SlideShare ist ein Scribd-Unternehmen logo
© 2014 OneConsult GmbH
www.oneconsult.com
Digital Forensics –
Christoph Baumgartner - CEO & Inhaber - OneConsult GmbH
Hacking Day 2014 – Datenschutz
die Jagd nach digitalen Spuren
11. Juni 2014
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
2
© 2014 OneConsult GmbH
www.oneconsult.com
Über mich
→ Christoph Baumgartner
→ Studium der Wirtschaftsinformatik Universität
Zürich (MSc UZH IS)
→ Seit 1996 Berater in den Bereichen
IT Security und Strategie: Spezialgebiete:
◦ Konzeptionelle Security Audits
◦ Sicherheitsrichtlinien und -konzepte
◦ Digital Forensics
→ Gründer der OneConsult GmbH im Jahr 2003
→ Seither CEO und Inhaber
→ ISECOM Board Member
Vorstellung
3
© 2014 OneConsult GmbH
www.oneconsult.com
OneConsult GmbH
→ IT Security Consulting
→ Kein Verkauf von Hard- und Software
→ Kunden
◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee
(inklusive ein Dutzend der «Fortune Global 500 Corporations»)
◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-,
Industrie-Branche sowie öffentliche Verwaltungen (Bund, Kantone und
Städte))
→ Standorte
◦ Schweiz: Hauptsitz in Thalwil
◦ Weitere Büros in München (Deutschland) und Wien (Österreich)
4
Vorstellung
© 2014 OneConsult GmbH
www.oneconsult.com
Dienstleistungsportfolio
Vorstellung
5
Training (2 zertifizierte OSSTMM Trainer)
Security Consulting
Technische
Security Audits
(12 zertifizierte
Penetration Tester /
Security Analysten
z.B. OPST & OSCP)
Konzeptionelle
Security Audits
(3 zertifizierte ISO/IEC
27001 Lead Auditors)
Digitale Forensik
(4 köpfiges Team:
2 SANS-zertifizierte
GCFE Forensiker)
Security Services
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
6
© 2014 OneConsult GmbH
www.oneconsult.com
Darum geht es bei der Digitalen Forensik
→ Extraktion und Untersuchung von Daten auf digitalen Geräten,
wie Computern, Mobiltelefonen, Druckern, Digitalkameras,
Memory Sticks, etc.
→ Üblicherweise in Verbindung mit einer kriminellen Handlung
mit dem Ziel, (gerichtsverwertbare) Beweise zu identifizieren
und sicherzustellen
→ Es sollen Antworten auf folgende Fragen geliefert werden:
◦ Wer tat
◦ Was,
◦ Wann,
◦ Wo,
◦ Und wie (mittels Nutzung welcher Mittel/Schwachstellen)?
Einleitung
7
© 2014 OneConsult GmbH
www.oneconsult.com
Potentielle Auslöser
Beispiele für Vorfälle, die mittels Digitaler Forensik untersucht
werden können, sind:
→ Datendiebstahl
→ Besitz und Verteilung von digitalen illegalen Inhalten
→ Malware-Befall
→ Hacker-Angriffe
→ Vorsätzliches Löschen von Daten
→ Industriespionage / Cyber Warfare
→ Betrug
→ Mobbing
Einleitung
8
© 2014 OneConsult GmbH
www.oneconsult.com
Digital Forensics: Typen
→ Computer Forensics
→ Network Forensics
→ Mobile Forensics
→ Memory Forensics (z.B. für Malware Forensics)
Einleitung
9
© 2014 OneConsult GmbH
www.oneconsult.com
Digital Forensics: Ansätze
→ Post-Mortem Analyse
◦ Zu untersuchendes System wurde bereits abgeschaltet: z.B. per Shut
Down oder Stecker ziehen
◦ Arbeit an Arbeitskopie => weniger fehleranfällig
→ Live Response
◦ Arbeit am laufenden System
› Systeme, welche nicht über einen längeren Zeitraum nicht zur
Verfügung stehen dürfen (z.B. Mailservercluster bei Grosskonzern)
› Systeme, deren Abschaltung zu irreversiblem Datenverlust führt
(z.B. bei Mobile oder Memory Forensics)
◦ Fehleranfällig, da jede Aktivität (mit hoher Wahrscheinlichkeit) das
Untersuchungsobjekt verändert
Einleitung
10
© 2014 OneConsult GmbH
www.oneconsult.com
Rechtliche Aspekte (Auswahl)
→ Untersuchung durch Nicht-Strafverfolgungsbehörden
(= private Untersuchungen)
◦ Müssen Datenschutzgesetz befolgen: so darf z.B. Untersuchung nicht
von IT Abteilung initiiert werden (sondern üblicherweise durch HR in
Kombination mit Vorgesetzten und Legal)
◦ Können nur Untersuchungen im eigenen «Hoheitsgebiet» bzw. dem
des Auftraggebers (z.B. eigene Gebäude, eigene Infrastruktur, eigene
Mitarbeitende) durchführen, nicht bei Dritten (z.B. Provider)
Einleitung
11
© 2014 OneConsult GmbH
www.oneconsult.com
Rechtliche Aspekte (Auswahl)
→ Untersuchung durch Strafverfolgungsbehörden (= offizielle
Ermittlungen, z.B. durch Polizei, Staatsanwaltschaft und deren
Beauftragte):
◦ Werden in vielen Fällen erst aktiv, nachdem Anzeige erstattet wurde
◦ Können im Gegensatz zu privaten Untersuchungen via
Gerichtsbeschluss bzw. Rechtshilfegesuch (Ausland) auch auf
Daten/Systeme Dritter zugreifen bzw. deren Herausgabe einfordern
◦ Können ohne Einschränkung auf alle relevanten Daten zugreifen
Einleitung
12
© 2014 OneConsult GmbH
www.oneconsult.com
Rechtliche Aspekte (Auswahl)
→ Es müssen bestimmte Kriterien bei der forensischen
Untersuchung strikt eingehalten werden, damit die Resultate
als Beweis vor Gericht voraussichtlich (liegt im Ermessen des
