<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small">On Tue, Aug 17, 2021 at 10:44 PM RB <<a href="mailto:aoz.syn@gmail.com">aoz.syn@gmail.com</a>> wrote:<br></div></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Fair disclosure: I am a practitioner (albeit former), and work<br>
developing modern tooling for processes a couple of iterations beyond<br>
the subject at hand.<br>
<br>
On Tue, Aug 17, 2021 at 3:00 PM Phillip Hallam-Baker<br>
<<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>> wrote:<br>
> I just started a forensics course so I could find out more about the current state of the art.<br>
><br>
> Commercial product TK-Imager, apparently a standard workhorse:<br>
<br>
I presume you mean FTK imager?  Common for asking end (or new) users<br>
to image local disks. Whatever gets the image down, but peaked close<br>
to 10 years ago.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Yup</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> * Uses SHA-1 and MD5 digests for integrity.<br>
<br>
Both digests coupled with a known size (which most disk forensics is<br>
based on), is bad but not as wildly bad as it could be.  Moreover,<br>
they're far more interested in the physical chain-of-custody documents<br>
of a given disk and its image (usually stored offline, on another<br>
disk) than they are the cryptographic soundness of their digest<br>
algorithm. If the latter fails, guess which they trust?<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">These are Merkle-Damgard constructions, so if MD5 can be broken and SHA-1 can be broken, breaking both is simply a matter of breaking them in different blocks. Easy. </div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Sure, the physical chain of custody is a backup. But if the defense is alleging the materials were tampered with, show the hash is broken and the case is toast.</div></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> * No enrollment in append only log<br>
<br>
Whose append-only log do you trust, and how do you implement it<br>
isolated from Internet connectivity, which is where most actual<br>
commercial disk forensics is conducted?  </blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">My technical solution is for each user of the Mesh and each Mesh service provider to run their own logs. Periodically, each Mesh used cross notifies with their service provider, thus locking the two logs so that neither can defect without the other detecting the breach. Every Mesh service provider then cross certifies with the callsign registry locking every service provider to the registry log, and thus every service provider to every service provider and every user to every user.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I would expect NIST to participate if this was to be evidence grade. So the ultimate authority of the integrity of the log enrollments is going to be NIST as far as the US courts are concerned, BSI for the UK etc. Everyone is their own ultimate authority.</div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If you want a good nasty<br>
shock, take a look at the <span class="gmail_default" style="font-size:small"></span>EWF storage formatt. It's the standard<br>
(outside of just raw images) mainly by attrition.<span class="gmail_default" style="font-size:small"></span></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">Already done, am shocked.</div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> This should be fixed. Its like people are working in the stone age.<br>
<br>
Be aware that many of those practitioners prefer it that way. They're<br>
not technologists or cryptographers, and many believe in the "court<br>
approved" or "court proven" smoke that established commercial vendors<br>
keep blowing at them. Bear also in mind that most shops doing disk<br>
forensics are law enforcement, former law enforcement, or an<br>
intersection of those with big "more bodies is better" consulting<br>
houses. Slow, manual, and time-consuming are the name of the game<br>
there. When it takes 20-40 man-hours for rapid analysis of a given<br>
image and an environment has thousands of systems and a customer is<br>
paying anywhere between $200 and $500/hr for the work, nobody is in a<br>
hurry to improve anything.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I doubt that automating the chain of custody verification, changing to a secure digest, etc. is going to reduce the number of consulting hours.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">It will make filling in time sheets a lot easier though.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">And for the vendors, do they really want to see their products exposed on the evening news?</div><br></div><div> </div></div><div dir="ltr" class="gmail_signature"><br></div></div>