In september 2009 kwam de BBC in het bezit van een lijst met de wachtwoorden van zo'n 20.000 mail accounts. De site was gepost op de website pastebin.com. Microsoft heeft toendertijd gevraagd de betreffende posts op de site te verwijderen, maar inmiddels was de lijst al talloze keren gedownload.
Pastebin is a website that hosts all your text & code on dedicated servers for easy sharing.
Helaas blijkt er nog niets veranderd. Alhoewel de site sinds februari van eigenaar is veranderd, blijken er wederom diverse posts betrekking te hebben op gestolen wachtwoorden. Eén van de overzichten betreft een lijst met uitsluitend hotmail accounts die doorloopt tot nummer 24.534 !!!
Introductie
Het komt steeds vaker voor dat de hulp wordt ingeroepen van digitaal forensisch onderzoekers. Onderzoek van pc's, netwerken, mobiele telefoons en aanverwante media vragen diepgaande kennis. Naast deze kennis zijn de tools voor het achterhalen van bepaalde gegevens en de interpretatie van gegevens zeer belangrijk.
Deze blog zal proberen oplossingen aan te dragen voor hulp bij digitaal onderzoek. Verschillende tools passeren de revue, interessante artikelen worden verder uitgediept, links naar andere forensische sites en handleidingen ter ondersteuning komen aan bod.
zondag 4 april 2010
donderdag 25 september 2008
Remote OS detection
Detecting OS (operating system) is another most important step towards hacking into a system. We can even say that after tracing the IP of the system it is the most prior thing that should be done to get the root on a system cause without having knowledge about the OS running by the target system you cannot execute any system commands on the target system and thus your mission wont be accomplished. In here I have figure out the basics of detecting OS remotely without having physical access to the system. There are various method of detecting OS like by trace routing the victim’s IP , by pinging the IP , by using telnet and also by using a terminal. But from my research I have concluded that detecting OS through ping or tracerout is the most simplest but effective way of determining the operating system running in the remote computer without having physical access to the system. Since my aim of writing articles is to make things clear for beginners and intermediate so I will explain remote os detecting through ping method which is very easy to understand even for peoples totally new to computers.
http://rahulhackingarticles.wetpaint.com/
REMOTE OS DETECTION USING PING METHOD
What is PING and what is its utility ?
Ping is an MSDOS utility provided for windows version of DOS and for Unix and operating systems having UNIX as the core kernel. It runs in dos box in windows and directly in UNIX platform. In this manual I will give more stress on the MSDOS version of ping.
Ping is an utility used for sending and receiving packets of data to a target system using its IP and thus from the outputs you can figure out many information about the target system.
In remote os detection we are mainly concerned with the TTL values of the received data packets.
Note: When you send or receive a file over the internet it is not send at once. Instead it is broken down at the source system and these broken fragments of data know as data packets are send through the internet and these data packets are gathered together by the target system according to an algorithm constructed by the source system.
For example if I send a picture of size 400 KB to my girl friend (hey girls out there remember I don’t yet have a gf in reality) then what actually happens is that my system breaks the data into data packets, say the file of 400 KB has been broken down into 4 data packets each having a size of 100 KB and having a name. These data packets are assigned a code known as the TTL value of the data packets by my operating system. Then these data packets are gathered and the original file is formed from these data packets at the target system.
Example:
C:\windows>ping/?
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type Control-Break;
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
there are various switches available for ping. Above I have given a list of all the switches available in the DOS version of ping. Using the –t switch you can continuously ping a target until it is crashed down. I am sure you are probably wondering how will it crash down the remote system. The answer is quite simple. If you ping the remote system continuously then what happens is that slowly the RAM of the target system is overloaded with these stack data and compels the system to restart or crashes it. You can also use the –l switch to specify the amount of data packet to be send at a time.
But in this article I am not concerned with crashing down a remote system cause its not that easy as it seems to be, there are many other tricks for it and its not possible to crash down a system of present technology just by simple ping. I am concerned with the TTL values of the output that you will get after pinging a system. You can use –n switch with ping to specify the number of echo (ie data packets) to be send to the target system. The default number is 4.
Example:
C:\windows> ping –n 10 127.0.0.1
This command will ping 127.0.0.1 with 10 packets of data and after that will give you an output.
Now I think its time for a real example which I have executed on my system.
C:\windows>ping 127.0.0.1
Pinging 127.0.0.1 with 32 bytes of data:
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
(or check http://members.cox.net/~ndav1/self_published/TTL_values.html)
Ping statistics for 127.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Here I have pinged the IP 127.0.0.1 (offline ip of any system) with default ping. Here I am getting TTL value as 128. This is the thing what we need for remote os detection.
What is TTL value ?
TTL value is nothing but a simple code assigned to the out going data packets by the operating system of a computer. The TTL value assigned to the out going data packets depends on the operating system and it is the same for a particular operating system. As for example if you ping a system running windows 98 or earlier versions of windows NT with service packs (I don’t know exactly about the TTL values of recent versions of Windows NT but from my research I think it’s the same as previous versions cause the TTL value even in Windows XP is 128) you will get the TTL value as 128, thus from this TTL value you can easily say that the target system is running Microsoft Windows.
TTL values of commonly used Operating Systems
OS VERSION PLATFORM TTL
Windows 9x/NT Intel 32
Windows 9x/NT Intel 128
Windows 2000 Intel 128
DigitalUnix 4.0 Alpha 60
Unisys x Mainframe 64
Linux 2.2.x Intel 64
FTX(UNIX) 3.3 STRATUS 64
SCO R5 Compaq 64
Netware 4.11 Intel 128
AIX 4.3.x IBM/RS6000 60
AIX 4.2.x IBM/RS6000 60
Cisco 11.2 7507 60
Cisco 12.0 2514 255
IRIX 6.x SGI 60
FreeBSD 3.x Intel 64
OpenBSD 2.x Intel 64
Solaris 8 Intel/Sparc 64
Solaris 2.x Intel/Sparc 255
Well these are not all. There are many more TTL values of many other operating systems. But generally most systems lies within this list.
Now lets try this manual practically and find out the operating system running by the IP 202.178.64.19.
C:\windows>ping 202.178.64.19
Pinging 202.178.64.19 with 32 bytes of data:
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Ping statistics for 202.178.64.19:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Well from the output you can figure out many informations. First 4 packets of data each of 32 bytes has been send to 202.178.64.19. In response the target system has responded with data packets of TTL value as 128.
