[Sec] IT Forensics

Waarschijnlijk ben je dan redelijk kansloos als politie. Dan ben je meer afhankelijk van internet en telefoon taps om zo op andere manieren bewijs te verkrijgen. Wellicht heeft de hacker bepaalde aantekeningen gemaakt, met andere personen gepraat, wellicht samengewerkt. In dat laatste geval is er een kans dat men bij derden een computer aantreft welke minder voorzorgsmaatregelen heeft getroffen.

Te spenderen tijd en methodes hangen er natuurlijk ook wel wat van af hoe ernstig de misdaad is welke begaan werd. Wellicht dat men in ernstige zaken contact kan hebben met buitenlandse experts, NSA zal misschien nog wel leuke truukjes weten.

Anoniem: 165232 schreef op zaterdag 21 februari 2009 @ 12:55:
Ik ben wel benieuwt hoe een forensics expert met de volgende casus zou omgaan:
[...]
Hoe trekken jullie daar nog data uit? Of zit de focus dan echt op het hopelijk optijd invriezen van het ram?

Data daaruit trekken is niet zo moeilijk, het lastige alleen is dat die versleuteld is
In jouw situatie kan ik me voorstellen dat er juist aan 'de andere kant', dus bij de gehackte systemen, wel het nodige te vinden zal zijn.

Toch is ook de situatie die jij beschrijft niet helemaal hopeloos. De ervaring leert dat mensen toch vaak wel ergens een foutje maken waardoor je weer een stapje verder kunt komen - een wachtwoord hergebruiken, hun tests niet via die anonieme proxy of botnet uitvoeren, etc., net als vingerafdrukken en DNA toch ook nog altijd van waarde zijn ondanks dat iedereen weet dat je uit moet kijken dat je geen sporen achterlaat als je iemand vermoordt.
Afhankelijk van het doel van de hack is er wellicht ook in de 'echte' wereld het nodige te vinden; als er bijvoorbeeld ergens geld weggesluisd is, zal dat ook ergens naartoe gesluisd moeten zijn.

corné schreef op vrijdag 20 februari 2009 @ 16:18:
Ik heb de minor computer forensics & security gevolgd en vond het allemaal wel heel interessant, maar ik ben blij dat het me werk niet is We kregen onderandere een Windows XP image waaruit we zoveel mogelijk informatie moesten trekken met bepaalde tools zoals Encase etc. Enige wat me niet lukte was het password vinden van een truecrypt container
Heb ook een project gedaan bij het NFI. Project had overigens niet veel te maken met forensics, maar was wel leuk om daar eens te koekeloeren.

Oftewel: het is dus wel mogelijk om TC te openen door opsporingsdiensten.

Fijn om te weten, kunnen ze mijn boekhouding bekijken van de handel

Resistor schreef op zaterdag 21 februari 2009 @ 16:27:
[...]

Oftewel: het is dus wel mogelijk om TC te openen door opsporingsdiensten.

Fijn om te weten, kunnen ze mijn boekhouding bekijken van de handel

Op basis waarvan trek je die conclusie nu? Wellicht is het password op een andere manier te achterhalen. Ik vind niet dat je jouw conclusie kunt trekken uit hetgeen je bold hebt gequote.

Anoniem: 165232 schreef op zaterdag 21 februari 2009 @ 12:55:
Vmware opstarten
copy van vmware image maken
image na gebruik met een filedestroy tool wipen (35 x).

alt-92 schreef op zaterdag 21 februari 2009 @ 16:54:
[...]

offtopic:
Bovendien was zij daarmee zo lang bezig dat ze op heterdaad betrapt werd.
M.a.w. vergeet de human factor niet

Klopt, goed wipen van een behoorlijk grote file duurt inderdaad wel even.

Bor de Wollef schreef op zaterdag 21 februari 2009 @ 16:35:
[...]


Op basis waarvan trek je die conclusie nu? Wellicht is het password op een andere manier te achterhalen. Ik vind niet dat je jouw conclusie kunt trekken uit hetgeen je bold hebt gequote.

Password moest inderdaad op een andere manier achterhaald worden. De politie of NFI kan niet zomaar even in een middagje een AES encryptie kraken Dit doen ze ook door andere informatie te zoeken en dan die gegevens gebruiken om bijvoorbeeld te bruteforcen met FTK.

In "geciviliceerde" landen als Nederland kun je inderdaad zoeken naar andere informatie wat je kan helpen bij het openen van een encrypted file / container. In sommige plekken slaan ze de sleutel gewoon uit je. Daar zit dan ook een zwak punt welke ook bij sterke encryptie overeind blijft. In hoe verre en tot welke prijs is de eigenaar van een sleutel bereid deze te beschermen?

Het probleem is natuurlijk ook dat een bepaald soort 'verstandige opponent' nooit je informatie vertrouwt en altijd maar door blijft meppen, of de gegevens nou wel of niet (duidelijk) versleuteld zijn.

begintmeta schreef op zaterdag 28 februari 2009 @ 12:03:
Het probleem is natuurlijk ook dat een bepaald soort 'verstandige opponent' nooit je informatie vertrouwt en altijd maar door blijft meppen, of de gegevens nou wel of niet (duidelijk) versleuteld zijn.

Je kunt elke informatie dwz key natuurlijk proberen tenzij het een systeem is dat zichzelf onschadelijk maakt bij een x aantal pogingen.

Tijdsdruk en belang van de gegevens spelen ook een rol bij het kunnen proberen van alle opties natuurlijk.

Dat beperken van het aantal pogingen moet dan ook om te voorkomen dat de sleutelhouder zich (op een gegeven moment) kan beschermen door informatie vrij te geven. Je zou ook meerdere factoren kunnen vereisen voor toegang tot de gegevens die niet allemaal onder (directe) controle van de sleutelhouder liggen, zodat pressie op enkel de 'sleutelhouder' (in dat geval natuurlijk tussen aanhalingstekens) geen invloed kan hebben.

De sleutelhouder (of die nou sleutelhouder is of niet) is in bepaalde systemen hoe dan ook de klos.

[ Voor 36% gewijzigd door begintmeta op 28-02-2009 12:12 ]

Zijn er hier nog personen die CHFI gedaan hebben? Ik ben daar op dit moment mee bezig, heb alleen geen oefen examen dus was benieuwd op welke zaken de focus ligt.
Van sommige personen heb ik begrepen dat in sommige examens een aardig deel over wetten gaat maar dan voornamelijk op de US gericht. Ik kijk in ieder geval Appendix A en B even goed door (CHFI studyguide), die gaan daar over en over expert witness.
Er zit ook weer een hele berg tooltjes in dit boek al is het net iets minder erg dan CEH. Ik zal in ieder geval de veel gebruikte tools langs lopen (o.a. Encase, FTK, etc).

Wat ik wel leuk zou vinden is een kort en geanonimiseerd verslag van een onderzoek. Niet super gedetailleerd maar gewoon op hoofdlijnen. Welke uitdaging was er op te lossen en welke stappen neem je in zo'n geval?