8 berichten aan het bekijken - 1 tot 8 (van in totaal 8)
  • Q:
    Bijdrager
    freewilly134

    Forensische software voor de Mac

    Goedemorgen OMTérs
    Ik heb jarenlang bij een uitgeverij gewerkt, en door reorganisatie ben ik daar weg. Nu is er in het grafische vak nauwelijks werk te vinden, en daarom ben ik een opleiding als opsporingsambtenaar begonnen. Na deze opleiding hoop ik te gaan werken bij een afdeling die cybercriminaliteit opspoort. Nu valt het mij op dat er voor Windows heel veel software is om dit op te sporen (bijvoorbeeld FTK en Encase) maar ik kan nog niet zoveel vinden (lees helemaal niet) voor Mac. Apple is een populair merk, en “de criminelen” gaan ook steeds meer over op Macs, en als daar niet de juiste software beschikbaar is, kan er weinig worden opgespoord denk ik zo…Bij de uitgeverij heb ik altijd met Mac gewerkt (Mac OS 9), maar niet op forensisch gebied. ik heb dus nu een Macbook pro 2011 aangeschaft om dit eens te onderzoeken. Mijn vraag is hebben jullie een idee of zijn er soms mensen in dit forum, die al in het forensische werk zitten, en mij op weg kunnen helpen? Ik heb al gezocht op dit forum, maar er is niet veel te vinden wat met forensisch werk te maken heeft.
    Bij voorbaat hartelijk dank voor de informatie
    MVG
    Rob

    Bijdrager
    Hansi2124

    Misschien dat Hoffmann je hierover iets meer kan vertellen?

    Bijdrager
    Ir.Bob

    Kun je je misschien iets verder specificeren? Als het gaat om opsporen van Cybercriminaliteit, dan heb je toch voldoende aan wat standaard netwerk pakketten? Als het gaat om het terug halen van verwijderde gegevens, wat ik dan weer niet direct cybercriminaliteit noem, zijn er diverse tools.

    Wat je hierbij in de gaten moet houden is dat al deze tools niet specifiek zijn voor de Mac, maar allemaal op UNIX gericht zijn. En de Mac is nou eenmaal een UNIX smaak. Googlen op UNIX en forensics geeft een schat aan informatie; bijvoorbeeld deze site.

    Een extra opleiding UNIX beheer zou niet misstaan op je CV dus.

    Bijdrager
    freewilly134

    @Hansi2124
    Hartelijk dank voor de link, ik had aan dit nog niet gedacht

    @Ir.Bob
    Hartelijk dank voor de uitleg…
    Het gaat hoofdzakelijk om veiligstellen van een HDD van inbeslaggenomen computers (waaronder ook Mac), en voor de Windows machines zijn er tools om dit “snel” te doen. Ik nam aan dat er voor Mac ook deze tools wel aanwezig zouden zijn, maar omdat ik dat niet kon vinden, vroeg ik het hier in dit forum. Natuurlijk weet ik dat Mac OS X een UNIX smaak heeft, alleen dit leek mij een omweg. Maar als er niets specifieks voor Mac is aan tools dan houdt het op. Ik dacht zo dat de Amerikaanse Overheid, en misschien nog andere landen, dit allang aan Apple hebben opgedragen, om van die tools te ontwikkelen…
    MVG
    Rob

    Bijdrager
    iep

    Dat is vrij eenvoudig. OS X is met 10.5, 10.6 en 10.7 UNIXv3 gecertificeerd. Voor die certificatie dient het een aantal UNIX tools aan boord te hebben (er zijn meer eisen dan dat overigens). Met die tools kun je prima troubleshooten bij problemen maar ook toepassen voor forensisch onderzoek. Eigenlijk is hetgeen een systeem/netwerkbeheerder standaard al doet al grotendeels forensisch onderzoek. Ook zij krijgen te maken met het onderzoeken van problemen die met security te maken hebben. Dit kunnen al simpele tools zijn als lsof, netstat, tcpdump en ga zo maar door (ook te gebruiken om performance problemen te onderzoeken of om te kijken of een pakket wel data over het netwerk stuurt, etc.). Er zijn ook zat 3rd party tools op dit vlak. Als je daar echt eens wat meer van wil zien is het handig om eens naar Backtrace te kijken (Linux distro voor penetration testing). De rest leer je wel tijdens je opleiding (als het een goede opleiding is):)

    Bijdrager
    Goodheart

    Een belangrijk gereedschap is het ‘dd’ commando. Daarmee kun je een kopie van een harde schijf als een bestand opslaan op je Mac zonder dat er aan de bronschijf iets verandert. Daarnaast is een MD5 checksummer handig om te bewijzen dat er inderdaad niets veranderd is. Verder kun je dan de standaard forensische tools op de image loslaten.

    Bijdrager
    Ir.Bob

    Maar als er niets specifieks voor Mac is aan tools dan houdt het op. Ik dacht zo dat de Amerikaanse Overheid, en misschien nog andere landen, dit allang aan Apple hebben opgedragen, om van die tools te ontwikkelen…

    Meestal ontwikkelen overheden dit zelf. En er is ook niet echt een extra nut om specifiek voor de Mac iets te maken. Dat zou alleen een GUI zijn terwijl alle tools al op de commandline aanwezig zijn. Het is nou niet zo dat dit soort specialistische software eyecandy nodig heeft.

    Bijdrager
    iep

    Voor zover die ontwikkeling nog nodig is. Heel veel tools komen uit de open source wereld. Kwestie van leuke scripts met bijv. Perl schrijven en je hebt een hele fijne toolset gecreëerd. Je ziet dat een instantie als de NSA dit ook veelvuldig doet.

8 berichten aan het bekijken - 1 tot 8 (van in totaal 8)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.