Digitale Beweisführung

Ophcrack

2008-06-02T01:10:00.001+02:00

AS/400 Auditing Framework Beta

2007-07-20T06:55:00.001+02:00

Security Database Tools Watch - AS/400 Auditing Framework Beta

Bundestrojaner: was geht

2007-03-12T07:33:00.000+01:00

Heise Security zeigt im Artikel Bundestrojaner: Geht was -- was geht welche technischen Möglichkeiten bestehen und wie die Behörden vorgehen könnten.

Computer Forensik und die Kofferbomber

2007-03-08T21:15:00.000+01:00

heise online - BKA-Forensiker entlöschen Bombenbaupläne

Digital forensics plagued by expanding storage

2007-03-01T19:57:00.000+01:00

Digital forensics plagued by expanding storage

Screenshot Tour: How to crack a Windows password with Ophcrack Live CD - Lifehacker

2007-02-03T11:07:00.000+01:00

Screenshot Tour: How to crack a Windows password with Ophcrack Live CD - Lifehacker:

Datenrettung von Speicherkarten

2007-01-03T08:41:00.000+01:00

Hier ist ein Artikel über die Datenrettung von Speicherkarten.
Link: Stealing Your Family Vacation: Memories of a Media Card

Review verschiedener VulScanner

2007-01-03T08:33:00.000+01:00

Auf der Site (Link unten) findet sich ein Review diverser Vulnerability Scanner. "Gewinner" (der subjektiven Besprechung) ist retina’s eeye. Zu beachten ist der besondere Focus des Testers. Trotzdem interessant zu lesen.
Link: AskApache - Vulnerability Scanners Review

Technorati Tags: Security

Wireless Forensics

2007-01-03T07:29:00.000+01:00

Auf Security Focus gibt es einen neuen Artikel über Sammlung und Analyse von WLAN-Traffic. Link zu ersten von (wohl) zwei Teilen: Wireless Forensics: Part One - Tapping the Air

Technorati Tags: Forensics, Wireless, Security

23C3: Neue Hacker-Tools für Bluetooth

2006-12-30T22:28:00.000+01:00

Laut dieser Meldung auf Heise sind auf dem 23. Chaos Communication Congress in Berlin zwei neue Werzeuge veröffentlicht worden. Mit BTCrack lässt sich das Zusammenkoppeln von zwei Bluetooth-Geräten hacken. Hidattack erlaubt die Fern- und Fremdsteuerung einer drahtlosen Bluetooth-Tastatur, sodass Eingaben in den angeschlossenen Rechner möglich werden.
Link: 23C3: Neue Hacker-Tools für Bluetooth

Gesetz zur Online-Durchsuchung

2006-12-22T22:38:00.000+01:00

Meine Heimat geht mal wieder voraus. Ob mit gutem Beispiel sei mal dahingestellt. Nun gibt es zu der Problematik der sog. "Online-Durchsuchung" doch tatsächlich ein Gesetzt in NRW. Ob die Praxis dadurch dauerhaft erlaubt wird, kann noch bezweifelt werden. Möglicherweise ist das ganze Gesetz vor dem Hintergrund der aktuelle Rechtsprechung verfassungswidrig?
Aus rein technischer Sicht könnte die Praxis des "Einbruchs" in Computersysteme ebenfalls nicht unproblematisch sein. Wer stellt z.B. sicher, dass durch die zu installierende Software keine weiteren Sicherheitslöcher gerissen werden?
Link: NRW verabschiedet Gesetz zur Online-Durchsuchung - Golem.de

Detecting rootkits in GNU/Linux

2006-12-19T13:41:00.000+01:00

Guter Artikel. Link: All about Linux: Various ways of detecting rootkits in GNU/Linux

Macs und Emails

2006-12-19T08:40:00.000+01:00

In einer Email hat der Entwicklungschef für Windows Vista geschrieben, daß er lieber einen Mac hätte, wenn er nicht bei Microsoft arbeiten würde.
Ich kann das ja gut verstehen - aber das man das in eine Email schreibt ... Es muss doch mittlerweile jedem klar sein, daß diese Mails irgendwann wieder auftauchen.
Bezeichnenderweise wurde die Mail jetzt im Rahmen eines Gerichtsverfahrens als Beweis vorgetragen. Zu dem aktuellen Verfahren sagt der u.g. Artikel nichts. Für die Brisanz der Email dürfte es aber auch nicht von Belang sein.
WEB.DE - Vista-Chef möchte einen Mac (18.12.2006)

Online-Durchsuchungen verboten

2006-12-12T12:04:00.000+01:00

Der BGH (genauer: ein Ermittlungsrichter) hat nunmehr (wohl) entschieden, daß die per Netzzugang vorgenommen Durchsuchung von Systemen nicht zulässig ist.
In der Vergangenheit wurde in Einzelfällen "Hacker-Methoden" verwendet, um Systeme von Verdächtigen zu durchsuchen. Diese Praxis - so die angeblichen Entscheidung, die nur der taz vorliegt - sei aber nicht zulässig, da sie in keinster Weise einer (ähnlich gelagerten) Hausdurchsuchung entspreche und auch eine Selektion der zu erlangenden Daten - anders als bei einer Hausdurchsuchung - nicht ohne Weiteres zu gewährleisten sei.
heise online - BGH verbietet Online-Durchsuchung von Computersystemen

