Linux in derComputer-Forensik

Alexander Geschonneck, CFEHiSolutions AG

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 2

Folien und Tools

Kontaktalexander AT geschonneck DOTcomgeschonneck AT computer-forensik DOT org

Folien und das vorgestellte Toolset finden sich unter

http://computer-forensik.org

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 3

Agenda

Was ist Computer-Forensik?Was ist wichtiger als Tools und

Betriebssystem?Anforderungen an Werkzeuge und

VorgehenLinux-Systeme analysierenmit Linux-Systemen analysierenLive Response mit ForensiX

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 4

Was ist Computer Forensik?

Computer-Forensik1 (oder auch Digitale Forensik, IT-Forensik, IuK Forensik):Nachweis und die Ermittlung von Straftaten im Bereich der ComputerkriminalitätNachweis und Aufklärung von anderen rechtswidrigen und sonst wiesozialschädlichen Verhaltensweisen die unter Einbeziehung von IT vorgenommenwurden durch Analyse von digitalen Spuren

Ziel der ErmittlungErkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführthaben könnte,Ermittlung des entstanden Schadens nach einem Systemeinbruch,Identifikation des Angreifers,Sicherung der Beweise für weitere juristische Aktionen.

1 forensisch [lat. sinngemäß]: gerichtlich oder auch kriminaltechnisch; andere Beispiele: forensische Medizin; forensischePsychologie

Kriminalistische Fragestellungen:

Wer, Was, Wo, Wann, Womit, Wie und Weshalb (evtl.)

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 5

„Eisberg“ der Daten

Daten, die von normalen Tools gefunden werden

Zusätzliche Daten, die nur durchSpezialwerkzeuge gefunden werden können

(gelöscht, umbenannt, versteckt, unvollständig,schwer aufzufinden)

©Darren Harlow, Computer Forensics 101

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 6

Welche Daten können gesammelt werden?

Unabhängig von der konkreten Fragestellung und dem zu untersuchenden System (Server,Workstation, PDA, Router, Notebook etc.) lassen sich grundsätzlich einige empfindlicheDatentypen, die für die Ermittlung von Interesse sind, finden:

Flüchtige DatenInformationen, die beim geordneten Shutdown oder Ausschalten verlorengehen (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen,laufende Prozesse und deren Speicherbelegung, angemeldete User etc.)

Fragile DatenInformationen, die zwar auf der Festplatte gespeichert sind, aber derenZustand sich beim Zugriff ändern kann

Temporär zugängliche DatenInformationen, die sich auf der Festplatte befinden, aber nur zu bestimmtenZeitpunkten zugänglich sind, z.B. während der Laufzeit einer Anwendung.

Die Kenntnis um die Halbwertzeit dieser Daten ist sehr wichtig, da damit die Reihenfolge derDatensammlung bestimmt wird.

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 7

Grundsätzlich gilt: SAP-Modell

Secure (Erfassung der Daten)„Tatort“ und Untersuchungsbereich absichernBeweisspuren sorgfältig sichernIntegrität der Daten bewahren bzw. nachweisen: Hashes, Vieraugenprinzip,ProtokollierungRechtmäßigkeit beachten

Analyze (Auswertung der Daten)Spuren sorgfältig auswertenErgebnisse objektiv bewertenSchlüsse kritisch hinterfragen

Present (Präsentieren der Ergebnisse)Detaillierungsgrad und Methoden sind abhängig von der FragestellungErkenntnisse schlüssig und nachvollziehbar dokumentierenErkenntnisse überzeugend zielgruppenorientiert präsentieren

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 8

Anforderung an den Ermittlungsprozess(lässt sich auch auf Werkzeuge übertragen)Akzeptanz

Schritte und Methoden müssen allgemein akzeptiert sein

GlaubwürdigkeitFunktionalität und Robustheit der Methoden kann nachgewiesen werden (keinKaninchen aus dem Hut zaubern)

WiederholbarkeitDer gesamte Ermittlungsprozess kann von Dritten wiederholt werden (und zu dengleichen Ergebnissen führen)

IntegritätDie Spuren dürfen nicht verändert werden.Es muss demonstriert werden können, dass die Spuren nicht verändert wurden bzw.welche Spuren genau verändert wurden.

Ursache und Auswirkungenlogisch nachvollziehbare Verbindungen zwischen Personen, Ereignisse undBeweisspuren können dargelegt werden

DokumentationJeder Schritt des gesamten Prozess ist angemessen dokumentiert

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 9

Anforderungen an Tools

Arbeiten die Forensiktools wie sie es sollen?Welche Technologie liegt dem Tool zu Grunde?Tools sollten von anerkannten Spezialisten

Getestet seinEinem Peer Review unterzogen worden sein undGrundsätzlich in der Community akzeptiert sein

Die Ergebnisse der Werkzeuge müssen vor Gericht akzeptiert werdenWo kommt das Tool her? Habe ich die eingesetzte Version archiviert?Wurde das Tool modifiziert? Würde ich eine Veränderung erkennen?Hat sich das Tool bereits in anderen Ermittlungen bewährt oder bin ichAlpha-Tester?