Now we can easily say that the system 202.178.64.19 is running windows.
ERROR CORRECTION IN SOME CASES
There is a possibility of error in TTL values that you receive. Even though the source system send a TTL value of 128 you may receive the TTL value as 120. Well nothing to worry cause its due to the fact that routers reduce the TTL value by 1.
Don’t worry I’ll explain and made things much clearer for you.
It’s a fact that some times routers may reduce the TTL value assigned to the data packets by the source OS by 1.
In that case you have to find out how many routers are there in between your system and the target system and then simply add the number of routers to the received TTL values and you will get the original TTL value.
To find out how many routers there are in between your system and the target system just perform a normal and simple tracert to that IP.
For more information about tracing an IP read my article ‘TRACING IP” in
After tracing the IP using tracert tool of dos suppose you find that there are 10 routers between you and the target system then just simply add 10 to the TTL value that you have received and you will get the original TTL value.
And once you get the original TTL value then its as simple as changing girl friend to find out the operating system running by the remote computer. Just match the TTL value with the above chart and you will find out the operating system inf
http://rahulhackingarticles.wetpaint.com/
REMOTE OS DETECTION USING PING METHOD
What is PING and what is its utility ?
Ping is an MSDOS utility provided for windows version of DOS and for Unix and operating systems having UNIX as the core kernel. It runs in dos box in windows and directly in UNIX platform. In this manual I will give more stress on the MSDOS version of ping.
Ping is an utility used for sending and receiving packets of data to a target system using its IP and thus from the outputs you can figure out many information about the target system.
In remote os detection we are mainly concerned with the TTL values of the received data packets.
Note: When you send or receive a file over the internet it is not send at once. Instead it is broken down at the source system and these broken fragments of data know as data packets are send through the internet and these data packets are gathered together by the target system according to an algorithm constructed by the source system.
For example if I send a picture of size 400 KB to my girl friend (hey girls out there remember I don’t yet have a gf in reality) then what actually happens is that my system breaks the data into data packets, say the file of 400 KB has been broken down into 4 data packets each having a size of 100 KB and having a name. These data packets are assigned a code known as the TTL value of the data packets by my operating system. Then these data packets are gathered and the original file is formed from these data packets at the target system.
Example:
C:\windows>ping/?
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type Control-Break;
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
there are various switches available for ping. Above I have given a list of all the switches available in the DOS version of ping. Using the –t switch you can continuously ping a target until it is crashed down. I am sure you are probably wondering how will it crash down the remote system. The answer is quite simple. If you ping the remote system continuously then what happens is that slowly the RAM of the target system is overloaded with these stack data and compels the system to restart or crashes it. You can also use the –l switch to specify the amount of data packet to be send at a time.
But in this article I am not concerned with crashing down a remote system cause its not that easy as it seems to be, there are many other tricks for it and its not possible to crash down a system of present technology just by simple ping. I am concerned with the TTL values of the output that you will get after pinging a system. You can use –n switch with ping to specify the number of echo (ie data packets) to be send to the target system. The default number is 4.
Example:
C:\windows> ping –n 10 127.0.0.1
This command will ping 127.0.0.1 with 10 packets of data and after that will give you an output.
Now I think its time for a real example which I have executed on my system.
C:\windows>ping 127.0.0.1
Pinging 127.0.0.1 with 32 bytes of data:
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
Reply from 127.0.0.1: bytes=32 time<1ms TTL=128
(or check http://members.cox.net/~ndav1/self_published/TTL_values.html)
Ping statistics for 127.0.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Here I have pinged the IP 127.0.0.1 (offline ip of any system) with default ping. Here I am getting TTL value as 128. This is the thing what we need for remote os detection.
What is TTL value ?
TTL value is nothing but a simple code assigned to the out going data packets by the operating system of a computer. The TTL value assigned to the out going data packets depends on the operating system and it is the same for a particular operating system. As for example if you ping a system running windows 98 or earlier versions of windows NT with service packs (I don’t know exactly about the TTL values of recent versions of Windows NT but from my research I think it’s the same as previous versions cause the TTL value even in Windows XP is 128) you will get the TTL value as 128, thus from this TTL value you can easily say that the target system is running Microsoft Windows.
TTL values of commonly used Operating Systems
OS VERSION PLATFORM TTL
Windows 9x/NT Intel 32
Windows 9x/NT Intel 128
Windows 2000 Intel 128
DigitalUnix 4.0 Alpha 60
Unisys x Mainframe 64
Linux 2.2.x Intel 64
FTX(UNIX) 3.3 STRATUS 64
SCO R5 Compaq 64
Netware 4.11 Intel 128
AIX 4.3.x IBM/RS6000 60
AIX 4.2.x IBM/RS6000 60
Cisco 11.2 7507 60
Cisco 12.0 2514 255
IRIX 6.x SGI 60
FreeBSD 3.x Intel 64
OpenBSD 2.x Intel 64
Solaris 8 Intel/Sparc 64
Solaris 2.x Intel/Sparc 255
Well these are not all. There are many more TTL values of many other operating systems. But generally most systems lies within this list.
Now lets try this manual practically and find out the operating system running by the IP 202.178.64.19.
C:\windows>ping 202.178.64.19
Pinging 202.178.64.19 with 32 bytes of data:
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Reply from 202.178.64.19: bytes=32 time<1ms TTL=128
Ping statistics for 202.178.64.19:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Well from the output you can figure out many informations. First 4 packets of data each of 32 bytes has been send to 202.178.64.19. In response the target system has responded with data packets of TTL value as 128.
Now we can easily say that the system 202.178.64.19 is running windows.
ERROR CORRECTION IN SOME CASES
There is a possibility of error in TTL values that you receive. Even though the source system send a TTL value of 128 you may receive the TTL value as 120. Well nothing to worry cause its due to the fact that routers reduce the TTL value by 1.
Don’t worry I’ll explain and made things much clearer for you.
It’s a fact that some times routers may reduce the TTL value assigned to the data packets by the source OS by 1.
In that case you have to find out how many routers are there in between your system and the target system and then simply add the number of routers to the received TTL values and you will get the original TTL value.
To find out how many routers there are in between your system and the target system just perform a normal and simple tracert to that IP.
For more information about tracing an IP read my article ‘TRACING IP” in
After tracing the IP using tracert tool of dos suppose you find that there are 10 routers between you and the target system then just simply add 10 to the TTL value that you have received and you will get the original TTL value.
