Forensikwerkzeuge für Mobiltelefone

Test von Werkzeugen für die forensische Analyse von Mobiltelefonen

Nachdem das amerikanische NIST bereits im Jahr 2004 eine Analyse von PDA Forensikwerkzeugen durchgeführt hat, wurde Ende 2005 nun eine neue Studie vorgelegt. Diese beschäftigt sich mit dem Test von speziell für die forensische Analyse von Mobiltelefonen benötigte Software. Es werden dabei alle Phasen der Ermittlung gemäß S-A-P Modell betrachtet und verschiedene Testszenarien beleuchtet. Weiterlesen…

neue Versionen von Sleuthkit und Autopsy

Logo_Autopsy_Sleuthkit

Sleuthkit 2.04 und Autopsy 2.07 wurden veröffentlicht

Brian Carrier hat vor einigen Tagen neue Versionen seiner beiden Forensikwerkzeuge Autopsy und Sleuthkit veröffentlicht.
Sleuthkit ist eine Open Source Toolsammlung für die forensische Analyse von Datenträgern und Dateisystemen. Autopsy ist eine HTML-Oberfläche, die Sleuthkit und einige Systemtools sinnvoll zusammenfasst und in ein Case-Management einbettet.
Neben einigen Bugfixes wurden folgende neue Funktionen in Sleuthkit 2.04 aufgenommen Weiterlesen…

Forensik-Artikel in der KES: „Tatort PC“

KES 2/2006 „Tatort PC – Ermittlungen nach dem S-A-P Modell“

Die Zeitschrift für Kommunikations- und EDV-Sicherheit „KES“ hat das Thema Computer-Forensik in Ausgabe 2/2006 zu einem Themenschwerpunkt gemacht. Ich habe die Titelgeschichte „Tatort PC“ geschrieben und mich eingehender mit dem Ermittlungsprozess beschäftigt. Dreh- und Angelpunkt war das sog. S-A-P Modell (Secure, Analyze, Present). In jeder Phase Weiterlesen…

Buchrückentext der neuen Auflage

Alexander Geschonneck

Computer-Forensik

Systemeinbrüche erkennen, ermitteln, aufklären

Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.

Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.

Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht – sowohl im „Fall der Fälle“ als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:

– wo man nach Beweisspuren suchen sollte
– wie man sie erkennen kann
– wie sie zu bewerten sind
– wie sie gerichtsverwertbar gesichert werden sollten

Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.

Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.

Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.

Zielgruppe:

  • Sicherheitsbeauftragte
  • Systemadministratoren
  • Sicherheitsberater
  • Ermittler
  • Gutachter

Inhaltsverzeichnis der neuen Auflage

Einleitung
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . . 9
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 20
1.6 Computerkriminalität . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 26
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 27
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 27
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 28
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3 Incident Response als Grundlage der Computer-Forensik 37
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 37
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 38
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 39
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 41
3.4.1 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 41
3.4.2 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 42
3.4.3 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 43
3.4.4 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 45
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 48
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 52
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 53

4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 57
4.4 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 65
4.4.1 Juristische Bewertung der Beweissituation . . . . . . 65
4.4.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.3 Welche Daten können erfasst werden? . . . . . . . . . 69
4.4.4 Durchgeführte Aktionen dokumentieren . . . . . . . . 70
4.4.5 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 71
4.4.6 Mögliche Fehler bei der Beweissammlung . . . . . . . 73
4.5 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 75
4.6 Speichermedien sichern: forensische Duplikation . . . . . . . 77
4.6.1 Wann ist eine forensische Duplikation
sinnvoll? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.6.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 79
4.7 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . . 81
4.8 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.3 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.4 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
5.5 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
5.6 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . . . 97
5.7 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . . 98
5.8 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 109
6.2 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
6.3 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 115
6.4 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.5 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
6.6 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.7 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 127
6.8 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 128
6.9 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 130
6.10 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
6.11 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . 136
6.12 Eigene Toolkits für Unix und Windows erstellen . . . . . . 140
6.12.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.2 Incident Response Collection Report
(IRCR) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.12.3 Windows Forensic Toolchest (WFT) . . . . . . . . . 143

7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 145
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 145
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 151
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 158
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . 165
7.1.5 P.m.-Analyse der Images mit F.I.R.E. . . . . . . . . . 171
7.1.6 Dateiwiederherstellung mit unrm und
lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.1.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 175
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . 179
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 179
7.2.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 180
7.2.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 184
7.2.4 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 185
7.2.5 P.m.-Analyse der Images mit EnCase . . . . . . . . . 189
7.2.6 P.m.-Analyse der Images mit X-Ways
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
7.2.7 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 195
7.3 Forensische Analyse von PDAs . . . . . . . . . . . . . . . . . . . . 210
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 215

8 Empfehlungen für den Schadensfall
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . . 221
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 222
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

9 Backtracing
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 227
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . . 227
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 228
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 229
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 230
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 230
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . . 245
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 247
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 247
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 247
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 250
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . . 252
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 253
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

Anhang
Tool-Überblick 257
Literaturempfehlungen 261
Stichwortverzeichnis 263