Virus plaatst kinderporno op laptop computeranalfabeet
Een Amerikaanse man op wiens laptop ladingen kinderporno werd aangetroffen, is vrijgesproken omdat de ongewenste afbeeldingen het werk van een virus zou zijn. De 53-jarige Michael Fiola, omschreven als computeranalfabeet, kreeg van zijn werkgever een nieuwe laptop. Toen die ontdekte dat Fiola vier keer zoveel dataverkeer deed als zijn collega's, werd er een onderzoek ingesteld. Op de machine ontdekte men kinderporno, waarna Fiola werd ontslagen en zijn werkgever justitie inschakelde.
De advocaat van Fiola liet een forensisch expert de laptop onderzoeken. Die kwam tot de conclusie dat de machine "door een virus was gecompromitteerd." Volgens de expert draaide Fiola defecte anti-virus software en was zijn computer getroffen door "spammers en crackers die het geheugen van zijn computer met kinderporno bestookten, zonder dat dit voor het blote oog zichtbaar was." De afbeeldingen bevonden zich in de cache van de laptop. "Er zijn geen duidelijke aanwijzingen dat interactie door de gebruiker tot de pornografische activiteit leidde," zo kreeg de rechter te horen.
Twee experts van het Openbaar Ministerie waren het eens met de conclusie van de verdediging, waarna Fiola werd vrijgesproken. "Ons leven was een hel. Ik hoop mijn reputatie weer terug te krijgen, maar al mijn vrienden zijn er vandoor." Hij krijgt in ieder geval niet zijn baan bij het Ministerie van Industrial Accidents terug, die blijven bij hun beslissing dat het juist was om Fiola te ontslaan.
Reacties (21)
17-06-2008, 10:19 door
ctrlaltdelete
[url=http://blogs.csoonline.com/files/Forensic%20Report.pdf]Technische
analyse van de laptop [/url](PDF)
analyse van de laptop [/url](PDF)
17-06-2008, 10:43 door
DarkieDuck
bedankt voor de link ctrlaltdelete , best een interessante
analyse om zo door te lezen :)
analyse om zo door te lezen :)
Lekkere werkgever. Op basis waarvan blijven ze erbij dat hun beslissing juist
was om deze man te ontslaan ? Ik zou als ik hem was deze werkgever
aanklagen, en een naar Amerikaanse maatstaven fikse schadevergoeding
eisen.
was om deze man te ontslaan ? Ik zou als ik hem was deze werkgever
aanklagen, en een naar Amerikaanse maatstaven fikse schadevergoeding
eisen.
Er worden de laatste weken spamberichten verspreidt met een link naar een
gehackte web server, die een kinderporno-achtig plaatje toont. Het is niet echt
kinderporno, maar een jaren zeventig vakantiekiekje van een jong meisje op
een naaktstrand. Er staan suggestieve teksten onder, in een nagemaakte
PornTube omgeving.
De pagina geeft een valse foutmelding: Video ActiveX Object Error. Your
browser cannot display this video file. In een javascript loop wordt een
nepupdate aangeboden. Afbreken lukt niet en de browser normaal afsluiten
lukt ook niet. Als men uiteindelijk kiest voor installatie blijkt de update een
bestand te zijn met de naam video.exe. Dit bestand is een downloader voor
malware. Het is mogelijk de download te stoppen door op cancel te drukken,
maar velen zullen waarschijnlijk door de gedwongen installatie daar niet voor
kiezen.
Dan is er geen malware, en toch (kinder)porno op de computer. Ik vraag me af
wat de verdediging gaat zijn. Zou het niet logischer zijn dat de aanklager
aannemelijk dient te maken dat kinderpornoplaatjes handmatig zijn
verzameld?
Overigens, het Examination Report van dit geval geeft duidelijk blijk van een
onderzoeker die geen verstand heeft van malware-analyse, maar
klaarblijkelijk weerhoudt dit hem er niet van vergaande conclusies te trekken.
Dat heeft impact op het betrouwbaarheidsgehalte van de stellige beweringen
gedaan in de rest van het document.
Treurig dat op basis van dergelijk onderzoek rechtspraak bedrijft. Hopelijk is
dat in Nederland beter geregeld, maar ik vrees het ergste.
gehackte web server, die een kinderporno-achtig plaatje toont. Het is niet echt
kinderporno, maar een jaren zeventig vakantiekiekje van een jong meisje op
een naaktstrand. Er staan suggestieve teksten onder, in een nagemaakte
PornTube omgeving.
De pagina geeft een valse foutmelding: Video ActiveX Object Error. Your
browser cannot display this video file. In een javascript loop wordt een
nepupdate aangeboden. Afbreken lukt niet en de browser normaal afsluiten
lukt ook niet. Als men uiteindelijk kiest voor installatie blijkt de update een
bestand te zijn met de naam video.exe. Dit bestand is een downloader voor
malware. Het is mogelijk de download te stoppen door op cancel te drukken,
maar velen zullen waarschijnlijk door de gedwongen installatie daar niet voor
kiezen.
Dan is er geen malware, en toch (kinder)porno op de computer. Ik vraag me af
wat de verdediging gaat zijn. Zou het niet logischer zijn dat de aanklager
aannemelijk dient te maken dat kinderpornoplaatjes handmatig zijn
verzameld?
Overigens, het Examination Report van dit geval geeft duidelijk blijk van een
onderzoeker die geen verstand heeft van malware-analyse, maar
klaarblijkelijk weerhoudt dit hem er niet van vergaande conclusies te trekken.
Dat heeft impact op het betrouwbaarheidsgehalte van de stellige beweringen
gedaan in de rest van het document.
Treurig dat op basis van dergelijk onderzoek rechtspraak bedrijft. Hopelijk is
dat in Nederland beter geregeld, maar ik vrees het ergste.
Door Anoniem
Lekkere werkgever. Op basis waarvan blijven ze erbij dat hun beslissing juist
was om deze man te ontslaan ? Ik zou als ik hem was deze werkgever
aanklagen, en een naar Amerikaanse maatstaven fikse schadevergoeding
eisen.
Firewall stond niet aan op de laptop de virusscanner deed het niet goed de Lekkere werkgever. Op basis waarvan blijven ze erbij dat hun beslissing juist
was om deze man te ontslaan ? Ik zou als ik hem was deze werkgever
aanklagen, en een naar Amerikaanse maatstaven fikse schadevergoeding
eisen.
laptop haalde ook niet de laatste software updates binnen.
Deze meneer heeft zeker een goede reden om het berdijf aan te klagen.
onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
Door Anoniem op dinsdag 17 juni 2008 14:16
quote:
--------------------------------------------------------------------------------
onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
--------------------------------------------------------------------------------
Eerst maar even de analyse lezen voordat je een oordeel velt tenministe als je
kunt lezen
quote:
--------------------------------------------------------------------------------
onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
--------------------------------------------------------------------------------
Eerst maar even de analyse lezen voordat je een oordeel velt tenministe als je
kunt lezen
had die man toch nog geluk. in dit land mag je de rotzooi
niet eens bezitten, dan pakkenze je al op. en dan wordt er niet eens gekeken
of een virus die viese plaatjes heeft gedownload. wie ze heeft, die hangt.
niet eens bezitten, dan pakkenze je al op. en dan wordt er niet eens gekeken
of een virus die viese plaatjes heeft gedownload. wie ze heeft, die hangt.
17-06-2008, 14:46 door
U4iA
onzin, die gast heeft zeker KP zitten te kijken ! Is wel
heel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
Het is maar te hopen dat het jouw nooit gebeurt, want hetheel toevallig dat een pc-analfabeet een laptop krijgt van
z'n werkgever, de afbeeldingen in de cache stonden
(browsen..), toevallig een random target is van een virus
die KP op z'n laptop zet (nog nooit gehoord van zo'n
virus), etc
blijkt dus wel te zijn gebeurt. Zo zie je maar dat zelfs als
je wordt vrijgesproken en bewezen is dat het niet jouw
schuld is, je voor je verdere leven enorm ben gebrandmerkt.
