[Sec] IT Forensics

quote:

Virtugon schreef op zondag 10 augustus 2008 @ 20:20:
Data carving kan vrij lastig zijn, FTK en EnCase kunnen gelukkig veel (hidden) files vinden en ze kunnen beide ook werken met hashtabellen om bekende bestanden (bijvoorbeeld kinderporno afbeeldingen of bekende Windows System files) te vinden of uit te sluiten.
Uiteraard heeft ieder pakket zijn eigen manier van carven, daarom kun je soms met het ene pakket bepaalde dingen terug vinden in bewijsmateriaal die je met het andere weer niet ziet en vice versa. Best irritant soms.

ronnie8928 wijzigde deze reactie 10-08-2008 22:34 (7%)

quote:

sh4d0wman schreef op zondag 10 augustus 2008 @ 22:36:
KMAR? Nooit aan gedacht dat die ook het nodige met IT forensics doen maar uiteraard wel logisch Ben toch benieuwd naar 1 ding, in hoeverre worden jullie nu met encryptie belemmerd in forensics? Hierbij heb ik het niet over brakke implementaties zoals bijvoorbeeld een wachtwoord ergens opgeschreven of een key op een floppy welke gewoon nog in de pc steekt.

quote:

[licht offtopic]
Lang geleden heb eens een nieuwsitem gezien welke ging over electronisch oorlogsvoering. Hier kan ik in NL niks over vinden, niet bij KMAR, AIVD of waar dan ook. Heb jij enig idee welke dienst in NL zich hier mee bezig houd? Ik kan me niet voorstellen dat wij hier niks in doen
[/offtopic]

quote:

Pim. schreef op zondag 10 augustus 2008 @ 22:19:
* Pim. is digitaal rechercheur bij de Kmar. Dit topic sluit 100% aan op mijn vakgebied en ik zal dit topic dan ook met belangstelling volgen

Voor de info:

Ik doe dit werk ongeveer 2,5 jaar en heb opleidingen gevolgd bij de politieacademie, Fox-IT, Dataexpert en Guidance (EnCase) de opleingen:

• Basis training digitaal rechercheren
• Digitaal rechercheren in minder complexe zaken (9 maanden !)
• FTK
• EnCase intermediate
• EnCase Advanced
• Basis linux
• UGO (Uitlezen GSM Onderzoek)

Ik heb net mijn EnCAse Certified Examiner examen fase II opgestuurd en wacht nog op de uitslag ervan. Het examen bestaat uit twee gedeeltes (fase I en II), 180 vragen (faseI) en een paracticum (faseII)

En binnen dit vakgebied stopt het opleiden nooit natuurlijk.

De zaken waar ik me mee bezig houd zijn voornamelijk strafrechtzaken, ik ga die hier niet te veel uitdiepen natuurlijk

Ik ben benieuwd hoe druk dit hier gaat worden

Raven wijzigde deze reactie 11-08-2008 01:14 (71%)

ronnie8928 wijzigde deze reactie 11-08-2008 01:38 (47%)

quote:

Pim. schreef op zondag 10 augustus 2008 @ 23:14:
[...]
Encryptie is nog steeds geen heel groot probleem omdat de gemiddelde burger niet de ongemakken wil dragen aangezien veiligheid en gebruiksgemak elkaars tegenpolen zijn (in die spagaat zit Windows nog altijd)

TRRoads wijzigde deze reactie 11-08-2008 02:53 (21%)

quote:

Pim. schreef op zondag 10 augustus 2008 @ 23:14:
[...]


Encryptie is nog steeds geen heel groot probleem omdat de gemiddelde burger niet de ongemakken wil dragen aangezien veiligheid en gebruiksgemak elkaars tegenpolen zijn (in die spagaat zit Windows nog altijd)

Ik kom bij kinderporno zaken af en toe encryptie tegen maar meestal is er op de rest van de computer dan wel genoeg te vinden om die containers niet nodig te hebben.

