Vluchtige FIS september 25, 2006
Posted by Gertjan in Forensisch Informatie Systeem.add a comment
Forensisch onderzoek in geheugen op servers kan veel relevante informatie opleveren voor forensisch onderzoek, evenals het onderzoek van geheugen uit live systemen, (die gaan niet uit) en op live systemen.
Is dit correct om te doen in het kader van het FIS, is het uitvoerbaar op een client-server omgeving, of moet je hiervoor naar een thinclient omgeving?
Wellicht is het voor een FIS praktischer om te werken vanuit een thinclient omgeving. Hierbij wordt op een centrale server(farm) gewerkt en gaat er slechts KVM informatie over de (versleutelde) lijn. Mogelijk zullen omgevingen waar sterke behoefte bestaat aan een FIS overgaan tot het thinclient principe. Vaak was dit al functioneel zo ingeregeld door bijvoorbeeld, via mandatory policies aangevuld met discretionary policies, de functionaliteit op de werkplekken te beperken. Vanuit kostenoogpunt bekeken is het dan praktisch over te gaan tot een centrale verwerking. Hiervoor is aan de clientzijde minder zware hardware nodig, die ook nog eens veel minder kwetsbaar is voor fouten in het besturingssysteem.
Daarnaast is het forensisch pragmatisch om alles centraal op te slaan, zelfs het klembord draait op de server. Memory dumps waar forensisch relevant materiaal in staat kunnen relatief eenvoudig worden opgeslagen en bestudeerd.
In hoeverre dit haalbaar is in het kader van het FIS vraag ik mij af – technisch vraagt dit nogal wat inspanningen om memory dumps regelmatig te maken en structureel veilig op te slaan. Daarnaast ben ik ook benieuwd of hiermee de grenzen met de Wbp en de EVRM niet worden overschreden. Effectief komt dit neer op een continue bespionering van medewerkers – immers, vrijwel iedere toetsaanslag wordt geregistreerd. Onder bijzondere omstandigheden zal men hiermee akkoord gaan, maar voor dagelijks gebruik gaat deze wijze van registratie echt te ver, zelfs als de medewerkers op voorhand worden geinformeerd.
Kooi van Faraday in portefeuille september 20, 2006
Posted by Gertjan in Achtergrond, Technisch.add a comment
De combinatie van ducttape en aluminiumfolie (kijk ook hier) heeft een producent van portefeuilles geïnspireerd tot het ontwerpen van nette, RFID bestendige, hoesjes.
Groeiende FIS september 18, 2006
Posted by Gertjan in Forensisch Informatie Systeem.add a comment
Nieuwe ontwikkelingen op het gebied van software en communicatie brengen nieuwe mogelijkheden voor gebruikers om te communiceren met de buitenwereld, zonder dat er invloed of controle kan worden uitgeoefend op de inhoud van de datastromen. Hierbij gaat het bijvoorbeeld om VOIP (Voice over IP, zoals Skype), IM (instant messaging, zoals MSN e.d.) en VPN (Virtual Private Network) technieken, waarbij een tunnel met een server aan de buitenzijde (buiten de corporate firewall) wordt opgebouwd. Daarnaast ontstaat binnen bedrijven de behoefte aan beveiligd intern verkeer, tussen applicaties of tussen servers. Dit wordt mede ingegeven door de toenemende mate van samenwerking met andere organisaties. Een bedrijf heeft dan een sterkere behoefte aan veilige interne communicatie, waar zeker geen derden bij kunnen meekijken.
Een FIS moet in deze veranderende behoeften kunnen voorzien en zonder al te veel moeite hierop kunnen inspelen. Dat wil zeggen dat de FIS applicatie eenvoudig schaalbaar moet zijn en de registratie van nieuwe communicatiestromen snel moet kunnen borgen.
Voor server2server communicatie hoeft dit technisch niet ingewikkeld te zijn: een (software)node op de server voordat de encryptie plaatsvind zou al genoeg zijn. Bij end2end versleutelde verbindingen (zoals VOIP) moeten er structurele veranderingen worden aangebracht. Tot op heden is bij het ontwerp van het FIS uitgegaan van centrale logging op de centrale servers. Dit was ook het geval bij e-mail, hierbij wordt tenslotte gebruik gemaakt van een of meer centrale mailservers.
