• Save
Online Forensic V4
Upcoming SlideShare
Loading in...5
×
 

Online Forensic V4

on

  • 822 views

Online Durchsuchung aus der Sicht der Forensik

Online Durchsuchung aus der Sicht der Forensik

Statistics

Views

Total Views
822
Views on SlideShare
822
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Online Forensic V4 Online Forensic V4 Presentation Transcript

  • Aspekte der Online-Durchsuchung aus Sicht eines Forensikers a-i3 Tagung 9. Oktober 2007 Ruhr-Universität Bochum überarbeitet für LUGH 6.2.2008 ¨ Lukas Grunwald und Dr. Christian Bottger DN-Systems GmbH - Hildesheim - San Francisco - Dubai
  • DN-Systems digitale Forensik präventiv investigativ Organisation Security Integrale Sicherheit Labor (Forschung) Organisation / Umsetzung Design / Integration IT-Security Firewall, IDS, IPS, VPN, Content-Security, RFID Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • DN-Systems - global tätig DN-Systems Offices DN-Systems Partner Offices DN-Systems Customers Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Aufgabe dokumentiertes und nachvollziehbares Auffinden von evidenten Daten es müssen be-/entlastende Beweise gefunden werden Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Aufgabe Das wird sichergestellt durch: logische Analysen physikalische Analysen Datenintegritätsanalysen Täterprofile/Zugriffsanalysen Sicherheit bei einem Gerichtsverfahren durch: nachvollziehbare Vorgehensweise Absicherung gegen Vorwürfe der Manipulation an Beweismitteln Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Logische Struktur Beginn der Ermittlung der forensischen Datenbestände / Untersuchung Sicherstellung der Geräte und Speichermedien Sicherung der flüchtigen Daten / System noch Speicher und Online ? Prozessdump / JA Verbindungs- u. Kommunikationsdaten NEIN Rekonstruktion Sind Medien Physikalisch der beschädigt / gelöscht Gerichtsverwertbares beschädigt ? Speichermedien ? JA Gutachten aus den Fakten JA im Speziallabor unter dem Nachvollzugsaspekt NEIN für außenstehende Nicht- NEIN Experten Sicherung der Originaldaten / Wiederherstellen Erzeugen eines Abbildes der der gelöschten Datenträger Dateibereiche / zur weiteren forensischen Analyse mit Spezial-Werkzeugen Filesysteme Gerichts- Prozess Korrelation aller vorhandener Daten und Suche nach Weitere Daten JA Beweisen (evidenten Fakten) notwendig ? mit Forensik-Tools NEIN Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Online-Durchsuchung Einbringen von versteckter Software (Bundes-Trojaner) über manipulierte E-Mails über manipulierte Webseiten über manipulierte Datenträger über Man-in-the-Middle Angriffe durch klassischen Einbruch Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Online-Durchsuchung Folgerungen für Bundestrojaner Bundestrojaner darf nicht von Viren/Spam-Scanner erkannt werden also alles ganz geheim also darf ihn auch niemand analysieren können nach Einsatz wieder löschen aber: was ist mit Backups? Zielperson muss ”dumm genug” sein Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Online-Durchsuchung Einsatz von versteckter Software Onlinesuche auf dem Datenbestand der Festplatte Speichern von Suchmustern und Schlüsselwörtern auf dem Zielsystem Manipulation am Betriebssystem des durchsuchten Rechners Keine logischen / physikalischen Analysen oder Täterprofile/Zugriffsanalysen möglich Durch die Suche werden Systemzeitstempel zerstört Suche ist von Unbefugten manipulierbar Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Die Online-Durchsuchung Probleme (Trojaner) Bemerkbar vom Betroffenen Sicherheit / Beweiskraft bei einem Gerichtsverfahren? Keine nachvollziehbare Vorgehensweise Ermöglicht Vorwürfe der Manipulation an Beweismitteln Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  • Kriterien zur Analyse Wie wird mit meinen Daten im Analyseprozess umgegangen? Wie ist gewährleistet, dass weder Daten vernichtet, noch verfälscht werden können? Wie ist die Kenntnis und das Know-How des Labors für mein spezifisches Betriebssystem? Sind Spezialkenntnisse für Server-Forensik-Analysen vorhanden? Sind weitere Fertigkeiten notwendig wie z.B. das physikalische Restaurieren eines beschädigten Datenträgers? Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Problem Online-Durchsuchung Manipulation und Zerstörung von Beweismitteln Mögliche Folgeschäden Verfügbarkeit Integrität Authentizität Verschwiegenheit Geheimhaltung Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Online-Durchsuchung CAUTION Conflict of interests! Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse eines Servers Sicherstellung der Informationen Sicherstellung der Daten von Log- und Zeitservern Festplatten lokal oder Daten im SAN? Welche Metadaten könnten manipuliert sein? RAID oder Plain-Disk? de-striping für Analyse notwendig? Welche Filesysteme? (NFS,Server-Filesysteme,NTFSv5..) Sicherung allgemeiner Betriebsdaten (MAC, CPU-ID, System-ID...) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse eines Server Sicherstellung der Informationen Welche Kommunikationsbeziehungen? Physikalischer Zugriff? Zuführung einer Plattenforensik Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse von Arbeitsplätzen Sicherstellung der Informationen Sicherstellung der Festplatten und anderer Medien CDRs, Tapes, Token-Speicher, Internetzugangsdaten .. sofortiges Abschalten des Systems, um Löschen von temporären Daten zu verhindern Browser-Cache, E-Mails, Downloads, NEWS-Verzeichnisse Zuführung einer Plattenforensik Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse weitere Daten: Firewall- und IDS-Logs Radius/TACAS+ und Einwahl-Logs vom ISP weitere Zugriffskontrollinformationen Forensic-Accounting Attacker Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse Begutachtung der Speichermedien Medien verschlüsselt, nicht lesbar? physikalische Rekonstruktion durch Datenrettungslabor Erzeugung eines identischen Abbildes mit allen Meta- und Filesystemdaten Wiederherstellen der gelöschten Dateibereiche im Filesystem auf dem Abbild Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Einige Probleme es gibt eine Vielzahl von Betriebssystemen, Encodierungen und Dateiformaten. oft sind evidente Daten gelöscht oder nur noch bruchstückhaft auf dem Datenträger vorhanden. Encodierung der Daten muss gewandelt werden z.B. EBCDIC -> ISO-Latin-1, UNICODE, UCF, UTF ... RAID und SAN-Systeme es müssen die Volumen als Image gedumpt und de-striped werden. Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die verschiedenen Ebenen 1. File-System Layer z.B.: Filenames, Directory-Einträge, NTFS Index Trees 2. Meta-Data Filesystem Layer z.B.: UNIX INODES, NTFS MFT Einträge 3. Logical Disk Layer z.B.: Logische Blöcke und HD-Cluster, IP-Einkapselung 4. Physical Layer z.B: ATAPI- oder SCSI-Zugriff über den Hostadapter, Ethernet-Encoding 5. Physical Media Layer z.B: magnetische Aufzeichnungsschicht auf dem Datenträger, Modulation auf dem Netzwerk (HDB-3, QPSK) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  • Die Analyse Sicherstellung der Informationen Server Forensik oder Analyse eines Arbeitsplatzes? Server noch online? Informationen noch im Arbeitsspeicher? Schwere Entscheidung, da evidente Daten vernichtet werden ¨ konnten ! POWER-OFF und forensische Filesystem- und Festplattenanalyse DUMP von Speicherbereichen von Prozessen, welche evidente Informationen in ihrem Adressraum beherbergen Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • Top-Down Analyse erst mit Mitteln des Betriebssystems nach Dateien im logischen Filesystem suchen spezielle Software, welche die Dateitypen an Hand von „Magic-Bytes “erkennt, hilft schnell, auch gelöschte Datenbestände zu klassifizieren Analyse der Zugriffsberechtigungsdaten wie Permissions, ACLs, Filesystem und Objekt-Rechte z.B. Suche nach SUID Daten bei UNIX Systemen, User-Policy bei W2k, XP Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • Top-Down Analyse Analyse der META-Daten wie Zeitstempel von wichtigen System-Dateidaten z.B. wichtige Dateien für den Systemzugang, wie PAM, RADIUS, PASSWD, Registry-Daten Integritätsanalyse der META-Daten, um manipulierte Zeitstempel und Zugriffsdaten zu erkennen z.B. ACCESS-Time ist vor der CREATE-Time Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • Die Aufgabe Rekonstruktion Auffinden von evidenten Daten Wiederherstellen von gelöschten Festplattenbereichen manipulationssicher ein Speichermedium duplizieren ohne Beweise zu verfälschen Auswerten von Datenformaten Mail-Folder, Bild-Dateien Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • Weitere Aufgaben Es muss zwischen Arbeitsstations-Tools und Server-Analysewerkzeugen unterschieden werden. Sichern von flüchtigen Daten Speicherabzug von Prozessen, Disassemblierung von SWAP und Proc-Dumps Analyse von Zugriffs- und Berechtigungs-Metadaten Erzeugen von Suchmustern inkl. Cross-Platform-Konvertierung Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • Fazit Mittels verdeckter Online-Durchsuchung ist eine zu verwertbaren Beweismitteln führende Analyse nicht möglich. Einbringen von Suchpattern, die false positive Ergebnisse liefern (ohne die false positive Ergebnisse erkennen zu können) Zerstören von Informationen und Meta-Informationen, die Indizien liefern Kein Sichern von anderen wichtigen Nicht-Online Daten (externe Datenträger) Manipulation an Beweismitteln (Installation von Software) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  • DANKE dnSystems Danke für Ihre Aufmerksamkeit! Noch Fragen? l.grunwald@dn-systems.de c.boettger@dn-systems.de Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2