[url=http://blogs.csoonline.com/files/Forensic%20Report.pdf]Technische
analyse van de laptop [/url](PDF)

bedankt voor de link ctrlaltdelete , best een interessante
analyse om zo door te lezen :)

Lekkere werkgever. Op basis waarvan blijven ze erbij dat hun beslissing juist
was om deze man te ontslaan ? Ik zou als ik hem was deze werkgever
aanklagen, en een naar Amerikaanse maatstaven fikse schadevergoeding
eisen.

Er worden de laatste weken spamberichten verspreidt met een link naar een
gehackte web server, die een kinderporno-achtig plaatje toont. Het is niet echt
kinderporno, maar een jaren zeventig vakantiekiekje van een jong meisje op
een naaktstrand. Er staan suggestieve teksten onder, in een nagemaakte
PornTube omgeving.

De pagina geeft een valse foutmelding: Video ActiveX Object Error. Your
browser cannot display this video file. In een javascript loop wordt een
nepupdate aangeboden. Afbreken lukt niet en de browser normaal afsluiten
lukt ook niet. Als men uiteindelijk kiest voor installatie blijkt de update een
bestand te zijn met de naam video.exe. Dit bestand is een downloader voor
malware. Het is mogelijk de download te stoppen door op cancel te drukken,
maar velen zullen waarschijnlijk door de gedwongen installatie daar niet voor
kiezen.

Dan is er geen malware, en toch (kinder)porno op de computer. Ik vraag me af
wat de verdediging gaat zijn. Zou het niet logischer zijn dat de aanklager
aannemelijk dient te maken dat kinderpornoplaatjes handmatig zijn
verzameld?

Overigens, het Examination Report van dit geval geeft duidelijk blijk van een
onderzoeker die geen verstand heeft van malware-analyse, maar
klaarblijkelijk weerhoudt dit hem er niet van vergaande conclusies te trekken.
Dat heeft impact op het betrouwbaarheidsgehalte van de stellige beweringen
gedaan in de rest van het document.

Treurig dat op basis van dergelijk onderzoek rechtspraak bedrijft. Hopelijk is
dat in Nederland beter geregeld, maar ik vrees het ergste.

Firewall stond niet aan op de laptop de virusscanner deed het niet goed de
laptop haalde ook niet de laatste software updates binnen.

Deze meneer heeft zeker een goede reden om het berdijf aan te klagen.

onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc

Door Anoniem op dinsdag 17 juni 2008 14:16


quote:
--------------------------------------------------------------------------------

onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
--------------------------------------------------------------------------------

Eerst maar even de analyse lezen voordat je een oordeel velt tenministe als je
kunt lezen

had die man toch nog geluk. in dit land mag je de rotzooi
niet eens bezitten, dan pakkenze je al op. en dan wordt er niet eens gekeken
of een virus die viese plaatjes heeft gedownload. wie ze heeft, die hangt.

Het is maar te hopen dat het jouw nooit gebeurt, want het
blijkt dus wel te zijn gebeurt. Zo zie je maar dat zelfs als
je wordt vrijgesproken en bewezen is dat het niet jouw
schuld is, je voor je verdere leven enorm ben gebrandmerkt.
Denk aan de twee van Putten...

Ja, dat idee kreeg ik toch ook.
M.i. een foute conclusie. Men kan niet zeggen of die addressen wel of niet ingetypt zijn. Ze hebben er alleen geen aanwijzingen voor kunnen vinden..

En ik denk dat dit daar wel iets mee te maken heeft:

Maar goed, ook in dit geval is men onschulding tot het tegendeel bewezen is. Aangezien dit ook nog eens "beyond a reasonable doubt" moet gebeuren is'ie waarschijnlijk vrijgesproken wegens gebrek aan bewijs.

De opleiding die ik doe is voornamelijk voor dit soort zaken.

Particulier digitaal onderzoeker.

Kan jullie vertellen dat het beste ingewikkeld is om dit
soort praktijken te onderzoeken. Veel laat ik niet kwijt
omdat, hoe minder weten hoe te onderzoeken des te beter.

Ik vind het verhaal van "virus" ook wat aan de vage kant.
Maar het moet toch redelijk simpel te reproduceren zijn:
haal de cache leeg. Hang de laptop aan het internet. Binnen
een uur of zo moet er toch wel het een en ander aan "nieuwe"
KP binnen zijn gekomen...

Doe de jongens van Fox de groeten van me ;)

bedankt voor de link! ik zit nu in opleiding voor forensisch
expert en het is wel leuk om een keer een echt rapport ervan
te zien!