Nmap 4.20

2006-12-09T15:47:00.000+01:00

Nmap ist in der neuen Version 4.20 verfügbar. Vor allem die OS-Detection wurde komplett überarbeitet.
Lohnenswert!
Nmap Change Log

Mit MP3-Spielern Kreditkarten fälschen

2006-11-19T13:38:00.000+01:00

Mittels eines MP3-Spielers hat ein Mann in England die Informationen erhalten, die er für die Fläschung von Kreditkarten brauchte. Offensichtlich ist dem Erfindungsreichtum nicht wirklich eine Grenze gesetzt.
Man used MP3 player to hack ATMs | The Register

Storage forensics

2006-11-12T12:59:00.000+01:00

Gemäß dieses Artikels auf The Register hat WiebeTech neue Karten für die forensische Datenanalyse angekündigt. Die "RedPortCard" genannten Karten sind für den PCIe Bus ausgelegt.
Storage forensics – it's CSI:Disk array | The Register

Trojanerangriffe nehmen zu

2006-10-15T15:28:00.000+02:00

Einen beunruhigenden Trend läßt diese Meldung auf The Register erkennen. Offenbar mehren sich die Hinweise, daß die lange befürchteten gezielten Angriffe mit Trojanern auf bestimmte Personen bzw. bestimmte Organisationen zunehmen. War das Thema Spionage bisher im Bereich der Unternehmen eher belächelt (was man auch in Vorträgen immer wieder merkte), so dürfte nunmehr die Brisanz die Verantwortlichen aufhorchen lassen.
Der bekannte israelische Fall dürfte hier nur die Spitze des Eisberges sein. Die Experten gehen davon aus, daß es weit mehr als die bekannten Trojaner gibt, die auch speziell auf die Zielsysteme angepaßt sein dürften.
Aus diesem Umstand ergibt sich auch das besondere Problem - der Erkennung ist extrem schwierig, da die althergebrachten Methoden der Mustererkennung meist versagen dürften.
Mehr Informationen zum Thema im genannten Artikel oder auf Security Focus.

All about security

2006-10-14T09:45:00.000+02:00

Seit einigen Tagen ist ein neues Portal online: www.all-about-security.de Bereits in der Vorphase wurde ich durch die Redaktion angesprochen, ob ich Interesse an einer Beteiligung hätte, speziell zu den Themen IT-Recht und Forensik. Ein Angebot, das man immer gerne annimmt.
Daher habe ich einen ersten Artikel zum Oktober-Schwerpunktthema beigesteuert, der hier zu finden ist. Anregungen zu neuen Artikeln oder anderen Themen nehme ich gerne entgegen.

Tatort Computer: Der Datenforensiker Hans-Peter Merkel im Podcast-Interview

2006-09-25T07:51:00.000+02:00

Auf der Seite von MacNews.de ist heute das Thema Forensik Thema des Tages. Der Podcast kann über ITMS geladen werden oder direkt über die Seiten der MacNews.
Link: Tatort Computer: Der Datenforensiker Hans-Peter Merkel im Podcast-Interview

Zweiteiliger Artikel über Office Sicherheit

2006-08-29T21:25:00.000+02:00

Auf Security Focus ist ein zweiteiliger Artikel über die Funktionsweise von Microsoft Office erschienen. Gleichzeitig wird aus Sicherheitsaspekte eingegangen.
Link: Microsoft Office security, part one

InfoSec Paper: Creating Business Through Virtual Trust

2006-08-29T07:35:00.000+02:00

Ein interessantes Paper zum Thema Informationssicherheit. Die beiden Autoren geben zunächst ein bisher nicht gesendetes TV-Interview wieder, im 2. Teil folgt dann ein umfangreicher Text.
Gut gemachter Überblick zum Thema, der aufgrund seiner breiten thematischen Darstellung Zusammenhängen erkennbar macht.
Das Paper kann hier heruntergeladen werden. Viel Spaß beim Lesen.

Verurteilung nach vermeintlicher Datenlöschung

2006-08-28T13:25:00.000+02:00

Laut eines Artikels bei Golem ist eine Frau zu einer Geldstrafe wg. Mißachtung des Gerichts verurteilt worden. Sie habe nach Aufforderung zur Beweismittelübergabe an die Gegenseite noch Daten gelöscht. Hintergrund war ein Schadenersatzverfahren der US-Plattenindustrie gegen die Frau wg. Filesharing. In der Sache wurde ihr anhand der Datenanalyse die Nutzung und das Herunterladen von Musikdateien nachgewiesen. Die Löschung von Daten allerdings hatte sie bestritten. Allgemein wird davon ausgegangen, daß der Richter hier nun ein Exempel statuieren wollte, um in zukünftigen Fällen solche (hier vermeintlich vorgenommenen) Löschvorgänge zu verhindern.

Ortung nach Skype-Anruf Fugitive CEO tracked down to Sri Lanka after Skype call | The Register

2006-08-28T07:24:00.003+02:00

Offensichtlich lassen sich Skype-Anrufe doch zurückverfolgen. Jacob Alexander ist jetzt nach einem solchen Anruf aufgespürt und festgenommen worden. Mehr dazu im Artikel.
Link:
Fugitive CEO tracked down to Sri Lanka after Skype call | The Register

After an Exploit: mitigation and remediation

2006-08-27T12:15:00.000+02:00

Auf Security Focus ist ein Artikel über die Arbeiten, die nach einem Exploit notwendig sind.
Link: After an Exploit: mitigation and remediation

Skype Trojaner aufgetaucht

2006-08-27T12:11:00.000+02:00

Der erste Skype Trojaner ist aufgetaucht. Er wird zwar per Mail verteilt, richtet sich aber gegen Skype. Link zum Artikel unten.
Say hello to the Skype Trojan

Testposting

2006-08-27T12:01:00.000+02:00

Ich habe jetzt gesehen, daß man auch per Mail bloggen kann. Das will
ich doch sofort mal ausprobieren.

Windows Log bzw. EVT Files

2006-08-27T00:56:00.000+02:00

In der aktuellen c't ist ein interessanter Artikel über die Auswertung von Windows LogFiles. Empfehlenswert.

Rechtsdienstleistungsgesetzes

2006-08-26T12:50:00.000+02:00

Am 24. August 2006 hat die Bundesregierung den Entwurf des Rechtsdienstleistungsgesetzes (RDG) als Regierungsentwurf in den Gesetzgebungsgang gegeben. Den Gesetzestext gibt es online. Allerdings könnte sich wider Erwarten doch nicht viel ändern in der Praxis. Der Entwurf stellt jedenfalls auch klar, dass qualifizierter, unabhängiger Rechtsrat nur von Rechtsanwälten garantiert werden kann.

Car Whisperers

2006-08-24T17:25:00.000+02:00

Es ist zwar nicht wirklich ein Sicherheitsproblem, aber offensichtlich kann man mit gezielter Funktechnik direkt die Autoradios von singulären Personen ansprechen. Diese Technik findet man per Google auch unter dem Begriff "Car Whisperers". Wer mehr hierzu oder zu Bluetooth-Hacking erfahren will, der kann auch mal unter hack.lu schauen. Insbesondere werden Kevin Finistere und Thierry Zoller sprechen. Das verspricht wieder spannende 0day-Exploits.

Verurteilung nach dem Computer Misuse Act

2006-08-24T07:36:00.002+02:00

Eine der ersten Veröffentlichungen nach dem Computer Misuse Act ist jetzt in England erfolgt. Ein 19-jähriger hatte einen Server per Mail-bombing außer Gefecht gesetzt. Mehr bei TheRegister.

Top 100 Network Security Tools

2006-06-21T22:45:00.000+02:00

Die Ergebnisse der Umfrage für die beliebtesten Tools liegen vor. Unter Top 100 Network Security Tools hat Fydor alles Ergebnisse zusammengetragen.

AD Auditierung

2006-05-13T08:20:00.000+02:00

Bei SystemTools Software findet sich "Heyena", ein Tool welches (auch) zur Auditierung von Active Directory-Strukturen benutzt werden kann.

SDMUG Special Event

2006-05-13T08:14:00.000+02:00

Auf den Seiten der SDMUG gibt es die Einladung zum aktuellen Event, das sich vor allem mit Computer Crime und Identitätsdiebstahl beschäftigt. Wer zufällig in der Nähe ist ...

Security Consultant verurteilt

2006-05-11T10:17:00.000+02:00

In einem Artikel auf wired.com findet sich die Geschichte eines Security Consultant, der für seine Arbeit - hier: Hinweis auf Sicherheitsmängel - verurteilt wurde. Daneben sind weitere Fälle genannt, die den gleichen Hintergrund beleuchten.

Im Fall gegen Bret McDanel hat sich wohl nunmehr die Staatsanwaltschaft entschlossen, im Rahmen der Revision den Antrag nicht aufrecht zu erhalten. Damit stehe die Chancen gut, daß McDanel seiner Verurteilung zu 16 Monate Haft entkommt.

Verfahren wie diese geben einem immer wieder zu denken. Offensichtlich ist die Rechtsprechung noch nicht in der Lage, die konstruktive Arbeit im Bereich IT-Sicherheit und Aufklärung von "echten" Angriffen zu unterscheiden.

Digitaler Fingerabdruck von Kameras

2006-05-05T08:01:00.000+02:00

Forschern der Binghamton University ist es gelungen, den digitalen Fingerabdruck von Kameras zu erkennen.

Wenn das stimmt, wäre eine direkte Zuordnung von Bildern zu eindeutigen Kameras möglich, was die Beweisführung entscheidend beinflussen könnte. Die Technik basiert dabei auf dem allgemein als "Rauschen" bezeichneten Phänomen und Fehlpixeln, das bei jeder Kamera ein individuelles Muster zeigt. Das Forschungsinstitut geht davon aus, dass diese Technik in naher Zukunft auch für die Analyse von gescannten Bildern oder Videoaufnahmen verwendet werden kann.

