3
Überprüfung des Netzwerks nach Encase und ähnlichen Konsorten
Hallo Leute,
wollte mir hier gerne Anregungen und Ideen holen...
Wir müssen unser Netz nach verdächtiger Software wie Encase etc. überprüfen. Da unser Mutterkonzern amerikanisch ist besteht der Verdacht, dass die bei uns verdächtige Software im geheimen ausrollen!
Die erste Idee war sich einen oder mehrere Clients auszusuchen und den Netztraffic mit Wireshark zu scannen. Ist das ein guter Ansatz? Hat jemand so etwas schon gemacht? Vielleicht gibt es entsprechende Seiten im Internet, wo ich mehr darüber lesen könnte.
Was gibt es da denn noch für Möglichkeiten?
Ich wäre für jede Anregung sehr dankbar! Vielen Dank!
Grüße,
Hampek
wollte mir hier gerne Anregungen und Ideen holen...
Wir müssen unser Netz nach verdächtiger Software wie Encase etc. überprüfen. Da unser Mutterkonzern amerikanisch ist besteht der Verdacht, dass die bei uns verdächtige Software im geheimen ausrollen!
Die erste Idee war sich einen oder mehrere Clients auszusuchen und den Netztraffic mit Wireshark zu scannen. Ist das ein guter Ansatz? Hat jemand so etwas schon gemacht? Vielleicht gibt es entsprechende Seiten im Internet, wo ich mehr darüber lesen könnte.
Was gibt es da denn noch für Möglichkeiten?
Ich wäre für jede Anregung sehr dankbar! Vielen Dank!
Grüße,
Hampek
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125034
Url: https://administrator.de/contentid/125034
Printed on: April 24, 2024 at 13:04 o'clock
3 Comments
Latest comment
nur so als Info nebenbei:
Es darf auf einem Arbeitsplatzrechner eingesetzt werden, wenn:
- laut Betriebsvereinbarung private Nutzung des PC verboten ist
- eine private Nutzung auch stillschweigend nie geduldet wurde
- ein hinreichender und begründeter Verdacht vorliegt, dass der PC für betriebsfremde Aufgaben missbraucht wurde
- der Betriebsrat dem Einsatz zugestimmt hat
oder wenn der Arbeitnehmer der Verwendung z.B. zum Zweck der Rettung verlorener Dateien ausdrücklich zugestimmt hat
In allen anderen Fällen ist der Einsatz des Programmes (zumindest in Deutschland) illegal.
Es darf auf einem Arbeitsplatzrechner eingesetzt werden, wenn:
- laut Betriebsvereinbarung private Nutzung des PC verboten ist
- eine private Nutzung auch stillschweigend nie geduldet wurde
- ein hinreichender und begründeter Verdacht vorliegt, dass der PC für betriebsfremde Aufgaben missbraucht wurde
- der Betriebsrat dem Einsatz zugestimmt hat
oder wenn der Arbeitnehmer der Verwendung z.B. zum Zweck der Rettung verlorener Dateien ausdrücklich zugestimmt hat
In allen anderen Fällen ist der Einsatz des Programmes (zumindest in Deutschland) illegal.
Hallo!
Es ja immer wieder interessant welche Ängste der Einsatz von EnCase auslösen kann.
Mir stellt sich als erstes die Frage ob überhaupt die Berechtigung vorliegt den Datenverkehr zu protokolieren. Das kann unter umständen eine strafbare Handlung darstellen.
Was löst den deine Befürchtung aus das EnCase im geheimen ausgerollt worden sein kann? Nur weil der Mutterkonzern amerikanisch ist?
Desweiteren ist es ja erst einmal die Sache des Unternehmens welche Software installiert ist. Auch wäre der Einsatz von EnCase, in dem vom Gesetzgeber gesteckten Rahmen, keinesfalls problematisch.
BTW:
EnCase Enterprise besteht vereinfacht dargestellt aus drei Komponenten:
1.) Examiner
2.) SAFE
3.) Servlet
Zu 1.) Ist das System das an dem der Forensic Specialist arbeitet
Zu 2.) ist das Serversystem welches die Kommunikation zwischen den anderen System managed und den ausstausch der Schluessel gewaehrleistet
Zu 3.) Ist ein ca. 400 KB groesses Programm welches den Examiner den Zugriff auf die Daten des System erlaubt. Dieses kann so installiert werden ohne das der Nutzer es bemerkt.
Wie kann man nun den Einsatz von EnCase in einer Enterprise Umgebung festellen?
1.) Auf jeden System auf dem ein Servlet installiert ist muss ein Port geöffnet sein. Selbiger sollte für alle Systeme gleich sein.
2.) Mit einem Sniffer könnte eine kryptierte Verbindung zwischen Examiner und Servlet oder zwischen Examiner/SAFE und SAFE/Servlet festgestellt werden.
Es ja immer wieder interessant welche Ängste der Einsatz von EnCase auslösen kann.
Mir stellt sich als erstes die Frage ob überhaupt die Berechtigung vorliegt den Datenverkehr zu protokolieren. Das kann unter umständen eine strafbare Handlung darstellen.
Was löst den deine Befürchtung aus das EnCase im geheimen ausgerollt worden sein kann? Nur weil der Mutterkonzern amerikanisch ist?
Desweiteren ist es ja erst einmal die Sache des Unternehmens welche Software installiert ist. Auch wäre der Einsatz von EnCase, in dem vom Gesetzgeber gesteckten Rahmen, keinesfalls problematisch.
BTW:
EnCase Enterprise besteht vereinfacht dargestellt aus drei Komponenten:
1.) Examiner
2.) SAFE
3.) Servlet
Zu 1.) Ist das System das an dem der Forensic Specialist arbeitet
Zu 2.) ist das Serversystem welches die Kommunikation zwischen den anderen System managed und den ausstausch der Schluessel gewaehrleistet
Zu 3.) Ist ein ca. 400 KB groesses Programm welches den Examiner den Zugriff auf die Daten des System erlaubt. Dieses kann so installiert werden ohne das der Nutzer es bemerkt.
Wie kann man nun den Einsatz von EnCase in einer Enterprise Umgebung festellen?
1.) Auf jeden System auf dem ein Servlet installiert ist muss ein Port geöffnet sein. Selbiger sollte für alle Systeme gleich sein.
2.) Mit einem Sniffer könnte eine kryptierte Verbindung zwischen Examiner und Servlet oder zwischen Examiner/SAFE und SAFE/Servlet festgestellt werden.
Hallo!
Danke für die Antwort...
Das es illegal ist ist es uns schon klar. Es ist eben unser Security Manager mit dem Betriebsrat, die die Überpfüfung auf die verdächtige Software veranlassen wollen.
Es ist schon nämlich vorgekommen, dass das Mutterkonzern "versehentlich" Encase ausgerollt hat!!!
Also die Diskussion brauchen wir nicht anzufangen, wie das rechtlich aussieht... In den USA wird das einwenig lockerer gesehen!
Grüße,
Hampek
Danke für die Antwort...
Das es illegal ist ist es uns schon klar. Es ist eben unser Security Manager mit dem Betriebsrat, die die Überpfüfung auf die verdächtige Software veranlassen wollen.
Es ist schon nämlich vorgekommen, dass das Mutterkonzern "versehentlich" Encase ausgerollt hat!!!
Also die Diskussion brauchen wir nicht anzufangen, wie das rechtlich aussieht... In den USA wird das einwenig lockerer gesehen!
Grüße,
Hampek
