Upload
doankhue
View
220
Download
1
Embed Size (px)
Citation preview
Fighting Cybercrime -Digitale Kriminalistik
Stefan BeckerKriminalhauptkommissarPolizeipräsidium Bonn
Öffentliche Vorlesung am 26. Juni 2009
2Stefan BeckerPolizeipräsidium Bonn
Fighting Cybercrime - Digitale Kriminalistik
Agenda
• § 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)
• Computer Forensik ist digitale kriminalistische Arbeit - Grundsätze der kriminalistischen Vorgehensweise
• Vor Ort: Ausschalten oder was ist als erstes zu tun? (Strategien zur Vorgehensweise)
• Live Analyse versus Post Mortem Abbild
• Die Forensische Duplikation
• Fundorte digitaler Spuren am laufenden System
• Werkzeugkiste: Vorstellung einiger Tools
• Herausforderung Anti Forensics
3Stefan BeckerPolizeipräsidium Bonn
Vorbereiten des Ausspähens und Abfangens von Daten(1) Wer eine Straftat nach § 202a oder § 202b
vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den
Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
§ 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)
§ 202 c StGB
4Stefan BeckerPolizeipräsidium Bonn
� Gesetzestext semantisch etwas unglücklich
� § 202 a Ausspähen- / § 202 b Abfangen von Daten
§ 202 c StGB
§ 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)
http://www.linux-magazin.de/NEWS/Hacker-Paragraf-202c-StGB-Erste-Anzeigen
5Stefan BeckerPolizeipräsidium Bonn
Der Gesetzentwurf kriminalisiere nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren, insbesondere wenn diese nur die Sicherheit des eigenen
Datennetzes prüfen wollten.
Deutscher Bundestag Drucksache 16/5449
16. Wahlperiode 23. 05. 2007
§ 202 c StGB
http://dip21.bundestag.de/dip21/btd/16/054/1605449.pdf
http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-067.html
6Stefan BeckerPolizeipräsidium Bonn
Computer-Forensik
• Nachweis und die Ermittlung von Straftaten im Bereich der Computerkriminalität
• Nachweis und Aufklärung von strafbaren Handlungen z. B. durch Analyse von digitalen Spuren
Kriminalistische Fragestellungen:Wer, Was, Wo, Wann, Womit, Wie und Weshalb
Computer Forensik – digitales kriminalistisches Arbeiten
Fighting Cybercrime - Digitale Kriminalistik
7Stefan BeckerPolizeipräsidium Bonn
• Secure
– „Tatort“ und Untersuchungsbereich absichern
– Beweisspuren sichern
• Analyze
– Spuren sorgfältig auswerten
• Present
– Erkenntnisse schlüssig dokumentieren
SAP – Modell
Fighting Cybercrime - Digitale Kriminalistik
8Stefan BeckerPolizeipräsidium Bonn
Ziel der Ermittlung
• Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte,
• Ermittlung des entstanden Schadens nach einem Systemeinbruch,
• Identifikation des Angreifers,• Sicherung der Beweise für weitere juristische
Aktionen.
Computer Forensik
Fighting Cybercrime - Digitale Kriminalistik
9Stefan BeckerPolizeipräsidium Bonn
� Soviel Informationen wie möglich von einem kompromittierten System sammeln, ohne dabei den aktuellen Zustand bzw. Status dieses Systems zu verändern.
Computer Forensik
Fighting Cybercrime - Digitale Kriminalistik
10Stefan BeckerPolizeipräsidium Bonn
•Flüchtige DatenInformationen, die beim geordneten Shutdown oder Ausschalten verloren gehen (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete User etc.)
•Fragile DatenInformationen, die zwar auf der Festplatte gespeichert sind, aber deren Zustand sich beim Zugriff ändern kann
•Temporär zugängliche DatenInformationen, die sich auf der Festplatte befinden, aber nur zubestimmten Zeitpunkten zugänglich sind, z.B. während der Laufzeit einer Anwendung.
Die Kenntnis um die Halbwertzeit dieser Daten ist sehr wichtig, da damit die Reihenfolge der Datensammlung bestimmt wird.
Welche Daten in welcher Reihenfolge sammeln?
Fighting Cybercrime - Digitale Kriminalistik
11Stefan BeckerPolizeipräsidium Bonn
• Welche Person hatte (unberechtigten) Zugang?
• Was hat der Angreifer auf dem System gemacht?
• Zu welchem Zeitpunkt fand der Vorfall statt?
• Welche Systeme sind zusätzlich betroffen?
• Warum ist gerade dieses Netz oder System angegriffen worden?
• Wie konnte der Angreifer Zugriff erlangen?
• Ist der Angriff vor kurzem geschehen? Was macht der Angreifer jetzt?
• Was konnte der Angreifer auf diesem/von diesem System einsehen?
• Hat der Angreifer etwas zurückgelassen?
Fragestellungen für die Ermittlung
Fighting Cybercrime - Digitale Kriminalistik
12Stefan BeckerPolizeipräsidium Bonn
• Welche Tools kamen beim Angriff zum Einsatz?
• Wie kamen diese Tools zum Einsatz?
• In welcher Programmiersprache wurden die Tools geschrieben?
• Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
• Welche Ereignisse wurden protokolliert ?
• Was wird durch die Protokolldaten enthüllt?-Protokolldaten von Firewall, IDS, RAS, Zutrittskontrollsystemen
• Was ist auf den Datenträgern gespeichert?-Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
-Welche Dateien wurden gelöscht?
-Existieren versteckte Dateien?
• Existieren verschlüsselte Dateien oder -Bereiche?
