it forensic - indianzit forensic seite 4 von 87 begriff it forensic, computer forensic oder digital...

IT Forensic Seite 1 von 87

IndianZ

IT Forensic

IT Forensic describes the analysis of digital evidence to legally proof something.

December 2010


Haftung + Verantwortung

● Forensische Analysen können gesetzlich als Straftat (Abhören, Datenschutz, Hacking) verfolgt werden● Die in dieser Präsentation beschriebenen Techniken können auch für kriminelle Zwecke verwendet werden● Verantwortungsvoller Umgang mit diesem Wissen wird vorausgesetzt● IndianZ übernimmt KEINERLEI Haftung bei der legalen oder illegalen Anwendung dieses Wissens


Agenda

● IT Forensic● Begriffe, Geschichte, Aktualitäten, Organisationen,

Gesetz, Technik, Organisation● Prozess

● Identifizierung, Kickoff, Sicherstellung, Analyse / Korrelation, Präsentation / Aufbereitung, Debriefing

● Häufige Fehler, Probleme, Herausforderungen● Anti-Forensic


Begriff

● IT Forensic, Computer Forensic oder Digital Forensic● Deutsch oft: Forensik● Untersuchung von Vorfällen im Zusammenhang mit Computern, Feststellung Tatbestand, digitale Spurensicherung● Abgeleitet vom lateinischen Wort “Forum” (Marktplatz)

● Gerichtsverhandlungen und Strafvollzug damals öffentlich

● Live und Post-Mortem (Dead)


Analyse Live

● Live Response (Untersuchung am Live System) = Notaufnahme

● Wenn wertvolle flüchtige Daten verloren gehen könnten● Das System nicht heruntergefahren werden kann, (Business

Critical)● Passwörter von evtl. verschlüsselten Dateisystemen nicht

bekannt sind● Man herausfinden möchte, ob das System wirklich gehackt

wurde


Analyse Live

● Vorteile● Sicherung Prozessspeicher● Sicherung flüchtiger Daten● Analyse ablaufender Ereignisse

● Nachteile● Schwierigkeiten mit der richtigen Reihenfolge● Flüchtige Daten könnten durch die Live Response

verfälscht werden● fragile Daten können zerstört werden● unnötig, wenn Vorfall länger zurück liegt


Analyse Post Mortem

● Post Mortem Analyse● Untersuchung einer forensischen Kopie (wie Pathologie

oder Gerichtsmedizin)● Wenn der flüchtige Speicher nicht relevant ist● Der aufzuklärende Vorfall länger zurück liegt● Das System mehrfach gebootet wurde● Der First Responder das Stromkabel bereits gezogen hat


Analyse Post Mortem

● Vorteile● Flüchtige Daten können nicht aus Versehen zerstört werden● Dadurch planbares Vorgehen

● Nachteile● Keine Informationen zur Laufzeitumgebung,● Wesentliche Spuren könnten verborgen bleiben.


Grundsätze

● Rechtmässigkeit bei der Beschaffung von Daten● Verhältnismässigkeit wahren● Authentizität gewährleisten (gesicherte Entstehung)● Integrität bewahren (Unversehrtheit belegen)● „Vier-Augen-Prinzip“ anwenden● Nachvollziehbarkeit sicherstellen (Dokumentation)● Bedeutung belegen und begründen (Interpretation)


Geschichte


Aktualitäten


Organisationen

● Koordinationsstelle zur Bekämpfung der Internet-Kriminalität ● www.kobik.ch und www.cybercrime.ch

● Melde- und Analysestelle Informationssicherung● www.melani.admin.ch

● Bundespolizei● www.fedpol.admin.ch

● Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte● www.edoeb.admin.ch


KOBIK 2006


Strafrecht CH

Artikel Bemerkung143 Datenbeschaffung bereichernd143bis Hacken144bis Datenbeschädigung147 Computerbetrug150 Leistung erschleichen179novies Beschaffen von Personendaten251-254 Urkundenfälschung135 Gewaltdarstellungen173-178 Ehrverletzungen197 Pornographie162bis Rassendiskriminierung


Forensic Recht CH

Artikel Bemerkung

OR Art. 328 Schutz der Persönlichkeit

DSG Art. 4 Grundsätze Datensammlungen

DSG Art. 8 Auskunftsrecht

DSG Art. 12 Persönlichkeitsverletzungen

DSG Art. 34

ArGV Art. 26 Überwachung am Arbeitsplatz

ArG Art. 5 Information und Anleitung Arbeitnehmer

StGB 143bis Hacken

Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten


Law & Order

● Legale Überwachungsmassnahmen müssen (in der Regel) dem Arbeitnehmer im voraus bekannt gemacht werden● Im Arbeitsvertrag können Dinge geregelt werden (aber nicht mehr verändert, ausser neuer Vertrag)● Sehr empfehlenswert ist ein Reglement, das die Überwachung regelt● Strafgesetzbuch beachten!


Technik

● Hardware● Investigate-Rechner, grosser Primär- und grosser

Sekundärspeicher, viele Schnittstellen● Hardware zur forensischen Sicherung von Datenträgern

(Blocker)● Kabel und Adapter für alle möglichen Suspect-Geräte

● Software● Forensic Tools (Kommerzielle oder Open-Source-Tools)● Spezialprogramme (Passwort-Cracker, Viewer, Decoder)


Technik

● Knowhow ;-)● Netzwerk● Betriebssystem (OS)

● Speicher, Prozesse● Benutzer

● Applikationen und Technologien● VoIP, VPN, Email, Chat, IM (Instant Messaging),

Filesharing, ...● Angriffstechniken/-taktiken● Malware (Malicious Software)


Speicher

● Primärspeicher (GByte, sehr schnell)● Flüchtiger Speicher (RAM) → mittlere/geringe Relevanz● dd if=/proc/kcore of=/mnt/evidence/memory.dd, WinHex

● Sekundärspeicher (GByte–TByte, schnell)● Nicht flüchtiger (persistenter) Speicher → sehr hohe

Relevanz● dd if=/dev/hda1 of=/mnt/evidence/image.dd bs=4k, Encase

● Tertiärspeicher (GByte–PByte, langsam)● Nicht ständig zugreifbarer, nicht flüchtiger Speicher → hohe

Relevanz● dd if=/dev/sda1 of=/mnt/evidence/image.dd, Encase


Tools

● Tool zum Erstellen und Prüfen von Prüfsummen (mehrere Verfahren)● Tool zur Sicherung von flüchtigen Daten zur Laufzeit● Schlüsselwortsuchtools (auch fremde Zeichensätze) in logischen und physischen Strukturen von Datenträgerimages● Tool zur Dateianalyse und –wiederherstellung anhand von Dateisignaturen● Tool zum kompletten oder gefilterten Wiederherstellen von gelöschten Daten


Tools

● Tool zum Betrachten unterschiedlicher Dateiformate● Tool zum Erstellen Timeline (Auswertung MAC-Times)● Tool zum Erstellen und Zusammenfassen aller Berichte mit bedarfsweisen Detailinformationen● Writeblocker mit Adaptern (Speichermedien)● Tool zum Löschen der verwendeten eigenen Speichermedien vor Aufnahme von Beweisspuren● Verschlüsselungswerkzeuge zur Sicherung der Ermittlungsergebnisse


Forensic Tools Open Source

● Helix CD● http://www.e-fense.com/helix/

● Sleuthkit & Autopsy● http://www.sleuthkit.org/

● The Coroner's Toolkit● http://www.porcupine.org/forensics/tct.html

● More Tools:● http://www.opensourceforensics.org/● http://computer-forensik.org/tools/● http://www.indianz.ch/


Forensic Open Source Win

● Sysinternals Tools● Foundstone Tools● Forensic Aquisition Utilities● IRCR - Incident Response Collection Report● MD5deep● Netcat● Cryptcat● SectorSpy● Iehist

● WFT - Windows Forensic Toolchest● Odessa - Open Digital Evidence Search and Seizure Architecture● F.R.E.D. – First Responders Evidence Disk● PDD – Palm Disk Duplicator● Linux Tools for Windows


Forensic Open Source Linux

● Dcfldd● Foremost● MD5deep● Netcat● Cryptcat● Ftimes● Ntreg● AIR - Automated Image & Restore● AIRT – Advanced Incident Response Tool

● Vinetto● Fatback● Memfetch● Bsed – Binary Stream Editor● Mac-Robber● pyFLAG – Forensic Log Analysis GUI● Chaosreader


Forensic Tools kommerziell

● Encase Forensic● http://www.guidancesoftware.com/ http://www.arina.ch/● 3750 CHF / y

● Forensic Toolkit● http://www.accessdata.com/

● Paraben● http://www.paraben-forensics.com/

● Password Crackers● http://www.lostpassword.com/ http://www.elcomsoft.com/


Encryption

● Symmetric, gleicher key encrypt/decrypt● Strom-Chiffren (Zeichen für Zeichen): A5/1, A5/2, Rabbit,

RC4, SEAL● Block-Chiffren (Blöcke von Zeichen): Anubis, 3DES (Triple

DES), A5/3 (KASUMI), AES, Blowfish, CAST, Camellia, DES, FEAL, FOX, IDEA, Lucifer, Magenta, MARS, MISTY1, RC2, RC5, RC6, SEED, Serpent, SHACAL, Skipjack, TEA, Twofish, XTEA

● Asymmetric, public encrypt, private decrypt● Public Key Infrastruktur PKI (X.509), PGP „Web of Trust“● Diffie-Hellmann, RSA, ElGamal, Rabin, Elliptic Curves


Encryption/Hash

● Anwendungsarten Encryption● Dateien und Container (Symmetrisch, schnell)● Email (Asymmetrisch, Key Management)● Regel: Verschlüsselung = Sym / Key Mgmt = Asym

● Hashfunktionen (digitaler Fingerabdruck)● Sicherstellen der Beweiskraft (Festplatte oder Partition)● Effizientes Suchen nach bekannten Dateien (Hashsets)● Datenreduktion, Zufälligkeit, Unumkehrbarkeit und

Effizienz● Wertebereich (128-, 160-, 256bit), oft aber MD5 oder SHA-1


Hash

● Problem: zu bewältigende Datenmenge● Hashcodes (Hashwerte) von bekannten Dateien

generieren/importieren (aus vertrauenswürdiger Quelle stammend!)

● Können von verbotenen, verdächtigen oder problemlosen Dateien stammen

● Durch das Zusammenfassen mehrerer Hashcodes entsteht ein Hashset (Hashmenge)

● Hashsetskönnen einer Hashcategory (Hashkategorie) zugeordnet werden


Hash

● 1) Hashwerte aus den Evidence-Dateien (zu untersuchender Fall) berechnen

● 2) Berechnete Hashwerte mit den bekannten Hashwerten in den Hashmengen vergleichen und damit einer Kategorie zuteilen

● 3) Durch Setzen geeigneter Filter (Conditions) können nun Dateien in problemlose Inhalte und verbotene Inhalte unterteilt werden


Virtualisierung

● Hardware-/Software-basiert oder Emulation● Läuft unter einem Wirtsbetriebssytem● Abstrahiert (virtualisiert) die zur Verfügung stehenden HW-

Ressourcen (Prozessorleistung, Hauptspeicher, Schnittstellen)

● Stellt eine vollwertige HW-Umgebung (z.B. x86-Architektur) zur Verfügung

● Produkte: VMware, VirtualPC, XEN, Bochs, Qemu

● Ziel: Inbetriebnahme des sichergestellten Systems ohne Rückgriff auf die Original-Hardware und unter Wahrung der Datenintegrität der Originaldatenträger


Covert Channels

● Versteckte Kommunikation im Netzwerk („nach Hause telefonieren”)● Trojaner, Remote Control, Informationsabfluss● Sehr schwer zu entdecken

● Netzwerk-Monitoring und IDS● Techniken:

● Protocol Tunneling: TCP, UDP, ICMP, DNS, HTTP, HTTPS, …

● Firewall Piercing: Reverse, HTTPS, DNS


Malware

● Virus● Auf Wirt angewiesen, infiziert Dateien, MBR, ist am

aussterben

● Wurm● Braucht kein Wirt, “hackt” selbständig● Morris Worm (1988)

● sendmail/finger/rsh/rexec/pw

● Spyware● Klassische Spionagesoftware● Keylogger, Statistiken, Cookies, Webbugs


Malware

● Trojaner● Trojanisches Pferd (Griechische Mythologie: Troja)● Remote Control (IRC, HTTP/S), Sniff, Attack, Screenshot,

File Transfer, Man-in-the-Middle, Denial-of-Service

● Rootkit● Nimmt Computer vollständig in Besitz, teils schwierig zu

entdecken, ersetzt Systemdateien, öffnet Hintertür

● RansomWare● Erpressung

● Verschlüsseln von Dokumenten, Passwort gegen Lösegeld


Malware

● Passive Tactics● SNMP-Requests, NTP-Requests, NetBIOS-Requests, WLAN-

Requests, FTP, SMTP, POP3, IMAP4, ...

● Exploiting● Drive-by-Hacking = Client-side Exploits: JPG, GIF, PNG,

Java, Flash, …● Phishing = Geklonte Webseite, Passwörter ergaunern● Pharming = Umleitung: DNS, host(s), lmhost, ARP, ICMP,

DHCP, Squid, HSRP, …

● Malware immer gezielter und spezifischer


Commands Windows

● hostname

● psinfo

● net accounts, net file, net sessions, net share, net start, net use, net user, net view

● dir /s /a:h /t:a c:

● sfind c:

● cipher

● arp –a

● netstat –an, netstat –r

● psloggedon

● listdlls

● fport

● pslist –x

● nbtstat –x

● rausers

● psinfo

● psfile

● psservice


Commands Linux

● cat /proc/cpuinfo

● df –H

● fdisk –l

● cat /proc/version

● cat /proc/cmdline

● env

● who

● ps –efl

● ifconfig /a

● ifconfig /s

● arp –n

● arp –a

● cat /etc/hosts

● cat /etc/resolv.conf

● cat /etc/passwd

● cat /etc/shadow

● netstat –anp

● netstat –rn

● lsof, lsof –P –i –n

● cat /proc/meminfo

● cat /proc/modules

● cat /proc/mounts

● cat /proc/swap

● cat /etc/fstab


Commands Linux

● Prozessanalyse aller laufenden Prozesse:

ls /proc | sort –n | grep –v [a-z,A-Z] | while read PIDdo

echo “Process ID }PID:”cat /proc/$PID/cmdlinecat /proc/$PID/environcat /proc/$PID/mapscat /proc/$PID/statcat /proc/$PID/statmcat /proc/$PID/statuscat /proc/$PID/memls -ld /proc/$PID/rootls -ld /proc/$PID/cwdls -ld /proc/$PID/exels -lrta /proc/$PID/fd/

done


Commands Linux

● Analyse auf SUID- und World-Writeable-Dateien:

find / -perm -2000 –o –perm -4000 –print | xargs /ls –l {}

● MAC-Time-Analyse:

ls –lrta /etcls –lrta /binls –lrta /sbinls –Rlrta /usrls –Rlrta /varls –Rlrta /devls –Rlrta /homels –Rlrta /lib


Commands Cisco

● enable

● show clock detail

● show version

● show running config

● show startup config

● show reload

● show ip route

● show ip arp

● show users

● show logging

● show ip interface

● show clock detail

● show tcp brief all

● show ip sockets

● show up net translations verbose

● show ip cache flow

● show ip ospf summary

● show ip bgp summary

● show cdp neighbours

● show ip cef

● show snmp user

● show snmp group

● show snmp sessions


Organisation

● Ermittlungsziele● Rekonstruktion eines Angriffes, Bestätigung Verdacht● Ermittlung entstandener Schaden● Identifikation Angreifer, Täterprofil● Sicherung der Beweise für weitere juristische Aktionen

● Ermittlung Durchführung:● Schaden begrenzen → Verluste zurückgewinnen → künftige

Schäden vermindern → Täterschaft zur Rechenschaft ziehen


Ermittlungsablauf

● Eröffnen des Falls durch Sachbearbeiter Polizei aufgrund Anzeige oder entsprechendem Hinweis● Untersuchungsrichter ordnet Hausdurchsuchung an● Beginn der allgemeinen Ermittlungen im Fall● Abschätzen der zu untersuchenden IT-Infrastruktur● Einbezug von externen Experten● Vorbesprechung und Durchführung der Hausdurchsuchung● Sicherstellung und Aufbereitung der Daten● Analyse der Daten durch den Sachbearbeiter (IT-Ermittler)● Einreichen des abschliessenden Berichts an Untersuchungsrichter


Hausdurchsuchung

● Sichern des Untersuchungsortes und Information der betroffenen (verdächtigen) Personen● Festhalten aller vorgefundenen Computer, Speichermedien und anderen Geräte sowie ihres Zustandes ● Koordination durch eine erfahrene Person, die je nach Grösse des Falls keine andere Aufgabe vor Ort auszuführen hat● Standardisiertes Vorgehen (z.B. gemäss Checkliste), so dass alle an der Untersuchung beteiligten Personen genau gleich arbeiten


CERT/CIRT

● Computer Emergency/Incident Response Team● Netzwerk-Spezialist● Sicherheitsprodukt-Spezialist● Forensic-Spezialist● Rechts-Spezialist● Spezialist physische Sicherheit● Programmierer

● Organisatorische Einbettung (Stab, oben), Politik● Honeynet/-pot, Monitoring, Intrusion Detection (IDS)


6 A's / AAAAAA

● Assessment (Scope and Quantity, Repository Identification, Protect and Preserve, Establishment Chain of Custody, Preview Data)● Acquisition (Source Media Identification, Destination Media, Parameters, Image Creation)● Authentication (Metadata Cryptographic Hashes)● Analysis (Meat of Investigation)● Articulation (Evidence and Information, Presentation, Focus non-technical people)● Archival (How much, How long, How likely escalation)


Prozess

● 00 Identification● 01 Kickoff● 02 Aquisition● 03 Analysis/Correlation● 04 Documentation● 05 Presentation● 06 Debriefing


00 Identification

● Identifizierung● Erkennung Vorfall● Auffälligkeiten● “Whistle-Blowing”, Fraud-Hotline● Verdachtsmomente● Reaktion auf Alarme● Logs, IDS, Firewall, ...

● Bevor an betroffenen Systemen etwas geändert wird (evtl. Netzwerk disconnecten) → Spezialisten kontaktieren


00 Identification

● IDS – Intrusion Detection System● IPS – Intrusion Prevention System● SIM - Security Information Management● Snort

● www.snort.org● Aanval

● www.aanval.com● Prelude IDS

● www.prelude-ids.com


Intrusion Detection System


00 Identification

● Harte Faktoren● Branche, Grösse, Ort, Technologien

● Weiche Faktoren● Ausbildung, Knowhow, Kultur, Motivation, Loyalität, IKS

● Enabler (förderliche Faktoren)● Komplexität Prozesse, hohes Volumen, wenig Qualität

SiKos, keine Richtlinien/Standards, fehlende Funktionstrennung, wenig Nachvollziehbarkeit, kein Sicherheitsbewusstsein, blindes Vertrauen, keine Überwachung


