Computer Forensics foredrag - Prosa

Velkommen til 

Computer Forensics foredrag 

Maj 2005 

Henrik Lund Kramshøj 

hlk@security6.net 

http://www.security6.net 

c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 1

Formålet med foredraget 

Give en introduktion til emnet Computer Forensics værktøjer samt 

metoder 

Sætte deltagerne istand til at kunne gennemføre enkle undersøgelser 

af egne systemer 


Computer Forensics foredrag 

Emner der introduceres i foredraget 

• Incident response 

• Incident handling 

• Computer forensics 

• Bevissikring 

• Forensics software 

• Data som bevismateriale 

• Brug af FRED 

• Brug af MD5 kryptografisk hash funktion 

• Logfiler og computer forensics 


Computer Forensics kursus 

Emner der er med i kursusforløbet: 

• Hvordan opdages rootkits - UNIX og Windows 

• integritetscheckere AIDE og tripwire 

• Rootkits indflydelse på computer forensics 

• Eksempler på praktiske metodikker 

• Trin for trin undersøgelse 

• Bevissikring og dokumentation 

• recovering from root compromise, håndtering af hackede systemer 

• dd kommandoen - læsning af harddiske på laveste niveau 

• netcat og cryptcat 

• Videregående programmer og scripts 

• Filsystemer og computer forensics 

Selvom øvelserne foregår med UNIX så frygt ikke 

- det er minimalt hvad der reelt er UNIX 


Hvis I har travlt og går før tid ;-) 

Autoclave - disk eraser 

Sletning af diske kan foretages med eksempelvis autoclave 

Den findes på følgende link: 

http://staff.washington.edu/jdlarios/autoclave/install 

html 

Jeg har lavet et CD image der kan skrives på en CD-R og bootes på 

nyere laptops - der sjældent har floppy drev 

http://www.digitalforbryder.dk/files/ 

ad-hoc oprydning, formatering og sletning af filer 

giver ingen sikkerhed! 


Definition 

Computer Forensics involves the preservation, identification, 

extraction, documentation and interpretation 

of computer data. 

Computer Forensics: Incident Response Essentials, Warren G. Kruse II og 

Jay G. Heiser, Addison-Wesley, 2002 


Incident response 

Hvad er en hændelse? 

• Min printer virker ikke og min maskine er langsom 

• Min pc rebooter hele tiden og snakker om RPC et eller andet 

• Vores UNIX system er løbet tør for plads - hvorfor det? 

Kan vi ikke bare lukke øjnene? 

• Driftstab - direkte eller afledte tab som følge af en hændelse 

• Udefrakommende krav - økonomisystemer, momsafregning, 

lønudbetaling, bod, service aftaler, persondata lovgivningen 

• Imagetab - troværdigheden er på spil 

• genoprettelse af forretningskritiske funktioner 

- typisk høj prioritet i kommercielle sammenhænge 


Bevissikring - chain of custody 

Det er vigtigt at data der indsamles ikke ødelægges! 

Kan data bruges i en eventuel retssag? 

Hvad skal gemmes af information om data: 

• Hvem indsamlede data 

• Hvornår blev data indsamlet? 

• Hvor skete det? 

• Hvordan skete det? 

• Hvem opbevarede data og kopier efterfølgende? og hvor? 

Sørg for at harddiske og systemer efterfølgende opbevares i aflåst 

skab/rum 


Fordele ved computer forensics 

Hvad giver computer forensics af fordele 

• Mulighed for at afgøre omfanget af et indbrud 

• Mulighed for at komme til bunds i sagerne 

• Mulighed for at opbevare data på betryggende måde 

• Opdage fejl i håndteringen af data og medier 

- procedurer til sletning af data underbygges med viden 

Det er et redskab til at få mere viden - og derfor kunne håndtere nuværende 

og fremtidige sager mere effektivt 


Forensics Software 

Computer forensics er stadig et nyt emne for mange 

- TCT som beskrives senere er fra August 1999 

Der er mange værktøjer - closed/open source, kommercielle og gratis 

• Der er flere open source værktøjer til open source platformene - naturligvis 

• Der findes mange gode freeware til Windows 

Computer forensics er et hot emne 

computer forensics som søgeord på Amazon.com gav i oktober 2003 

ca. 34 hits og april 2004 7587 hits! 

