Subject: <span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; border-collapse: collapse; ">forensics with Linux</span><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br>
</span></font></div><div><span class="Apple-style-span" style="font-size: 13px; "></span><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;">First, if this is a significant/potential financial breach DO NOTHING TO THE BOX. Turn it over the the police. Preserve the "Crime Scene" once you boot it up via any method the metadata is compromised and taints the audit trail.</span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;">If you just want to perform you own audit, use a computer forensics tool e.g. SleuthKit...<a href="http://www.sleuthkit.org/">http://www.sleuthkit.org/</a> etc.</span></font></div>
<div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;"><br></span></font></div><div><font class="Apple-style-span" face="arial, sans-serif"><span class="Apple-style-span" style="border-collapse: collapse;">Brad<br>
</span></font><br><div class="gmail_quote">On Wed, Nov 18, 2009 at 12:00 PM,  <span dir="ltr"><<a href="mailto:sf-lug-request@linuxmafia.com">sf-lug-request@linuxmafia.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Send sf-lug mailing list submissions to<br>
        <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="http://linuxmafia.com/mailman/listinfo/sf-lug" target="_blank">http://linuxmafia.com/mailman/listinfo/sf-lug</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:sf-lug-request@linuxmafia.com">sf-lug-request@linuxmafia.com</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:sf-lug-owner@linuxmafia.com">sf-lug-owner@linuxmafia.com</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of sf-lug digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: SF-LUG DNS (jim)<br>
   2. forensics with Linux (Pseudo Anonymous)<br>
   3. BayPIGgies meeting Thursday November 19,  2009: Python in<br>
      Computational Biology and Chemistry (jim)<br>
   4. Re: forensics with Linux (Rick Moen)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 17 Nov 2009 21:06:22 -0800<br>
From: jim <<a href="mailto:jim@well.com">jim@well.com</a>><br>
Subject: Re: [sf-lug] SF-LUG DNS<br>
To: Rick Moen <<a href="mailto:rick@linuxmafia.com">rick@linuxmafia.com</a>><br>
Cc: <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
Message-ID: <1258520782.8131.6.camel@jim-laptop><br>
Content-Type: text/plain<br>
<br>
<br>
<br>
   jim was studying diligently until the dentist<br>
pulled out one of his teeth and filled him with<br>
pain pills. jim will study more in the morning.<br>
<br>
<br>
<br>
On Tue, 2009-11-17 at 12:17 -0800, Rick Moen wrote:<br>
> Quoting Michael Paoli (<a href="mailto:Michael.Paoli@cal.berkeley.edu">Michael.Paoli@cal.berkeley.edu</a>):<br>
><br>
> > Yes, definitely still stuff to be done (I keep hoping Jim or someone<br>
> > else will get <a href="http://SF-LUG.COM" target="_blank">SF-LUG.COM</a>. DNS squared away before the secondary expires<br>
> > the zone ... but if the timing gets too close on that, I plan to correct<br>
> > it - and in the meantime Jim Stockford and/or other <a href="http://SF-LUG.COM" target="_blank">SF-LUG.COM</a>.<br>
> > systems/DNS administrators can contact me if they need assistance or<br>
> > have questions).<br>
><br>
> If need be, it's simple to prevent zone expiration by temporarily<br>
> telling the secondary that it's master for the zone (until the<br>
> replacement master is ready).<br>
><br>
> > Actually, by coincidence, turns out the "new" (substituted) master DNS<br>
> > server is ... well, will be anyway, on the same IP (host is there, but<br>
> > last I checked it's not yet serving up DNS nor particularly being DNS<br>
> > for SF-LUG.COM.).<br>
><br>
> OK, good for me, then.  ;->  Everything should Just Work when Jim has<br>
