Computerstraftaten erkennen, ermitteln, aufklären
E-Book, Deutsch, 388 Seiten
Reihe: iX Edition
ISBN: 978-3-86491-489-8
Verlag: dpunkt
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im "Fall der Fälle" als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah,
• wo man nach Beweisspuren suchen sollte,
• wie man sie erkennen kann,
• wie sie zu bewerten sind,
• wie sie gerichtsverwendbar gesichert werden.
Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.
In der 6. Auflage wurden Statistiken und Toolbeschreibungen aktualisiert sowie neueste rechtliche Entwicklungen aufgenommen. Hinzugekommen sind neue Ansätze der strukturierten Untersuchung von Hauptspeicherinhalten und die Analyse von Malware.
Autoren/Hrsg.
Weitere Infos & Material
1;Inhaltsverzeichnis;5
2;Einleitung;9
2.1;Wer sollte dieses Buch lesen?;10
2.2;Was lernt man in diesem Buch?;12
2.3;Was lernt man in diesem Buch nicht?;12
2.4;Wie liest man dieses Buch?;13
2.4.1;Kapitel 1;14
2.4.2;Kapitel 2;14
2.4.3;Kapitel 3;14
2.4.4;Kapitel 4;14
2.4.5;Kapitel 5;15
2.4.6;Kapitel 6;15
2.4.7;Kapitel 7;15
2.4.8;Kapitel 8;15
2.4.9;Kapitel 9;15
2.4.10;Kapitel 10;16
2.5;Was ist neu in der 6. Auflage?;16
2.6;Was ist neu in der 5. Auflage?;16
2.7;Was ist neu in der 4. Auflage?;17
2.8;Was ist neu in der 3. Auflage?;17
2.9;Was ist neu in der 2. Auflage?;17
3;1 Bedrohungssituation;19
3.1;1.1 Bedrohung und Wahrscheinlichkeit;19
3.2;1.2 Risikoverteilung;20
3.2.1;Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1;21
3.2.2;Abb. 1–2 Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012;22
3.3;1.3 Motivation der Täter;24
3.3.1;Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung;27
3.3.2;Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer7;27
3.3.3;Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internetzugangskennungen;28
3.4;1.4 Innentäter vs. Außentäter;29
3.5;1.5 Bestätigung durch die Statistik?;33
3.6;1.6 Computerkriminalität;34
3.6.1;Abb. 1–6 Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware.;34
3.6.2;Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne;35
3.6.3;Abb. 1–7 Gesonderte Auswertung von »Tatmittel Internet« aus der PKS 2010;40
4;2 Ablauf von Angriffen;41
4.1;2.1 Typischer Angriffsverlauf;41
4.1.1;2.1.1 Footprinting;41
4.1.2;2.1.2 Port- und Protokollscan;42
4.1.3;2.1.3 Enumeration;42
4.1.4;2.1.4 Exploiting/Penetration;43
4.1.5;2.1.5 Hintertüren einrichten;43
4.1.6;2.1.6 Spuren verwischen;44
4.2;2.2 Beispiel eines Angriffs;44
4.2.1;Abb. 2–1 Meldungen des Intrusion-Detection-Systems Snort: Portscan, Kontakt des Telnet-Port, um das Banner zu analysieren, Kontaktaufnahme des Portmappers, um festzustellen, ob dieser aktiv ist, und abschließender Angriff (in der Abbildung hervorg...;45
4.2.2;Abb. 2–2 DS-Mitschnitt des Angriffs aus der vorherigen Abbildung auf den Portmapper, mit Installation einer Hintertür auf Port 4545;46
4.2.3;Abb. 2–3 Firewall-1 Logdatei: akzeptierte Verbindungen des Angriffs. Kontakt der RPC- und Telnet-Dienste;46
4.2.4;Abb. 2–4 Der Angreifer schaut, ob das System rebootet wurde und ob noch andere User angemeldet sind. Dann löscht er die Konfigurationsdateien des TCP-Wrapper und die Logdateien, die den Anmeldestatus zeigen.;47
4.2.5;Abb. 2–5 Der Angreifer stoppt den Syslog-Server und löscht die zugehörigen Startskripte. Dann fügt er einen zusätzlichen Account »own« mit Root-Rechten und einen normalen User »adm1« ein. Direkte Root-Anmeldungen via Telnet sind standardmä...;47
4.2.6;Abb. 2–6 Der Angreifer meldet sich mit dem Account »adm1« an (man bemerke das Passwort »eliteness«), wird mittels SU-Befel zum Root-User und überprüft, ob irgendwelche verdächtigen Prozesse laufen. Der Angreifer wird wahrscheinlich mitbekomm...;48
4.2.7;Abb. 2–7 Der Angreifer startet ftp ohne Parameter, damit in der Prozessliste nicht der besuchte FTP-Server auftaucht, und verbindet sich erst dann mittels »open«. So ist in der Prozessliste jetzt nur »ftp« zu sehen und nicht »ftp skipper.robot...;48
