Verdeckte Online-Durchsuchung aus
           der Sicht der IT-Forensik
            Chemnitzer Linuxtage 2008




         ...
Über DN-Systems
    Globales Beratungs- und Technologie-
     Unternehmen
          Planung
          Evaluierung
     ...
Weltweiter Service
     C u s to m e rs
     O w n s tu ff
     P a rtn e r




 17.02.08              Onlinedurchsuchung ...
Unsere Kunden
    RZ- und Datacenter-Betreiber
    Internet-Service-Provider und Backbone-Betreiber
    Telekommunikati...
Vorstellung Person
   ●
       Freiberuflicher IT-Berater seit Mai 2006
   ●
       Vorher Projektmanager und Teamleiter
 ...
Themen
   ●
       EDV-Strategie
   ●
       Projektmanagement
   ●
       Internet und Netze
           –   WWW
         ...
Die Aufgabe
          Es müssen
              be- und entlastende Beweise gefunden
               werden.
          Die...
Die Aufgabe
          Das wird sichergestellt durch
              logische Analysen
              physikalische Analyse...
Ablauf




17.02.08      Onlinedurchsuchung - Forensik   9
Terminologie
          (verdeckte) Online-Durchsuchung
              Analog Hausdurchsuchung: einmalige
               D...
Die Online-Durchsuchung
          Verdeckte Einbringung von Durchsuchungs-
           Software („Bundes-Trojaner“) durch:...
Die Online-Durchsuchung
          Folgerungen für den „Bundes-Trojaner“
              darf nicht erkannt werden
        ...
Die Online-Durchsuchung
          Rechtliche Vorgabe: der Kernbereich des
           privaten Lebens des Betroffenen darf...
Die Online-Durchsuchung
          Einsatz von versteckter Software
              Onlinesuche auf dem Datenbestand der Fe...
Die Online-Durchsuchung
          Probleme beim Trojaner-Einsatz
              Bemerkbar vom Betroffenen
          Sich...
Kriterien der Analyse
          Wie wird mit meinen Daten im Analyseprozess
           umgegangen?
          Wie ist gew...
Die Online-Durchsuchung
          Manipulation und Zerstörung von
           Beweismitteln
          Mögliche Folgeschäd...
Die Online-Durchsuchung




17.02.08       Onlinedurchsuchung - Forensik   18
Analyse eines Servers
          Sicherstellen der Informationen durch:
          Sicherstellung der Daten von Log- und Z...
Analyse eines Servers
          Sicherstellen der Informationen durch:
          Welche Kommunikationsbeziehungen?
    ...
Analyse eines Desktops
          Sicherstellen der Informationen durch:
          Sicherstellung der Festplatten und and...
Weitere Analyse
          Sicherstellen der Informationen durch:
          Firewall und IDS-Logs
          Radius/TACAS...
Labor-Analyse
          Begutachtung der Speichermedien
          Medien verschlüsselt oder nicht lesbar?
          Phy...
Zu beachten bei der Analyse
          Es gibt eine Vielzahl von Betriebssystemen,
           Encodings und Dateiformaten
...
Analyse-Ebenen
          File system layer
            Dateinamen, Verzeichnis-Einträge, NTFS Index tree, ...

        ...
Top-Down Analyse
          Erst mit den Mitteln des Betriebssystems nach dateien im
           logischen Dateisystem such...
Grundsätzliche Aufgaben
          Rekonstruktion
            Auffinden evidenter Daten
            Wiederherstellung ge...
Fazit
   Mittels verdeckter Online-Durchsuchung ist eine zu
     verwertbaren Beweismitteln führende
     forensische Anal...
Fragen ?