Dokumentation und Support sind ebenfalls ausschlaggebend

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 10

Linux in der Ermittlung

Vorteile Open Source ForensikQualität der Tools ist kommerzieller Konkurrenz oft ebenbürtigFehler werden schneller entdecktKomplexe Probleme durch Kommandozeilen-Tools lösbarEinfache ErweiterbarkeitDurch leichteren Zugang häufigerer Einsatz außerhalb von LE

Vorteile Forensik mit LinuxDer Ermittler kontrolliert das Betriebssystems und die AnwendungenAlle Tätigkeiten sind mit Bordmitteln protokollierbarViele Dateisystemtreiber sind vom Grundsatz enthaltenFreies Loopback Device!Sniffer eingebaut, Unterstützung für viele Protokolle

2.4 oder 2.6?In der Secure-Phase ist 2.4 ok (Vorsicht mit ungeraden Sektoren!)

Welche Distro ist am besten geeignet?;-)

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 11

Werkzeugkiste der Ermittler

Tools zum Erstellen und Prüfen von Prüfsummen (mehrere Verfahren)Tools zur Sicherung von flüchtigen Daten in der Live ResponseSchlüsselwortsuchtools (auch fremde Zeichensätze) in logischen und physischen

Strukturen von DatenträgerimagesTools zur Dateianalyse und –wiederherstellung anhand von DateisignaturenTools zum kompletten oder gefilterten Wiederherstellen von gelöschten DatenTools zum Betrachten unterschiedlicher DateiformateTools zum Erstellen Timeline durch Auswertung der MAC-TimesTool zum Erstellen und Zusammenfassen aller Berichte mit bedarfsweisen

DetailinformationenTool zum Löschen der verwendeten eigenen Speichermedien vor Aufnahme von

BeweisspurenVerschlüsselungswerkzeuge zur Sicherung der ErmittlungsergebnisseHardware Writeblocker mit Adaptern für unterschiedliche Speichermedien

Die verwendeten Werkzeuge müssen beherrscht werden – vorher üben!Die verwendeten Werkzeuge müssen beherrscht werden – vorher üben!

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 12

Unterschiedliche Analyseansätze

Live Response (Untersuchung am Live System)= Notaufnahme

Post Mortem Analyse (Untersuchung einer Forensischen Kopie)= Pathologie bzw. Gerichtsmedizin

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 13

Was ist bei Datenträgeranalysen möglich?

Was ist möglich?Wiederherstellung von gelöschten DatenErkennen, zu welchem Zeitpunkt Dateien erzeugt, verändert,aufgerufen/angesehen oder gelöscht wurdenErkennen welche externen Speichergeräte angeschlossen warenWelche Anwendungen sind/waren installiertWelche Webseiten wurden besuchtMailverkehr…

Was ist nicht möglich?Ist der Datenträger physisch zerstört, ist eine Wiederherstellung der Datennicht möglichIst der Datenträger „sicher“ überschrieben worden, ist eineWiederherstellung der Daten nicht möglichIst der Datenträger mit „0“ überschrieben, ist eine Wiederherstellung derDaten nur sehr schwer möglich, wenn überhaupt

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 14

Was ist bei der Live Response möglich?

Was ist möglich?Welche Programme sind im Speicher aktiv? Sockets?Wie wurden diese Programme gestartet? Aus welchem Pfad? In welcherReihenfolge? Durch welchen User?Welche Informationen werden durch das Programm im RAM verarbeitet?Welche User sind angemeldet?Wie ist der Status der Netzverbindungen?

Was ist nicht möglich?Ist das System mehrfach gebootet worden, sind die relevantenInformationen weg.Liegt der Vorfall länger zurück und ist das System gut ausgelastet, sind dierelevanten Informationen weg.

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 15

Immer noch wichtig: MAC-Time Analyse

Modification-, Access- and Change-Time unter LinuxModification-Time (mtime) ist der Zeitpunkt, zu dem eine Datei das letzteMal geschrieben wurde,Access-Time (atime) ist der Zeitpunkt, zu dem eine Datei das letzte Malgelesen oder ausgeführt wurde,Change-Time (ctime) ist der Zeitpunkt, zu dem bestimmte Meta-Daten derDatei verändert wurden (Ändern der Zugriffsrechte oder des Eigentümers).

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 16

Maßnahmen nach erkanntem Sicherheitsvorfall

Sämtliche Programme auf dem kompromittierten System sind nichtvertrauenswürdig!