Gerichts) anerkannt werden, z.B.:
◦ Integrität der Datenträger
◦ Nachvollziehbarkeit / lückenlose Dokumentation
◦ Vertrauenswürdigkeit der Gutachter / der eingesetzten Tools
Einleitung
13
© 2014 OneConsult GmbH
www.oneconsult.com
Knackpunkte
→ Untersuchung kann publik werden (Medien)
→ Verhältnismässigkeit
◦ Berechtigter Verdacht vs. Rufmord
◦ Gerechtigkeitssinn vs. Image Schäden / (potentielle) Verluste
→ Erfolgswahrscheinlichkeit
→ Börsenkotierte Unternehmen sind verpflichtet über
Sachverhalte zu informieren, welche einen Einfluss auf den
Börsenkurs haben können: aber nur wenn ein Schaden
entstanden ist
→ Es gibt keine Garantie, dass Beweise gefunden werden (nur
Spurensuche)
Einleitung
14
© 2014 OneConsult GmbH
www.oneconsult.com
Knackpunkte
→ Dilemma Security Incidents
◦ Entscheid ob
› Möglichst rasch Normalzustand wiederherstellen
› Oder ob man die Beweise sichern möchte für eine forensische
Analyse (= dauert dann länger)
◦ Oft nicht oder erst spät erkennbar, ob möglicherweise eine strafbare
Handlung vorliegt
→ Folge: die meisten Fälle enden nicht vor Gericht
Einleitung
15
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
16
© 2014 OneConsult GmbH
www.oneconsult.com
Phasen: Übersicht
→ Briefing / Vorbereitung
→ Forensische Daten Akquisition
→ Datenanalyse
→ Dokumentation
→ Optional: Präsentation / Diskussion
Formale Projektgliederung
17
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 1: Briefing / Vorbereitung
→ HR/Legal/Management initialisieren forensische
Untersuchung
→ Ermittler (extern oder intern) werden mit der Untersuchung
beauftragt und erhalten die nötigen Informationen
→ Tools werden ausgewählt und vorbereitet
→ Auftrag, Ziele, Projektrollen und jegliche Aktivitäten werden
lückenlos dokumentiert
Formale Projektgliederung
18
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 1: Briefing / Vorbereitung (Details)
Diese Phase muss folgende Punkte abdecken
→ Was passierte bisher?
◦ Fakten
◦ Vermutungen
→ Was sind die Projektziele?
◦ Ansatz:
› So rasch wie möglich zurück zum Normalbetrieb (reine
Wiederherstellung => keine forensische Analyse = Projektabbruch)
› Kurzanalyse (ohne Option rechtlich gegen Verursacher
vorzugehen)
› Gründliche Analyse (Wahrung aller rechtlichen Optionen)
Formale Projektgliederung
19
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 1: Briefing / Vorbereitung (Details)
◦ Projektscope:
› Erwartete Resultate und Lieferergebnisse
› Welche Fragen sollen beantwortet werden
› Systeme in / out of Scope
→ Anderes
◦ Projektteam
◦ Eskalationspfad
◦ Zeitplanung
◦ Abbruchkriterien
◦ …
Formale Projektgliederung
20
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 2: Forensische Datenakquisition
→ Zu untersuchende Systeme und Datenträger sammeln bzw.
bestimmen
→ Bei Post-Mortem Analyse: Forensische Kopien der Datenträger
erstellen
◦ Forensische Tools verwenden, um binäre Manipulation der zu
untersuchenden Datenträger (= Quelldatenträger) zu verhindern
◦ Kopien erstellen
› Mindestens 1 für Archivzwecke und 1 als Arbeitskopie
› Optional: 1 für den Auftraggeber, dass der mit den Daten
weiterarbeiten kann
◦ Diese Aktivität kann abhängig von Speicherkapazität und nutzbaren
Schnittstellen von 1 bis über 24 Stunden dauern!
→ Jeden Schritt dokumentieren
Formale Projektgliederung
21
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 3: Datenanalyse
→ Analyse
◦ Bei Post-Mortem Analyse: Arbeitskopie(n) mit geeigneten Tools
analysieren
◦ Bei Live Response: Originalsystem(e) mit geeigneten Tools analysieren
◦ Gemäss Projektauftrag nach Spuren suchen
→ Jeden Schritt dokumentieren
Formale Projektgliederung
22
© 2014 OneConsult GmbH
www.oneconsult.com
Phase 4: Dokumentation
Abzudeckende Punkte
→ Projektteam
→ Auftrag
→ Scope
→ Findings (inkl. Herleitung)
→ Timeline (was wann passierte)
◦ Projekttasks
◦ Findings
→ Ergebnisse / Beurteilung
◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen klar als
solche bezeichnen
◦ Nur über Daten(spuren) nicht über Leute schreiben
→ Optional: Empfehlung
→ Eingesetzte Tools (inkl. Versionen)
→ Unterschrift des leitenden Forensikers
→ Optional: Screenshots (falls sinnvoll)
Formale Projektgliederung
23
© 2014 OneConsult GmbH
www.oneconsult.com
Optional: Phase 5: Präsentation / Diskussion
→ Präsentation und Besprechung des Projekts und der Findings
◦ In einer neutralen und objektiven Art
◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen
klar als solche bezeichnen
◦ Nur über Daten(spuren) nicht über Leute sprechen
→ Optional: weitere Schritte besprechen
Formale Projektgliederung
24
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
25
© 2014 OneConsult GmbH
www.oneconsult.com
Tools
Tools
26
© 2014 OneConsult GmbH
www.oneconsult.com
