Brian Carrier hat ein neue Version seiner beliebten Open Source Forensik-Toolsammlung The Sleuth Kit (TSK) veröffentlicht. Laut Doku sind folgende Änderungen vorgenommen worden: Weiterlesen…
Schlagwort: Digitale Forensik
Microsoft kauft Sysinternals
Winternals und Sysinternals an Microsoft verkauft
Ich habe mich ja nun nicht nur an dieser Stelle lobend über die wirklich sinnvollen Werkzeuge von Sysinternals.com geäußert. Seien es nun Pstools, Process Explorer, Autoruns, Rootkit Revealer oder File- bzw. Regmon, diese Freewaretools sind sehr wichtige und kompakte Helferlein bei der forensischen Analyse eines laufenden verdächtigen Weiterlesen…
Forensikwerkzeuge für Mobiltelefone
Test von Werkzeugen für die forensische Analyse von Mobiltelefonen
Nachdem das amerikanische NIST bereits im Jahr 2004 eine Analyse von PDA Forensikwerkzeugen durchgeführt hat, wurde Ende 2005 nun eine neue Studie vorgelegt. Diese beschäftigt sich mit dem Test von speziell für die forensische Analyse von Mobiltelefonen benötigte Software. Es werden dabei alle Phasen der Ermittlung gemäß S-A-P Modell betrachtet und verschiedene Testszenarien beleuchtet. Weiterlesen…
neue Version von X-Ways Forensics erschienen
X-Ways Forensics Version 13.0
Die neue Version des sehr umfangreichen Forensik Werkzeugs X-Ways Forensics der Kölner X-Ways Technology AG hat u.a. im Suchbereich mächtig zugelegt und kann sich nun noch mehr mit dem anglo-amerikanischen Wettbewerb messen. Anbei die Meldung vom Heise iX-Ticker.
neue Versionen von Sleuthkit und Autopsy
Sleuthkit 2.04 und Autopsy 2.07 wurden veröffentlicht
Brian Carrier hat vor einigen Tagen neue Versionen seiner beiden Forensikwerkzeuge Autopsy und Sleuthkit veröffentlicht.
Sleuthkit ist eine Open Source Toolsammlung für die forensische Analyse von Datenträgern und Dateisystemen. Autopsy ist eine HTML-Oberfläche, die Sleuthkit und einige Systemtools sinnvoll zusammenfasst und in ein Case-Management einbettet.
Neben einigen Bugfixes wurden folgende neue Funktionen in Sleuthkit 2.04 aufgenommen Weiterlesen…
Forensik-Artikel in der KES: „Tatort PC“
KES 2/2006 „Tatort PC – Ermittlungen nach dem S-A-P Modell“
Die Zeitschrift für Kommunikations- und EDV-Sicherheit „KES“ hat das Thema Computer-Forensik in Ausgabe 2/2006 zu einem Themenschwerpunkt gemacht. Ich habe die Titelgeschichte „Tatort PC“ geschrieben und mich eingehender mit dem Ermittlungsprozess beschäftigt. Dreh- und Angelpunkt war das sog. S-A-P Modell (Secure, Analyze, Present). In jeder Phase Weiterlesen…
Buchrückentext der neuen Auflage
Alexander Geschonneck
Computer-Forensik
Systemeinbrüche erkennen, ermitteln, aufklären
Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.
Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht – sowohl im „Fall der Fälle“ als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:
– wo man nach Beweisspuren suchen sollte
– wie man sie erkennen kann
– wie sie zu bewerten sind
– wie sie gerichtsverwertbar gesichert werden sollten
Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.
Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.
Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.
Zielgruppe:
- Sicherheitsbeauftragte
- Systemadministratoren
- Sicherheitsberater
- Ermittler
- Gutachter
Inhaltsverzeichnis der neuen Auflage
Einleitung
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . 9
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 20
1.6 Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 27
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 27
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 Incident Response als Grundlage der Computer-Forensik 37
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 37
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 38
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 39
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 41
3.4.1 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.2 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 42
3.4.3 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 43
3.4.4 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 45
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 48
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 52
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 53
4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 57
4.4 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 65
4.4.1 Juristische Bewertung der Beweissituation . . . . . . 65
4.4.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3 Welche Daten können erfasst werden? . . . . . . . . . 69
4.4.4 Durchgeführte Aktionen dokumentieren . . . . . . . . 70
4.4.5 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 71
4.4.6 Mögliche Fehler bei der Beweissammlung . . . . . . . 73
4.5 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 75
4.6 Speichermedien sichern: forensische Duplikation . . . . . . . 77
4.6.1 Wann ist eine forensische Duplikation
sinnvoll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 79
4.7 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . . 81
4.8 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.3 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.4 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.5 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.6 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . . . 97
5.7 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . . 98
5.8 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 109
6.2 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.3 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 115
6.4 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.5 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.6 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.7 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 127
6.8 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 128
6.9 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 130
6.10 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.11 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . 136
6.12 Eigene Toolkits für Unix und Windows erstellen . . . . . . 140
6.12.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.2 Incident Response Collection Report
(IRCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.3 Windows Forensic Toolchest (WFT) . . . . . . . . . 143
7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 145
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 145
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 151
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 158
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . 165
7.1.5 P.m.-Analyse der Images mit F.I.R.E. . . . . . . . . . 171
7.1.6 Dateiwiederherstellung mit unrm und
lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.1.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 175
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . 179
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 179
7.2.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 180
7.2.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 184
7.2.4 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.2.5 P.m.-Analyse der Images mit EnCase . . . . . . . . . 189
7.2.6 P.m.-Analyse der Images mit X-Ways
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.2.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 195
7.3 Forensische Analyse von PDAs . . . . . . . . . . . . . . . . . . . . 210
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 215
8 Empfehlungen für den Schadensfall
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 222
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
9 Backtracing
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 227
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . . 227
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 228
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 229
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 230
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 230
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . . 245
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 247
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 247
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 247
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 250
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . . 252
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 253
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Anhang
Tool-Überblick 257
Literaturempfehlungen 261
Stichwortverzeichnis 263
EnCase Artikel in iX 11/05
 |
In der Ausgabe 11/05 der Zeitschrift iX erschien von mir ein Artikel über die neue Version des Forensikwerkzeugs EnCase in der Version 4.05.“Imagefragen“ Systemermittlung mit dem Forensik-Werkzeug EnCase, review, iX 11/05, Seite 104 |
Artikel über X-Ways Forensics in iX 04/05
X-Ways Forensics der Kölner Firma X-Ways AG entwickelt sich immer mehr zu einem Standardwerkzeug für die Computer Forensik. Der Artikel in der iX 04/05 widmet sich den neuen Funktionen.
„Werkzeug für Spürnasen“ Gerichtstaugliche Systemuntersuchung mit X-Ways Forensics, review, iX 4/05, Seite 70