De algoritmes zijn over het algemeen prima maar worden in sommige gevallen slecht toegepast, denk aan de NTLM hashes in het register. Daar is dan soms wat winst te halen door te kijken welke encryptie gebruikt is en of het makkelijk in een cracking suite te brengen is (PRTK bijv.)
Zodra de implementatie van de encryptie goed is en er geen easy ingang is zijn er de bekende dingetjes die we proberen zoals een indexlist van de HD maken exporteren en bruteforcen of een rainbow table attack.

Ik denk dat met de snel vorderende stand van zaken (gebruik van salt) die optie op een gegeven moment ook geen nut meer hebben.


[...]


Hier houdt ik me niet mee bezig en als ik AIVD /MIVD lees denk ik niet dat ik het hier zou neer gooien

quote:

Raven schreef op zondag 10 augustus 2008 @ 23:56:
[...]

Op wat voor niveau zijn die opleidingen? HBO/MBO?

quote:

TRRoads schreef op maandag 11 augustus 2008 @ 02:42:
[...]

Maar sinds Windows Vista niet meer? Mits er een TPM chip op de hardware aanwezig is (iets wat al een tijdje standaard is bij alle zakelijke notebook lijnen) is het heel eenvoudig BitLocker te gebruiken.

Dit is zeer gebruikersvriendelijk en in combinatie met bijvoorbeeld een wachtwoord en een USB certificaat key ook erg veilig.

quote:

Al neem ik aan dat je in jouw vakgebied wel een voorsprong hebt daar de gemiddelde tegenpartij een achterstand heeft op het gebied van hersencapaciteit?

quote:

Yor schreef op maandag 11 augustus 2008 @ 03:59:
[...]
Ik hou dit topic ook eens in de smiezen...mocht Pim ooit eens met pensioen gaan...;)

quote:

Eijkb schreef op maandag 11 augustus 2008 @ 08:30:
Wordt er voor dit soort beroepen ook gezocht naar mensen met veel ervaring op IT gebied maar zonder een politie vooropleiding? Werk inmiddels 10 jaar in de ICT, eerste 5 jaar bij grote internationale banken op mainframe en de laatste 5 jaar als technisch verantwoordelijke bij een hoster. Veel ervaring op security, methodieken en internet. Lijkt me best een goede basis voor een digitaal rechercheur.

quote:

Virtugon schreef op maandag 11 augustus 2008 @ 09:31:
Over encryptie gesproken. Het is mogelijk om de encryptie keys uit het geheugen van een computer te lezen, zelfs als deze gelockt is, in stand-by staat of net uit is gezet.

Klik hier voor een filmpje over cold boot attacks.

En wat dacht je van Firewire. Dankzij het feit dat deze toegang heeft tot DMA kun je m.b.v. Firewire ook het geheugen uitlezen (link) of andere leuke dingen, denk bijvoorbeeld maar aan Winlockpwn.

quote:

ronnie8928 schreef op maandag 11 augustus 2008 @ 01:37:
afhankelijk van je richting op MBO kan je net als ik 1 jaar vrijstelling krijgen...
de duurt de opleiding nog maar 3 jaar...

ik moet wel zeggen dat ik HBO veel veel leuker/vetter/intresanter/boeiender vind als MBO(Netwerkbeheerder)

offtopic:
Maar nog altijd niet van school gehoord of ik geslaagd ben...

quote:

Pim. schreef op maandag 11 augustus 2008 @ 09:04:
[...]


Ligt aan de functie die je wilt bekleden.

Binnen de politie bestaan 3 niveaus:

• recherche ondersteuner (ik denk vmbo/MBO)
• digitaal rechercheur (minimaal MBO)
• vakexpert digitale recherche (HBO)

quote:

ronnie8928 schreef op zondag 10 augustus 2008 @ 22:33:
*is mogelijk beetje reclame maar wel heel toepasselijk

Op de HSzuyd in Heerlen wordt de opleiding NFR(Network Forensics Researcher) gegeven, deze opleiding is samen met fox-it opgezet...