- antallet af materialer og bøger stiger støt 


Brug af F.I.R.E forensics cd-rom 

F.I.R.E er en cd-rom man kan bruge frit 

Den hentes som en ISO fil og brændes på cd-rom 

Den indeholder både Windows og Linux værktøjer 

Der er andre muligheder - og man kan nemt lave sin egen 

CD’en kan findes via: 

http://sourceforge.net/projects/biatchux/ 

Selve indholdet er lidt bedaget, men der er en god samling af Windows værktøjer 


Kommandoer til FIRE og netcat 

Hacket system 

IP adresse 192.168.0.2 

analyse system 

IP adresse 192.168.0.1 

boot fra CD 

Autopsy og TASK m.fl. 

netværk 

Disk 

image kopiering 

image 

filer 

• find harddisken og partionerne med fdisk programmet, eller se på /etc/fstab på UNIX 

• hacket system: dd if=/dev/hdd1 | nc 192.168.0.1 1234 

• analyse-server: nc -l 1234 > image.hdd1.dd 

• Hvilken boot CD? Auditor anbefales 

• http://www.remote-exploit.org - Auditor security collection 


Data som bevismateriale 

Data er flygtige - nogle mere end andre! 

Hvordan sikrer man at data er autentiske? 

• Indsamling af data - uden at modificere 

• Validere data - uden at modificere 

• Analysere data - uden at modificere 

På engelsk de tre A’er indenfor computer forensics 

• Acquire - erhverve, indsamle, opsamle 

• Authenticate - autentificere data - er det samme som originalt indsamlet 

• Analyze - analyse af data 


volatility - flygtige data 

Ordbogen siger om udtrykket: flygtighed, letbevægelighed 

De data vi vil analysere er flygtige: 

• data i hukommelsen programmer 

• data i hukommelsen moduler, drivere, trojanske heste, virus, ... 

• data på harddisken - mange filer ændres/overskrives ved næste boot 

Det er vigtigt at få information fra det kørende system 


FRED 

First Responders Evidence Disk - FRED 

Udviklet af Air Force Office of Special Investigations 

Forensics værkøj som hurtigt indsamler vigtige data fra et kørende 

Windows system 

Afvikles automatisk - kan bruges uden særlig erfaring 

FRED indsamler og gemmer oplysningerne på et eksternt medie - en 

3.5” diskette 

Findes på F.I.R.E cd-rom under win32 kataloget 

Reference: http://www.csa.syr.edu/Jesse_Kornblum.pdf 


MD5 message digest funktion 

HASH algoritmer giver en unik værdi baseret på input 

output fra algoritmerne kaldes også message digest 

MD5 er et eksempel på en meget brugt algoritme 

MD5 algoritmen har følgende egenskaber: 

• output er 128-bit ”fingerprint” uanset længden af input 

• output værdien ændres radikalt selv ved få ændringer i input 

MD5 er blandt andet beskrevet i RFC-1321: 

Digest Algorithm 

The MD5 Message- 

Algoritmen MD5 er baseret på MD4, begge udviklet af Ronald L. 

Rivest kendt fra blandt andet RSA Data Security, Inc 


Registreringsdatabasen 

Windows systemer indeholder en database med information om systemet 

kaldet registreringsdatabasen 

Indholdet er blandt andet: 

• information om installerede programmer fra Microsoft og andre leverandører 

• information om drivere 

• information om services og andre programmer der skal startes ved genstart 

registreringsdatabasen og specielt “run-keys” er interessante 

Denne database er blot et eksempel på at det hjælper at vide hvad 

man leder efter! Der findes mange filformater, databaser og det er 

svært på forhånd at sige hvad der skal undersøges 


Logfiler og computer forensics 

Logfiler er en nødvendighed for at have et transaktionsspor 

Logfiler er desuden nødvendige for at fejlfinde 

Det kan være relevant at sammenholde logfiler fra: 

• routere 

• firewalls 

• intrusion detection systemer 

• adgangskontrolsystemer 

• ... 

Husk - tiden er vigtig! Network Time Protocol (NTP) anbefales 

Husk at logfilerne typisk kan slettes af en angriber - hvis denne får 

kontrol med systemet! 


Andre typer computer forensics 

Netværks forensics - sniffere 

Afkodning af netværksdata 

Værktøjer der kan hjælpe 

• tcpdump - netværkssniffer 

• ethereal - grafisk netværkssniffer 

• Snort - intrusion detection system 

Ofte kan programmerne læse data fra filer som er opsamlet tidligere 


kan gemme netværkspakker i filer 

kan læse netværkspakker fra filer 

tcpdump - filformat 

TCPDUMP format er blevet de facto standarden for opsamling af 

netværkstrafik 

[root@otto hlk]# tcpdump -i en0 

tcpdump: listening on en0 

13:29:39.947037 fe80::210:a7ff:fe0b:8a5c > ff02::1: icmp6: router advertisement 

13:29:40.442920 10.0.0.200.49165 > dns1.cybercity.dk.domain: 1189+[|domain] 

13:29:40.487150 dns1.cybercity.dk.domain > 10.0.0.200.49165: 1189 NXDomain*[|domain] 







13:29:40.805160 10.0.0.200 > mail: icmp: echo request 

13:29:40.805670 mail > 10.0.0.200: icmp: echo reply 

... 


TCT 

The Coroner’s Toolkit (TCT) is a collection of tools that 

are either oriented towards gathering or analyzing forensic 

data on a Unix system. 

Frigivet August 1999 

Lavet af Dan Farmer og Wietse Venema, som er kendt for SATAN og 

flere andre sikkerhedsrelaterede værktøjer 

http://www.fish.com/forensics/ 

Reklame: Postfix postserveren som er lavet af Wietse er genial - den 

kan hentes på http://www.postfix.org/ 


TASK og Autopsy 

Inspireret af TCT har Brian Carrier fra Atstake lavet flere værktøjer til 

forensics analyse 

http://www.atstake.com/research/tools/forensic/ 

Det officielle hjem for TASK og autopsy er nu: www.sleuthkit.org 

TASK kan betragtes som en erstatning for TCT 

Autopsy er en Forensic Browser - et interface til TASK 

TASK og Autopsy opdateres løbende! 


Forbindelser til autopsy 

Når I starter autopsy vil den vise en URL adresse, eksempelvis: 

Evidence Locker: /home/hlk/cases/ 

Start Time: Mon Jun 23 14:16:21 2003 

Paste this as your browser URL on 10.0.0.11: 

http://hostnavn:1234/7879597763383878986/autopsy 

Husk at fordi systemet tror den hedder hostnavn, kan det være at jeres 

klient og browser IKKE kender dette navn. 

I skal derfor måske skrive IP-adressen: 

http://10.2.3.4:1234/7879597763383878986/autopsy 


Add image i autopsy 

• Når I tilføjer image filerne til autopsy skal I som minimum angive: 

• placeringen af filen, typen af filsystemet og det oprindelige mount point 


Analyse første skridt - create datafile 


Analyse - create timeline 


Hvorfor er tiden så vigtig 

tid 

portscan exploit defacement 

Hvorfor er det vigtigt med en tidslinie? 

Man vil gerne kunne sammenligne logfiler fra forskellige systemer 

Hvis man skal spore en angriber er tiden en vigtig faktor - for at kunne 

den der initierede en kontakt, udførte en handling 


Analyse: File analysis 

• Gennem file analysis kan man bladre i filsystemerne 


Encase 

Kommercielt værktøj 

Bruges blandt andet af politiet i Danmark 

Information fra deres produktbeskrivelse 

• platforme: Windows 95/98/NT/2000/XP/2003 Server, Linux, Unix, BSD, DOS, PALM OS, Macintosh 

• filsystemer: NTFS, FAT 12/16/32, EXT 2/3, UFS, FFS, Reiser, CDFS, UDF, JOLIET, ISO9660, 

HFS, HFST 

Jeg har ikke yderligere erfaring med det end fra demo CD: 

MSRP: Corporate: $2,495.00 

Government/Education: $1,995.00 


Hændelseshåndtering - metode 

Hvordan håndterer man en sikkerhedshændelse effektivt? 

incident handling 

Forberedelse er det vigtigt - mere effektivt og billigere 

Regler for brugen af it-systemer - sikkerhedspolitik 

En metode til håndtering anbefales: 

• preparation - forberedelse 

• detection - opdagelse 

• containment - indelukke, begrænse 

• eradication - udrydde og fjerne 

• recovery - reetablere driften 

• follow-up - opfølgning 

Kilde: Denne metode er fra Incident Response, E. Eugene Schultz og Russel 

Shumway, New Riders, 2002 


Incident response plan 

Et værn mod trusler 

Lav en plan på forhånd 

Kontaktinformationer for nøglepersoner - husk andet end mobiltelefon 

eller e-mail 

Forberedelse er nøgleordet 


En procedure til incident response 

hold fingrene væk! 