> the master DNS back online.<br>
><br>
><br>
> > # cat var/named/chroot/var/named/<a href="http://sf-lug.com" target="_blank">sf-lug.com</a><br>
> > $TTL 86400<br>
> > $ORIGIN sf-lug.COM.<br>
> > @       IN      SOA     <a href="http://ns1.sf-lug.com" target="_blank">ns1.sf-lug.com</a>. <a href="http://jim.well.com" target="_blank">jim.well.com</a>. (<br>
> >                         2007102904      ;Serial<br>
> >                         3600            ;refresh period<br>
> >                         3600            ;retry period<br>
> >                         1209600         ;expire period<br>
> >                         10800)          ;minimum TTL period<br>
> > ;<br>
><br>
> Minor correction:  The last SOA sub-field hasn't signified "minimum TTL<br>
> period" since BIND4 days.  The above annotation is a dusty holdover,<br>
> probably copied from an old example file, and should be replaced.  The<br>
> new-er purpose of that subfield is "negative TTL" aka "negative<br>
> caching", which is how many seconds a nameserver should cache a NAME<br>
> ERROR (NXDOMAIN) record.<br>
><br>
> FYI, the value you specify, 10800 = 3 hours, is the longest time period<br>
> for negative caching allowed by RFCs.<br>
><br>
> FWIW, I tend to use these values in SOAs:<br>
><br>
>                         7200                    ; refresh 2 hours<br>
>                         3600                    ; retry 1 hour<br>
>                         2419200                 ; expire 28 days<br>
>                         10800                   ; negative TTL 3 hours<br>
><br>
><br>
><br>
> [snip suggested steps when moving master DNS]<br>
><br>
> > Yes, ... not quite the situation in this case.<br>
><br>
> True, those remarks having been based on the assumption of moving master<br>
> DNS to a new IP.<br>
><br>
> It's still good to let your secondaries know about planned downtime.<br>
> Which of course means it's a good idea to keep contact information in<br>
> your /etc/named.conf[.local].<br>
><br>
><br>
><br>
> _______________________________________________<br>
> sf-lug mailing list<br>
> <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
> <a href="http://linuxmafia.com/mailman/listinfo/sf-lug" target="_blank">http://linuxmafia.com/mailman/listinfo/sf-lug</a><br>
> Information about SF-LUG is at <a href="http://www.sf-lug.org/" target="_blank">http://www.sf-lug.org/</a><br>
><br>
<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Wed, 18 Nov 2009 07:05:33 -0800<br>
From: Pseudo Anonymous <<a href="mailto:pseudo.anonymous70@gmail.com">pseudo.anonymous70@gmail.com</a>><br>
Subject: [sf-lug] forensics with Linux<br>
To: <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
Message-ID:<br>
        <<a href="mailto:c4e67a470911180705re87c76akc0292ca8de8e8196@mail.gmail.com">c4e67a470911180705re87c76akc0292ca8de8e8196@mail.gmail.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1<br>
<br>
forensics with Linux<br>
<br>
Let's say someone hands us a laptop that is or likely has been<br>
compromised.  Let's say we actually want to preserve an exact image<br>
copy of the laptop hard drive.  Let's say we also want to compute some<br>
secure cryptographic hashes of entire laptop hard drive and<br>
digitally sign - such as with gpg - those hashes and statement about<br>
those hashes.  Let's say we've got quite sufficiently large external<br>
USB drive that we can attach and that wasn't at all involved in<br>
compromise and hasn't been attached to that laptop before.<br>
<br>
So, how would we best proceed to: boot Linux off of CD or DVD (or<br>
possibly even USB stick) and make absolutely no write access to the<br>
laptop hard drive - e.g. nothing that would automatically or by default<br>
mount or attempt to mount anything on the laptop filesystem(s) rw?<br>
We'd also want to be sure nothing attempts to run/boot/execute anything<br>