And once you get the original TTL value then its as simple as changing girl friend to find out the operating system running by the remote computer. Just match the TTL value with the above chart and you will find out the operating system inf
vrijdag 8 augustus 2008
Test je virusscanner
Virusscanners maken onder andere gebruik van een database waarin codes staan om een virus te herkennen. Met behulp van onderstaande stukje code kun je kijken of je virusscanner reageert...
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Open notepad.
Kopieer de bovenstaande tekst in de file en sla het bestand op onder de naam nepvirus.exe
De virusscanner zal onmiddelijk moeten reageren, nog voordat het bestand is opgeslagen. Als dat zo is weet je dat je virusscanner goed werkt!
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Open notepad.
Kopieer de bovenstaande tekst in de file en sla het bestand op onder de naam nepvirus.exe
De virusscanner zal onmiddelijk moeten reageren, nog voordat het bestand is opgeslagen. Als dat zo is weet je dat je virusscanner goed werkt!
zondag 6 juli 2008
Forensic Report on FARC computers
Voor wie geinteresseerd is in computerforensics, maar OOK in wereldpolitiek, is het onderstaande wellicht aardig om te lezen.
Afgelopen week was de bevrijding op bijzondere wijze van Betancourt en 14 andere gijzelaars uit handen van de FARC wereldnieuws. Een grote nederlaag voor de FARC.
Waarschijnlijk heeft het onderstaande verhaal meegespeeld in de aanzet van de bevrijdingsactie van afgelopen week...
In maart van dit jaar is Raul Reyes, of Luis Edgar Devia zoals zijn ware naam luidde, omgekomen bij een luchtaanval op het Ecuadoraanse dorpje Santa Rosa. Reyes was de woordvoerder van de Farc en de chef van de internationale afdeling, die contacten had met gelijkgestemde organisaties zoals het IRA.
Hij was de man met wie de Franse regering onderhandelde om Ingrid Betancourt vrij te krijgen. Hij was de nummer twee van de FARC en genoot binnen deze groep een zeer groot aanzien. Reyes gold als de eerste kandidaat om FARC-leider Manuel Marulanda op te volgen. Zijn dood was een zware slag voor de rebellenbeweging, die de laatste tijd vooral in het nieuws is vanwege prominente gijzelaars die ze al jaren vasthoudt. In feite was Raúl Reyes de hoogste leider. Van de officiële nummer één, de 78-jarige Manuel Marulanda, is al een paar jaar niets vernomen en tal van waarnemers beweren dat hij al dood is. Reyes wordt beschouwd als het brein achter de strategie om mensen te gijzelen en hen als pasmunt te gebruiken. Zo kon de Farc losgeld verzamelen of eisen dat de regering gevangenen vrijliet in ruil voor high profile gijzelaars zoals Ingrid Betancourt.
Ecuador en Venezuela hebben na zijn dood alle diplomatieke banden met buurland Colombia verbroken. Beide landen hebben hun ambassadeur uit Bogotá teruggehaald. Ook hebben ze Colombiaanse diplomaten het land uitgezet. De spanningen in het gebied liepen op na de actie van het Colombiaanse leger tegen de rebellenbeweging FARC op Ecuadoraans grondgebied waarbij Raúl Reyes werd gedood.
Colombia beschuldigt Ecuador en Venezuela van hulp aan de FARC.
Uit documenten uit de computer van Reyes zou blijken dat er banden zijn tussen de FARC en de linkse president van Ecuador, Rafael Correa. De computer van Reyes zou ook een document bevatten dat laat zien dat Chavez en de FARC in 1992 al banden hadden.
De luchtaanval zou volgens een analyse van De Volkskrant heel wel kunnen uitmonden in een verharding van de opstelling van de overige guerrilla-leiders en de kans op vrede in Colombia nog verder verminderen. ‘De dood van Raúl Reyes verkleint de mogelijkheden van een politieke oplossing van het conflict’, aldus ex-president Samper.
De FARC heeft na de dood van Reyes laten weten dat een humanitair akkoord de eerste prioriteit blijft. Maar het was onwaarschijnlijk dat de beweging op korte termijn opnieuw gijzelaars zou vrijlaten. De familieleden van de bekendste gijzelaar, ex-presidentskandidate Ingrid Betancourt, vreesden dat de radicale vleugel de Revolutionaire Strijdkrachten van Colombia zullen gaan domineren, hetgeen een directe levensbedreiging voor de meer dan 700 gijzelaars kan betekenen.
Colombiaanse militairen vonden drie laptops, twee externe harde schijven en drie USB-sticks in het kamp van de FARC-guerrilla in Ecuador, dat was gebombardeerd door de Colombiaanse luchtmacht.
Op 3 maart werden de computerbestanden overgemaakt aan de Colombiaanse gerechtelijke politie. Omdat het Colombiaanse ministerie van Defensie informatie begon te lekken over de inhoud van de bestanden, besloot de Colombiaanse president Alvaro Uribe op 10 maart om de bestanden op hun authenticiteit te laten onderzoeken door Interpol.
"Using sophisticated forensic tools, INTERPOL's experts determined that the eight seized computer exhibits contained more than 600 gigabytes of data, including 37,872 written documents, 452 spreadsheets, 210,888 images, 22,481 web pages, 7,989 email addresses, 10,537 multimedia files (sound and video), and 983 encrypted files."
De onderzoekscommissie van de internationale politieorganisatie bestond uit Australische en Singaporese deskundigen die geen Spaanse spreken. Dat gebeurde “om de mogelijkheid uit te sluiten dat ze zouden worden beïnvloed door de inhoud van de documenten die ze moesten onderzoeken”, schrijft Interpol in zijn rapport.
“Er zijn geen data gecreëerd, toegevoegd, veranderd of verwijderd tussen 3 maart 2008 om 11.45h en 10 maart 2008, toen de bestanden werden overgemaakt aan Interpol”, zegt het rapport, dat wel vragen heeft bij wat er gebeurde tussen de inbeslagname op 1 maart en de overdracht aan de Colombiaanse gerechtelijke politie op 3 maart.
“De deskundigen vonden 48.055 systeemfiles die waren gecreëerd, geconsulteerd, veranderd of verwijderd omdat een officier van de antiterrorisme-eenheid van de Colombiaanse politie ze had bekeken.” Volgens Interpol had de agent de bestanden niet mogen consulteren zonder eerst fysieke kopieën te maken van de data. Het rapport benadrukt wel dat tussen 1 en 3 maart geen enkel user file werd gecreëerd, gewijzigd of verwijderd.