Alt hvad man gør ved systemet kan ødelægge eventuelle beviser 

man ved sjældent hvad man er ude for af en hændelse 

Ledelsen skal være med! 

• Ledelsen er ansvarlige for virksomhedens sikkerhed 

• En hændelse kan hurtigt eskalere 

• sørg for at de rigtige tager beslutningerne 

Vær fascist! 


Ligegyldighed 

- er hurtigst kræver ingen erfaring 

Henter backup ind 

- kræver ikke meget erfaring 

Hændelse - reaktion 

Undersøger nøjere hvad der er sket 

- kræver nogle færdigheder og mere tid 

Analyserer alle data til bunds 

- kræver meget erfaring og mange ressourcer 


Forebyggelse - erfaringer 

De fleste glemmer i kampens hede at man skal lære af sine fejl! 

Tager man notater når cheferne står på ryggen af en med et produktionssystem 

der er nede? 

Hvorfor ikke? 

Burde man ikke gøre det? 

Hvordan laver man en ærlig redegørelse 

- uden selv at komme i fedtefadet? 


Hændelse - metodik 

Ved at have en fast metode undgår man meget panik 

- man har tænkt over situationerne på forhånd 

Dog kan man ikke tage højde for alle forhold 

Så der skal være plads til kreativitet og initiativ 


Integritetscheckere 

MD5 summer kan beregnes på en fil 

Hvis filen ændres medfører det en radikal ændring i MD5 summen 

Der er specialiserede programmer som checker filer for ændringer 

Nogle eksempler på integritetscheckere er: 

• AIDE - Linux integritetschecker 

• mtree - BSD integritetschecker 

• tripwire - kommercielt program, oprindeligt frit/Open Source 

• tcbck - AIX Trusted Computing Base check 

En integritetschecker kan sikre at filer er uændrede - under forudsætning 

af at databasen med signaturer, programmet og de funktionskald 

der bruges ikke er kompromitteret 


Er systemet slukket eller tændt? 

Trin for trin undersøgelse 

Check tiden på systemet - BIOS tiden 

- alle tider afhænger af denne! 

Hvis systemet er slukket så start det aldrig op på operativsystemet fra 

harddisken - det modificerer tidsstempler på mange filer, og risikerer 

at overskrive vitale data på harddisken 

Hvis systemet er tændt bør det overvejes nøje hvad man vil 

• skal det slukkes øjeblikkeligt 

• skal det kobles af netværket øjeblikkeligt 

• skal det lukkes pænt ned eller med den store røde knap? 

Det rigtige svar vil afhænge af situationen - og de informationer I skal 

bruge til at afgøre dette er først tilgængelige senere ... 


Bevissikring og dokumentation 

Disk 

Sørg hele tiden for at have gode notater 

Det vil være godt med en notesbog - der holder alle notater samlet 

Eksempelvis en lille kinabog 

Notaterne skal beskrive hvad du gør fra du ankommer på stedet 


Recovering from root compromise 

Håndtering af hackede systemer udføres ofte amatøragtigt 

Man ser eksempler på hjemmesider som er oppe igen på mindre end 

en time - og bliver defacet gentagne gange 

Det er nødvendigt at foretage en ordentlig oprydning - der måske involverer 

indlæsning af backup eller geninstallation af operativsystem 

Der findes et antal gode ressourcer, eksempelvis CERT guides 


Recovering from an Incident 

På CERT website kan man finde mange gode ressourcer omkring 

sikkerhed og hvad man skal gøre med kompromiterede servere 

Eksempelvis listen over dokumenter fra adressen: 

http://www.cert.org/nav/recovering.html: 

• The Intruder Detection Checklist 

• Windows NT Intruder Detection Checklist 

• The UNIX Configuration Guidelines 

• Windows NT Configuration Guidelines 

• The List of Security Tools 

• Windows NT Security and Configuration Resources 

Ved at følge en sådan fremgangsmåde får man tryghed 

ad-hoc oprydning giver ingen sikkerhed! 


