Upload
lykien
View
213
Download
0
Embed Size (px)
Citation preview
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 2
Folien und Tools
Kontaktalexander AT geschonneck DOTcomgeschonneck AT computer-forensik DOT org
Folien und das vorgestellte Toolset finden sich unter
http://computer-forensik.org
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 3
Agenda
Was ist Computer-Forensik?Was ist wichtiger als Tools und
Betriebssystem?Anforderungen an Werkzeuge und
VorgehenLinux-Systeme analysierenmit Linux-Systemen analysierenLive Response mit ForensiX
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 4
Was ist Computer Forensik?
Computer-Forensik1 (oder auch Digitale Forensik, IT-Forensik, IuK Forensik):Nachweis und die Ermittlung von Straftaten im Bereich der ComputerkriminalitätNachweis und Aufklärung von anderen rechtswidrigen und sonst wiesozialschädlichen Verhaltensweisen die unter Einbeziehung von IT vorgenommenwurden durch Analyse von digitalen Spuren
Ziel der ErmittlungErkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführthaben könnte,Ermittlung des entstanden Schadens nach einem Systemeinbruch,Identifikation des Angreifers,Sicherung der Beweise für weitere juristische Aktionen.
1 forensisch [lat. sinngemäß]: gerichtlich oder auch kriminaltechnisch; andere Beispiele: forensische Medizin; forensischePsychologie
Kriminalistische Fragestellungen:
Wer, Was, Wo, Wann, Womit, Wie und Weshalb (evtl.)
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 5
„Eisberg“ der Daten
Daten, die von normalen Tools gefunden werden
Zusätzliche Daten, die nur durchSpezialwerkzeuge gefunden werden können
(gelöscht, umbenannt, versteckt, unvollständig,schwer aufzufinden)
©Darren Harlow, Computer Forensics 101
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 6
Welche Daten können gesammelt werden?
Unabhängig von der konkreten Fragestellung und dem zu untersuchenden System (Server,Workstation, PDA, Router, Notebook etc.) lassen sich grundsätzlich einige empfindlicheDatentypen, die für die Ermittlung von Interesse sind, finden:
Flüchtige DatenInformationen, die beim geordneten Shutdown oder Ausschalten verlorengehen (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen,laufende Prozesse und deren Speicherbelegung, angemeldete User etc.)
Fragile DatenInformationen, die zwar auf der Festplatte gespeichert sind, aber derenZustand sich beim Zugriff ändern kann
Temporär zugängliche DatenInformationen, die sich auf der Festplatte befinden, aber nur zu bestimmtenZeitpunkten zugänglich sind, z.B. während der Laufzeit einer Anwendung.
Die Kenntnis um die Halbwertzeit dieser Daten ist sehr wichtig, da damit die Reihenfolge derDatensammlung bestimmt wird.
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 7
Grundsätzlich gilt: SAP-Modell
Secure (Erfassung der Daten)„Tatort“ und Untersuchungsbereich absichernBeweisspuren sorgfältig sichernIntegrität der Daten bewahren bzw. nachweisen: Hashes, Vieraugenprinzip,ProtokollierungRechtmäßigkeit beachten
Analyze (Auswertung der Daten)Spuren sorgfältig auswertenErgebnisse objektiv bewertenSchlüsse kritisch hinterfragen
Present (Präsentieren der Ergebnisse)Detaillierungsgrad und Methoden sind abhängig von der FragestellungErkenntnisse schlüssig und nachvollziehbar dokumentierenErkenntnisse überzeugend zielgruppenorientiert präsentieren
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 8
Anforderung an den Ermittlungsprozess(lässt sich auch auf Werkzeuge übertragen)Akzeptanz
Schritte und Methoden müssen allgemein akzeptiert sein
GlaubwürdigkeitFunktionalität und Robustheit der Methoden kann nachgewiesen werden (keinKaninchen aus dem Hut zaubern)
WiederholbarkeitDer gesamte Ermittlungsprozess kann von Dritten wiederholt werden (und zu dengleichen Ergebnissen führen)
IntegritätDie Spuren dürfen nicht verändert werden.Es muss demonstriert werden können, dass die Spuren nicht verändert wurden bzw.welche Spuren genau verändert wurden.
Ursache und Auswirkungenlogisch nachvollziehbare Verbindungen zwischen Personen, Ereignisse undBeweisspuren können dargelegt werden
DokumentationJeder Schritt des gesamten Prozess ist angemessen dokumentiert
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 9
Anforderungen an Tools
Arbeiten die Forensiktools wie sie es sollen?Welche Technologie liegt dem Tool zu Grunde?Tools sollten von anerkannten Spezialisten
Getestet seinEinem Peer Review unterzogen worden sein undGrundsätzlich in der Community akzeptiert sein
Die Ergebnisse der Werkzeuge müssen vor Gericht akzeptiert werdenWo kommt das Tool her? Habe ich die eingesetzte Version archiviert?Wurde das Tool modifiziert? Würde ich eine Veränderung erkennen?Hat sich das Tool bereits in anderen Ermittlungen bewährt oder bin ichAlpha-Tester?