Forensic felonies

2006-05-04T08:20:00.000+02:00

Auf SecurityFocus ist jetzt ein weiterer Artikel zur neuen Gesetzgebung in Georgia aufgetaucht. In der Columne von Mark Rasch findet sich der Artikel Forensic felonies, der sich näher mit dem Thema auseinandersetzt. Ein must-read für Interessierte.

US-Gesetz regelt Tätigkeit der Forensiker neu

2006-04-30T16:14:00.000+02:00

Einen für die meisten Kollegen beunruhigenden Trend zeigt ein aktuelles Gesetz in Georgia, USA auf.
Nach dieser gesetzlichen Regelung (beschlossen, aber noch nicht vom Governor unterschrieben) fallen die Tätigkeiten des IT-Forensikers unter die Regelungen für private Ermittler (Private Investigator - siehe Magnum, PI). Die Tätigkeit des PI ist in den USA anmeldepflichtig und darf nur von zugelassenen Personen durchgeführt werden. Zusammen mit den Regelungen über Gutachterätigkeiten stellen - wenn das Gesetz tatsächlich in Kraft tritt - die Abgabe von Gutachten und gutachterlichen Aussagen in Gerichtsverfahren eine Vergehen (Fellony) nach amerikanischem Recht dar. Dies gilt zunächst nur für Georgia.
Erfahrungsgemäß dürften dem aber andere Staaten folgen.
Vorsicht ist daher bei Tätigkeiten in den USA geboten.
Sollte ein ähnliche Regelung in Deutschland kommen, wären hier wohl Rechtsanwälte und Wirtschaftsprüfer ausgenommen.
Die Entwicklung gilt es im Auge zu halten. Hinweise sind immer willkommen.

OpenBook Center

2006-04-30T13:17:00.000+02:00

O'Reilly hat im OpenBook Center mal wieder neue Open Books online gestellt. Dabei sind auch Bücher über Linux.
Schon seit einiger Zeit können auch Bücher über Netzwerke und Samba dort gezogen werden.
Sehr zu empfehlen. Danke Tim!

Neues aus der Wirtschaftskriminalität

2006-04-30T12:07:00.000+02:00

Immer wieder neue Ideen - so kann man die Welt der Wirtschaftskriminalität beschreiben. In Next step in pirating: Faking a company - Technology - International Herald Tribune wird beschrieben, wie eine komplette Firma (hier: NEC) "kopiert" wurde.

Handys und Sicherheit

2006-04-30T12:03:00.000+02:00

In dem Artikel Will Cell Phones be Responsible for the Next Internet Worm? >Mobile Devices Are the New Network Perimeter wird endlich mal eingehend beleuchtet, welche Rolle Handys (und damit auch anderen Mobile Devices) künftig in den Netzwerkstrukturen einnehmen werden. Gleichzeitig werden Vorschläge aufgezeigt, wie mit den entstehenden Gefahren umgegangen werden kann.
Für den Forensiker sind Handys bereits seit langem von Interesse, enthalten sie doch viele Kommunikationsinformationen, die zusammen mit Daten und Erkenntnissen aus Netzwerk- und Systeminformationen das Bild einer Tat oder eines vermeintlichen Täters abrunden oder ergänzen.

FBI subpoenas

2006-04-30T11:46:00.000+02:00

In einem CNN-Report werden jetzt erstmals Zahlen genannt, welche Subpoenas und in welchem Umfang in den letzten Jahren ausgestellt wurden. Auffällig dabei ist, daß diese Informationssammlungen ohne richterlichen Beschluss durchgeführt werden können. Ebenso bedenklich ist die fehlende nachträgliche Information des Bürgers.
Wenn man sich dann noch die Datenarten ansieht, die gesammlt werden, dann scheint der Datenschutz in den USA immer weiter zu errodieren.

Schutz von Betriebsgeheimnissen in gerichtlichen Verfahren

2006-04-20T15:00:00.000+02:00

Das Bundesverfassungsgericht hat in seinem Urteil vom 14.03.2006 (1 BvR 2087/03, 1 BvR 2111/03)zum Schutz von Betriebsgeheimnissen im gerichtlichen Verfahren Stellung genommen. Dabei stand das Spannungsfeld zwischen Offenlegung von Betriebs- und Geschäftsgeheimnissen gegenüber den am Verfahren Beteiligten einerseits und dem Anspruch auf umfassende gerichtliche Aufklärung andererseits im Focus.
Nach Ansicht des Gerichts ist es in diesem Zusammenhang nicht mit der durch Art. 12 Abs. 1 GG garantierten Berufsfreiheit vereinbar, wenn die Gerichte in einem gesetzlich dafür vorgesehenen gesonderten verwaltungsgerichtlichen Verfahren (Zwischenverfahren) zur Überprüfung der Geheimhaltungswürdigkeit von Betriebs- und Geschäftsgeheimnissen ein entsprechendes Schutzinteresse nur anerkennen, soweit existenzbedrohende oder nachhaltige Nachteile aus einer Offenbarung der Informationen an Wettbewerber zu befürchten sind. (Zitat der Pressemeldung des BVerfG)
Das Bundesverfassungsgericht kam nunmehr zu dem Ergebnis, dass die verlangte Offenlegung der Genehmigungsunterlangen in die Berufsfreiheit der Telekom eingreife. Durch die Verpflichtung der Telekom, dem Gericht sämtliche Akten umfassend und ohne Schwärzungen offen zu legen, würden die an den Ausgangsverfahren beteiligten Wettbewerber der Telekom die Möglichkeit, im Rahmen ihres Akteneinsichtsrechts Kenntnis von Betriebs- und Geschäftsgeheimnissen der Beschwerdeführerin zu erlangen. Dieser Grundrechtseingriff ist verfassungsrechtlich nicht gerechtfertigt.
Offenbar geht das BVerfG davon aus, daß Betriebsgeheimnisse auch im gerichtlichen Verfahren zu schützen sind. Wie weit dieser Schutz geht und welche Grenzen er hat, ist aber wohl im Einzelfall zu klären.

