Forensische tool politiediensten bevat beveiligingslek
Een tool die opsporings- en politiediensten wereldwijd gebruiken voor het veiligstellen van digitaal bewijs bevat een kwetsbaarheid waardoor een aanvaller het systeem van de forensisch onderzoeker kan overnemen en de ontwikkelaar van de software is niet van plan om een beveiligingsupdate uit te brengen.
De kwetsbaarheid bevindt zich in de EnCase Forensic Imager. Een gratis tool waarmee een forensisch onderzoeker bewijsmateriaal van opslagmedia kan veiligstellen. Het bewijsmateriaal is vervolgens later in de commerciële EnCase Forensic suite te analyseren. Onderzoekers van beveiligingsbedrijf SEC Consult ontdekten een beveiligingslek in de Forensic Imager. Door een opslagapparaat te voorzien van een geprepareerde LVM2-partitie is het mogelijk om het systeem van een forensisch onderzoeker over te nemen als die het apparaat onderzoekt.
Het kan dan bijvoorbeeld gaan om een usb-stick van een verdachte die wordt onderzocht, waarbij de onderzoeker via de Forensic Imager de datadrager onderzoekt. Via de kwetsbaarheid kan een aanvaller de machine van de onderzoeker verbinding met bijvoorbeeld zijn server laten maken. Vervolgens is het mogelijk om bewijs op de machine van de onderzoeker te manipuleren of te verwijderen, aldus de onderzoekers. De producten van Guidance Software, ontwikkelaar van EnCase, worden onder andere door de FBI, CIA, NAVO en de Nederlandse Politieacademie gebruikt, alsmede grote bedrijven zoals Microsoft, Facebook, Apple en Yahoo.
Volgens de onderzoekers maken sommige organisaties gebruik van speciale machines zonder netwerk- of internettoegang om met bewijsmateriaal om te gaan, maar zou dat niet tegen deze aanval beschermen. Een aanvaller kan nog steeds malware maken die bewijsmateriaal verwijdert. Zo kan de malware bijvoorbeeld alle Excel-bestanden op het systeem verwijderen of bestanden waarin een bepaalde naam voorkomt.
SEC Consult waarschuwde Guidance Software in maart van dit jaar, maar het bedrijf heeft geen oplossing uitgebracht en is dit ook niet van plan. Volgens het softwarebedrijf gaat het om een randgeval en komt er bij het verwerken van "raw data" altijd een risico kijken. Guidance Software stelt verder dat het niet om een ernstig probleem gaat. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.
Ik heb voor dit soort hobbyklussen een barebone met een standaard os install en een reeks kabels en controllers voor PATA, SATA, MFM enz enz
Tijdje terug nog een paar Macs voor iemand gestrubt en een Android telefoon. Best leuk.
Ook handig in de rechtbank dit soort onderzoeken. Zo van, er dient uitgesloten te worden dat de politie geen gebruik maakte van een manipuleerbare forensische toolkit bij het vergaren van bewijs.
De betrouwbaarheid van forensisch bewijs is in het geding. Lijkt mij behoorlijk ernstig. Eigenlijk zouden alle politie diensten moeten stoppen met het gebruik van Encase, totdat dit probleem is verholpen. If not; dan moet bewijs vergaard met Encase als niet-ontvankelijk worden beschouwd in de rechtzaal, door de mogelijkheid om het materiaal te manipuleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