Dokumentation und Support sind ebenfalls ausschlaggebend
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 10
Linux in der Ermittlung
Vorteile Open Source ForensikQualität der Tools ist kommerzieller Konkurrenz oft ebenbürtigFehler werden schneller entdecktKomplexe Probleme durch Kommandozeilen-Tools lösbarEinfache ErweiterbarkeitDurch leichteren Zugang häufigerer Einsatz außerhalb von LE
Vorteile Forensik mit LinuxDer Ermittler kontrolliert das Betriebssystems und die AnwendungenAlle Tätigkeiten sind mit Bordmitteln protokollierbarViele Dateisystemtreiber sind vom Grundsatz enthaltenFreies Loopback Device!Sniffer eingebaut, Unterstützung für viele Protokolle
2.4 oder 2.6?In der Secure-Phase ist 2.4 ok (Vorsicht mit ungeraden Sektoren!)
Welche Distro ist am besten geeignet?;-)
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 11
Werkzeugkiste der Ermittler
Tools zum Erstellen und Prüfen von Prüfsummen (mehrere Verfahren)Tools zur Sicherung von flüchtigen Daten in der Live ResponseSchlüsselwortsuchtools (auch fremde Zeichensätze) in logischen und physischen
Strukturen von DatenträgerimagesTools zur Dateianalyse und –wiederherstellung anhand von DateisignaturenTools zum kompletten oder gefilterten Wiederherstellen von gelöschten DatenTools zum Betrachten unterschiedlicher DateiformateTools zum Erstellen Timeline durch Auswertung der MAC-TimesTool zum Erstellen und Zusammenfassen aller Berichte mit bedarfsweisen
DetailinformationenTool zum Löschen der verwendeten eigenen Speichermedien vor Aufnahme von
BeweisspurenVerschlüsselungswerkzeuge zur Sicherung der ErmittlungsergebnisseHardware Writeblocker mit Adaptern für unterschiedliche Speichermedien
Die verwendeten Werkzeuge müssen beherrscht werden – vorher üben!Die verwendeten Werkzeuge müssen beherrscht werden – vorher üben!
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 12
Unterschiedliche Analyseansätze
Live Response (Untersuchung am Live System)= Notaufnahme
Post Mortem Analyse (Untersuchung einer Forensischen Kopie)= Pathologie bzw. Gerichtsmedizin
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 13
Was ist bei Datenträgeranalysen möglich?
Was ist möglich?Wiederherstellung von gelöschten DatenErkennen, zu welchem Zeitpunkt Dateien erzeugt, verändert,aufgerufen/angesehen oder gelöscht wurdenErkennen welche externen Speichergeräte angeschlossen warenWelche Anwendungen sind/waren installiertWelche Webseiten wurden besuchtMailverkehr…
Was ist nicht möglich?Ist der Datenträger physisch zerstört, ist eine Wiederherstellung der Datennicht möglichIst der Datenträger „sicher“ überschrieben worden, ist eineWiederherstellung der Daten nicht möglichIst der Datenträger mit „0“ überschrieben, ist eine Wiederherstellung derDaten nur sehr schwer möglich, wenn überhaupt
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 14
Was ist bei der Live Response möglich?
Was ist möglich?Welche Programme sind im Speicher aktiv? Sockets?Wie wurden diese Programme gestartet? Aus welchem Pfad? In welcherReihenfolge? Durch welchen User?Welche Informationen werden durch das Programm im RAM verarbeitet?Welche User sind angemeldet?Wie ist der Status der Netzverbindungen?
Was ist nicht möglich?Ist das System mehrfach gebootet worden, sind die relevantenInformationen weg.Liegt der Vorfall länger zurück und ist das System gut ausgelastet, sind dierelevanten Informationen weg.
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 15
Immer noch wichtig: MAC-Time Analyse
Modification-, Access- and Change-Time unter LinuxModification-Time (mtime) ist der Zeitpunkt, zu dem eine Datei das letzteMal geschrieben wurde,Access-Time (atime) ist der Zeitpunkt, zu dem eine Datei das letzte Malgelesen oder ausgeführt wurde,Change-Time (ctime) ist der Zeitpunkt, zu dem bestimmte Meta-Daten derDatei verändert wurden (Ändern der Zugriffsrechte oder des Eigentümers).
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 16
Maßnahmen nach erkanntem Sicherheitsvorfall
Sämtliche Programme auf dem kompromittierten System sind nichtvertrauenswürdig!
