Karsten Rasmussen <dk@dk.dk> wrote:
>> Der er en tynd samling referencer om dette emne i "Videre laesning om
>> sikkerhed" i OSS'en som du kan begynde med. Vent med at koebe boegerne til
>> du ved at forensics er noget for dig.
> Hvor finder jeg OSS'en ?
Hov, URL'en skulle have vaeret med:
http://a.area51.dk/sikkerhed/
Baade usenet.dk og google linker ioevrigt til den.
>> Jeg kan anbefale at man kontakter sin lokale computer crime unit foer sit
>> foerste incident, saa man laerer hinanden at kende lidt. Ofte kan en
>> security admin laere detektivarbejde og hvilke beviser der er vigtige af
>> politifolkene, og omvendt kan politifolkene laere hvordan UNIX og Windows
>> systemer virker.
Jeg skulle have vaeret mere praecis i min formulering: som privat person med
et hjemme netvaerk gaelder ovenstaaende ikke. Det gaelder hvis man arbejder
med store installationer hvor der er rimelig sandsynlighed for et indbrud
der kraever politiet kontaktes.
> Hmm tjaeh jeg er nu ikke sikker på at jeg vil give dig helt ret.
> Hvis man anmelder et indbrud i sin private bolig, forventes det vel ikke at
> man har både navn, adresse, personnummer og et foto af indbrudstyven.
Nej, det er saamaend heller ikke det jeg mener. Hvis der ikke er noget som
kan pege i retning af, og senere forbinde, en mistaenkt til et gerningssted
kan politiet ikke goere noget.
Tillid til beviser er grundstammen i de fleste retssystemer, og selvom det
ikke er anderledes i en elektronisk verden er det langt mere kompliceret
fordi data (beviser) let kan blive aendret paa mange maader, og det er
trivielt at fabrikere eletroniske beviser. Derfor skal man have en metode
til at indsamle information fra et elektronisk gerningssted saaledes at der
ikke kan stilles spoergsmaal ved rigtigheden af beviserne. Denne metode kan
fylde en bog, saa jeg vil anbefale du kigger paa "Videre laesning" i OSS'en
og vender tilbage hvis du har specifikke spoergsmaal.
For nyligt postede H Carvey foelgende sammenligning mellem den virkelige og
eletroniske verden til forensics listen:
Assume you walk into a store, and you notice
someone lying on the floor. Assume you approach
the person and try to see if they're all right.
You roll them over and see a pool of blood under
them. You call 911 and the paramedics arrive.
They attempt to revive the person and then get
them into the ambulance and take them to the
hospital. In the doctor's care, the victim dies.
However, the police can still investigate the
crime, and even prosecute the guilty party.
I think the important thing to take away from this
is that if you have a sound methodology, you can
collect a significant amount of very valuable
volatile data from a system prior to taking it
down to make a bit-image copy of the drive.
> Som sagt kunne jeg godt tænke mig at vide hvilke yderligere oplysninger
> der manglede, det er jo svært for mig at udforske mere end jeg allerede
> havde gjort. Ip-numre, med tidspunkter og det hele, jeg kan jo ikke få
> udleveret logfiler fra de forskellige udbydere, det MÅ vel være
> ordensmagtens opgave, eller har jeg misforstået et eller andet.
Det er korrekt, men du skal kunne bevise at der blev foretaget ulovlige
handlinger paa systemet, hvordan de blev foretaget og at det var brugeren
fra den paagaeldende IP adresse der foretog disse handlinger. I nogle
tilfaelde vil en efterforskning koste langt mere end blot at geninstallere
vedkommendes personlige UNIX eller Windows server, og i disse tilfaelde kan
jeg godt forstaa hvis politiet vaelger ikke at efterforske sagen. De ville
nok heller ikke bruge uger af mandetimer paa at efterforske en smadret rude
i dit hjem, hvis intet anden skade var sket og da slet ikke hvis der ikke er
nogle beviser at begynde med.
Alt det ovenstaaende haenger dog ikke sammen med at politiet bruger kraefter
paa at efterforske "indbrud" baseret alene paa logfiler fra personlige
firewalls hvor der ingen garanti er for rigtigheden af noget som helst. Jeg
kunne godt taenke mig at se detaljerne paa nogle af de sager der har vaeret
oppe og vende gennem tiden.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/