Heute traf bei uns im Büro das Update auf EnCase 6 ein. Jawoll ja, wir nutzen gelegentlich auch EnCase. Über eine Mehr-Werkzeug-Strategie hatte ich ja schon an anderer Stelle geschrieben. Folgende neue Features (die ein Update lohnen) sind in EnCase 6 enthalten:
Jahr: 2006
Dies ist kein CSI
Manchmal bin ich schon verwundert, welche Erwartungen manchmal an die Analysegeschwindigkeit gestellt werden. „Bei CSI im Fernsehen geht das doch auch so schnell, warum dauert denn die Analyse der Festplatte bei Ihnen so lange?“ „Haben Sie schon erste Spuren?“ „Was können wir dem Vorstand sagen?„. Der Ermittlungsleiter muss in solchen Fällen Weiterlesen…
The Sleuthkit 2.07
The Sleuthkit (TSK) ist eine Sammlung von freien Werkzeugen, um an Datenträgern forensische Analysen durchzuführen. Sie können entweder auf der Kommandozeile ausgeführt oder mit der grafischen Oberfläche Autopsy verwendet werde. Folgende Bugfixes sind laut Brian Carrier in die neue Release 2.07 eingeflossen:
Windows-Eventlog-Forensik
Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.
In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.
Sebastians Ermittlungsschwerpunkt Weiterlesen…
Dumpster Diving
Ich hatte es hier ja bereits mit einem Praxisbeispiel erläutert, jetzt kam noch mal auf Heise.de ein anderer Hinweis: Dumpster Diving wird als Gefahr unterschätzt. In einem Test wurde Altpapier von 1135 Privat- und 869 gewerblichen Haushalten nach vertraulichen Daten durchsucht und erstaunliche Ergebnisse erzielt. Weiterlesen…
Forensische Datenanalyse von Mails am Beispiel von ENRON
Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.
Hier ein Beispiel anhand von Enron : Weiterlesen…
Wirtschaftsspionage? Nicht mein Bier? Ein Praxisbeispiel!
An dieser Stelle möchte ich einmal darüber berichten, wie ernst das Thema Informationsschutz wirklich sein kann. Ich höre immer wieder von Unternehmen und Behörden, die sich nicht vorstellen können, warum gerade sie ausspioniert werden sollten. Ein Beispiel aus der Praxis habe ich hier selbst für die Nachwelt exemplarisch festgehalten.
Interview mit Stefan Becker
Der Kölner Stadtanzeiger hat heute einen Artikel über KHK Stefan Becker veröffentlicht, der mich bei meinem Buchprojekt unterstützt hat:
Ein typischer Arbeitstag kann damit beginnen, dass sich der Administrator des Netzwerks eines mittelständischen Unternehmens Weiterlesen…
Nachtrag zum Kreditkartenklau bei Guidance
Ich weiss nicht, ob sich einige Leser noch errinnern. Ende letzten Jahres sind Server des Herstellers der Forensiksoftware EnCase kompromittiert worden. Dabei wurden dort gespeicherte Kunden- und Kreditkartendaten gestohlen. Laut Hersteller waren ca. 3800 Kunden betroffen. Pikanterweise wurden auf dem betroffenen System nicht nur die Kreditkartendaten gespeichert, sondern auch die zugehörigen Prüfnummern. Ich denke mal eine Corporate Card des FBI hat bestimmt eine höhere Kreditlinie und stellt ein lohnendes Ziel dar. 😉
Ich erfuhr von dem Vorfall erst mehrere Tage später über einen Brief, da ich auch betroffen war: Weiterlesen…
neue Version von Mount Image Pro
GetData Software hat eine neue Version von Mount Image Pro veröffentlicht. Wir setzen Mount Image Pro selbst gelegentlich ein, da es eine einfache und schnelle Möglichkeit ist, von einem Windows Analysesystem auf Datenträgerimages zuzugreifen. Mount Image Pro ermöglicht das Mounten von EnCase Images, Weiterlesen…