Firewire Writeblocker

2006-04-16T16:25:00.000+02:00

Soeben habe ich nach einigem Suchen einen Firewire Writeblocker gefunden und gleich mal bestellt. Mal sehen, was das Ding so kann. Lt. Beschreibung läßt sich damit jede IDE-Platte (und per Adapter auch S-ATA-Platte) mit Schreibschutz anschließen.

Eigentlich bin ich ja eher ein Freund des guten alten dd. Aber manchmal verlangen Mandanten (aus welchem Grund auch immer) nach einem Image, das direkt mit Encase gezogen wurde.

Ein weiterer Einsatzzweck ist aus meiner Sicht auch die "geschützte" Anbindung von Platten, die zwar nicht beweiserheblich sind, aber dennoch geschützt werden sollen.

Der Anschluß per Firewire kommt mir dabei sehr entgegen, da ich auf diese Weise nicht beide Platten (Beweis und Kopie) am gleichen Bus (USB 2.0) hängen habe. Meiner Erfahrung nach erhöht die Nutzung von FW und USB für den gleichen Vorgang den Durchsatz doch ganz erheblich.

Sobald das Gerät eingetroffen ist, werde ich es natürlich testen. Berichte dürften die Folge sein ...

Falls jemand bereits Erfahrung mit diesem Device hat - immer her damit.

Einsatzkoffer

2006-04-08T11:05:00.000+02:00

Immer wieder stellt sich die Frage, wie man die ganze Technik, die man so im Einsatz braucht, mit zum Ort des Geschehens nehmen kann. Wiebtech (s.a. früherer Eintrag) bietet hierfür eine Sammlung von "Einsatzkoffern" an, die genau diesen Zweck erfüllen sollen. Siehe hierzu:

Government and Law Enforcment Drive Imaging toolkits - WiebeTech Micro Storage Solutions - Forensic Field Kits™:

http://www.wiebetech.com/products/forensicffk.php

Wiebetech Hardware

2006-04-01T23:40:00.000+02:00

Unter WiebeTech.com findet man einiges an notwendiger Hardware. Neben normale Write-Blockern findet man auch ganze Sets und fertige Ermittler-Koffer für den schnellen Einsatz vor Ort.

Beweiserlangung und Mitbestimmung

2006-02-28T16:11:00.000+01:00

Altenburg und Leister beschäftigen sich in ihrem Artikel in NJW 08/2006, 469 ff. mit der Frage, ob die mitbestimmungswidrige Erlangung von Beweismitteln ein Beweisverwertungsverbot im Zivilprozess nach sich ziehen kann.

In eigener Stellungnahme kommen Altenburg und Leister zu dem Ergebnis, dass ein Beweisverwertungsverbot nicht bestehe. Zunächst bestehe keine entsprechende gesetzliche Regelung. Darüber hinaus müsse der Grundsatz der Trennung zwischen Erlangung und Verwertung von Beweismitteln beachtet werden. Außerdem gebe § 87 BetrVG dem Betriebsrat lediglich ein Beteiligungsrecht bei der Gestaltung der Arbeitsverhältnisse. Daher könne im Ergebnis nicht für ein solches Beweisverwertungsverbot argumentiert werden.

Vielmehr folge aus § 286 ZPO i.V.m. Art. 103 Abs. 1 Grundgesetz die grundsätzliche Verpflichtung des Gerichts, die von den Parteien angebotenen Beweise zu berücksichtigen. Die Grenze für eine Verwertbarkeit wird daher im Rahmen einer Abwägung im Einzelfall zu ziehen sein, wenn das Beweismittel unter Verletzung von Grundrechten erlangt wurde.

Mehr dazu hier.

Artikel über Analyse

2006-02-28T13:15:00.000+01:00

In seinem Artikel A Method for Forensic Previews auf securityfocus.com beschreibt Timothy E. Wright detailiert, welche Informationen im Rahmen einer Analyse erhoben und gesammelt werden können. Der Artikel gibt einen hervorragenden Überblick über potentielle Informationsquellen (Files, Streams usw.) und wie diese analysiert werden können. Definitives must-read für Interessierte.

Forensik-Rubrik überarbeitet

2006-02-25T20:11:00.000+01:00

Endlich habe ich die Zeit gefunden, die beiden Listen, nach denen so viele gefragt hatten, hier wieder online zu stellen.