Ausgaben von installierten Werkzeugen können manipuliert seintrojanisierte Versionen der Werkzeuge und Root-Kits können installiert seinWeiterer Schaden kann durch Verwendung der Tools entstehenRoutinen zum Löschen von Spuren können ausgelöst werdenAuslöser könnte auch Trennung vom Netzwerk sein (logische Bomben)System isolieren, aber im Netzwerk belassenAusschließlich Verwendung von eigenen statisch kompilierten Werkzeugenohne Schreibzugriff
Niemals ungewollt auf den Datenträger schreiben!Keine Werkzeuge verwenden, die Zeitstempel verändern (tar, cp etc.)aufpassen bei lsof!
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 18
Beispiel
Dateiname lautet „(swapd)“
Dateiname lautet „smbd –D“
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 19
Beispiel
RootKit-Konfigdateien in /dev/
RootKit in /lib/.x
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 21
Forensische Duplikation mit Linux
Das Unix-Kommando dd ist in den allermeisten Fällen das Werkzeug der Wahl, umDiskimages anzulegen.
Stark abhängig vom Betriebssystem und der Abstraktion von Devices als FilesKann ganze Devices, Partitionen oder Teile davon kopierenWeitere auf dd basierende Dupliziertools
dd_rescuesdd - http://ftp.berlios.de/pub/schily/sdd/READMEdcfldd - http://dcfldd.sourceforge.net/ (DoD Computer Forensics Laboratory )DCCIdd (Nur auf Anfrage beim DoD Cyber Crime Center)Dc3dd (Patch für dd, http://dc3dd.sourceforge.net/)
Diverse grafische ToolsGRABAdeptoLinEnSMARTGYMAGER
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 23
FCCU
www.lnx4n6.be
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 24
FCCU
www.lnx4n6.be
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 25
THE FARMER'S BOOT CD
www.forensicbootcd.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 26
THE FARMER'S BOOT CD
www.forensicbootcd.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 27
THE FARMER'S BOOT CD
www.forensicbootcd.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 28
Helix
www.e-fense.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 34
Automatisierung durch IR-Toolkits
Live Response Skript „linux_ir.sh“ auf Helix CDUnvollständigStatische Tools stellenweise nicht auf aktuellen Distributionen / KernelslauffähigTeilweise fehlerhaft
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 35
ForesiX-CD
HiSolutions hat eigenes Toolkit zusammengestellt (in iX 07/07 veröffentlicht)Diverse Forensik-ToolsStatisch kompilierte Werkzeuge für 2.4er und 2.6er KernelVertrauenswürdige ShellSicherung über Netzwerk und auf externe DatenträgerBenötigte Dateien: /dev/null und /procGelesene Dateien (MAC-Timestamps!)
/dev/mem/etc/passwd/var/run/utmp/var/log/wtmp
Mitte 2008 wird eine komplett aktualisierte Version veröffentlicht:
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 36
Live Response mit der ForensiX-CD
Ermittlersystem
Verdächtiges System
NEU
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 37
NEULive Response mit der ForensiX-CD
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 38
NEULive Response mit der ForensiX-CD
VideoErgebnis
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 39
NEULive Response mit der ForensiX-CD
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 41
EXT IFS
www.fs-driver.org
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 42
Mount Image Pro
www.getdata.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 43
Live View
http://liveview.sourceforge.net/
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 44
The Sleuthkit
The Sleuthkit (TSK)Brian Carrier Anfang 2001Sammlung von mehr als 20 Werkzeugen für die Analyse von Datenträgernund DateisystemenWerkzeuge werden in Gruppen zusammengefasst
DatenträgerVolumeDateisystem
- Struktur und Größen Informationen des Dateisystems- Dateinamen- Metadaten- Daten
Suchwerkzeuge
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 45
Autopsy
AutopsyGraphische Oberfläche für TSK
HTML basiertPost-Mortem-Analyse möglichPerl-ProgrammAnalyse per BrowserProtokollierung aller AnalyseschritteZugriffsschutz mittels Cookie und Beschränkung auf konfigurierbarenPortBestandteil vieler forensischer Live-CD´s
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 48
Autopsy
Case ManagementVerschiedene Fälle werden separat verwaltetPro Fall beliebige Host-SystemeJedem Host werden Images zugeordnetPro Host mehrere 'Investigators' möglichIndividuelle Einstellungen für Zeitzonen und HashdatenbankenEigene Kommentare pro InvestigatorAnalyse-Ergebnisse werden in ASCII-Dateien gespeichertDamit einfache Archivierung kompletter Fälle
Nachfolger PTKAb Final geplant ab 09 / 08Ajax basiertzentrale DatenbankIndexhttp://ptk.dflabs.com
We secure your business. (tm) © 2008, HiSolutions AG | Computer-Forensik 51
Vielen Dank für dieAufmerksamkeit!
Fragen ?Alexander Geschonneck
http://computer-forensik.orgalexander @ geschonneck . com