Aspekte der Online-Durchsuchung
   aus Sicht eines Forensikers
                a-i3 Tagung
 9. Oktober 2007 Ruhr-Universit...
DN-Systems

 digitale Forensik
    präventiv
    investigativ
    Organisation
 Security
   Integrale Sicherheit
   Labor ...
DN-Systems - global tätig




DN-Systems
  Offices

DN-Systems Partner
      Offices

DN-Systems
Customers




           ...
Die Aufgabe

 dokumentiertes und nachvollziehbares Auffinden von
 evidenten Daten
    es müssen be-/entlastende Beweise gef...
Die Aufgabe

 Das wird sichergestellt durch:
   logische Analysen
   physikalische Analysen
   Datenintegritätsanalysen
  ...
Logische Struktur

   Beginn der                           Ermittlung der
  forensischen                         Datenbest...
Die Online-Durchsuchung

 Einbringen von versteckter Software
 (Bundes-Trojaner)
    über manipulierte E-Mails
    über ma...
Die Online-Durchsuchung

 Folgerungen für Bundestrojaner
    Bundestrojaner darf nicht von
    Viren/Spam-Scanner erkannt ...
Die Online-Durchsuchung

 Einsatz von versteckter Software
    Onlinesuche auf dem Datenbestand der
    Festplatte
    Spe...
Die Online-Durchsuchung

 Probleme (Trojaner)
    Bemerkbar vom Betroffenen
 Sicherheit / Beweiskraft bei einem
 Gerichtsv...
Kriterien zur Analyse

 Wie wird mit meinen Daten im Analyseprozess
 umgegangen?
 Wie ist gewährleistet, dass weder Daten ...
Problem Online-Durchsuchung

Manipulation und Zerstörung von Beweismitteln

   Mögliche Folgeschäden
     Verfügbarkeit
  ...
Online-Durchsuchung



       CAUTION
        Conflict of
        interests!

                      Aspekte der Online-Dur...
Die Analyse eines Servers

Sicherstellung der Informationen

   Sicherstellung der Daten von Log- und Zeitservern
   Festp...
Die Analyse eines Server

Sicherstellung der Informationen

   Welche Kommunikationsbeziehungen?
   Physikalischer Zugriff...
Die Analyse von Arbeitsplätzen

Sicherstellung der Informationen

   Sicherstellung der Festplatten und anderer Medien
   ...
Die Analyse

weitere Daten:

   Firewall- und IDS-Logs
   Radius/TACAS+ und Einwahl-Logs vom ISP
   weitere Zugriffskontro...
Die Analyse

Begutachtung der Speichermedien

   Medien verschlüsselt, nicht lesbar?
   physikalische Rekonstruktion durch...
Einige Probleme

 es gibt eine Vielzahl von Betriebssystemen,
 Encodierungen und Dateiformaten.
 oft sind evidente Daten g...
Die verschiedenen Ebenen

1. File-System Layer
     z.B.: Filenames, Directory-Einträge, NTFS Index Trees

2. Meta-Data Fi...
Die Analyse

Sicherstellung der Informationen

    Server Forensik oder Analyse eines Arbeitsplatzes?
    Server noch onli...
Top-Down Analyse

 erst mit Mitteln des Betriebssystems nach Dateien im
 logischen Filesystem suchen
 spezielle Software, ...
Top-Down Analyse

 Analyse der META-Daten wie Zeitstempel von
 wichtigen System-Dateidaten
   z.B. wichtige Dateien für de...
Die Aufgabe

 Rekonstruktion
   Auffinden von evidenten Daten
   Wiederherstellen von gelöschten
   Festplattenbereichen
 m...
Weitere Aufgaben

Es muss zwischen Arbeitsstations-Tools und
Server-Analysewerkzeugen unterschieden werden.

   Sichern vo...
Fazit

Mittels verdeckter Online-Durchsuchung ist eine zu
verwertbaren Beweismitteln führende Analyse nicht
möglich.

   E...
DANKE


          dnSystems
    Danke für Ihre Aufmerksamkeit!
            Noch Fragen?
     l.grunwald@dn-systems.de
    ...
Nächste SlideShare
Wird geladen in …5
×

Online Forensic V4

712 Aufrufe

Veröffentlicht am

Online Durchsuchung aus der Sicht der Forensik

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
712
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Online Forensic V4

