Upload
haphuc
View
220
Download
0
Embed Size (px)
Citation preview
Vorlesung IT-Sicherheit
Kapitel 6: IT-Forensik
Harald Baier
Hochschule Darmstadt, CASED
WS 2014/2015
Harald Baier IT-Forensik / WS 2014/2015 1/43
Grundlagen und Begriffsklarung
Grundlagen und Begriffsklarung
Prinzipien und Vorgehensmodelle
Datentrageranalyse
Dateisystemanalyse
Standardliteratur
Harald Baier IT-Forensik / WS 2014/2015 2/43
Grundlagen und Begriffsklarung
Forensik
1. Zentrales Ziel: Wissenschaftliche Beantwortung von Fragendes Rechts.
2. Etymologie:I Forum = Marktplatz (im antiken Rom).
I Auf Forum fanden Gerichtsverhandlungen statt.
I Beantwortung der Rechtsfragen im offentlichen Raum.
3. Kontext: strafbare bzw. anderweitig rechtswidrige odersozialschadliche Handlungen nachzuweisen und aufzuklaren.
Harald Baier IT-Forensik / WS 2014/2015 3/43
Grundlagen und Begriffsklarung
Spur
1. Eigenschaften:I Hinterlassenes Zeichen (z.B. Fahrte bei Tieren).
I Ausgangspunkt fur eine Untersuchung.
2. Arten von Spuren:I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.
I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).
I Wozu gehoren digitale Spuren?
Harald Baier IT-Forensik / WS 2014/2015 4/43
Grundlagen und Begriffsklarung
Indiz, Beweis
1. Indiz:I Hinweis, der mit anderen Indizien zusammen auf das Vorliegen
eines Sachverhalts schließen lasst.
I Gewurdigte Spur.
I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.
2. Beweis:I Feststellung eines Sachverhalts als Tatsache in einem
Gerichtsverfahren aufgrund richterlicher Uberzeugung.
I Juristische Wahrheit.
I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.
Harald Baier IT-Forensik / WS 2014/2015 5/43
Grundlagen und Begriffsklarung
Teilgebiete der Forensik
1. Forensische Medizin / Rechtsmedizin: Beantwortung vonRechtsfragen im Zusammenhang eines vermuteten
I nicht-naturlichen Todes (z.B. Todesursache, Todeszeitpunkt),
I Gewaltdeliktes (z.B. gegen Kinder, sexuelle Gewalt).
Bitte nicht mit Pathologie verwechseln!!
2. Forensische Toxikologie: Rechtsfragen zu chemischen oderbiologischen Stoffen (z.B. liegt eine Vergiftung vor?).
3. Ballistik: Rechtsfragen zu Geschossen (z.B. Zuordnung einerPatrone zu einer Pistole).
4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen.
Harald Baier IT-Forensik / WS 2014/2015 6/43
Grundlagen und Begriffsklarung
Aufgaben der Forensik im Einzelnen
1. Identifizieren, Sicherstellen, Selektieren und Analysieren vonSpuren, die im weiteren Verlauf der Ermittlungen zu Indizienund Beweisen werden konnen.
2. Dabei soll der Forensiker so wenig wie moglich in denUntersuchungsgegenstand eingreifen.
3. Grundsatzlich gilt das Paradigma der Integritat vonBeweismitteln.
4. Beispiel der IT-Forensik: Unverandertheit einer zuuntersuchenden Festplatte.
5. Dabei stets Einhaltung der Beweiskette: Chain of Custody. Esmuss immer klar dokumentiert sein, wer wann wie auf einBeweisstuck zugreifen kann.
Harald Baier IT-Forensik / WS 2014/2015 7/43
Grundlagen und Begriffsklarung
Das Locardsche Austauschprinzip: Einfuhrung
1. Edmond Locard (1877-1966):I Franzosischer Mediziner und Rechtsanwalt.
I Pionier der Kriminalistik und Forensik.
I ’Sherlock Holmes von Frankreich’.
I Direktor des weltweit ersten Kriminallabors in Lyon (1912 vonPolizei anerkannt).
2. Locard’s exchange principle:I With contact between two items, there will be an exchange.
I Jeder und alles am Tatort hinterlasst etwas und nimmt etwasmit (physische Spuren).
I Basis fur die Suche nach Spuren (die immer existieren).