Bij VOIP betreft het een veel op veel relatie, waarbij iedere interne gebruiker verbinding kan maken met iedere eveneens interne maar ook externe gebruiker. Als hierbij gebruik wordt gemaakt van een centrale (corporate) server (PABX?) is er geen significante wijziging in het FIS nodig. Indien de communicatieserver buiten de eigen omgeving staat, zoals bij Skype het geval is, veranderd het beeld geheel. Eigenlijk heeft een organisatie maar twee mogelijkheden: Skype (en soortgelijke protocollen) verbieden en een controle op naleving van dit verbod uitvoeren, of VOIP inbouwen in het FIS. Omdat een Skype-verbinding (en andere VOIP protocollen) bij de eindgebruiker begint met het opbouwen van een versleutelde tunnel, waarna de communicatie – nogmaals versleuteld – wordt uitgevoerd, is centrale FIS logging niet haalbaar (en in ieder geval niet leesbaar).
Op de werkstations bij de eindgebruiker zal een aansluiting voor het FIS moeten worden aangelegd. Hierdoor wordt het mogelijk vast te leggen welke gebruiker met wie (intern of extern) een communicatieverbinding heeft opgezet, op welk tijdstip en hoe lang deze verbinding bleef bestaan.
Inhoudelijke logging van het verkeer is onderhevig aan de Wbp, hetgeen in eerdere artikelen op dit blog uitgebreid is besproken.
Cybercrime wetgeving in leesbare vorm september 8, 2006
Posted by Gertjan in Juridisch.add a comment
Per 1 september 2006 is de uit 1993 stammende wetgeving over computercriminaliteit of ook wel cybercrime ingrijpend veranderd. Met name is de definitie van hacken (computervredebreuk) uitgebreid: elk opzettelijk en wederrechtelijk binnendringen in computersystemen strafbaar, ook als daarbij geen beveiliging wordt gekraakt.
De wijzigingen als gevolg van de wet computercriminaliteit II worden op leesbare wijze uitgelegd op deze site.
Er worden trouwens wel meer leuke dingen helder uitgelegd, kijk ook eens op de voorpagina.
Obsolete hardware september 7, 2006
Posted by Gertjan in Achtergrond, Technisch.add a comment
Austrian Teen’s Captor Used Old Computer
– By WILLIAM J. KOLE, Associated Press Writer
Tuesday, September 5, 2006
(09-05) 12:09 PDT VIENNA, Austria (AP) —Police combing through the house where Natascha Kampusch was held captive for 8 1/2 years said Tuesday they made an unusual discovery: Her captor, a communications technician, used an obsolete computer — and his odd choice now threatens to complicate their investigation.
Maj. Gen. Gerhard Lang of the Federal Criminal Investigations Bureau said kidnapper Wolfgang Priklopil, who killed himself by jumping in front of a train within hours of Kampusch’s escape on Aug. 23, relied exclusively on a Commodore 64 computer — a model popular in the 1980s but now considered an antique.
Lang told reporters the outmoded computer would complicate investigators’ efforts to transfer files for closer examination later, saying it would be difficult “to transmit the data to a modern computer without loss.”
In een bedrijfsomgeving is dit natuurlijk ook een issue: backups van oude hardware moeten ook kunnen worden uitgelezen. Voor een FIS geldt dat nog veel sterker – wat heb je aan een backup als je de informatie niet meer kunt benaderen. Het geschetste voorbeeld is wel extreem, maar bij een systeem migratie van bijvoorbeeld VMS naar Oracle, of zelfs tussen opvolgende versies van Oracle, kunnen deze problemen al de kop opsteken.
Een FIS is pas een FIS als informatie ook langere tijd beschikbaar is. Bij het ontwerp moet er al rekening mee gehouden worden dat apparatuur langer beschikbaar dient te zijn dan voor de productie noodzakelijk is.
RFID en Privacy Management september 1, 2006
Posted by Gertjan in Achtergrond, Technisch, Tegen.add a comment
Hier staan een paar interessante verwijzingen naar een apparaat (de RFID Guardian) dat het mogelijk maakt de informatie van RFID tags te manipuleren. Zoals het aangeven aan een RFID lezer dat er géén tags zijn, het emuleren van tags (spooktags?) of het dupliceren van tag-informatie.
Zoals ook al wordt aangegeven kan dit natuurlijk gevolgen hebben voor overheden die RFID in willen zetten voor welke doeleinden dan ook.
Forensische informatiesystemen, een open boek? 