it forensic - indianzit forensic seite 4 von 87 begriff it forensic, computer forensic oder digital...
TRANSCRIPT
IT Forensic Seite 1 von 87
IndianZ
IT Forensic
IT Forensic describes the analysis of digital evidence to legally proof something.
December 2010
IT Forensic Seite 2 von 87
Haftung + Verantwortung
● Forensische Analysen können gesetzlich als Straftat (Abhören, Datenschutz, Hacking) verfolgt werden● Die in dieser Präsentation beschriebenen Techniken können auch für kriminelle Zwecke verwendet werden● Verantwortungsvoller Umgang mit diesem Wissen wird vorausgesetzt● IndianZ übernimmt KEINERLEI Haftung bei der legalen oder illegalen Anwendung dieses Wissens
IT Forensic Seite 3 von 87
Agenda
● IT Forensic● Begriffe, Geschichte, Aktualitäten, Organisationen,
Gesetz, Technik, Organisation● Prozess
● Identifizierung, Kickoff, Sicherstellung, Analyse / Korrelation, Präsentation / Aufbereitung, Debriefing
● Häufige Fehler, Probleme, Herausforderungen● Anti-Forensic
IT Forensic Seite 4 von 87
Begriff
● IT Forensic, Computer Forensic oder Digital Forensic● Deutsch oft: Forensik● Untersuchung von Vorfällen im Zusammenhang mit Computern, Feststellung Tatbestand, digitale Spurensicherung● Abgeleitet vom lateinischen Wort “Forum” (Marktplatz)
● Gerichtsverhandlungen und Strafvollzug damals öffentlich
● Live und Post-Mortem (Dead)
IT Forensic Seite 5 von 87
Analyse Live
● Live Response (Untersuchung am Live System) = Notaufnahme
● Wenn wertvolle flüchtige Daten verloren gehen könnten● Das System nicht heruntergefahren werden kann, (Business
Critical)● Passwörter von evtl. verschlüsselten Dateisystemen nicht
bekannt sind● Man herausfinden möchte, ob das System wirklich gehackt
wurde
IT Forensic Seite 6 von 87
Analyse Live
● Vorteile● Sicherung Prozessspeicher● Sicherung flüchtiger Daten● Analyse ablaufender Ereignisse
● Nachteile● Schwierigkeiten mit der richtigen Reihenfolge● Flüchtige Daten könnten durch die Live Response
verfälscht werden● fragile Daten können zerstört werden● unnötig, wenn Vorfall länger zurück liegt
IT Forensic Seite 7 von 87
Analyse Post Mortem
● Post Mortem Analyse● Untersuchung einer forensischen Kopie (wie Pathologie
oder Gerichtsmedizin)● Wenn der flüchtige Speicher nicht relevant ist● Der aufzuklärende Vorfall länger zurück liegt● Das System mehrfach gebootet wurde● Der First Responder das Stromkabel bereits gezogen hat
IT Forensic Seite 8 von 87
Analyse Post Mortem
● Vorteile● Flüchtige Daten können nicht aus Versehen zerstört werden● Dadurch planbares Vorgehen
● Nachteile● Keine Informationen zur Laufzeitumgebung,● Wesentliche Spuren könnten verborgen bleiben.
IT Forensic Seite 9 von 87
Grundsätze
● Rechtmässigkeit bei der Beschaffung von Daten● Verhältnismässigkeit wahren● Authentizität gewährleisten (gesicherte Entstehung)● Integrität bewahren (Unversehrtheit belegen)● „Vier-Augen-Prinzip“ anwenden● Nachvollziehbarkeit sicherstellen (Dokumentation)● Bedeutung belegen und begründen (Interpretation)
IT Forensic Seite 10 von 87
Geschichte
IT Forensic Seite 11 von 87
Aktualitäten
IT Forensic Seite 12 von 87
Organisationen
● Koordinationsstelle zur Bekämpfung der Internet-Kriminalität ● www.kobik.ch und www.cybercrime.ch
● Melde- und Analysestelle Informationssicherung● www.melani.admin.ch
● Bundespolizei● www.fedpol.admin.ch
● Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte● www.edoeb.admin.ch
IT Forensic Seite 13 von 87
KOBIK 2006
IT Forensic Seite 14 von 87
Strafrecht CH
Artikel Bemerkung143 Datenbeschaffung bereichernd143bis Hacken144bis Datenbeschädigung147 Computerbetrug150 Leistung erschleichen179novies Beschaffen von Personendaten251-254 Urkundenfälschung135 Gewaltdarstellungen173-178 Ehrverletzungen197 Pornographie162bis Rassendiskriminierung
IT Forensic Seite 15 von 87
Forensic Recht CH
Artikel Bemerkung
OR Art. 328 Schutz der Persönlichkeit
DSG Art. 4 Grundsätze Datensammlungen
DSG Art. 8 Auskunftsrecht
DSG Art. 12 Persönlichkeitsverletzungen
DSG Art. 34
ArGV Art. 26 Überwachung am Arbeitsplatz
ArG Art. 5 Information und Anleitung Arbeitnehmer
StGB 143bis Hacken
Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten
IT Forensic Seite 16 von 87
Law & Order
● Legale Überwachungsmassnahmen müssen (in der Regel) dem Arbeitnehmer im voraus bekannt gemacht werden● Im Arbeitsvertrag können Dinge geregelt werden (aber nicht mehr verändert, ausser neuer Vertrag)● Sehr empfehlenswert ist ein Reglement, das die Überwachung regelt● Strafgesetzbuch beachten!