ACHTUNG: Beide Listen dienen der Anschauung! Benutzung auf eigene Gefahr!

Interview mit Solar Designer

2006-02-25T18:09:00.000+01:00

Auf Security Focus ist ein Interview mit Solar Designer, dem Autor von JtR - John the Ripper. Mit dem Tool können Passwörter geknackt werden. In dem Intervies gibt Solar Designer Einblicke in das Tool und generelle Anregungen rund um das Thema Passwörter. Interessant zu lesen. Empfehlung!

Security Metrics

2006-02-25T17:24:00.000+01:00

Das NIST (csrc.nist.gov) hat hier einen Artikel über Security Metrics, in dem sehr schön beschrieben wird, wie man Informationssicherheit "messen" kann bzw. in Relation zu anderen Stellgrößen setzen kann. Dieses Wissen kann vor allem vor dem Hintergrund von Basel II oder auch SOX und KontraG sehr hilfreich sein, um die eigenen Erfolge oder Bemühungen darzustellen, den Anforderungen an Informationssicherheit zu genügen. Achtung, 99 Seiten mit vielen Informationen.

Umfrage für nmap-Funktionen

2006-02-25T16:41:00.000+01:00

Unter www.insecure.org/nmap/survey.html hat Fyodor einen Fragebogen veröffentlicht und bittet um Bewertung der begehrtesten Features, die künftige nmap-Versionen haben sollen. Tatkräftige Unterstützung ist erwünscht. Die Ergebnisse werden wir immer über die Mailingliste laufen. Daher - mitlesen! Siehe: Page

Top 75 Network Security Tools

2006-02-25T16:28:00.000+01:00

Top 75 Network Security Tools - Die bekannte Liste der wichtigsten Tools für Sicherheits-Bastler. Dieser Tage hat Fyodor wieder zur Abstimmung über die begehrtesten Features für künftige nmap-Entwicklungen aufgerufen. Gleichzeitig bittet er um Hinweise für präferierte Tools.

Vertragliche Aspekte Pen-Tester

2006-02-17T12:06:00.000+01:00

Ich habe mir mal Gedanken zu Verträgen für Pen-Tester gemacht. Die ersten Ideen finden sich bereits online. Weitere Vorschläge werden gerne angenommen. Siehe henrikbecker.de

iX bringt Artikel rund um Datenrettung

2006-02-08T07:50:00.000+01:00

Die iX vom 09.02.2006 bringt Artikel rund um die Datenrettung. Mehr Infos vorab finden sich wie immer unter www.heise.de. Ausschnitte und die übliche Leseprobe sind hier.

ktrace als Tool für die Prozessanalyse

2006-02-06T12:33:00.000+01:00

Auf afp548.com findet sich ein Arktikel, der das Vorgehen bei einer Prozessanalyse beschreibt. Der Einfachheit halber sei auf den Artikel verwiesen.
Die möglichen Einsatzszenarien umfassen sowohl die Analyse von bisher unbekannten Tools/Prozessen, als auch die Prüfung auf die Möglichkeit eines Mißbrauches bekannter oder vorher validierter Tools/Prozesse.
Der Output von ktrace sollte mit kdump bearbeitet werden, damit die Ergebnisse lesbar werden.
Link: http://www.afp548.com/trackback.php?id=20040802225219421

SW zur Prüfung digitaler Fotos

2006-02-06T09:08:00.000+01:00

Dartmouth College Professor Hany Farid hat eine neue Version seiner Software fertig gestellt, die es ermöglicht, die Echtheit digitaler Fotos zu prüfen.

Die Gefahren, die von maninpulierten Bildern ausgehen, sind evident.

In den nächsten 6 Monaten soll auch ein Java-Version fertig werden, die einfacher zu bedienen ist und auch von einem USB-Stick laufen sollte. Damit ist das Tools dann auch zum mobilen Einsatz für Ermittler besser geeignet.

Mehr hier. (Engl.)

Tool: Unhide

2006-01-08T09:12:00.000+01:00

Unhide ist ein forensisches Tool, um versteckte Prozesse und TCP/UDP-Ports oder auch weitere Verschleierungsmethoden von Rootkits oder LKMs aufzufinden. Mehr dazu auf www.security-projects.com.

THE FARMER'S BOOT CD

2006-01-05T09:18:00.000+01:00

THE FARMER'S BOOT CD: eine kostenpflichtige Boot CD, mit der forensische Analysen durchgeführt werden können. Eine von vielen Tool-Sammlungen, die auf dem Konzept der Live-CD beruhen. Sie ermöglicht (nach eigenen Angaben) das forensisch sicher Mounten von Laufwerken, die Datenanalyse sowie die Datensammlung von den gemounteten Laufwerken. Sicher einen Blick wert.

CyberSpeak 31.12.2005 veröffentlicht

2006-01-05T09:12:00.000+01:00

Die aktuelle Ausgabe von Cyberspeak ist veröffentlicht worden. Wie immer aktuelle und informative Neuigkeiten für Forensiker. Diese Ausgabe bringt dazu ein Interview mit J. Kornblum über seine Arbeit an und mit Open Source Forensik Tools. Meine Empfehlung:

CyberSpeak: This podcast features an interview with Mr. Jesse Kornblum about his work with open source forensic tools.

