Nieuws

Onderzoeker lanceert opensourcetool voor forensisch onderzoek

donderdag 6 juli 2017, 13:46 door Redactie, 5 reacties

Beveiligingsonderzoeker Vitaly Kamluk heeft een opensourcetool voor remote forensisch onderzoek uitgebracht die bedoeld is voor andere onderzoekers, politie en bedrijven. Kamluk is werkzaam voor anti-virusbedrijf Kaspersky Lab, maar heeft deze tool op eigen titel ontwikkeld en gepubliceerd.

Via Bitscout 2.0 is het mogelijk om via ssh en vpn op afstand toegang tot systemen te krijgen en die te onderzoeken. Een eigenaar van een gehackt of besmet systeem brandt het programma op een cd en start vervolgens het getroffen systeem van deze cd. Zo kan er bijvoorbeeld een forensische kopie van een harde schijf worden gemaakt zonder dat de forensisch onderzoeker ter plekke hoeft te zijn. Ook kan de tool worden gebruikt om bijvoorbeeld malware zoals rootkits van systemen te verwijderen.

Kamluk stelt dat bij het gebruik van soortgelijke tools vertrouwen een belangrijke rol speelt, omdat de eigenaar van het systeem iemand anders op afstand toegang geeft. Om deze vertrouwenskwestie op te lossen beperkt Bitscout 2.0 de toegang die een expert tot de hardware heeft en monitort alles wat hij of zij doet. Zo heeft de expert die op afstand is ingelogd alleen rootrechten binnen een virtuele 'unprivileged' container. De expert kan daarnaast alleen maar de harde schijven benaderen waar de eigenaar van het systeem toegang toe geeft.

Het is wel mogelijk voor de expert om aanvullende software te installeren en systeembestanden aan te passen, zonder het risico dat het hostsysteem of de gegevens op de harde schijf worden aangepast. Alle aanpassingen vinden namelijk in het werkgeheugen van het systeem plaats. Voor monitoring worden alle remote sessies opgeslagen en buiten de container van de expert bewaard. "Dit biedt een goed scheidingsniveau en een manier om het forensisch proces voor leerdoeleinden te reconstrueren of het bestaan van bewijs aan te tonen", aldus de onderzoeker. Bitscout 2.0 is te downloaden via GitHub.

Nieuwe versie populaire Mac-firewall Little Snitch beschikbaar

Creditcarddata bij populair systeem voor hotelreserveringen gestolen

Reacties (5)

06-07-2017, 14:21 door Anoniem

Ik vind beetje vreemd dat meneer zo'n onderzoekstool ontwikkeld onder eigen naam en niet gewoon onder kaspersky want die kunnen zo'n tool ook goed gebruiken om besmette systemen te onderzoeken. Hij heeft de kennis om e.e.a. te ontwikkellen vast ook bij kaspersky opgedaan. Maar het gevaar voor zo'n tool in handen van politie eb justitie is dat die tegen een verdachte (van bijv. KP) kan worden ingezet.Dat gaat alsvolgt:de politie hacked/besmet de pc of smartphone met malware en hoopt dat verdachte dan aangifte doet en als hij/zij dat doet wordt verteld dat er een tool is om de malware/hacking te achterhalen en of verdachte (die dus nog niet is aangehouden) en of verdachte daaraan wil meewerken. Weigert deze dan is hij (nog meer) verdacht,gaat ie akkoord dan gaan de forensische rechercheurs op zoek naar bewijzen tegen verdachte want de malware die op het apparaat staat hebben ze immers zelf erop gezet. Ik noemde even als voorbeeld een persoon verdacht van kp maar dit kan uiteraard ook iets heel anders betreffen.

06-07-2017, 15:15 door buttonius

Ik zou niet zomaar geloven dat een remote inspection tool waar de politie mee aan komt zetten mijn systeem op geen enkele manier modificeert.
Daarom krijgt de politie nooit mijn toestemming om aan mijn computers, telefoons of wat voor informatiedragers dan ook onderzoek te doen. Daarmee maak ik mezelf misschien verdacht, maar dat is dan maar zo. Als ze echt willen, moeten ze eerst de boel maar officieel in beslag nemen, in mijn aanwezigheid verzegelen en netjes bij het NFI laten onderzoeken.

Met het hackvoorstel kan de politie zelf bewijs hebben aangebracht dat ze vervolgens met wat voor tool dan ook "aantreffen".
Bewijs dat is aangetroffen op een computer of telefoon van een verdachte heeft door dat hackvoorstel minder overtuigingskracht; het hackvoorstel verschaft iedereen die bij de computer betrokken was toch iets van plausible deniability.

06-07-2017, 15:20 door Anoniem

Er gaat voor forensisch onderzoek niks boven fysieke toegang tot de server, ook i.v.m. bewijsmateriaal zal er altijd eerst een 1:1 kopie gemaakt worden van de aangesloten media en pas met de kopieën 'gewerkt' gaan worden.

Op zich een leuk tool maar om het nu meteen als 'forensisch' te bestempelen gaat me wel wat ver.

06-07-2017, 15:39 door Anoniem

@buttonius.

Als je aangever bent van gehackte systemen werk je toch mee met de politie?.
Je wilt toch immers dat de hacker gestraft wordt.

En ben je verdachte, dan komt de politie omstreeks 06.00 uur zonder kloppen bij je binnen, zet je in de boeien en voeren je af naar een bureau.
Dan gaat onder leiding van de rechter-commissaris de huiszoeking van start.
Jouw spulletjes worden netjes gelabeld, gaan naar een bureau en worden daar door een digitaal rechercheur onderzocht.
En ze hebben jouw toestemming niet nodig...

06-07-2017, 16:42 door buttonius

Door Anoniem: @buttonius.

Als je aangever bent van gehackte systemen werk je toch mee met de politie?.
Je wilt toch immers dat de hacker gestraft wordt.

En ben je verdachte, dan komt de politie omstreeks 06.00 uur zonder kloppen bij je binnen, zet je in de boeien en voeren je af naar een bureau.
Dan gaat onder leiding van de rechter-commissaris de huiszoeking van start.
Jouw spulletjes worden netjes gelabeld, gaan naar een bureau en worden daar door een digitaal rechercheur onderzocht.
En ze hebben jouw toestemming niet nodig...

Als ik zelf aangifte doe van een hack; dan is het natuurlijk redelijk om mee te werken aan forensisch onderzoek. Maar ook in dat geval zou ik ernstige twijfel hebben aan de bewijskracht van een tool dat op afstand van alles kan doen. Op zijn minst zou het een logboek moeten aanmaken van alle verrichte handelingen, zoveel mogelijk met cryptografische checksums van de betrokken bestanden.

En als ik verdachte ben dan zal de politie tevoren toestemming hebben gekregen van een officier van justitie o.i.d. voor een doorzoeking. Zonder dat laat ik ze niet binnen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Onderzoeker lanceert opensourcetool voor forensisch onderzoek

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren