Embed Size (px)
Citation preview
Dr Dirk Wetter (httpdrwetterde)
Hamburg
Erste Hilfe in Digitaler Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
Agenda
I Motivation
II a Was ist Forensik
b Arbeitsweise in der Digitalen Forensik
III Verdacht erkennen + erhaumlrten
IV Beweissicherung
335343
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Ersthelfer am bdquoUnfallortldquo
keine Computerforensiker
meistens Admins wie bdquoDu und ichldquo
Einige bdquoHilfeleistungenldquo
falsch
nicht wiedergutzumachen
MotivationUm was gehts
435443
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Methodik Erkennen Erhaumlrten Daten sichern
Handwerkszeug Kommandozeile
hier Beschraumlnkung aufPC-Hardware unter Linux
OSS-Werkzeuge
einfache Problemstellung keine
RAID-Rekonstruktion
DB-Forensik
neuesten Rootkit-Technologien
GrundlagenvortragUm was gehts
535543
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungBegriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
Agenda
I Motivation
II a Was ist Forensik
b Arbeitsweise in der Digitalen Forensik
III Verdacht erkennen + erhaumlrten
IV Beweissicherung
335343
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Ersthelfer am bdquoUnfallortldquo
keine Computerforensiker
meistens Admins wie bdquoDu und ichldquo
Einige bdquoHilfeleistungenldquo
falsch
nicht wiedergutzumachen
MotivationUm was gehts
435443
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Methodik Erkennen Erhaumlrten Daten sichern
Handwerkszeug Kommandozeile
hier Beschraumlnkung aufPC-Hardware unter Linux
OSS-Werkzeuge
einfache Problemstellung keine
RAID-Rekonstruktion
DB-Forensik
neuesten Rootkit-Technologien
GrundlagenvortragUm was gehts
535543
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungBegriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
335343
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Ersthelfer am bdquoUnfallortldquo
keine Computerforensiker
meistens Admins wie bdquoDu und ichldquo
Einige bdquoHilfeleistungenldquo
falsch
nicht wiedergutzumachen
MotivationUm was gehts
435443
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Methodik Erkennen Erhaumlrten Daten sichern
Handwerkszeug Kommandozeile
hier Beschraumlnkung aufPC-Hardware unter Linux
OSS-Werkzeuge
einfache Problemstellung keine
RAID-Rekonstruktion
DB-Forensik
neuesten Rootkit-Technologien
GrundlagenvortragUm was gehts
535543
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungBegriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
435443
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Methodik Erkennen Erhaumlrten Daten sichern
Handwerkszeug Kommandozeile
hier Beschraumlnkung aufPC-Hardware unter Linux
OSS-Werkzeuge
einfache Problemstellung keine
RAID-Rekonstruktion
DB-Forensik
neuesten Rootkit-Technologien
GrundlagenvortragUm was gehts
535543
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungBegriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
535543
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungBegriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
635643
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
systematisch
kriminell
identifizieren
analysieren rekonstruieren
Begriff Forensika Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
735743
150
834
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Es geht um Digitale Beweise
kriminell gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter intern externMotivation
oder Schaden fuumlr die Firma
Schlussfolgerunga Begriffe
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
835843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungMethodik Hintergrund
Beweiskette (Chain of Custody) fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr rarr Zeuge(n)
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
935943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
sorgfaumlltig
Digitale Beweise in der Live Response
1Volatile Daten sichern
2Duplikation von Festplatte(n)
sicheres Aufbewahren v Original und Duplikat
Dokumentieren (Wer wann was wo wie)Dokumentieren DokumentierenDokumentierenDokumentieren DokumentierenDokumentieren
Umgang mit Beweisenb Arbeitsweise
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
10351043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV BeweissicherungDokumentation technisch b Arbeitsweise
bdquo5 x Wldquo Wer Wann Was Wo Wie
Technische Hilfen Papier
cmdline Papier
date (2x) AusdruckNotiz mit DatumOrt
script screen shyL Unterschrift (2x)
Pruumlfsummen Seitennummierung
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
11351143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Firma+Admin Einen PlanStrategie haben
Firma Sicherheit
gt keine ausschlieszliglich techn Angelegenheit
gt Incident Handling erst recht nicht Prozesse
Admin Erfahrung Wissen Voraussicht technischer Ablaufplan
bdquoIncident Handlingldquob Arbeitsweise
Schadensausmaszlig Firma Risiko Weiterbetreiben
Runterfahren
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
12351243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
NotfallkonzeptIncident-Management-System
Organisat Rahmenbedingungen allgemein Sicherheitskonzepte Verantwortung
Prozesse Meldung Handling (Entscheidung wer was wie tut)
BSI-Grundschutzkataloge
(BSI 100-1 Aufbau eines ISMS)
c Prozeduren
Firma
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
13351343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
B 13 Notfallvorsorge-Konzept
PlanungKonzeption
wie wichtig ist die betr Komponentesind die Daten
CIA normal hoch sehr hoch
B 18 Behandlung von Sicherheitsvorfaumlllen
Angemessen Gefaumlhrdungslage
Schaden fuumlr die Firma (Betrieb gespeicherte Informat)
Lesenswerte schlechte Konstellationen
G 262 G266 G 2106
c Prozeduren
BSI-Grundschutz Bausteine
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
14351443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
M 6 Maszlignahmenkatalog Notfallvorsorge
Notfalldefinition Verantwortlich im Notfall (M 62
M 67 M 659)
Notfallhandbuch (M 63)
M 658 Information an Leitungsebene
Meldewege (M 660) Eskalationswege betroffene
Stellen (M 665)
Nachbereitung von Vorfaumlllen (M 663 M 666)
c Prozeduren
BSI-Grundschutz Maszlign
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
15351543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
erstes Rootkit ~1990 fuumlr SunOS 411
Rootkit manipuliert + versteckt
Prozesse
Verzeichnisse Dateien (Binaumlr Libs Logs)
Sockets
RAM
Hintertuumlr zur Fernsteuerung
automatisiert Exploit Verstecken Steuerung
gezielt Innentaumlter
a Verdachtserkennung
Kleine Lehre d Versteckens
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
16351643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
selten reines User-Level-RK
zahlreiche Spuren
Hip Ausnutzen loumlchriger PHP-Skripte
haumlufiger Kernel-RK
Kernel-Modul devkmem (Urvater SucKIT)
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
Nur bdquoimperfectionsldquo live im Dateisystem zu finden
a Verdachtserkennung
Artenvielfalt Rootkits
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
17351743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
weitere Klassifizierung resident und nicht-resident
memory-based RK bdquoZeckeldquo (Tobias Klein) Shadow Walker
Speicherbereiche sichern
a Verdachtserkennung
Artenvielfalt Rootkits
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
18351843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Erkennung nicht trivial
IDSIntegritaumltschecker (Host Netz)
Log-Meldungen Art Tageszeiten fehlende Proxy (Nachladen Exploit) Mail-Server Spam
Netz Verbindungen Peers Anzahl Volumen Art Netflow Firewall NIDS
Status (PROMISC fehlerhfehlende Dateien)
bdquokomischeldquo DateienVerz Prozesse Sockets
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
libsecurityconfigusrbinssh2d
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
19351943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
a Verdachtserkennung
Beispiele
raquo laquo raquo laquo raquolaquo
devida devhdd devsdr0 devcaca
devprocfuckit
libsecurityconfig
usrinfot0rn usrsrcputa
usrbinssh2d
Prozess [kswap0] mit owner www-data
Ports 31337 6666 6667 (und alle erdenklich anderen)
core (file core)
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
20352043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Mirror Port
bdquoHubbing outldquo
MITM ettercap CampA
nmap (Backdoor)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung (immer haumlufiger)
b Verdachtserhaumlrtung
Netz minimal invasiv
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
21352143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System invasiv
zwei der Ziele bei spaumlterer P-M-Analyse
Auffinden geloumlschter Dateien
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime ggf del time
dh jeder Zugriff ab nun (ErhaumlrtungSicherung)
zerstoumlrt uU Beweise bei der PM
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
22352243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt (ggf ro)
Vertraue dem System nicht
Binaries
Libs
Kernel
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
23352343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
falls vorhanden und eingehaumlngt (ro) NFS Samba AFS iSCSI
Server ggf ruumlberkopiertes Verzeichnis (Manipulation)
pwnedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
pwnedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
24352443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL) The Sleuth Kit (TSK) The Coroners Tool Kit (TCT tctutils) ua
Drei Zwecke Beweis erhaumlrten Volatile+nicht volatile Daten sichern (Live Response) Post-Mortem-Analyse
keine Solaris-Bins mehr (Windows ja)
(procget) pcat pd
selbst erweitern
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
25352543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Am Anfang war
schoumln aus Sicht der Digitalen Forensik offene Konsole
Vorbereitung
ggf mount ltToolsgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
env inspizieren (ggf unset LD_LIBRARY_PATH LD_PRELOAD)
Netz Statuslsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
ifconfig | grep PROMISC
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
26352643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Verdachtserhaumlrtung
Nuumltzlich
Dateien
fehlt MARK im Syslog (laumluft Daumlmon) dmesg inspizieren
ls shyla ~history (Laumlnge Null Link devnull Anschauen)
~viminfo
ls shyaulrtF ls shyalrtF
rkhunter et al (noatime)
binrpm shyVa debsums shys fuumlr Debian-Dialekte (noatime)
beides lokale DB Nur Anhaltspunkte
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
27352743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
Incident-Managementplan
Info an Leitungsebene
Anweisungen abwarten
forensische Datensicherung aka Live Response
a Vorgehensweise
Prozess Firma
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
28352843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
1) Volatile Daten
2) Rechner auszliger Betrieb
3) Forensisches Duplikat
bdquoDead Acquisitionldquo
3 vor 2
bdquoLive Acquisitionldquo
nur wg Plattenformat
Skepsis wegen Kernel
a Vorgehensweise
Technisch Daten sichern
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