00 Identification

● Red Flags (Warnsignale)● Stornorate, Korrekturbuchungen, Kundenreklamationen,

Anfragen Presse, Überstunden, Wochenendarbeit, tageweise Ferien, unabkömmliche Schlüsselpersonen, Lebensstil - Einkommen, unkooperatives Verhalten, atypische Kundenbeziehungen

● Trigger (Auslöser)● Schlechtes Arbeitsklima, ständige Über-/Unterforderung,

Zeitdruck, Leistungsdruck, unklare/inkompetente Führung, hohe Personalfluktuation, Androhung/erfolgte Entlassung, Arbeitsplatzabbau, überschwänglicher Lebensstil, Alkoholsucht, Drogensucht, Krankheit, persönliche Krisen


00 Identification

● Was ist passiert?● Personen und Kommunikation?● Schaden?● Beweismittelbeschaffung und Sofortmassnahmen?● Umfeld und Abhängigkeiten?● Hintergrundabklärungen:

● Befragung, Profiler, technisches Knowhow, Lohnzessionen, Scheidung, Polizei, Betreibungsauszug, Dienstreisetätigkeit, Telefon, Email, Religion, Freizeit, Fahrzeuge, Firmen, ...


01 Kickoff

● Gesetze und Regulationen● Vertrag, Haftung und Geheimhaltung● Zuständigkeiten und Verantwortlichkeiten, Personen und Rollen● Ermittlungsart

● Intern (Ressourcen gehören Kunde/Ermittler)● Zivil (Ressourcen gehören Drittpartei)● Strafrechtlich (offizielles Verfahren)

● Ermittlungsziel (Verdacht→Beweis, Rekonstruktion)


01 Kickoff

● „Tatort“ ohne eine konkrete Vorstellung aufsuchen● Unvoreingenommenheit sollte immer angestrebt werden● „Derzeit unbekannt“ situativ durchaus berechtigt● Blick für nicht offensichtliche Spuren freihalten● Zu schnelle und ungeprüfte Antworten „vergiften“ Beweise● Absichtlich falsche Spuren (Trugspuren)● Wer, Was, Wo, Wann, Womit, Wie und Weshalb?● Massnahmen zur Sicherstellung?● Methoden für Sammlung von Beweisen?● Anhaltspunkte? Unbekanntes?


02 Aquisition

● Sicherstellung● „Tatort“ und Untersuchungsbereich absichern● Beweisspuren sorgfältig sichern● Integrität der Daten bewahren und nachweisen

● Hashes, Vieraugenprinzip, Protokollierung!● Rechtmässigkeit beachten

● Disk Duplizierung● 1:1 Bit-Kopie eines sichergestellten Datenträgers● dd if=/dev/hda1 of=/mnt/evidence/image.dd bs=4k


02 Aquisition

● 1 Hasherstellung der Quelle● 2 Image Datei der Quelle erstellen

niemals auf die Quelle schreiben!● 3 Hasherstellung des Images● 4 Hashvergleich

Übereinstimmung Image-Datei und Quelle


02 Aquisition

● Die Übertragung der Daten muss bitweise erfolgen, jedes Bit des Untersuchungsmediums muss übertragen werden● Lesefehler müssen zuverlässig und robust behandelt werden, nach mehrfachem Leseversuch muss der fehlerhafte Sektor markiert und mit Platzhalter versehen werden, kein Abbruch● Es dürfen keine Änderungen am Originalmedium vorgenommen werden● Anwendung muss nachvollziehbar arbeiten, alle Aktionen müssen, wenn durch einen Dritten reproduziert, die gleichen Ergebnisse liefern● Erstelltes Image muss durch kryptografische Verfahren (Checksummen oder Hash-Algorithmen) „geschützt“ werden


02 Aquisition

● Varianten der Duplikation:● Ausbau der verdächtigen Festplatte aus dem verdächtigen

System und Anschluss an das Analysesystem● Anschluss einer zusätzlichen leeren(!) Festplatte an das

verdächtige System● Transport der kopierten Daten über ein geschütztes Netz

vom verdächtigen System zum Analysesystem

● Unbedingt Writeblocker für die verdächtigen Datenträger verwenden!