De onvoorzichtige behandeling van het bewijsmateriaal in de eerste 48 uur na de inbeslagname kan gevolgen hebben voor de juridische bruikbaarheid van de gegevens. “De manier waarop de data werden behandeld strookt niet met de internationaal erkende principes”, zegt Interpol, “De directe toegang tot de bestanden kan de geldigheid van de data als bewijsmateriaal in het gedrang brengen. De politie moet nu kunnen bewijzen dat de consultaties die ze heeft uitgevoerd geen materiële impact hebben gehad op het doel waarvoor ze het bewijs wil gebruiken.”
Uit wat er over de inhoud van de bestanden al is uitgelekt blijkt dat het FARC zich sinds halfweg de jaren negentig op de zwarte markt bewapende, met de hulp van corrupte Venezolaanse militairen en ambtenaren. Uit de documenten, meestal interne communicatie tussen commandanten van de guerrilla, blijkt ook dat er intensieve diplomatieke contacten zijn geweest, hoewel zowel Interpol, de EU als de VS het FARC als een terroristische organisatie beschouwen.
Uit de mails blijkt verder dat de guerrilla en de Venezolaanse president Hugo Chávez de stilte hebben bewaard over een aanval die de FARC op 23 september 2004 uitvoerde 20 kilometer binnen Venezolaans grondgebied. Bij die operatie kwamen vijf soldaten en een 23-jarige vrouwelijke ingenieur van het Venezolaanse staatsoliebedrijf om het leven.
Volgens de Colombiaanse regering blijkt uit de documenten dat Chávez het FARC logistiek en financieel heef gesteund. “Er is niet alleen sprake van nauwe banden, maar de teksten impliceren een nauwe alliantie tussen het FARC en de Venezolaanse regering”, verklaarde de chef van de Nationale Politie, Oscar Naranjo, op 2 maart. Uit de documenten blijkt volgens Bogota ook dat het FARC banden heeft met de regering van Ecuador.
Relevante links:
http://en.wikipedia.org/wiki/Ra%C3%BAl_Reyes
http://www.interpol.int/public/icpo/pressreleases/pr2008/pr200817.asp
Afgelopen week was de bevrijding op bijzondere wijze van Betancourt en 14 andere gijzelaars uit handen van de FARC wereldnieuws. Een grote nederlaag voor de FARC.
Waarschijnlijk heeft het onderstaande verhaal meegespeeld in de aanzet van de bevrijdingsactie van afgelopen week...
In maart van dit jaar is Raul Reyes, of Luis Edgar Devia zoals zijn ware naam luidde, omgekomen bij een luchtaanval op het Ecuadoraanse dorpje Santa Rosa. Reyes was de woordvoerder van de Farc en de chef van de internationale afdeling, die contacten had met gelijkgestemde organisaties zoals het IRA.
Hij was de man met wie de Franse regering onderhandelde om Ingrid Betancourt vrij te krijgen. Hij was de nummer twee van de FARC en genoot binnen deze groep een zeer groot aanzien. Reyes gold als de eerste kandidaat om FARC-leider Manuel Marulanda op te volgen. Zijn dood was een zware slag voor de rebellenbeweging, die de laatste tijd vooral in het nieuws is vanwege prominente gijzelaars die ze al jaren vasthoudt. In feite was Raúl Reyes de hoogste leider. Van de officiële nummer één, de 78-jarige Manuel Marulanda, is al een paar jaar niets vernomen en tal van waarnemers beweren dat hij al dood is. Reyes wordt beschouwd als het brein achter de strategie om mensen te gijzelen en hen als pasmunt te gebruiken. Zo kon de Farc losgeld verzamelen of eisen dat de regering gevangenen vrijliet in ruil voor high profile gijzelaars zoals Ingrid Betancourt.
Ecuador en Venezuela hebben na zijn dood alle diplomatieke banden met buurland Colombia verbroken. Beide landen hebben hun ambassadeur uit Bogotá teruggehaald. Ook hebben ze Colombiaanse diplomaten het land uitgezet. De spanningen in het gebied liepen op na de actie van het Colombiaanse leger tegen de rebellenbeweging FARC op Ecuadoraans grondgebied waarbij Raúl Reyes werd gedood.
Colombia beschuldigt Ecuador en Venezuela van hulp aan de FARC.
Uit documenten uit de computer van Reyes zou blijken dat er banden zijn tussen de FARC en de linkse president van Ecuador, Rafael Correa. De computer van Reyes zou ook een document bevatten dat laat zien dat Chavez en de FARC in 1992 al banden hadden.
De luchtaanval zou volgens een analyse van De Volkskrant heel wel kunnen uitmonden in een verharding van de opstelling van de overige guerrilla-leiders en de kans op vrede in Colombia nog verder verminderen. ‘De dood van Raúl Reyes verkleint de mogelijkheden van een politieke oplossing van het conflict’, aldus ex-president Samper.
De FARC heeft na de dood van Reyes laten weten dat een humanitair akkoord de eerste prioriteit blijft. Maar het was onwaarschijnlijk dat de beweging op korte termijn opnieuw gijzelaars zou vrijlaten. De familieleden van de bekendste gijzelaar, ex-presidentskandidate Ingrid Betancourt, vreesden dat de radicale vleugel de Revolutionaire Strijdkrachten van Colombia zullen gaan domineren, hetgeen een directe levensbedreiging voor de meer dan 700 gijzelaars kan betekenen.
Colombiaanse militairen vonden drie laptops, twee externe harde schijven en drie USB-sticks in het kamp van de FARC-guerrilla in Ecuador, dat was gebombardeerd door de Colombiaanse luchtmacht.
Op 3 maart werden de computerbestanden overgemaakt aan de Colombiaanse gerechtelijke politie. Omdat het Colombiaanse ministerie van Defensie informatie begon te lekken over de inhoud van de bestanden, besloot de Colombiaanse president Alvaro Uribe op 10 maart om de bestanden op hun authenticiteit te laten onderzoeken door Interpol.
"Using sophisticated forensic tools, INTERPOL's experts determined that the eight seized computer exhibits contained more than 600 gigabytes of data, including 37,872 written documents, 452 spreadsheets, 210,888 images, 22,481 web pages, 7,989 email addresses, 10,537 multimedia files (sound and video), and 983 encrypted files."