 17.02.08   Onlinedurchsuchung - Forensik   29
Thank You

Dr. Christian Böttger                               DN-Systems GmbH
Bentestraße 10                             ...
Nächste SlideShare
Wird geladen in …5
×

Clt2008 Onlinedurchsuchung

565 Aufrufe

Veröffentlicht am

Linuxtag 2008 - Onlinedurchung aus der Sicht der IT-Forensik

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
565
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Clt2008 Onlinedurchsuchung

  1. 1. Verdeckte Online-Durchsuchung aus der Sicht der IT-Forensik Chemnitzer Linuxtage 2008 Dr. Christian Böttger Senior Consultant
  2. 2. Über DN-Systems  Globales Beratungs- und Technologie- Unternehmen  Planung  Evaluierung  Audit  Eigenes Rechner- / Netzwerk- Labor  Projektmanagement  Integrale Sicherheit (nicht nur IT)  Investigation / digitale Forensik / LI 17.02.08 Onlinedurchsuchung - Forensik 2
  3. 3. Weltweiter Service C u s to m e rs O w n s tu ff P a rtn e r 17.02.08 Onlinedurchsuchung - Forensik 3
  4. 4. Unsere Kunden  RZ- und Datacenter-Betreiber  Internet-Service-Provider und Backbone-Betreiber  Telekommunikations-Konzerne  Supply-Chain-Betreiber  Transport und Logistik  International tätige Konzerne  Banken und Finanznetz-Betreiber (Kreditkarten- Clearing)  Produzenten von Sicherheits-Hard- und Software  Behörden und Staaten 17.02.08 Onlinedurchsuchung - Forensik 4
  5. 5. Vorstellung Person ● Freiberuflicher IT-Berater seit Mai 2006 ● Vorher Projektmanager und Teamleiter bei einem Systemhaus ● Seit 1996 beruflich in der EDV ● Seit 1994 im WWW ● Seit ca 1987 im Internet ● Ausbildung: promovierter Physiker ● Seit Ende der '90er freier Autor für iX (Heise Verlag) ● Auslandsaufenthalte: Australien, Oman, EU 17.02.08 Onlinedurchsuchung - Forensik 5 http://www.boettger-consulting.de/
  6. 6. Themen ● EDV-Strategie ● Projektmanagement ● Internet und Netze – WWW – Mail, Anti-SPAM, Sicherheit ● Linux ● Open Source ● Groupware ● IT-Security, LI 17.02.08 Onlinedurchsuchung - Forensik 6 http://www.boettger-consulting.de/
  7. 7. Die Aufgabe  Es müssen  be- und entlastende Beweise gefunden werden.  Dies gelingt durch dokumentiertes und nachvollziehbares Auffinden von evidenten Daten. 17.02.08 Onlinedurchsuchung - Forensik 7
  8. 8. Die Aufgabe  Das wird sichergestellt durch  logische Analysen  physikalische Analysen  Datenintegritätsanalysen  Täterprofile / Zugrifsanalysen  Sicherheit bei einem Gerichtsverfahren durch:  Nachvollziehbares Vorgehen  Absicherung gegen den Vorwurf der Manipulation an Beweismitteln 17.02.08 Onlinedurchsuchung - Forensik 8
  9. 9. Ablauf 17.02.08 Onlinedurchsuchung - Forensik 9
  10. 10. Terminologie  (verdeckte) Online-Durchsuchung  Analog Hausdurchsuchung: einmalige Durchsuchung und Auswertung des Datenbestands aus der Ferne  Strafverfolgung, Strafprozeßordnung (BMJ)  (verdeckte) Online-Überwachung  Laufende Überwachung der Kommunikation inkl. verschlüsselten Inhalten (z.B. Skype, E-Mails)  Prävention, Quellen-TKÜV (BMI) 17.02.08 Onlinedurchsuchung - Forensik 10
  11. 11. Die Online-Durchsuchung  Verdeckte Einbringung von Durchsuchungs- Software („Bundes-Trojaner“) durch:  manipulierte E-Mails  manipulierte Webseiten  manipulierte Datenträger  „man-in-the-middle“-Angriffe  klassischen Einbruch 17.02.08 Onlinedurchsuchung - Forensik 11