02 Aquisition

● 1 Routingtabellen, ARP-Cache, Prozessliste, angemeldete User, Netzstatus, Kerneldaten, Hauptspeicherinhalt (durch Prozesse belegt)

● 2 Temporäre Dateisysteme, SWAP-Bereiche, etc.● 3 Kompletter Inhalt der Datenträger● 4 Logging-/Monitoringdaten, IDS, Firewall, Router● 5 Physische Konfigurationen/Netzwerktopologien● 6 Archivierte Medien


02 Aquisition

● System Shutdown● Zerstört einige fragile Daten (SWAP, Pagefile)● Sehr viele MAC-Timestamps werden zerstört● Logische Bomben könnten gestartet werden● Möglichst keinen Shutdown durchführen

● Stromkabel ziehen● Zerstört flüchtige Daten (Hauptspeicher, Prozesse, User) →

vorher sichern! → Live Response● Stoppt alle Prozesse sofort● Bevorzugte Methode


03 Analysis/Correlation

● NIE Original, nur Kopien der Images verwenden ● Analyse/Korrelation

● Spuren sorgfältig auswerten● Ergebnisse objektiv bewerten● Schlüsse kritisch hinterfragen

● Täterprofil ● Gelegenheit, Tatwerkzeug, Opfer, Motiv● Beziehungsnetzwerk● Datenschutz einhalten

● Verdacht → Beweis, Rekonstruktion


03 Analyis/Correlation

● Welche Kennung hatte (unberechtigten) Zugriff, Zugang bzw. Zutritt?● Welche Personen (-gruppen) könnten diese Kennung nutzen?● Was hat der Angreifer auf dem System gemacht?● Zu welchem Zeitpunkt fand der Vorfall statt? ● Welche Systeme sind zusätzlich betroffen?● Warum ist gerade dieses Netz oder System angegriffen worden?● Wie konnte der Angreifer Zugriff erlangen?● Ist der Angriff vor kurzem geschehen? Was macht der Angreifer jetzt?



● Was konnte der Angreifer auf diesem/von diesem System einsehen?● Hat der Angreifer etwas zurückgelassen? ● Welche Tools kamen beim Angriff möglicherweise zum Einsatz?● Welche Ereignisse wurden protokolliert ?● Was wird durch die Protokolldaten enthüllt?● Was ist auf den Datenträgern gespeichert?


Spuren

● Beweisspuren, die eine bestimmte Theorie untermauern,● Beweisspuren, die gegen eine bestimmte Theorie sprechen und● Beweisspuren, die keine bestimmte Theorie unterstützen oder widerlegen, sondern lediglich zeigen, dass das System verändert wurde, um (eventuell) Informationen oder Spuren zu verbergen


Entstehung Spuren

● Anwender (Dokumente, Nachrichten, Bilder, Dateien)● Applikation (temporäre Dateien, Protokollierung, RAM)● Kommunikation (Interprozess-Kommunikation intern und extern)● Betriebssystem (Swap-Datei, Caches, Autovervollständigung)● Dateisystem (Slack-Bereich, gelöschte Daten)● Hardware (Kontrollerspeicher, Protokollierung)


Spurensuche

● Vor einem Ereignis (bzw. möglicher Wiederholung):● Kommunikation (Teilnehmer, Dienste, Inhalt)● Daten (Zugriff, Veränderung)● „Fallen stellen“ (Chat, Peer-to-Peer, Kundendaten) unter

Einhaltung der Rechtmässigkeit

● Bei einem Ereignis (Entdeckung):● Kommunikation und Daten (wie oben) unter Vermeidung

von weiteren Schäden

● Nach einem Ereignis (Spurensicherung):● Bewahrung und Sicherstellung von Spuren gemäss

Grundsätzen



● IP-Adressen● Internet 1: Emails, Web, Browser (Cache, History, Links, ...)● Internet 2: Filesharing, Chat, Instant Messenger, VoIP...● Bilder● Dokumente (MS Office, Openoffice, TXT, HTML, PDF, ...)● Netzwerk, OS, Applikation

● Logfiles● Temporäre Dateien● Deleted, Formatted


Email 1

Envelope-to: [email protected]

Delivery-date: Fri, 30 Jan 2009 12:00:29 +0100

Received: from [10.0.2.10] (helo=asmtp001.mail.hostpoint.ch) by dist001.mail.hostpoint.ch with esmtp (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr6r-000M6J-54 for [email protected]; Fri, 30 Jan 2009 12:00:29 +0100

Received: from [213.3.113.65] (helo=[192.168.0.7]) by asmtp001.mail.hostpoint.ch with esmtpsa (TLSv1:CAMELLIA256-SHA:256) (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr6q-0004Gq-Rn for [email protected]; Fri, 30 Jan 2009 12:00:29 +0100

X-Authenticated-Sender-Id: [email protected]

Subject: Test


Email 1

From: IndianZ <[email protected]>

Reply-To: [email protected]

To: IndianZ <[email protected]>

Content-Type: text/plain

Date: Fri, 30 Jan 2009 12:00:26 +0100

Message-Id: <1233313227.4903.19.camel@localhost>

Mime-Version: 1.0

X-Mailer: Evolution 2.22.3.1

Content-Transfer-Encoding: 7bit

X-Evolution-Source: pop://indianz%[email protected]/

Mail-Content...


Email 2

Envelope-to: [email protected]

Delivery-date: Fri, 30 Jan 2009 12:02:45 +0100

Received: from [10.0.2.20] (helo=asmtp002.mail.hostpoint.ch) by dist004.mail.hostpoint.ch with esmtp (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr93-000Dt8-5D for [email protected]; Fri, 30 Jan 2009 12:02:45 +0100

Received: from [217.26.49.161] (helo=ox1) by asmtp002.mail.hostpoint.ch with esmtpa (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr93-000KsZ-0L for [email protected]; Fri, 30 Jan 2009 12:02:45 +0100

X-Authenticated-Sender-Id: [email protected]

Date: Fri, 30 Jan 2009 12:02:44 +0100 (CET)


Email 2

From: [email protected] <[email protected]>

Reply-To: [email protected] <[email protected]>

To: [email protected]

Message-ID: <2075572838.35770.1233313365005.JavaMail.open-xchange@ox1>

Subject: Test

MIME-Version: 1.0

Content-Type: multipart/alternative; boundary="----=_Part_35769_1065879495.1233313364983"

X-Priority: 3

X-Mailer: Open-Xchange Mailer v6.6.0-6620

X-Evolution-Source: pop://indianz%[email protected]/

Mail-Content...


Web


04 Documentation

● Fortlaufend Findings notieren und über alle Aktionen/Befehle Journal führen● Beweise sicher und unveränderbar archivieren, über alle Aktionen/Handlungen Journal führen● WICHTIGSTES Element einer forensischen Analyse● Einfach formuliert und verständlich, Zielgruppen-gerecht● Wahrheitsgetreue Fakten (keine Vermutungen)● Veranschaulichung mit Grafiken, aber nicht überladen


07 Documentation

● Aufbau Bericht● Titelseite● Management Summary (maximal 2 Seiten)● Ausgangslage● Ziele, Randbedingungen, Methoden und Werkzeuge● Durchgeführte Analysen, Protokolle● Gesicherte Beweise, Chain of Custody● Behörden, Weitere Schritte● Massnahmen, Prävention, Zeitrahmen, Verantwortlich,

Risiko● Rohdaten des Tests (auf CD, DVD, HD)● Signaturen/Hashes


MassnahmenMassnahmen Liste (nicht abschliessend)

Grundschutz

Organisatorisch

Technisch

Strategisch Policies, Weisungen Mitarbeiterhandbuch, Standards

Baulich

Notfall

Updates/Patching, Backup, Antivirus, Antispyware, hostbasierte Firewall, Überwachung/Auditing, Protokollierung, starke Passwörter (A-Z,a-z,0-9,*#-!?_)Gesetze, aktuelles Organisationshandbuch, personifizierte Rollen, strenges und unumgehbares Rollenkonzept, Beachtung von Interessens- und Befugniskonflikten, Protokollierung, Mehr-Augen-Prinzip, need-to-see-Prinzip, need-to-know-Prinzip, Auditing und Revision, Ausbildung, SensibilisierungFiltering, Zugriffskontrolle, Verschlüsselung, digitale Unterschriften, Integritätssicherung, Safety, Authentisierung, Verkehrsflussanalysen, Routingkontrolle, Intrusion Detection/Prevention, Antimalware, Antispyware

Zugangskontrolle, Feuer- und Wasserschutz, Katastrophenplanung, Redundanzen, Evakuierungsplan, USV (unterbrechungsfreie Stromversorgung), ÜberspannungsschutzVorsorgemassnahmen, Sofortmassnahmen, Wiederanlaufsmassnahmen


05 Presentation

● Detaillierungsgrad/Methoden abhängig von Fragestellung● Erkenntnisse schlüssig/nachvollziehbar dokumentieren● Erkenntnisse überzeugend zielgruppenorientiert präsentieren● Bericht einige Tage vor Präsentation beim Auftraggeber ● Eventuell zwei Präsentationen, Highlevel-Management und Lowlevel Technik● Nie mehr Forensics als Auftraggeber an der Präsentation● Vertrauliches nur mit zuständigen Verantwortlichen besprechen● Videos und Live-Demos: langsam und klar, Botschaft!● Maximal zwei Stunden


06 Debriefing

● Lehren aus dem Projekt● Archivierung neuer Angriffstechniken und Hilfsmittel

● Tools, Checklisten● Analyse von gemachten Fehlern● Knowhow-Transfer

● Laufende Information über Aktualitäten, Trends, Angriffstechniken und Forensic● Evolve or die ;-)


Digg deeper

Forensic, wie denn jetzt ganz genau?