”I only replaced index.html” 

Det ses ofte på hjemmeside defacements - hackere påstår de kun har 

udskiftet hovedsiden 

Hvad skal man gøre når man bliver hacket ? 

du kan ikke have tillid til noget 

Hvad koster et indbrud ? 

• Tid - antal personer der ikke kan arbejde 

• Penge - oprydning, eksterne konsulenter 

• Bøvl - sker altid på det værst tænkelige tidspunkt 

• Besvær - ALT skal gennemrodes 

Kilder: 

http://packetstormsecurity.nl/docs/hack/i.only.replace 

index.html.txt 


Hvordan slettes data 

Filsystemer skal være hurtige - skal ikke lave unødvendige operationer 

En harddisk er en fysisk disk med en arm der skal bevæges og et 

læse/skrivehoved som skal tændes og slukkes 

Hvis man kan undgå at skulle skrive over hele filen ved sletning er det 

hurtigere 

De fleste operativsystemer sletter derfor kun metadata og overskriver 

derfor ikke alle datablokke for filer 

Eksempel DOS FAT 

• Når man slettede en fil på MS-DOS fjernede man reelt kun det første bogstav i filnavnet 

• undelete bestod i at skrive det første bogstav i filnavnet - og håbe på at alle datablokke der 

hørte til filen stadig var at finde på disken 


Hvorfor er data blevet slettet 

Er det et uheld 

... eller med vilje 

Vigtigere: er de blevet overskrevet? 


Skjulte data 

Data kan markeres som skjulte i operativsystemet 

• Windows viser ikke som default hidden files 

• UNIX viser typisk ikke filer der starter med punktum 

Data kan lægges i filsystemet under specielle navne 

På UNIX systemer var det populært at hackere brugte control-tegn i 

filnavne 

NTFS alternate data streams 

HFS ressource fork og data fork 

det betyder at man skal være på vagt når man vil kopiere filer mellem 

systemer - hente information ud fra kompromitterede systemer 


Steganografi 

Emnet hedder generelt steganografi 

Det diskuteres jævnligt om terrorister sender beskeder ved hjælp af 

offentlige websites og steganografi 

Billedet ovenfor indeholder DeCSS - DVD descrambler koden 

Se eventuelt Hiding Crimes in Cyberspace af Dorothy E. Denning and 

William E. Baugh, Jr. 


Guttman paper - analyse af diske 

Secure Deletion of Data from Magnetic and Solid-State Memory Peter 

Gutmann, 1996 

Det er et klassisk paper om sletning af data som man bør læse 

http://www.cs.auckland.ac.nz/˜pgut001/pubs/secure_del. 

html 

Der findes mange kommercielle værktøjer til sletning og en del Open 

Source - baseret på Guttman’s dokument 

Autoclave er efter min mening et af de bedste 

http://staff.washington.edu/jdlarios/autoclave/ 


Darik’s Boot and Nuke 

• Autoclave forfatteren henviser selv til DBAN 

• følgende 4 punkter beskriver DBAN på hjemmesiden: 

• Free. 

• Fast. Rapid deployment in emergency situations. 

• Easy. Start the computer with DBAN and press the ENTER key. 

• Safe. Irrecoverable data destruction. Prevents most forensic data recovery techniques. 

http://dban.sourceforge.net/ 


dd kommandoen 

dd kommandoen i UNIX læser og skriver fra raw devices 

den basale syntaks: 

• if - input file 

• of - output file 

• bs blocksize 

• count - antal blokke der skal læses/skrives 

• skip - skip et antal blokke 

Eksempel - læs 5 blokke a 1MB fra /dev/zero 

dd if=/dev/zero of=/tmp/nulfil bs=1m count=5 

5+0 records in 

5+0 records out 

5242880 bytes transferred in 0.221153 secs (23707037 bytes/sec) 


netcat og cryptcat 

netcat (nc) er en Schweitzerkniv indenfor netværk 

netcat er lavet af *Hobbit* hobbit@avian.org 

Den kan sende traffik ud og den kan lytte på en port - TCP eller UDP 

En simpel bagdør nc -v -l -p 1234 -e /bin/sh 

(skal være kompileret ind med -DGAPING SECURITY HOLE) 

Netcat er meget nyttigt til at sende data over netværk - generelt 

cryptcat = netcat + encryption - men bruges på samme måde 

der findes også netcat versioner der giver MD5 sum og lignende 

Machine A: cryptcat -l -p 1234 < testfile 

Machine B: cryptcat 1234 


Potentielle problemer 

Uerfarne folk vil kigge rundt i systemerne 

- og dermed ændre på data 

Uerfarne folk vil prøve at rydde op 

Gode råd: 

• Vær der så hurtigt som muligt - tiden er vigtig 

• Du skal være fascist! 