Het heeft verder niet mijn ding, maar aangezien ik Network Infrastructure Design doe krijg ik de basis research vakken ook...

ik zal dit topic dan ook zeker blijven volgen

ronnie8928 wijzigde deze reactie 11-08-2008 13:12 (12%)

quote:

Pim. schreef op maandag 11 augustus 2008 @ 09:04:
Heb je wel een geprobeerd bitlocker te installeren ??
Om te beginnen moet het bij install, dan heeft bijna niemand een TPM device dus zou er een USB stick te vinden moeten zijn die je weer de toegang geeft en niemand neemt de moeite.

Het meeste zorgen maak ik me om dingen als truecrypt, geen headers en footers, hoge mate van encryptie en zelfs nog de mogelijkheid van hidden containers.

Equator wijzigde deze reactie 11-08-2008 15:27 (12%)
Reden: lakdnkahfkahk -> leesbare text ;)

Pim. wijzigde deze reactie 11-08-2008 22:06 (16%)

quote:

ndeleeuw schreef op maandag 11 augustus 2008 @ 18:50:
die eerste heb ik zelf ook in mun bezit als ik het goed heb.
Hij ziet er hetzelfde uit als een boek dat ik heb idd een goed boek zeer leerzaam.
En het tweede boek ook al
maar was eerder benieuwd naar welke tools naast het standaard encase en/of ftk worden gebruikt

quote:

Pim. schreef op maandag 11 augustus 2008 @ 09:04:
[...]


Of dat zo is laat ik in het midden maar gelukkig is niet elke verdachte zo op de hoogte van computers als hier op GOT

chroom wijzigde deze reactie 16-08-2008 01:34 (16%)

quote:

gunhead schreef op zaterdag 16 augustus 2008 @ 01:33:

hoelang gaat dat duren denk je?

vroegah liet iedere boef overal z'n DNA achter, en nog vroegah z'n vingerafdrukken.
is tegenwoordig al een stuk minder.


ik kan me zo voorstellen dat inmiddels iedere boef wel weet dat als je stoute dingen doet op een computer, dat er dan op z'n minst een probleem ontstaat. of niet?

quote:

Jazzper schreef op zaterdag 16 augustus 2008 @ 01:41:
ha, leuk topic. Ik heb enkele jaren terug (jaar of 6?) een keer een site gevonden die volgens mij een wervingssite voor het NFI was. Ik weet de naam niet meer maar volgens mij sherlock of holmes.nl (geen grap ) Hmm Google biedt weinig uitkomst en geen zin om te zoeken nu. Vond het allemaal machtig interessant. Leuk topic om te volgen dus voor mij en ik zal de blogs ook eens doornemen.

quote:

Stoney3K schreef op zaterdag 16 augustus 2008 @ 18:14:
Leuk om dit eens te lezen en te weten wat er achter steekt.

Wat ik me trouwens al lang afvraag, en vooral met de huidige politieke situatie (war on terrorism enzo): Hoeveel moeite gaan IT-opsporingsambtenaren doen voor welk vergrijp? Ik heb menig verhaal gehoord van invallen aan de hand van BREIN op universiteiten en LAN-parties, en de betreffende schrikreacties van gamers en andere tweakers hierop... vooral de bedachte oplossingen om dat soort invallen te verijdelen en het bedenken van iedereen hoe ver een en ander ging om uit te vogelen of user x werkelijk warez, films en MP3's op zijn disk had staan.

quote:

Ik kan me prima voorstellen dat een forensisch instituut voor een zwaarder vergrijp meer moeite zal doen: In een onderzoek naar een of andere warez-groep zullen jullie niet gauw terugvallen op het uitlezen van het achtergebleven magnetisme op een harddisk, terwijl ik me zoiets voor een terrorisme-verdenking of een kinderporno-verspreider wel voor kan stellen.
Kun je wat meer uitleg geven over welke methodes waarvoor gebruikt worden, of mag je daar om veiligheidsredenen geen uitspraak over doen?
Ik zal als voorzorg alvast mijn harddisk in de magnetron schuiven

quote:

Pim. schreef op zaterdag 16 augustus 2008 @ 20:27:
[...]
Je moet nu geen dingen door elkaar gaan halen he
Er zijn landelijk gelden voor anti-terroristme beschikbaar gesteld en daar worden door verschillende instanties gebruik van gemaakt voor verschillende doelen (zoals digitale recherche)
BREIN is een publieke organisatie die, in mijn ogen te veel rechten heeft verkregen de afgelopen jaren. BREIN doet dan ook geen strafrechtelijke onderzoeken al doen ze dat graag blijken.
[...]

quote:

Een forensisch instituut zal altijd naar de waarheid zoeken aangezien hun geloofwaardigheid elke keer weer op het spel staat.
Om te beginnen is digitale recherche een ondersteunende sport, net als financieel en technische recherche.
De methodes die gebruikt worden zijn over het algemeen wel te vergelijken maar worden per niveau natuurlijk ingewikkelder. Je moet bij elk onderzoek de vraag stellen welke informatie je wilt hebben en die informatie komt normaal gesproken uit het recherche proces.
En specifieke methodes ... sjah, dat kan het onderzoeken van de PC zijn, bevragingen bij internetproviders, nazoeken van logbestanden, email onderzoek enz enz.

quote:

TRRoads schreef op zaterdag 16 augustus 2008 @ 23:40:
Bij het aanzetten sta je altijd zelf bij (ze vragen het meestal gewoon aan je of je em even aan wil zetten) en zodra ze iets van een opstart scherm zien mag ie weer uit. Dat heeft echt niets te maken met de data die erop staat. Alsof ze daar tijd voor hebben om naar te kijken.

quote:

ndeleeuw schreef op zondag 17 augustus 2008 @ 00:36:
Voor zover ik weet is BREIN nog altijd een particuliere organisatie en voorzover ik weet hebben ze geen opsporingsbevoegdheden.
En over de te volgen stappen tijdens een onderzoek dat hangt af van het onderzoek.
Maar je probeert idd altijd de waarheid te achterhalen en als daar een reconstructie van data op een hdd voor aan de pas moet komen kan het voorkomen dat dat gebeurt.
Maar dat is allemaal afhankelijk naar wat je zoekt.
Imho. zouw je bij een warez groep juist de hdd`s onderzoeken op gewiste bestanden en hdd`s die "leeg" zijn bekijken op data die deze hebben bevat omdat daar bewijzen kunnen liggen.

quote:

PromoX schreef op zondag 17 augustus 2008 @ 01:14:
[...]

Blijkbaar hebben ze dat wel, ook al gaat het dan misschien om een selecte groep:
nieuws: Douane Schiphol doorzoekt mobiele telefoons en laptops

Het zou me niet verbazen dat er landen zijn die bij een grotere groep (uitgebreidere) controles uitvoert.

TRRoads wijzigde deze reactie 17-08-2008 01:57 (5%)

quote:

TRRoads schreef op zondag 17 augustus 2008 @ 01:53:
[...]

Dat was maar een pilot, dus een kleine proef onder een heel select aantal personen.

PromoX wijzigde deze reactie 17-08-2008 02:02 (3%)

quote:

TRRoads schreef op zondag 17 augustus 2008 @ 01:53:
[...]
In de VS vragen ze dus wel vaak om laptops aan te zetten (mij al een paar keer overkomen) maar dat duurt echt maar een paar sec, zodra het bios scherm in beeld komt mag de laptop alweer uit. De reden voor deze test is dus om te kijken of het wel echt een laptop is en heeft niets met data te maken.

quote:

Pim. schreef op zaterdag 16 augustus 2008 @ 01:04:
Verder geen IT forensic mensjes hier ??

quote:

Stoney3K schreef op zondag 17 augustus 2008 @ 04:52:
En dan nog kan ik me in deze dagen met herprogrammeerbare BIOSsen en ACPI controllers best een pure software-based oplossing bedenken waarmee je de laptop normaal kan gebruiken, totdat je op je Windows desktop een icoontje aanklikt, een paar seconden later -> accu short-circuit en BAM!

