IT-Forensik-Seminar am 6. April in München

Am 6. April findet in München in Zusammenarbeit mit dem Management Circle ein eintägiges Intensiv-Seminar zum Thema „IT-Forensik“ statt. KHK Becker wird neben mir auch dabei sein und über die optimale Zusammenarbeit mit den Ermittlungsbehörden sprechen. Mein Kollege Christoph Puppe wird am Vortag ein Seminar zum Thema „Hacking“ abhalten, was die gesamte Veranstaltung thematisch abrunden wird. Die gesamte Verasntaltung steht unter dem Motto: „Angriffsmethoden kennen und Abwehrmaßnahmen optimieren! / Computer-Kriminalität entdecken, Beweise sichern und korrekt reagieren!“

Informieren Sie sich umfassend über Weiterlesen…

Computer-Forensik-Vortrag auf dem CeBIT Heise-Forum

Am 10.3.2006 habe ich auf dem Heise CeBIT-Forum 2006 „Sicherheit und IT-Recht“ (Halle 5/E38) einen Vortrag über „Computer-Forensik in der Praxis“ gehalten. Neben der Auswahl der richtigen Ermittlungsstrategie ging es auch um die Wahl der richtigen Methoden und Werkzeuge bei der Aufklärung von Sicherheitsvorfällen. Der starke Besucherandrang zeigte, dass das Thema sehr aktuell ist.
Am 13.3.2006 wird der Vortag auf dem iX CeBIT-Forum 2006 „Software und Services“ (Halle 3/B19) wiederholt.
Wer nicht teilnehmen konnte, kann sich hier die Folien herunteladen.
Forum Logo iX
Logo Heise Forum

Forensik-Werkzeug Artikel in iX 03/2006

ix 03/06 Im Rahmen der Titelgeschichte zum Thema „Dateisystemforensik und Datenrettung“ habe ich in der ix 03/2006 einen Artikel veröffentlicht, der sich mit der Leistungsfähigkeit von kommerziellen Forensik-Tools beschäftigt. Im Rahmen dieser Betrachtung wurden grundsätzliche Anforderungen an Open und Closed Source Forensik-Tools beschrieben und wie diese letztendlich auch vor Gericht zu bewerten sind.

Ergänzung: 2006-03-02 um 11:34:51: In den Artikel hat sich der Fehlerteufel eingeschlichen. Die URL zum Download des Testimages der lautet [wpdm_package id=’1694′]

Was ist neu in der zweiten Auflage?

Lohnt sich eigentlich der Kauf der zweiten Auflage, wenn man bereits die erste besitzt?

In der zweiten Auflage wurde eine Aktualisierung der Statistiken und der Werkzeuge vorgenommen. Neue Tools wurden aufgenommen, alte entfernt. Da gerade der Toolmarkt eine rasante Weiterentwicklung erfährt, ist dies ein recht wichtiger Aspekt. Die neuen Funktionen von EnCase 5 wurden ebenso aufgenommen, wie die neuen Werkzeuge X-Ways Forensics, Adepto und Helix.

Zusätzlich wurden die juristische Aspekte an die aktuelle Rechtssprechung angepasst.

Wer auf dem neusten Stand der Computer Forensik bleiben möchte, sollte die zweite Auflage unbedingt kaufen. 8)

Buchrückentext der neuen Auflage

Alexander Geschonneck

Computer-Forensik

Systemeinbrüche erkennen, ermitteln, aufklären

Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.

Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.

Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht – sowohl im „Fall der Fälle“ als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:

– wo man nach Beweisspuren suchen sollte
– wie man sie erkennen kann
– wie sie zu bewerten sind
– wie sie gerichtsverwertbar gesichert werden sollten

Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.

Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.

Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.

Zielgruppe:

  • Sicherheitsbeauftragte
  • Systemadministratoren
  • Sicherheitsberater
  • Ermittler
  • Gutachter

Inhaltsverzeichnis der neuen Auflage

Einleitung
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . 9
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 20
1.6 Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 27
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 27
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 Incident Response als Grundlage der Computer-Forensik 37
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 37
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 38
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 39
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 41
3.4.1 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.2 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 42
3.4.3 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 43
3.4.4 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 45
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 48
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 52
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 53

4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 57
4.4 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 65
4.4.1 Juristische Bewertung der Beweissituation . . . . . . 65
4.4.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3 Welche Daten können erfasst werden? . . . . . . . . . 69
4.4.4 Durchgeführte Aktionen dokumentieren . . . . . . . . 70
4.4.5 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 71
4.4.6 Mögliche Fehler bei der Beweissammlung . . . . . . . 73
4.5 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 75
4.6 Speichermedien sichern: forensische Duplikation . . . . . . . 77
4.6.1 Wann ist eine forensische Duplikation
sinnvoll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 79
4.7 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . . 81
4.8 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.3 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.4 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.5 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.6 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . . . 97
5.7 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . . 98
5.8 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 109
6.2 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.3 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 115
6.4 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.5 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.6 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.7 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 127
6.8 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 128
6.9 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 130
6.10 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.11 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . 136
6.12 Eigene Toolkits für Unix und Windows erstellen . . . . . . 140
6.12.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.2 Incident Response Collection Report
(IRCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.3 Windows Forensic Toolchest (WFT) . . . . . . . . . 143

7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 145
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 145
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 151
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 158
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . 165
7.1.5 P.m.-Analyse der Images mit F.I.R.E. . . . . . . . . . 171
7.1.6 Dateiwiederherstellung mit unrm und
lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.1.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 175
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . 179
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 179
7.2.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 180
7.2.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 184
7.2.4 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.2.5 P.m.-Analyse der Images mit EnCase . . . . . . . . . 189
7.2.6 P.m.-Analyse der Images mit X-Ways
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.2.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 195
7.3 Forensische Analyse von PDAs . . . . . . . . . . . . . . . . . . . . 210
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 215

8 Empfehlungen für den Schadensfall
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 222
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

9 Backtracing
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 227
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . . 227
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 228
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 229
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 230
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 230
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . . 245
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 247
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 247
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 247
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 250
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . . 252
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 253
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Anhang
Tool-Überblick 257
Literaturempfehlungen 261
Stichwortverzeichnis 263