De onderzoekscommissie van de internationale politieorganisatie bestond uit Australische en Singaporese deskundigen die geen Spaanse spreken. Dat gebeurde “om de mogelijkheid uit te sluiten dat ze zouden worden beïnvloed door de inhoud van de documenten die ze moesten onderzoeken”, schrijft Interpol in zijn rapport.
“Er zijn geen data gecreëerd, toegevoegd, veranderd of verwijderd tussen 3 maart 2008 om 11.45h en 10 maart 2008, toen de bestanden werden overgemaakt aan Interpol”, zegt het rapport, dat wel vragen heeft bij wat er gebeurde tussen de inbeslagname op 1 maart en de overdracht aan de Colombiaanse gerechtelijke politie op 3 maart.
“De deskundigen vonden 48.055 systeemfiles die waren gecreëerd, geconsulteerd, veranderd of verwijderd omdat een officier van de antiterrorisme-eenheid van de Colombiaanse politie ze had bekeken.” Volgens Interpol had de agent de bestanden niet mogen consulteren zonder eerst fysieke kopieën te maken van de data. Het rapport benadrukt wel dat tussen 1 en 3 maart geen enkel user file werd gecreëerd, gewijzigd of verwijderd.
De onvoorzichtige behandeling van het bewijsmateriaal in de eerste 48 uur na de inbeslagname kan gevolgen hebben voor de juridische bruikbaarheid van de gegevens. “De manier waarop de data werden behandeld strookt niet met de internationaal erkende principes”, zegt Interpol, “De directe toegang tot de bestanden kan de geldigheid van de data als bewijsmateriaal in het gedrang brengen. De politie moet nu kunnen bewijzen dat de consultaties die ze heeft uitgevoerd geen materiële impact hebben gehad op het doel waarvoor ze het bewijs wil gebruiken.”
Uit wat er over de inhoud van de bestanden al is uitgelekt blijkt dat het FARC zich sinds halfweg de jaren negentig op de zwarte markt bewapende, met de hulp van corrupte Venezolaanse militairen en ambtenaren. Uit de documenten, meestal interne communicatie tussen commandanten van de guerrilla, blijkt ook dat er intensieve diplomatieke contacten zijn geweest, hoewel zowel Interpol, de EU als de VS het FARC als een terroristische organisatie beschouwen.
Uit de mails blijkt verder dat de guerrilla en de Venezolaanse president Hugo Chávez de stilte hebben bewaard over een aanval die de FARC op 23 september 2004 uitvoerde 20 kilometer binnen Venezolaans grondgebied. Bij die operatie kwamen vijf soldaten en een 23-jarige vrouwelijke ingenieur van het Venezolaanse staatsoliebedrijf om het leven.
Volgens de Colombiaanse regering blijkt uit de documenten dat Chávez het FARC logistiek en financieel heef gesteund. “Er is niet alleen sprake van nauwe banden, maar de teksten impliceren een nauwe alliantie tussen het FARC en de Venezolaanse regering”, verklaarde de chef van de Nationale Politie, Oscar Naranjo, op 2 maart. Uit de documenten blijkt volgens Bogota ook dat het FARC banden heeft met de regering van Ecuador.
Relevante links:
http://en.wikipedia.org/wiki/Ra%C3%BAl_Reyes
http://www.interpol.int/public/icpo/pressreleases/pr2008/pr200817.asp
donderdag 22 mei 2008
Robots Exclusion Protocol and the Whitehouse
Het Robots Exclusion Protocol, of robots.txt protocol is een wereldwijde afspraak om delen van een normaal toegankelijke website af te schermen voor bepaalde webspiders en zoekrobots. Dit wordt met name gebruikt om te voorkomen dat delen van een website ongevraagd automatisch worden gekopieerd en bijvoorbeeld daarmee wordt opgenomen in zoekresultaten van zoekmachines. Het kopiëren kan ook gevolgen hebben voor de bereikbaarheid van een website, vooral als het een druk bezochte website is. Tevens gebruiken websites dit protocol om bijvoorbeeld te zorgen dat zoekmachines alleen de startpagina van een website weergeven.
Het protocol maakt gebruik van het robots.txt-bestand, dat in de rootdirectory van een website wordt gezet. Als alternatief voor dit speciale bestand kan in bestaande HTML-bestanden middels HTML-tag Meta het attribuut "robots" worden opgenomen.
Het protocol dient echter alleen ter advies en gaat uit van medewerking van de bezoekende webrobot. Het kan dus niet daadwerkelijk de toegang tot bestanden en mappen ontzeggen en is daarmee ongeschikt om (delen van) een website af te schermen. Er zijn robots die het protocol (al dan niet bedoeld) negeren of niet kennen. Tevens is het robots.txt-bestand voor iedereen zichtbaar.
Met behulp van Google kan dus gezocht worden naar webadressen die de tekst robot.txt bevatten. Het grappige is dat ik hiermee als eerste de link naar het Witte Huis te zien kreeg.
Als je dan vervolgens op deze link klikt krijg je een flinke waslijst te zien die allerlei verwijzingen geeft naar pagina's op de site. Sommige pagina's zijn op de grafische site zeer moeilijk terug te vinden, maar op deze manier niet...
Dezelfde truc kan op verschillende manieren uitgehaald worden. Vele voorbeelden hiervan zijn terug te vinden in de GHDB (Google Hacking DataBase) Een ander mooi voorbeeld is de zoekopdracht "parent directory" inurl:ftp
Eén van de eerste links die we dan zien staat hieronder:
Als deze vervolgens wordt aangeklikt kom je terecht in de ftp directories van het NASA's Goddard Space Flight Center.
NASA's Goddard Space Flight Center (GSFC) is located within the City of Greenbelt, Maryland, approximately 6.5 miles northeast of Washington, D. C. The suburban campus is situated approximately 1 mile northeast of the Capital Beltway/Interstate 495.
This NASA field center is a major U.S. laboratory for developing and operating unmanned scientific spacecraft. The Center manages many of NASA's Earth Observation, Astronomy, and Space Physics missions. GSFC includes several other properties, most significantly the Wallops Flight Facility near Chincoteague, Virginia.
Bovenstaande voorbeelden zijn geen hackpogingen. Het is slecht gebruik maken van de mogelijkheden van Google, waarna niet beveiligde mappen of pagina's te vinden zijn...
Het protocol maakt gebruik van het robots.txt-bestand, dat in de rootdirectory van een website wordt gezet. Als alternatief voor dit speciale bestand kan in bestaande HTML-bestanden middels HTML-tag Meta het attribuut "robots" worden opgenomen.