Network Attached Storage

2006-01-04T21:04:00.000+01:00

Die aktuelle ct hat einen Artikel über NAS. Sollte man immer bedenken, wenn man Daten als Spuren sammelt. Zu gerne werden verteilte Daten bei der Sammlung übersehen oder ausgelassen. Mehr zu NAS: Network Attached Storage

Digital World Tokyo - Datenmengen werden zunehmen

2006-01-04T08:03:00.000+01:00

Schon heute haben Forensiker das Problem, daß sich Untersuchungen auf immer größere Datenmengen beziehen. Waren früher alle relevanten Informationen auf Papier oder in Großrechnern und den dazugehörigen Datenspeichern konzentriert, müssen heute die relevanten Daten zuerst aus ungeheuren Datenmengen extrahiert werden. Neben den PCs werden hier auch z.B. Handys und iPods immer relevanter. Gleiches gilt für PDAs und mobile Speichergeräte.

In einem Bericht zur Digital World Tokyo zeigt Cornice neue 8Gb and 10Gb mini HDDs in 1 Zoll Größe. Diese sind u.a. für Handys vorgesehen.

Neben der technischen Herausforderung, Daten und Informationen zu gewinnen und zu dokumentieren, werden wir künftig immer mehr Zeit damit verbringen, beweisrelevante Daten überhaupt zu finden.

Blooover II freigegeben

2006-01-03T18:03:00.000+01:00

Auf dem aktuellen CCC-Kongress wurde Blooover II freigegeben. Benutzung auf eigene Gefahr und nur mit Umsicht!

Blooover II is the successor of the very popular application Blooover. After 150000 downloads of Blooover within the year 2005 (since the initial release in at 21c3 in December 2004), a new version of this mobile phone auditing toool is on its ready. Besides the BlueBug attack, Blooover II supports the HeloMoto attack (which is quite close to the BlueBug attack), the BlueSnarf and the sending of malformed objects via OBEX.

Vor allem für den Nachweis der Verwundbarkeit von Mobiltelefonen und für Lege-artis-Versuche war schon Blooover (die erste Version) sehr gut zu gebrauchen.

UPDATE - Vorgehen der Musikindustrie Massenstrafanzeigen gegen P2P-Nutzer: Bagatellregelung durch die Hintertür

2006-01-03T17:46:00.000+01:00

Massenstrafanzeigen gegen P2P-Nutzer: Bagatellregelung durch die Hintertür

Die Generalstaatsanwaltschaft Karlsruhe hat eine Empfehlung zum Umgang mit Massenstrafanzeigen gegen Filesharing-Nutzer ausgesprochen. Bei einer Arbeitstagung der Generalstaatsanwälte Ende November 2005 hatten die Behörden zuvor darüber diskutiert, wie sie künftig mit den zig tausenden Strafanzeigen umgehen sollen, die in Karlsruhe wegen mutmaßlichen Urheberrechtsverstößen gestellt wurden.

Damit ist endlich mal klargestellt, daß nicht jedes File, daß durch eine (eher fragwürdige) technische Maßnahme einer Person (vermeintlich) zugeordnet werden kann, zu einem Verfahren führt.

Auch für die derzeit laufende Abmahnwelle ergibt sich damit die Konsequenz, nicht für jedes File sofort die (teure) Unterlassungerklärung abzugeben.

NMAP Service and Application Version Detection updated

2006-01-03T17:27:00.000+01:00

Des Forensikers liebstes Netzwerktool wird mal wieder umfassend erläutert:

Service and Application Version Detection: The Nmap version scanning subsystem (introduced in version 3.45) tries to answer all these questions by connecting to open ports and interrogating them for further information using probes that the specific services understand. This allows Nmap to give a detailed assessment of what is really running, rather than just what port numbers are open.

International Conference on IT-Incident Management & IT-Forensics - Call for Papers

2006-01-03T11:10:00.000+01:00

Unter imf-conference.org wurde der Call for Papers herausgegeben. Die nächste IMF-Konferenz wird vom 18. bis 19. Oktober 2006 in Stuttgart stattfinden. Internationale Experten diskutieren und präsentieren aktuelle Trends und Techniken rund um die Themen IT-Forensik und Incident Management. Die Kanzlei RA Becker ist durch RA Becker im Programm-Komitee vertreten.

Computer-Forensik: Kein Fall für Dr. Watson (Heise.de)

2006-01-03T11:06:00.000+01:00

Im Heise-Newsticker findet sich ein Bericht über das letzte CAST-Forum, bei dem auch ich einen Vortrag halten durfte.