4.2.8;Abb. 2–8 Der Angreifer sieht sich den Inhalt des heruntergeladenen und entpackten Verzeichnisses (in /usr/man/ gespeichert !) an. Der Umfang der auszutauschenden und zu installierenden Dateien ist dabei sehr gut zu erkennen.;49
4.2.9;Abb. 2–9 Das Installationsskript, das der Angreifer verwendet hat: History-Dateien werden gelöscht und in das Null-Device gelinkt, damit die eingegebenen Kommandos nicht protokolliert werden können. Dann werden die trojanisierten Systemdateien un...;50
4.2.10;Abb. 2–10 Die eingegebenen Adressbereiche werden nicht angezeigt, wenn der trojanisierte netstat-Befehl aufgerufen wird.;50
4.2.11;Abb. 2–11 Verbindungen, die von der Domain home.com kommen, werden aus allen System-Logdateien gelöscht; anschließend werden auch die Installationsdateien gelöscht.;51
5;3 Incident Response als Grundlage der Computer-Forensik;53
5.1;3.1 Der Incident-Response-Prozess;53
5.2;3.2 Organisatorische Vorbereitungen;54
5.3;3.3 Zusammensetzung des Response-Teams;55
5.4;3.4 Incident Detection: Systemanomalien entdecken;57
5.4.1;3.4.1 Vom Verdacht zum Beweis;57
5.4.2;3.4.2 Netzseitige Hinweise;58
5.4.3;3.4.3 Serverseitige Hinweise;59
5.4.4;3.4.4 Intrusion-Detection-Systeme;60
5.4.5;3.4.5 Externe Hinweise;60
5.4.5.1;Abb. 3–1 Intrusion-Mapping- System dshield.org;61
5.5;3.5 Incident Detection: Ein Vorfall wird gemeldet;62
5.5.1;Meldung des Vorfalls;62
5.5.2;Allgemeine Informationen;62
5.5.3;Informationen über den Anrufer;62
5.5.4;Informationen vom betroffenen System;63
5.5.5;Informationen über den Angreifer;64
5.5.6;Was wurde bereits unternommen?;64
5.6;3.6 Sicherheitsvorfall oder Betriebsstörung?;65
5.6.1;Abb. 3–2 Incidents identifizieren aus RFC 2196;67
5.7;3.7 Wahl der Response-Strategie;68
5.8;3.8 Reporting und Manöverkritik;69
6;4 Einführung in die Computer-Forensik;73
6.1;4.1 Ziele einer Ermittlung;73
6.2;4.2 Anforderungen an den Ermittlungsprozess;74
6.3;4.3 Phasen der Ermittlung;75
6.4;4.4 Das S-A-P-Modell;76
6.5;4.5 Welche Erkenntnisse kann man gewinnen?;78
6.5.1;Wer hatte Zugang?;78
6.5.2;Was hat der Angreifer auf dem System gemacht?;78
6.5.3;Wann fand der Vorfall statt?;79
6.5.4;Welche weiteren Systeme sind noch betroffen?;79
6.5.5;Warum ist gerade dieses Netz oder System angegriffen worden?;79
6.5.6;Wie konnte der Angreifer Zugriff erlangen?;79
6.5.7;Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?;80
6.5.8;Was konnte der Angreifer auf diesem System einsehen?;80
6.5.9;Was wurde vom Angreifer zurückgelassen?;80
6.5.10;Welche Tools wurden verwendet?;81
6.5.11;Wie wurden diese Tools aufgerufen?;81
6.5.12;In welcher Programmiersprache wurden die Tools geschrieben?;81
6.5.13;Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?;82
6.5.14;Welche Events wurden protokolliert?;82
6.5.15;Was wird durch die Protokolldaten enthüllt?;82
6.5.16;Protokolldaten der Remote-Access-Systeme;83
6.5.17;Protokolldaten der Zutrittskontrollsysteme;83
6.5.18;Was findet sich auf den Datenträgern?;83
6.5.19;Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?;83
6.5.20;Welche Dateien wurden gelöscht?;84
6.5.21;Existieren versteckte Dateien?;84
6.5.22;Existieren verschlüsselte Dateien?;84
6.5.23;Existieren versteckte Partitionen?;85
6.5.24;Existieren bekannte Hintertür- oder andere Fernzugriffstools?;85
6.6;4.6 Wie geht man korrekt mit Beweismitteln um?;85
6.6.1;4.6.1 Juristische Bewertung der Beweissituation;86
6.6.2;4.6.2 Datenschutz;87
6.6.3;4.6.3 Welche Daten können erfasst werden?;90
6.6.4;4.6.4 Bewertung der Beweisspuren;90
6.6.5;4.6.5 Durchgeführte Aktionen dokumentieren;91
6.6.5.1;Tab. 4–1 Beispiel einer Dokumentation der durchgeführten Aktionen;92
6.6.6;4.6.6 Beweise dokumentieren;92
6.6.6.1;Abb. 4–1 Beispiel eines Beweiszettels;93
6.6.7;4.6.7 Mögliche Fehler bei der Beweissammlung;94
6.7;4.7 Flüchtige Daten sichern: Sofort speichern;96
