08 Januar 2006

Tool: Unhide


Unhide ist ein forensisches Tool, um versteckte Prozesse und TCP/UDP-Ports oder auch weitere Verschleierungsmethoden von Rootkits oder LKMs aufzufinden. Mehr dazu auf www.security-projects.com.


05 Januar 2006

THE FARMER'S BOOT CD


THE FARMER'S BOOT CD: eine kostenpflichtige Boot CD, mit der forensische Analysen durchgeführt werden können. Eine von vielen Tool-Sammlungen, die auf dem Konzept der Live-CD beruhen. Sie ermöglicht (nach eigenen Angaben) das forensisch sicher Mounten von Laufwerken, die Datenanalyse sowie die Datensammlung von den gemounteten Laufwerken. Sicher einen Blick wert.

CyberSpeak 31.12.2005 veröffentlicht


Die aktuelle Ausgabe von Cyberspeak ist veröffentlicht worden. Wie immer aktuelle und informative Neuigkeiten für Forensiker. Diese Ausgabe bringt dazu ein Interview mit J. Kornblum über seine Arbeit an und mit Open Source Forensik Tools. Meine Empfehlung:

CyberSpeak: This podcast features an interview with Mr. Jesse Kornblum about his work with open source forensic tools.

04 Januar 2006

Network Attached Storage


Die aktuelle ct hat einen Artikel über NAS. Sollte man immer bedenken, wenn man Daten als Spuren sammelt. Zu gerne werden verteilte Daten bei der Sammlung übersehen oder ausgelassen. Mehr zu NAS: Network Attached Storage

Digital World Tokyo - Datenmengen werden zunehmen


Schon heute haben Forensiker das Problem, daß sich Untersuchungen auf immer größere Datenmengen beziehen. Waren früher alle relevanten Informationen auf Papier oder in Großrechnern und den dazugehörigen Datenspeichern konzentriert, müssen heute die relevanten Daten zuerst aus ungeheuren Datenmengen extrahiert werden. Neben den PCs werden hier auch z.B. Handys und iPods immer relevanter. Gleiches gilt für PDAs und mobile Speichergeräte.

In einem Bericht zur Digital World Tokyo zeigt Cornice neue 8Gb and 10Gb mini HDDs in 1 Zoll Größe. Diese sind u.a. für Handys vorgesehen.

Neben der technischen Herausforderung, Daten und Informationen zu gewinnen und zu dokumentieren, werden wir künftig immer mehr Zeit damit verbringen, beweisrelevante Daten überhaupt zu finden.

03 Januar 2006

Blooover II freigegeben


Auf dem aktuellen CCC-Kongress wurde Blooover II freigegeben. Benutzung auf eigene Gefahr und nur mit Umsicht!

Blooover II is the successor of the very popular application Blooover. After 150000 downloads of Blooover within the year 2005 (since the initial release in at 21c3 in December 2004), a new version of this mobile phone auditing toool is on its ready. Besides the BlueBug attack, Blooover II supports the HeloMoto attack (which is quite close to the BlueBug attack), the BlueSnarf and the sending of malformed objects via OBEX.

Vor allem für den Nachweis der Verwundbarkeit von Mobiltelefonen und für Lege-artis-Versuche war schon Blooover (die erste Version) sehr gut zu gebrauchen.

UPDATE - Vorgehen der Musikindustrie Massenstrafanzeigen gegen P2P-Nutzer: Bagatellregelung durch die Hintertür


Massenstrafanzeigen gegen P2P-Nutzer: Bagatellregelung durch die Hintertür

Die Generalstaatsanwaltschaft Karlsruhe hat eine Empfehlung zum Umgang mit Massenstrafanzeigen gegen Filesharing-Nutzer ausgesprochen. Bei einer Arbeitstagung der Generalstaatsanwälte Ende November 2005 hatten die Behörden zuvor darüber diskutiert, wie sie künftig mit den zig tausenden Strafanzeigen umgehen sollen, die in Karlsruhe wegen mutmaßlichen Urheberrechtsverstößen gestellt wurden.

Damit ist endlich mal klargestellt, daß nicht jedes File, daß durch eine (eher fragwürdige) technische Maßnahme einer Person (vermeintlich) zugeordnet werden kann, zu einem Verfahren führt.

Auch für die derzeit laufende Abmahnwelle ergibt sich damit die Konsequenz, nicht für jedes File sofort die (teure) Unterlassungerklärung abzugeben.

