Buch / NewsKeine Kommentare
22
Jan 06

Buchrückentext der neuen Auflage

Alexander Geschonneck

Computer-Forensik

Systemeinbrüche erkennen, ermitteln, aufklären

Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.

Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.

Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht – sowohl im “Fall der Fälle” als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:

- wo man nach Beweisspuren suchen sollte
- wie man sie erkennen kann
- wie sie zu bewerten sind
- wie sie gerichtsverwertbar gesichert werden sollten

Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.

Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.

Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.

Zielgruppe:

  • Sicherheitsbeauftragte
  • Systemadministratoren
  • Sicherheitsberater
  • Ermittler
  • Gutachter
Buch / NewsKeine Kommentare
22
Jan 06

Inhaltsverzeichnis der neuen Auflage

Einleitung
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . 9
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 20
1.6 Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 27
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 27
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 Incident Response als Grundlage der Computer-Forensik 37
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 37
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 38
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 39
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 41
3.4.1 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.2 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 42
3.4.3 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 43
3.4.4 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 45
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 48
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 52
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 53

4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 57
4.4 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 65
4.4.1 Juristische Bewertung der Beweissituation . . . . . . 65
4.4.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3 Welche Daten können erfasst werden? . . . . . . . . . 69
4.4.4 Durchgeführte Aktionen dokumentieren . . . . . . . . 70
4.4.5 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 71
4.4.6 Mögliche Fehler bei der Beweissammlung . . . . . . . 73
4.5 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 75
4.6 Speichermedien sichern: forensische Duplikation . . . . . . . 77
4.6.1 Wann ist eine forensische Duplikation
sinnvoll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 79
4.7 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . . 81
4.8 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.3 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.4 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.5 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.6 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . . . 97
5.7 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . . 98
5.8 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 109
6.2 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.3 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 115
6.4 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.5 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.6 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.7 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 127
6.8 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 128
6.9 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 130
6.10 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.11 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . 136
6.12 Eigene Toolkits für Unix und Windows erstellen . . . . . . 140
6.12.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.2 Incident Response Collection Report
(IRCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.3 Windows Forensic Toolchest (WFT) . . . . . . . . . 143

7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 145
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 145
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 151
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 158
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . 165
7.1.5 P.m.-Analyse der Images mit F.I.R.E. . . . . . . . . . 171
7.1.6 Dateiwiederherstellung mit unrm und
lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.1.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 175
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . 179
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 179
7.2.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 180
7.2.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 184
7.2.4 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.2.5 P.m.-Analyse der Images mit EnCase . . . . . . . . . 189
7.2.6 P.m.-Analyse der Images mit X-Ways
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.2.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 195
7.3 Forensische Analyse von PDAs . . . . . . . . . . . . . . . . . . . . 210
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 215

8 Empfehlungen für den Schadensfall
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 222
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

9 Backtracing
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 227
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . . 227
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 228
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 229
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 230
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 230
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . . 245
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 247
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 247
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 247
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 250
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . . 252
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 253
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Anhang
Tool-Überblick 257
Literaturempfehlungen 261
Stichwortverzeichnis 263

Artikel / Computer Forensik / News / ToolsKeine Kommentare
21
Jan 06

EnCase Artikel in iX 11/05

Image In der Ausgabe 11/05 der Zeitschrift iX erschien von mir ein Artikel über die neue Version des Forensikwerkzeugs EnCase in der Version 4.05.”Imagefragen” Systemermittlung mit dem Forensik-Werkzeug EnCase, review, iX 11/05, Seite 104
Artikel / Computer Forensik / News / ToolsKeine Kommentare
19
Jan 06

Artikel über X-Ways Forensics in iX 04/05

iX 04/05

X-Ways Forensics der Kölner Firma X-Ways AG entwickelt sich immer mehr zu einem Standardwerkzeug für die Computer Forensik. Der Artikel in der iX 04/05 widmet sich den neuen Funktionen.

“Werkzeug für Spürnasen” Gerichtstaugliche Systemuntersuchung mit X-Ways Forensics, review, iX 4/05, Seite 70

Buch / News / ReviewKeine Kommentare
28
Dez 05

Review: “wirtschaftsinformatik.de”

Image“wirtschaftsinformatik.de”, 09.12.2005
“Das Buch ist leicht lesbar, enthält die entsprechende Information in ausreichender Tiefe und führt sachgerecht in die Problematik ein. … Insgesamt ein nicht wegzudenkendes Werk zur verantwortungsvollen Netzwerkadministration und einem eben solchen Sicherheitsmanagement.”

Buch / News / ReviewKeine Kommentare
28
Dez 05

Review: “Die Justiz”

“Die Justiz”, Dezember 2004
“Für die Mitarbeiter von Polizei und Justiz, die sich – gelegentlich oder spezialisiert – mit der Verfolgung der IuK-Kriminalität befassen, wird Computer-Forensik von Geschonneck unentbehrlich sein.”

Buch / NewsKeine Kommentare
28
Dez 05

neue Auflage, neue Website!

Liebe Leser,
pünktlich zur neuen Auflage meines Buches “Computer Forensik” erschienen im dpunkt-Verlag ist auch die Webseite überarbeitet worden. Viel Spass beim Lesen. Die alte (nicht mehr aktualisierte) Seite finden Sie hier.

Alexander Geschonneck

Artikel / Computer Forensik / Methoden / NewsKeine Kommentare
22
Dez 05

Interview in der Computerwoche

Am 15.09.2005 erschien unter der Rubrik “IT-Security” in der Computerwoche der Beitrag: “Computer-Forensik: Spurensuche zwischen Bits und Bytes”

Lesen Sie hier den gesamten Text: http://www1.computerwoche.de/knowledge_center/it_security/566379/

 Logo Computerwoche
Artikel / Computer Forensik / NewsKeine Kommentare
02
Dez 05

Markvergleich über Forensik Dienstleister

ix 04/05 In iX 01/2004 erschien pünktlich zur ersten Ausgabe meines Buches “Computer Forensik” ein Artikel, der sich mit Datenrettung und Datenforensik beschäftigt. Dabei nahmen wir die Dienstleister im deutschsprachigem Raum unter die Lupe.

“Notaufnahme” Datenrettung und digitale Spurensammlung, report, iX 1/04, Seite 96
Buch / News / ReviewKeine Kommentare
01
Dez 05

Review: “IT-Administrator”

“IT-Administrator” – Ausgabe Dezember 2004″Alexander Geschonnek, …, liefert in seinem Buch “Computer-Forensik” einen praktisch nutzbaren Leitfaden, was bei Systemeinbrüchen zu tun ist. … Selbst wenn man nicht vorhat, auf Kriminellenjagd zu gehen, liefert das Buch interessante Einblicke in das Gebiet der Computerforensik. Der praktische Teil liefert genug Informationen, um als Anreiz für die Vertiefung zu dienen.” Image
← Ältere Beiträge
Neuere Beiträge →