image

Internetoplichter mede veroordeeld door bewijs in pagefile.sys

donderdag 9 augustus 2018, 16:58 door Redactie, 22 reacties

Een Nederlandse man die een bedrijf voor ruim tweeduizend euro oplichtte is mede veroordeeld op basis van bewijs dat in het bestand pagefile.sys en "unallocated clusters" op de harde schijf van zijn laptop is aangetroffen, zo blijkt uit een vonnis van de Rechtbank Den Haag.

Volgens de rechtbank heeft de man in 2016 op naam van een eenmanszaak een internetbestelling op rekening geplaatst bij het gedupeerde bedrijf. Het ging voor 2300 euro aan keukenmengkranen en boilers, die vervolgens via Marktplaats werden verkocht. De man kon de bestelling op rekening plaatsen omdat hij over de inloggegevens van de eenmanszaak beschikte. Hoe hij deze gegevens had verkregen wordt niet duidelijk uit het vonnis.

Uit de gegevens van het gedupeerde bedrijf blijkt dat de verdachte de bestelling had geplaatst vanaf het ip-adres van zijn vader. De goederen werden vervolgens afgeleverd op een adres waar de verdachte de sleutel van had. Daarnaast leverde ook het forensische onderzoek naar de laptop bewijssporen op. Zo werden op verschillende plaatsen in het bestand pagefile.sys en de unallocated clusters op de harde schijf gegevens aangetroffen.

"De pagefile.sys is een bestand waarin delen van het RAM-geheugen worden geplaatst", aldus de uitleg in het vonnis, dat in het geval van de "unallocated clusters" laat weten dat het om (delen van) bestanden gaat die voorheen op de harde schijf aanwezig waren maar zijn verwijderd. Volgens de rechter is zowel in het bestand pagefile.sys als de unallocated clusters het vaak lastig om een context te verbinden aan de gevonden data, omdat er vaak alleen gedeeltes van de data worden teruggevonden.

Op meerdere locaties in pagefile.sys en de unallocated clusters werden echter gegevens aangetroffen, zoals de naam van de eenmanszaak en het bedrijf dat de goederen leverde, alsmede het KvK-nummer van de eenmanszaak. Ook werden details over de frauduleuze bestelling gevonden. De rechtbank achtte de verdachte uiteindelijk schuldig en veroordeelde hem tot een gevangenisstraf van 150 dagen, waarvan 116 dagen voorwaardelijk. De verdachte heeft al 34 dagen in voorarrest doorgebracht. Daarnaast moet hij een schadevergoeding aan de eenmanszaak en het bedrijf betalen.

Reacties (22)
09-08-2018, 23:33 door Anoniem
Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows? Het mag toch niet zo zijn dat het wisselbestand fragmenten achterlaat? Zo is elk Windows-systeem uit te lezen (als men wil).

Sorry, maar ik vind dit een veiligheidslek in Windows.
10-08-2018, 08:08 door spatieman
MS zou zeggen, een verborgen functie.
maar zorgwekkend is dit wel.
of dit is gedaan worden zodat het juist voor onderzoekers makelijker is om dingen te vinden (lees, NSA)
10-08-2018, 08:09 door [Account Verwijderd]
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows? Het mag toch niet zo zijn dat het wisselbestand fragmenten achterlaat? Zo is elk Windows-systeem uit te lezen (als men wil).

Sorry, maar ik vind dit een veiligheidslek in Windows.

Je kunt Windows zo instellen dat tijdens het afsluiten de pagefile.sys gewist wordt. Of ie dan ook fysiek helemaal weg is valt te betwijfelen. Geen idee of encryptie mogelijk is zoals bij de Linux swap partitie.
10-08-2018, 08:29 door Tha Cleaner - Bijgewerkt: 10-08-2018, 08:30
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows? Het mag toch niet zo zijn dat het wisselbestand fragmenten achterlaat? Zo is elk Windows-systeem uit te lezen (als men wil).

Sorry, maar ik vind dit een veiligheidslek in Windows.

Daarom zijn er al jaren registry mogelijkheden om dit uit te zetten.
https://winaero.com/blog/clear-pagefile-shutdown-windows-10/


Door spatieman: MS zou zeggen, een verborgen functie.
maar zorgwekkend is dit wel.
of dit is gedaan worden zodat het juist voor onderzoekers makelijker is om dingen te vinden (lees, NSA)
Helemaal geen verborgen functie. De optie om dit te doen, bestaat al jaren en is gewoon gedocumenteerd. In NT40 SP5 is deze volgens mij toegevoegd.
NSA verdenkingen vertellen meer over jouw gedachte gang dan feiten.

Door linux4:Geen idee of encryptie mogelijk is zoals bij de Linux swap partitie.
https://www.tenforums.com/tutorials/77782-enable-disable-virtual-memory-pagefile-encryption-windows-10-a.html
Wel Windows 10..... Anders zou je bitlocker nog kunnen gebruiken.
10-08-2018, 08:48 door Anoniem
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows?
Zoek op "encrypt pagefile.sys" en het blijkt dat die versleuteld kan worden. En in Linux kan dat met de swappartitie ook.

Waarom staat dat niet standaard aan? Tja, waarom werkt een webbrowser niet standaard in privémodus? Waarom maken image viewers standaard thumbnails aan? Waarom gaat een component in KDE ongevraagd je hele home directory indexeren? Omdat heel veel in die systemen primair ontworpen is om dingen makkelijker terug te vinden en dingen de volgende keer sneller te kunnen tonen of laden. Bij de vraag of er dingen tussen kunnen zitten die anders behandeld moeten worden omdat ze vertrouwelijk zijn wordt lang niet altijd stilgestaan.
10-08-2018, 09:07 door Anoniem
Door spatieman: MS zou zeggen, een verborgen functie.
maar zorgwekkend is dit wel.
of dit is gedaan worden zodat het juist voor onderzoekers makelijker is om dingen te vinden (lees, NSA)

Het is geen verborgen functie. Het is hooguit een performance optimalisatie.
Je zou natuurlijk ieder diskblok wat ooit gebruikt is om informatie te bewaren en wat vrijgegeven wordt (incl in de pagefile)
kunnen vullen met 00 of een random waarde, maar dan zou het deleten van bestanden ineens net zo veel load op
het systeem geven als het schrijven van bestanden van die size. Dat willen gebruikers natuurlijk niet.
Bovendien speelt dit issue niet alleen op operating system nivo maar ook in de applicaties. Als je bijvoorbeeld een
mailtje delete zal dat in de pst file (of wat je mail applicatie ook gebruikt) meestal ook niet meteen uitgepoetst worden,
het verdwijnt alleen uit de boekhouding intern in dat bestand en kan er met forensische software nog gewoon uit
gehaald worden. Idem voor een entry in een database, de registry, etc.
Het is gewoon algemeen gebruikelijk in computers om informatie die "verwijderd" is alleen maar van een "deleted"
bitje te voorzien of de pointer erheen vanuit een directory, key tree, e.d. te verwijderen maar de informatie zelf gewoon
te laten staan. Er wordt hooguit de moeite genomen om deze informatie voor de gebruiker (niet zijnde admin)
ontoegankelijk te maken, maar daar blijft het wel bij.

Vervelend als je crimineel bent, ja. Maar niet veel anders dan wanneer je fysiek op pad gaat want dan laat je ook
allerlei sporen na.
10-08-2018, 09:15 door [Account Verwijderd]
Door Tha Cleaner:
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows? Het mag toch niet zo zijn dat het wisselbestand fragmenten achterlaat? Zo is elk Windows-systeem uit te lezen (als men wil).

Sorry, maar ik vind dit een veiligheidslek in Windows.

Daarom zijn er al jaren registry mogelijkheden om dit uit te zetten.
https://winaero.com/blog/clear-pagefile-shutdown-windows-10/


Door spatieman: MS zou zeggen, een verborgen functie.
maar zorgwekkend is dit wel.
of dit is gedaan worden zodat het juist voor onderzoekers makelijker is om dingen te vinden (lees, NSA)
Helemaal geen verborgen functie. De optie om dit te doen, bestaat al jaren en is gewoon gedocumenteerd. In NT40 SP5 is deze volgens mij toegevoegd.
NSA verdenkingen vertellen meer over jouw gedachte gang dan feiten.

Door linux4:Geen idee of encryptie mogelijk is zoals bij de Linux swap partitie.
https://www.tenforums.com/tutorials/77782-enable-disable-virtual-memory-pagefile-encryption-windows-10-a.html
Wel Windows 10..... Anders zou je bitlocker nog kunnen gebruiken.

Al met al was dit eenvoudig te voorkomen geweest. De oplichter was niet zo handig met computers blijkbaar. Maar het was natuurlijk het allerbeste geweest als deze man niemand opgelicht had. Nu is hij blijkbaar terecht veroordeeld door hard bewijs.
10-08-2018, 09:18 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows?
Zoek op "encrypt pagefile.sys" en het blijkt dat die versleuteld kan worden. En in Linux kan dat met de swappartitie ook.

Waarom staat dat niet standaard aan? Tja, waarom werkt een webbrowser niet standaard in privémodus? Waarom maken image viewers standaard thumbnails aan? Waarom gaat een component in KDE ongevraagd je hele home directory indexeren? Omdat heel veel in die systemen primair ontworpen is om dingen makkelijker terug te vinden en dingen de volgende keer sneller te kunnen tonen of laden. Bij de vraag of er dingen tussen kunnen zitten die anders behandeld moeten worden omdat ze vertrouwelijk zijn wordt lang niet altijd stilgestaan.

Encrypten kost extra cpu tijd. Als je genoeg RAM hebt wordt de Linux swap partitie overigens zelden gebruikt, geen idee hoe dit bij Windows en de pagefile.sys is.
10-08-2018, 09:19 door Tha Cleaner
Door linux4:
Al met al was dit eenvoudig te voorkomen geweest.

Klopt gewoon niet oplichten......
10-08-2018, 09:37 door Anoniem
Door linux4: Als je genoeg RAM hebt wordt de Linux swap partitie overigens zelden gebruikt, geen idee hoe dit bij Windows en de pagefile.sys is.
Hetzelfde. Je kunt er ook, net als bij Linux, voor kiezen om er helemaal geen te hebben.
Dan krijg je wel een waarschuwing dat het dan niet mogelijk is een memory dump te maken bij kernel panic, maar who cares?
Het heeft zeker voordelen om dit te doen (als je voldoende geheugen hebt) want je voorkomt daarmee ook lange pijnlijke wachttijden als er wat fout gaat in het systeem waardoor alle geheugen opgesoupeerd wordt. In plaats van dat het systeem eerst begint met alles naar de swap/pagefile te schrijven krijg je dan sneller een foutcode "geen memory meer".
10-08-2018, 11:58 door Anoniem
Door Tha Cleaner:

Daarom zijn er al jaren registry mogelijkheden om dit uit te zetten.
https://winaero.com/blog/clear-pagefile-shutdown-windows-10/

Uhm... Correctie: dit zit er al in sinds Windows 7...
10-08-2018, 12:22 door Anoniem
Door Anoniem:
Door Tha Cleaner:

Daarom zijn er al jaren registry mogelijkheden om dit uit te zetten.
https://winaero.com/blog/clear-pagefile-shutdown-windows-10/

Uhm... Correctie: dit zit er al in sinds Windows 7...
Dat kon in NT4 al. In die tijd was het ook heel belangrijk (want super trage disken) om de pagefile goed te sizen.

Key: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
Session Manager\Memory Management]
Value Name: ClearPageFileAtShutdown
Data Type: REG_DWORD (DWORD Value)
Value Data: (0 = disabled, 1 = enabled)
10-08-2018, 14:05 door Anoniem
Door Anoniem: Ben ik de enige die vindt dat het uitlezen van pagefile.sys zoals dat gedaan is een serieuze veiligheidsbug is in Windows? Het mag toch niet zo zijn dat het wisselbestand fragmenten achterlaat? Zo is elk Windows-systeem uit te lezen (als men wil).

Sorry, maar ik vind dit een veiligheidslek in Windows.

Als je je partitie waar je OS op staat niet versleuteld dan zit iemand met fysieke toegang tot je systeem binnen 5 minuten als administrator ingelogd op je PC, dat wil je dus versleutelen. Is heel Windows lek of heeft de gebruiker iets niet goed beveiligt?
10-08-2018, 16:17 door Anoniem
Wel een eye-opener.
Ik heb eerlijk gezegd er nooit aan gedacht dat er oude leesbare informatie in pagefile.sys blijft staan, misschien wel inlogcodes/wachtwoorden of andere gevoelige informatie.

En hoe zit het met hibernate.sys of hiberfil.sys?
Ik heb pagefile.sys en hiberfil.sys vanaf een zeker moment in ieder geval altijd verwijderd uit backups,
maar dan met reden dat het ruimte inneemt op het backup medium
en omdat het extra tijd kost bij een restore.
10-08-2018, 17:50 door [Account Verwijderd]
Door Anoniem: Wel een eye-opener.
Ik heb eerlijk gezegd er nooit aan gedacht dat er oude leesbare informatie in pagefile.sys blijft staan, misschien wel inlogcodes/wachtwoorden of andere gevoelige informatie.