6.7.1;Aktuelle Uhrzeit;97
6.7.2;Cache-Inhalt;97
6.7.3;Speicherinhalte;98
6.7.4;Status der Netzverbindung;98
6.7.5;Status der laufenden Prozesse;98
6.7.6;Inhalt der Speichermedien;98
6.7.7;Inhalt des Hauptspeichers;98
6.8;4.8 Speichermedien sichern: Forensische Duplikation;99
6.8.1;Abb. 4–2 Der Writeblocker wird zwischen Analysesystem und zu sichernder Festplatte positioniert (in diesem Bild ist der Writeblocker via USB an das Analysesystem angeschlossen).;100
6.8.2;4.8.1 Wann ist eine forensische Duplikation sinnvoll?;100
6.8.3;4.8.2 Geeignete Verfahren;101
6.9;4.9 Was sollte alles sichergestellt werden?;102
6.10;4.10 Erste Schritte an einem System für die Sicherstellung;104
6.10.1;4.10.1 System läuft nicht (ist ausgeschaltet);104
6.10.2;4.10.2 System läuft (ist eingeschaltet);105
6.10.3;4.10.3 Entscheidungsprozesse;105
6.11;4.11 Untersuchungsergebnisse zusammenführen;106
6.11.1;Abb. 4–3 Beispielhafter Ablauf einer Erstreaktion durch Nicht- Spezialisten;106
6.11.2;Abb. 4–4 Herstellen der zeitlichen Abhängigkeiten zwischen den einzelnen Tatspuren;107
6.12;4.12 Häufige Fehler;108
6.12.1;Kein Incident-Response-Plan in Vorbereitung;108
6.12.2;Unterschätzen der Tragweite des Vorfalls;108
6.12.3;Keine rechtzeitige Meldung über den Vorfall;109
6.12.4;Entscheidungsträger sind nicht oder nur unzureichend informiert;109
6.12.5;Keine durchgängige Dokumentation der durchgeführten Aktionen;109
6.12.6;Digitale Beweise sind unzureichend vor Veränderung geschützt;109
6.13;4.13 Anti-Forensik;110
7;5 Einführung in die Post-mortem-Analyse;115
7.1;5.1 Was kann alles analysiert werden?;115
7.2;5.2 Analyse des File Slack;117
7.2.1;Abb. 5–1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß.;118
7.2.2;Abb. 5–2 File Slack = RAM Slack + Drive Slack;119
7.3;5.3 Timeline-Analysen;121
7.3.1;Abb. 5–3 Nach dem Kopieren einer Datei unter NTFS ist Last Modification Time älter als Creation Time und Last Access Time (das gezeigte Tool filestat wird in Abschnitt 7.2.8 näher vorgestellt).;125
7.3.2;Abb. 5–4 Seit Windows Vista ist das Schreiben des Last-Access- Zeitstempels in einer Standardinstallation deaktiviert.;126
7.4;5.4 NTFS-Streams;127
7.4.1;Abb. 5–5 Verstecken der Datei getadmin.exe im Alternate Data Stream der Datei logo.gif (MAC-Time ändert sich aber);127
7.5;5.5 NTFS TxF;128
7.6;5.6 NTFS-Volumen-Schattenkopien;130
7.6.1;Abb. 5–6 Der Anwender hat mehrere Möglichkeiten zur Auswahl der Wiederherstellung.;131
7.6.2;Abb. 5–7 In der Registry sind bereits vom VSS ausgeschlossene Dateien zu sehen.;131
7.6.3;Abb. 5–8 Mit dem ShadowExplorer lassen sich alte Systemversionen komfortabel wiederherstellen.;132
7.7;5.7 Windows-Registry;134
7.7.1;Virtualisierung;137
7.7.1.1;Abb. 5–9 Beispiel eines Spezialwerkzeuges, das Registry-Keys auswertet. Hier USBDeview12, das die in der Vergangenheit angeschlossenen USB- Devices übersichtlich darstellt.;137
7.7.1.2;Tab. 5–1 Die Virtualisierung setzt sich auch bei den Verzeichnissen fort.;138
7.8;5.8 Windows UserAssist Keys;138
7.8.1;Abb. 5–10 Das Programm UserAssist zeigt alle Informationen über häufig benutzte Anwendungen an.;139
7.9;5.9 Windows Prefetch-Dateien;139
7.9.1;Abb. 5–11 Die Prefetch-Dateien geben ausführlich Auskunft über nachgeladene Komponenten während eines Startvorgangs – hier mittels WinPrefetchView angezeigt.;141
7.9.2;Tab. 5–2 Der Prefetching- Mechanismus lässt sich über die Registry konfigurieren.;141
7.10;5.10 Auslagerungsdateien;142
7.11;5.11 Versteckte Dateien;143
7.11.1;Abb. 5–12 Aufteilung einer Festplatte in Sektoren;143
7.11.2;Rootkits;144
7.11.2.1;Abb. 5–13 Konfigurationsdatei eines Rootkits. In diesem Beispiel werden alle Prozesse verborgen, die mit dem String »hxdef« beginnen. Ebenso taucht der Service »HackerDefender« nicht auf. Die Registry Keys » HackerDefender073« und »LEGACY_HA...;145
7.11.2.2;Abb. 5–14 Auszug aus der Readme-Datei des Linux Rootkit »LRK5«;146