Harald Baier IT-Forensik / WS 2014/2015 8/43
Grundlagen und Begriffsklarung
Das Locardsche Austauschprinzip: Ubersicht
Harald Baier IT-Forensik / WS 2014/2015 9/43
Grundlagen und Begriffsklarung
Das Locardsche Austauschprinzip: Zitat
Wherever he steps, whatever he touches, whatever he leaves, evenunconsciously, will serve as a silent witness against him. Not only hisfingerprints or his footprints, but his hair, the fibers from his clothes, theglass he breaks, the tool mark he leaves, the paint he scratches, theblood or semen he deposits or collects. All of these and more, bear mutewitness against him. This is evidence that does not forget. It is notconfused by the excitement of the moment. It is not absent becausehuman witnesses are. It is factual evidence. Physical evidence cannot bewrong, it cannot perjure itself, it cannot be wholly absent. Only humanfailure to find it, study and understand it, can diminish its value.
Zitiert nach Wikipedia
Harald Baier IT-Forensik / WS 2014/2015 10/43
Grundlagen und Begriffsklarung
IT-Forensik
1. Indizien, Spuren im Kontext eines IT-Systems (Computer,Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router,Netzkabel, WLAN, Cloud, ...).
2. Abstraktionsgrade:I Anwendungsebene: Applikationsdaten (z.B. sqlite, doc).
I Dateisystemebene: Dateisystem (z.B. NTFS, ext3).
I Datentragerebene: Partitionen (z.B. DOS-Partitionen).
I Bits und Bytes.
I Physische Spur: Signal.
Harald Baier IT-Forensik / WS 2014/2015 11/43
Grundlagen und Begriffsklarung
Kurzabriss: Tools
1. The Sleuthkit (TSK):I Toolsammlung zur IT-forensischen Analyse von Datentragern.
I Autor: Brian Carrier.
I Frontend (insbesondere fur Windows): Autopsy.
I Tools auf unterschiedlichen Abstraktionsebenen:I Dateisystemebene: fls, ils, blkcat.
I Datentragerebene: mmls.
2. dd: Datensicherung.
3. sha256sum: Berechnung von Hashwerten.
4. Schone Distribution: Kali Linux.
Harald Baier IT-Forensik / WS 2014/2015 12/43
Prinzipien und Vorgehensmodelle
Grundlagen und Begriffsklarung
Prinzipien und Vorgehensmodelle
Datentrageranalyse
Dateisystemanalyse
Standardliteratur
Harald Baier IT-Forensik / WS 2014/2015 13/43
Prinzipien und Vorgehensmodelle
Sieben W-Fragen der Kriminalistik
Typische Fragen im Zusammenhang mit einemErmittlungsverfahren:
1. Wer?
2. Was?
3. Wo?
4. Wann?
5. Womit?
6. Wie?
7. Weshalb?
Harald Baier IT-Forensik / WS 2014/2015 14/43
Prinzipien und Vorgehensmodelle
Anforderungen an IT-Forensik
1. Akzeptanz: Untersuchungsschritte und Methoden in derFachwelt dokumentiert und anerkannt
2. Glaubwurdigkeit: Robustheit und Funktionalitat derangewandten Methoden (Unterschied zu Akzeptanz?)
3. Wiederholbarkeit: Erneute Durchfuhrung der forensischenUntersuchung erzielt dieselben Ergebnisse
4. Integritat: Digitalen Spuren bleiben unverandert
5. Ursache und Auswirkungen: Verbindungen zwischenEreignissen, Spuren und evtl. auch Personen herstellen.
6. Dokumentation: Insbesondere Chain of Custody
Harald Baier IT-Forensik / WS 2014/2015 15/43
Prinzipien und Vorgehensmodelle
Vorgehensmodelle
1. S-A-P-Modell mit 3 Phasen:I Sichern: identifizieren und sichern von Spuren (z.B. Erstellung
der Master- sowie Arbeitskopien).
I Analysieren: vorverarbeiten (z.B. nur JPG-Bilder suchen),Inhalte sichten und korrelieren.
I Prasentieren: dokumentieren und fur bestimmte Zielgruppeaufarbeiten und vorstellen.
2. BSI-Vorgehensmodell:I Feingranularere Beschreibung der Phasen des S-A-P-Modells.
I Unterteilung in sechs Phasen.
Harald Baier IT-Forensik / WS 2014/2015 16/43
Prinzipien und Vorgehensmodelle
BSI-Vorgehensmodell: Ubersicht
Quelle: Denise Muth, BSI
Harald Baier IT-Forensik / WS 2014/2015 17/43
Prinzipien und Vorgehensmodelle
BSI-Vorgehensmodell: Phase 1 + Phase 2
1. Strategische Vorbereitung:I Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom).
I Bereitstellung von Datenquellen (z.B. Logs von Webdiensten,Verbindungsdaten von Routern).
I Einrichtung einer forensischen Workstation samt Zubehor(Tools, Write-Blocker, Kabel fur Smartphones).
I Festlegung von Handlungsanweisungen (z.B. Rucksprache mitJuristen).
2. Operative Vorbereitung:I Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls.
I Festlegung des konkreten Ziels der Ermittlung.
I Festlegung der nutzbaren Datenquellen (Datenschutzbeachten).
Harald Baier IT-Forensik / WS 2014/2015 18/43
Prinzipien und Vorgehensmodelle
BSI-Vorgehensmodell: Phase 3 + Phase 4
3. Datensammlung:I Eigentlich: Datenakquise oder Datensicherung.
I Sicherung der im Rahmen der operativen Vorbereitungfestgelegten Daten.
I Integritat der Datentrager sowie Vier-Augen-Prinzipberucksichtigen.
I Order of Volatility bei der Datensicherung beachten (z.B.RAM zuerst).
4. Datenuntersuchung:I Eigentlich: Vorverarbeitung fur anschließende Analyse.
I Datenreduktion (irrelevant vs. relevant).
I Datenrekonstruktion (z.B. Dateiwiederherstellung).
Harald Baier IT-Forensik / WS 2014/2015 19/43
Prinzipien und Vorgehensmodelle
BSI-Vorgehensmodell: Phase 5 + Phase 6
5. Datenanalyse:I Eigentliche Analyse der vorverarbeiteten Daten.
I Insbesondere Korrelation der Daten.
6. Dokumentation:I Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe
der verschiedenen Ermittlungsphasen.
I Ergebnisprotokoll: Adaption des Verlaufsprotokolls fur einebestimmte Zielgruppe (z.B. Staatsanwalt, Geschaftsleitung,IT-Abteilung).
I Nutzung standardisierter Terminologie (CERT-Terminologie).
Harald Baier IT-Forensik / WS 2014/2015 20/43
Datentrageranalyse
Grundlagen und Begriffsklarung
Prinzipien und Vorgehensmodelle
Datentrageranalyse
Dateisystemanalyse
Standardliteratur
Harald Baier IT-Forensik / WS 2014/2015 21/43
Datentrageranalyse
Erstellung der Arbeitskopien
Quelle: Denise Muth
1. Paradigma: Original so selten wie moglich verwenden.I Einfach bei klassischen Datentragern wie HDDs, SSDs,
SD-Karten, USB-Sticks.
I Schwierig(er) bei Smartphones, Hauptspeicher, Cloud
2. Verwendung von Schreibschutz (typischerweiseHardware-basierte Write-Blocker).
Harald Baier IT-Forensik / WS 2014/2015 22/43
Datentrageranalyse
Fallbeispiel: Sicherung externer HDD
# sha256sum /dev/sdb
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb
# dd if=/dev/sdb of=mastercopy.dd bs=512
# dd if=mastercopy.dd of=workingcopy.dd bs=512
# sha256sum mastercopy.dd workingcopy.dd
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 mastercopy.dd
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 workingcopy.dd
Harald Baier IT-Forensik / WS 2014/2015 23/43
Datentrageranalyse
Sektor, Partitionierung
1. Sektor:I Kleinste adressierbare Einheit auf einem Datentrager.
I Adressierungsschema: Logical Block Address (LBA), von vornenach hinten.
I Große: 512 Byte (alter), 4096 Byte (modern).
2. Partitionierung:I Ziel: Organisation in kleinere Bereiche zur Ablage
unterschiedlicher Daten (z.B. Windows parallel zu Linux;Betriebssystem vs. Nutzerdaten).
I Layout des Datentragers in Partitionstabelle beschrieben.
I Verbreitete Schemata: DOS-Partitionierung,GPT-Partitionierung.
I Sleuthkit-Tool: mmls.Harald Baier IT-Forensik / WS 2014/2015 24/43
Datentrageranalyse
Fallbeispiel: Partitionierung externer HDD
# mmls workingcopy.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C)
03: ----- 0960237568 0960239615 0000002048 Unallocated
04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05)
05: Meta 0960239614 0960239614 0000000001 Extended Table (#1)
06: 01:00 0960239616 0976771071 0016531456 Linux Swap / Solaris x86 (0x82)
07: ----- 0976771072 0976773167 0000002096 Unallocated
Harald Baier IT-Forensik / WS 2014/2015 25/43
Datentrageranalyse
Fallbeispiel: USB-Stick
[SECURE /dev/sdb to image-usb.dd]
$ mmls image-usb.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000000031 0000000032 Unallocated
02: 00:00 0000000032 0003915775 0003915744 DOS FAT16 (0x06)
$ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744
3915744+0 records in
3915744+0 records out
$ sha256sum partition-fat.dd
c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649 partition-fat.dd
Harald Baier IT-Forensik / WS 2014/2015 26/43
Dateisystemanalyse
Grundlagen und Begriffsklarung
Prinzipien und Vorgehensmodelle
Datentrageranalyse
Dateisystemanalyse
Standardliteratur
Harald Baier IT-Forensik / WS 2014/2015 27/43
Dateisystemanalyse
Grundlagen
1. Schnittstelle zwischen Betriebssystem und verbundenenDatentragern.
2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort.
3. Phanomen Fragmentierung.
4. Cluster:I Kleinste adressierbare Einheit auf Dateisystemebene.
I Alternative Bezeichnungen: FS-Block (File System Block) odernur Block.
I Typische Große: 4096 Byte = 4 KiB.
5. Dateisystemanalyse: Untersuchung der analysefahigenStrukturen auf Dateisystemebene.
Harald Baier IT-Forensik / WS 2014/2015 28/43
Dateisystemanalyse
Beispiele fur Dateisysteme
1. extended file system: (ext2, ext3, ext4 = extX)I Standarddateisystem unter Linux.
I ext4 ist heute Standarddateisystem unter Android.
2. FAT-Dateisystem (FAT12, FAT16, FAT32)I Alteres Dateisystem von Microsoft (aus MS-DOS-Zeiten).
I Heute noch gebrauchlich auf Wechseldatentragern.
3. New Technology File System (NTFS):I Aktuelles Dateisystem von Microsoft.
I Wegen Windows-Verbreitung sehr bedeutend.
4. Hierarchical File System (HFS/HFS+):I Aktuelles Dateisystem von Apple.
Harald Baier IT-Forensik / WS 2014/2015 29/43
Dateisystemanalyse
Kategorien von Brian Carrier
Dateisystemdaten:
1. Grundlegende Informationen zu Dateisystem.
2. ’Am Anfang’ des Dateisystems: Bootsektor.
3. Typische Dateisystemdaten:I Clustergroße.
I Große des Dateisystems.
I Belegtstatus der Cluster: welche sind belegt, wie viele sindbelegt.
I Pointer zu weiteren Informationen uber das Dateisystem.
Harald Baier IT-Forensik / WS 2014/2015 30/43
Dateisystemanalyse
Kategorien von Brian Carrier
Metadaten:
1. Verwaltungs-Informationen uber eine Datei.
2. Zeitstempel:I Modified Time: Last write access.
I Accessed Time: Last read access.
I Creation Time: File has been created.
I Manchmal noch vierter Zeitstempel (wann geloscht, wannMetadaten geandert, ...).
3. Dateigroße.
4. Pointer zu den Inhaltsdaten (z.B. Clusteradressen).
5. Inhaber samt Zugriffsrechte.
Harald Baier IT-Forensik / WS 2014/2015 31/43
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition (1/2)
$ fsstat partition-fat.dd
FILE SYSTEM INFORMATION
--------------------------------------------
OEM Name: MSWIN4.1
Volume ID: 0xc2f8e4f2
Volume Label (Boot Sector): NO NAME
File System Type Label: FAT16
File System Layout (in sectors)
Total Range: 0 - 3915743
* Reserved: 0 - 1
** Boot Sector: 0
* FAT 0: 2 - 240
* FAT 1: 241 - 479
* Data Area: 480 - 3915743
** Root Directory: 480 - 511
** Cluster Area: 512 - 3915711
** Non-clustered: 3915712 - 3915743
[cont]Harald Baier IT-Forensik / WS 2014/2015 32/43
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition (2/2)
[cont]
METADATA INFORMATION
--------------------------------------------
Range: 2 - 62644230
Root Directory: 2
CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 32768
Total Cluster Range: 2 - 61176
FAT CONTENTS (in sectors)
--------------------------------------------
Harald Baier IT-Forensik / WS 2014/2015 33/43
Dateisystemanalyse
Fallbeispiel: Dateien auf USB-Stick
$ fls -ar partition-fat.dd
r/r * 3: _ICT0001.JPG
r/r * 4: _ICT0003.JPG
r/r * 5: _ICT0004.JPG
r/r * 6: _ICT0005.JPG
r/r * 7: _ICT0017.JPG
r/r * 8: _ICT0009.JPG
[REMOVED]
Nur geloschte Dateien auf USB-Stick
Harald Baier IT-Forensik / WS 2014/2015 34/43
Dateisystemanalyse
Fallbeispiel: Metadaten auf USB-Stick
Metadaten der geloschten Datei unter Inode 3
$ istat partition-fat.dd 3
Directory Entry: 3
Not Allocated
File Attributes: File, Archive
Size: 2438492
Name: _ICT0001.JPG
Directory Entry Times:
Written: Sat Mar 27 09:23:06 2010
Accessed: Fri Jun 4 00:00:00 2010
Created: Sat Apr 3 14:26:56 2010
Sectors:
512 513 514 515 516 517 518 519
520 521 522 523 524 525 526 527
528 529 530 531 532 533 534 535
536 537 538 539 540 541 542 543
[REMOVED]
Harald Baier IT-Forensik / WS 2014/2015 35/43
Dateisystemanalyse
Fallbeispiel: Wiederherstellung auf USB-Stick
Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG
$ icat -r partition-fat.dd 3 > usb-pic1.jpg
$ file usb-pic1.jpg
usb-pic1.jpg: JPEG image data, JFIF standard 1.01
$ sha256sum usb-pic1.jpg
0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg
Harald Baier IT-Forensik / WS 2014/2015 36/43
Standardliteratur
Grundlagen und Begriffsklarung
Prinzipien und Vorgehensmodelle
Datentrageranalyse
Dateisystemanalyse
Standardliteratur
Harald Baier IT-Forensik / WS 2014/2015 37/43
Standardliteratur
Brian Carrier: File System Forensic Analysis
Source: www.digital-evidence.org Source: www.purdue.edu
1. Wichtige Referenz fur diese Vorlesung.
2. Sehr schone Darstellung der Sicherung und Untersuchung vonDaten / Dateisystemen.
3. Exzellente Details und Aufbereitung der Dateisystemanalysefur gangige Dateisysteme.
4. Carrier ist Autor des Sleuthkits.Harald Baier IT-Forensik / WS 2014/2015 38/43
Standardliteratur
Alexander Geschonneck: Computerforensik
Source: www.amazon.de Source: www.cast-forum.de
1. Aktuell: 6. Auflage ab 27.03.2014.
2. Das Standardwerk in deutscher Sprache.
3. Guter Uberblick, eher Management-orientiert.
4. Viel weniger Details als bei Carrier.
Harald Baier IT-Forensik / WS 2014/2015 39/43
Standardliteratur
Eoghan Casey (Editor): Handbook of Digital Forensics
Source: www.amazon.de Source: www.technologytransfer.eu
1. Vollstandiger Titel: Handbook of Digital Forensics andInvestigation.
2. DAS Handbuch fur Computerforensik.
3. Casey konnte 15 weitere Autoren fur das Handbuch gewinnen.
4. Detaillierte Beschreibung der Vorgehensmodelle und Technik.
5. Viele Practitioner’s Tips.Harald Baier IT-Forensik / WS 2014/2015 40/43
Standardliteratur
Keith Jones et.al.: Real Digital Forensics
Curtis W. RoseSources: www.amazon.com www.jonesdykstra.com www.mandiant.com
1. Sehr Praxis-orientiert.
2. Stellen Images fiktiver Falle zur Verfugung.
3. Spezielle Themen: E-Mail-Analyse, Windows-Registry, Analyseunbekannter Executables.
Harald Baier IT-Forensik / WS 2014/2015 41/43
Standardliteratur
Weitere Web-Quellen: www.forensicswiki.org
Harald Baier IT-Forensik / WS 2014/2015 42/43