image

Onderzoeker lanceert opensourcetool voor forensisch onderzoek

donderdag 6 juli 2017, 13:46 door Redactie, 5 reacties

Beveiligingsonderzoeker Vitaly Kamluk heeft een opensourcetool voor remote forensisch onderzoek uitgebracht die bedoeld is voor andere onderzoekers, politie en bedrijven. Kamluk is werkzaam voor anti-virusbedrijf Kaspersky Lab, maar heeft deze tool op eigen titel ontwikkeld en gepubliceerd.

Via Bitscout 2.0 is het mogelijk om via ssh en vpn op afstand toegang tot systemen te krijgen en die te onderzoeken. Een eigenaar van een gehackt of besmet systeem brandt het programma op een cd en start vervolgens het getroffen systeem van deze cd. Zo kan er bijvoorbeeld een forensische kopie van een harde schijf worden gemaakt zonder dat de forensisch onderzoeker ter plekke hoeft te zijn. Ook kan de tool worden gebruikt om bijvoorbeeld malware zoals rootkits van systemen te verwijderen.

Kamluk stelt dat bij het gebruik van soortgelijke tools vertrouwen een belangrijke rol speelt, omdat de eigenaar van het systeem iemand anders op afstand toegang geeft. Om deze vertrouwenskwestie op te lossen beperkt Bitscout 2.0 de toegang die een expert tot de hardware heeft en monitort alles wat hij of zij doet. Zo heeft de expert die op afstand is ingelogd alleen rootrechten binnen een virtuele 'unprivileged' container. De expert kan daarnaast alleen maar de harde schijven benaderen waar de eigenaar van het systeem toegang toe geeft.

Het is wel mogelijk voor de expert om aanvullende software te installeren en systeembestanden aan te passen, zonder het risico dat het hostsysteem of de gegevens op de harde schijf worden aangepast. Alle aanpassingen vinden namelijk in het werkgeheugen van het systeem plaats. Voor monitoring worden alle remote sessies opgeslagen en buiten de container van de expert bewaard. "Dit biedt een goed scheidingsniveau en een manier om het forensisch proces voor leerdoeleinden te reconstrueren of het bestaan van bewijs aan te tonen", aldus de onderzoeker. Bitscout 2.0 is te downloaden via GitHub.

Image

Reacties (5)
06-07-2017, 14:21 door Anoniem
Ik vind beetje vreemd dat meneer zo'n onderzoekstool ontwikkeld onder eigen naam en niet gewoon onder kaspersky want die kunnen zo'n tool ook goed gebruiken om besmette systemen te onderzoeken. Hij heeft de kennis om e.e.a. te ontwikkellen vast ook bij kaspersky opgedaan. Maar het gevaar voor zo'n tool in handen van politie eb justitie is dat die tegen een verdachte (van bijv. KP) kan worden ingezet.Dat gaat alsvolgt:de politie hacked/besmet de pc of smartphone met malware en hoopt dat verdachte dan aangifte doet en als hij/zij dat doet wordt verteld dat er een tool is om de malware/hacking te achterhalen en of verdachte (die dus nog niet is aangehouden) en of verdachte daaraan wil meewerken. Weigert deze dan is hij (nog meer) verdacht,gaat ie akkoord dan gaan de forensische rechercheurs op zoek naar bewijzen tegen verdachte want de malware die op het apparaat staat hebben ze immers zelf erop gezet. Ik noemde even als voorbeeld een persoon verdacht van kp maar dit kan uiteraard ook iets heel anders betreffen.
06-07-2017, 15:15 door buttonius
Ik zou niet zomaar geloven dat een remote inspection tool waar de politie mee aan komt zetten mijn systeem op geen enkele manier modificeert.
Daarom krijgt de politie nooit mijn toestemming om aan mijn computers, telefoons of wat voor informatiedragers dan ook onderzoek te doen. Daarmee maak ik mezelf misschien verdacht, maar dat is dan maar zo. Als ze echt willen, moeten ze eerst de boel maar officieel in beslag nemen, in mijn aanwezigheid verzegelen en netjes bij het NFI laten onderzoeken.

Met het hackvoorstel kan de politie zelf bewijs hebben aangebracht dat ze vervolgens met wat voor tool dan ook "aantreffen".
Bewijs dat is aangetroffen op een computer of telefoon van een verdachte heeft door dat hackvoorstel minder overtuigingskracht; het hackvoorstel verschaft iedereen die bij de computer betrokken was toch iets van plausible deniability.
06-07-2017, 15:20 door Anoniem
Er gaat voor forensisch onderzoek niks boven fysieke toegang tot de server, ook i.v.m. bewijsmateriaal zal er altijd eerst een 1:1 kopie gemaakt worden van de aangesloten media en pas met de kopieën 'gewerkt' gaan worden.

Op zich een leuk tool maar om het nu meteen als 'forensisch' te bestempelen gaat me wel wat ver.
06-07-2017, 15:39 door Anoniem
@buttonius.

Als je aangever bent van gehackte systemen werk je toch mee met de politie?.
Je wilt toch immers dat de hacker gestraft wordt.

En ben je verdachte, dan komt de politie omstreeks 06.00 uur zonder kloppen bij je binnen, zet je in de boeien en voeren je af naar een bureau.
Dan gaat onder leiding van de rechter-commissaris de huiszoeking van start.
Jouw spulletjes worden netjes gelabeld, gaan naar een bureau en worden daar door een digitaal rechercheur onderzocht.
En ze hebben jouw toestemming niet nodig...
06-07-2017, 16:42 door buttonius
Door Anoniem: @buttonius.

Als je aangever bent van gehackte systemen werk je toch mee met de politie?.
Je wilt toch immers dat de hacker gestraft wordt.

En ben je verdachte, dan komt de politie omstreeks 06.00 uur zonder kloppen bij je binnen, zet je in de boeien en voeren je af naar een bureau.
Dan gaat onder leiding van de rechter-commissaris de huiszoeking van start.
Jouw spulletjes worden netjes gelabeld, gaan naar een bureau en worden daar door een digitaal rechercheur onderzocht.
En ze hebben jouw toestemming niet nodig...
Als ik zelf aangifte doe van een hack; dan is het natuurlijk redelijk om mee te werken aan forensisch onderzoek. Maar ook in dat geval zou ik ernstige twijfel hebben aan de bewijskracht van een tool dat op afstand van alles kan doen. Op zijn minst zou het een logboek moeten aanmaken van alle verrichte handelingen, zoveel mogelijk met cryptografische checksums van de betrokken bestanden.

En als ik verdachte ben dan zal de politie tevoren toestemming hebben gekregen van een officier van justitie o.i.d. voor een doorzoeking. Zonder dat laat ik ze niet binnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.