  12. 12. Die Online-Durchsuchung  Folgerungen für den „Bundes-Trojaner“  darf nicht erkannt werden  auch nicht von Virenscanner und SPAM-Abwehr  darf nicht analysiert werden  alles ganz geheim  muss nach Beendigung der Durchsuchung wieder gelöscht werden  aber: was ist mit removeable devices und Backups?  Die Zielperson muss „dumm genug“ sein (?) 17.02.08 Onlinedurchsuchung - Forensik 12
  13. 13. Die Online-Durchsuchung  Rechtliche Vorgabe: der Kernbereich des privaten Lebens des Betroffenen darf nicht berührt werden („Tagebuch“)  Wie soll eine Suchsoftware das entscheiden? (Tagebuch.doc kann eine Bombenbauanleitung enthalten)  Ist es zulässig, angebundene Netzwerklaufwerke zu durchsuchen? Die könnten ja auch (über VPN) z.B. der Firma gehören, bei dem der Mensch arbeitet. 17.02.08 Onlinedurchsuchung - Forensik 13
  14. 14. Die Online-Durchsuchung  Einsatz von versteckter Software  Onlinesuche auf dem Datenbestand der Festplatte  Speichern von Suchmustern und Schlüsselwörtern auf dem Zielsystem  Manipulation am Betriebssystem des durchsuchten Rechners  Keine strikten logischen Analysen oder Täterprofile/Zugriffsanalysen mehr möglich  Zerstörung der Zeitstempel durch die Suche  Suche ist von Unbefugten manipulierbar 17.02.08 Onlinedurchsuchung - Forensik 14
  15. 15. Die Online-Durchsuchung  Probleme beim Trojaner-Einsatz  Bemerkbar vom Betroffenen  Sicherheit / Beweiskraft vor Gericht?  Keine nachvollziehbare Vorgehensweise  Schwierige / mangelhafte Dokumentation  Ermöglicht den Vorwurf der Manipulation an Beweismitteln 17.02.08 Onlinedurchsuchung - Forensik 15
  16. 16. Kriterien der Analyse  Wie wird mit meinen Daten im Analyseprozess umgegangen?  Wie ist gewährleistet, dass Daten weder vernichtet noch verfälscht werden können?  Wie ist die Kenntnis und das Know-How des Durchführenden für die spezifische Umgebung?  Sind Spezialkenntnisse für Forensik-Analysen vorhanden?  Sind weitere Fertigkeiten wie z.B. Reparatur eines beschädigten Datenträgers nötig? 17.02.08 Onlinedurchsuchung - Forensik 16
  17. 17. Die Online-Durchsuchung  Manipulation und Zerstörung von Beweismitteln  Mögliche Folgeschäden  Verfügbarkeit  Integrität  Authentizität  Verschwiegenheit  Geheimhaltung 17.02.08 Onlinedurchsuchung - Forensik 17
  18. 18. Die Online-Durchsuchung 17.02.08 Onlinedurchsuchung - Forensik 18
  19. 19. Analyse eines Servers  Sicherstellen der Informationen durch:  Sicherstellung der Daten von Log- und Zeitservern  Festplatten lokal und/oder auf NAS / SAN und/oder removeable devices?  Welche Metadaten können manipuliert sein?  RAID oder plain disks? evtl. de-striping  Welche Filesysteme? (NFS, FAT, NTFS, SMB/CIFS, ...)  Sicherung allgemeiner Betriebsdaten (MAC, CPU-ID, System-ID, ...) 17.02.08 Onlinedurchsuchung - Forensik 19
  20. 20. Analyse eines Servers  Sicherstellen der Informationen durch:  Welche Kommunikationsbeziehungen?  Physischer Zugriff? Welche Personen?  ggf. Zuführung zu einer Plattenforensik 17.02.08 Onlinedurchsuchung - Forensik 20
  21. 21. Analyse eines Desktops  Sicherstellen der Informationen durch:  Sicherstellung der Festplatten und anderer Medien  CDRs, CD/DVD, Tapes, Token-Speicher, Online- Festplatten, ...  Sofortiges Abschalten des Systems, um Löschen temporärer Daten zu verhindern  Browser-Cache, E-Mails, Downloads, News- Verzeichnisse, Chat-Logs, ...  ggf. Zuführen zu einer Plattenforensik 17.02.08 Onlinedurchsuchung - Forensik 21
  22. 22. Weitere Analyse  Sicherstellen der Informationen durch:  Firewall und IDS-Logs  Radius/TACAS- und Einwahl-Logs vom ISP  weitere Zugriffskontroll-Logs 17.02.08 Onlinedurchsuchung - Forensik 22