IT Forensic Seite 17 von 87
Technik
● Hardware● Investigate-Rechner, grosser Primär- und grosser
Sekundärspeicher, viele Schnittstellen● Hardware zur forensischen Sicherung von Datenträgern
(Blocker)● Kabel und Adapter für alle möglichen Suspect-Geräte
● Software● Forensic Tools (Kommerzielle oder Open-Source-Tools)● Spezialprogramme (Passwort-Cracker, Viewer, Decoder)
IT Forensic Seite 18 von 87
Technik
● Knowhow ;-)● Netzwerk● Betriebssystem (OS)
● Speicher, Prozesse● Benutzer
● Applikationen und Technologien● VoIP, VPN, Email, Chat, IM (Instant Messaging),
Filesharing, ...● Angriffstechniken/-taktiken● Malware (Malicious Software)
IT Forensic Seite 19 von 87
Speicher
● Primärspeicher (GByte, sehr schnell)● Flüchtiger Speicher (RAM) → mittlere/geringe Relevanz● dd if=/proc/kcore of=/mnt/evidence/memory.dd, WinHex
● Sekundärspeicher (GByte–TByte, schnell)● Nicht flüchtiger (persistenter) Speicher → sehr hohe
Relevanz● dd if=/dev/hda1 of=/mnt/evidence/image.dd bs=4k, Encase
● Tertiärspeicher (GByte–PByte, langsam)● Nicht ständig zugreifbarer, nicht flüchtiger Speicher → hohe
Relevanz● dd if=/dev/sda1 of=/mnt/evidence/image.dd, Encase
IT Forensic Seite 20 von 87
Tools
● Tool zum Erstellen und Prüfen von Prüfsummen (mehrere Verfahren)● Tool zur Sicherung von flüchtigen Daten zur Laufzeit● Schlüsselwortsuchtools (auch fremde Zeichensätze) in logischen und physischen Strukturen von Datenträgerimages● Tool zur Dateianalyse und –wiederherstellung anhand von Dateisignaturen● Tool zum kompletten oder gefilterten Wiederherstellen von gelöschten Daten
IT Forensic Seite 21 von 87
Tools
● Tool zum Betrachten unterschiedlicher Dateiformate● Tool zum Erstellen Timeline (Auswertung MAC-Times)● Tool zum Erstellen und Zusammenfassen aller Berichte mit bedarfsweisen Detailinformationen● Writeblocker mit Adaptern (Speichermedien)● Tool zum Löschen der verwendeten eigenen Speichermedien vor Aufnahme von Beweisspuren● Verschlüsselungswerkzeuge zur Sicherung der Ermittlungsergebnisse
IT Forensic Seite 22 von 87
Forensic Tools Open Source
● Helix CD● http://www.e-fense.com/helix/
● Sleuthkit & Autopsy● http://www.sleuthkit.org/
● The Coroner's Toolkit● http://www.porcupine.org/forensics/tct.html
● More Tools:● http://www.opensourceforensics.org/● http://computer-forensik.org/tools/● http://www.indianz.ch/
IT Forensic Seite 23 von 87
Forensic Open Source Win
● Sysinternals Tools● Foundstone Tools● Forensic Aquisition Utilities● IRCR - Incident Response Collection Report● MD5deep● Netcat● Cryptcat● SectorSpy● Iehist
● WFT - Windows Forensic Toolchest● Odessa - Open Digital Evidence Search and Seizure Architecture● F.R.E.D. – First Responders Evidence Disk● PDD – Palm Disk Duplicator● Linux Tools for Windows
IT Forensic Seite 24 von 87
Forensic Open Source Linux
● Dcfldd● Foremost● MD5deep● Netcat● Cryptcat● Ftimes● Ntreg● AIR - Automated Image & Restore● AIRT – Advanced Incident Response Tool
● Vinetto● Fatback● Memfetch● Bsed – Binary Stream Editor● Mac-Robber● pyFLAG – Forensic Log Analysis GUI● Chaosreader
IT Forensic Seite 25 von 87
Forensic Tools kommerziell
● Encase Forensic● http://www.guidancesoftware.com/ http://www.arina.ch/● 3750 CHF / y
● Forensic Toolkit● http://www.accessdata.com/
● Paraben● http://www.paraben-forensics.com/
● Password Crackers● http://www.lostpassword.com/ http://www.elcomsoft.com/
IT Forensic Seite 26 von 87
Encryption
● Symmetric, gleicher key encrypt/decrypt● Strom-Chiffren (Zeichen für Zeichen): A5/1, A5/2, Rabbit,
RC4, SEAL● Block-Chiffren (Blöcke von Zeichen): Anubis, 3DES (Triple
DES), A5/3 (KASUMI), AES, Blowfish, CAST, Camellia, DES, FEAL, FOX, IDEA, Lucifer, Magenta, MARS, MISTY1, RC2, RC5, RC6, SEED, Serpent, SHACAL, Skipjack, TEA, Twofish, XTEA
● Asymmetric, public encrypt, private decrypt● Public Key Infrastruktur PKI (X.509), PGP „Web of Trust“● Diffie-Hellmann, RSA, ElGamal, Rabin, Elliptic Curves
IT Forensic Seite 27 von 87
Encryption/Hash
● Anwendungsarten Encryption● Dateien und Container (Symmetrisch, schnell)● Email (Asymmetrisch, Key Management)● Regel: Verschlüsselung = Sym / Key Mgmt = Asym
● Hashfunktionen (digitaler Fingerabdruck)● Sicherstellen der Beweiskraft (Festplatte oder Partition)● Effizientes Suchen nach bekannten Dateien (Hashsets)● Datenreduktion, Zufälligkeit, Unumkehrbarkeit und
Effizienz● Wertebereich (128-, 160-, 256bit), oft aber MD5 oder SHA-1
IT Forensic Seite 28 von 87
Hash
● Problem: zu bewältigende Datenmenge● Hashcodes (Hashwerte) von bekannten Dateien
generieren/importieren (aus vertrauenswürdiger Quelle stammend!)
● Können von verbotenen, verdächtigen oder problemlosen Dateien stammen
● Durch das Zusammenfassen mehrerer Hashcodes entsteht ein Hashset (Hashmenge)
● Hashsetskönnen einer Hashcategory (Hashkategorie) zugeordnet werden
IT Forensic Seite 29 von 87
Hash
● 1) Hashwerte aus den Evidence-Dateien (zu untersuchender Fall) berechnen
● 2) Berechnete Hashwerte mit den bekannten Hashwerten in den Hashmengen vergleichen und damit einer Kategorie zuteilen
● 3) Durch Setzen geeigneter Filter (Conditions) können nun Dateien in problemlose Inhalte und verbotene Inhalte unterteilt werden
IT Forensic Seite 30 von 87
Virtualisierung
● Hardware-/Software-basiert oder Emulation● Läuft unter einem Wirtsbetriebssytem● Abstrahiert (virtualisiert) die zur Verfügung stehenden HW-
Ressourcen (Prozessorleistung, Hauptspeicher, Schnittstellen)
● Stellt eine vollwertige HW-Umgebung (z.B. x86-Architektur) zur Verfügung
● Produkte: VMware, VirtualPC, XEN, Bochs, Qemu
● Ziel: Inbetriebnahme des sichergestellten Systems ohne Rückgriff auf die Original-Hardware und unter Wahrung der Datenintegrität der Originaldatenträger
IT Forensic Seite 31 von 87
Covert Channels
● Versteckte Kommunikation im Netzwerk („nach Hause telefonieren”)● Trojaner, Remote Control, Informationsabfluss● Sehr schwer zu entdecken
● Netzwerk-Monitoring und IDS● Techniken:
● Protocol Tunneling: TCP, UDP, ICMP, DNS, HTTP, HTTPS, …
● Firewall Piercing: Reverse, HTTPS, DNS
IT Forensic Seite 32 von 87
Malware
● Virus● Auf Wirt angewiesen, infiziert Dateien, MBR, ist am
aussterben
● Wurm● Braucht kein Wirt, “hackt” selbständig● Morris Worm (1988)
● sendmail/finger/rsh/rexec/pw
● Spyware● Klassische Spionagesoftware● Keylogger, Statistiken, Cookies, Webbugs
IT Forensic Seite 33 von 87
Malware
● Trojaner● Trojanisches Pferd (Griechische Mythologie: Troja)● Remote Control (IRC, HTTP/S), Sniff, Attack, Screenshot,
File Transfer, Man-in-the-Middle, Denial-of-Service
● Rootkit● Nimmt Computer vollständig in Besitz, teils schwierig zu
entdecken, ersetzt Systemdateien, öffnet Hintertür
● RansomWare● Erpressung
● Verschlüsseln von Dokumenten, Passwort gegen Lösegeld
IT Forensic Seite 34 von 87
Malware
● Passive Tactics● SNMP-Requests, NTP-Requests, NetBIOS-Requests, WLAN-
Requests, FTP, SMTP, POP3, IMAP4, ...
● Exploiting● Drive-by-Hacking = Client-side Exploits: JPG, GIF, PNG,
Java, Flash, …● Phishing = Geklonte Webseite, Passwörter ergaunern● Pharming = Umleitung: DNS, host(s), lmhost, ARP, ICMP,
DHCP, Squid, HSRP, …
● Malware immer gezielter und spezifischer
IT Forensic Seite 35 von 87
Commands Windows
● hostname
● psinfo
● net accounts, net file, net sessions, net share, net start, net use, net user, net view
● dir /s /a:h /t:a c:
● sfind c:
● cipher
● arp –a
● netstat –an, netstat –r
● psloggedon
● listdlls
● fport
● pslist –x
● nbtstat –x
● rausers
● psinfo
● psfile
● psservice
IT Forensic Seite 36 von 87
Commands Linux
● cat /proc/cpuinfo
● df –H
● fdisk –l
● cat /proc/version
● cat /proc/cmdline
● env
● who
● ps –efl
● ifconfig /a
● ifconfig /s
● arp –n
● arp –a
● cat /etc/hosts
● cat /etc/resolv.conf
● cat /etc/passwd
● cat /etc/shadow
● netstat –anp
● netstat –rn
● lsof, lsof –P –i –n
● cat /proc/meminfo
● cat /proc/modules
● cat /proc/mounts
● cat /proc/swap
● cat /etc/fstab
IT Forensic Seite 37 von 87
Commands Linux
● Prozessanalyse aller laufenden Prozesse:
ls /proc | sort –n | grep –v [a-z,A-Z] | while read PIDdo
echo “Process ID }PID:”cat /proc/$PID/cmdlinecat /proc/$PID/environcat /proc/$PID/mapscat /proc/$PID/statcat /proc/$PID/statmcat /proc/$PID/statuscat /proc/$PID/memls -ld /proc/$PID/rootls -ld /proc/$PID/cwdls -ld /proc/$PID/exels -lrta /proc/$PID/fd/
done
IT Forensic Seite 38 von 87
Commands Linux
● Analyse auf SUID- und World-Writeable-Dateien:
find / -perm -2000 –o –perm -4000 –print | xargs /ls –l {}
● MAC-Time-Analyse:
ls –lrta /etcls –lrta /binls –lrta /sbinls –Rlrta /usrls –Rlrta /varls –Rlrta /devls –Rlrta /homels –Rlrta /lib
IT Forensic Seite 39 von 87
Commands Cisco
● enable
● show clock detail
● show version
● show running config
● show startup config
● show reload
● show ip route
● show ip arp
● show users
● show logging
● show ip interface
● show clock detail
● show tcp brief all
● show ip sockets
● show up net translations verbose
● show ip cache flow
● show ip ospf summary
● show ip bgp summary
● show cdp neighbours
● show ip cef
● show snmp user
● show snmp group
● show snmp sessions
IT Forensic Seite 40 von 87
Organisation
● Ermittlungsziele● Rekonstruktion eines Angriffes, Bestätigung Verdacht● Ermittlung entstandener Schaden● Identifikation Angreifer, Täterprofil● Sicherung der Beweise für weitere juristische Aktionen
● Ermittlung Durchführung:● Schaden begrenzen → Verluste zurückgewinnen → künftige
Schäden vermindern → Täterschaft zur Rechenschaft ziehen
IT Forensic Seite 41 von 87
Ermittlungsablauf
● Eröffnen des Falls durch Sachbearbeiter Polizei aufgrund Anzeige oder entsprechendem Hinweis● Untersuchungsrichter ordnet Hausdurchsuchung an● Beginn der allgemeinen Ermittlungen im Fall● Abschätzen der zu untersuchenden IT-Infrastruktur● Einbezug von externen Experten● Vorbesprechung und Durchführung der Hausdurchsuchung● Sicherstellung und Aufbereitung der Daten● Analyse der Daten durch den Sachbearbeiter (IT-Ermittler)● Einreichen des abschliessenden Berichts an Untersuchungsrichter
IT Forensic Seite 42 von 87
Hausdurchsuchung
● Sichern des Untersuchungsortes und Information der betroffenen (verdächtigen) Personen● Festhalten aller vorgefundenen Computer, Speichermedien und anderen Geräte sowie ihres Zustandes ● Koordination durch eine erfahrene Person, die je nach Grösse des Falls keine andere Aufgabe vor Ort auszuführen hat● Standardisiertes Vorgehen (z.B. gemäss Checkliste), so dass alle an der Untersuchung beteiligten Personen genau gleich arbeiten
IT Forensic Seite 43 von 87
CERT/CIRT
● Computer Emergency/Incident Response Team● Netzwerk-Spezialist● Sicherheitsprodukt-Spezialist● Forensic-Spezialist● Rechts-Spezialist● Spezialist physische Sicherheit● Programmierer
● Organisatorische Einbettung (Stab, oben), Politik● Honeynet/-pot, Monitoring, Intrusion Detection (IDS)
IT Forensic Seite 44 von 87
6 A's / AAAAAA
● Assessment (Scope and Quantity, Repository Identification, Protect and Preserve, Establishment Chain of Custody, Preview Data)● Acquisition (Source Media Identification, Destination Media, Parameters, Image Creation)● Authentication (Metadata Cryptographic Hashes)● Analysis (Meat of Investigation)● Articulation (Evidence and Information, Presentation, Focus non-technical people)● Archival (How much, How long, How likely escalation)
IT Forensic Seite 45 von 87
Prozess
● 00 Identification● 01 Kickoff● 02 Aquisition● 03 Analysis/Correlation● 04 Documentation● 05 Presentation● 06 Debriefing
IT Forensic Seite 46 von 87
00 Identification
● Identifizierung● Erkennung Vorfall● Auffälligkeiten● “Whistle-Blowing”, Fraud-Hotline● Verdachtsmomente● Reaktion auf Alarme● Logs, IDS, Firewall, ...