quote:

unclero schreef op woensdag 20 augustus 2008 @ 10:19:
Je denkt te moeilijk.
Een IPC'tje en een circuitje die een scherm aanstuurt (even een BIOS en Windows opstartscherm simuleren) plus batterijen neemt misschien de helft van de inhoud van een laptop in. Kun je de andere helft vullen met plakken semtex. Of je bouwt een accu na op basis van AA batterijen, het hoeft maar een minuut te draaien. De ruimte die je over houd in het accu-compartiment kun je met andere dingen vullen.

unclero wijzigde deze reactie 20-08-2008 17:14 (95%)

quote:

Onbekend schreef op dinsdag 26 augustus 2008 @ 11:13:
Ik lees het bericht nieuws: Microsoft voegt privacymodus toe aan IE8
en moest gelijk aan dit topic denken.

Volgens mij is alleen een verkooppraatje. Als je illegale sites opzoekt blijft er altijd wel iets achter op de computer in de vorm van verwijderde cookies of zou dat alleen maar gebruik maken van het ram?

Trouwens, de ISP kan ook geraadpleegd worden over de opgevraagde pagina's en bestanden. Dus het is eigenlijk alleen maar voor de mensen die niet verder denken, denk ik.

sh4d0wman wijzigde deze reactie 08-10-2008 09:56 (3%)

quote:

Michaelg schreef op donderdag 28 augustus 2008 @ 11:43:
Leuk topic dit,

Ik ben zelf sinds een paar maanden klaar met me MBO N4 opleiding PDR - Particulier Digitaal Rechercheur, en heb binnen die opleiding ook nog een apart examen moeten halen namenlijk PO - Particulier Onderzoeker.
Ik heb het 2 jarige traject in Rotterdam gedaan omdat ik al een N3 diploma Medewerker Beheer ICT had.

Nu ben ik klaar met de opleiding ben, heb ik het idee dat ong 75% van de lessen echt totale onzin was. Er wordt veel te weinig tijd besteed aan de software pakketten die er zijn om bewijs materiaal te onderzoeken. En teveel tijd in de security kant gestoken.

Na het eerste jaar ben ik begonnen met stage en daar begon het echte leerproces eigenlijk. Ik kreeg de mogelijkheid om veel met FTK te werken, en hierin ook cursussen te volgen (mijn begeleider geeft die cursussen). Ook ben ik meerdere malen mee geweest naar klanten om daar data veilig te stellen. Meekijken met zaken, en proberen mee te denken met de onderzoeker was echt geweldig en heb ik ook enorm veel van geleerd.

En dan ben je klaar met je studie...en wat dan. Ik heb ervoor gekozen om toch door te gaan met me HBO opleiding maar dan in een iets andere richting, namelijk HBO Rechten.
Dit om mijn juridische vaardigheden uit te breiden en om kennis te krijgen van zowel het technische als het juridische gedeelte van een Digitaal Onderzoeker. Volgens mijn stage-begeleider was dit een goede keuze omdat het een totaal nieuwe markt betreft en ik dan kennis van beide kanten zou hebben.

Tip voor mensen die ook zitten te denken aan de opleiding PDR (tegenwoordig alweer PDO volgens mij) te volgen:

De stof op school stelt niet zoveel voor en verheug je daar ook niet teveel op. Zorg voor een goed stage adres waar je zaken kan behandelen die relevant zijn met de opleiding. En daar begint de fun pas echt.

quote:

ndeleeuw schreef op woensdag 08 oktober 2008 @ 20:00:
[...]


Ik moet binnenkort op 4 november ook mun PO examen halen. Ben nu 4de jaars PDO en onze school zei dat ze de eerste waren in nederland.
Maar zoals ik uit je verhaal begrijp heb je een versneld traject gedaan ???

quote:

Michaelg schreef op donderdag 09 oktober 2008 @ 00:12:
[...]


