IT-Sicherheit - SS 2016 Forensik
Stefan Edelkamp
Motivation
● Traditionelle Informationsträger wie Bücher, Fotos, Briefe und Schallplatten wurden durch E-Books, digitale Fotografie, E- Mails und MP3s ersetzt.
→ wachsende Speicherkapazität von heutigen
Datenträgern, die von ein paar Megabyte auf mehrere Terabyte anwuchsen.
● Zur Sicherung, Selektion, Analyse und Auswertung dieser enormen Datenmenge bedarf es geschulten Personals - eines IT-Forensikers (vom lat. Wort ‘forum’ = Marktplatz).
● Bei der IT-Forensik geht es darum, strafbare bzw.
Ziele
• die Identifikation der Methode oder der
Schwachstelle, die zum Systemeinbruch geführt haben könnte,
• die Ermittlung des entstandenen Schadens,
• die Identifizierung der Täter/Angreifer und
• die Sicherung der Spuren für weitere juristische Aktionen.
Definitionen
● ’Forensic science is the application of science to criminal and civil laws.’
● ’Forensic science is the scientific method of
gathering and examining information about the past.’
● Forensische Medizin / Rechtsmedizin
● Forensische Toxikologie
Chain of Custody
● Dokumentation eine der wichtigsten Tätigkeiten eines Forensikers, um gegenüber Dritten jeden Schritt von der Datenakquise bis zum
Analyseergebnis nachzuweisen.
● Dies wird durch den Begriff Chain of Custody beschrieben: es muss lückenlos dokumentiert sein, wer wann was mit einem Beweismittel gemacht hat.
Spur – Indiz – Beweis
● Spur: Gegenstände oder Tätigkeiten, die eine Theorie untersützen oder widerlegen können, eine Fährte (analog zur Tierwelt)
● Indiz: Hinweis, der mit anderen Indizien zusammen auf das Vorliegen eines
Sachverhalts schließen lässt.
● Beweis: Feststellung eines Sachverhalts als Tatsache (z.B. in Gerichtsverfahren)
Locard’sches Austauschprinzip
● Es kommt immer zum Austausch von Täter und Tatort
Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or
semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment.
It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot
perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value.
Sieben “W”-Fragen
• Wer?
• Was?
• Wo?
• Wann?
• Womit?
• Wie?
• Weshalb?
Anforderungen an Ermittlungsprozess
● Akzeptanz
● Glaubwürdigkeit
● Wiederholbarkeit
● Ursache und Auswirkung
● Dokumentation
● Lückenlosigkeit
● Integrität
● Authentizität
SAP-Modell
● S = Sichern (relevanter Spuren)
● A = Analysieren (evtl. inkl. Korrelierung)
● P = Präsentieren (Aufarbeitung für Zielgruppe)
BSI-Modell (1)
1. Strategische Vorbereitung: Diese Phase liegt vor Eintritt eines Zwischenfalls – statt Zwischenfall spricht der BSI-
Leitfaden von Symptom.
● Zentrales Ziel dieser Phase ist die Bereitstellung von Datenquellen (z.B. Logfiles bei Webdiensten,
Verbindungsdaten von Routern) sowie das Einrichten einer forensischen Workstation samt Bereitstellung von IT-
forensischen Tools (EnCase, FTK, Hardware-Writeblocker).
● Des weiteren werden konkrete Handlungsanweisungen für bestimmte Schadensfälle festgelegt.
● Alle Schritte der strategischen Vorbereitung (wie auch alle Schritte in den folgenden Phasen) werden dokumentiert und möglichst in Standardterminologie (z.B. nach CERT)
beschrieben.
BSI-Modell (2)
2. Operationale Vorbereitung: Diese liegt nach Eintritt eines Zwischenfalls/Symptoms.
● Im Rahmen der operationalen Vorbereitung findet eine Bestandsaufnahme und Sichtung des Tatorts statt.
● Der Rahmen der IT-forensischen Untersuchung sowie das exakte Ziel werden festgelegt.
● Hierzu sollte der Fall so konkret wie möglich beschrieben und ebenso Fragen der Privatsphäreangesprochen
werden (z.B. welche Datenquellen sind tabu für Ermittler).
BSI-Modell (3)
3. Datensammlung (Datenakquise oder Datensicherung) In dieser Phase sichert der IT-Forensiker die im Rahmen der operationalen
Vorbereitung festgelegten Daten.
Bei der Sicherung der Daten am Live-System wird folgende Reihenfolge vorgeschlagen, die sich an der Order of Volatility (d.h. der Flüchtigkeit der Daten) orientiert:
• Erfassung von aktueller Systemzeit und Systemdatum und Vergleich mit der korrekten Zeit, um später den tatsächlichen Zeitpunkt eines Vorgangs zu bestimmen.
• Erfassung der momentan auf dem System laufenden Prozesse (Systemzustand).
• Erfassung der am System geöffneten Netzwerkverbindungen (Sockets).
• Erfassung der am System angemeldeten Nutzer.
• Eigentliche forensische Duplikation, dabei auf Authentizität und Integrität der Datenträger achten (typischerweise mittels Hashverfahren).
BSI-Modell (4)
● Datenuntersuchung: (Vorverarbeitung der gesicherten Daten statt, um diese im anschließenden Schritt zu analysieren)
● Der initiale Schritt befasst sich meist mit der Datenreduktion.
Irrelevante Dateien und Informationen werden verworfen.
● Hierfür wird üblicherweise eine Whitelist mit Hashwerten des US- amerikanischen National Institute of Standards and Technology (NIST) verwendet, nämlich das Reference Data Set (RDS) der National Software Reference Library (NSRL) .
● Die RDS indexiert Hashwerte (SHA-1, MD5) von irrelevanten Dateien (z.B. Dateien des Betriebssystems oder von
Standardanwendungen wie Firefox, Thunderbird).
BSI-Modell (5)
5. Datenanalyse. Diese Phase beschreibt die eigentliche Analyse der vorverarbeiteten Daten, insbesondere deren Korrelation aus
unterschiedlichen Datenquellen (z.B. mehrere Logfiles oder Urheber von Bildern).
Dabei soll die Frage beantwortet werden, ob die gefundenen Erkenntnisse
● zusammenpassen und einen runden Gesamtüberblick des Systems ergeben.
● Auch die Zuordnung von digitalen Spuren zu natürlichen Personen ist Teil der Datenanalyse.
● Möglicher Rückschritt zur Phase 1-4.
BSI-Modell (6)
6. Dokumentation. Dokumentation ist ein elementarer Bestandteil einer IT-forensischen Untersuchung.
● Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe der verschiedenen Ermittlungsphasen
● Ergebnisprotokoll: Der Ermittler fasst am Ende
zielgruppenspezifisch die wesentlichen Befunde in Form eines zusammen.
● Eine IT-Belegschaft verlangt ein sehr technisches Ergebnisprotokoll
Unix-Befehle & Sleuthkit
● Außerhalb des Sleuthkits: dd, fdisk, fsstat, df, du … dd ~ low level copy
fdisk ~ display partition table
fsstat ~ general details of file system df, dk ~ memory usage
● Innerhalb des Sleuthkit: mmls, Istat, icat, … mmls ~ advanced partition table
istat ~ information about hidden files icat ~ recover hidden files