7.11.2.3;Abb. 5–15 Beschreibung der Konfiguration des trojanisierten Netstat aus dem Linux Rootkit »LRK5«;146
7.12;5.12 Dateien oder Fragmente wiederherstellen;147
7.13;5.13 Unbekannte Binärdateien analysieren;148
7.13.1;Abb. 5–16 Grundlegender Analyseablauf von unbekannten Binärdateien;149
7.13.2;Abb. 5–17 Für die Analyse unbekannter Malware können auch öffentliche Angebote verwendet werden.;151
7.13.3;Abb. 5–18 PEiD analysiert Binärdateien auf bekannte Packer und Compiler.;152
7.13.4;Abb. 5–19 String-Analyse einer verdächtigen Windows-Datei;153
7.13.5;Abb. 5–20 String-Analyse bei einem Windows RAS-Passwort-Spion;154
7.13.6;Abb. 5–21 Analyse der Registry- Zugriffe einer verdächtigen Datei mit dem Process Monitor 18 (nähere Informationen zu diesem Tool in Abschnitt 7.2.8);155
7.13.7;Abb. 5–22 Die String-Analyse zeigt, dass es sich um eine Variante eines WU-FTP-Servers handelt.;156
7.13.8;Abb. 5–23 Quellcode des trojanisierten WU-FTP-Servers;157
7.13.9;Abb. 5–24 Analyse der benötigten Systembibliotheken;157
7.13.10;Abb. 5–25 String-Analyse einer unbekannten Binärdatei;158
7.13.11;Ein Beispiel für eine umfangreiche Analyse;158
7.13.11.1;Abb. 5–26 Nach Setzen der »speziellen« Display-Variable ist Root-Zugang möglich.;160
7.14;5.14 Systemprotokolle;161
7.14.1;Abb. 5–27 Verdächtiger Eintrag in der Logdatei eines WWW-Servers;162
7.14.2;Abb. 5–28 Fehlgeschlagene Netzwerkanmeldung an einem Windows-System;162
7.14.3;Abb. 5–29 Anzeichen dafür, dass jemand den SSH-Port kontaktiert hat, um entweder die Serverversion oder die unterstützten Protokolle zu identifizieren (Bannergrabbing);162
7.15;5.15 Analyse von Netzwerkmitschnitten;163
7.15.1;Abb. 5–30 Analyseablauf bei Netzwerkmitschnitten;163
8;6 Forensik- und Incident-Response- Toolkits im Überblick;165
8.1;6.1 Grundsätzliches zum Tooleinsatz;165
8.2;6.2 Sichere Untersuchungsumgebung;167
8.3;6.3 F.I.R.E.;169
8.3.1;Abb. 6–1 Cygwin-Umgebung unter Windows XP;169
8.3.2;Abb. 6–2 Startbildschirm von F.I.R.E. unter Windows;170
8.3.3;Abb. 6–3 Statisch kompilierte Linux- Systemdateien von F.I.R.E.;171
8.3.4;Abb. 6–4 Statisch kompilierte Solaris-Systemdateien von F.I.R.E.;171
8.3.5;Abb. 6–5 Statisch kompilierte Windows-Systemdateien von F.I.R.E.;171
8.3.6;Abb. 6–6 F.I.R.E. verfügt über eine komplette X-Window- Umgebung.;172
8.4;6.4 Knoppix Security Tools Distribution;173
8.4.1;Abb. 6–7 F.I.R.E. verfügt auch über ein reines Textmenü.;173
8.4.2;Abb. 6–8 Knoppix Security Tools Distribution im Einsatz;173
8.5;6.5 Helix;174
8.5.1;Abb. 6–9 Startoberfläche von Helix unter Windows;174
8.5.2;Abb. 6–10 Ein komfortables Menü erleichtert die Image- Erstellung.;175
8.5.3;Abb. 6–11 Boot-Screen, wenn ein System mit Helix gebootet wird;176
8.5.4;Abb. 6–12 X-Window-Oberfläche von Helix mit Autopsy, Linen und Adepto;176
8.6;6.6 ForensiX-CD;179
8.6.1;Abb. 6–13 Die ForensiX-CD;180
8.7;6.7 C.A.I.N.E. und WinTaylor;181
8.7.1;Abb. 6–14 C.A.I.N.E bietet beim Start nicht nur die Analyse, sondern auch die Installation.;181
8.7.2;Abb. 6–15 Die forensischen Werkzeuge wurden unter einer grafischen Oberfläche zusammengefasst. (Das Autorenteam scheint ein Faible für amerikanische Krimiserien zu haben, wenn man sich die Grafiken so betrachtet.);182
8.7.3;Abb. 6–16 Guymager zeichnet sich durch schnelle Sicherung aus.;183
8.7.4;Abb. 6–17 Die Oberfläche von WinTaylor fasst die wichtigsten Werkzeuge zusammen. Den Rest findet man in einigen Unterverzeichnissen.;183
8.8;6.8 DEFT und DEFT-Extra;184
8.8.1;Abb. 6–18 Die DEFT-Linux-Live-CD basiert ebenfalls auf Ubuntu und wird in Italien entwickelt.;184
8.8.2;Abb. 6–19 Der WINE-Ansatz bietet viele Möglichkeiten der Integration von Windows- Spezialwerkzeugen, die direkt unter Linux gestartet werden können.;184
8.8.3;Abb. 6–20 Das Digital Advanced Response Toolkit fasst sehr viele nützliche Werkzeuge unter einer Oberfläche zusammen.;185