Ablauf Forensic

● Ermittlungsziel, Ressourcen, Auftrag

● 1 Vorbereitung + Logbuch● 2 Duplizierung + Log● 3 Analyse + Log● 4 Chain of Custody + Log● 5 Report + Präsentation

● Analysen● Täterprofil, Rekonstruktion, Netzwerk→OS→App, Backtrace


Häufige Fehler

● Unkenntnis beim Tooleinsatz● Betriebsblindheit● Keine durchgängige Dokumentation der durchgeführten Aktionen● Vorgang am oder mit Beweis nicht lückenlos dokumentiert● Keine rechtzeitige Meldung über den Vorfall (Eskalation)● Entscheidungsträger nicht/nur unzureichend informiert● Digitale Beweise unzureichend vor Veränderung geschützt● Unterschätzen der Tragweite des Vorfalls● Kein Incident Response Plan in Vorbereitung


Häufige Fehler

● Zeitverzögerungen durch organisatorische Mängel● Verändern von Zeitstempeln auf verdächtigen Systemen (MAC-Times) durch Zugriff● Beenden eines verdächtigen Prozesses auf dem System● Security Patch installiert● Kommandos ausführen, die niemand protokolliert hat● Nicht vertrauenswürdige Programme/Systemtools verwendet● Zerstören möglicher Beweise durch Installation/Deinstallation ● Tools, die Output auf der Beweisplatte generieren● unter Umständen auch Shutdown


Probleme

● Suche auf zugriffskontrollierten Systemen● Unzureichende und fehlerhafte Werkzeuge● Formatierte, unlesbare oder zerstörte Datenträger● Benötigter Speicherplatz!● Wiped oder degaussed Datenträger● Cleaner und Cloaker● Angriffstools im Kernelspace● Vorschnelles Handeln bei den Administratoren● Proprietäre Systeme ohne forensische Zugriffsmöglichkeiten● Mobile Geräte (PDAs, iPhones, Mobiltelefone)


Herausforderungen

● Verschlüsselung vs. Datenauswertung● Verlust der flüchtigen Daten nach einem Shutdown● Umgang mit fremden Sprachen (und Zeichensätzen)● Schwierigkeiten, Tragweite Angriff frühzeitig zu erkennen● Schnelles Wiederherstellen von System/Dienst erwünscht● Umfangreicher Einsatz von Personal und Technik (HDs!)● Sicherer Umgang mit Beweismitteln● Verhindern von weiteren Einbrüchen● Kontrolle der Veröffentlichung von Informationen


Anti-Forensic

● Sicheres Löschen● Dateien, Protokoll-Einträge, Caches, Temporary, …● Löschen und überschreiben (Wipe) aller Spuren

● Verstecken● Steganographie (Informationen in Bildern oder anderen

Dateien verstecken)● Alternate Data Streams (NTFS)● Versteckte oder gelöschte Partitionen, falsche

Dateierweiterungen


Anti-Forensic

● Verschlüsselung● Einzelne Dateien, Ordner, gesamter Datenträger (Pre-Boot)

● Diverse: Truecrypt● Linux: Cryptoloop, Dmcrypt, LUKS

● Dateisystemfunktionen● Windows: EFS ab Windows 2000● Linux: Cryptoloop, Dmcrypt, LUKS

● Spezielle Programme● UtimacoSafeguardEasy● IBM Laptop (Cryptochip mit RSA-Schlüsselspeicher)


Anti-Forensic

● Täuschung und Ablenkung● Legen von Trugspuren● Tarnung echter Angriff mit Ablenkungsmanöver● Covert Channels, Denial-of-Service

● Benutzung fremder Computer● Gehackte und Gestohlene

● Wireless LAN, Exploits, Trojaner, Botnets● Geliehene

● Universität/Schule, Internet Café, Sitzungsräume


Links

● Computer-Forensic: http://www.computer-forensic.org/ ● Geschonnek: http://geschonneck.com/security/forensics/ ● Hacking Exposed: http://hackingexposedforensics.com/ ● Forensic Wiki: http://www.forensicswiki.org/ ● Kobik: http://www.kobik.ch/ ● Cybercrime: http://www.cybercrime.ch/ ● Melani: http://www.melani.admin.ch/ ● Fedpol: http://www.fedpol.admin.ch/ ● EDÖB: http://www.edoeb.admin.ch/ ● CH Law: http://www.admin.ch/ch/d/sr/sr.html ● HELIX: http://www.e-fense.com/helix/● Sleuthkit & Autopsy: http://www.sleuthkit.org/ ● Encase: http://www.encase.com/ ● Open Source Forensic: http://www.opensourceforensics.org/ ● IndianZ: http://www.indianz.ch

http://www.computer-forensic.org/

http://geschonneck.com/security/forensics/

http://hackingexposedforensics.com/

http://www.forensicswiki.org/

http://www.kobik.ch/

http://www.cybercrime.ch/

http://www.melani.admin.ch/

http://www.fedpol.admin.ch/

http://www.edoeb.admin.ch/

http://www.admin.ch/ch/d/sr/sr.html

http://www.e-fense.com/helix/

http://www.sleuthkit.org/

http://www.encase.com/

http://www.opensourceforensics.org/

http://www.indianz.ch/


Besten Dank...

… für Ihre Aufmerksamkeit!

Wem darf ich eine Frage beantworten? ;-)

IndianZwww.indianz.ch

it forensic - indianzit forensic seite 4 von 87 begriff it forensic, computer forensic oder digital...

Documents