● Bevor an betroffenen Systemen etwas geändert wird (evtl. Netzwerk disconnecten) → Spezialisten kontaktieren
IT Forensic Seite 47 von 87
00 Identification
● IDS – Intrusion Detection System● IPS – Intrusion Prevention System● SIM - Security Information Management● Snort
● www.snort.org● Aanval
● www.aanval.com● Prelude IDS
● www.prelude-ids.com
IT Forensic Seite 48 von 87
Intrusion Detection System
IT Forensic Seite 49 von 87
00 Identification
● Harte Faktoren● Branche, Grösse, Ort, Technologien
● Weiche Faktoren● Ausbildung, Knowhow, Kultur, Motivation, Loyalität, IKS
● Enabler (förderliche Faktoren)● Komplexität Prozesse, hohes Volumen, wenig Qualität
SiKos, keine Richtlinien/Standards, fehlende Funktionstrennung, wenig Nachvollziehbarkeit, kein Sicherheitsbewusstsein, blindes Vertrauen, keine Überwachung
IT Forensic Seite 50 von 87
00 Identification
● Red Flags (Warnsignale)● Stornorate, Korrekturbuchungen, Kundenreklamationen,
Anfragen Presse, Überstunden, Wochenendarbeit, tageweise Ferien, unabkömmliche Schlüsselpersonen, Lebensstil - Einkommen, unkooperatives Verhalten, atypische Kundenbeziehungen
● Trigger (Auslöser)● Schlechtes Arbeitsklima, ständige Über-/Unterforderung,
Zeitdruck, Leistungsdruck, unklare/inkompetente Führung, hohe Personalfluktuation, Androhung/erfolgte Entlassung, Arbeitsplatzabbau, überschwänglicher Lebensstil, Alkoholsucht, Drogensucht, Krankheit, persönliche Krisen
IT Forensic Seite 51 von 87
00 Identification
● Was ist passiert?● Personen und Kommunikation?● Schaden?● Beweismittelbeschaffung und Sofortmassnahmen?● Umfeld und Abhängigkeiten?● Hintergrundabklärungen:
● Befragung, Profiler, technisches Knowhow, Lohnzessionen, Scheidung, Polizei, Betreibungsauszug, Dienstreisetätigkeit, Telefon, Email, Religion, Freizeit, Fahrzeuge, Firmen, ...
IT Forensic Seite 52 von 87
01 Kickoff
● Gesetze und Regulationen● Vertrag, Haftung und Geheimhaltung● Zuständigkeiten und Verantwortlichkeiten, Personen und Rollen● Ermittlungsart
● Intern (Ressourcen gehören Kunde/Ermittler)● Zivil (Ressourcen gehören Drittpartei)● Strafrechtlich (offizielles Verfahren)
● Ermittlungsziel (Verdacht→Beweis, Rekonstruktion)
IT Forensic Seite 53 von 87
01 Kickoff
● „Tatort“ ohne eine konkrete Vorstellung aufsuchen● Unvoreingenommenheit sollte immer angestrebt werden● „Derzeit unbekannt“ situativ durchaus berechtigt● Blick für nicht offensichtliche Spuren freihalten● Zu schnelle und ungeprüfte Antworten „vergiften“ Beweise● Absichtlich falsche Spuren (Trugspuren)● Wer, Was, Wo, Wann, Womit, Wie und Weshalb?● Massnahmen zur Sicherstellung?● Methoden für Sammlung von Beweisen?● Anhaltspunkte? Unbekanntes?
IT Forensic Seite 54 von 87
02 Aquisition
● Sicherstellung● „Tatort“ und Untersuchungsbereich absichern● Beweisspuren sorgfältig sichern● Integrität der Daten bewahren und nachweisen
● Hashes, Vieraugenprinzip, Protokollierung!● Rechtmässigkeit beachten
● Disk Duplizierung● 1:1 Bit-Kopie eines sichergestellten Datenträgers● dd if=/dev/hda1 of=/mnt/evidence/image.dd bs=4k
IT Forensic Seite 55 von 87
02 Aquisition
● 1 Hasherstellung der Quelle● 2 Image Datei der Quelle erstellen
niemals auf die Quelle schreiben!● 3 Hasherstellung des Images● 4 Hashvergleich
Übereinstimmung Image-Datei und Quelle
IT Forensic Seite 56 von 87
02 Aquisition
● Die Übertragung der Daten muss bitweise erfolgen, jedes Bit des Untersuchungsmediums muss übertragen werden● Lesefehler müssen zuverlässig und robust behandelt werden, nach mehrfachem Leseversuch muss der fehlerhafte Sektor markiert und mit Platzhalter versehen werden, kein Abbruch● Es dürfen keine Änderungen am Originalmedium vorgenommen werden● Anwendung muss nachvollziehbar arbeiten, alle Aktionen müssen, wenn durch einen Dritten reproduziert, die gleichen Ergebnisse liefern● Erstelltes Image muss durch kryptografische Verfahren (Checksummen oder Hash-Algorithmen) „geschützt“ werden
IT Forensic Seite 57 von 87
02 Aquisition
● Varianten der Duplikation:● Ausbau der verdächtigen Festplatte aus dem verdächtigen
System und Anschluss an das Analysesystem● Anschluss einer zusätzlichen leeren(!) Festplatte an das
verdächtige System● Transport der kopierten Daten über ein geschütztes Netz
vom verdächtigen System zum Analysesystem
● Unbedingt Writeblocker für die verdächtigen Datenträger verwenden!