Hardware
→ Write Blocker (benötigt Notebook / PC)
→ Forensic Duplicator (stand alone)
→ Forensic Workstation
◦ Laufwerke
› Schnelle Laufwerke (Zugriffszeiten / Durchsatz)
› Ausreichend Speicherplatz
› Optimal: Kombination von SSDs und konventionellen Festplatten
◦ Schnelle CPU
◦ Viel RAM
◦ Optional: Datenträgerkopiergeräte
Tools
27
© 2014 OneConsult GmbH
www.oneconsult.com
Software (Auswahl)
→ MoonSols DumpIt
Werkzeug um den Arbeitsspeicher von Windows Systemen
(32 und 64 Bit) zu sichern:
http://www.moonsols.com/resources/
→ Mandiant’s Memoryze
Werkzeug zur Sicherung des Arbeitsspeichers von Windows
Systemen (MemoryDD.bat) und für Arbeitsspeicheranalysen:
http://www.mandiant.com/resources/download/memoryze/
Tools
28
© 2014 OneConsult GmbH
www.oneconsult.com
Software (Auswahl)
→ LiME
Zur Sicherung des Arbeitsspeichers von Linux- und auf
Android basierenden Systemen:
https://code.google.com/p/lime-forensics/
→ FTK Imager (Lite)
Zum Sichern des Arbeitsspeichers von Windows Systemen,
Erstellen und Betrachten von Festplattenabbildern:
http://www.accessdata.com/support/product-downloads
Tools
29
© 2014 OneConsult GmbH
www.oneconsult.com
Software (Auswahl)
→ Magnet Encrypted Disk Detector
Erkennt mit TrueCrypt, PGP, Safeboot und Bitlocker
verschlüsselte Datenträger unter Windows:
http://info.magnetforensics.com/encrypted-disk-detector/
→ Dcode
Zur Decodierung von Zeitstempeln von verschiedenen
Systemen, läuft unter Windows:
http://www.digital-detective.co.uk/freetools/decode.asp
Tools
30
© 2014 OneConsult GmbH
www.oneconsult.com
Software (Auswahl)
→ Volatility Framework
Toolbox zur RAM Analyse, nahezu Betriebssystem-
unabhängig, da Python-basiert:
https://code.google.com/p/volatility/
→ Event Log Explorer
Zur Analyse von Event Logs unter Windows:
http://www.eventlogxp.com/
Tools
31
© 2014 OneConsult GmbH
www.oneconsult.com
Software (Auswahl)
Die renommiertesten kommerziellen Forensik Tool Suites
(weltweit bei Behörden und Firmen im Einsatz):
→ AccessData Forensic Toolkit (FTK)
http://www.accessdata.com/products/digital-forensics/ftk
→ Guidance Software EnCase Forensic
http://www.guidancesoftware.com/
Tools
32
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
33
© 2014 OneConsult GmbH
www.oneconsult.com
Beispiele
Praxisbeispiele
34
Start
System aktiv?
Ja
Memory Dump mit
FTK Imager erstellen
Festplatte
verschlüsselt oder
RAID?
Nein
Stromzufuhr unter-
brechen (Stecker
ziehen und bei
Notebooks zusätzlich
Akku entfernen)
Festplatte entfernen Festplatte lesbar?
Spezialist
beiziehen
Nein
Vergleich der Hash-
Werte der Kopie(n)
mit Original
Sind die
ermittelten Hash-
Werte gleich?
Verschlüsselt / RAID
Im laufenden Betrieb
mit FTK Imager
(logisch oder physisch)
Sicherungs- und
Arbeitskopie erstellen
Mit FTK Imager
Arbeitskopie
einbinden
Erstellen einer
Timeline mit Hilfe von
log2timeline
Auffälligkeiten
Virenscanner?
Genauere Analyse mit
Virenscannern
notwendig,
(Timeline als Hilfe, Zeit
vor und nach Infektion
ist entscheidend)
«Windows Prefetch»
Dateien analysieren
auf Arbeitskopie
Genauere Analyse von
«App Data» auf
Arbeitskopie
Analyse der
Registrydaten auf
Arbeitskopie
Logfile Analyse (OS
und AV) auf
Arbeitskopie
Analyse von Outlook
Client auf Arbeitskopie
Analyse der
Webaktivität auf
Arbeitskopie
Ende
Überprüfen ob
Festplatte
verschlüsselt ist
(Tool:jadsoftware
encrypted disk
detector)
Dokumentieren der
Systemzeit und
angemeldeter
Benutzer
Arbeitskopie der
Festplatte erstellen
(Tools: Write-Blocker
oder Disk Duplicator)
Verifikation Festplatte
(Tool: FTK Imager,
Write Blocker)
Nein
Ja
Nein (ohne Verschlüsselung)
Nein (mit Verschlüsselung)
Arbeitskopie auf die
Forensikwork-station
kopieren Die Timelinemuss als generelles Hilfsmittel angeschaut werden und kann bei jedem Einzelschritt nach der Erstellung als
Informationsquelle hinzugezogen werden.
http://computer-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation
Zu verwendendeBefehlsabfolge:
# mount_ewf.py image.E01 /mnt/ewf
# cd /mnt/ewf
# log2timeline-sift -z Europe/Zurich -i IMAGE -win7
* use«log2timeline -z list» to all timelines. For CH use Europe/Zurich
* Output is written to /cases/timeline-output-folder
# l2t_process -b log2timelineoutputfile.txt 01-01-2014..12-31-2014 > output.csv
Tool-Empfehlung: Prefetch Parser von TZWorks
https://tzworks.net/prototype_page.php?proto_id=1
Überprüfen von %systemroot§system32config und
NTUser.dat. Jeweils imBenutzerprofil zu finden
BewährteTools für diesen Task:
RegRipper oder Access Data Registry viewer
Windows Eventlogs (%systemroot%system32winevtLogs)
Antivirus Logs, produkteabhängig
User Event logs
BewährteTools zur Eruierung der Quelle:
Mandiant WebHistorian oder NirsoftTools
Bewährtes Tool:
Kernel OST Viewer
Auffällige eMails