Denk aan de twee van Putten...
17-06-2008, 14:48 door
SirDice
onzin, die gast heeft zeker KP zitten te kijken ! Is wel heel toevallig dat een pc-analfabeet een laptop krijgt van z'n werkgever, de afbeeldingen in de cache stonden (browsen..), toevallig een random target is van een virus die KP op z'n laptop zet (nog nooit gehoord van zo'n virus), etc
Ja, dat idee kreeg ik toch ook.
The evidence reveals additional pornographic activity happening on this date with no apparent origin or user interaction preceding the pornographic activity. There were no website addresses typed into the browser, no searches conducted, no other pages accessed that led to the pornography appearing on the Laptop.
M.i. een foute conclusie. Men kan niet zeggen of die addressen wel of niet ingetypt zijn. Ze hebben er alleen geen aanwijzingen voor kunnen vinden..En ik denk dat dit daar wel iets mee te maken heeft:
14:12:13 installdrivecleanerstart[1].ext
14:12:51 [2].htm – drivecleaner
14:12:51 [2].htm – drivecleaner
Maar goed, ook in dit geval is men onschulding tot het tegendeel bewezen is. Aangezien dit ook nog eens "beyond a reasonable doubt" moet gebeuren is'ie waarschijnlijk vrijgesproken wegens gebrek aan bewijs.
De opleiding die ik doe is voornamelijk voor dit soort zaken.
Particulier digitaal onderzoeker.
Kan jullie vertellen dat het beste ingewikkeld is om dit
soort praktijken te onderzoeken. Veel laat ik niet kwijt
omdat, hoe minder weten hoe te onderzoeken des te beter.
Particulier digitaal onderzoeker.
Kan jullie vertellen dat het beste ingewikkeld is om dit
soort praktijken te onderzoeken. Veel laat ik niet kwijt
omdat, hoe minder weten hoe te onderzoeken des te beter.
Ik vind het verhaal van "virus" ook wat aan de vage kant.
Maar het moet toch redelijk simpel te reproduceren zijn:
haal de cache leeg. Hang de laptop aan het internet. Binnen
een uur of zo moet er toch wel het een en ander aan "nieuwe"
KP binnen zijn gekomen...
Maar het moet toch redelijk simpel te reproduceren zijn:
haal de cache leeg. Hang de laptop aan het internet. Binnen
een uur of zo moet er toch wel het een en ander aan "nieuwe"
KP binnen zijn gekomen...
17-06-2008, 17:18 door
SirDice
Doe de jongens van Fox de groeten van me ;)
Door ctrlaltdelete
[url=http://blogs.csoonline.com/files/Forensic
Report.pdf]Technische
analyse van de laptop [/url](PDF)
bedankt voor de link! ik zit nu in opleiding voor forensisch[url=http://blogs.csoonline.com/files/Forensic
Report.pdf]Technische
analyse van de laptop [/url](PDF)
expert en het is wel leuk om een keer een echt rapport ervan
te zien!
Heren hierboven die menen dat er "natuurlijk" wel
kinderporno is bekeken: LEES eerst eens dat forensische
rapport, met name die laatste twee alinea's, die dienst doen
als samenvatting:
With only 3 hours spent on the Laptop by the DIA, they could
not possibly have conducted a thorough investigation into
the activity that may have caused the pornographic material
that appeared on Michael Fiola’s Laptop. I have spent over
100 hours conducting a thorough forensic examination of the
Laptop in order to reach the preliminary results and
conclusions contained in this report and my investigation
continues. It appears that the only investigation by the DIA
was to copy the temporary internet files and confirm that
child pornography existed on the computer when it was in
Michael Fiola’s possession.
If the DIA had reviewed the Symanec logs, they would have
discovered the numerous viruses and Trojans attacking the
Laptop for four and a half months without resolution; that
log files were missing or incomplete; that virus definition
downloads were failing; that virus scans were only taking 30
seconds to complete. If the DIA had reviewed the SMS logs
they would have discovered the numerous errors that began
the moment Michael Fiola received the Laptop thereby leaving
the Laptop unmonitored and unmaintained for four and a half
months. If the DIA had reviewed the temporary
Internet files they would have discovered suspicious
activity occurring day after day including the appearance of
pornography with no preceding event; websites being cached
to the hard drive at the rate of 20 to 40 per minute;
JavaScript files with malicious code.