• Du skal udstede klare retningslinier som skal følges 

• Forvent at andre vil ødelægge mulighederne for at forfølge og undersøge sagerne 


Case: Hvad kan man komme ud for 

Andre tænder for det kompromitterede system 

Case: 

En webserver har været hacket med unicode. 

Vi kommer til stedet snakker med IT-chefen 

Det kompromitterede system er slukket og låst inde i kælderen 

11:37 Vi får at vide at systemet har 

1) været bootet 

2) har været forbundet til det interne netværk 

Hvad nu hvis der havde været en virus eller orm på systemet? 


Project Honeynet Forensic Challenge 

Image filerne fra challenge er tilgængelig på nettet, og på serveren 

De kommer fra et hacket system - en honeypot 

hackeren var inde på systemet i ca. 30 minutter 

/dev/hda8 / 

/dev/hda1 /boot 

/dev/hda6 /home 

/dev/hda5 /usr 

/dev/hda7 /var 

/dev/hda9 swap 


Hvad skal man bruge til et incident 

Disk 

Huskeseddel over brugbare effekter til opgaver 

• Notesbog! yderst vigtig - hav samling på dine notater 

• USB diske/nøgleringe - 32MB/64MB/... hvad du har - er hurtigere end disketter 

• Disketter - tomme og formaterede - til FRED og maskiner uden USB 

• CD-R og eventuelt CD-RW medier 

• Forensics CD eller andre tools 

• Laptop til at arbejde på - rapportskrivning, browser til autopsy, e-mail osv. 

• Eventuelt eksterne harddiske eller laptops til opsamling af images 


Informationssikkerhed 

Husk følgende: 

Sikkerhed kommer fra langsigtede intiativer 

Hvad er informationssikkerhed? 

Data på elektronisk form 

Data på fysisk form 

Social engineering - The Art of Deception: Controlling the Human Element 

of Security af Kevin D. Mitnick, William L. Simon, Steve Wozniak 

Computer Forensics er reaktion på en hændelse 

Informationssikkerhed er en proces 


Confidentiality Integrity Availability 

Husk altid de fundamentale principper indenfor sikkerhed 

fortrolighed 

integritet 

tilgængelighed 


Spørgsmål? 

Henrik Lund Kramshøj 

hlk@security6.net 

http://www.security6.net 

I er altid velkomne til at sende spørgsmål på e-mail 


Reklamer: kursusafholdelse 

Security6.net afholder følgende kurser med mig som underviser 

• IPv6 workshop - 1 dag 

Introduktion til Internetprotokollerne og forberedelse til implementering i egne netværk. Internetprotokollerne 

har eksisteret i omkring 20 år, og der er kommet en ny version kaldet version 

6 af disse - IPv6. 

• Wireless teknologier og sikkerhed workshop - 2 dage 

Typisk en dag med fokus på netværksdesign og fornuftig implementation af trådløse netværk 

og integration med eksempelvis hjemmepc og wirksomhedens netværk. Kan med fordel 

afholdes over to dage. 

• Hacker workshop - 2 dage 

Workshop med detaljeret gennemgang af hackermetoderne angreb over netværk, exploitprogrammer, 

portscanning, Nessus m.fl. 

• Forensics workshop - 2 dage 

Med fokus på tilgængelige open source værktøjer gennemgås metoder og praksis af undersøgelse 

af diskimages og spor på computer systemer 

• Moderne Firewalls og Internetsikkerhed - 2 dage 

Informere om trusler og aktivitet på Internet, samt give et bud på hvorledes en avanceret 

moderne firewall idag kunne konfigureres. 