Ausgaben von installierten Werkzeugen können manipuliert seintrojanisierte Versionen der Werkzeuge und Root-Kits können installiert seinWeiterer Schaden kann durch Verwendung der Tools entstehenRoutinen zum Löschen von Spuren können ausgelöst werdenAuslöser könnte auch Trennung vom Netzwerk sein (logische Bomben)System isolieren, aber im Netzwerk belassenAusschließlich Verwendung von eigenen statisch kompilierten Werkzeugenohne Schreibzugriff

Niemals ungewollt auf den Datenträger schreiben!Keine Werkzeuge verwenden, die Zeitstempel verändern (tar, cp etc.)aufpassen bei lsof!

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 17

Beispiel

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 18

Beispiel

Dateiname lautet „(swapd)“

Dateiname lautet „smbd –D“

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 19

Beispiel

RootKit-Konfigdateien in /dev/

RootKit in /lib/.x

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 20

Beispiel

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 21

Forensische Duplikation mit Linux

Das Unix-Kommando dd ist in den allermeisten Fällen das Werkzeug der Wahl, umDiskimages anzulegen.

Stark abhängig vom Betriebssystem und der Abstraktion von Devices als FilesKann ganze Devices, Partitionen oder Teile davon kopierenWeitere auf dd basierende Dupliziertools

dd_rescuesdd - http://ftp.berlios.de/pub/schily/sdd/READMEdcfldd - http://dcfldd.sourceforge.net/ (DoD Computer Forensics Laboratory )DCCIdd (Nur auf Anfrage beim DoD Cyber Crime Center)Dc3dd (Patch für dd, http://dc3dd.sourceforge.net/)

Diverse grafische ToolsGRABAdeptoLinEnSMARTGYMAGER

Linux Live CDs

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 23

FCCU

www.lnx4n6.be

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 24

FCCU

www.lnx4n6.be

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 25

THE FARMER'S BOOT CD

www.forensicbootcd.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 26

THE FARMER'S BOOT CD

www.forensicbootcd.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 27

THE FARMER'S BOOT CD

www.forensicbootcd.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 28

Helix

www.e-fense.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 29

Helix

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 30

Grab

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 31

Adepto

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 32

EnCase für Linux

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 33

Helix

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 34

Automatisierung durch IR-Toolkits

Live Response Skript „linux_ir.sh“ auf Helix CDUnvollständigStatische Tools stellenweise nicht auf aktuellen Distributionen / KernelslauffähigTeilweise fehlerhaft

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 35

ForesiX-CD

HiSolutions hat eigenes Toolkit zusammengestellt (in iX 07/07 veröffentlicht)Diverse Forensik-ToolsStatisch kompilierte Werkzeuge für 2.4er und 2.6er KernelVertrauenswürdige ShellSicherung über Netzwerk und auf externe DatenträgerBenötigte Dateien: /dev/null und /procGelesene Dateien (MAC-Timestamps!)

/dev/mem/etc/passwd/var/run/utmp/var/log/wtmp

Mitte 2008 wird eine komplett aktualisierte Version veröffentlicht:

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 36

Live Response mit der ForensiX-CD

Ermittlersystem

Verdächtiges System

NEU

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 37

NEULive Response mit der ForensiX-CD

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 38

NEULive Response mit der ForensiX-CD

VideoErgebnis

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 39

NEULive Response mit der ForensiX-CD

Weitere Werkzeuge

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 41

EXT IFS

www.fs-driver.org

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 42

Mount Image Pro

www.getdata.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 43

Live View

http://liveview.sourceforge.net/

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 44

The Sleuthkit

The Sleuthkit (TSK)Brian Carrier Anfang 2001Sammlung von mehr als 20 Werkzeugen für die Analyse von Datenträgernund DateisystemenWerkzeuge werden in Gruppen zusammengefasst

DatenträgerVolumeDateisystem

- Struktur und Größen Informationen des Dateisystems- Dateinamen- Metadaten- Daten

Suchwerkzeuge

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 45

Autopsy

AutopsyGraphische Oberfläche für TSK

HTML basiertPost-Mortem-Analyse möglichPerl-ProgrammAnalyse per BrowserProtokollierung aller AnalyseschritteZugriffsschutz mittels Cookie und Beschränkung auf konfigurierbarenPortBestandteil vieler forensischer Live-CD´s

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 46

Autopsy

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 47

Autopsy

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 48

Autopsy

Case ManagementVerschiedene Fälle werden separat verwaltetPro Fall beliebige Host-SystemeJedem Host werden Images zugeordnetPro Host mehrere 'Investigators' möglichIndividuelle Einstellungen für Zeitzonen und HashdatenbankenEigene Kommentare pro InvestigatorAnalyse-Ergebnisse werden in ASCII-Dateien gespeichertDamit einfache Archivierung kompletter Fälle

Nachfolger PTKAb Final geplant ab 09 / 08Ajax basiertzentrale DatenbankIndexhttp://ptk.dflabs.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 49

PTK

ptk.dflabs.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 50

PTK

ptk.dflabs.com

We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 51

Vielen Dank für dieAufmerksamkeit!

Fragen ?Alexander Geschonneck

http://computer-forensik.orgalexander @ geschonneck . com