Broddelwerk dus. Pure bagger. Als je had gelezen had je dat
ook kunnen zien. Eerst lezen, dan je mening klaarhebben
graag. Niet andersom.
kinderporno is bekeken: LEES eerst eens dat forensische
rapport, met name die laatste twee alinea's, die dienst doen
als samenvatting:
With only 3 hours spent on the Laptop by the DIA, they could
not possibly have conducted a thorough investigation into
the activity that may have caused the pornographic material
that appeared on Michael Fiola’s Laptop. I have spent over
100 hours conducting a thorough forensic examination of the
Laptop in order to reach the preliminary results and
conclusions contained in this report and my investigation
continues. It appears that the only investigation by the DIA
was to copy the temporary internet files and confirm that
child pornography existed on the computer when it was in
Michael Fiola’s possession.
If the DIA had reviewed the Symanec logs, they would have
discovered the numerous viruses and Trojans attacking the
Laptop for four and a half months without resolution; that
log files were missing or incomplete; that virus definition
downloads were failing; that virus scans were only taking 30
seconds to complete. If the DIA had reviewed the SMS logs
they would have discovered the numerous errors that began
the moment Michael Fiola received the Laptop thereby leaving
the Laptop unmonitored and unmaintained for four and a half
months. If the DIA had reviewed the temporary
Internet files they would have discovered suspicious
activity occurring day after day including the appearance of
pornography with no preceding event; websites being cached
to the hard drive at the rate of 20 to 40 per minute;
JavaScript files with malicious code.
Broddelwerk dus. Pure bagger. Als je had gelezen had je dat
ook kunnen zien. Eerst lezen, dan je mening klaarhebben
graag. Niet andersom.
Door Anoniem
De opleiding die ik doe is voornamelijk voor dit soort zaken.
Particulier digitaal onderzoeker.
Kan jullie vertellen dat het beste ingewikkeld is om dit
soort praktijken te onderzoeken. Veel laat ik niet kwijt
omdat, hoe minder weten hoe te onderzoeken des te beter.
De opleiding die ik doe is voornamelijk voor dit soort zaken.
Particulier digitaal onderzoeker.
Kan jullie vertellen dat het beste ingewikkeld is om dit
soort praktijken te onderzoeken. Veel laat ik niet kwijt
omdat, hoe minder weten hoe te onderzoeken des te beter.
Profileer jezelf toch niet als expert op het gebied van. Die
opleiding gaat niet eens in op bijvoorbeeld het uitzoeken
van virussen in dit verband, laat staan het reverse
engineeren van dergelijke virussen om daadwerkelijk vast te
kunnen stellen dat het doet wat in dit geval is gebeurd.
Ik werk voor een groot computerbedrijf en in de reparatiecentra komen we
regelmatig "trage/instabiele/internet werkt niet"-systemen tegen die dan
blijken geinfecteerd zijn door één tot wel honderd virussen, terwijl er een
virusscanner geinstalleerd staat. Deze virussen zorgen er
bijna altijd voor dat bijna de hele schijf volstaat met verborgen fileshares:
muziek, software, de hele handel, en mogelijk dus ook kinderporno.
regelmatig "trage/instabiele/internet werkt niet"-systemen tegen die dan
blijken geinfecteerd zijn door één tot wel honderd virussen, terwijl er een
virusscanner geinstalleerd staat. Deze virussen zorgen er
bijna altijd voor dat bijna de hele schijf volstaat met verborgen fileshares:
muziek, software, de hele handel, en mogelijk dus ook kinderporno.
18-06-2008, 14:27 door
SirDice
Door Anoniem
Deze virussen zorgen er bijna altijd voor dat bijna de hele schijf volstaat met verborgen fileshares: muziek, software, de hele handel, en mogelijk dus ook kinderporno.