NMAP Service and Application Version Detection updated


Des Forensikers liebstes Netzwerktool wird mal wieder umfassend erläutert:

Service and Application Version Detection: The Nmap version scanning subsystem (introduced in version 3.45) tries to answer all these questions by connecting to open ports and interrogating them for further information using probes that the specific services understand. This allows Nmap to give a detailed assessment of what is really running, rather than just what port numbers are open.

International Conference on IT-Incident Management & IT-Forensics - Call for Papers


Unter imf-conference.org wurde der Call for Papers herausgegeben. Die nächste IMF-Konferenz wird vom 18. bis 19. Oktober 2006 in Stuttgart stattfinden. Internationale Experten diskutieren und präsentieren aktuelle Trends und Techniken rund um die Themen IT-Forensik und Incident Management. Die Kanzlei RA Becker ist durch RA Becker im Programm-Komitee vertreten.

Computer-Forensik: Kein Fall für Dr. Watson (Heise.de)


Im Heise-Newsticker findet sich ein Bericht über das letzte CAST-Forum, bei dem auch ich einen Vortrag halten durfte.


U.A. heißt es dort:


Im Vergleich zur komplizierten Arbeit der Forensiker ist die Arbeit der Juristen noch komplizierter. Dies machten die Vorträge der auf IT-Recht spezialisierten Rechtsanwälte Henrik Becker und Jan-Peter Voß deutlich. Denn das Protokollieren von E-Mails und der Mitschnitt der Internetsitzungen kollidiert nicht nur mit dem Arbeitnehmerdatenschutz, sondern kann das Grundrecht auf informationelle Selbstbestimmung verletzen. Mit diesem Recht, das das Bundesverfassungsgericht mit dem Volkszählungsurteil 1984 festgeschrieben hat, sind weite Teile der Kommunikation der Privatsphäre der Mitarbeiter zugerechnet. Erst mit begründeten Verdachtsmomenten, beim Mobbing oder bei sexuell beleidigenden Angriffen kann im Einzelfall mitgeschnitten werden. Die Sache wird noch dadurch kompliziert, dass eine Firma, die die gelegentliche private Mail-Nutzung erlaubt, damit zum Telekommunikationsanbieter wird und das Fernmeldegeheimnis beachten muss. Auf der anderen Seite ist das technische Netzwerkmonitoring erlaubt. Werden diese Daten jedoch zum Erstellen von Täterprofilen benutzt, so zählt dies als verbotene Ermittlungsmethode. Wie kompliziert die Sachlage ist, mag das Detail zeigen, dass Forensiker sich strafbar machen, wenn sie bei ihrer Detektivarbeit auf Kinderpornografie stoßen und diese nicht zur Anzeige bringen, weil sie an einem anderen Fall "dran" sind.

Streitwert für mp3-Files


In den aktuellen Abmahnungen, die seit ca. 5 Monate verschickt werden, ist für mp3-Dateien aus Tauschbörsen ein Streitwert von 10.000 Euro angegeben. Kein Pappenstiel, wenn man bedenkt, daß die Kosten für den abmahnenden Anwalt (normalerweise) nach dem Streitwert berechnet werden.


Sollte ein Leser einen anderen Streitwert genannt bekommen oder von einem solchen wissen, wäre ich für einen Hinweis dankbar

Vorgehen der Musikindustrie


Im Rahmen der dig. Beweisführung geht es auch um die Frage, wie die Nutzung von Tauschbörsen nachgewiesen werden kann. Das Vorgehen der Musikindustrie (vor allem in den USA) ist dabei immer wieder in Frage gestellt worden. Angesichts der aktuellen Abmahnwellen auch in Deutschland stellt sich die Frage, ob die sodann gelieferten Beweise wirklich ausreichend sind. Ich hatte seinerzeit mal die Beweisführung im Rahmen der aktuellen Welle in Frage gestellt.


Interessanterweise gibt es wohl derzeit einen ähnlichen Fall in New York. Hierbei hat nun auch ein Techniker mal zu der eher dünnen Beweislage Stellung genommen: Siehe hier und speziell hier.


heise online - Kopierschutz führt zu Raubkopien

heise online - Kopierschutz führt zu Raubkopien: "Es macht keinen Sinn, die legale Nutzung von digitalen Medien immer komplizierter zu gestalten und damit den ehrlichen Käufer zu bestrafen, wohingegen der illegale Raubkopierer einfach und ohne Einschränkungen alles auf jedem Gerät abspielen kann."
Aha, sollte hier mal jemand verstanden haben? Dieser schlaue Satz stammt vom Frauenhofer Institut. Weiter so - vielleicht denkt man bald mal über die Preisbildung und Rechtverwertungsalternativen nach.