Dat virtualisatie allerlei voordelen heeft, hoef ik je niet te vertellen. Over het onderwerp virtualisatie zelf zijn al boekenplanken vol geschreven. Het is een techniek die veel voordeel en besparing kan opleveren. Zoals met iedere techniek kan het ook gebruikt worden voor doeleinden die we liever niet zouden zien.
Al langer is bekend dat in het Midden-Oosten jongeren worden geworven op diverse forums die sympathie hebben voor groepen als Al-Qaida. Met kleurige propagandabanners en -filmpjes worden de daden en martelaren van terroristische acties in Irak, Afghanistan, Nigeria, Tjetjenië en Bosnië verheerlijkt. De dienstverlening is zo optimaal dat de filmpjes in diverse formaten worden gemaakt zodat verspreiding per mobiele telefoon snel en gemakkellijk gaat. Worden bepaalde downloadsites in het land geblokkeerd? Geen probleem, via diverse kanalen kan het worden aangeboden. Een mooi voorbeeld dat werd aangetroffen was een religieuze (Arabische) tekst waarbij door op bepaalde woorden te klikken (illegale) versies van software of filmpjes waren te downloaden.
In een afgesloten gedeelte van een forum werd keurig de laatste versie van een bepaald soort virtualisatiesoftware aangeboden, speciaal bedoeld voor ‘terroristen'. Keurig wordt het gebruik en de installatie uitgelegd en hoe te gebruiken. De handleiding legt onder andere uit hoe je middels de virtuele machine (VM) bijvoorbeeld actievideo's kan uploaden zonder dat Youtube het filtert of hoe Westerse elementen gehackt kunnen worden. Nadat de persoon zijn daden heeft uitgevoerd moet hij de VM van de computer verwijderen om zijn daden te maskeren.
Het onderzoeken van computers waarbij een VM als springplank zijn gebruikt, kan lastig zijn. De snel wisselende virtualisatietechnieken, gebrek aan kennis en de afwezigheid van specifieke tooling maken het forensisch onderzoekers lastig. Er is veel kennis onder securityprofessionals en forensisch onderzoekers op dit gebied aanwezig, echter weet men elkaar niet te vinden, of wordt de kennis niet gedeeld.
Op BlackHat Europe 2010 te Barcelona geeft ondergetekende een presentatie over ‘Virtual Forensics'.
Hallo Christiaan,
Klinkt interessant. Het wordt me echter niet helemaal duidelijk of je “virtualisatie” bedoelt in de context van bijvoorbeeld Second Life (dus virtuele werelden scheppen met software) of van bijvoorbeeld VMware (dus virtuele hardware nabootsen met software). Of moet ik dan toch maar naar Barcelona komen?