Eens.. Maar google zoek resultaat pagina's? In de cache van de browser?Deze virussen zorgen er bijna altijd voor dat bijna de hele schijf volstaat met verborgen fileshares: muziek, software, de hele handel, en mogelijk dus ook kinderporno.
Persoonlijk denk ik dat hij het wel degelijk heeft gedaan en niet zo'n digibeet is als z'n verdediging heeft doen voorkomen. Dit "bewijs" is echter niet voldoende gebleken aangezien je het dus vrij eenvoudig aannemelijk kan maken dat het door malware is gekomen.
Bedenk dat zijn verdeding niet hoeft aan te tonen dat hij onschuldig is. Twijfel zaaien is voldoende.
Door Anoniem
Profileer jezelf toch niet als expert op het gebied van. Die
opleiding gaat niet eens in op bijvoorbeeld het uitzoeken
van virussen in dit verband, laat staan het reverse
engineeren van dergelijke virussen om daadwerkelijk vast te
kunnen stellen dat het doet wat in dit geval is gebeurd.
Profileer jezelf toch niet als expert op het gebied van. Die
opleiding gaat niet eens in op bijvoorbeeld het uitzoeken
van virussen in dit verband, laat staan het reverse
engineeren van dergelijke virussen om daadwerkelijk vast te
kunnen stellen dat het doet wat in dit geval is gebeurd.
Dat is exact een majeur probleem van het rapport. Onkunde op het gebied van
malware en talloze ongefundeerde (en soms ridicuul vergaande) conclusies.
Malware toon je niet aan met behulp van een scanner, maar met echt
onderzoek. Reverse engineeren is overigens niet eens nodig.
Het is ook een voorbeeld van naar-een-doel-toewerken-rapport.
Door Anoniem
Onkunde op het gebied van malware en talloze ongefundeerde
(en soms ridicuul vergaande) conclusies.
Het zou opOnkunde op het gebied van malware en talloze ongefundeerde
(en soms ridicuul vergaande) conclusies.
prijs gesteld worden wanneer je dit wilt onderbouwen. Als je
van mening bent dat belangrijke aandachtspunten worden
gemist, dan mag je daar best over in detail treden, zodat
daar bij toekomstig vergelijkbare onderzoeken rekening mee
gehouden kan worden. Dat lijkt mij in dat geval wel zo
belangrijk.
Malware toon je niet aan met behulp van een scanner,
maar met echt onderzoek.
De focus van het rapportmaar met echt onderzoek.
ligt vooral op het indirecte bewijs van malware: het gevolg.
Welk mens kan bijvoorbeeld 20 tot 40 website's per minuut
bezoeken? Rekeninghoudend met de voor de (aard van de)
organisatie te verwachten staat van de laptop op het moment
van uitreiking aan de werknemer is onbegrijpelijk dat
de corporate edition antivirus protection software niet
functioneerde en Systems Management Server niet
functioneerde en foutief geconfigureerd bovendien waardoor
de laptop niet gecontroleerd en onderhouden kon worden, maar
er pas na maanden een bel ging rinkelen bij het ontvangen
van een rekening voor een abonnement op wireless internet.
Onverwacht zijn eveneens de onvolledige Windows registratie
en de (overbodig) aangemaakte actieve (test) useraccounts
waarvan uitsluitend de werkmappen zijn verwijderd.
Opmerkelijk zijn dat zijn stuk voor stuk zaken die een
gebruiker normaliter niet kan beïnvloeden, wanneer een
zakelijke laptop door een organisatie in een ten behoeve van
het werk te verwachten staat wordt meegegeven.
Het is ook een voorbeeld van
naar-een-doel-toewerken-rapport.
Het vermogen om eennaar-een-doel-toewerken-rapport.
zo objectief mogelijk rapport te schrijven, wat opzich een
doel is waar naartoe gewerkt kan worden, is niet iedereen
gegeven.
24-06-2008, 07:36 door
spatieman
maar ondertussen zit het managment van het bedrijf WEL
lekker pron en co te downloaden en te fappen achter hun buro.
lekker pron en co te downloaden en te fappen achter hun buro.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
