar.

compile some code into an exe, either written by you or somebody else, if the latter modify the code slightly, to add/remove/optimize a feature.

connect to an irc server and use/learn at least 10 /commands.

write a couple of html or wap web pages including images using a text editor. if html, include the style and script tags.

browse the internet using a/multiple proxy(s).

use nmap(nt) to do a scan on a remote computer.

install a rule based firewall - delete all default rules and write your own. test your security with an online scanner and/or local network scans.

install a linux distro either on a clean disk or dual boot.
Gepost door op Geen opmerkingen:

woensdag 21 november 2007

Let op wat u print...

De GHDB, oftewel de Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php), is een aardige bron om eens een avondje aan te besteden. Er staan zoekopdrachten voor Google in die wat andere resultaten geven dan die je normaal gesproken kan verwachten. Alhoewel er al een aardig aantal queries in de database zijn terug te vinden, is deze natuurlijk nooit volledig. Hieronder mijn bevindingen met betrekking tot een querie die nog niet in de GHDB staat, maar er ongetwijfeld vroeg of laat in zal komen.

De opdracht “web/user/nl/websys” levert 2 resultaten op. Eventueel kan nl veranderd worden in een andere landcode om meer resultaten te krijgen.



De twee links in dit geval wijzen beide naar hetzelfde IP adres. Het aanklikken van deze link brengt je naar een pagina die afkomstig is van een printer of multifunctional. Door het adres aan te passen, en alleen het ip adres te laten staan kom je op de frontpage terecht.



Zonder in te hoeven loggen kunnen diverse opties van de IS 2127 bekeken worden. De opties onder de tab “> Opdr. -> Printer -> Historie” Laten zien dat er actief gebruik wordt gemaakt van deze machine.



Toch wel nieuwsgierig geworden welke instantie zijn machines op deze wijze aan het internet heeft gekoppeld, heb ik een scan uitgevoerd op de iprange. Dit levert het volgende op:



Klaarblijkelijk betreft het hier de UvA, oftewel de Universiteit van Amsterdam. Sommige ip adressen leveren interessante gegevens op. Gegevens die je niet open en bloot op het internet wil zetten. Via de optie Document Server kunnen opgeslagen gegevens worden opgevraagd zonder op het apparaat in te hoeven loggen. Faxen, kopieen en prints blijven soms langer bestaan dan wenselijk is. Een aantal van deze apparaten beschikt namelijk over een harddisk. Organisaties schaffen deze machines aan vanwege het efficiente gebruik, echter wordt vaak vergeten dat ze afgeconfigureerd moeten worden nadat ze ook zijn neergezet...

De CERT van de Universiteit van Amsterdam is inmiddels geinformeerd. Uit de reactie van Jeroen Roodhart, lid van het CERT team, blijkt wel dat het inderdaad niet de bedoeling is geweest: "Dank voor uw melding, hiervoor is een call aangemaakt met call-id CERT-UvA#001255. Dit kan inderdaad niet de bedoeling zijn en wij zullen zo snel mogelijk deze misconfiguratie verhelpen."
Gepost door op 1 opmerking:
Abonneren op: Posts (Atom)

Real Time Visitors !