gefunden bei der
Outlookanalyse?
Überprüfung auf
Mailserver ob auch
andere Empfänger
vom selben Absender
eMails erhalten haben
Überprüfen und validieren
der Proxy Log-Dateien auf
malwarespezifischen
Datenverkehr
Überprüfen und validieren
der Firewall Log-Dateien
auf malwarespezifischen
Datenverkehr
Auffällige Logeinträge auf
Proxy, Firewall oder
Emailserver?
Quelle (eMailadresse
oder Website) falls
möglich sperren
(Blacklisting)
Umgebung des
Vorfalls ausreichend
dokumentieren
Es wird empfohlen
Fotos der
Umgebung zu
erstellen
Weitere Punktedokumentieren:
* laufende Prozesse auf System
* offene Netzwerkverbindungen
* geöffnete Dateien
* ARP Caches und Routingtabellen
* Zeit und Datum des Systems
* Hardwarespezifikation (Model, SN)
An diesem Punkt
gilt es zu über-
prüfen, ob die
Festplatte lesbar
ist. D.h: prüfen auf
exotisches oder
korruptes
Dateisystem etc.
Falls dieDaten lokal auf dem Forensikcomputer
vorhanden sind, wird die genauere Analyse weniger Zeit
in Anspruch nehmen aufgrund der verbesserten
Systemleistung
Anmerkung: Im laufenden Betrieb des Gerätes sind die Schlüssel noch im
Speicher vorhanden, weshalb auf die sonst in verschlüsselter Form
vorliegenden Daten auf der Festplatte zugegriffen werden kann.
Erfahrungswerte (Beispiele):
Bitlocker  logische Partition kopieren
PGP  physische Partition kopieren
Ja
Anmerkung: Die Sicherungskopie (falls Originaldatenträger unverschlüsselt ,
dann den Originaldatenträger) versiegelt in einem Behälter oder einem Safe
(aufden nur ein sehr eingeschränkter Personenkreis Zugriffhat) lagern, zur
Verwendung für allfällige spätere juristische Aktivitäten (Beweismittel im
rechtlichen Sinn)
Antivirus (AV) Scanner
starten gegen
Arbeitskopie
BewährteQuellen:
Virustotal.com
Malwr.com
Applikationslogs
analysieren
betreffend
ungewöhnlichen
Einträgen
Es wird empfohlen ein anderes
Antivirus Produkt, als das bereits
verwendete Standardprodukt zu
verwenden
Ja
Ja
Ja
Ergebnisse
dokumentieren
JeglicheAktivitätenderindieforensischeUntersuchunginvolviertenPersonendetailliertdokumentieren(wer,was,wann,wieundwarum)
Ja
Sicherungskopie bzw.
unverschlüsselter
Originaldatenträger
Strafverfolgung
Arbeits-
kopie > 75%
Speicherkapazität
Forensikwork-
station?
Nein
Ja
Nein
Nein
Nein
Übergabe an CERT
Team
Prozess: Malware Forensics
© OneConsult GmbH, 07.03.2014, V1.1
© 2014 OneConsult GmbH
www.oneconsult.com
Beispiele
→ Finanzunternehmen: Rufschädigung
→ Industriekonzern 1: Informationsvorsprung
→ Industriekonzern 2: Industriespionage
→ Medienunternehmen 1: Hacker-Attacke
→ Medienunternehmen 2: Hacker-Attacke
→ Energiekonzern: Mobbing
→ Detailhandelskonzern: Malware-Attacke
Praxisbeispiele
35
© 2014 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Einleitung
→ Projektgliederung
→ Tools
→ Praxisbeispiele
→ Do’s & Don’ts
Agenda
36
© 2014 OneConsult GmbH
www.oneconsult.com
Do’s & Dont’s
1. Unrecht nicht mit Unrecht bekämpfen: sich immer an die Gesetze
halten. Bei Unsicherheit: Rechtsdienst/-anwalt konsultieren
2. Den Personenkreis so klein wie möglich halten, welcher über die
Untersuchung informiert ist
3. Analyse nicht an Originaldatenträgern durchführen (Ausnahme:
Live Response)
4. Sämtliche Schritte und Aktivitäten lückenlos dokumentieren
(Nachvollziehbarkeit)
5. Trennung der betroffenen Systeme (zu untersuchende Systeme
und Systeme, welche für die Untersuchung benötigt werden) von
den anderen Systemen im Netzwerk ((W)LAN/WAN) ̶
idealerweise dedizierter Raum (Forensic Lab) ohne
Netzwerkverbindung
Do’s and Don’ts
37
© 2014 OneConsult GmbH
www.oneconsult.com
Do’s & Dont’s
6. Falls möglich nur bekannte Forensik Tools einsetzen
7. Genau wissen, was und wie (Vorgehen und Tools) gemacht
wird: falls nicht, interne oder externe Spezialisten beiziehen
8. Nur Fakten zählen ̶ keine Vermutungen als Fakten
«verkaufen»
9. Argumentationskette muss schlüssig und komplett sein
10. Beurteilung ob gegen Gesetze oder organisationsinterne
Weisungen verstossen wurde, ist nicht Aufgabe des mit der
forensischen Analyse betrauten Personals
Do’s and Don’ts
38
© 2014 OneConsult GmbH
www.oneconsult.com
© 2014 OneConsult GmbH
www.oneconsult.com
Büro Deutschland
Niederlassung der OneConsult GmbH
Karlstraße 35
80333 München
Deutschland
Tel +49 89 452 35 25 25
Fax +49 89 452 35 21 10
info@oneconsult.de
Büro Österreich
Niederlassung der OneConsult GmbH
Wienerbergstraße 11/12A
1100 Wien
Österreich
Tel +43 1 99460 64 69
Fax +43 1 99460 50 00
info@oneconsult.at
Hauptsitz
OneConsult GmbH
Schützenstrasse 1
8800 Thalwil
Schweiz
Tel +41 43 377 22 22
Fax +41 43 377 22 77
info@oneconsult.com
Danke für Ihre Aufmerksamkeit, Fragen?
Christoph Baumgartner
MSc UZH IS, OPST
CEO & Owner
christoph.baumgartner@oneconsult.com
+41 79 256 25 25