  1. 1. Aspekte der Online-Durchsuchung aus Sicht eines Forensikers a-i3 Tagung 9. Oktober 2007 Ruhr-Universität Bochum überarbeitet für LUGH 6.2.2008 ¨ Lukas Grunwald und Dr. Christian Bottger DN-Systems GmbH - Hildesheim - San Francisco - Dubai
  2. 2. DN-Systems digitale Forensik präventiv investigativ Organisation Security Integrale Sicherheit Labor (Forschung) Organisation / Umsetzung Design / Integration IT-Security Firewall, IDS, IPS, VPN, Content-Security, RFID Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  3. 3. DN-Systems - global tätig DN-Systems Offices DN-Systems Partner Offices DN-Systems Customers Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  4. 4. Die Aufgabe dokumentiertes und nachvollziehbares Auffinden von evidenten Daten es müssen be-/entlastende Beweise gefunden werden Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  5. 5. Die Aufgabe Das wird sichergestellt durch: logische Analysen physikalische Analysen Datenintegritätsanalysen Täterprofile/Zugriffsanalysen Sicherheit bei einem Gerichtsverfahren durch: nachvollziehbare Vorgehensweise Absicherung gegen Vorwürfe der Manipulation an Beweismitteln Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  6. 6. Logische Struktur Beginn der Ermittlung der forensischen Datenbestände / Untersuchung Sicherstellung der Geräte und Speichermedien Sicherung der flüchtigen Daten / System noch Speicher und Online ? Prozessdump / JA Verbindungs- u. Kommunikationsdaten NEIN Rekonstruktion Sind Medien Physikalisch der beschädigt / gelöscht Gerichtsverwertbares beschädigt ? Speichermedien ? JA Gutachten aus den Fakten JA im Speziallabor unter dem Nachvollzugsaspekt NEIN für außenstehende Nicht- NEIN Experten Sicherung der Originaldaten / Wiederherstellen Erzeugen eines Abbildes der der gelöschten Datenträger Dateibereiche / zur weiteren forensischen Analyse mit Spezial-Werkzeugen Filesysteme Gerichts- Prozess Korrelation aller vorhandener Daten und Suche nach Weitere Daten JA Beweisen (evidenten Fakten) notwendig ? mit Forensik-Tools NEIN Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  7. 7. Die Online-Durchsuchung Einbringen von versteckter Software (Bundes-Trojaner) über manipulierte E-Mails über manipulierte Webseiten über manipulierte Datenträger über Man-in-the-Middle Angriffe durch klassischen Einbruch Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  8. 8. Die Online-Durchsuchung Folgerungen für Bundestrojaner Bundestrojaner darf nicht von Viren/Spam-Scanner erkannt werden also alles ganz geheim also darf ihn auch niemand analysieren können nach Einsatz wieder löschen aber: was ist mit Backups? Zielperson muss ”dumm genug” sein Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  9. 9. Die Online-Durchsuchung Einsatz von versteckter Software Onlinesuche auf dem Datenbestand der Festplatte Speichern von Suchmustern und Schlüsselwörtern auf dem Zielsystem Manipulation am Betriebssystem des durchsuchten Rechners Keine logischen / physikalischen Analysen oder Täterprofile/Zugriffsanalysen möglich Durch die Suche werden Systemzeitstempel zerstört Suche ist von Unbefugten manipulierbar Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  10. 10. Die Online-Durchsuchung Probleme (Trojaner) Bemerkbar vom Betroffenen Sicherheit / Beweiskraft bei einem Gerichtsverfahren? Keine nachvollziehbare Vorgehensweise Ermöglicht Vorwürfe der Manipulation an Beweismitteln Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.
  11. 11. Kriterien zur Analyse Wie wird mit meinen Daten im Analyseprozess umgegangen? Wie ist gewährleistet, dass weder Daten vernichtet, noch verfälscht werden können? Wie ist die Kenntnis und das Know-How des Labors für mein spezifisches Betriebssystem? Sind Spezialkenntnisse für Server-Forensik-Analysen vorhanden? Sind weitere Fertigkeiten notwendig wie z.B. das physikalische Restaurieren eines beschädigten Datenträgers? Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  12. 12. Problem Online-Durchsuchung Manipulation und Zerstörung von Beweismitteln Mögliche Folgeschäden Verfügbarkeit Integrität Authentizität Verschwiegenheit Geheimhaltung Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  13. 13. Online-Durchsuchung CAUTION Conflict of interests! Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  14. 14. Die Analyse eines Servers Sicherstellung der Informationen Sicherstellung der Daten von Log- und Zeitservern Festplatten lokal oder Daten im SAN? Welche Metadaten könnten manipuliert sein? RAID oder Plain-Disk? de-striping für Analyse notwendig? Welche Filesysteme? (NFS,Server-Filesysteme,NTFSv5..) Sicherung allgemeiner Betriebsdaten (MAC, CPU-ID, System-ID...) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  15. 