Het protocol dient echter alleen ter advies en gaat uit van medewerking van de bezoekende webrobot. Het kan dus niet daadwerkelijk de toegang tot bestanden en mappen ontzeggen en is daarmee ongeschikt om (delen van) een website af te schermen. Er zijn robots die het protocol (al dan niet bedoeld) negeren of niet kennen. Tevens is het robots.txt-bestand voor iedereen zichtbaar.
Met behulp van Google kan dus gezocht worden naar webadressen die de tekst robot.txt bevatten. Het grappige is dat ik hiermee als eerste de link naar het Witte Huis te zien kreeg.
Als je dan vervolgens op deze link klikt krijg je een flinke waslijst te zien die allerlei verwijzingen geeft naar pagina's op de site. Sommige pagina's zijn op de grafische site zeer moeilijk terug te vinden, maar op deze manier niet...
Dezelfde truc kan op verschillende manieren uitgehaald worden. Vele voorbeelden hiervan zijn terug te vinden in de GHDB (Google Hacking DataBase) Een ander mooi voorbeeld is de zoekopdracht "parent directory" inurl:ftp
Eén van de eerste links die we dan zien staat hieronder:
Als deze vervolgens wordt aangeklikt kom je terecht in de ftp directories van het NASA's Goddard Space Flight Center.
NASA's Goddard Space Flight Center (GSFC) is located within the City of Greenbelt, Maryland, approximately 6.5 miles northeast of Washington, D. C. The suburban campus is situated approximately 1 mile northeast of the Capital Beltway/Interstate 495.
This NASA field center is a major U.S. laboratory for developing and operating unmanned scientific spacecraft. The Center manages many of NASA's Earth Observation, Astronomy, and Space Physics missions. GSFC includes several other properties, most significantly the Wallops Flight Facility near Chincoteague, Virginia.
Bovenstaande voorbeelden zijn geen hackpogingen. Het is slecht gebruik maken van de mogelijkheden van Google, waarna niet beveiligde mappen of pagina's te vinden zijn...
dinsdag 13 mei 2008
Portscannen strafbaar of niet?
Het doen van een poortscan is een methode om te achterhalen over welke poorten een verbinding te maken is met een bepaalde computer. Doorgaans worden poortscans uitgevoerd met behulp van gespecialiseerde programma's. Poortscans kunnen om een meervoud van redenen worden uitgevoerd. Zo wordt het veel door computerkrakers en netwerkbeheerders gebruikt om kwetsbare hosts op een/hun netwerk te vinden.
Op de site van Ius Mentis is een goede uitleg te vinden in hoeverre een poortscan gezien kan worden als misdrijf. Tevens is daar de zeer uitgebreide scriptie te vinden van de jurist Jaap Timmer. In zijn scriptie gaat hij dieper in op de strafrechtelijke aspecten van met name het gebruik/misbruik van NMap. NMap is een Open Source computerprogramma, uitgegeven door Insecure.org, dat gebruikt wordt om open poorten te vinden op computers. Het programma maakt gebruik van zogeheten 'raw ip packets' om actieve hosts en informatie over de beschikbare services te achterhalen. Voor het lezen van de scriptie dient u wel over enige technische kennis te beschikken.
NMap is geen hackerstool, maar wordt wel vaak door hackers gebruikt. Nmap wordt vooral toegepast door Security Professionals, Penetratietesters en systeembeheerder om mogelijke zwakke plekken in netwerken te vinden.
Voor de mensen die zich willen verdiepen in NMap is de sitewww.nmap.tutorial.com een goede basis.
Op de site van Ius Mentis is een goede uitleg te vinden in hoeverre een poortscan gezien kan worden als misdrijf. Tevens is daar de zeer uitgebreide scriptie te vinden van de jurist Jaap Timmer. In zijn scriptie gaat hij dieper in op de strafrechtelijke aspecten van met name het gebruik/misbruik van NMap. NMap is een Open Source computerprogramma, uitgegeven door Insecure.org, dat gebruikt wordt om open poorten te vinden op computers. Het programma maakt gebruik van zogeheten 'raw ip packets' om actieve hosts en informatie over de beschikbare services te achterhalen. Voor het lezen van de scriptie dient u wel over enige technische kennis te beschikken.
NMap is geen hackerstool, maar wordt wel vaak door hackers gebruikt. Nmap wordt vooral toegepast door Security Professionals, Penetratietesters en systeembeheerder om mogelijke zwakke plekken in netwerken te vinden.
Voor de mensen die zich willen verdiepen in NMap is de sitewww.nmap.tutorial.com een goede basis.
dinsdag 29 april 2008
PC Usage Viewer
Pointstone heeft een aantal handige tools. Eén van deze tools is "PC Usage Viewer". Op de pc waarop het programma wordt gestart toont het een grafisch overzicht van de tijden die de pc heeft aangestaan. Installatie is niet nodig. Het programma hoeft ook niet op de achtergrond mee te draaien, omdat de opstart en shutdown tijden standaard al door Windows worden opgeslagen in de eventlist. PC Usage Viewer interpreteert deze gegevens en kan ze op een aantal grafische manieren weergeven. Deze gegevens kunnen wel teruggaan tot het moment waarop de pc is aangeschaft! Als de eventlog echter een keer geleegd is zal PC Usage Viewer een stuk minder laten zien. De getoonde gegevens kunnen hierna als csv worden weggeschreven. Helaas is het programma niet geschikt om ook remote gegevens uit te kunnen lezen.
Overigens heeft Neuber Software eenzelfde soort programma dat wel remote de gegevens uit kan lezen. Helaas kan dit programma (ook freeware) maar 3 weken terugkijken. De Pro versie kijkt wel verder en kost slechts 9 dollar.
Microsoft heeft een commandline tool "Uptime" waarmee een tekstbestand gegenereerd kan worden met dezelfde informatie.
Overigens heeft Neuber Software eenzelfde soort programma dat wel remote de gegevens uit kan lezen. Helaas kan dit programma (ook freeware) maar 3 weken terugkijken. De Pro versie kijkt wel verder en kost slechts 9 dollar.
Microsoft heeft een commandline tool "Uptime" waarmee een tekstbestand gegenereerd kan worden met dezelfde informatie.
zondag 27 april 2008
P2P Marshal: peer-to-peer systeem analyse
Enkele weken geleden heb ik gewezen op de ontwikkeling van Forensic P2P, een forensisch P2P programma dat kan dienen ter ondersteuning bij het achterhalen van illigale bestanden op peer-to-peer netwerken. Er is echter ook een andere gebied dat aandacht behoeft: Forensisch onderzoek van P2P fragmenten op in beslag genomen computers.