• Existieren versteckte Partitionen?
• Existieren Backdoors -oder andere Remote-Tools?
Fragestellungen für die Ermittlung
Fighting Cybercrime - Digitale Kriminalistik
13Stefan BeckerPolizeipräsidium Bonn
Fighting Cybercrime - Digitale Kriminalistik
Strategie bestimmende Faktoren:
• Wie kritisch sind die betroffenen Systeme?• Wichtigkeit der gestohlenen oder beschädigten Daten.• Wer sind die vermutlichen Täter?• Ist der Vorfall bereits an die Öffentlichkeit gelangt?• Wie weit ist der Täter bereits gekommen?• Welche Skills werden beim Täter vermutet?• Welche Downtime ist zu verkraften?• Vermuteter finanzieller Gesamtverlust.
14Stefan BeckerPolizeipräsidium Bonn
Computer Forensik
Dinge, die vermieden werden sollten
• Verändern von Zeitstempeln auf den gehackten Systemen (MAC-Times)• Beenden eines verdächtigen Prozesses auf dem System• Security Patch installieren, bevor das Response Team weitere Maßnahmen
empfiehlt• Kommandos ausführen, die niemand protokolliert hat• Tools mit grafischen Interface lokal verwenden • Nicht vertrauenswürdige Programme und Systemtools verwenden• Zerstören von möglichen Beweisen durch Installieren oder Deinstallieren
von Software• Zerstören von möglichen Beweisen durch Programme, die Output auf der
Beweisplatte generieren• unter Umständen auch Shutdown
15Stefan BeckerPolizeipräsidium Bonn
Computer Forensik
Häufige Fehler bei der Ermittlung
• Keine durchgängige Dokumentation der durchgeführten Aktionen• Jeder Vorgang am oder mit dem Beweis muss lückenlos
dokumentiert sein• Entscheidungsträger sind nicht oder nur unzureichend informiert• Digitale Beweise sind unzureichend vor Veränderung geschützt• Keine rechtzeitige Meldung über den Vorfall• Unterschätzen der Tragweite des Vorfalls• Keinen Incident Response Plan in Vorbereitung
16Stefan BeckerPolizeipräsidium Bonn
� Ist der Täter aktiv?
Welche Beweise benötige ich?Welche Beweise erwarte ich?Welche Beweise erbringt ein Live Response?
Post Mortem:Herunterfahren oder Stecker ziehen?
Ausschalten – oder was ist als erstes zu tun?
Vor Ort
17Stefan BeckerPolizeipräsidium Bonn
Vor Ort
System Shutdown
• Zerstört einige fragile Daten (pagefile)• Sehr viele MAC-Timestampswerden zerstört• Malware könnten gestartet werden
Stromkabel ziehen
• Zerstört alle flüchtigen Daten in Hauptspeicher, Informationen über laufende Prozesse und angemeldete User
• = vorher sichern! • = Live Response• Stoppt alle Prozesse sofort ohne dass Malware gestartet werden kann
18Stefan BeckerPolizeipräsidium Bonn
� Image verwenden
� Prüfsumme bilden
Niemals Original verwenden!
Die Forensische Dublikation
22Stefan BeckerPolizeipräsidium Bonn
dcfldd-http://dcfldd.sourceforge.net/
Forensische Dublikation
dd if=/dev/hda of=/mnt/fall/hda.img
23Stefan BeckerPolizeipräsidium Bonn
Spuren am laufenden System
• Systemdatum und -uhrzeit (mit Abweichung von einer Referenzzeit)• Liste der aktiven Prozesse• Liste der geöffneten Sockets• Liste der Anwendungen, die auf geöffneten Sockets lauschen• Liste der User, die gerade angemeldet sind• Liste der Systeme, die gerade eine Netzverbindung haben oder vor
kurzem eine hatten
doskey, scriptdate, time, wloggedonfport, lsofpslist, psnbtstat
24Stefan BeckerPolizeipräsidium Bonn
Digitale Spuren am laufenden System
Was ist bei der Live Response möglich?
Was ist möglich?• Welche Programme sind im Speicher aktiv? Sockets?• Wie wurden diese Programme gestartet? Aus welchem Pfad? In welcher
Reihenfolge? Durch welchen User?• Welche Informationen werden durch das Programm im RAM verarbeitet?• Welche User sind angemeldet?• Wie ist der Status der Netzverbindungen?
Was ist nicht möglich?• Ist das System mehrfach gebootet worden, sind die relevanten
Informationen weg.• Liegt der Vorfall länger zurück und ist das System gut ausgelastet, sind
die relevanten Informationen weg
27Stefan BeckerPolizeipräsidium Bonn
http://www.forensicswiki.org/wiki/Main_Page
Werkzeugkiste: Vorstellung einiger Tools
28Stefan BeckerPolizeipräsidium Bonn
Werkzeugkiste: Vorstellung einiger Tools
iX Incident Response Tools
29Stefan BeckerPolizeipräsidium Bonn
Anti Forensics
•WipingTools „Spurenvernichter“
•Verschlüsselung•Date/Time Manipulation
•Metadaten Manipulation
•Backdoors, Keylogger, Sniffer etc. und Rootkits (um diese Tools zu verstecken)
30Stefan BeckerPolizeipräsidium Bonn
Vielen Dank für Ihre Aufmerksamkeit!
Fighting Cybercrime - Digitale Kriminalistik
Zeit für Ihre Fragen!http://www.shortinfosec.nethttp://computer-forensik.orghttp://computer.forensikblog.dehttp://www.forensicswiki.org/wiki/Main_Page
http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-067.html