Forensische_Untersuchung Deutsch

Weitere Magazine

Empfehlungen

Info

Der EMS (Election Management Server) war ein:Dell Precision Tower 3420.Service-Tag: 6NB0KH2Das EMS enthielt 2 Festplatten in einer RAID-1-Konfiguration. Das heißt, die 2Laufwerke haben redundant dieselben Informationen gespeichert und der Serverkönnte weiterarbeiten, wenn eine der beiden Festplatten ausfällt. Das EMS wurdeüber die Linux Boot USB-Speichersticks gestartet und beide Festplatten wurdenforensisch abgebildet.Zu Beginn des Erfassungsprozesses stellten wir fest, dass der ursprünglicheProgramm-USB-Stick nicht mit den CF-Karten und anderen USB-Sticks im Tresorgesichert war. Wir sahen zu, wie die Angestellten des Landkreises, einschließlichder Angestellten Sheryl Guy, im gesamten Büro nach dem fehlenden USB-Sticksuchten. Schließlich fanden sie das fehlende USB-Stick in einer ungesicherten undunverschlossenen Schreibtischschublade zusammen mit mehreren anderenzufälligen USB-Sticks. Dies zeigte einen signifikanten und schwerwiegenden Fehlerin Bezug auf Sicherheit und Wahlintegrität.G. FORENSISCHE SAMMLUNGWir haben einen speziell für diesen Zweck entwickelten Linux Boot USB-Speicherstick verwendet, um das EMS in einem forensisch einwandfreien Moduszu starten. Wir haben dann Ewfacquire verwendet, um ein forensisches Image der2 unabhängigen internen Festplatten zu erstellen.Ewfacquire hat ein forensisches Image im E01-Dateiformat mit integrierterIntegritätsprüfung über MD5-Hash erstellt.Wir haben Ewfverify verwendet, um zu überprüfen, ob das erfasste forensische Bildeine echte und genaue Kopie der Originaldiskette ist. Dies wurde für beideforensischen Bilder durchgeführt.H. ANALYSE-WERKZEUGE
X-Ways Forensics: Wir haben X-Ways Forensics, ein kommerzielles ComputerForensic-Tool, verwendet, um zu überprüfen, ob das Image verwendbar ist undkeine vollständige Festplattenverschlüsselung verwendet wird. Insbesondere habenwir bestätigt, dass Bit Locker im EMS nicht verwendet wurde.Andere verwendete Tools: PassMark - OSForensics, Truxton - Forensics,Cellebrite - Physical Analyzer, forensische Blackbag-Blacklight-Software, MicrosoftSQL Server Management Studio, Virtual Box und verschiedene andere Tools undSkripte.I. SERVERÜBERSICHT UND ZUSAMMENFASSUNG1. Unsere erste Prüfung auf dem Computer, auf dem die Democracy Suite-Softwareausgeführt wird, ergab, dass die Best Practices für die Computersicherheit nichtangewendet wurden. Diese Mindestsicherheitsstandards sind in den HAVA- und FEC-Abstimmungssystemstandards von 2002 aufgeführt - sie erfüllten nicht einmal dieMindeststandards, die für einen staatlichen Desktop-Computer erforderlich sind.2. Die USB-Laufwerke des Wahldaten-Softwarepakets (Wahl im November 2020 und Wahlim November 2020 aktualisiert) sind mit einer Bitlocker-Verschlüsselungssoftwaregesichert, wurden jedoch vor Ort nicht sicher gespeichert. Zum Zeitpunkt unsererforensischen Untersuchung wurden die Dateien des Wahldatenpakets bereits auf einenunsicheren Desktop-Computer verschoben und befanden sich auf einerunverschlüsselten Festplatte. Dies zeigte einen signifikanten und schwerwiegendenFehler in Bezug auf Sicherheit und Wahlintegrität. Wichtigste Ergebnisse bei derDesktop- und Serverkonfiguration: - Es gab mehrere Microsoft-Sicherheitsupdatessowie Microsoft SQL Server-Updates, die hätten bereitgestellt werden müssen. Es gibtjedoch keine Hinweise darauf, dass diese Sicherheitspatches jemals installiert wurden.Wie unten beschrieben, waren viele der Softwarepakete veraltet und anfällig fürverschiedene Angriffsmethoden.a) Erstkonfiguration des Computers am 10/03/2018 13: 08: 11: 911b) Computer endgültige Konfiguration der Serversoftware am 4/10/2019c) Festplatte im Ruhezustand nicht verschlüsseltd) Microsoft SQL Server-Datenbank nicht mit Kennwort geschützt.e) Administratorkennwörter der Democracy Suite werden wiederverwendet undteilen Kennwörter.f) Antivirus ist 4,5 Jahre veraltetg) Windows-Updates sind 3,86 Jahre alt.h) Als der Computer am 10.04.2019 zuletzt konfiguriert wurde, waren die Windows-Updates 2,11 Jahre veraltet.i) Der Computerbenutzer verwendet ein Superuser-Konto.
Seite 1 und 2: Allied Security Operations GroupKun
Seite 3 und 4: 9. Diese Fehler traten auf, nachdem
Seite 5 und 6: Verbindungen zum Election Managemen
Seite 7 und 8: Am 6. Dezember 2020 besuchten wir d
Seite 9 und 10: 9. Für das Schulratsmitglied der E
Seite 11 und 12: 13.Am Sonntag, den 6. Dezember 2020
Seite 13: die Programmierung zu validieren. E
Seite 17 und 18: • Gefunden unter c: \ Windows \ w
Seite 19 und 20: 6. In den Protokollen wurden auf di
Seite 21 und 22: Insbesondere 42 Minuten zuvor, am 2
Seite 23: 12 | 12/07/20 18: 52: 30 | Überspr

Forensische_Untersuchung Deutsch

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?