Heren hierboven die menen dat er "natuurlijk" wel
kinderporno is bekeken: LEES eerst eens dat forensische
rapport, met name die laatste twee alinea's, die dienst doen
als samenvatting:


With only 3 hours spent on the Laptop by the DIA, they could
not possibly have conducted a thorough investigation into
the activity that may have caused the pornographic material
that appeared on Michael Fiola’s Laptop. I have spent over
100 hours conducting a thorough forensic examination of the
Laptop in order to reach the preliminary results and
conclusions contained in this report and my investigation
continues. It appears that the only investigation by the DIA
was to copy the temporary internet files and confirm that
child pornography existed on the computer when it was in
Michael Fiola’s possession.

If the DIA had reviewed the Symanec logs, they would have
discovered the numerous viruses and Trojans attacking the
Laptop for four and a half months without resolution; that
log files were missing or incomplete; that virus definition
downloads were failing; that virus scans were only taking 30
seconds to complete. If the DIA had reviewed the SMS logs
they would have discovered the numerous errors that began
the moment Michael Fiola received the Laptop thereby leaving
the Laptop unmonitored and unmaintained for four and a half
months. If the DIA had reviewed the temporary
Internet files they would have discovered suspicious
activity occurring day after day including the appearance of
pornography with no preceding event; websites being cached
to the hard drive at the rate of 20 to 40 per minute;
JavaScript files with malicious code.


Broddelwerk dus. Pure bagger. Als je had gelezen had je dat
ook kunnen zien. Eerst lezen, dan je mening klaarhebben
graag. Niet andersom.

Profileer jezelf toch niet als expert op het gebied van. Die
opleiding gaat niet eens in op bijvoorbeeld het uitzoeken
van virussen in dit verband, laat staan het reverse
engineeren van dergelijke virussen om daadwerkelijk vast te
kunnen stellen dat het doet wat in dit geval is gebeurd.

Ik werk voor een groot computerbedrijf en in de reparatiecentra komen we
regelmatig "trage/instabiele/internet werkt niet"-systemen tegen die dan
blijken geinfecteerd zijn door één tot wel honderd virussen, terwijl er een
virusscanner geinstalleerd staat. Deze virussen zorgen er
bijna altijd voor dat bijna de hele schijf volstaat met verborgen fileshares:
muziek, software, de hele handel, en mogelijk dus ook kinderporno.

Eens.. Maar google zoek resultaat pagina's? In de cache van de browser?

Persoonlijk denk ik dat hij het wel degelijk heeft gedaan en niet zo'n digibeet is als z'n verdediging heeft doen voorkomen. Dit "bewijs" is echter niet voldoende gebleken aangezien je het dus vrij eenvoudig aannemelijk kan maken dat het door malware is gekomen.

Bedenk dat zijn verdeding niet hoeft aan te tonen dat hij onschuldig is. Twijfel zaaien is voldoende.

Dat is exact een majeur probleem van het rapport. Onkunde op het gebied van
malware en talloze ongefundeerde (en soms ridicuul vergaande) conclusies.
Malware toon je niet aan met behulp van een scanner, maar met echt
onderzoek. Reverse engineeren is overigens niet eens nodig.

Het is ook een voorbeeld van naar-een-doel-toewerken-rapport.

Het zou op
prijs gesteld worden wanneer je dit wilt onderbouwen. Als je
van mening bent dat belangrijke aandachtspunten worden
gemist, dan mag je daar best over in detail treden, zodat
daar bij toekomstig vergelijkbare onderzoeken rekening mee
gehouden kan worden. Dat lijkt mij in dat geval wel zo
belangrijk.
De focus van het rapport
ligt vooral op het indirecte bewijs van malware: het gevolg.
Welk mens kan bijvoorbeeld 20 tot 40 website's per minuut
bezoeken? Rekeninghoudend met de voor de (aard van de)
organisatie te verwachten staat van de laptop op het moment
van uitreiking aan de werknemer is onbegrijpelijk dat
de corporate edition antivirus protection software niet
functioneerde en Systems Management Server niet
functioneerde en foutief geconfigureerd bovendien waardoor
de laptop niet gecontroleerd en onderhouden kon worden, maar
er pas na maanden een bel ging rinkelen bij het ontvangen
van een rekening voor een abonnement op wireless internet.
Onverwacht zijn eveneens de onvolledige Windows registratie
en de (overbodig) aangemaakte actieve (test) useraccounts
waarvan uitsluitend de werkmappen zijn verwijderd.
Opmerkelijk zijn dat zijn stuk voor stuk zaken die een
gebruiker normaliter niet kan beïnvloeden, wanneer een
zakelijke laptop door een organisatie in een ten behoeve van
het werk te verwachten staat wordt meegegeven.

Het vermogen om een
zo objectief mogelijk rapport te schrijven, wat opzich een
doel is waar naartoe gewerkt kan worden, is niet iedereen
gegeven.

maar ondertussen zit het managment van het bedrijf WEL
lekker pron en co te downloaden en te fappen achter hun buro.