15. Die Analyse eines Server Sicherstellung der Informationen Welche Kommunikationsbeziehungen? Physikalischer Zugriff? Zuführung einer Plattenforensik Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  16. 16. Die Analyse von Arbeitsplätzen Sicherstellung der Informationen Sicherstellung der Festplatten und anderer Medien CDRs, Tapes, Token-Speicher, Internetzugangsdaten .. sofortiges Abschalten des Systems, um Löschen von temporären Daten zu verhindern Browser-Cache, E-Mails, Downloads, NEWS-Verzeichnisse Zuführung einer Plattenforensik Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  17. 17. Die Analyse weitere Daten: Firewall- und IDS-Logs Radius/TACAS+ und Einwahl-Logs vom ISP weitere Zugriffskontrollinformationen Forensic-Accounting Attacker Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  18. 18. Die Analyse Begutachtung der Speichermedien Medien verschlüsselt, nicht lesbar? physikalische Rekonstruktion durch Datenrettungslabor Erzeugung eines identischen Abbildes mit allen Meta- und Filesystemdaten Wiederherstellen der gelöschten Dateibereiche im Filesystem auf dem Abbild Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  19. 19. Einige Probleme es gibt eine Vielzahl von Betriebssystemen, Encodierungen und Dateiformaten. oft sind evidente Daten gelöscht oder nur noch bruchstückhaft auf dem Datenträger vorhanden. Encodierung der Daten muss gewandelt werden z.B. EBCDIC -> ISO-Latin-1, UNICODE, UCF, UTF ... RAID und SAN-Systeme es müssen die Volumen als Image gedumpt und de-striped werden. Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  20. 20. Die verschiedenen Ebenen 1. File-System Layer z.B.: Filenames, Directory-Einträge, NTFS Index Trees 2. Meta-Data Filesystem Layer z.B.: UNIX INODES, NTFS MFT Einträge 3. Logical Disk Layer z.B.: Logische Blöcke und HD-Cluster, IP-Einkapselung 4. Physical Layer z.B: ATAPI- oder SCSI-Zugriff über den Hostadapter, Ethernet-Encoding 5. Physical Media Layer z.B: magnetische Aufzeichnungsschicht auf dem Datenträger, Modulation auf dem Netzwerk (HDB-3, QPSK) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.1
  21. 21. Die Analyse Sicherstellung der Informationen Server Forensik oder Analyse eines Arbeitsplatzes? Server noch online? Informationen noch im Arbeitsspeicher? Schwere Entscheidung, da evidente Daten vernichtet werden ¨ konnten ! POWER-OFF und forensische Filesystem- und Festplattenanalyse DUMP von Speicherbereichen von Prozessen, welche evidente Informationen in ihrem Adressraum beherbergen Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  22. 22. Top-Down Analyse erst mit Mitteln des Betriebssystems nach Dateien im logischen Filesystem suchen spezielle Software, welche die Dateitypen an Hand von „Magic-Bytes “erkennt, hilft schnell, auch gelöschte Datenbestände zu klassifizieren Analyse der Zugriffsberechtigungsdaten wie Permissions, ACLs, Filesystem und Objekt-Rechte z.B. Suche nach SUID Daten bei UNIX Systemen, User-Policy bei W2k, XP Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  23. 23. Top-Down Analyse Analyse der META-Daten wie Zeitstempel von wichtigen System-Dateidaten z.B. wichtige Dateien für den Systemzugang, wie PAM, RADIUS, PASSWD, Registry-Daten Integritätsanalyse der META-Daten, um manipulierte Zeitstempel und Zugriffsdaten zu erkennen z.B. ACCESS-Time ist vor der CREATE-Time Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  24. 24. Die Aufgabe Rekonstruktion Auffinden von evidenten Daten Wiederherstellen von gelöschten Festplattenbereichen manipulationssicher ein Speichermedium duplizieren ohne Beweise zu verfälschen Auswerten von Datenformaten Mail-Folder, Bild-Dateien Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  25. 25. Weitere Aufgaben Es muss zwischen Arbeitsstations-Tools und Server-Analysewerkzeugen unterschieden werden. Sichern von flüchtigen Daten Speicherabzug von Prozessen, Disassemblierung von SWAP und Proc-Dumps Analyse von Zugriffs- und Berechtigungs-Metadaten Erzeugen von Suchmustern inkl. Cross-Platform-Konvertierung Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  26. 26. Fazit Mittels verdeckter Online-Durchsuchung ist eine zu verwertbaren Beweismitteln führende Analyse nicht möglich. Einbringen von Suchpattern, die false positive Ergebnisse liefern (ohne die false positive Ergebnisse erkennen zu können) Zerstören von Informationen und Meta-Informationen, die Indizien liefern Kein Sichern von anderen wichtigen Nicht-Online Daten (externe Datenträger) Manipulation an Beweismitteln (Installation von Software) Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2
  27. 27. DANKE dnSystems Danke für Ihre Aufmerksamkeit! Noch Fragen? l.grunwald@dn-systems.de c.boettger@dn-systems.de Aspekte der Online-Durchsuchung aus Sicht eines Forensikers – p.2

×