The Sleuthkit (TSK) ist eine Sammlung von freien Werkzeugen, um an Datenträgern forensische Analysen durchzuführen. Sie können entweder auf der Kommandozeile ausgeführt oder mit der grafischen Oberfläche Autopsy verwendet werde. Folgende Bugfixes sind laut Brian Carrier in die neue Release 2.07 eingeflossen:
Autor: Alexander Geschonneck
Windows-Eventlog-Forensik
Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.
In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.
Sebastians Ermittlungsschwerpunkt Weiterlesen…
Dumpster Diving
Ich hatte es hier ja bereits mit einem Praxisbeispiel erläutert, jetzt kam noch mal auf Heise.de ein anderer Hinweis: Dumpster Diving wird als Gefahr unterschätzt. In einem Test wurde Altpapier von 1135 Privat- und 869 gewerblichen Haushalten nach vertraulichen Daten durchsucht und erstaunliche Ergebnisse erzielt. Weiterlesen…
Forensische Datenanalyse von Mails am Beispiel von ENRON
Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.
Hier ein Beispiel anhand von Enron : Weiterlesen…
Wirtschaftsspionage? Nicht mein Bier? Ein Praxisbeispiel!
An dieser Stelle möchte ich einmal darüber berichten, wie ernst das Thema Informationsschutz wirklich sein kann. Ich höre immer wieder von Unternehmen und Behörden, die sich nicht vorstellen können, warum gerade sie ausspioniert werden sollten. Ein Beispiel aus der Praxis habe ich hier selbst für die Nachwelt exemplarisch festgehalten.
Interview mit Stefan Becker
Der Kölner Stadtanzeiger hat heute einen Artikel über KHK Stefan Becker veröffentlicht, der mich bei meinem Buchprojekt unterstützt hat:
Ein typischer Arbeitstag kann damit beginnen, dass sich der Administrator des Netzwerks eines mittelständischen Unternehmens Weiterlesen…
Nachtrag zum Kreditkartenklau bei Guidance
Ich weiss nicht, ob sich einige Leser noch errinnern. Ende letzten Jahres sind Server des Herstellers der Forensiksoftware EnCase kompromittiert worden. Dabei wurden dort gespeicherte Kunden- und Kreditkartendaten gestohlen. Laut Hersteller waren ca. 3800 Kunden betroffen. Pikanterweise wurden auf dem betroffenen System nicht nur die Kreditkartendaten gespeichert, sondern auch die zugehörigen Prüfnummern. Ich denke mal eine Corporate Card des FBI hat bestimmt eine höhere Kreditlinie und stellt ein lohnendes Ziel dar. 😉
Ich erfuhr von dem Vorfall erst mehrere Tage später über einen Brief, da ich auch betroffen war: Weiterlesen…
neue Version von Mount Image Pro
GetData Software hat eine neue Version von Mount Image Pro veröffentlicht. Wir setzen Mount Image Pro selbst gelegentlich ein, da es eine einfache und schnelle Möglichkeit ist, von einem Windows Analysesystem auf Datenträgerimages zuzugreifen. Mount Image Pro ermöglicht das Mounten von EnCase Images, Weiterlesen…
In eigener Sache: Was soll der Mist?
Nach dem dieses und auch mein privates Blog geschonneck.com bei punish-punisher und Ableger als „moralisch bedenklich“ veröffentlicht wurde, werde ich von den Betreibern nun mit ominösem Trackbackspam zugeschüttet. Genau wie diese und diese und diese Kollegen, Weiterlesen…
IP-Adressen immer prüfen
Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.
Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…