Fragen? Antworten! Siehe auch: Alternativlos
Der Angriffsvektor war in diesem Fall eine LVM2-Partitionstabelle, und darüber konnten die den Rechner des Forensikers mit dem Encase übernehmen. Encase sagt dazu:
"We are aware and appreciate the issues raised by SEC Consult. The exploit SEC Consult claims to have found is an extreme edge case, much like the theoretical alerts they tried to promote in November. As always, we continue to examine alerts when they are submitted and apply changes to our systems as necessary.[…]
The nature of our business is dealing with raw data, and that has risk. We will continue to modify our software as necessary to deal with the continually changing environment. If necessary, we will take action and inform our customers. We do not consider this claim to be serious and it will not impact the performance of our products."
Ja so ist das halt mit Software, das ist halt mit Risiken verbunden und so weiter.Wenn ich mit dem Schlangenöl der AV-Industrie durch bin, müsste als nächstes mal die Forensik-Branche in den Fokus der Aufmerksamkeit.
Oh, die theoretischen Lücken letztes Mal? Der Einsender fasst das so zusammen:
Sie haben gezeigt, dass man einen FTP Server auf dem Spurensicherungssystem aufsetzen könnte und ein krimineller extern dann belastende Beweise löschen könnte.Da weiß man, was man hat! (Danke, Jens)