Forensic Discovery 

• Forensic Discovery af Dan Farmer, Wietse Venema Addison Wesley Professional (31. december, 

2004) 

• ISBN: 020163497X 

• NB: ”kun” 217 sider - men hvilke sider!! 

• en af de bedste UNIX bøger jeg nogensinde har læst 


File System Forensic Analysis 

• File System Forensic Analysis af Brian Carrier Addison-Wesley Professional, 17. 

2005) 

marts, 

• ISBN: 0321268172 

• 600 sider om forensics og filsystemer! 


Hackers Challenge 

Hacker’s Challenge : Test Your Incident Response Skills Using 20 

Scenarios af Mike Schiffman McGraw-Hill Osborne Media, 2001 

ISBN: 0072193840 

Hacker’s Challenge II : Test Your Network Security and Forensics 

Skills af Mike Schiffman McGraw-Hill Osborne Media, 2003 ISBN: 

0072226307 

Bøgerne indeholder scenarier i første halvdel, og løsninger i anden 

halvdel - med fokus på relevante logfiler og sårbarheder 


Hackerværktøjer 

• nmap - http://www.insecure.org portscanner 

• Nessus - http://www.nessus.org automatiseret testværktøj 

• l0phtcrack - http://www.atstake.com/research/lc/ - The Password Auditing and Recovery 

Application, kig også på Cain og Abel fra http://oxid.it hvis det skal være gratis 

• Ethereal - http://www.ethereal.com avanceret netværkssniffer 

• OpenBSD - http://www.openbsd.org operativsystem med fokus på sikkerhed 

• http://www.isecom.org/ - Open Source Security Testing Methodology Manual - gennemgang 

af elementer der bør indgå i en struktureret te st 

• Putty - http://www.chiark.greenend.org.uk/˜sgtatham/putty/download.html 

terminal emulator med indbygget SSH 

http://www.remote-exploit.org - Auditor security collection - en boot 

CD med hackerværktøjer 


Referencer 

Anbefalede bøger: 

• Computer Forensics: Incident Response Essentials, Warren G. Kruse II og Jay G. Heiser, 

Addison-Wesley, 2002. 

• Incident Response, E. Eugene Schultz og Russel Shumway, New Riders, 2002 

• CISSP All-in-One Certification Exam Guide, Shon Harris McGraw-Hill/Osborne, 2002 

• Network Intrusion Detection, Stephen Northcutt og Judy Novak, New Riders, 2nd edition, 

2001 

• Intrusion Signatures and Analysis, Stephen Northcutt et al, New Riders, 2001 

• Practical UNIX and Internet Security, Simson Garfinkel og Gene Spafford, 2nd edition 

• Firewalls and Internet Security, Cheswick, Bellovin og Rubin, Addison-Wesley, 2nd edition, 

2003 

• Hacking Exposed, Scambray et al, 4th edition, Osborne, 2003 - tror der er en nyere 

• Building Open Source Network Security Tools, Mike D. Schiffman, Wiley 2003 


Referencer 

Internet 

• http://www.cybersnitch.net/tucofs/tucofs.asp The Ultimate Collection of 

Forensic Software 

• http://www.project.honeynet.org - diverse honeynet projekter information om 

pakker og IP netværk. Har flere forensics challenges hvor man kan hente images og foretage 

sin egen analyse 

Mailinglists 

• TCT-users, autopsy, TASK - de fleste producenter og væktøjer har mailinglister 

Papers - der findes MANGE dokumenter på Internet 

• Security Problems in the TCP/IP Protocol Suite, S.M. Bellovin, 1989 


CISSP fra ISC2 

Primære website: http://www.isc2.org 

Vigtigt link http://www.cccure.org/ 

Den kræver mindst 3 års erfaring indenfor relevant emne 

Multiple choice 6 timer 250 spørgsmål - kan tages i Danmark 


GIAC GSEC krav 

Security Essentials - basal sikkerhed 

Krav om en Practical assignment - mindst 8 sider, 15 gns 

multiple choice eksamen 

Primære website: http://www.giac.org 

Reading room: http://www.sans.org/rr/ 

Der findes en god oversigt i filen 

GIAC Certification: Objectives and Curriculum 

http://www.giac.org/GIAC_Cert_Brief.pdf

Computer Forensics foredrag - Prosa

Create successful ePaper yourself

Delete template?

Save as template?