Auch wenn mich private Rückschläge gerade beschäftigen, möchte ich mitteilen, dass die 3. Auflage meines Buches fast fertig ist. Ich mache gerade die letzten Satz-Korrekturen, dann sollte der Druck beginnen. Was wird neu sein: Weiterlesen…
Kategorie: Buch
Neue Informationen rund um das Buch „Computer Forensik“.
Umfrage beendet
Einige Leser haben es ja mitbekommen, die letzten Monate lief auf dieser Seite eine kleine Umfrage, welche Themen in der kommenden 3. Auflage meines Buches näher beleuchtet werden sollten. Die Umfrage ist nun geschlossen und ergab nun, dass Weiterlesen…
Interview mit Stefan Becker
Der Kölner Stadtanzeiger hat heute einen Artikel über KHK Stefan Becker veröffentlicht, der mich bei meinem Buchprojekt unterstützt hat:
Ein typischer Arbeitstag kann damit beginnen, dass sich der Administrator des Netzwerks eines mittelständischen Unternehmens Weiterlesen…
Weiterer Termin für das Computer Forensik Praxis Training
Kurze Info: Auf Grund der riesigen Nachfrage gibt es für das 5-tägige Computer Forensik Praxis Training einen zusätzlichen Termin in Berlin. Wir haben noch einige wenige Plätze frei für den 6.11. – 10.11.
Alle Infos zur Agenda und zum Ablauf finden Sie hier. Anmeldung über mich.
Computer Forensik Praxis Training in Berlin
Auf Grund der zahlreichen Nachfragen unserer Kunden hat sich meine Firma, die HiSolutions AG entschieden, einmalig ein offenes fünftägiges Computer-Forensik Seminar anzubieten. Bisher haben wir diese Spezial-Trainings nur als geschlossene interne Seminare für Behörden und Unternehmen durchgeführt. Da diese Veranstaltungen sehr erfolgreich waren und unsere anderen Kunden weitere Seminare gewünscht haben, freuen wir uns, Ihnen nun dieses Intensiv-Seminar anbieten zu können.
Sie lernen von den Mitgliedern unseres Forensik-Ermittlungsteams Details Weiterlesen…
Review „spektrumdirekt“
„spektrumdirekt“ – August 2006
„Haltet den virtuellen Dieb!“
„[…] Das Buch liest sich sehr gut – einfach vorn beginnen und dann am Schluss aufhören. Bei knapp 270 Seiten geht das recht schnell. […] Mit etwa 40 Euro ist das Buch kein Schnäppchen – aber sein Geld wert.“
Weiterlesen…
Review: „computer-security.de“
„computer-security.de“, 26.04.2006
„Fazit: ‚Computer Forensik. Systemeinbrüche erkennen, ermitteln, aufklären.‘ bietet in der vorliegenden 2. Auflage einen sehr guten Einblick in dieses komplexe Thema. Dabei ist das Verhältnis aus theoretischen Erläuterungen und praktischen Erklärungen und Beispielen sehr ausgewogen. Da die meisten im Buch besprochenen Toolkits frei erhältlich sind, kann ein interessierter Leser die einzelnen Beispiele sehr gut am eigenen System nachvollziehen. „
Was ist neu in der zweiten Auflage?
Lohnt sich eigentlich der Kauf der zweiten Auflage, wenn man bereits die erste besitzt?
In der zweiten Auflage wurde eine Aktualisierung der Statistiken und der Werkzeuge vorgenommen. Neue Tools wurden aufgenommen, alte entfernt. Da gerade der Toolmarkt eine rasante Weiterentwicklung erfährt, ist dies ein recht wichtiger Aspekt. Die neuen Funktionen von EnCase 5 wurden ebenso aufgenommen, wie die neuen Werkzeuge X-Ways Forensics, Adepto und Helix.
Zusätzlich wurden die juristische Aspekte an die aktuelle Rechtssprechung angepasst.
Wer auf dem neusten Stand der Computer Forensik bleiben möchte, sollte die zweite Auflage unbedingt kaufen. 8)
Buchrückentext der neuen Auflage
Alexander Geschonneck
Computer-Forensik
Systemeinbrüche erkennen, ermitteln, aufklären
Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.
Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht – sowohl im „Fall der Fälle“ als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:
– wo man nach Beweisspuren suchen sollte
– wie man sie erkennen kann
– wie sie zu bewerten sind
– wie sie gerichtsverwertbar gesichert werden sollten
Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.
Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.
Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.
Zielgruppe:
- Sicherheitsbeauftragte
- Systemadministratoren
- Sicherheitsberater
- Ermittler
- Gutachter
Inhaltsverzeichnis der neuen Auflage
Einleitung
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . 9
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 20
1.6 Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 27
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 27
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 Incident Response als Grundlage der Computer-Forensik 37
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 37
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 38
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 39
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 41
3.4.1 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.2 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 42
3.4.3 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 43
3.4.4 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 45
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 48
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 52
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 53
4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 57
4.4 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 65
4.4.1 Juristische Bewertung der Beweissituation . . . . . . 65
4.4.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3 Welche Daten können erfasst werden? . . . . . . . . . 69
4.4.4 Durchgeführte Aktionen dokumentieren . . . . . . . . 70
4.4.5 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 71
4.4.6 Mögliche Fehler bei der Beweissammlung . . . . . . . 73
4.5 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 75
4.6 Speichermedien sichern: forensische Duplikation . . . . . . . 77
4.6.1 Wann ist eine forensische Duplikation
sinnvoll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 79
4.7 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . . 81
4.8 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.3 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.4 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.5 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.6 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . . . 97
5.7 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . . 98
5.8 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 109
6.2 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.3 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 115
6.4 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.5 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.6 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.7 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 127
6.8 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 128
6.9 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 130
6.10 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.11 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . 136
6.12 Eigene Toolkits für Unix und Windows erstellen . . . . . . 140
6.12.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.2 Incident Response Collection Report
(IRCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.3 Windows Forensic Toolchest (WFT) . . . . . . . . . 143
7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 145
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 145
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 151
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 158
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . 165
7.1.5 P.m.-Analyse der Images mit F.I.R.E. . . . . . . . . . 171
7.1.6 Dateiwiederherstellung mit unrm und
lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.1.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 175
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . 179
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 179
7.2.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 180
7.2.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 184
7.2.4 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.2.5 P.m.-Analyse der Images mit EnCase . . . . . . . . . 189
7.2.6 P.m.-Analyse der Images mit X-Ways
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.2.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 195
7.3 Forensische Analyse von PDAs . . . . . . . . . . . . . . . . . . . . 210
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 215
8 Empfehlungen für den Schadensfall
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 222
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
9 Backtracing
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 227
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . . 227
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 228
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 229
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 230
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 230
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . . 245
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 247
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 247
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 247
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 250
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . . 252
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 253
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Anhang
Tool-Überblick 257
Literaturempfehlungen 261
Stichwortverzeichnis 263