BSI Leitfaden IT-Forensik Version 1.0.1
Contents
1. Die TCP Pakete wurden ausgewertet tshark q z conv tcp r Mitschnitt cap Die UDP Pakete wurden ausgewertet tshark q z conv udp r Mitschnitt cap Das Untersuchungsergebnis wurde so gespeichert dass dessen Integrit t jederzeit berpr fbar bleibt Der HASH Wert des Untersuchungsergebnisses wurde ermittelt Der HASH Wert des Untersuchungsergebnisses wurde mit sha256sum berechnet sha256sum Untersuchungsprotokoll Der HASH Wert wurde separat vermerkt 342 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Ablaufliste zur Durchf hrung einer untersuchungsbegleitenden Dokumentation Diese Ablaufliste dient im Wesentlichen dem Verst ndnis f r die Notwendigkeit einer Dokumentation der einzelnen Untersuchungsschritte Daher wird auf die Nennung konkreter Werkzeuge verzichtet Strategische Vorbereitung siehe Kapitel Authentische und integere forensische Werkzeuge wurden aus einer vertrauensw rdigen Quelle beschafft und abgelegt Die forensischen Werkzeuge wurden anhand ihrer Eigenschaften wie in Kapitel beschrieben klassifiziert Ein Management f r kryptographische Schl ssel wurde zusammen mit einer M glichkeit der R cknahme einzelner Schl ssel initiiert Operationale Vorbereitung siehe Kapitel Die IT Komponenten wurden anhand eindeutiger2. Tabelle 9 Grobeinteilung der grundlegenden Methode IT Anwendung ITA Es ist ersichtlich dass nach Beachtung der strategischen Vorbereitung die ausgew hlten Methoden im Bereich der Datensammlung arbeiten Im Kapitel werden exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode ITA vorgestellt Die grundlegende Methode Skalierung von Beweismitteln Die grundlegende Methode Skalierung von Beweismitteln umfasst all jene Methoden die nur im konkreten Verdachtsfall eines Zwischenfalls durchgef hrt werden Dies kann darin begr ndet liegen dass sie den Betrieb eines IT Systems empfindlich st ren oder un bersichtliche Datenmengen produzieren Skalierung wird dahingehend interpretiert dass es in einem konkreten Fall sinnvoll ist zus tzliche Daten zu erheben Ein klassisches Beispiel hierf r w re das Mitschneiden des gesamten Netzwerkverkehrs was aus Kapazit tsgr nden unter normalen Umst nden nicht ratsam ist Einordnung in Abschnitte des forensischen Prozesses Um eine erste Einordnung der im Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 10 verwiesen 78 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik SB Skalierung von Beweism glichkeiten SV Strategische Vorbereitung OV Operationale Vorbereitung DS A Datensammlung US X Untersuchung DA Datenanlayse DO Dokumenta
3. 296 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Dokumentation Abschlie end wurde aus diesen Beobachtungen ein beispielhafter Bericht erstellt Forensische Untersuchung betreffs der Abmahnung vom xx xx xxxx Untersuchung auf der Firewall Untersuchender Max Mustermann Beginn der Untersuchung 24 07 2008 10 18 GMT 1 00 Beim Eintreffen war die Firewall in Betrieb ein Nutzer war nicht angemeldet F r die Datensammlung wurde im Anschluss der Nutzer root angemeldet Im Folgenden wurde proc net ip conntrack auf einen mitgebrachten USB Datenspeicher gesichert und die SHA256 Pr fsumme gebildet Diese wurde auf dem Beweiszettel notiert Des Weiteren wurden alle Dateien welche mit syslog beginnen und sich in var log befanden auf den USB Datenspeicher gesichert Auch hier wurden wiederum die SHA256 Priifsummen gebildet und notiert Im Anschluss wurde der USB Datenspeicher ausgeh ngt und abgezogen zus tzlich wurde der Schreibschutzschalter umgelegt Nun wurde der Nutzer abgemeldet Die folgende Untersuchung fand auf der forensischen Workstation statt wo im Wesentlichen die Werkzeuge gzip cat grep sowie less verwendet wurden Die Untersuchung von ip _conntrack ergab dass zum Untersuchungszeitpunkt keine Filesharing Aktivit ten feststellbar waren Die Firewalllogs zeigten jedoch verd chtige Aktivit ten vom Arbeitsplatz mit der IP 192 168 0 10 zum angeg
4. Ach06 Achilles Albrecht Betriebssysteme Springer Verlag ISBN 3 540 23805 0 2006 AIt08 Altschaffel Robert Die Dokumentationsfunktion des forensischen Prozesses Studienarbeit eingereicht bei der Fakult t f r Informatik der Universit t Magdeburg November 2008 Boc08 Bock Wolfgang Macek G nther Oberndorfer Thomas Pumsenberger Robert Praxisbuch ITIL Galileo Press ISBN 978 3 8362 1168 0 2008 BSI02 Bundesamt f r Sicherheit in der Informationstechnik Integrierte Geb udesysteme Technologien Sicherheit und M rkte ISBN 3 992476 39 X SecuMedia Verlag 2002 BSI07 Bundesamt fiir Sicherheit in der Informationstechnik Sichere Anbindung von lokalen Netzen an das Internet Isi LANA http www bsi bund de literat studien ISILana ISi S LANA pdf 2007 BSI07a Bundesamt f r Sicherheit in der Informationstechnik Studie ber die Nutzung von Log und Monitoringdaten im Rahmen der IT Fr hwarnung und f r einen sicheren IT Betrieb http www bsi bund de literat studien logdaten logdatenstudie pdf 2007 Buc05 Buchholz Florian Falk Courtney Design and Implementation of Zeitline A Forensic Timeline Editor Proceedings DFRWS 2005 http www dfrws org 2005 proceedings buchholz_zeitline pdf 2005 Bun06 Bunting Steve Wei William The official EnCE EnCase Certified Examiner Study Guide Wiley Publishing Inc ISBN 0 7821 4435 7 2006 Car05 Carrier Brian File System Forensic Analysis Addison Wesley
5. Die Grundlegende Methode Datenbearbeitung und Auswertung In der grundlegenden Methode der Datenbearbeitung und Auswertung DBA werden Methoden und Werkzeuge beschrieben welche in der Lage sind Daten zu transformieren zu reduzieren und eine Korrelation bzw die Auswertung zu unterst tzen Hier ist ein Gro teil der dedizierten forensischen Software einzuordnen Um eine zusammenfassende Einordnung der in diesem Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 31 verwiesen DBA Datenbearbeitung und Auswertung SV Strategische Vorbereitung OV Operationale Vorbereitung DS Logparser Datensammlung US Scalpel Logparser Exifprobe PDF parse mdSdeep Untersuchung DA Logparser Zeitline Datenanalyse DO md5deep Dokumentation Tabelle 31 Zusammenfassung der Einordnung der grundlegenden Methode DBA anhand der identifizierten Eigenschaften ausgew hlter forensischer Methoden Die Tabelle 31 zeigt dass die ausgew hlten Methoden im Bereich der Daten sammlung der Untersuchung der Datenanalyse und der Dokumentation im forensischen Prozess im Sinne des im vorliegenden Leitfaden vorgestellten Modells arbeiten Bevor ausgew hlte forensische Werkzeuge mit ihren Eigen schaften vorgestellt werden sollen zun chst wichtige allgemeine Vorgehenswei sen der Datenbearbeitung und Auswertung vorgestellt werden Untersuchung von Log Dateien Im
6. Einsatz der IT Forensik anhand ausgew hlter Szenarien Aus diesen Erkenntnissen ist es m glich weitere Fragen der CERT Taxonomie zu kl ren Die Tabelle 56 verdeutlicht dieses Ergebnis und zeigt dass sowohl Werkzeug Schwachstelle als auch Angreifer gefunden werden konnten Angreifer Werkzeuge Schwachstelle Aktion Ziel Resultat Absicht 192 168 3 200 Programme Implementation Modifizieren Computer Ausweitung oder Scripte von Nutzer mit Schadens rechten funktion Tabelle 56 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Um den genauen Verursacher zu ermitteln w re eine Untersuchung auf dem ausl senden System das bereits identifiziert werden konnte m glich Diese M glichkeit ergibt sich im Allgemeinen nur im Fall eines Vorfalls aus dem Intranet da nur hier ein physischer Zugriff auf das verd chtige System realistisch scheint Dokumentation Abschlie end m ssen diePokumentation gewonnenen Erkenntnisse in einen Bericht berf hrt werden Nachfolgend soll ein solcher Beispielbericht gezeigt werden Forensische Abschlie ender Untersuchung betreffs des Rootkitbefalls des Bericht Intranetservers S4 vom XX XX XXXX Untersuchender Max Mustermann Beginn der Untersuchung 21 08 2008 12 46 GMT 1 00 Beim Eintreffen war der Server S4 in Betrieb ein Nutzer war nicht angemeldet F r die Datensammlung wurde das System vom Stromnetz getrennt
7. In der eigentlichen Datensammlung wurde dann das Festplattenabbild repliziert Die in Tabelle 58 dargestellte Auswahl an Werkzeugen legt die Wahl des forensischen Werkzeugs zur Erstellung von Datentr gerabbildern auf defldd f r diese Aufgabe fest BS FS EME ITA SB DBA Hardwaredaten Rohdaten LI II om Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 58 Werkzeuge f r die Datensammlung Untersuchung Anschlie end wurden die gesammelten Rohdaten untersucht An dieser Stelle war bekannt dass vor allen Sitzungsdaten und Anwenderdaten f r eine weitere Unter suchung von Interesse sind Dadurch ergab sich die in Tabelle 59 dargestellte Ma nahmensammlung aus der dann die einzelnen Werkzeuge ausgew hlt wurden 221 http defldd sourceforge net 278 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Details tiber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 59 Ma nahmen der Untersuchung Dabei wurde eine Kopie des Festplattenabbilds in einer virtuellen Maschine gestartet um Zugriff auf die Windows Ereignisanzeige zu erlangen Dadurc
8. 13 1 Hauptspeicher durch proc kcore Dieses Werkzeug wird in der Datensammlung auf festinstallierten Computern OW eingesetzt und vom Linux Kernel zur Verf gung gestellt SW gt Der Untersuchungsort ist dabei das lokale System UO F r die Nutzung ist keine Aktivierung erforderlich AE gt Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems sowie eine ununterbrochene Stromversorgung UV Das Untersuchungsziel sind Rohdateninhalte UZ2 die online extrahiert werden UA gt Untersuchungsergebnis sind hierbei Rohdaten inhalte UE2 Das zu erwartende Datenvolumen h ngt von der Gr sse des Arbeitsspeichers ab DV Ein Nutzung dieser Methode ver ndert lokal fl chtige Daten STW Eine Datenschutzrelevanz ergibt sich aus der Nutzung DSR Eine Beweiskrafttendenz besteht eher nicht BK4 Die Methode ist vor Ver nderung gesch tzt Die zu untersuchenden Daten sowie das Untersuchungs ergebnis sind w hrend der Nutzung gesch tzt SM gt 13 1 Anhang A2 Einrichtung eines digitalen Fahrtenschreibers Der in Kapitel vorgestellte digitale Fahrtenschreiber ist eine Linux basierte Live CD zur Aufzeichnung des Netzwerkverkehrs Die Datenaufzeichnung findet auf der Datensicherungsschicht OSI2 des in Zim80 beschriebenen ISO OSI Modells statt Dabei wurde speziell darauf geachtet die Anforderungen f r forensische Untersuchungen zu erf llen Die Basis des digitalen F
9. Aus Gr nden der Ausfallsicherheit kann dieser Dom nenkontroller mehrfach im Netzwerk vorhanden sein in diesem Fall verwenden sie das Replikationskonzept Dabei wird die so genannte Multimasterreplikation verwendet bei der alle Dom nenkontroller eine Kopie der Active Directory Datenbank mit der dieser Dienst intern arbeitet besitzen In regelm igen Abst nden werden Ver nderungen an dieser Datenbank dann auf die anderen Server repliziert Diese Zeitabst nde liegen standardm ig bei 15 Sekunden f r 2003 Server bis zu 5 Minuten bei 2000 Server Bei der Replikation selbst werden keine Zeitstempel zur Synchronisation genutzt sondern so genannte Eindeutige Sequenznummern USN Dazu einigen sich die Dom nenkontroller untereinander auf eine aktuelle USN was dadurch erm glicht wird dass jeder Replikationspartner ber eine Tabelle der letzten USN besitzt siehe dazu auch Lar02 W hrend der Datensammlung finden sich forensisch interessante Daten ber das Active Directory insbesondere in der Datei NTDS DIT zu welcher der Zugriff zur Laufzeit eines Systems gesperrt ist Des Weiteren k nnen in den Verzeichnissen windir NTDS und windir SYSVOL u U forensisch wertvolle Daten gesichert werden Weiterhin befinden sich Eintr ge des Active Directorys im Windows Eventlog siehe dazu auch Kapitel dass demzufolge auch von jedem Netzwerkteilnehmer gesichert werden sollte Im Rahmen der Untersuchung k nnen aus diesen Datenqu