off the laptop hard drive.  Let's say we've got someone that well knows<br>
how to wield fdisk/cfdisk/sfdisk/mke2fs/dd/gpg/openssl, and at least<br>
most common Linux systems administration tasks, but may or may not be a<br>
forensics expert, and we're mostly interested in preserving evidence of<br>
state and data of laptop hard drive.<br>
<br>
Any particular recommendations of handy readily available Linux<br>
distribution that would be best/easiest to accomplish these tasks -<br>
such as run from live CD image, and if needed, including actions or<br>
boot options to ensure it doesn't make or attempt to make any write<br>
access to laptop hard drive by default including having it not making<br>
nor attempting to make any rw mounts of laptop filesystem(s).<br>
<br>
And for the legal or legally inclined folks, particular recommendations<br>
for evidence preservation/handling for possible use in criminal and/or<br>
civil case(s) in such described situation?<br>
<br>
Thanks in advance for the information.<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 3<br>
Date: Wed, 18 Nov 2009 08:48:33 -0800<br>
From: jim <<a href="mailto:jim@well.com">jim@well.com</a>><br>
Subject: [sf-lug] BayPIGgies meeting Thursday November 19,      2009:<br>
        Python in       Computational Biology and Chemistry<br>
To: <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
Message-ID: <1258562913.8131.26.camel@jim-laptop><br>
Content-Type: text/plain<br>
<br>
<br>
(NOTE: Because of Thanksgiving, BayPIGgies meets in November<br>
on the third, not the fourth, Thursday of the month.<br>
<br>
And next month BayPIGiges will meet on December 14: the<br>
second MONDAY of the month.)<br>
<br>
<br>
BayPIGgies meeting Thursday November 19, 2009:<br>
<br>
Tonight's talk is<br>
* Python in Computational Biology and Chemistry<br>
by Andrew Dalke<br>
<br>
Meetings start with a Newbie Nugget, a short discussion of an<br>
essential Python feature, especially for those new to Python.<br>
Tonight's Newbie Nugget: chaining operators<br>
<br>
LOCATION<br>
Symantec Corporation<br>
Symantec Vcafe<br>
350 Ellis Street<br>
Mountain View, CA 94043<br>
<a href="http://maps.google.com/maps/ms?oe=utf-8&client=firefox-a&ie=UTF8&fb=1&split=1&gl=us&ei=w6i_Sfr6MZmQsQOzlv0v&hl=en&t=h&msa=0&msid=116202735295394761637.00046550c09ff3d96bff1&ll=37.397693,-122.053707&spn=0.002902,0.004828&z=18" target="_blank">http://maps.google.com/maps/ms?oe=utf-8&client=firefox-a&ie=UTF8&fb=1&split=1&gl=us&ei=w6i_Sfr6MZmQsQOzlv0v&hl=en&t=h&msa=0&msid=116202735295394761637.00046550c09ff3d96bff1&ll=37.397693,-122.053707&spn=0.002902,0.004828&z=18</a><br>

<br>
BayPIGgies meeting information is available at<br>
<a href="http://www.baypiggies.net/" target="_blank">http://www.baypiggies.net/</a><br>
<br>
<br>
------------------------ Agenda ------------------------<br>
<br>
..... 7:30 PM ...........................<br>
General hubbub, inventory end-of-meeting announcements, any<br>
first-minute announcements.<br>
<br>
<br>
..... 7:35 PM to 7:40 PM ................<br>
Newbie Nugget: chaining operators<br>
<br>
<br>
..... 7:40 PM to 8:45 PM (or so) ................<br>
<br>
Python in Computational Biology and Chemistry<br>
by Andrew Dalke<br>
<br>
Andrew will describe how Python is used in molecular modeling,<br>
bioinformatics, chemoinformatics, and related fields.<br>
<br>
Wait! Don't leave!<br>
<br>
You're not a researcher in these fields and he knows it. He's<br>
going to give a taste of what the underlying problems are in some<br>
of those subfields, an idea of what Python tools are available<br>
and describe a few of the reasons why sometimes Perl, FORTRAN, or<br>
another language is the dominate language for that some that domain.<br>
There will be some colorful pictures. He'll also include a bit of<br>
what it's like to be a software developer in a scientific field.<br>