8.8.4;Abb. 6–21 Mächtige Windows- Forensik-Werkzeuge lassen DEFT-Extra schnell zu einem unentbehrlichen Begleiter werden.;185
8.9;6.9 EnCase;186
8.9.1;Abb. 6–22 Hauptansicht von EnCase 6;186
8.9.2;Abb. 6–23 Konfiguration der Suchbegriffe unter EnCase 6;187
8.9.3;Abb. 6–24 Darstellung der Suchergebnisse unter EnCase 6;188
8.9.4;Abb. 6–25 Erfassung von Images mit EnCase 6;189
8.9.5;Abb. 6–26 LinEn unter Linux mit Encase Images erstellen;190
8.10;6.10 dd;190
8.11;6.11 Forensic Acquisition Utilities;195
8.12;6.12 AccessData Forensic Toolkit;196
8.12.1;Abb. 6–27 Analyse der Grafiken, die sich im Browser-Cache eines NTFS-Image befinden, mit dem AccessData FTK;197
8.12.2;Abb. 6–28 Extraktion eines bereits gelöschten, aber komplett wiederherstellbaren Rootkits unter Linux mit dem AccessData FTK;198
8.13;6.13 The Coroner’s Toolkit und TCTUtils;199
8.13.1;Abb. 6–29 FTK Imager ermöglicht neben der Image- Erstellung auch eine Vorschau des Datenträgers.;199
8.13.2;Abb. 6–30 Sichergestellte Images können als Laufswerksbuchstabe gemountet werden.;199
8.14;6.14 The Sleuth Kit;200
8.14.1;Zugriff auf Dateisystem-Ebene;202
8.14.2;Zugriff auf Dateinamen-Ebene;203
8.14.3;Zugriff auf Metadaten-Ebene;204
8.14.4;Zugriff auf Dateiebene;205
8.15;6.15 Autopsy Forensic Browser;206
8.15.1;Abb. 6–31 Startbildschirm von Autopsy Version 2 im Webbrowser;207
8.15.2;Abb. 6–32 Analyseoberfläche von Autopsy 3 (Screenshot von der Entwicklerseite);207
8.15.3;Abb. 6–33 Anzeige des Verzeichnisinhaltes mit Autopsy Version 2 im Webbrowser;208
8.15.4;Abb. 6–34 Prüfsummenvergleich;209
8.15.5;Abb. 6–35 Timeline-Analysen lassen sich mit Autopsy 3 übersichtlich darstellen. (Screenshot von der Entwicklerseite);209
8.15.6;Abb. 6–36 Eigene Notizen können während der Analyse jedem verdächtigen Inode zugeordnet werden.;210
8.15.7;Abb. 6–37 Autopsy-Protokoll der Tätigkeiten des Ermittlers;211
8.16;6.16 Eigene Toolkits für Unix und Windows erstellen;211
8.16.1;6.16.1 F.R.E.D.;212
8.16.1.1;Abb. 6–38 F.R.E.D. in Aktion;212
8.16.2;6.16.2 Incident Response Collection Report (IRCR);212
8.16.2.1;Abb. 6–39 IRCR kann auch für Windows-NT-4.0-Systeme verwendet werden.;213
8.16.2.2;Abb. 6–40 IRCR erstellt aus den Ergebnissen eine HTML- Übersicht.;213
8.16.2.3;Tab. 6–1 Befehle, die durch IRCR ausgeführt werden;213
8.16.3;6.16.3 Windows Forensic Toolchest (WFT);214
8.16.3.1;Abb. 6–41 Der HTML-Report von WFT zeigt alle wesentlichen Informationen auf einen Blick.;215
8.16.4;6.16.4 Live View;215
8.16.4.1;Abb. 6–42 Mit Live View lässt sich aus einem forensischen Image eine VMWare- Konfiguration erstellen.;216
9;7 Forensische Analyse im Detail;217
9.1;7.1 Forensische Analyse unter Unix;217
9.1.1;7.1.1 Die flüchtigen Daten speichern;217
9.1.1.1;Tab. 7–1 Befehle, die zum Erfassen von flüchtigen Daten unter Linux verwendet werden können;218
9.1.1.2;Abb. 7–1 Suche nach geöffneten Ressourcen durch den SSH-Daemon mit lsof;220
9.1.1.3;Abb. 7–2 Grave-robber in Aktion;220
9.1.1.4;Abb. 7–3 Übersicht der vom TCT (grave-robber) sichergestellten Dateien;221
9.1.1.5;Ein Beispiel für das Sichern flüchtiger Daten;221
9.1.2;7.1.2 Forensische Duplikation;223
9.1.2.1;Die verdächtige Platte an ein eigenes Analysesystem anschließen;223
9.1.2.1.1;Abb. 7–4 Boot-Protokoll des Analysesystems (Die SCSI-Platte /dev/sda dient als Speicher der Images, /dev/hdc ist die verdächtige Platte.);223
9.1.2.2;Übertragung der Daten vom verdächtigen System aus;224
9.1.2.2.1;Abb. 7–5 Beispiel 1: Allgemeine Anwendung von Netcat;225
9.1.2.2.2;Abb. 7–6 Beispiel 2: dd mit Netcat;226
9.1.2.2.3;Abb. 7–7 Beispiel 3: dd mit Cryptcat;226
9.1.2.2.4;Abb. 7–8 Adepto starten;227
9.1.2.2.5;Abb. 7–9 Speichermedien analysieren;228
9.1.2.2.6;Abb. 7–10 Adepto konfigurieren;229
9.1.2.2.7;Abb. 7–11 Übertragung über Netcat;230
9.1.3;7.1.3 Manuelle P.m.-Analyse der Images;231
9.1.3.1;Abb. 7–12 Adepto erstellt ein ausführliches Protokoll, das sich in Auszügen direkt in den Ermittlungsbericht übernehmen lässt.;231