Weitere ähnliche Inhalte

Andere mochten auch

computer forensics
computer forensicscomputer forensics
computer forensics
Vaibhav Tapse
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
Milap Oza
 
Firewall configuration
Firewall configurationFirewall configuration
Firewall configuration
Nutan Kumar Panda
 
computer forensics
computer forensics computer forensics
computer forensics
samantha jarrett
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensic
Online
 
Cyber forensic standard operating procedures
Cyber forensic standard operating proceduresCyber forensic standard operating procedures
Cyber forensic standard operating procedures
Soumen Debgupta
 
Computer forensics
Computer  forensicsComputer  forensics
Computer forensics
Lalit Garg
 
Computer +forensics
Computer +forensicsComputer +forensics
Computer +forensics
Rahul Baghla
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
Sarwar Hossain Rafsan
 
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
deaneal
 
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - PresentationDigital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
prashant3535
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Roberto Ellis
 
Computer forensics powerpoint presentation
Computer forensics powerpoint presentationComputer forensics powerpoint presentation
Computer forensics powerpoint presentation
Somya Johri
 
Computer forensics ppt
Computer forensics pptComputer forensics ppt
Computer forensics ppt
Nikhil Mashruwala
 
Forensic laboratory setup requirements
Forensic laboratory setup  requirements Forensic laboratory setup  requirements
Forensic laboratory setup requirements
Sonali Parab
 

Andere mochten auch (16)

computer forensics
computer forensicscomputer forensics
computer forensics
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
 
Firewall configuration
Firewall configurationFirewall configuration
Firewall configuration
 
computer forensics
computer forensics computer forensics
computer forensics
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensic
 
Cyber forensic standard operating procedures
Cyber forensic standard operating proceduresCyber forensic standard operating procedures
Cyber forensic standard operating procedures
 
Computer forensics
Computer  forensicsComputer  forensics
Computer forensics
 
Computer +forensics
Computer +forensicsComputer +forensics
Computer +forensics
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - PresentationDigital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Computer forensics powerpoint presentation
Computer forensics powerpoint presentationComputer forensics powerpoint presentation
Computer forensics powerpoint presentation
 
Computer forensics ppt
Computer forensics pptComputer forensics ppt
Computer forensics ppt
 
Forensic laboratory setup requirements
Forensic laboratory setup  requirements Forensic laboratory setup  requirements
Forensic laboratory setup requirements
 

Ähnlich wie Digital Forensics – die Jagd nach digitalen Spuren

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheit
Digicomp Academy AG
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer Dummies
Sven Pruser
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
Marc Oliver Thoma
 
Vortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation WartezeitVortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation Wartezeit
Werner Hoffmann
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
drjochendeppemsc
 
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
cynapspro GmbH
 
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
cynapspro GmbH
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Boris Adryan
 
Datensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfenDatensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfen
MartinSchaflechner
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Hans Pich
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Research
 
Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!
Björn Schießle
 
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack DatenverfügbarkeitKroll Ontrack Datenverfügbarkeit
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack GmbH
 
iOS Security
iOS SecurityiOS Security
iOS Security
Digicomp Academy AG
 

Ähnlich wie Digital Forensics – die Jagd nach digitalen Spuren (20)

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheit
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
 
Incident response
Incident responseIncident response
Incident response
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10
 
Datensicherheit fuer Dummies
Datensicherheit fuer DummiesDatensicherheit fuer Dummies
Datensicherheit fuer Dummies
 
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier BremenSicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
 
Vortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation WartezeitVortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation Wartezeit
 
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen AbformungZum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
 
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
 
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
Datensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfenDatensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfen
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
 
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always VerifyZero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
 
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
 
Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!
 
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack DatenverfügbarkeitKroll Ontrack Datenverfügbarkeit
Kroll Ontrack Datenverfügbarkeit
 
iOS Security
iOS SecurityiOS Security
iOS Security
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Digital Forensics – die Jagd nach digitalen Spuren