U.A. heißt es dort:

Im Vergleich zur komplizierten Arbeit der Forensiker ist die Arbeit der Juristen noch komplizierter. Dies machten die Vorträge der auf IT-Recht spezialisierten Rechtsanwälte Henrik Becker und Jan-Peter Voß deutlich. Denn das Protokollieren von E-Mails und der Mitschnitt der Internetsitzungen kollidiert nicht nur mit dem Arbeitnehmerdatenschutz, sondern kann das Grundrecht auf informationelle Selbstbestimmung verletzen. Mit diesem Recht, das das Bundesverfassungsgericht mit dem Volkszählungsurteil 1984 festgeschrieben hat, sind weite Teile der Kommunikation der Privatsphäre der Mitarbeiter zugerechnet. Erst mit begründeten Verdachtsmomenten, beim Mobbing oder bei sexuell beleidigenden Angriffen kann im Einzelfall mitgeschnitten werden. Die Sache wird noch dadurch kompliziert, dass eine Firma, die die gelegentliche private Mail-Nutzung erlaubt, damit zum Telekommunikationsanbieter wird und das Fernmeldegeheimnis beachten muss. Auf der anderen Seite ist das technische Netzwerkmonitoring erlaubt. Werden diese Daten jedoch zum Erstellen von Täterprofilen benutzt, so zählt dies als verbotene Ermittlungsmethode. Wie kompliziert die Sachlage ist, mag das Detail zeigen, dass Forensiker sich strafbar machen, wenn sie bei ihrer Detektivarbeit auf Kinderpornografie stoßen und diese nicht zur Anzeige bringen, weil sie an einem anderen Fall "dran" sind.

Streitwert für mp3-Files

2006-01-03T11:02:00.000+01:00

In den aktuellen Abmahnungen, die seit ca. 5 Monate verschickt werden, ist für mp3-Dateien aus Tauschbörsen ein Streitwert von 10.000 Euro angegeben. Kein Pappenstiel, wenn man bedenkt, daß die Kosten für den abmahnenden Anwalt (normalerweise) nach dem Streitwert berechnet werden.

Sollte ein Leser einen anderen Streitwert genannt bekommen oder von einem solchen wissen, wäre ich für einen Hinweis dankbar

Vorgehen der Musikindustrie

2006-01-03T09:54:00.000+01:00

Im Rahmen der dig. Beweisführung geht es auch um die Frage, wie die Nutzung von Tauschbörsen nachgewiesen werden kann. Das Vorgehen der Musikindustrie (vor allem in den USA) ist dabei immer wieder in Frage gestellt worden. Angesichts der aktuellen Abmahnwellen auch in Deutschland stellt sich die Frage, ob die sodann gelieferten Beweise wirklich ausreichend sind. Ich hatte seinerzeit mal die Beweisführung im Rahmen der aktuellen Welle in Frage gestellt.

Interessanterweise gibt es wohl derzeit einen ähnlichen Fall in New York. Hierbei hat nun auch ein Techniker mal zu der eher dünnen Beweislage Stellung genommen: Siehe hier und speziell hier.

heise online - Kopierschutz führt zu Raubkopien

2006-01-03T09:23:00.000+01:00

heise online - Kopierschutz führt zu Raubkopien: "Es macht keinen Sinn, die legale Nutzung von digitalen Medien immer komplizierter zu gestalten und damit den ehrlichen Käufer zu bestrafen, wohingegen der illegale Raubkopierer einfach und ohne Einschränkungen alles auf jedem Gerät abspielen kann."
Aha, sollte hier mal jemand verstanden haben? Dieser schlaue Satz stammt vom Frauenhofer Institut. Weiter so - vielleicht denkt man bald mal über die Preisbildung und Rechtverwertungsalternativen nach.

BDG Security Point

2005-11-28T17:09:00.000+01:00

Im Rahmen des BDG Security Point am 19.12.2005 referiert RA Becker zum Thema Digitale Beweisführung und Forensik. Die Teilnahme ist kostenfrei, die Anmeldung über die Seiten der Firma BDG möglich. Siehe: http://www.bdg.de

Cast-Forum Forensik

2005-08-03T18:03:00.000+02:00

Am 18.08.2005 wird RA Becker auf dem CAST-Forum Forensik in Darmstadt im Rahmen eines Vortrages über Digitale Beweisführung und rechtliche Aspekte der IT-Forensik sprechen.

Hauptpunkt des Vortrages soll ein Blick ins zivil- und strafprozessuale Beweisrecht aus Sicht des IT-Forensikers sein. Denn immer wieder bestehen Zweifel über die Anwendbarkeit bestehender Beweisformen in der IT-Forensik. Gerade vor dem Hintergrund der Flüchtigkeit der Daten ist die saubere Spurensicherung und Beweisgewinnung von enormer Bedeutung.

3. Fachtagung IT-Zeitsprünge

2005-02-03T16:51:00.000+01:00

RA Becker referiert anlässlich der 3. Fachtagung IT-Zeitsprünge in Fulda über das Thema Sicherheitsmanagment - Rechtliche Anforderungen und praktische Umsetzung.

Im Rahmen des Vortrages werden Sicherheitskonzepte vorgestellt, die Relevanz eines umfassenden Sicherheitsmanagements besprochen und die rechtlichen Rahmenbedingungen aufgezeigt. Besonderes Augenmerk liegen auf Haftung und Verantwortlichkeit für Führungskräfte, in deren Aufgabenbereich die IT-Sicherheit fällt.

Ebenfalls thematisiert werden Notfallvor- und -nachsorge, ohne die heute ein umfassendes Sicherheitsmanagement nicht mehr möglich ist.