Duitse politie vraagt wifi-aanbieders om hulp bij zoektocht naar afperser
De Duitse politie heeft aanbieders van open wifi-netwerken in Berlijn om hulp gevraagd bij de zoektocht naar een afperser. Eind 2017 en begin 2018 verstuurde een nog onbekende persoon verschillende "bompakketten" om zo koeriersdienst DHL af te persen voor een bedrag van 1 miljoen euro.
De pakketten, die naar locaties in Berlijn en Brandenburg werden gestuurd, bevatten vuurwerk, spijkers en een losgeldbrief. In april vorig jaar verstuurde de afperser via open wifi-netwerken ook verschillende e-mails naar DHL. Aan de hand van deze e-mails hebben de autoriteiten het MAC-adres van de afzender weten te achterhalen. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend.
Aanbieders van open wifi-netwerken en thuisgebruikers zijn nu door de Duitse autoriteiten gevraagd om in de logbestanden van hun wifi-router te kijken of het specifieke MAC-adres met hun wifi-netwerk verbinding heeft gemaakt. Om gebruikers hiermee te helpen heeft de Duitse politie een korte uitleg online gezet voor het inloggen op de router.
Een externe syslog server kun je vaak wel configureren maar wie doet dat?
enp9s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.8.8.8 netmask 255.255.0.0 broadcast 10.8.255.255
ether f8:e0:79:af:57:eb txqueuelen 1000 (Ethernet)
RX packets 6693326 bytes 1301094331 (1.3 GB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4455435 bytes 9235010171 (9.2 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 18
En mac adres op zich zegt helemaal niks, er zal veel meer bewijsmateriaal aan te pas moeten komen.
Wat wellicht ook prima genoemd kan worden in dit artikel is dat dit soort adressen zeer eenvoudig te wijzigen (spoofing) zijn, wat het m.i. lastig maakt om iemand op basis van alleen deze informatie te vervolgen. Als een eerste stap in een groter onderzoek zou het mogelijk een aanwijzing kunnen zijn.
https://en.wikipedia.org/wiki/MAC_spoofing
Wat wellicht ook prima genoemd kan worden in dit artikel is dat dit soort adressen zeer eenvoudig te wijzigen (spoofing) .....
Wir wissen, dass sich mit bestimmten Programmen oder Apps die MAC-Adresse ändern lässt. Es ist aber unwahrscheinlich, dass mehrere unterschiedliche Personen genau diese MAC-Adresse bis zum jetzigen Zeitpunkt im Bereich Berlin und Brandenburg genutzt haben.
Meerdere factoren maken het wel degelijk als bewijs. Zoals ooit een blokker kookwekker. Je zou aan een looplijnen .. meerdere lokatie kunnen denken met tijdstippen. Heb je beelden die anders geen verband geven dan zou dat nu wel kunnen komen.
Wat wellicht ook prima genoemd kan worden in dit artikel is dat dit soort adressen zeer eenvoudig te wijzigen (spoofing) .....
Wir wissen, dass sich mit bestimmten Programmen oder Apps die MAC-Adresse ändern lässt. Es ist aber unwahrscheinlich, dass mehrere unterschiedliche Personen genau diese MAC-Adresse bis zum jetzigen Zeitpunkt im Bereich Berlin und Brandenburg genutzt haben.
Meerdere factoren maken het wel degelijk als bewijs. Zoals ooit een blokker kookwekker. Je zou aan een looplijnen .. meerdere lokatie kunnen denken met tijdstippen. Heb je beelden die anders geen verband geven dan zou dat nu wel kunnen komen.
MAC en ander bewijsmateriaal is een ding. Dat heet combineren en een timeline maken en gezond onderzoek. Probleem is dat we te vaak zien dat politiediensten de neiging hebben op zoek te gaan naar een silver bullet. En dat is een MAC absoluut niet.
Probleem is dat ze het in Twitter precies verkeerd om hebben. Het punt of meerdere personen hetzelfde MAC gebruiken is irrelevant, het gaat er om of de ene dader tijdens zijn acties de MAC steeds naar dezelfde MAC heeft gespoofd om zijn acties in de schoenen van een willekeurige derde te schuiven. Degene die de Twitter heeft geschreven heeft de implicaties van MAC spoofing precies verkeerd om begrepen en dat is een fout die geeft te denken voor de kwaliteit van het hele onderzoek...
Even een paar dingen duidelijk maken:
- bewijs is in de rechtspraak iets anders dan in de wiskunde. het bewijzen van betrokkenheid bij een misdrijf is
iets anders dan het bewijzen van de stelling van pythagoras of de geldigheid van de ABC formule.
- het is helemaal niet gezegd dat dit bedoeld is als bewijs. het is een opsporingsmiddel.
als de persoon gevonden wordt die gebruik heeft gemaakt van dit MAC adres EN hij heeft materialen in zijn
schuur liggen die overeenkomen met wat er daar gebruikt is EN hij heeft de pen of printer waarmee die brief
geproduceerd heeft op zijn kamertje staan of liggen, dan heeft die gast een PROBLEEM.
zelfs als dat dan in jullie ogen nog steeds geen bewijs is.
enp9s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.8.8.8 netmask 255.255.0.0 broadcast 10.8.255.255
ether f8:e0:79:af:57:eb
Dank, ik heb je zojuist aangegeven.
Probleem is dat ze het in Twitter precies verkeerd om hebben. Het punt of meerdere personen hetzelfde MAC gebruiken is irrelevant, het gaat er om of de ene dader tijdens zijn acties de MAC steeds naar dezelfde MAC heeft gespoofd om zijn acties in de schoenen van een willekeurige derde te schuiven. Degene die de Twitter heeft geschreven heeft de implicaties van MAC spoofing precies verkeerd om begrepen en dat is een fout die geeft te denken voor de kwaliteit van het hele onderzoek...
Dat is weerlegd met die tweet.
De tweede bewering is dat het mac adres meteen de dader identificeert. Dat staat nergens, ze zoeken verbanden met gangen. Wat er in die tweet staat is dat ze beseffen dat het mac-adres hartstikke gespoofed mag zijn. Ze hebben kennelijk een waarneming van iets wat er bij hoort en kijken of er met een beweging/verplaatsing wat mee te doen is.
Herinner je: https://nos.nl/artikel/2062871-jumbo-afperser-gepakt-dankzij-kookwekkers.html
Misschien is het een idee om iedereen met een Motorola smartphone alvast DNA te laten afstaan? (just joking)
En mac adres op zich zegt helemaal niks, er zal veel meer bewijsmateriaal aan te pas moeten komen.
Je maakt een paar fouten met deze fake. Dus daar kan men snel doorheen prikken.
Is het op basis hiervan dat men de dader(s) zoekt?
Kan me niet voorstellen dat het niet gespoofed is via een kali root: https://twitter.com/notdan/status/576457375634333697
Zijn het amateurs geweest, worden ze zeer zeker gepakt door het Bundeskriminalambt.
En een klein foutje kan in een heel klein bitje zitten.
If you cannot do the time, do not do the crime.
Misschien is het een idee om iedereen met een Motorola smartphone alvast DNA te laten afstaan? (just joking)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