Ja inderdaad, ik heb het versnelde traject gedaan omdat ik al een N3 diploma in de ICT heb.

Suc6 met je examen PO. Denk er niet te moeilijk over, het belangrijkste is dat je de vragen goed leest, en niet intrapt in valkuilen.

quote:

sh4d0wman schreef op woensdag 08 oktober 2008 @ 09:45:
Ik ben recent ook wat bezig met forensics maar loop tegen een probleem aan. Misschien dat jullie mij van tips kunnen voorzien

Probleem: ik heb een Creative Zen 2 GB MP3 speler met ingebouwd flash memory welke via USB met de computer verbonden kan worden. Ik wil een image van deze player maken. In FTK Imager kan ik echter dit device niet terug vinden aangezien het geen driveletter krijgt maar onder music device oid zichtbaar is.

Weten jullie hoe ik van deze player een image kan maken? Wellicht via linux/helix met dd? Daar ben ik alleen niet zo in thuis

dd /dev/sda1 /temp/sda1.img

quote:

Michaelg schreef op donderdag 28 augustus 2008 @ 11:43:
Leuk topic dit,

Ik ben zelf sinds een paar maanden klaar met me MBO N4 opleiding PDR - Particulier Digitaal Rechercheur, en heb binnen die opleiding ook nog een apart examen moeten halen namenlijk PO - Particulier Onderzoeker.
Ik heb het 2 jarige traject in Rotterdam gedaan omdat ik al een N3 diploma Medewerker Beheer ICT had.

Nu ben ik klaar met de opleiding ben, heb ik het idee dat ong 75% van de lessen echt totale onzin was. Er wordt veel te weinig tijd besteed aan de software pakketten die er zijn om bewijs materiaal te onderzoeken. En teveel tijd in de security kant gestoken.

Na het eerste jaar ben ik begonnen met stage en daar begon het echte leerproces eigenlijk. Ik kreeg de mogelijkheid om veel met FTK te werken, en hierin ook cursussen te volgen (mijn begeleider geeft die cursussen). Ook ben ik meerdere malen mee geweest naar klanten om daar data veilig te stellen. Meekijken met zaken, en proberen mee te denken met de onderzoeker was echt geweldig en heb ik ook enorm veel van geleerd.

En dan ben je klaar met je studie...en wat dan. Ik heb ervoor gekozen om toch door te gaan met me HBO opleiding maar dan in een iets andere richting, namelijk HBO Rechten.
Dit om mijn juridische vaardigheden uit te breiden en om kennis te krijgen van zowel het technische als het juridische gedeelte van een Digitaal Onderzoeker. Volgens mijn stage-begeleider was dit een goede keuze omdat het een totaal nieuwe markt betreft en ik dan kennis van beide kanten zou hebben.

Tip voor mensen die ook zitten te denken aan de opleiding PDR (tegenwoordig alweer PDO volgens mij) te volgen:

De stof op school stelt niet zoveel voor en verheug je daar ook niet teveel op. Zorg voor een goed stage adres waar je zaken kan behandelen die relevant zijn met de opleiding. En daar begint de fun pas echt.

quote:

ndeleeuw schreef op donderdag 09 oktober 2008 @ 15:52:
[...]


i know we krijgen les van mensen die het examen maken.
Toen ik begon hadden ze nog geen versneld traject

loser180 wijzigde deze reactie 10-11-2008 11:04 (7%)

quote:

nico77906 schreef op maandag 10 november 2008 @ 22:27:
Ik zie dat dit topic gaat over IT Forensics.
Nu wilde ik van de mensen hier wel eens weten na hoeveel random wipes nodig zijn om de oude data van een schijf onherstelbaar te verwijderen.
Nu heb ik wel het een en ander kunnen lezen over specificaties, maar niet of dit in de praktijjk ook daadwerkelijk zorgt voor grondige data-sanitatie zodat niemand, ook op overheidsniveau, bij de vorige data kan komen.

quote:

LuckyY schreef op maandag 10 november 2008 @ 22:31:
[...]