<br>
LINKS: <a href="http://dalkescientific.com/writings/" target="_blank">http://dalkescientific.com/writings/</a><br>
<br>
<br>
..... 8:45 PM to 9:20 PM  ................<br>
Mapping and Random Access<br>
<br>
Mapping is a rapid-fire audience announcement of issues, hiring,<br>
events, and other topics.<br>
<br>
Random Access follows immediately to allow follow up individually<br>
on the announcements and other interests.<br>
<br>
<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 4<br>
Date: Wed, 18 Nov 2009 09:32:42 -0800<br>
From: Rick Moen <<a href="mailto:rick@linuxmafia.com">rick@linuxmafia.com</a>><br>
Subject: Re: [sf-lug] forensics with Linux<br>
To: <a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
Message-ID: <<a href="mailto:20091118173242.GL6625@linuxmafia.com">20091118173242.GL6625@linuxmafia.com</a>><br>
Content-Type: text/plain; charset=utf-8<br>
<br>
Quoting Pseudo Anonymous (<a href="mailto:pseudo.anonymous70@gmail.com">pseudo.anonymous70@gmail.com</a>):<br>
<br>
> Any particular recommendations of handy readily available Linux<br>
> distribution that would be best/easiest to accomplish these tasks -<br>
> such as run from live CD image, and if needed, including actions or<br>
> boot options to ensure it doesn't make or attempt to make any write<br>
> access to laptop hard drive by default including having it not making<br>
> nor attempting to make any rw mounts of laptop filesystem(s).<br>
<br>
Check with the applicable legal authorities about which of these are<br>
deemed to result in admissible evidence:<br>
<br>
DEFT Linux CD, <a href="http://www.deftlinux.net/" target="_blank">http://www.deftlinux.net/</a><br>
CAINE Live CD, <a href="http://www.caine-live.net/" target="_blank">http://www.caine-live.net/</a><br>
FCCU GNU/Linux Forensic Boot CD, <a href="http://www.lnx4n6.be/" target="_blank">http://www.lnx4n6.be/</a><br>
Grml, <a href="http://grml.org/
Helix3" target="_blank">http://grml.org/<br>
Helix3</a>, <a href="https://www.e-fense.com/store/index.php?_a=viewProd&productId=11" target="_blank">https://www.e-fense.com/store/index.php?_a=viewProd&productId=11</a><br>
  (proprietary no longer maintained)<br>
Helix3 Pro, <a href="http://www.e-fense.com/helix3pro.php" target="_blank">http://www.e-fense.com/helix3pro.php</a> (proprietary)<br>
Masterkey Linux, <a href="http://www.e-fense.com/helix3pro.php" target="_blank">http://www.e-fense.com/helix3pro.php</a><br>
SPADA, <a href="http://spada-cd.info/" target="_blank">http://spada-cd.info/</a><br>
The Farmer's Boot CD, <a href="http://www.forensicbootcd.com/" target="_blank">http://www.forensicbootcd.com/</a><br>
Operator, <a href="http://www.ussysadmin.com/operator/
Knoppix-STD" target="_blank">http://www.ussysadmin.com/operator/<br>
Knoppix-STD</a>, <a href="http://www.knoppix-std.org/" target="_blank">http://www.knoppix-std.org/</a><br>
Inside Security Rescue Toolkit, <a href="http://www.inside-security.de/insert_en.html" target="_blank">http://www.inside-security.de/insert_en.html</a><br>
<br>
<br>
<br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
sf-lug mailing list<br>
<a href="mailto:sf-lug@linuxmafia.com">sf-lug@linuxmafia.com</a><br>
<a href="http://linuxmafia.com/mailman/listinfo/sf-lug" target="_blank">http://linuxmafia.com/mailman/listinfo/sf-lug</a><br>
Information about SF-LUG is at <a href="http://www.sf-lug.org/" target="_blank">http://www.sf-lug.org/</a><br>
<br>
End of sf-lug Digest, Vol 46, Issue 26<br>
**************************************<br>
</blockquote></div><br><br clear="all"><br>-- <br>Always think about positive affirmations before going to sleep. This spirit guides our subconscious as we sleep and creates our reality.<br>Giving thanks, for that which has not happened yet, allows a spirit/life pattern to manifest in our lives.<br>

</div>