Een digitaal forensisch onderzoeker moet vaak bestanden onderzoeken die door middel van peer-to-peer (P2P) technologie op een computer terecht zijn gekomen. Op dit moment is het handmatig analyseren door onderzoekers zeer arbeidsintensief: onderzoekers moeten achterhalen welke soort P2P techniek en programma’s zijn gebruikt, moeten de bestanden identificeren die met elk programma zijn gedeeld en mogelijk zelfs de herkomst achterhalen. Onderzoek werd vaak bemoeilijkt doordat de bestaande tools zich bijvoorbeeld beperken tot het leesbaar maken van logfiles van slechts één P2P programma. Ook de tijdsdruk speelt in dit soort onderzoeken vaak een cruciale rol.
Met behulp van P2P Marshal kan een digitaal onderzoeker alle bestanden op een computer waarop P2P programma’s zijn gebruikt op een forensisch geijkte manier inventariseren. P2P Marshal toont een onderzoeker onder andere de bestanden die gedownload zijn vanaf een P2P netwerk, de logfiles worden omgezet in leesbaar formaat en andere informatie die van belang kan zijn (gebruikersnaam, wachtwoord, gebruikte servers/peers) wordt getoond. P2P Marshal ondersteunt diverse P2P netwerken en is, als het nodig is, makkelijk uit te breiden met nieuwe P2P varianten. P2P Marshal is een zelfstandig werkende tool en heeft geen andere software nodig.
Elk P2P programma heeft zijn eigen tabblad. Elk tabblad geeft de onderzoeker de mogelijkheid informatie te tonen van gebruikers.
Download het volledige artikel van Digital Forensic Research Workshop (DFRWS) met uitgebreide informatie over P2P Marshal (717Kb PDF).
Voor meer informatie over P2P Marshal kun je terecht op www.p2pmarshal.com
Een digitaal forensisch onderzoeker moet vaak bestanden onderzoeken die door middel van peer-to-peer (P2P) technologie op een computer terecht zijn gekomen. Op dit moment is het handmatig analyseren door onderzoekers zeer arbeidsintensief: onderzoekers moeten achterhalen welke soort P2P techniek en programma’s zijn gebruikt, moeten de bestanden identificeren die met elk programma zijn gedeeld en mogelijk zelfs de herkomst achterhalen. Onderzoek werd vaak bemoeilijkt doordat de bestaande tools zich bijvoorbeeld beperken tot het leesbaar maken van logfiles van slechts één P2P programma. Ook de tijdsdruk speelt in dit soort onderzoeken vaak een cruciale rol.
Met behulp van P2P Marshal kan een digitaal onderzoeker alle bestanden op een computer waarop P2P programma’s zijn gebruikt op een forensisch geijkte manier inventariseren. P2P Marshal toont een onderzoeker onder andere de bestanden die gedownload zijn vanaf een P2P netwerk, de logfiles worden omgezet in leesbaar formaat en andere informatie die van belang kan zijn (gebruikersnaam, wachtwoord, gebruikte servers/peers) wordt getoond. P2P Marshal ondersteunt diverse P2P netwerken en is, als het nodig is, makkelijk uit te breiden met nieuwe P2P varianten. P2P Marshal is een zelfstandig werkende tool en heeft geen andere software nodig.
Elk P2P programma heeft zijn eigen tabblad. Elk tabblad geeft de onderzoeker de mogelijkheid informatie te tonen van gebruikers.
Download het volledige artikel van Digital Forensic Research Workshop (DFRWS) met uitgebreide informatie over P2P Marshal (717Kb PDF).
Voor meer informatie over P2P Marshal kun je terecht op www.p2pmarshal.com
Labels:
File Sharing,
Forensics,
Forensisch onderzoek,
P2P,
peer-to-peer
woensdag 23 april 2008
1 May 2008 Official launch of The Maastricht Forensic Institute
Press Release [PDF] April 2008
The Maastricht Forensic Institute (TMFI) is een onafhankelijk forensisch instituut dat per 1 mei 2008 van start gaat en zich richt op forensisch-technisch en wetenschappelijk onderzoek van topniveau. TMFI is een initiatief van Maastricht
University en DSM Resolve. Als eerste in Nederland zal The Maastricht Forensic Institute het forensisch-technisch onderzoek van materiële, d.w.z. fysische, chemische, biologische of digitale sporen combineren met rechtspsychologische en gedragswetenschappelijke expertise, indien mogelijk in de vorm van integrale
deskundigenrapporten. Onderzoek wordt uitgevoerd in opdracht van politie, justitie en advocatuur, voor particulieren en voor bedrijven.
The Maastricht Forensic Institute (TMFI) is een onafhankelijk forensisch instituut dat per 1 mei 2008 van start gaat en zich richt op forensisch-technisch en wetenschappelijk onderzoek van topniveau. TMFI is een initiatief van Maastricht
University en DSM Resolve. Als eerste in Nederland zal The Maastricht Forensic Institute het forensisch-technisch onderzoek van materiële, d.w.z. fysische, chemische, biologische of digitale sporen combineren met rechtspsychologische en gedragswetenschappelijke expertise, indien mogelijk in de vorm van integrale
deskundigenrapporten. Onderzoek wordt uitgevoerd in opdracht van politie, justitie en advocatuur, voor particulieren en voor bedrijven.
vrijdag 18 april 2008
De zwakste schakel...
Afgelopen jaar heeft Fox-IT een rapport uitgebracht waarin een achttal usb sticks aan de tand zijn gevoeld. Welke stick is veilig genoeg om confidentiele data te mogen bevatten? Uiteindelijk kreeg de Kobil mIDentitiy het predikaat meest veilige usb stick in een "lost-and-found scenario". De betekenis hiervan is duidelijk: zodra de stick wordt verloren zal een vinder geen mogelijkheid hebben om de data te achterhalen.
Ook Defensie heeft eindelijk de knoop doorgehakt. Na een aantal blunders in de afgelopen jaren heeft men nu eindelijk besloten de Kingston Data Traveller Elite Secure Privacy Edition te gaan gebruiken, zo is te lezen in de Defensie krant van begin april.
De thuisgebruiker moet continue rekening houden met een aantal zaken. Verouderde virusscanners, updates, firewall, lekke third party applicaties. Het risico dat de thuisgebruiker loopt is aanzienlijk als hij met deze zaken geen rekening houdt.