IT Forensic Seite 58 von 87
02 Aquisition
● 1 Routingtabellen, ARP-Cache, Prozessliste, angemeldete User, Netzstatus, Kerneldaten, Hauptspeicherinhalt (durch Prozesse belegt)
● 2 Temporäre Dateisysteme, SWAP-Bereiche, etc.● 3 Kompletter Inhalt der Datenträger● 4 Logging-/Monitoringdaten, IDS, Firewall, Router● 5 Physische Konfigurationen/Netzwerktopologien● 6 Archivierte Medien
IT Forensic Seite 59 von 87
02 Aquisition
● System Shutdown● Zerstört einige fragile Daten (SWAP, Pagefile)● Sehr viele MAC-Timestamps werden zerstört● Logische Bomben könnten gestartet werden● Möglichst keinen Shutdown durchführen
● Stromkabel ziehen● Zerstört flüchtige Daten (Hauptspeicher, Prozesse, User) →
vorher sichern! → Live Response● Stoppt alle Prozesse sofort● Bevorzugte Methode
IT Forensic Seite 60 von 87
03 Analysis/Correlation
● NIE Original, nur Kopien der Images verwenden ● Analyse/Korrelation
● Spuren sorgfältig auswerten● Ergebnisse objektiv bewerten● Schlüsse kritisch hinterfragen
● Täterprofil ● Gelegenheit, Tatwerkzeug, Opfer, Motiv● Beziehungsnetzwerk● Datenschutz einhalten
● Verdacht → Beweis, Rekonstruktion
IT Forensic Seite 61 von 87
03 Analyis/Correlation
● Welche Kennung hatte (unberechtigten) Zugriff, Zugang bzw. Zutritt?● Welche Personen (-gruppen) könnten diese Kennung nutzen?● Was hat der Angreifer auf dem System gemacht?● Zu welchem Zeitpunkt fand der Vorfall statt? ● Welche Systeme sind zusätzlich betroffen?● Warum ist gerade dieses Netz oder System angegriffen worden?● Wie konnte der Angreifer Zugriff erlangen?● Ist der Angriff vor kurzem geschehen? Was macht der Angreifer jetzt?
IT Forensic Seite 62 von 87
03 Analyis/Correlation
● Was konnte der Angreifer auf diesem/von diesem System einsehen?● Hat der Angreifer etwas zurückgelassen? ● Welche Tools kamen beim Angriff möglicherweise zum Einsatz?● Welche Ereignisse wurden protokolliert ?● Was wird durch die Protokolldaten enthüllt?● Was ist auf den Datenträgern gespeichert?
IT Forensic Seite 63 von 87
Spuren
● Beweisspuren, die eine bestimmte Theorie untermauern,● Beweisspuren, die gegen eine bestimmte Theorie sprechen und● Beweisspuren, die keine bestimmte Theorie unterstützen oder widerlegen, sondern lediglich zeigen, dass das System verändert wurde, um (eventuell) Informationen oder Spuren zu verbergen
IT Forensic Seite 64 von 87
Entstehung Spuren
● Anwender (Dokumente, Nachrichten, Bilder, Dateien)● Applikation (temporäre Dateien, Protokollierung, RAM)● Kommunikation (Interprozess-Kommunikation intern und extern)● Betriebssystem (Swap-Datei, Caches, Autovervollständigung)● Dateisystem (Slack-Bereich, gelöschte Daten)● Hardware (Kontrollerspeicher, Protokollierung)
IT Forensic Seite 65 von 87
Spurensuche
● Vor einem Ereignis (bzw. möglicher Wiederholung):● Kommunikation (Teilnehmer, Dienste, Inhalt)● Daten (Zugriff, Veränderung)● „Fallen stellen“ (Chat, Peer-to-Peer, Kundendaten) unter
Einhaltung der Rechtmässigkeit
● Bei einem Ereignis (Entdeckung):● Kommunikation und Daten (wie oben) unter Vermeidung
von weiteren Schäden
● Nach einem Ereignis (Spurensicherung):● Bewahrung und Sicherstellung von Spuren gemäss
Grundsätzen
IT Forensic Seite 66 von 87
03 Analyis/Correlation
● IP-Adressen● Internet 1: Emails, Web, Browser (Cache, History, Links, ...)● Internet 2: Filesharing, Chat, Instant Messenger, VoIP...● Bilder● Dokumente (MS Office, Openoffice, TXT, HTML, PDF, ...)● Netzwerk, OS, Applikation
● Logfiles● Temporäre Dateien● Deleted, Formatted
IT Forensic Seite 67 von 87
Email 1
Envelope-to: [email protected]
Delivery-date: Fri, 30 Jan 2009 12:00:29 +0100
Received: from [10.0.2.10] (helo=asmtp001.mail.hostpoint.ch) by dist001.mail.hostpoint.ch with esmtp (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr6r-000M6J-54 for [email protected]; Fri, 30 Jan 2009 12:00:29 +0100
Received: from [213.3.113.65] (helo=[192.168.0.7]) by asmtp001.mail.hostpoint.ch with esmtpsa (TLSv1:CAMELLIA256-SHA:256) (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr6q-0004Gq-Rn for [email protected]; Fri, 30 Jan 2009 12:00:29 +0100
X-Authenticated-Sender-Id: [email protected]
Subject: Test
IT Forensic Seite 68 von 87
Email 1
From: IndianZ <[email protected]>
Reply-To: [email protected]
To: IndianZ <[email protected]>
Content-Type: text/plain
Date: Fri, 30 Jan 2009 12:00:26 +0100
Message-Id: <1233313227.4903.19.camel@localhost>
Mime-Version: 1.0
X-Mailer: Evolution 2.22.3.1
Content-Transfer-Encoding: 7bit
X-Evolution-Source: pop://indianz%[email protected]/
Mail-Content...
IT Forensic Seite 69 von 87
Email 2
Envelope-to: [email protected]
Delivery-date: Fri, 30 Jan 2009 12:02:45 +0100
Received: from [10.0.2.20] (helo=asmtp002.mail.hostpoint.ch) by dist004.mail.hostpoint.ch with esmtp (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr93-000Dt8-5D for [email protected]; Fri, 30 Jan 2009 12:02:45 +0100
Received: from [217.26.49.161] (helo=ox1) by asmtp002.mail.hostpoint.ch with esmtpa (Exim 4.69 (FreeBSD)) (envelope-from <[email protected]>) id 1LSr93-000KsZ-0L for [email protected]; Fri, 30 Jan 2009 12:02:45 +0100
X-Authenticated-Sender-Id: [email protected]
Date: Fri, 30 Jan 2009 12:02:44 +0100 (CET)
IT Forensic Seite 70 von 87
Email 2
From: [email protected] <[email protected]>
Reply-To: [email protected] <[email protected]>
Message-ID: <2075572838.35770.1233313365005.JavaMail.open-xchange@ox1>
Subject: Test
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_Part_35769_1065879495.1233313364983"
X-Priority: 3
X-Mailer: Open-Xchange Mailer v6.6.0-6620
X-Evolution-Source: pop://indianz%[email protected]/
Mail-Content...
IT Forensic Seite 71 von 87
Web
IT Forensic Seite 72 von 87
04 Documentation
● Fortlaufend Findings notieren und über alle Aktionen/Befehle Journal führen● Beweise sicher und unveränderbar archivieren, über alle Aktionen/Handlungen Journal führen● WICHTIGSTES Element einer forensischen Analyse● Einfach formuliert und verständlich, Zielgruppen-gerecht● Wahrheitsgetreue Fakten (keine Vermutungen)● Veranschaulichung mit Grafiken, aber nicht überladen
IT Forensic Seite 73 von 87
07 Documentation
● Aufbau Bericht● Titelseite● Management Summary (maximal 2 Seiten)● Ausgangslage● Ziele, Randbedingungen, Methoden und Werkzeuge● Durchgeführte Analysen, Protokolle● Gesicherte Beweise, Chain of Custody● Behörden, Weitere Schritte● Massnahmen, Prävention, Zeitrahmen, Verantwortlich,
Risiko● Rohdaten des Tests (auf CD, DVD, HD)● Signaturen/Hashes
IT Forensic Seite 74 von 87
MassnahmenMassnahmen Liste (nicht abschliessend)
Grundschutz
Organisatorisch
Technisch
Strategisch Policies, Weisungen Mitarbeiterhandbuch, Standards
Baulich
Notfall
Updates/Patching, Backup, Antivirus, Antispyware, hostbasierte Firewall, Überwachung/Auditing, Protokollierung, starke Passwörter (A-Z,a-z,0-9,*#-!?_)Gesetze, aktuelles Organisationshandbuch, personifizierte Rollen, strenges und unumgehbares Rollenkonzept, Beachtung von Interessens- und Befugniskonflikten, Protokollierung, Mehr-Augen-Prinzip, need-to-see-Prinzip, need-to-know-Prinzip, Auditing und Revision, Ausbildung, SensibilisierungFiltering, Zugriffskontrolle, Verschlüsselung, digitale Unterschriften, Integritätssicherung, Safety, Authentisierung, Verkehrsflussanalysen, Routingkontrolle, Intrusion Detection/Prevention, Antimalware, Antispyware
Zugangskontrolle, Feuer- und Wasserschutz, Katastrophenplanung, Redundanzen, Evakuierungsplan, USV (unterbrechungsfreie Stromversorgung), ÜberspannungsschutzVorsorgemassnahmen, Sofortmassnahmen, Wiederanlaufsmassnahmen
IT Forensic Seite 75 von 87
05 Presentation
● Detaillierungsgrad/Methoden abhängig von Fragestellung● Erkenntnisse schlüssig/nachvollziehbar dokumentieren● Erkenntnisse überzeugend zielgruppenorientiert präsentieren● Bericht einige Tage vor Präsentation beim Auftraggeber ● Eventuell zwei Präsentationen, Highlevel-Management und Lowlevel Technik● Nie mehr Forensics als Auftraggeber an der Präsentation● Vertrauliches nur mit zuständigen Verantwortlichen besprechen● Videos und Live-Demos: langsam und klar, Botschaft!● Maximal zwei Stunden
IT Forensic Seite 76 von 87
06 Debriefing
● Lehren aus dem Projekt● Archivierung neuer Angriffstechniken und Hilfsmittel
● Tools, Checklisten● Analyse von gemachten Fehlern● Knowhow-Transfer
● Laufende Information über Aktualitäten, Trends, Angriffstechniken und Forensic● Evolve or die ;-)
IT Forensic Seite 77 von 87
Digg deeper
Forensic, wie denn jetzt ganz genau?
IT Forensic Seite 78 von 87
Ablauf Forensic
● Ermittlungsziel, Ressourcen, Auftrag
● 1 Vorbereitung + Logbuch● 2 Duplizierung + Log● 3 Analyse + Log● 4 Chain of Custody + Log● 5 Report + Präsentation
● Analysen● Täterprofil, Rekonstruktion, Netzwerk→OS→App, Backtrace
IT Forensic Seite 79 von 87
Häufige Fehler
● Unkenntnis beim Tooleinsatz● Betriebsblindheit● Keine durchgängige Dokumentation der durchgeführten Aktionen● Vorgang am oder mit Beweis nicht lückenlos dokumentiert● Keine rechtzeitige Meldung über den Vorfall (Eskalation)● Entscheidungsträger nicht/nur unzureichend informiert● Digitale Beweise unzureichend vor Veränderung geschützt● Unterschätzen der Tragweite des Vorfalls● Kein Incident Response Plan in Vorbereitung
IT Forensic Seite 80 von 87
Häufige Fehler
● Zeitverzögerungen durch organisatorische Mängel● Verändern von Zeitstempeln auf verdächtigen Systemen (MAC-Times) durch Zugriff● Beenden eines verdächtigen Prozesses auf dem System● Security Patch installiert● Kommandos ausführen, die niemand protokolliert hat● Nicht vertrauenswürdige Programme/Systemtools verwendet● Zerstören möglicher Beweise durch Installation/Deinstallation ● Tools, die Output auf der Beweisplatte generieren● unter Umständen auch Shutdown
IT Forensic Seite 81 von 87
Probleme
● Suche auf zugriffskontrollierten Systemen● Unzureichende und fehlerhafte Werkzeuge● Formatierte, unlesbare oder zerstörte Datenträger● Benötigter Speicherplatz!● Wiped oder degaussed Datenträger● Cleaner und Cloaker● Angriffstools im Kernelspace● Vorschnelles Handeln bei den Administratoren● Proprietäre Systeme ohne forensische Zugriffsmöglichkeiten● Mobile Geräte (PDAs, iPhones, Mobiltelefone)
IT Forensic Seite 82 von 87
Herausforderungen
● Verschlüsselung vs. Datenauswertung● Verlust der flüchtigen Daten nach einem Shutdown● Umgang mit fremden Sprachen (und Zeichensätzen)● Schwierigkeiten, Tragweite Angriff frühzeitig zu erkennen● Schnelles Wiederherstellen von System/Dienst erwünscht● Umfangreicher Einsatz von Personal und Technik (HDs!)● Sicherer Umgang mit Beweismitteln● Verhindern von weiteren Einbrüchen● Kontrolle der Veröffentlichung von Informationen
IT Forensic Seite 83 von 87
Anti-Forensic
● Sicheres Löschen● Dateien, Protokoll-Einträge, Caches, Temporary, …● Löschen und überschreiben (Wipe) aller Spuren
● Verstecken● Steganographie (Informationen in Bildern oder anderen
Dateien verstecken)● Alternate Data Streams (NTFS)● Versteckte oder gelöschte Partitionen, falsche
Dateierweiterungen
IT Forensic Seite 84 von 87
Anti-Forensic
● Verschlüsselung● Einzelne Dateien, Ordner, gesamter Datenträger (Pre-Boot)
● Diverse: Truecrypt● Linux: Cryptoloop, Dmcrypt, LUKS
● Dateisystemfunktionen● Windows: EFS ab Windows 2000● Linux: Cryptoloop, Dmcrypt, LUKS
● Spezielle Programme● UtimacoSafeguardEasy● IBM Laptop (Cryptochip mit RSA-Schlüsselspeicher)
IT Forensic Seite 85 von 87
Anti-Forensic
● Täuschung und Ablenkung● Legen von Trugspuren● Tarnung echter Angriff mit Ablenkungsmanöver● Covert Channels, Denial-of-Service
● Benutzung fremder Computer● Gehackte und Gestohlene
● Wireless LAN, Exploits, Trojaner, Botnets● Geliehene
● Universität/Schule, Internet Café, Sitzungsräume
IT Forensic Seite 86 von 87
Links
● Computer-Forensic: http://www.computer-forensic.org/ ● Geschonnek: http://geschonneck.com/security/forensics/ ● Hacking Exposed: http://hackingexposedforensics.com/ ● Forensic Wiki: http://www.forensicswiki.org/ ● Kobik: http://www.kobik.ch/ ● Cybercrime: http://www.cybercrime.ch/ ● Melani: http://www.melani.admin.ch/ ● Fedpol: http://www.fedpol.admin.ch/ ● EDÖB: http://www.edoeb.admin.ch/ ● CH Law: http://www.admin.ch/ch/d/sr/sr.html ● HELIX: http://www.e-fense.com/helix/● Sleuthkit & Autopsy: http://www.sleuthkit.org/ ● Encase: http://www.encase.com/ ● Open Source Forensic: http://www.opensourceforensics.org/ ● IndianZ: http://www.indianz.ch
IT Forensic Seite 87 von 87
Besten Dank...
… für Ihre Aufmerksamkeit!
Wem darf ich eine Frage beantworten? ;-)
IndianZwww.indianz.ch