RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Wednesday, August 19. 2009

Koń jaki jest, każdy widzi

Dawno, dawno temu (już będzie ponad rok) popełniłem taki wpis pod tytułem Forensic. I nagle dziś pojawiły się pod nim dwa nowe komentarze. Dziwne...

No to rzućmy okiem jak to się stało... Najpierw jak wygląda "czytelnictwo" tego wpisu. Szybki rzut okiem na statystyki i okazuje się, że w ciągu ostatnich sześciu miesięcy wpis był czytany 24 razy. Niezbyt często, a szczególnie uwagę przykuwa pewna anomalia na wykresie:

Okazuje się, że nagle dziś nastąpiło wzmożone zainteresowanie tym wpisem. Ciekawe kto, gdzie i po co go wygrzebał... No to rzućmy okiem na dni 13 lipca, 31 lipca oraz 19 sierpnia.

13 lipca
Jedna wizyta, słowo kluczowe analiza malware, tematem interesował się ktoś korzystający z Neostrady.

31 lipca
Jedna wizyta, słowo kluczowe forensic helix. Pozdrowienia dla łódzkiej Policji :)

19 sierpnia
Tego dnia aż 19 wizyt(!). Tu pojawia się słowo kluczowe informatyka śledcza. Od tego się zaczęło. Kto mi złożył wizytę? 

netname:        MEDIA-KATOWICE
descr:          MEDIA Sp. z o.o.
descr:          Ligocka 66
descr:          Katowice
A kto to jest? Ustalić to nie jest trudno z wykorzystaniem zaiste hakerskiej frazy MEDIA Sp. z o.o. katowice ligocka 66. Zgodnie z przewidywaniami trafiamy na stronę pewnej firmy, która świadczy usługi w zakresie informatyki śledczej. Pojawia się pierwszy komentarz.

Chwilę później mam kolejną wizytę, ktoś otrzymał (lub sam sobie przesłał) adres tego wpisu na maila (z którego korzystał przy pomocy interfejsu webowego w home.pl :P).

Wreszcie po godzinie 21 mam kolejną wizytę z kolejnego adresu IP, bezpośrednią, bez żadnego referera lub słów kluczowych. Pojawia się kolejny komentarz, który mówi mniej więcej o tym, że należy kupować (ciekawe u kogo) oprogramowanie FTK lub Guidance Software (EnCase), bo (upraszczając) inaczej sąd może odrzucić dowód. Gdzieś to już słyszałem. Między innymi podczas prezentacji pewnego produktu przez pewną firmę z Katowic w pewnej korporacji, w której kiedyś pracowałem.

No dobrze, to sprawdźmy może, czy te trzy adresy odwiedzały mnie (znaczy mojego bloga) częściej. Okazuje się, że tak. Na przykład 17 czerwca za słowem kluczowym degauser dla kogo. Później 28 lipca była wizyta ze słowem kluczowym httponly, ciekawe czy było to związane z wcześniejszymi wyszukiwaniami fraz testy penetracyjne www oraz pentester. To owa firma z Katowic. Pozostałe dwa adresy z dzisiaj nie odwiedzały mnie wcześniej, a przynajmniej nie robiły tego od czasu, gdy przeniosłem bloga na nowy serwer.

Proste ćwiczenie intelektualne - jak to się dzieje, że z adresu IP, który do tej pory nie zaszczycił mojego bloga ani jedną wizytą pojawia się bezpośrednia wizyta na konkretnej stronie bez żadnego referera lub słowa kluczowego?

Dodatkowo przypominam pewną sprawę związaną z F-Response, o której można przeczytać na przykład tu: Quick Response to Guidance, Bashing the competition....FAIL!!, The F-Bomb. Zwracam uwagę, że tam również pojawił się wątek typu "korzystajcie z EnCase, bo jest court validated".

Ja może mało wiem, nie mam takiego doświadczenia z sądami jak pewna firma z Katowic. Nie mam też takiego doświadczenia w zakresie informatyki śledczej, bo zajmuje się jednak nieco czym innym i ewentualne sekcje zwłok przeprowadzam z innych powodów. Jeśli jednak osoba, która dziś zostawiła po sobie ten drugi komentarz wypowie się na temat poniższego fragmentu (pochodzi z jednego z wyżej przywołanych wpisów), będę wdzięczny:

(...) There are claims that this "inferior product" is not court validated. Well Guidance, what does that mean? Court validation is not something whereby someone waves a magic wand and stamps a product as "court validated". Validation comes through the process of presenting a case in front of a judge and withstanding scrutiny from the opposition. "court validation" is merely a forensic buzzword just as is "forensically sound". DNA is court validated, is it questioned? You betcha! as is blood evidence, and fingerprints. Guidance says "our products have been vetted through court and industry peer review". Is that why I see your customers bitching and moaning about how encase (all flavors) keeps crashing on them? Let's discuss error rates hmmmm? I don't recall seeing anything in Digital Investigation or other Scientific Journals showing industry peer review. (...)

Chciałem jednocześnie subtelnie zwrócić uwagę, że autorzy przywoływanych blogów dość krytycznie wypowiadających się o strategii marketingowej firmy Guidance, w temacie forensic orientują się "dość" dobrze.

Ślady
Brak Śladów
Komentarze
To ja tak trochę off-topicznie - w kwestii tego DNA i krwi - http://www.schneier.com/blog/archives/2009/08/fabricating_dna.html

(...) The scientists fabricated blood and saliva samples containing DNA from a person other than the donor of the blood and saliva. They also showed that if they had access to a DNA profile in a database, they could construct a sample of DNA to match that profile without obtaining any tissue from that person. (...)
#1 Tomek (Strona) o 2009-08-19 23:33
Ogólnie można mieć kilka wątpliwości w sprawie badania DNA. Całkiem sporo tego DNA rozsiewamy wokół siebie zupełnie nieświadomie. Ktoś takie ślady mógłby pozbierać i podrzucić w (nie)odpowiednie miejsce.
#1.1 Paweł Goleń o 2009-08-20 08:13
To w takim razie ja też podbije licznik odwiedzin :-)
Zapewne specjalisci z xxxrecovery.pl - liderzy informatyki śledczej w Polsce są NIEPRZEWIDYWALNI. Zapewne nikt nie będzie szukal niczego na forenxxxtools.pl. I nie znajdzie tam przesławnych produktów firmy Guidance. W międzyczasie specjaliści sprzedadzą Encase Enterprise lokalnemu urzędowi pracy, a sami będą wykonywać niezbyt validated kopie przy użyciu zwykłego prostego dd.
#2 Ramirez o 2009-08-19 23:59