  • 1. © 2014 OneConsult GmbH www.oneconsult.com Digital Forensics – Christoph Baumgartner - CEO & Inhaber - OneConsult GmbH Hacking Day 2014 – Datenschutz die Jagd nach digitalen Spuren 11. Juni 2014
  • 2. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 2
  • 3. © 2014 OneConsult GmbH www.oneconsult.com Über mich → Christoph Baumgartner → Studium der Wirtschaftsinformatik Universität Zürich (MSc UZH IS) → Seit 1996 Berater in den Bereichen IT Security und Strategie: Spezialgebiete: ◦ Konzeptionelle Security Audits ◦ Sicherheitsrichtlinien und -konzepte ◦ Digital Forensics → Gründer der OneConsult GmbH im Jahr 2003 → Seither CEO und Inhaber → ISECOM Board Member Vorstellung 3
  • 4. © 2014 OneConsult GmbH www.oneconsult.com OneConsult GmbH → IT Security Consulting → Kein Verkauf von Hard- und Software → Kunden ◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein Dutzend der «Fortune Global 500 Corporations») ◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie-Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte)) → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Weitere Büros in München (Deutschland) und Wien (Österreich) 4 Vorstellung
  • 5. © 2014 OneConsult GmbH www.oneconsult.com Dienstleistungsportfolio Vorstellung 5 Training (2 zertifizierte OSSTMM Trainer) Security Consulting Technische Security Audits (12 zertifizierte Penetration Tester / Security Analysten z.B. OPST & OSCP) Konzeptionelle Security Audits (3 zertifizierte ISO/IEC 27001 Lead Auditors) Digitale Forensik (4 köpfiges Team: 2 SANS-zertifizierte GCFE Forensiker) Security Services
  • 6. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 6
  • 7. © 2014 OneConsult GmbH www.oneconsult.com Darum geht es bei der Digitalen Forensik → Extraktion und Untersuchung von Daten auf digitalen Geräten, wie Computern, Mobiltelefonen, Druckern, Digitalkameras, Memory Sticks, etc. → Üblicherweise in Verbindung mit einer kriminellen Handlung mit dem Ziel, (gerichtsverwertbare) Beweise zu identifizieren und sicherzustellen → Es sollen Antworten auf folgende Fragen geliefert werden: ◦ Wer tat ◦ Was, ◦ Wann, ◦ Wo, ◦ Und wie (mittels Nutzung welcher Mittel/Schwachstellen)? Einleitung 7
  • 8. © 2014 OneConsult GmbH www.oneconsult.com Potentielle Auslöser Beispiele für Vorfälle, die mittels Digitaler Forensik untersucht werden können, sind: → Datendiebstahl → Besitz und Verteilung von digitalen illegalen Inhalten → Malware-Befall → Hacker-Angriffe → Vorsätzliches Löschen von Daten → Industriespionage / Cyber Warfare → Betrug → Mobbing Einleitung 8
  • 9. © 2014 OneConsult GmbH www.oneconsult.com Digital Forensics: Typen → Computer Forensics → Network Forensics → Mobile Forensics → Memory Forensics (z.B. für Malware Forensics) Einleitung 9
  • 10. © 2014 OneConsult GmbH www.oneconsult.com Digital Forensics: Ansätze → Post-Mortem Analyse ◦ Zu untersuchendes System wurde bereits abgeschaltet: z.B. per Shut Down oder Stecker ziehen ◦ Arbeit an Arbeitskopie => weniger fehleranfällig → Live Response ◦ Arbeit am laufenden System › Systeme, welche nicht über einen längeren Zeitraum nicht zur Verfügung stehen dürfen (z.B. Mailservercluster bei Grosskonzern) › Systeme, deren Abschaltung zu irreversiblem Datenverlust führt (z.B. bei Mobile oder Memory Forensics) ◦ Fehleranfällig, da jede Aktivität (mit hoher Wahrscheinlichkeit) das Untersuchungsobjekt verändert Einleitung 10
  • 11. © 2014 OneConsult GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Untersuchung durch Nicht-Strafverfolgungsbehörden (= private Untersuchungen) ◦ Müssen Datenschutzgesetz befolgen: so darf z.B. Untersuchung nicht von IT Abteilung initiiert werden (sondern üblicherweise durch HR in Kombination mit Vorgesetzten und Legal) ◦ Können nur Untersuchungen im eigenen «Hoheitsgebiet» bzw. dem des Auftraggebers (z.B. eigene Gebäude, eigene Infrastruktur, eigene Mitarbeitende) durchführen, nicht bei Dritten (z.B. Provider) Einleitung 11
  • 12. © 2014 OneConsult GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Untersuchung durch Strafverfolgungsbehörden (= offizielle Ermittlungen, z.B. durch Polizei, Staatsanwaltschaft und deren Beauftragte): ◦ Werden in vielen Fällen erst aktiv, nachdem Anzeige erstattet wurde ◦ Können im Gegensatz zu privaten Untersuchungen via Gerichtsbeschluss bzw. Rechtshilfegesuch (Ausland) auch auf Daten/Systeme Dritter zugreifen bzw. deren Herausgabe einfordern ◦ Können ohne Einschränkung auf alle relevanten Daten zugreifen Einleitung 12
  • 13. © 2014 OneConsult GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Es müssen bestimmte Kriterien bei der forensischen Untersuchung strikt eingehalten werden, damit die Resultate als Beweis vor Gericht voraussichtlich (liegt im Ermessen des Gerichts) anerkannt werden, z.B.: ◦ Integrität der Datenträger ◦ Nachvollziehbarkeit / lückenlose Dokumentation ◦ Vertrauenswürdigkeit der Gutachter / der eingesetzten Tools Einleitung 13
  • 14. © 2014 OneConsult GmbH www.oneconsult.com Knackpunkte → Untersuchung kann publik werden (Medien) → Verhältnismässigkeit ◦ Berechtigter Verdacht vs. Rufmord ◦ Gerechtigkeitssinn vs. Image Schäden / (potentielle) Verluste → Erfolgswahrscheinlichkeit → Börsenkotierte Unternehmen sind verpflichtet über Sachverhalte zu informieren, welche einen Einfluss auf den Börsenkurs haben können: aber nur wenn ein Schaden entstanden ist → Es gibt keine Garantie, dass Beweise gefunden werden (nur Spurensuche) Einleitung 14
  • 15. © 2014 OneConsult GmbH www.oneconsult.com Knackpunkte → Dilemma Security Incidents ◦ Entscheid ob › Möglichst rasch Normalzustand wiederherstellen › Oder ob man die Beweise sichern möchte für eine forensische Analyse (= dauert dann länger) ◦ Oft nicht oder erst spät erkennbar, ob möglicherweise eine strafbare Handlung vorliegt → Folge: die meisten Fälle enden nicht vor Gericht Einleitung 15
  • 16. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 16
  • 17. © 2014 OneConsult GmbH www.oneconsult.com Phasen: Übersicht → Briefing / Vorbereitung → Forensische Daten Akquisition → Datenanalyse → Dokumentation → Optional: Präsentation / Diskussion Formale Projektgliederung 17
