computer forensics
DESCRIPTION
(c) Walt Disney. Computer Forensics. Einleitung Basics Vorgehen Analyse. (c) Earthlink. Einleitung Basics Vorgehen Analyse. Heute. Vortrag über „Computer Forensics“ Bedeutung, Motivation Vorgehen bei forensischer Analyse Praktische Gruppenarbeit Detektivarbeit! - PowerPoint PPT PresentationTRANSCRIPT
Computer Forensics
Einleitung
Basics
Vorgehen
Analyse
(c) Walt Disney
2
Heute
Vortrag über „Computer Forensics“ Bedeutung, Motivation Vorgehen bei forensischer Analyse
Praktische Gruppenarbeit Detektivarbeit! Angegriffenes System analysieren Wer? Wie? Wann? Was?
Diskussion, Wissensaustausch
Einleitung
Basics
Vorgehen
Analyse
(c) Earthlink
3
Vortragsübersicht
Einleitung, Motivation „Basics“ Vorgehensweise Eigentliche Analyse Zusammenfassung
Einleitung
Basics
Vorgehen
Analyse
4
Computer Forensics = ?
Duden: Forensisch = gerichtlich
Allgemeinere Definition:„Gathering and analysing data in a manner as
free from distortion or bias as possible to reconstruct data or what has happened in the past on a system“
Einleitung
Basics
Vorgehen
Analyse
5
Ziele
System analysieren Beweise Wer, Wann, Was, Wo, Wie?
Ereignisse im befallenen System Rekonstruieren Zeitlich ordnen
Konsequenzen ziehen Patches Updates
Einleitung
Basics
Vorgehen
Analyse
(c) Apple
6
Forensische Grundsätze
Datenverlust minimieren System ausschalten? Vom Netz trennen?
Daten 1:1 kopieren Memory Partitionen (Harddisks)
Nur Kopien analysieren Erkenntnisse und Vorgehensweise notieren
Einleitung
Basics
Vorgehen
Analyse
7
Ein paar „DON‘Ts“
Keine laufende Prozesse „killen“
Nie auf original Datenträger schreiben
Keine Befehle ausführen Trojaner!
Keine neue Software installieren
Einleitung
Basics
Vorgehen
Analyse
8
Ausrüstung „Notkoffer“
„Sauberen“ Computer Vorzugsweise Linux Aktuellste Patches/Updates
Hardware Netzwerkkarte, CDRW, ... Harddisc: Genügend Platz für Images!
Zusätzlich: Hub, Netzwerkkabel, ... Floppy/CDROM mit wichtigsten Tools
Einleitung
Basics
Vorgehen
Analyse
9
Vorgehensweise
Vorbereitung („Notkoffer“) Identifikation (Angriff?)
Dead oder Live System Daten sichern, Beweise sicherstellen Kopien (Images) „mounten“ System analysieren Konsequenzen ziehen
Einleitung
Basics
Vorgehen
Analyse
10
Dead vs. Live System
Befallenes System Runterfahren (Dead System) Laufen lassen (Live System)
Bevorzugt: Live System Memory Dump möglich Laufende Prozesse Network Monitoring
Einleitung
Basics
Vorgehen
Analyse
11
Daten sichern 1/2
Zielmedium sterilisieren Alle Daten löschen dd if=/dev/zero of=/dev/hda1
Memory Dump Daten auf Zielmedium sichern! Netcat nc... dd if= /dev/kmem of=output dd if= /dev/mem of=output
Einleitung
Basics
Vorgehen
Analyse
12
Daten sichern 2/2
Harddisc Partitionen Informationen
/etc/fstab fdisk -l /dev/hda1
Format: UNIX, NTFS, ... Partitionen kopieren
dd if=/dev/hda1 of=/images/hda1.img MD5 Summe berechnen
md5sum hda1.img
Einleitung
Basics
Vorgehen
Analyse
13
Images mounten
Befehlssyntax mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1
Nicht Linux/UNIX Partitionen mounten NTFSmount -t ntfs -o loop,ro ...
FAT16, FAT32mount –t vfat -o loop,ro ...
Einleitung
Basics
Vorgehen
Analyse
14
System analysieren
Allgemeine Informationen über das System Passwort und Shadow Dateien Logfiles SUID Root Dateien Versteckte Verzeichnisse und /dev MAC-Time Analyse Wiederherstellen von gelöschten Daten
Einleitung
Basics
Vorgehen
Analyse
15
System Informationen
Betriebssystem und Version /etc/issue
Zeitzone /etc/timezone
Boot Informationen /var/log/boot.log
Partitionstabelle und Zusatzinfos /etc/fstab fdisk -l /dev/hda1
Einleitung
Basics
Vorgehen
Analyse
16
Passwort, Shadow Dateien
/etc/passwd Struktur: login-id:password:user-id#:group-
id#:User Info:home-dir:shell Verdächtig, z.B. Accounts ohne Passwort!
/etc/shadow Struktur: login-id:password:lastchg:min:max:
warn:inactive:expire:flag Verändert sich, nach folgenden Befehlen
passwd useradd, usermod und userdel
Einleitung
Basics
Vorgehen
Analyse
17
MAC Time
MAC Time = Timestamp für Ereignisse Modified Accessed Changed
File: "passwd"Size: 1409 Blocks: 8 IO Block: 4096 Regular FileDevice: 302h/770d Inode: 212086 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55:37 2003Modify: Mon May 5 10:25:09 2003Change: Mon May 5 10:25:09 2003
bash-2.05$ stat passwd
stat: Zusatzinformationen zu File/Directory
18
MAC Time Analyse mit TCT grave-robber -c /mnt -d /forensics -m -o LINUX2
Liefert wertvolle Informationen MAC Time aller Dateien in body Datei
Sequentiell ordnen: mactime
Gelöschte Inodes ils : Wiederherstellen ils2mac: MAC Time
19
Zusammenfassung
Computer Forensics Methodisches Vorgehen nach Attacke Hilft uns Konsequenzen zu ziehen Prävention
Fahrlässiges Sicherheitsverhalten verändern!
20
Bibliographie[1] LINUX/UNIX Tools unter Windows: http://users.erols.com/gmgarner/forensics/
[2] Forensische Computer: http://www.forensic-computers.com
[3] LINUX/UNIX Tools unter Windows: http://www.weihenstephan.de/~syring/win32/UnxUtils.html
[4] LINUX/UNIX Tools unter Windows: http://www.cygwin.com/
[5] Forensische Analyse: http://personal.ie.cuhk.edu.hk/~shlam/ssem/for/#part1
[6] Gute Tipps/Tricks zur forensischen Analyse: http://www.fish.com/forensics/class.html
[7] Infos rund um Rootkits: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq
[8] Password Dateien: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-238.html
[9] Shadow Datein: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-240.html
[10] UID, GID: http://www.linuxbase.org/spec/gLSB/gLSB/usernames.html
[11] Nummerbereiche bei UID, GID: http://web.cs.ualberta.ca/systemssupport/Doc/Inprogress/uidgidrange/uidgid.txt
[12] The Coroner's Toolkit (TCT): http://www.porcupine.org/forensics/tct.html
[13] Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/download.php