Meestal zeggen mensen met 7 keer maar ik durf het niet met 100% zekerheid te zeggen.

LinuX-TUX wijzigde deze reactie 10-11-2008 23:11 (13%)

quote:

Kaasje123 schreef op dinsdag 11 november 2008 @ 00:03:
Je hebt toch ook de gutman-pass van 35 wipes? Dat is volgens mij alleen nodig als je zwaar paranoïde bent.

quote:

nico77906 schreef op maandag 10 november 2008 @ 23:19:
Maar is het in de praktijk wel eens uitgeprobeerd om data van een harde schijf te halen die goed gewipe'd is?
En met wipen bedoel ik een met zo'n willekeurig mogelijke datastroom de schijf overschijven, en elke pass is dus niet dezelfde als de vorige.

Let wel: ik heb het hier over wat technisch (niet per definitie theoretisch) mogelijk is, en geld speelt niet direct een rol, en de overheid is bij wijze van voorbeeld geinteresseerd in deze inhoud die er voor de wipe-actie opstond.
De overheid zou dit dus terug willen halen.
Zou dat kunnen met een wipe naar de 5220.22-M standaard?

quote:

ndeleeuw schreef op dinsdag 11 november 2008 @ 22:03:
Ik heb een paar dagen geleden mijn examen PO gemaakt.
Viel me reuze mee dacht er veel te moeilijk over.
Nu is het afwachten en hopen dat ik mun praktische gedeelte gehaald heb
Morgen en Overmorgen eens wat rond hangen op de infosecurity beurs en wat semminars volgen.

quote:

Michael32773 schreef op woensdag 18 februari 2009 @ 21:51:
Deze opleiding is overigens wel de "zwaarste" op ICT gebied (MBO niveau), je moet van alles kennis in huis hebben, netwerken, systemen, etc.

quote:

chroom schreef op woensdag 18 februari 2009 @ 22:01:
ik vraag me wel iets af: hoe zit het eigenlijk met de bewijslast van al dit moois?

ik kan me zo voorstellen dat als een officier van justitie een document op tafel legt, en zegt "ja, met een cold boot attack uit een achtergebleven deskjet gehaald", dat de gemiddelde rechter het dan ook niet meer weet.

beetje griezelig als dat dan allemaal met getuige-deskundige moet enzo.

quote:

Bor de Wollef schreef op woensdag 18 februari 2009 @ 22:04:
[...]
Klopt, bovendien is het of achterhaald uit hardware, bewijslast uit logfiles (en dus makkelijk te faken etc). De bewijslast op zich lijkt mij heel moeilijk omdat je redelijk snel kan sturen op onecht verkregen bewijsmateriaal etc.

quote:

Bor de Wollef schreef op woensdag 18 februari 2009 @ 22:00:
[...]


Hoeveel aanzien heeft zo'n titel als digitaal rechercheur nou? Dit is een vakgebied waar het erg draait om aanzien wat betreft naam / track record en opleiding. Ik begrijp dat "digitaal rechercheur" een MBO opleiding is. Ben je niet bang links en rechts ingehaald te worden door HBO-ers / WO-ers?

quote:

Pim. schreef op zondag 10 augustus 2008 @ 22:19:
* Pim. is digitaal rechercheur bij de Kmar. Dit topic sluit 100% aan op mijn vakgebied en ik zal dit topic dan ook met belangstelling volgen

quote:

Michael32773 schreef op woensdag 18 februari 2009 @ 21:51:

Binnenkort moet ik ook starten met een tweede stageperiode. Ga proberen bij het KMar aan de slag te gaan, aangezien deze ook het een en ander te maken hebben met IT Forensics, en omdat deze gekwalificeerd zijn om goedkeuring te geven tot het examen Particulier Onderzoeker, wat door een andere onderwijsinstelling (MINERVA) word aangeboden.


