Een tool die opsporings- en politiediensten wereldwijd gebruiken voor het veiligstellen van digitaal bewijs bevat een kwetsbaarheid waardoor een aanvaller het systeem van de forensisch onderzoeker kan overnemen en de ontwikkelaar van de software is niet van plan om een beveiligingsupdate uit te brengen.
De kwetsbaarheid bevindt zich in de EnCase Forensic Imager. Een gratis tool waarmee een forensisch onderzoeker bewijsmateriaal van opslagmedia kan veiligstellen. Het bewijsmateriaal is vervolgens later in de commerciële EnCase Forensic suite te analyseren. Onderzoekers van beveiligingsbedrijf SEC Consult ontdekten een beveiligingslek in de Forensic Imager. Door een opslagapparaat te voorzien van een geprepareerde LVM2-partitie is het mogelijk om het systeem van een forensisch onderzoeker over te nemen als die het apparaat onderzoekt.
Het kan dan bijvoorbeeld gaan om een usb-stick van een verdachte die wordt onderzocht, waarbij de onderzoeker via de Forensic Imager de datadrager onderzoekt. Via de kwetsbaarheid kan een aanvaller de machine van de onderzoeker verbinding met bijvoorbeeld zijn server laten maken. Vervolgens is het mogelijk om bewijs op de machine van de onderzoeker te manipuleren of te verwijderen, aldus de onderzoekers. De producten van Guidance Software, ontwikkelaar van EnCase, worden onder andere door de FBI, CIA, NAVO en de Nederlandse Politieacademie gebruikt, alsmede grote bedrijven zoals Microsoft, Facebook, Apple en Yahoo.
Volgens de onderzoekers maken sommige organisaties gebruik van speciale machines zonder netwerk- of internettoegang om met bewijsmateriaal om te gaan, maar zou dat niet tegen deze aanval beschermen. Een aanvaller kan nog steeds malware maken die bewijsmateriaal verwijdert. Zo kan de malware bijvoorbeeld alle Excel-bestanden op het systeem verwijderen of bestanden waarin een bepaalde naam voorkomt.
SEC Consult waarschuwde Guidance Software in maart van dit jaar, maar het bedrijf heeft geen oplossing uitgebracht en is dit ook niet van plan. Volgens het softwarebedrijf gaat het om een randgeval en komt er bij het verwerken van "raw data" altijd een risico kijken. Guidance Software stelt verder dat het niet om een ernstig probleem gaat. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.