In der aktuellen Ausgabe der KES habe ich den von mir überarbeiteten Grundschutzbaustein „Behandlung von Sicherheitsvorfällen“ vorgestellt. Weiterlesen…
Kategorie: Methoden
Reaktion auf IT-Sicherheitsvorfälle
Microsoft hat im TechNet einen Beitrag unter dem Titel „Responding to IT Security Incidents“ veröffentlicht. Das Papier beschäftigt sich damit, wie Sicherheitsvorfälle vermieden werden können und wie im Fall der Fälle angemessen zu reagieren ist. Ein Schwerpunkt ist beispielsweise die Bildung eines Incident Response Teams, wie dieses zusammengesetzt sein sollte Weiterlesen…
Oracle Datenbank Forensik
David Litchfield hat seinen Black Hat Vortrag über Oracle Datenbank Forensik veröffentlicht. Er stellt darin Fundorte für Beweisspuren in Oracle Datenbanken vor: Weiterlesen…
Good Practice Guide for Computer-Based Electronic Evidence
Die englische Association of Chief Police Officers (ACPO) hat einen neuen Leitfaden zur elektronischen Beweismittelsicherung veröffentlicht. Diese neue Version des Good Practice Guide for Computer-Based Electronic Evidence wurde durch Experten komplett überarbeitet und erweitert.
Der öffentlich verfügbare Leitfaden richtet sich primär an folgende Personengruppen: Weiterlesen…
IT-Grundschutzbaustein „Sicherheitsvorfallbehandlung“
Ich möchte an dieser Stelle darauf hinweisen, dass die HiSolutions AG (die Firma für die ich arbeite ;-)) für das BSI u.a. einige Bausteine der IT-Grundschutzkataloge überarbeitet hat. Ich persönlich habe den Grundschutzbaustein 1.8 „Behandlung von Sicherheitsvorfällen“ in der Mache und diesen, sowohl um Elemente des klassischen ITIL Incident Managements ergänzt, sowie das Thema „Digitale Beweissicherung“ aufgenommen. Die Ergebnisse werden auf dem von uns organisierten IT-Grundschutztag am 02.07.2007 in Berlin präsentiert. Anbei das offizielle Weiterlesen…
Vom Verdacht zum Beweis
Der normale Weg von der Feststellung eines Sicherheitsvorfalls bis zur Aufklärung durchläuft häufig folgende Phasen:
- Ungewöhnliche Aktivitäten werden durch Administratoren oder Anwender wahrgenommen Weiterlesen…
Fundamental Computer Investigation Guide For Windows
Microsoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…
Testimages für forensische RAM-Analyse
Jesse Kornblum und Brian Carrier haben wieder ein paar Testimages für die RAM-Analyse veröffentlicht. Damit ist es jedermann möglich, Werkzeuge und Methoden zur forensischen Analyse von Hauptspeicherinhalten zu erproben. Es gibt folgende unterschiedliche Server- und Notebook-Images: Weiterlesen…
Forensische Datenanalyse von Mails am Beispiel von ENRON
Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.
Hier ein Beispiel anhand von Enron : Weiterlesen…
Forensische Analyse des System Restore Points
Harlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen…