Vorlesung IT-Sicherheit [4ex] Kapitel 6: IT-Forensik · 4.Beispiel der IT-Forensik: Unver andertheit einer zu untersuchenden Festplatte. 5.Dabei stets Einhaltung der Beweiskette:Chain

Vorlesung IT-Sicherheit

Kapitel 6: IT-Forensik

Harald Baier

Hochschule Darmstadt, CASED

WS 2014/2015

Harald Baier IT-Forensik / WS 2014/2015 1/43

Grundlagen und Begriffsklarung


Prinzipien und Vorgehensmodelle

Datentrageranalyse

Dateisystemanalyse

Standardliteratur



Forensik

1. Zentrales Ziel: Wissenschaftliche Beantwortung von Fragendes Rechts.

2. Etymologie:I Forum = Marktplatz (im antiken Rom).

I Auf Forum fanden Gerichtsverhandlungen statt.

I Beantwortung der Rechtsfragen im offentlichen Raum.

3. Kontext: strafbare bzw. anderweitig rechtswidrige odersozialschadliche Handlungen nachzuweisen und aufzuklaren.



Spur

1. Eigenschaften:I Hinterlassenes Zeichen (z.B. Fahrte bei Tieren).

I Ausgangspunkt fur eine Untersuchung.

2. Arten von Spuren:I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.

I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).

I Wozu gehoren digitale Spuren?



Indiz, Beweis

1. Indiz:I Hinweis, der mit anderen Indizien zusammen auf das Vorliegen

eines Sachverhalts schließen lasst.

I Gewurdigte Spur.

I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.

2. Beweis:I Feststellung eines Sachverhalts als Tatsache in einem

Gerichtsverfahren aufgrund richterlicher Uberzeugung.

I Juristische Wahrheit.

I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.



Teilgebiete der Forensik

1. Forensische Medizin / Rechtsmedizin: Beantwortung vonRechtsfragen im Zusammenhang eines vermuteten

I nicht-naturlichen Todes (z.B. Todesursache, Todeszeitpunkt),

I Gewaltdeliktes (z.B. gegen Kinder, sexuelle Gewalt).

Bitte nicht mit Pathologie verwechseln!!

2. Forensische Toxikologie: Rechtsfragen zu chemischen oderbiologischen Stoffen (z.B. liegt eine Vergiftung vor?).

3. Ballistik: Rechtsfragen zu Geschossen (z.B. Zuordnung einerPatrone zu einer Pistole).

4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen.



Aufgaben der Forensik im Einzelnen

1. Identifizieren, Sicherstellen, Selektieren und Analysieren vonSpuren, die im weiteren Verlauf der Ermittlungen zu Indizienund Beweisen werden konnen.

2. Dabei soll der Forensiker so wenig wie moglich in denUntersuchungsgegenstand eingreifen.

3. Grundsatzlich gilt das Paradigma der Integritat vonBeweismitteln.

4. Beispiel der IT-Forensik: Unverandertheit einer zuuntersuchenden Festplatte.

5. Dabei stets Einhaltung der Beweiskette: Chain of Custody. Esmuss immer klar dokumentiert sein, wer wann wie auf einBeweisstuck zugreifen kann.



Das Locardsche Austauschprinzip: Einfuhrung

1. Edmond Locard (1877-1966):I Franzosischer Mediziner und Rechtsanwalt.

I Pionier der Kriminalistik und Forensik.

I ’Sherlock Holmes von Frankreich’.

I Direktor des weltweit ersten Kriminallabors in Lyon (1912 vonPolizei anerkannt).

2. Locard’s exchange principle:I With contact between two items, there will be an exchange.

I Jeder und alles am Tatort hinterlasst etwas und nimmt etwasmit (physische Spuren).

I Basis fur die Suche nach Spuren (die immer existieren).



Das Locardsche Austauschprinzip: Ubersicht



Das Locardsche Austauschprinzip: Zitat

Wherever he steps, whatever he touches, whatever he leaves, evenunconsciously, will serve as a silent witness against him. Not only hisfingerprints or his footprints, but his hair, the fibers from his clothes, theglass he breaks, the tool mark he leaves, the paint he scratches, theblood or semen he deposits or collects. All of these and more, bear mutewitness against him. This is evidence that does not forget. It is notconfused by the excitement of the moment. It is not absent becausehuman witnesses are. It is factual evidence. Physical evidence cannot bewrong, it cannot perjure itself, it cannot be wholly absent. Only humanfailure to find it, study and understand it, can diminish its value.

Zitiert nach Wikipedia



IT-Forensik

1. Indizien, Spuren im Kontext eines IT-Systems (Computer,Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router,Netzkabel, WLAN, Cloud, ...).

2. Abstraktionsgrade:I Anwendungsebene: Applikationsdaten (z.B. sqlite, doc).

I Dateisystemebene: Dateisystem (z.B. NTFS, ext3).

I Datentragerebene: Partitionen (z.B. DOS-Partitionen).

I Bits und Bytes.

I Physische Spur: Signal.



Kurzabriss: Tools

1. The Sleuthkit (TSK):I Toolsammlung zur IT-forensischen Analyse von Datentragern.

I Autor: Brian Carrier.

I Frontend (insbesondere fur Windows): Autopsy.

I Tools auf unterschiedlichen Abstraktionsebenen:I Dateisystemebene: fls, ils, blkcat.

I Datentragerebene: mmls.

2. dd: Datensicherung.

3. sha256sum: Berechnung von Hashwerten.

4. Schone Distribution: Kali Linux.





Datentrageranalyse

Dateisystemanalyse

Standardliteratur



Sieben W-Fragen der Kriminalistik

Typische Fragen im Zusammenhang mit einemErmittlungsverfahren:

1. Wer?

2. Was?

3. Wo?

4. Wann?

5. Womit?

6. Wie?

7. Weshalb?



Anforderungen an IT-Forensik

1. Akzeptanz: Untersuchungsschritte und Methoden in derFachwelt dokumentiert und anerkannt

2. Glaubwurdigkeit: Robustheit und Funktionalitat derangewandten Methoden (Unterschied zu Akzeptanz?)

3. Wiederholbarkeit: Erneute Durchfuhrung der forensischenUntersuchung erzielt dieselben Ergebnisse

4. Integritat: Digitalen Spuren bleiben unverandert

5. Ursache und Auswirkungen: Verbindungen zwischenEreignissen, Spuren und evtl. auch Personen herstellen.

6. Dokumentation: Insbesondere Chain of Custody



Vorgehensmodelle

1. S-A-P-Modell mit 3 Phasen:I Sichern: identifizieren und sichern von Spuren (z.B. Erstellung

der Master- sowie Arbeitskopien).

I Analysieren: vorverarbeiten (z.B. nur JPG-Bilder suchen),Inhalte sichten und korrelieren.

I Prasentieren: dokumentieren und fur bestimmte Zielgruppeaufarbeiten und vorstellen.

2. BSI-Vorgehensmodell:I Feingranularere Beschreibung der Phasen des S-A-P-Modells.

I Unterteilung in sechs Phasen.



BSI-Vorgehensmodell: Ubersicht

Quelle: Denise Muth, BSI



BSI-Vorgehensmodell: Phase 1 + Phase 2

1. Strategische Vorbereitung:I Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom).

I Bereitstellung von Datenquellen (z.B. Logs von Webdiensten,Verbindungsdaten von Routern).

I Einrichtung einer forensischen Workstation samt Zubehor(Tools, Write-Blocker, Kabel fur Smartphones).

I Festlegung von Handlungsanweisungen (z.B. Rucksprache mitJuristen).

2. Operative Vorbereitung:I Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls.

I Festlegung des konkreten Ziels der Ermittlung.

I Festlegung der nutzbaren Datenquellen (Datenschutzbeachten).




3. Datensammlung:I Eigentlich: Datenakquise oder Datensicherung.

I Sicherung der im Rahmen der operativen Vorbereitungfestgelegten Daten.

I Integritat der Datentrager sowie Vier-Augen-Prinzipberucksichtigen.

I Order of Volatility bei der Datensicherung beachten (z.B.RAM zuerst).

4. Datenuntersuchung:I Eigentlich: Vorverarbeitung fur anschließende Analyse.

I Datenreduktion (irrelevant vs. relevant).

I Datenrekonstruktion (z.B. Dateiwiederherstellung).




5. Datenanalyse:I Eigentliche Analyse der vorverarbeiteten Daten.

I Insbesondere Korrelation der Daten.

6. Dokumentation:I Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe

der verschiedenen Ermittlungsphasen.

I Ergebnisprotokoll: Adaption des Verlaufsprotokolls fur einebestimmte Zielgruppe (z.B. Staatsanwalt, Geschaftsleitung,IT-Abteilung).

I Nutzung standardisierter Terminologie (CERT-Terminologie).


Datentrageranalyse



Datentrageranalyse

Dateisystemanalyse

Standardliteratur


Datentrageranalyse

Erstellung der Arbeitskopien

Quelle: Denise Muth

1. Paradigma: Original so selten wie moglich verwenden.I Einfach bei klassischen Datentragern wie HDDs, SSDs,

SD-Karten, USB-Sticks.

