De kogel is door de kerk. In dit bericht van Nu.nl is te lezen dat de Haagse rechtbank afgelopen woensdag heeft geoordeeld dat het downloaden van muziek en films wel degelijk illegaal is. Je kunt het vonnis downloaden.
Leg onze website een kwartier plat, op welke manier dan ook ...
Normaal gesproken worden DDoSS-ers beloond met een fikse boete of gevangenisstraf, nu staat hen een waardebon van 50 dollar te wachten als zij in staat blijken te zijn om op 1 juli de website Killthisbox.com plat te leggen.
Of er überhaupt hackers zijn die zich voor 50 dollar in de kaart laten kijken (de methode waarop de website is plat gelegd moet kenbaar gemaakt worden) vraag ik me af, maar we zullen het op 1 juli meemaken.
Zojuist viel mij een bericht op op Security.nl over Vista's Bitlocker. Bitlocker voldoet aan de FIPS140-2 standaard en mag derhalve door Amerikaanse overheden worden gebruikt. Het commentaar op dit bericht deed mij nog het meeste plezier:
cool, een certified NSA backdoor erbij ...
Zoals altijd zijn er voor- en tegenstanders, en dat zal altijd wel zo blijven ...
Ik heb zojuist een test gedaan met een USB kabel van 25 meter lengte. Het werkt.
Volgens de specificaties van USB kan een kabel ten hoogste vijf meter lang zijn. Echter, het blijkt mogelijk te zijn om gebruik te maken van zogenoemde actieve kabels, waarvan je er drie aan elkaar kunt koppelen.
Mijn testopstelling was als volgt:
Op deze wijze kan ik nu 25 meter met USB overbruggen. Het grote voordeel hierbij is dat ik geen gebruik hoef te maken van netstroomadapters. Omdat je maar drie actieve USB kabels aan elkaar kunt koppelen zal de lengte van 25 meter (zonder gebruik van netstroomadapters) nog wel even het maximum blijven. Als je een nog langere afstand moet overbruggen dan kun je de tip van USB.org ter harte nemen:
Build a USB bridge that acts as a USB device on one side and has a USB host controller at the other end. Use a long-haul signaling protocol like Ethernet or RS-485 in the middle. Using cables or short-haul fiber, you can get ranges upwards of a kilometer, though there's no reason why the long-haul link in the middle of the bridge couldn't be a pair of radio transceivers or satellite modems.
Embedded host solutions capable of doing this already exist. Also, two PCs connected via USB Ethernet adapters are essentially a slave/slave version of this master/slave bridge.
Versie 1.3.1 van RegistryReport is uit. Een van de verbeteringen is de meer eenvoudige keuze voor de Nederlandse taal.
Zojuist vernam ik dat op forensicsblog.net interessante informatie is verschenen over het bijhouden van browser geschiedenis in Firefox 3.
Je kunt op de volgende manier een lijst van verwijderde bestanden samenstellen met Sleuthkit:
./fls -ldr -z ''GMT+0100'' -s '0' -o 0 -i ewf '/cygdrive/c/image.E01' >> /cygdrive/c/output.txt
Het is ook mogelijk om met Sleuthkit verwijderde bestanden weer te herstellen, doch daarvoor zijn andere tools zoals Photorec veel handiger
Zojuist las ik een interessant stukje op het Windows Incident Response blog
Vista houdt een logboekje bij van de portable devices die aan de computer gekoppeld zijn geweest
Sleuthkit biedt een handige mogelijkheid om de unallocated clusters uit een image te parsen naar een tekstbestand. Dat is handig, want dat tekstbestand kun je vervolgens eenvoudig doorzoeken om te zien of er iets interessants in staat.
1) ./dls /cygdrive/c/temp/image.E01 > /cygdrive/c/temp/output.dls
hiermee wordt een tekstbestand aangemaakt met de naam output.dls (je kunt het natuurlijk ook een andere naam geven)
2) strings -t d /cygdrive/c/temp/output.dls > /cygdrive/c/temp/output.dls.str
met strings worden de leesbare teksten uit het eerdergenoemde bestand geplaatst in het bestand output.dls.str (wat je natuurlijk naar wens ook weer een andere naam kunt geven)
3) cat /cygdrive/c/temp/output.dls.str
met cat kun je controleren of er inderdaad leesbare teksten in het bestand staan
4) grep 'keyword' /cygdrive/c/temp/output.dls.str
met grep kun je in het zojuist gemaakte bestand zoeken naar keywords
In feite is dit een van de meest snelle manieren om in de unallocated clusters naar leesbare informatie te zoeken. Ik ben nog even aan het uitzoeken of deze methode alleen werkt met ascii teksten of ook met unicode. Als iemand daar het antwoord op heeft verneem ik dat graag.
Stel dat je met behulp van een programma als FTK Imager informatie hebt gevonden. Je hebt in dat geval bijvoorbeeld alleen het clusternummer waarin de informatie staat en je beschikt verder niet over een bestandsnaam etc. Met Sleuthkit kun je hier toch achter komen. Voorbeeld: cluster 45000
1) ./dcat -h /cygdrive/c/temp/image.E01 45000
hexadecimale weergave van de inhoud van de sector
2) ./dstat /cygdrive/c/temp/image.E01 45000
Sector: 45000
Allocated
Cluster: 4123
3) ./ifind -d 45000 /cygdrive/c/temp/image.E01
440112
4) ./ffind /cygdrive/c/temp/image.E01 440112
/WINDOWS/system32/drivers/flpydisk.sys