29352943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Wie
Anzahl Kommandos id Reihenfolge der Tfrac12
Ausgaben Stempel korrektes Datum (Tag+Uhrzeit) bdquoHinreichendeldquo Pruumlfsummen
gt (md5summd5deep) sha1sha1deep
gt am besten sha256deep
Skript
Helix-CD
aumlhnliches bzw eigener Werkzeugkasten
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
30353043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript
Vorsicht Helix linuxshyirsh
sichert uumlberfluumlssigerweise nicht-fluumlchtige Daten
MD5-Summen ohne noatime
vergisst einiges
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
who is -)
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
31353143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
RAM
Anderes Volatiles Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme () rarr manuell
(ggf Swap tmp) rarr manuell
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
32353243
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
env unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shycbn1
Netz ifconfig shya arp shyashyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
33353343
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
b Volatile Daten sichern
Skript Was alles
prockcore dev(k)mem memdump (TCT)
proc
modules cmdline version kallsyms swaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme tmp swap sichern
Pruumlfsumme(n) und Datum nicht vergessen
Ausdruck Unterschrift
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
34353443
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Netz | (externe) Platte
Platte USBFirewire (ext Platte -Stick Platz Hauptspeicher)
gt Einfach
gt Zugaumlnglichkeit
Netz
Vorsicht devstderr (Skriptaufruf)
b Volatile Daten sichern
Wohin Ausgabe
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
35353543
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fwsforensikcase1 0 netcat shylp 42 gtdateitxt
pwned~ 0 cat procversion | netcat fws 42
Nachteil netcat unverschluumlsselt-authentifiziert besser
gt cryptcat (shyk passphrase) (Twofish)
gt socat sehr maumlchtig X509-Key-Auth sinnvoll (ndashgt OpenSSL)
gt [sbd aesshynetcat ncat (Proxy AES )]
prinzipiell auch mit openssl s_client shyconnect hostport plus server
b Volatile Daten sichern
Wohin Netz
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
36353643
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SysRq-[SSUO] (ggf sysctl shyw kernelsysrq=1)
serielle Konsole SysRq-[TQP] sichern
c Rechner auszliger Betrieb
Generelles
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
37353743
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Die ganze Platte (bdquomindestensldquo su)
Profis Write Blocker
Nicht partitionsweise
Luumlcken (absichtlich) unbenutzte Bereiche
Besser mmls als fdisk
Uumlbersichtlichkeit
Luumlcken
Demo
d Forensische Kopie
Was
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
38353843
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
fws~ 0 mmls devsda
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
39353943
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo Zylinderluumlcke (21)
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
40354043
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Demo bdquoEx-Partitionldquo (23)
==
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
41354143
150
835
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
D=mntmmls_hdX_`date +FT`
mmls devhdX gt$D $sum $D gt $D$sum Liste Partitionen
$sum devhdX gtmnthdX$sum Pruumlfsumme Platte
$dd if=devhdX gtmnthdXimg Duplizieren Platte
$sum mnthdXimg (sollte gleich sein) Pruumlfs Duplikat
$sum (md5sum) sha1sha1deep sha256deep
ggf durch gzip-Pipe
d Forensische Kopie
Kopie der ganzen Platte
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
42354243
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Standard-Blockgroumlszlige 512 Bytes ist zu() langsam aber sicher
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
GNU ddrescue
rdd (NFI) toleranter Lesefehler Netzuumlbertragung+Split
dcfldd (dccidd)
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Sinnvoll hashlogerrorlog=Dateiname
dc3dd Neu Patch zu GNU dd Features aumlhnlich dcfldd
d Forensische Kopie
dd=Disk Dump
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
43354343
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
host~|0 dcfldd if=devurandom of=devnull count=768
hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit dcfldd
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
44354443
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
d Forensische Kopie
Reicht dd
Nein Hidden Data Areas
ATA HPA
disk_stat (TSK) hdparm shyN hpafs (fuse) fiesta hpatools Thinkpad default 40-Serie X61 (bdquoPredesktop Arealdquo)
weitere ATA DCO marked bad blocks hdparm 81 -)
ata600 Host Protected Area detected current size 976772168 sectors native size 976773168 sectorsata600 ATAshy8 ST3500320AS SD15 max UDMA133
dmesg
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
45354543
150
836
GUUG-Fruumlhjahrsfachgespraumlch 2008 in Muumlnchen 11-1432008 copy Dr Dirk Wetter
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erhaumlrten + erkennen
IV Beweissicherung
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse
Kopie von der Kopie (Arbeits-Disk Case-Disk)
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen (BSI GsKat M 666) Stimmen Prozesse Sicherheitsleitlinien Technik Maszlignahmen
d Forensische Kopie
Weiteres
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wettermaildrwetterde
Sicherheitsanalysen Digitale Forensik
GUUG-Fruumlhjahrsfachgespraumlch 2008 Muumlnchen 11-1432008
