image

Forensische tool politiediensten bevat beveiligingslek

vrijdag 12 mei 2017, 13:32 door Redactie, 6 reacties

Een tool die opsporings- en politiediensten wereldwijd gebruiken voor het veiligstellen van digitaal bewijs bevat een kwetsbaarheid waardoor een aanvaller het systeem van de forensisch onderzoeker kan overnemen en de ontwikkelaar van de software is niet van plan om een beveiligingsupdate uit te brengen.

De kwetsbaarheid bevindt zich in de EnCase Forensic Imager. Een gratis tool waarmee een forensisch onderzoeker bewijsmateriaal van opslagmedia kan veiligstellen. Het bewijsmateriaal is vervolgens later in de commerciële EnCase Forensic suite te analyseren. Onderzoekers van beveiligingsbedrijf SEC Consult ontdekten een beveiligingslek in de Forensic Imager. Door een opslagapparaat te voorzien van een geprepareerde LVM2-partitie is het mogelijk om het systeem van een forensisch onderzoeker over te nemen als die het apparaat onderzoekt.

Het kan dan bijvoorbeeld gaan om een usb-stick van een verdachte die wordt onderzocht, waarbij de onderzoeker via de Forensic Imager de datadrager onderzoekt. Via de kwetsbaarheid kan een aanvaller de machine van de onderzoeker verbinding met bijvoorbeeld zijn server laten maken. Vervolgens is het mogelijk om bewijs op de machine van de onderzoeker te manipuleren of te verwijderen, aldus de onderzoekers. De producten van Guidance Software, ontwikkelaar van EnCase, worden onder andere door de FBI, CIA, NAVO en de Nederlandse Politieacademie gebruikt, alsmede grote bedrijven zoals Microsoft, Facebook, Apple en Yahoo.

Volgens de onderzoekers maken sommige organisaties gebruik van speciale machines zonder netwerk- of internettoegang om met bewijsmateriaal om te gaan, maar zou dat niet tegen deze aanval beschermen. Een aanvaller kan nog steeds malware maken die bewijsmateriaal verwijdert. Zo kan de malware bijvoorbeeld alle Excel-bestanden op het systeem verwijderen of bestanden waarin een bepaalde naam voorkomt.

SEC Consult waarschuwde Guidance Software in maart van dit jaar, maar het bedrijf heeft geen oplossing uitgebracht en is dit ook niet van plan. Volgens het softwarebedrijf gaat het om een randgeval en komt er bij het verwerken van "raw data" altijd een risico kijken. Guidance Software stelt verder dat het niet om een ernstig probleem gaat. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.

Image

Reacties (6)
12-05-2017, 13:42 door Anoniem
Encase , joh.. bestaat dat nog... wel interessant artikel. Alleen wie gaat er een disk scrubben of onderzoeken vanaf een pc met internet? Of überhaupt een pc met enige zinvolle data?
Ik heb voor dit soort hobbyklussen een barebone met een standaard os install en een reeks kabels en controllers voor PATA, SATA, MFM enz enz

Tijdje terug nog een paar Macs voor iemand gestrubt en een Android telefoon. Best leuk.
12-05-2017, 13:51 door Anoniem
Dus.... na je Encase op een gekloonde image, nog even de En case disk zelf scrubben op deleten files op een tweede systeem... lol.

Ook handig in de rechtbank dit soort onderzoeken. Zo van, er dient uitgesloten te worden dat de politie geen gebruik maakte van een manipuleerbare forensische toolkit bij het vergaren van bewijs.
12-05-2017, 14:28 door Anoniem
Vervolgens is het mogelijk om bewijs op de machine van de onderzoeker te manipuleren of te verwijderen, aldus de onderzoekers.

Guidance Software stelt verder dat het niet om een ernstig probleem gaat

De betrouwbaarheid van forensisch bewijs is in het geding. Lijkt mij behoorlijk ernstig. Eigenlijk zouden alle politie diensten moeten stoppen met het gebruik van Encase, totdat dit probleem is verholpen. If not; dan moet bewijs vergaard met Encase als niet-ontvankelijk worden beschouwd in de rechtzaal, door de mogelijkheid om het materiaal te manipuleren.
12-05-2017, 14:36 door Anoniem
Handig ook voor advocaten. Ik weet al wat die gaan zeggen ter verdediging van de verdachte.
12-05-2017, 14:46 door Anoniem
This isn't over.
12-05-2017, 14:47 door Anoniem
Het gevaar zit hem nog geen eens in het verbinding maken. Er kan met het zelfde gemak een stukje code geinjecteerd worden dat er voor zorgt dat er tijdens het imagen iedere keer een sector met willekeurige data wordt overschreven voordat die wordt ingelezen. De forensisch onderzoeker ziet gewoon de voortgangsbalk rustig naar 100% lopen en staat er verder niet bij stil. Totdat men met de analyse wilt beginnen en er vervolgens achter komt dat zowel de bron als het kopie volledig zijn overschreven met willekeurige data. Ik denk dat criminelen bereid zijn om heel veel geld neer te leggen voor een kant en klare exploit kit waarmee disks geprepareerd kunnen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.