Groeten,

Mike

quote:

maxjuh schreef op woensdag 18 februari 2009 @ 22:25:
[...]
Mij is altijd verteld dat de digitale rechercheurs die er nu zitten bijna allemaal MBO'ers zijn en als ze een HBO achtergrond hebben eigenlijk altijd in een leidinggevende functie zitten. Ik zie een HBO-er ook niet dat werk uitvoeren want dat is toch gewoon met de standaard tools gegevens halen uit informatie dragers. (zoals hardeschijven, telefoons, flash cards, mp3-spelers etc...), dood saai als je het mij vraagt.

• De webserver zelf.
• Staat er een firewall voor? Zijn daar nog logs van?
• Is de server vanaf een intern ip adres gehacked?
• Indien er intern DHCP gebruikt wordt moet je de logs daarvan erbij pakken om te weten welke computer het geweest is.
• Wanneer is de server precies gehacked? Klopt die tijd wel? (Bios tijd? Doet de server aan tijdsynchronisatie?)
• De machine vanaf waar gehacked is heeft inderdaad hacktools erop staan, maar de gebruiker van dat systeem geeft aan dat iedereen op de afdeling zijn wachtwoord heeft...
• Zijn er logfiles van een toegangscontrolesysteem, zodat je kunt nagaan wie er aanwezig waren in het gebouw?
• Zijn er mogelijk camerabeelden?
• Zijn er telefoontjes gepleegd vanaf die werkplek? Weet diegene die gebeld is nog wie er toen belde?
• Heeft de eigenaar van het account vlak voor de hackpoging nog een persoonlijk e-mailbericht gestuurd?
• etc...

quote:

Michael32773 schreef op donderdag 19 februari 2009 @ 13:15:
Eventjes over de bewijslast waarover eerder in het forum word gesproken. Om de gevonden data daadwerkelijk te kunnen gebruiken tijdens een rechtzitting moet het uiteraard wel aan een aantal voorwaarden voldoen. Alles dient namelijk op de forensisch methode uitgevoerd worden. Forensisch betekent eigenlijk niets anders als "bruikbaar in een rechtzitting".

Stel, ik ga een HD onderzoeken op de aanwezigheid van kinderporno, dan dien ik eerst een exacte kopie te maken, met deze kopie moet ik dan gaan werken. Er moet voor gezorgd worden dat de orginele data niet veranderen. Vandaar dat we gebruik maken van exacte kopies.

Maar dit is slechts een klein voorbeeld.....

Mike

quote:

maxjuh schreef op woensdag 18 februari 2009 @ 22:25:
[...]

Mij is altijd verteld dat de digitale rechercheurs die er nu zitten bijna allemaal MBO'ers zijn en als ze een HBO achtergrond hebben eigenlijk altijd in een leidinggevende functie zitten. Ik zie een HBO-er ook niet dat werk uitvoeren want dat is toch gewoon met de standaard tools gegevens halen uit informatie dragers. (zoals hardeschijven, telefoons, flash cards, mp3-spelers etc...), dood saai als je het mij vraagt.

quote:

Bor de Wollef schreef op donderdag 19 februari 2009 @ 19:18:
[...]


Is het echt alleen scripts en standaard tooling gebruiken of voer je echt ook handmatige analyses etc uit?

quote:

Bor de Wollef schreef op donderdag 19 februari 2009 @ 19:18:
[...]
Is het echt alleen scripts en standaard tooling gebruiken of voer je echt ook handmatige analyses etc uit?

quote:

Nvidiot schreef op vrijdag 20 februari 2009 @ 10:54:
[...]

Het komt regelmatig voor dat je van een onbekende applicatie moet uitzoeken wat voor sporen die achterlaat. Even de applicatie installeren in VMWare, wat testdata invoeren en vervolgens de disk in je analyseprogramma (FTK, Encase, Sleuthkit, ...) inladen en kijken wat je terug kunt vinden. Dit is een van de leukere kanten aan het forensische onderzoek.

Bor wijzigde deze reactie 20-02-2009 17:28 (10%)