|
ComputerForensics.DK knowledge base
Knowledge base
I første omgang vil knowledge basen bestå af en række danske
tekster (planlagt: FAQ, dansk og international lovgivning,
incident response teams, kommercielle programmer,
hash
funktioner og
MAC-tider, filsystemer, reverse engineering, steganografi, chain of
custody, insider-, netværks-, email-, log-, firewall- og router forensics) samt links
til udvalgte tekster på Internettet. Herudover indeholder
siden bl.a. information
om- og links til steder på Internettet hvor man selv har mulighed
for at øve sig indenfor
forskellige områder indenfor computer forensics.
Linux:
"The Law Enforcement and Forensic Examiner Introduction
to Linux - A Beginner's Guide" er en introduktion til Linux,
og til hvordan Linux kan benyttes til computer forensics undersøgelser. Teksten
starter helt fra bunden, men selv øvede Linux brugere kan
sandsynligvis lære et par nye teknikker hen ad vejen.
"Pakken" nedenfor inkludere kopier af floppy disketter og harddiske
som de forskellige teknikker der gennemgås i teksten kan trænes på.
http://www.linuxleo.com.
Træning:
The Honeynet Project opsætter sårbare computere på
Internettet (såkaldte "honeypots"), for at overvåge hvordan de bliver
angrebet og hacket. Ind imellem laves der små uformelle
konkurrencer, hvor
man selv har mulighed for at undersøge og
analysere ægte angreb.
F.eks. giver "The
Forensic Challenge" mulighed for at analysere et
komplet
Red Hat 6.2 system efter det er blevet hacket - og derefter sammenligne sine resultater
med de øvrige deltagere.
Der er ligeledes mulighed for at udføre analyse af en Windows floppy
diskette:
part I
og
part
II.
DFRWS har bl.a. en Forensic Challenge om
analyse af hukommelsen fra et hacket system.
NIST's "Computer Forensic Reference Data Sets" har bl.a. dd og Encase images af en bærbar computer, der muligvis har været brugt til at hacke fra.
Mexikansk dd image af en w2k3 server med en mistænkelig brugerkonto i ERP systemet.
Ed Skoudis har en række forskellige udfordringer og
konkurrencer på sin side
Counterhack og på Ethical Hacker.
CERT Coordination Center har en række online kurser.
Certificeringer:
Indenfor de seneste par år er der dukket en lang række forskellige
internationale computer forensics
certificeringer op. Udover produkt specifikke
certificeringer som EnCase® Certified Examiner (EnCE) findes
der et antal bredere certificeringer. Et par af de mest
populære er:
GIAC Certified Forensic Analysts (GCFA), der er en
SANS
certificering. Flere oplysninger på
GIACs
hjemmeside.
Certified Computer Examiner (CCE)
er en certificering fra
Southeast Cybercrime Institute på
Kennesaw State University
Certified Forensic Computer Examiner (CFCE)
fra IACIS omfatter 7 praktiske undersøgelser (6 disketter og
en harddisk), afsluttet med en skriftlig eksamen.
Bøger, blogs, podcasts og andre ressourcer:
Wietse Venema og Dan Farmer har gjort deres nye bog "Forensic
Discovery" tilgængelig på deres hjemmesider. Jeg
anbefaler man køber bogen.
Podcasts med en række af de store computer forensics folk.
En serie podcasts med undervisning i forensics m.m.
En serie meget gode podcasts om Wireshark (Ethereal) med ledsagende artikler og tracefiler til selvstudie: 1.del, 2.del, 3.del, 4.del og
5.del samt her.
Analyse af netværkstrafik med Sguil 1.del, 2.del og 3.del.
SecurityMonkey's blog og podcasts.
Harlan Carvey's Windows Incident Response Blog.
Richard Bejtlich's blog med masser af information.
God tysk forensics blog, også en engelsk version af noget af teksten.
HogFly's blog, Didier Stevens blog, Mark McKinnon's blog, Michael Murr's blog, LonerVamp's blog og Raul Siles hjemmeside.
Sydafrikansk blok med fokus på jura.
SANS Internet Storm Center har opdateret information om nye angreb, trends, analyser m.m.
Anti-virus firmaet F-Secure security lab har en blog hvor der kan være interessant information. Microsofts Anti-Malware Engineering Team har en blog, det har Symantec også.
Mailing lister og forums
Der er efterhånden en lang række, mere eller mindre
aktive, offentlige mailing lister/diskussionsforum der fokusere på
computer forensics og incident handling. Arkiverne over
tidligere diskussioner indeholder ofte svar på de fleste
situationer man kan finde sig selv i, og arkiverne kan
derfor være gode at søge i, inden man stiller spørgsmål på
listerne. De fleste lister
ligger i gennemsnit på et par mails om dagen.
Securityfocus.com's
forensics mailing liste.
Internet Crime Discussion Listen, diskussion af alle
områder indenfor forensics og incident response.
Computer_forensics for spørgsmål og diskussioner om
forensics.
Linux_forensics er en
gammel mailing liste for brug af Linux i forensics og
undersøgelser af Linux systemer.
Linux-Forensics er en nyere liste med samme formål: brug
af Linux til computer forensics.
Computer
Forensics Tool Testing listen er rettet imod test og
validering af programmer til brug indenfor computer
forensics selvom der også kan være tekniske diskussioner
indenfor andre områder.
Mac/MacOS forensics har sin egen liste.
Sleuthkit user listen til spørgsmål om programmerne
Sleuthkit og Autopsy.
The Coroners Toolkit har også sin egen mailing liste.
Windows Incident Response for incident response og
forensics på Windows NT/2k/2k3.
Forensic Focus har bl.a. en mail liste og et forum.
Phoneforensics er en gruppen for mobiltelefon forensics,
et område der kan være vigtig i flere typer undersøgelser.
Securityfocus'
incidents liste for diskussioner om incident response,
men også jævnligt om forensics. I perioder stor aktivitet på
listen = mange mails.
DFRWS
(Digital Forensic Research Workshop) har bl.a. et nyt forum.
Digital Detective i England har et godt forum, kræver
godkendelse inden man får adgang (man skal arbejde med
computer forensics).
WinHex har et godt teknisk forum.
AccessData, der er mest kendt for programmet FTK (Forensics
Toolkit), har et godt forum. Se også for ASR Data's Smart forensics
forum.
Paraben Forensics har også et godt forum på deres hjemmeside.
F3 organisationen i England The First Forensic Forum har bl.a. et forum.
Intrusions listen er en meget aktiv
mailing liste med bl.a.
information om nye sikkerhedshændelser, meget information
direkte fra logfiler. Da listen er meget aktiv, kan det være
en ide at tilmelde sig digest-versionen.
Portaler m.v.:
E-evidence.info, ForInSecT.de,
Forensics.nl og Geschonneck.com er alle gode steder at starte, links til de
vigtigste forensics tekster og programmer.
ForensicFocus, ForensicExams,
PuterCops,
The Computer Forensics Community og
Computer Forensics World har bl.a. links, nyheder,
diskussionsforum m.m.
Svingende antal opdateringer til siderne.
EN LANG RÆKKE DANSKE TEKSTER ER PLANLAGT. |