  23. 23. Labor-Analyse  Begutachtung der Speichermedien  Medien verschlüsselt oder nicht lesbar?  Physikalische Rekonstruktion durch Datenrettungslabor  Erzeugung eines identischen Abbildes inkl. Meta- und Filesystemdaten  Wiederherstellung gelöschter Dateibereiche auf dem Abbild  Weitere Analyse ggf. auf einer weiteren Arbeitskopie des Abbildes  Dies kann die Onlinedurchsuchung nicht leisten! 17.02.08 Onlinedurchsuchung - Forensik 23
  24. 24. Zu beachten bei der Analyse  Es gibt eine Vielzahl von Betriebssystemen, Encodings und Dateiformaten  Oft sind evidente Daten gelöscht oder nur noch bruchstückhaft vorhanden  Encoding der Daten muss gewandelt werden  z.B. ISO-8859-6 zu Iso-Latin-1, Unicode, UCF, UTF. EBCDIC, ...  RAID- und SAN-Systeme (dump und de-striping, ...) 17.02.08 Onlinedurchsuchung - Forensik 24
  25. 25. Analyse-Ebenen  File system layer  Dateinamen, Verzeichnis-Einträge, NTFS Index tree, ...  Meta-Daten File system layer  Unix inodes, NTFS MFT Einträge, ...  Logical disk layer  Logische Blöcke, HD-Cluster, IP-Einkapselung, ...  Physical layer  ATAPI-, SCSI- Zugriffe über Hostadapter oder Ethernet, ...  Physical media layer  Magnetische Aufzeichnungsschicht, Modulation auf dem Netz,...  Online-Durchsuchung kann nur File System Layer mit etwas Meta-Daten 17.02.08 Onlinedurchsuchung - Forensik 25
  26. 26. Top-Down Analyse  Erst mit den Mitteln des Betriebssystems nach dateien im logischen Dateisystem suchen.  Spezielle Software, die Dateitypen an Hand von „Magic Bytes“ erkennt, hilft schnell, auch gelöschte Datenbestände zu klassifizieren.  Analyse der Zugriffsberechtigungsdaten (Permissions, ACLs, Filesystem- und Objekt-Rechte)  Auswertung deŕ verschiedenen Zeitstempel auf den verschiedenen Ebene  Integritätsanalyse der Meta-Daten, um Maipulationen zu erkennen.  Online-Durchsuchung kann nur den ersten Schritt 17.02.08 Onlinedurchsuchung - Forensik 26
  27. 27. Grundsätzliche Aufgaben  Rekonstruktion  Auffinden evidenter Daten  Wiederherstellung gelöschter Datenbereiche  Manipulationssicher die Speichermedien duplizieren ohne Beweise zu verfälschen  Auswertung von Datenformaten  Dokumente, Mail-Folder, Bild-Dateien, Chat- Logs, ...  Online-Durchsuchung kann das meiste hiervon nicht. 17.02.08 Onlinedurchsuchung - Forensik 27
  28. 28. Fazit Mittels verdeckter Online-Durchsuchung ist eine zu verwertbaren Beweismitteln führende forensische Analyse prinzipiell nicht möglich.  Einbringen von Suchpattern auf das Zielsystem, die false positive Ergebnisse liefern können (ohne diese Tatsache erkennen zu können)  Zerstören von Informationen und Meta-Informationen, die Indizien liefern (z.B. Zeitstempel)  Kein Sichern von anderen wichtigen Nicht-Online-Daten (externe Datenträger)  Manipulation von Beweismitteln (Installation von Software) 17.02.08 Onlinedurchsuchung - Forensik 28
  29. 29. Fragen ? 17.02.08 Onlinedurchsuchung - Forensik 29
  30. 30. Thank You Dr. Christian Böttger DN-Systems GmbH Bentestraße 10 Hornemannstr. 11-13 31311 Uetze 31137 Hildesheim, Germany Phone: +49.5173.9249744 Phone: +49-5121-28989-0 Mail: c.boettger@boettger-consulting.de Mail: info@dn-systems.de http://www.boettger-consulting.de/ http://www.dn-systems.de/ DN-Systems International Limited P.O. Box 285 282 Dubai · U.A.E. Phone: +971-50-2861299 Mail: info@dn-systems.com 17.02.08 Onlinedurchsuchung - Forensik 30

×