  • 18. © 2014 OneConsult GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung → HR/Legal/Management initialisieren forensische Untersuchung → Ermittler (extern oder intern) werden mit der Untersuchung beauftragt und erhalten die nötigen Informationen → Tools werden ausgewählt und vorbereitet → Auftrag, Ziele, Projektrollen und jegliche Aktivitäten werden lückenlos dokumentiert Formale Projektgliederung 18
  • 19. © 2014 OneConsult GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung (Details) Diese Phase muss folgende Punkte abdecken → Was passierte bisher? ◦ Fakten ◦ Vermutungen → Was sind die Projektziele? ◦ Ansatz: › So rasch wie möglich zurück zum Normalbetrieb (reine Wiederherstellung => keine forensische Analyse = Projektabbruch) › Kurzanalyse (ohne Option rechtlich gegen Verursacher vorzugehen) › Gründliche Analyse (Wahrung aller rechtlichen Optionen) Formale Projektgliederung 19
  • 20. © 2014 OneConsult GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung (Details) ◦ Projektscope: › Erwartete Resultate und Lieferergebnisse › Welche Fragen sollen beantwortet werden › Systeme in / out of Scope → Anderes ◦ Projektteam ◦ Eskalationspfad ◦ Zeitplanung ◦ Abbruchkriterien ◦ … Formale Projektgliederung 20
  • 21. © 2014 OneConsult GmbH www.oneconsult.com Phase 2: Forensische Datenakquisition → Zu untersuchende Systeme und Datenträger sammeln bzw. bestimmen → Bei Post-Mortem Analyse: Forensische Kopien der Datenträger erstellen ◦ Forensische Tools verwenden, um binäre Manipulation der zu untersuchenden Datenträger (= Quelldatenträger) zu verhindern ◦ Kopien erstellen › Mindestens 1 für Archivzwecke und 1 als Arbeitskopie › Optional: 1 für den Auftraggeber, dass der mit den Daten weiterarbeiten kann ◦ Diese Aktivität kann abhängig von Speicherkapazität und nutzbaren Schnittstellen von 1 bis über 24 Stunden dauern! → Jeden Schritt dokumentieren Formale Projektgliederung 21
  • 22. © 2014 OneConsult GmbH www.oneconsult.com Phase 3: Datenanalyse → Analyse ◦ Bei Post-Mortem Analyse: Arbeitskopie(n) mit geeigneten Tools analysieren ◦ Bei Live Response: Originalsystem(e) mit geeigneten Tools analysieren ◦ Gemäss Projektauftrag nach Spuren suchen → Jeden Schritt dokumentieren Formale Projektgliederung 22
  • 23. © 2014 OneConsult GmbH www.oneconsult.com Phase 4: Dokumentation Abzudeckende Punkte → Projektteam → Auftrag → Scope → Findings (inkl. Herleitung) → Timeline (was wann passierte) ◦ Projekttasks ◦ Findings → Ergebnisse / Beurteilung ◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen klar als solche bezeichnen ◦ Nur über Daten(spuren) nicht über Leute schreiben → Optional: Empfehlung → Eingesetzte Tools (inkl. Versionen) → Unterschrift des leitenden Forensikers → Optional: Screenshots (falls sinnvoll) Formale Projektgliederung 23
  • 24. © 2014 OneConsult GmbH www.oneconsult.com Optional: Phase 5: Präsentation / Diskussion → Präsentation und Besprechung des Projekts und der Findings ◦ In einer neutralen und objektiven Art ◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen klar als solche bezeichnen ◦ Nur über Daten(spuren) nicht über Leute sprechen → Optional: weitere Schritte besprechen Formale Projektgliederung 24
  • 25. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 25
  • 26. © 2014 OneConsult GmbH www.oneconsult.com Tools Tools 26
  • 27. © 2014 OneConsult GmbH www.oneconsult.com Hardware → Write Blocker (benötigt Notebook / PC) → Forensic Duplicator (stand alone) → Forensic Workstation ◦ Laufwerke › Schnelle Laufwerke (Zugriffszeiten / Durchsatz) › Ausreichend Speicherplatz › Optimal: Kombination von SSDs und konventionellen Festplatten ◦ Schnelle CPU ◦ Viel RAM ◦ Optional: Datenträgerkopiergeräte Tools 27
  • 28. © 2014 OneConsult GmbH www.oneconsult.com Software (Auswahl) → MoonSols DumpIt Werkzeug um den Arbeitsspeicher von Windows Systemen (32 und 64 Bit) zu sichern: http://www.moonsols.com/resources/ → Mandiant’s Memoryze Werkzeug zur Sicherung des Arbeitsspeichers von Windows Systemen (MemoryDD.bat) und für Arbeitsspeicheranalysen: http://www.mandiant.com/resources/download/memoryze/ Tools 28
  • 29. © 2014 OneConsult GmbH www.oneconsult.com Software (Auswahl) → LiME Zur Sicherung des Arbeitsspeichers von Linux- und auf Android basierenden Systemen: https://code.google.com/p/lime-forensics/ → FTK Imager (Lite) Zum Sichern des Arbeitsspeichers von Windows Systemen, Erstellen und Betrachten von Festplattenabbildern: http://www.accessdata.com/support/product-downloads Tools 29
  • 30. © 2014 OneConsult GmbH www.oneconsult.com Software (Auswahl) → Magnet Encrypted Disk Detector Erkennt mit TrueCrypt, PGP, Safeboot und Bitlocker verschlüsselte Datenträger unter Windows: http://info.magnetforensics.com/encrypted-disk-detector/ → Dcode Zur Decodierung von Zeitstempeln von verschiedenen Systemen, läuft unter Windows: http://www.digital-detective.co.uk/freetools/decode.asp Tools 30
  • 31. © 2014 OneConsult GmbH www.oneconsult.com Software (Auswahl) → Volatility Framework Toolbox zur RAM Analyse, nahezu Betriebssystem- unabhängig, da Python-basiert: https://code.google.com/p/volatility/ → Event Log Explorer Zur Analyse von Event Logs unter Windows: http://www.eventlogxp.com/ Tools 31
  • 32. © 2014 OneConsult GmbH www.oneconsult.com Software (Auswahl) Die renommiertesten kommerziellen Forensik Tool Suites (weltweit bei Behörden und Firmen im Einsatz): → AccessData Forensic Toolkit (FTK) http://www.accessdata.com/products/digital-forensics/ftk → Guidance Software EnCase Forensic http://www.guidancesoftware.com/ Tools 32
  • 33. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 33