I Schwierig(er) bei Smartphones, Hauptspeicher, Cloud

2. Verwendung von Schreibschutz (typischerweiseHardware-basierte Write-Blocker).


Datentrageranalyse

Fallbeispiel: Sicherung externer HDD

# sha256sum /dev/sdb

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb

# dd if=/dev/sdb of=mastercopy.dd bs=512

# dd if=mastercopy.dd of=workingcopy.dd bs=512

# sha256sum mastercopy.dd workingcopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 mastercopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 workingcopy.dd


Datentrageranalyse

Sektor, Partitionierung

1. Sektor:I Kleinste adressierbare Einheit auf einem Datentrager.

I Adressierungsschema: Logical Block Address (LBA), von vornenach hinten.

I Große: 512 Byte (alter), 4096 Byte (modern).

2. Partitionierung:I Ziel: Organisation in kleinere Bereiche zur Ablage

unterschiedlicher Daten (z.B. Windows parallel zu Linux;Betriebssystem vs. Nutzerdaten).

I Layout des Datentragers in Partitionstabelle beschrieben.

I Verbreitete Schemata: DOS-Partitionierung,GPT-Partitionierung.

I Sleuthkit-Tool: mmls.Harald Baier IT-Forensik / WS 2014/2015 24/43

Datentrageranalyse

Fallbeispiel: Partitionierung externer HDD

# mmls workingcopy.dd

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000002047 0000002048 Unallocated

02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C)

03: ----- 0960237568 0960239615 0000002048 Unallocated

04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05)

05: Meta 0960239614 0960239614 0000000001 Extended Table (#1)

06: 01:00 0960239616 0976771071 0016531456 Linux Swap / Solaris x86 (0x82)

07: ----- 0976771072 0976773167 0000002096 Unallocated


Datentrageranalyse

Fallbeispiel: USB-Stick

[SECURE /dev/sdb to image-usb.dd]

$ mmls image-usb.dd

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000000031 0000000032 Unallocated

02: 00:00 0000000032 0003915775 0003915744 DOS FAT16 (0x06)

$ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744

3915744+0 records in

3915744+0 records out

$ sha256sum partition-fat.dd

c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649 partition-fat.dd


Dateisystemanalyse



Datentrageranalyse

Dateisystemanalyse

Standardliteratur


Dateisystemanalyse

Grundlagen

1. Schnittstelle zwischen Betriebssystem und verbundenenDatentragern.

2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort.

3. Phanomen Fragmentierung.

4. Cluster:I Kleinste adressierbare Einheit auf Dateisystemebene.

I Alternative Bezeichnungen: FS-Block (File System Block) odernur Block.

I Typische Große: 4096 Byte = 4 KiB.

5. Dateisystemanalyse: Untersuchung der analysefahigenStrukturen auf Dateisystemebene.


Dateisystemanalyse

Beispiele fur Dateisysteme

1. extended file system: (ext2, ext3, ext4 = extX)I Standarddateisystem unter Linux.

I ext4 ist heute Standarddateisystem unter Android.

2. FAT-Dateisystem (FAT12, FAT16, FAT32)I Alteres Dateisystem von Microsoft (aus MS-DOS-Zeiten).

I Heute noch gebrauchlich auf Wechseldatentragern.

3. New Technology File System (NTFS):I Aktuelles Dateisystem von Microsoft.

I Wegen Windows-Verbreitung sehr bedeutend.

4. Hierarchical File System (HFS/HFS+):I Aktuelles Dateisystem von Apple.


Dateisystemanalyse

Kategorien von Brian Carrier

Dateisystemdaten:

1. Grundlegende Informationen zu Dateisystem.

2. ’Am Anfang’ des Dateisystems: Bootsektor.

3. Typische Dateisystemdaten:I Clustergroße.

I Große des Dateisystems.

I Belegtstatus der Cluster: welche sind belegt, wie viele sindbelegt.

I Pointer zu weiteren Informationen uber das Dateisystem.


Dateisystemanalyse

Kategorien von Brian Carrier

Metadaten:

1. Verwaltungs-Informationen uber eine Datei.

2. Zeitstempel:I Modified Time: Last write access.

I Accessed Time: Last read access.

I Creation Time: File has been created.

I Manchmal noch vierter Zeitstempel (wann geloscht, wannMetadaten geandert, ...).

3. Dateigroße.

4. Pointer zu den Inhaltsdaten (z.B. Clusteradressen).

5. Inhaber samt Zugriffsrechte.


Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition (1/2)

$ fsstat partition-fat.dd

FILE SYSTEM INFORMATION

--------------------------------------------

OEM Name: MSWIN4.1

Volume ID: 0xc2f8e4f2

Volume Label (Boot Sector): NO NAME

File System Type Label: FAT16

File System Layout (in sectors)

Total Range: 0 - 3915743

* Reserved: 0 - 1

** Boot Sector: 0

* FAT 0: 2 - 240

* FAT 1: 241 - 479

* Data Area: 480 - 3915743

** Root Directory: 480 - 511

** Cluster Area: 512 - 3915711

** Non-clustered: 3915712 - 3915743

[cont]Harald Baier IT-Forensik / WS 2014/2015 32/43

Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition (2/2)

[cont]

METADATA INFORMATION

--------------------------------------------

Range: 2 - 62644230

Root Directory: 2

CONTENT INFORMATION

--------------------------------------------

Sector Size: 512

Cluster Size: 32768

Total Cluster Range: 2 - 61176

FAT CONTENTS (in sectors)

--------------------------------------------


Dateisystemanalyse

Fallbeispiel: Dateien auf USB-Stick

$ fls -ar partition-fat.dd

r/r * 3: _ICT0001.JPG

r/r * 4: _ICT0003.JPG

r/r * 5: _ICT0004.JPG

r/r * 6: _ICT0005.JPG

r/r * 7: _ICT0017.JPG

r/r * 8: _ICT0009.JPG

[REMOVED]

Nur geloschte Dateien auf USB-Stick


Dateisystemanalyse

Fallbeispiel: Metadaten auf USB-Stick

Metadaten der geloschten Datei unter Inode 3

$ istat partition-fat.dd 3

Directory Entry: 3

Not Allocated

File Attributes: File, Archive

Size: 2438492

Name: _ICT0001.JPG

Directory Entry Times:

Written: Sat Mar 27 09:23:06 2010

Accessed: Fri Jun 4 00:00:00 2010

Created: Sat Apr 3 14:26:56 2010

Sectors:

512 513 514 515 516 517 518 519

520 521 522 523 524 525 526 527

528 529 530 531 532 533 534 535

536 537 538 539 540 541 542 543

[REMOVED]


Dateisystemanalyse

Fallbeispiel: Wiederherstellung auf USB-Stick

Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG

$ icat -r partition-fat.dd 3 > usb-pic1.jpg

$ file usb-pic1.jpg

usb-pic1.jpg: JPEG image data, JFIF standard 1.01

$ sha256sum usb-pic1.jpg

0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg


Standardliteratur



Datentrageranalyse

Dateisystemanalyse

Standardliteratur


Standardliteratur

Brian Carrier: File System Forensic Analysis

Source: www.digital-evidence.org Source: www.purdue.edu

1. Wichtige Referenz fur diese Vorlesung.

2. Sehr schone Darstellung der Sicherung und Untersuchung vonDaten / Dateisystemen.

3. Exzellente Details und Aufbereitung der Dateisystemanalysefur gangige Dateisysteme.

4. Carrier ist Autor des Sleuthkits.Harald Baier IT-Forensik / WS 2014/2015 38/43

Standardliteratur

Alexander Geschonneck: Computerforensik

Source: www.amazon.de Source: www.cast-forum.de

1. Aktuell: 6. Auflage ab 27.03.2014.

2. Das Standardwerk in deutscher Sprache.

3. Guter Uberblick, eher Management-orientiert.

4. Viel weniger Details als bei Carrier.


Standardliteratur

Eoghan Casey (Editor): Handbook of Digital Forensics

Source: www.amazon.de Source: www.technologytransfer.eu

1. Vollstandiger Titel: Handbook of Digital Forensics andInvestigation.

2. DAS Handbuch fur Computerforensik.

3. Casey konnte 15 weitere Autoren fur das Handbuch gewinnen.

4. Detaillierte Beschreibung der Vorgehensmodelle und Technik.

5. Viele Practitioner’s Tips.Harald Baier IT-Forensik / WS 2014/2015 40/43

Standardliteratur

Keith Jones et.al.: Real Digital Forensics

Curtis W. RoseSources: www.amazon.com www.jonesdykstra.com www.mandiant.com

1. Sehr Praxis-orientiert.

2. Stellen Images fiktiver Falle zur Verfugung.

3. Spezielle Themen: E-Mail-Analyse, Windows-Registry, Analyseunbekannter Executables.


Standardliteratur

Weitere Web-Quellen: www.forensicswiki.org


Standardliteratur

Weitere Web-Quellen: opensourceforensics.org


Documents

Vorlesung IT-Sicherheit [4ex] Kapitel 6: IT-Forensik · 4.Beispiel der IT-Forensik: Unver andertheit einer zu untersuchenden Festplatte. 5.Dabei stets Einhaltung der Beweiskette:Chain