9.1.3.2;Timeline-Analyse mit dem Sleuth Kit;231
9.1.3.2.1;Abb. 7–13 Parameter von fls;232
9.1.3.3;Analyse von gelöschten Dateien mit dem Sleuth Kit;236
9.1.3.4;Suche mit Bordmitteln;237
9.1.4;7.1.4 P.m.-Analyse der Images mit Autopsy;238
9.1.4.1;Abb. 7–14 Start von Autopsy;238
9.1.4.2;Abb. 7–15 Case-Gallery von Autopsy Version 2;239
9.1.4.3;Abb. 7–16 Zuordnung eines neuen Image im Hostmanager von Autopsy Version 2;239
9.1.4.4;Abb. 7–17 Ansicht aller einem PC zugeordneten Images im Hostmanager von Autopsy Version 2;240
9.1.4.5;Abb. 7–18 Anzeige des gesamten Dateisystems und Inhalts der Dateien mit Autopsy Version 2;240
9.1.4.6;Abb. 7–19 Ergebnis der Dateityp- Analyse mit Autopsy Version 2;241
9.1.4.7;Abb. 7–20 Suchergebnis nach dem Wort »linsniff« mit Autopsy Version 2;242
9.1.4.8;Abb. 7–21 Anzeige der Metadaten eines Inode (Informationen über eine gelöschte Datei, MAC- Time, Dateityp, Zugriffsrechte, Größe, belegte Blöcke etc.) mit Autopsy Version 2;243
9.1.5;7.1.5 Dateiwiederherstellung mit unrm und lazarus;244
9.1.5.1;Abb. 7–22 Timeline-Analyse mit Autopsy Version 2;244
9.1.5.2;Abb. 7–23 HTML-Darstellung des gesamten unallozierten Bereichs mit unrm und lazarus;244
9.1.6;7.1.6 Weitere hilfreiche Tools;245
9.1.6.1;Abb. 7–24 Wiederherstellung von Daten mit foremost unter Linux . Hier: Rekonstruktion von Bildern, die mit einer Digitalkamera auf einer CF-Karte erstellt und wieder gelöscht wurden.;245
9.1.6.2;Abb. 7–25 Auszug der Ausgabe von chkrootkit;247
9.2;7.2 Forensische Analyse unter Windows;248
9.2.1;7.2.1 Die flüchtigen Daten speichern;249
9.2.2;7.2.2 Analyse des Hauptspeichers;252
9.2.2.1;Abb. 7–26 Poolfinder bei der Analyse eines Windows-Hauptspeicherabbildes;254
9.2.2.2;Abb. 7–27 Das OS-Detection-Skript identifiziert das Betriebssystem des Hauptspeicherabbildes.;255
9.2.2.3;Abb. 7–28 Durch die Verwendung des grafischen Frontends PTfinderFE16 lassen sich die Analyseschritte einfacher durchführen.;255
9.2.2.4;Abb. 7–29 Aus einem Hauptspeicherabbild mit pmodump extrahierte ausführbare Datei Netcat (nc.exe);256
9.2.2.5;Abb. 7–30 Mit pd lassen sich auch unter Windows Prozessspeicherinhalte sichern.;256
9.2.2.6;Abb. 7–31 Ein mit pd erzeugtes Hauptspeicherabbild lässt sich mit dem Memory Parser auswerten.;257
9.2.3;7.2.3 Analyse des Hauptspeichers mit Volatility;258
9.2.3.1;Tab. 7–2 Übersicht über die mitgelieferten Module von Volatility 2.3.1;258
9.2.3.2;Abb. 7–32 Virustotal zeigt die unterschiedlichen »eigenen« Namen der AV-Hersteller, des unter dem Namen ZeuS bekannt gewordenen Banking-Trojaners an. Die mit »malfind« extrahierte Datei wurde dort hochgeladen.;265
9.2.4;7.2.4 Forensische Duplikation;267
9.2.4.1;Images mit den Forensic Acquisition Utilities erstellen;267
9.2.4.1.1;Abb. 7–33 Informationen über das logische Volume Laufwerk D:\;268
9.2.4.2;Images mit dem AccessData FTK Imager erstellen;270
9.2.4.2.1;Abb. 7–34 Erstellen eines Image mit dem FTK Imager;271
9.2.4.2.2;Abb. 7–35 Der freie FTK-Imager ist neben Linux auch für Mac OS verfügbar und bietet dem Ermittler viele Möglichkeiten beim Erstellen von eigenen Skripten.;271
9.2.4.3;Images mit EnCase erstellen;272
9.2.4.3.1;Abb. 7–36 Neben der bekannten DOS-Variante ist seit EnCase 5 ein Linux-Tool zur Image-Erstellung enthalten.;272
9.2.5;7.2.5 Manuelle P.m.-Analyse der Images;272
9.2.6;7.2.6 P.m.-Analyse der Images mit dem AccessData FTK;273
9.2.6.1;Abb. 7–37 Das Sleuth Kit unter Windows (Cygwin);273
9.2.6.2;Abb. 7–38 Einlesen eines vorher erstellten Image oder direkt von einem angeschlossenen Datenträger;274
9.2.6.3;Abb. 7–39 Statusüberblick über gefundene Dateitypen beim AccessData FTK;275
9.2.6.4;Abb. 7–40 Anzeige der gelöschten Installationsdatei eines Linux Rootkits mit dem AccessData FTK;275
9.2.6.5;Abb. 7–41 Bei der Extraktion von Archiven können auch einzelne Dateien selektiert werden, die natürlich auch in die Text- bzw. Binärsuche einfließen können.;276
9.2.6.6;Abb. 7–42 Suche im Image nach Zeichenketten mit dem AccessData FTK;277
9.2.7;7.2.7 P.m.-Analyse der Images mit EnCase;278
9.2.7.1;Abb. 7–43 Analyse des File Slack mit dem AccessData FTK;278
9.2.7.2;Abb. 7–44 Auswahl der Schnittstelle, an der der zu untersuchende Datenträger angeschlossen ist;279
9.2.7.3;Abb. 7–45 Definition von Suchmustern mit EnCase;279
9.2.7.4;Abb. 7–46 Suche nach URLs und E-Mail-Adressen in unallozierten Bereichen eines Dateisystems mit EnCase;280
9.2.7.5;Abb. 7–47 Wiederherstellung von Grafiken aus dem gelöschten Cache eines WWW-Browsers mit EnCase;280
9.2.8;7.2.8 P.m.-Analyse der Images mit X-Ways Forensics;281
9.2.8.1;Abb. 7–48 Analyse von Datenträgern, Images oder laufenden Prozessen;282
9.2.8.2;Abb. 7–49 Übersichtliche Darstellung gelöschter Inodes eines ext2-Dateisystems in einem Kalender;283
9.2.8.3;Abb. 7–50 Für jeden im Case- Management hinzugefügten Datenträger kann man eine Grafik-Suchfunktion aktivieren, die Bilder mit besonders viel »Haut« anzeigt. Dieses Feature wird von Strafverfolgungsbehörden beispielsweise auf der Suche nach p...;284
9.2.8.4;Abb. 7–51 Ergebnis der Analyse eines Dateisystems mit X-Ways Forensics (Es ist gut zu erkennen, dass bei diesem FAT-System nur das Datum, aber nicht die Uhrzeit des letzten Zugriffs – Last Access – eingesehen werden kann; siehe hierzu Abschnitt...;284
9.2.9;7.2.9 Weitere hilfreiche Tools;285
9.2.9.1;Abb. 7–52 Zugriff auf das ext2- Dateisystem unter Windows mit Explore2fs;285
9.2.9.2;Abb. 7–53 Zugriff auf Dateisysteme unterschiedlicher Art mit Captain Nemo;286
9.2.9.3;Abb. 7–54 Anwendungsbeispiele für FileDisk;286
9.2.9.4;Abb. 7–55 Mount Image Pro bietet komfortablen Umgang mit dd- und EnCase-Images;287
9.2.9.5;Abb. 7–56 Der Zugriff auf Linux- Partitionen lässt sich einfach über die Systemsteuerung konfigurieren.;288
9.2.9.6;Abb. 7–57 X-Ways Trace bietet eine gute Übersicht der lokalen Browserspuren.;288
9.2.9.7;Abb. 7–58 Darstellung des Windows-Papierkorbs mit X-Ways Trace;289
9.2.9.8;Abb. 7–59 Der Windows FileAnalyzer vereint viele Analysemöglichkeiten. Er kann nicht nur auf dem lokalen System eingesetzt werden.;290
9.2.9.9;Abb. 7–60 Ansicht der Internet-History mit iehist;290
9.2.9.10;Abb. 7–61 FileStat aus dem Foundstone Forensic ToolKit zeigt alle Informationen einer verdächtigen Datei inkl. Alternate Data Streams.;292
9.2.9.11;Abb. 7–62 Mailbox-Import mit Paraben’s E-Mail Examiner;292
9.2.9.12;Abb. 7–63 Anzeige einiger Systeminformationen mit psinfo;293
9.2.9.13;Abb. 7–64 Anzeige der über das Netz geöffneten Dateien mit psfile;294
9.2.9.14;Abb. 7–65 Anzeige der lokal und über das Netz angemeldeten User mit psloggedon;294
9.2.9.15;Abb. 7–66 Anzeige weiterer Informationen über aktive und inaktive Dienste mit psservice;294
9.2.9.16;Abb. 7–67 Anzeige der durch einen Prozess verwendeten DLLs mit listdlls;295
9.2.9.17;Abb. 7–68 Export der Eventlogs mit psloglist;295
9.2.9.18;Abb. 7–69 Anzeige der von einem Prozess verwendeten Ressourcen mit handle;296
9.2.9.19;Abb. 7–70 FPort zeigt an, welche Datei den Port geöffnet hält.;296
9.2.9.20;Abb. 7–71 Direktes Suchen in Festplattensektoren mit SectorSpy;297
9.2.9.21;Abb. 7–72 Zeichensuche in den Clustern einer Festplatte mit dem Disk Investigator;297
9.2.9.22;Abb. 7–73 Ansicht von gelöschten Dateien mit dem Disk Investigator;298
9.2.9.23;Abb. 7–74 Suche nach Zeichenketten in Dateisystemen mit Evidor;298
9.2.9.24;Abb. 7–75 HTML-Ausgabe der Suchergebnisse von Evidor;299
9.3;7.3 Forensische Analyse von mobilen Geräten;300
9.3.1;Abb. 7–76 Analyse von Datenspuren in Office-Dokumenten mit dem Metadata Assistant;300
9.3.2;7.3.1 Was ist von Interesse bei mobilen Geräten?;301
9.3.3;7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse?;303
9.3.4;7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten;303
9.3.4.1;Abb. 7–77 Schematischer Ablauf der forensischen Analyse eines mobilen Gerätes;304
9.3.5;7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick;305
9.3.5.1;Abb. 7–78 Suche im Speicherbereich eines Palm PDA mit PDA Seizure;305
9.3.5.2;Abb. 7–79 Nach dem Auslesen des PDA können die Daten mit PDA Seizure analysiert werden.;306
9.3.5.3;Abb. 7–80 Palm-OS-Passwort mit palmdecrypt entschlüsselt;307
9.3.5.4;Abb. 7–81 Dekodieren des Palm- Passworts mit PDA Seizure;307
9.3.5.5;Abb. 7–82 JL_Cmder;309
9.3.5.6;Abb. 7–83 Paraben’s Cell Seizure ermöglicht das Auslesen einiger Handy-Modelle.;310
9.3.5.7;Abb. 7–84 SIM Card;311
9.3.5.8;Abb. 7–85 Oxygen Forensic;312
9.3.5.9;Abb. 7–86 .XRY ermöglicht das umfangreiche Auslesen von Mobilendgeräten sowie SIM-Karten.;313
9.3.5.10;Abb. 7–87 Mit dem iPhone Analyzer lassen sich die Backup- Dateien von iTunes bequem einlesen und auswerten.;314
9.3.5.11;Abb. 7–88 In einer intuitiv zu bedienenden Oberfläche lassen sich alle wesentlichen Informationen des iPhones auslesen. Alle sqlite-Datenbanken sind durchsuchbar.;315
9.3.5.12;Abb. 7–89 Alle auf dem iPhone gespeicherten Multimediaobjekte lassen sich analysieren. Bei Fotos kann man auch die GPS- Informationen aus den EXIF-Daten auslesen, wenn die entsprechende Funktion nicht deaktiviert wurde.;315
9.4;7.4 Forensische Analyse von Routern;316
9.4.1;Abb. 7–90 Speichert eine Anwendung GPS-Daten, so lassen sich diese bequem auswerten.;316
9.4.2;Tab. 7–3 Befehle, um flüchtige Daten eines Router auszulesen;317
10;8 Empfehlungen für den Schadensfall;319
10.1;8.1 Logbuch;319
10.1.1;Tab. 8–1 Beispiel eines Logbuchs;319
10.2;8.2 Den Einbruch erkennen;321
10.2.1;Review der IDS-Logs;321
10.3;8.3 Tätigkeiten nach festgestelltem Einbruch;322
10.3.1;Identifizieren Sie, wo die Angreifer überall waren;324
10.4;8.4 Nächste Schritte;326
11;9 Backtracing;327
11.1;9.1 IP-Adressen überprüfen;327
11.1.1;9.1.1 Ursprüngliche Quelle;327
11.1.2;9.1.2 IP-Adressen, die nicht weiterhelfen;328
11.1.3;9.1.3 Private Adressen;328
11.1.4;9.1.4 Weitere IANA-Adressen;329
11.1.5;9.1.5 Augenscheinlich falsche Adressen;330
11.2;9.2 Spoof Detection;330
11.2.1;9.2.1 Traceroute Hopcount;330
11.2.1.1;Default-Werte der Initial TTL;331
11.2.1.1.1;Abb. 9–1 Einige Default Initial TTL verschiedener Betriebssysteme;332
11.2.1.2;Probleme mit Traceroute Hopcounting;332
11.3;9.3 Routen validieren;333
11.3.1;Abb. 9–2 RFC1918-Netze innerhalb einer Route;333
11.3.2;Abb. 9–3 Beispielhafte Abfrage der Routen auf einem dafür öffentlich zugänglichen Core- Router von AT&T;334
11.3.3;Abb. 9–4 Traceroute über das WWW-Interface von SamSpade.org;335
11.3.4;Ein Spoof-Beispiel;335
11.3.4.1;Abb. 9–5 Abfrage der Route zur verdächtigen IP-Adresse auf einem Core-Router (Ergebnis: keine Route vorhanden);335
11.3.4.2;Abb. 9–6 Abfrage der Route zur verdächtigen IP-Adresse über ein WWW-Interface (Ergebnis: keine Route vorhanden – »Network not in table«);336
11.3.4.3;Abb. 9–7 Whois-Query nach der verdächtigen IP-Adresse;336
11.4;9.4 Nslookup;337
11.5;9.5 Whois;338
11.5.1;Abb. 9–8 Whois-Proxy-Abfrage auf www.geektools.com;339
11.6;9.6 E-Mail-Header;340
11.6.1;Abb. 9–9 Mail-Header-Beispiel;340
12;10 Einbeziehung der Behörden;343
12.1;10.1 Organisatorische Vorarbeit;343
12.2;10.2 Strafrechtliches Vorgehen;345
12.2.1;10.2.1 Inanspruchnahme des Verursachers;345
12.2.2;10.2.2 Möglichkeiten der Anzeigeerstattung;345
12.2.2.1;Das Tatortprinzip;347
12.2.3;10.2.3 Einflussmöglichkeiten auf das Strafverfahren;348
12.3;10.3 Zivilrechtliches Vorgehen;349
12.4;10.4 Darstellung in der Öffentlichkeit;350
12.5;10.5 Die Beweissituation bei der privaten Ermittlung;351
12.5.1;Beweissituation im Sachbeweis;352
12.5.2;Beweissituation im Personalbeweis;352
12.6;10.6 Fazit;355
13;Anhang;357
14;A Tool-Überblick;359
14.1;Forensik-CD aus iX 07/2007 bzw. Forensik-DVD aus iX special 10/2008;365
15;B C.A.I.N.E.-Tools;367
16;C DEFT-Tools;375
17;Literaturempfehlungen;381
18;Index;383
19;www.dpunkt.de;0