  • 34. © 2014 OneConsult GmbH www.oneconsult.com Beispiele Praxisbeispiele 34 Start System aktiv? Ja Memory Dump mit FTK Imager erstellen Festplatte verschlüsselt oder RAID? Nein Stromzufuhr unter- brechen (Stecker ziehen und bei Notebooks zusätzlich Akku entfernen) Festplatte entfernen Festplatte lesbar? Spezialist beiziehen Nein Vergleich der Hash- Werte der Kopie(n) mit Original Sind die ermittelten Hash- Werte gleich? Verschlüsselt / RAID Im laufenden Betrieb mit FTK Imager (logisch oder physisch) Sicherungs- und Arbeitskopie erstellen Mit FTK Imager Arbeitskopie einbinden Erstellen einer Timeline mit Hilfe von log2timeline Auffälligkeiten Virenscanner? Genauere Analyse mit Virenscannern notwendig, (Timeline als Hilfe, Zeit vor und nach Infektion ist entscheidend) «Windows Prefetch» Dateien analysieren auf Arbeitskopie Genauere Analyse von «App Data» auf Arbeitskopie Analyse der Registrydaten auf Arbeitskopie Logfile Analyse (OS und AV) auf Arbeitskopie Analyse von Outlook Client auf Arbeitskopie Analyse der Webaktivität auf Arbeitskopie Ende Überprüfen ob Festplatte verschlüsselt ist (Tool:jadsoftware encrypted disk detector) Dokumentieren der Systemzeit und angemeldeter Benutzer Arbeitskopie der Festplatte erstellen (Tools: Write-Blocker oder Disk Duplicator) Verifikation Festplatte (Tool: FTK Imager, Write Blocker) Nein Ja Nein (ohne Verschlüsselung) Nein (mit Verschlüsselung) Arbeitskopie auf die Forensikwork-station kopieren Die Timelinemuss als generelles Hilfsmittel angeschaut werden und kann bei jedem Einzelschritt nach der Erstellung als Informationsquelle hinzugezogen werden. http://computer-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation Zu verwendendeBefehlsabfolge: # mount_ewf.py image.E01 /mnt/ewf # cd /mnt/ewf # log2timeline-sift -z Europe/Zurich -i IMAGE -win7 * use«log2timeline -z list» to all timelines. For CH use Europe/Zurich * Output is written to /cases/timeline-output-folder # l2t_process -b log2timelineoutputfile.txt 01-01-2014..12-31-2014 > output.csv Tool-Empfehlung: Prefetch Parser von TZWorks https://tzworks.net/prototype_page.php?proto_id=1 Überprüfen von %systemroot§system32config und NTUser.dat. Jeweils imBenutzerprofil zu finden BewährteTools für diesen Task: RegRipper oder Access Data Registry viewer Windows Eventlogs (%systemroot%system32winevtLogs) Antivirus Logs, produkteabhängig User Event logs BewährteTools zur Eruierung der Quelle: Mandiant WebHistorian oder NirsoftTools Bewährtes Tool: Kernel OST Viewer Auffällige eMails gefunden bei der Outlookanalyse? Überprüfung auf Mailserver ob auch andere Empfänger vom selben Absender eMails erhalten haben Überprüfen und validieren der Proxy Log-Dateien auf malwarespezifischen Datenverkehr Überprüfen und validieren der Firewall Log-Dateien auf malwarespezifischen Datenverkehr Auffällige Logeinträge auf Proxy, Firewall oder Emailserver? Quelle (eMailadresse oder Website) falls möglich sperren (Blacklisting) Umgebung des Vorfalls ausreichend dokumentieren Es wird empfohlen Fotos der Umgebung zu erstellen Weitere Punktedokumentieren: * laufende Prozesse auf System * offene Netzwerkverbindungen * geöffnete Dateien * ARP Caches und Routingtabellen * Zeit und Datum des Systems * Hardwarespezifikation (Model, SN) An diesem Punkt gilt es zu über- prüfen, ob die Festplatte lesbar ist. D.h: prüfen auf exotisches oder korruptes Dateisystem etc. Falls dieDaten lokal auf dem Forensikcomputer vorhanden sind, wird die genauere Analyse weniger Zeit in Anspruch nehmen aufgrund der verbesserten Systemleistung Anmerkung: Im laufenden Betrieb des Gerätes sind die Schlüssel noch im Speicher vorhanden, weshalb auf die sonst in verschlüsselter Form vorliegenden Daten auf der Festplatte zugegriffen werden kann. Erfahrungswerte (Beispiele): Bitlocker  logische Partition kopieren PGP  physische Partition kopieren Ja Anmerkung: Die Sicherungskopie (falls Originaldatenträger unverschlüsselt , dann den Originaldatenträger) versiegelt in einem Behälter oder einem Safe (aufden nur ein sehr eingeschränkter Personenkreis Zugriffhat) lagern, zur Verwendung für allfällige spätere juristische Aktivitäten (Beweismittel im rechtlichen Sinn) Antivirus (AV) Scanner starten gegen Arbeitskopie BewährteQuellen: Virustotal.com Malwr.com Applikationslogs analysieren betreffend ungewöhnlichen Einträgen Es wird empfohlen ein anderes Antivirus Produkt, als das bereits verwendete Standardprodukt zu verwenden Ja Ja Ja Ergebnisse dokumentieren JeglicheAktivitätenderindieforensischeUntersuchunginvolviertenPersonendetailliertdokumentieren(wer,was,wann,wieundwarum) Ja Sicherungskopie bzw. unverschlüsselter Originaldatenträger Strafverfolgung Arbeits- kopie > 75% Speicherkapazität Forensikwork- station? Nein Ja Nein Nein Nein Übergabe an CERT Team Prozess: Malware Forensics © OneConsult GmbH, 07.03.2014, V1.1
  • 35. © 2014 OneConsult GmbH www.oneconsult.com Beispiele → Finanzunternehmen: Rufschädigung → Industriekonzern 1: Informationsvorsprung → Industriekonzern 2: Industriespionage → Medienunternehmen 1: Hacker-Attacke → Medienunternehmen 2: Hacker-Attacke → Energiekonzern: Mobbing → Detailhandelskonzern: Malware-Attacke Praxisbeispiele 35
  • 36. © 2014 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 36
  • 37. © 2014 OneConsult GmbH www.oneconsult.com Do’s & Dont’s 1. Unrecht nicht mit Unrecht bekämpfen: sich immer an die Gesetze halten. Bei Unsicherheit: Rechtsdienst/-anwalt konsultieren 2. Den Personenkreis so klein wie möglich halten, welcher über die Untersuchung informiert ist 3. Analyse nicht an Originaldatenträgern durchführen (Ausnahme: Live Response) 4. Sämtliche Schritte und Aktivitäten lückenlos dokumentieren (Nachvollziehbarkeit) 5. Trennung der betroffenen Systeme (zu untersuchende Systeme und Systeme, welche für die Untersuchung benötigt werden) von den anderen Systemen im Netzwerk ((W)LAN/WAN) ̶ idealerweise dedizierter Raum (Forensic Lab) ohne Netzwerkverbindung Do’s and Don’ts 37
  • 38. © 2014 OneConsult GmbH www.oneconsult.com Do’s & Dont’s 6. Falls möglich nur bekannte Forensik Tools einsetzen 7. Genau wissen, was und wie (Vorgehen und Tools) gemacht wird: falls nicht, interne oder externe Spezialisten beiziehen 8. Nur Fakten zählen ̶ keine Vermutungen als Fakten «verkaufen» 9. Argumentationskette muss schlüssig und komplett sein 10. Beurteilung ob gegen Gesetze oder organisationsinterne Weisungen verstossen wurde, ist nicht Aufgabe des mit der forensischen Analyse betrauten Personals Do’s and Don’ts 38
  • 39. © 2014 OneConsult GmbH www.oneconsult.com © 2014 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit, Fragen? Christoph Baumgartner MSc UZH IS, OPST CEO & Owner christoph.baumgartner@oneconsult.com +41 79 256 25 25