Pages

Friday, August 1, 2014

Uncovering what lies beneath...

Clarification for Information Leakage: A trusted US business partner of mine asked me for assistance. He needed help in identifying the source of a potential information leak for one of his customers.

As everyone knows, the behaviour of regular business users is rather predictable. This predictability can be visualised and wrapped in a bubble allowing for granular and non-granular analysis.  

With the image below, I created a non-granular view where each bubble represents a user's normal interactions. Even with a casual glance you can immediately see how one bubble stands out from the others.


This visualization provides clear evidence of one individual who had accessed the contents of more than 2,500 mail files of other employees in the organisation. 

In greater detail, each bubble in the above image represents a single user who accesses a particular number of databases.  Each type of database is given a designated color, described in the legend.  The entire visualization represents the activity of 5,000 users inside the organization's IBM Domino collaboration environment.

Some of you may have noticed the second largest bubble (in the blue bubbles). This represents the activity by a well-known performance monitoring tool.

A forensics engagement like this typically takes about one to two weeks to perform with a lead time < 24 hours. All of the work is performed remotely, with the exception of the data collection (online screen sharing session, appr. 1 hour) and presentation of findings (again online screen sharing session).

Wednesday, April 2, 2014

How to DOS your Imac

Have your keyboard, mouse and trackpad all connect via bluetooth.
Next, click the bluetooth icon, turn it off and discard the warning dialog that tells you why you should not be doing this.

Plugging in a usb-mouse didn't work. Remote access could have, so I guess I should enable this.

Monday, December 3, 2012

Over 21,000 views on my Tumi TSA Lock video

Did you know how many people forget the number combination of their luggage locks? Imagine the trouble, if you just arrived in your hotel after a long flight.

In this short instruction video I posted a while back on youtube, I show how to open a Tumi TSA approved lock if you've forgotten the number combination.

And I just discovered it's been watched more than 21,000 times in the past 9 months. Wow ;-).


Tuesday, November 27, 2012

Amazing experience working with IBM China

I have very good memories from working with people in the AsiaPac region, both as a guest speaker at it-security (BlackHat) conferences in Hong Kong and in performing some forensics work for the Internal Security Department in Singapore.

This week I had my first experience in working together with team members from IBM in China. In one word: amazing! Let me tell you why:

Following the partnership that IBM and my company started this year (see this link >>), we needed to start supporting the non-western character-sets in our DNA solution in order to perform data collections on Lotus Domino servers in China.

For this purpose, Viktor Kranz (IBM's TF/DNA coordinator inside IBM) brought me in touch with Mr. Lin Tang of IBM China or 'Forest Soup' for those who get to know him ;-)

My encounters with Forest Soup:
  • setting up a complete C++ dot Net 2003 IDE, including Notes C-api 
  • understanding code logic for 9,000 LOC (C++): 25 minutes
  • installation of a new Domino server: 5 minutes
  • limit questions to just 4 sharp & smart ones: 5 minutes
  • coming up with a plan
  • daily status updates
  • superb documentation
  • clarity in communication
  • entire new code done within a matter of days
Over the past 12.5 years in Trust Factory, I've met -and worked with- several uber-specialists such as Bill Buchan, Daniel Nashed, Richard van den Berg, Michael Dudding, Stephan Wissel, to name a few.

I'm ready to add another uber-specialist to my list: Amazing Mr Tang :-)

Sunday, November 25, 2012

Nieuwe voorwaarden www.overheid.nl: Zijn jullie gek geworden!

Vanochtend vroeg was ik even benieuwd naar een paar kadastrale gegevens mbt. ons huis, en begreep dat ik op www.mijnoverheid.nl een overzicht kon inzien (zodat ik niet hiervoor hoef te betalen).

Tot mijn stomme verbazing wil de organisatie mij daarbij dwingen tot een keuze waar juridische consequenties aan kunnen kleven! Zie hieronder:


De volledige voorwaarden zijn hier te zien.

Als ik deze voorwaarden accepteer, ben ik dus verplicht om regelmatig hierop in te loggen. Doe ik dat niet, dan riskeer ik dat ik officiĆ«le communicatie van overheidsinstanties niet op tijd zie en mogelijk wettelijke termijnen overschrijd. Accepteer ik de voorwaarden niet, dan ben ik niet langer welkom om informatie over mezelf en mijn gezin in te zien op deze overheidsdienst.

ZIJN JULLIE NOU HELEMAAL GEK GEWORDEN DAAR?!

Update: onder protest de voorwaarden maar geaccepteerd en direct een reactieformulier ingevuld:


Bij het inloggen op deze dienst werd ik vanochtend geconfronteerd met een voldongen feit: danwel dwingende voorwaarden accepteren, waarbij ik mij verplicht tot het regelmatig inloggen en lezen van berichten op deze dienst, danwel mijn account opzeggen.

Volgens mij heb ik recht op het gebruik van deze -en hierop aangesloten diensten, zonder dat hieraan dergelijke verregaande verplichtingen en mogelijk juridische consequenties aan kleven.

Dergelijke praktijken stroken totaal niet met de doelstelling van deze dienst en passen totaal niet in het juridisch kader in Nederland.

Bij deze derhalve deel ik u dus mede dat ik de voorwaarden onder protest heb geaccepteerd, teneinde van de diensten gebruik te kunnen maken. Voor alle duidelijkheid meld ik u dat ik niet regelmatig zal inloggen, en dat u mijn berichtenbox niet voor communicatiedoeleinden mag gebruiken.

Graag zou ik zien dat u mijn inlog-gegevens actief houdt, waarbij u mijn -onder protest- gedane acceptatie van voorwaarden, in uw systemen en die van uw toeleveranciers weer ongedaan maakt.

Ik wacht uw reactie met belangstelling af.

W. Aukema.

Thursday, November 22, 2012

Notes client startup time = super fast

The startup time of my Lotus Notes client on a Mac is fast, watch the clip I created on my Mac:

video

My setup: Notes 8.5 client on a Macbook Pro 17", connecting over a Ziggo cable network connection to the IBM Lotus Domino server at my office. My mailfile is not small, around 10GB.

Doing analysis at so many large customers worldwide, I sometimes hear that end users complain about the time it takes to start their Notes client. This is when I show these customers how the configuration of those clients have an impact the time it takes to startup.

Florian Vogler (Panagenda) and I decided to analyze this in more detail at a large customer. By combining data collected from workstations with MarvelClient with data that DNA collects from server logs, we expect to find evidence and best practices.