En hoe zit het met hibernate.sys of hiberfil.sys?
Ik heb pagefile.sys en hiberfil.sys vanaf een zeker moment in ieder geval altijd verwijderd uit backups,
maar dan met reden dat het ruimte inneemt op het backup medium
en omdat het extra tijd kost bij een restore.

Je gaat toch niet een pagefile of hibernate file naar je backup schrijven? Zijn toch systeem bestanden? Hoe komen die in je backup terecht? Een restore is nutteloos naar mijn mening.
10-08-2018, 19:47 door Anoniem
Door linux4:
Door Anoniem: Wel een eye-opener.
Ik heb eerlijk gezegd er nooit aan gedacht dat er oude leesbare informatie in pagefile.sys blijft staan, misschien wel inlogcodes/wachtwoorden of andere gevoelige informatie.

En hoe zit het met hibernate.sys of hiberfil.sys?
Ik heb pagefile.sys en hiberfil.sys vanaf een zeker moment in ieder geval altijd verwijderd uit backups,
maar dan met reden dat het ruimte inneemt op het backup medium
en omdat het extra tijd kost bij een restore.

Je gaat toch niet een pagefile of hibernate file naar je backup schrijven? Zijn toch systeem bestanden? Hoe komen die in je backup terecht? Een restore is nutteloos naar mijn mening.
Als je een integrale back-up van je systeem maakt zit alles daarin, inclusief dit soort systeembestanden. De meeste back-up-software zal ze echter links laten liggen.
10-08-2018, 20:55 door karma4
Elk OS kent een paging / swapping mechanisme het maken van memory / systeem dumps als er wat onderuit gaat.
Je moest eens weten wat er dan naar boven kan komen. Gewoon klassiek uit de oude doos.
10-08-2018, 21:05 door Anoniem
Hup Crybercrime unit Hup! Swapfiles kun je uitzetten, ook onder Windows.
10-08-2018, 21:15 door Anoniem
Ik heb zomaar het vermoeden dat het juist om de "unallocated clusters" gaat, je weet wel een bestand verwijderen wat helemaal niet verwijderd wordt. Er wordt slechts een bitje gezet waardoor het specifieke filesysteem denkt dat het bestand weg is maar wat terug gehaald kan worden met talloze tools.
11-08-2018, 08:16 door Anoniem
Door Anoniem: Ik heb zomaar het vermoeden dat het juist om de "unallocated clusters" gaat, je weet wel een bestand verwijderen wat helemaal niet verwijderd wordt. Er wordt slechts een bitje gezet waardoor het specifieke filesysteem denkt dat het bestand weg is maar wat terug gehaald kan worden met talloze tools.

Daarom is encrypten de beste oplossing, dan is er nooit iets terug te vinden. Of helemaal geen swap/pagefile gebruiken als je voldoende RAM hebt.
11-08-2018, 14:25 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb zomaar het vermoeden dat het juist om de "unallocated clusters" gaat, je weet wel een bestand verwijderen wat helemaal niet verwijderd wordt. Er wordt slechts een bitje gezet waardoor het specifieke filesysteem denkt dat het bestand weg is maar wat terug gehaald kan worden met talloze tools.

Daarom is encrypten de beste oplossing, dan is er nooit iets terug te vinden. Of helemaal geen swap/pagefile gebruiken als je voldoende RAM hebt.
Als jullie de eerste zin van het artikel nog eens lezen dan zie je dat het om zowel unallocated clusters als om pagefile.sys ging.

In pagefile.sys zitten geen unallocated clusters, clusters die onderdeel uitmaken van welke file dan ook zijn namelijk per definitie allocated. Voor wat in unallocated clusters achterblijft heb je niets aan een versleutelde pagefile.sys, daarvoor moeten ook je bestanden of de hele partitie versleuteld worden.
12-08-2018, 13:53 door Anoniem
Door karma4: Elk OS kent een paging / swapping mechanisme het maken van memory / systeem dumps als er wat onderuit gaat.
Je moest eens weten wat er dan naar boven kan komen. Gewoon klassiek uit de oude doos.
Linux swap is versleuteld en absoluut leeg na een restart. Heb er nooit fragmenten uit kunnen halen uit eerdere reboots.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.