Zodra uw pc niet meer up to date is zal ook uw beveiligde usb stick niet meer veilig zijn...
Hetzelfde geldt in principe ook voor de werkomgeving. In de meeste gevallen zullen updates wel worden uitgevoerd. Ook zal de virusscanner wel zijn voorzien van de laatste virusdefinities. Echter heeft onderzoek wel uitgewezen dat werknemers meer risico vormen dan vaak gedacht wordt. Een hacker kan natuurlijk ook van binnen uit uw organisatie komen... Daarbij zijn de werkstations binnen een bedrijf ook een belangrijk element. Als deze niet goed zijn geconfigureerd werkt dat in het voordeel van de hacker. Ook de informatie op usb sticks wordt daarbij niet ontzien.
Als voorbeeld nemen we de Kingston Data Traveller Elite. In principe maakt het niet uit welke stick gebruikt of welke vorm van encryptie gebruikt wordt. Zodra de stick door u in de pc wordt gestoken loopt u het risico dat de bestanden onder uw neus worden gekopieerd... zonder dat u het merkt.
De hacker, die reeds in een eerder stadium voldoende rechten heeft verworven op uw netwerk of uw pc, kan op afstand zien of u gebruik maakt van externe devices. De externe harddisk die aangesloten wordt, de camera, telefoon of usb stick, het maakt niets uit. De hacker ziet een nieuwe driveletter verschijnen.
Met een simpel vb script kan hij in de gaten houden of er op enig moment een nieuw device wordt aangekoppeld.
strComputer = "." '(Any computer name or address)
Set wmi = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set wmiEvent = wmi.ExecNotificationQuery("select * from __InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device'")
While True
Set usb = wmiEvent.NextEvent()
Select Case usb.Path_.Class
Case "__InstanceCreationEvent" WScript.Echo("USB device found")
Case "__InstanceDeletionEvent" WScript.Echo("USB device removed")
Case "__InstanceModificationEvent" WScript.Echo("USB device modified")
End Select
Wend
Ook met DeviceLock Plug and Play Auditor kunnen in korte tijd hele netwerken gescand worden. Niet alleen de devices die aan de pc zitten kunnen worden gezien, nee, ook de devices die op enig moment in het verleden(!) aan de pc hebben gezeten worden getoond. You will be amazed what you find!
Vervolgens kan op afstand met behulp van computerbeheer het device worden benaderd.
Bij schijfbeheer kan nog even worden gecontroleerd of er inderdaad een device is aangekoppeld. In dit geval wordt er als E volume een removable device gevonden met een capaciteit van 498 Mb.
Om het device ook te kunnen benaderen wordt er een nieuwe bestandsshare aangemaakt. Wel hidden, zodat deze verborgen blijft voor de gebruiker.
De map wordt gedeeld...
Waarna vervolgens de bestanden bekeken en gekopieerd kunnen worden...
Ook Defensie heeft eindelijk de knoop doorgehakt. Na een aantal blunders in de afgelopen jaren heeft men nu eindelijk besloten de Kingston Data Traveller Elite Secure Privacy Edition te gaan gebruiken, zo is te lezen in de Defensie krant van begin april.
De thuisgebruiker moet continue rekening houden met een aantal zaken. Verouderde virusscanners, updates, firewall, lekke third party applicaties. Het risico dat de thuisgebruiker loopt is aanzienlijk als hij met deze zaken geen rekening houdt.
Zodra uw pc niet meer up to date is zal ook uw beveiligde usb stick niet meer veilig zijn...
Hetzelfde geldt in principe ook voor de werkomgeving. In de meeste gevallen zullen updates wel worden uitgevoerd. Ook zal de virusscanner wel zijn voorzien van de laatste virusdefinities. Echter heeft onderzoek wel uitgewezen dat werknemers meer risico vormen dan vaak gedacht wordt. Een hacker kan natuurlijk ook van binnen uit uw organisatie komen... Daarbij zijn de werkstations binnen een bedrijf ook een belangrijk element. Als deze niet goed zijn geconfigureerd werkt dat in het voordeel van de hacker. Ook de informatie op usb sticks wordt daarbij niet ontzien.
Als voorbeeld nemen we de Kingston Data Traveller Elite. In principe maakt het niet uit welke stick gebruikt of welke vorm van encryptie gebruikt wordt. Zodra de stick door u in de pc wordt gestoken loopt u het risico dat de bestanden onder uw neus worden gekopieerd... zonder dat u het merkt.
De hacker, die reeds in een eerder stadium voldoende rechten heeft verworven op uw netwerk of uw pc, kan op afstand zien of u gebruik maakt van externe devices. De externe harddisk die aangesloten wordt, de camera, telefoon of usb stick, het maakt niets uit. De hacker ziet een nieuwe driveletter verschijnen.
Met een simpel vb script kan hij in de gaten houden of er op enig moment een nieuw device wordt aangekoppeld.
strComputer = "." '(Any computer name or address)
Set wmi = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set wmiEvent = wmi.ExecNotificationQuery("select * from __InstanceOperationEvent within 1 where TargetInstance ISA 'Win32_PnPEntity' and TargetInstance.Description='USB Mass Storage Device'")
While True
Set usb = wmiEvent.NextEvent()
Select Case usb.Path_.Class
Case "__InstanceCreationEvent" WScript.Echo("USB device found")
Case "__InstanceDeletionEvent" WScript.Echo("USB device removed")
Case "__InstanceModificationEvent" WScript.Echo("USB device modified")
End Select
Wend
Ook met DeviceLock Plug and Play Auditor kunnen in korte tijd hele netwerken gescand worden. Niet alleen de devices die aan de pc zitten kunnen worden gezien, nee, ook de devices die op enig moment in het verleden(!) aan de pc hebben gezeten worden getoond. You will be amazed what you find!
Vervolgens kan op afstand met behulp van computerbeheer het device worden benaderd.
Bij schijfbeheer kan nog even worden gecontroleerd of er inderdaad een device is aangekoppeld. In dit geval wordt er als E volume een removable device gevonden met een capaciteit van 498 Mb.
Om het device ook te kunnen benaderen wordt er een nieuwe bestandsshare aangemaakt. Wel hidden, zodat deze verborgen blijft voor de gebruiker.
De map wordt gedeeld...
Waarna vervolgens de bestanden bekeken en gekopieerd kunnen worden...
Abonneren op:
Posts (Atom)