10. Eine Beweiskrafttendenz ist gegeben BK Das Werkzeug Untersuchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM Zusammenfassung der Methoden und Werkzeugeinordnung Die nachfolgende Abbildung 39 verdeutlicht zusammenfassend die Zuordnung der 130 http www free av com en download l download_avira_antivir_personal__ free _antivirus html 131 C Dokumente und Einstellungen All Users Anwendungsdaten Avira AntiVir PersonalEdition Classic LOGFILES 168 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik forensischen Methoden der grundlegenden Methode der expliziten Einbruchs erkennung EME x Rohdateninhane N lad A pol lt p Prozessdaten x Details ber Daten d T Kommunikations Konfigurations protokolidaten daten Abb 39 Einordnung der grundlegenden Methode EME in die Datenarten und die Abschnitte des forensischen Prozesses Aus dieser Zusammenfassung ist ersichtlich dass Methoden der grundlegenden Methode der expliziten Einbruchserkennung EME fast ausschlieBlich im Abschnitt der Datensammlung des forensischen Prozesses agieren mit der Ausnahme der strategischen Vorbereitung Die abgedeckten Datenarten sind Rohdateninhalte Konfigurationsdaten Netzwerkdaten Prozessdaten und Anwen derdaten Die grundlegende Methode IT Anwendung Anwendungen der grundlegenden Methode IT Anwendung ITA lief
11. F r eine forensische Untersuchung relevante Daten bzgl des Namespaces befinden innerhalb von den zwei Ordnern DFSRoot dieser enth lt alle Ordner und Konfigurationsangaben und DF SShare dieser enth lt die Freigaben Zu den forensisch wertvollen Eigenschaften innerhalb eines Microsoft DFS basierten Systems z hlt die Replikationsf higkeit allgemein Hier k nnen Ver n derungen an Dateninhalten auf einem Server u U auf anderen Computern des Netzwerks nachgewiesen werden Eine Kompromittierung eines Servers mit an schlie ender Modifikation von freigegeben Daten wird im Netz repliziert und ist deshalb evtl auf Computern nachweisbar auf welche der Angreifer keinen Zugriff hat Lokale Daten auf Servern auf denen sich Replikate des DFS finden sich unterhalb des versteckten Ordners System Volume Information In den replizierten Ordnern bzw den Freigaben selbst lassen sich u U die Replikation betreffende Daten finden Im normalen Betrieb sind diese Dateien als versteckt markiert Diese Verzeichnisse und die darin enthaltenen Dateien eines Windows 2003 R2 Servers sollten im Rahmen einer Untersuchung auf einem forensisch gewonnenen Datentr gerabbild detailliert analysiert werden Einordnung in das detaillierte Schema siehe Kapitel Bei dem Microsoft DFS handelt es sich um eine IT Anwendung die auf einem festinstallierten Computer HW eingesetzt wird Es ist f r Windows Server systeme erh ltlich SW und l uft lokal auf dem zu u
12. Um die nichtfl chtigen Daten der Registry zu sichern kann ein forensisches Datentr gerabbild erstellt werden siehe Kapitel Aus diesem lassen sich dann die Dateien SAM SECURITY software system und NTUSER DAT extrahieren welche die Dateisystemrepr sentation der nichtfl chtigen Komponenten der Registry beinhalten Um die gewonnenen Registry Daten zu untersuchen k nnen Windows und Linux basierte Werkzeuge eingesetzt werden Dabei ist von der Verwendung des Registry Editors Regedit abzuraten da dieser nicht nur Daten anzeigen sondern diese auch ver ndern kann Stattdessen kann auf Windows basierten Auswerte systemen z B der MiTeC Registry Viewer RFV verwendet werden Auf Linux 33 Freeware Download ber http www mitec cz 68 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik basierten Systemen kann das Programm Reglookup verwendet werden Zus tzlich zur Extraktion der in der Registry enthaltenen Eintr ge kann dieses Werkzeug auch eine Zeitlinie engl Timeline ber die Vorg nge erstellen und gel schte Daten aus der Registry wiederherstellen Das systemweite Logging von Ereignissen erfolgt in Windows basierten Systemen in Eventdateien welche im laufenden System mit dem Programm Ereignisanzeige eventvwr eingesehen werden k nnen siehe Kapitel und Kapitel Diese befinden sich im Fall des Betriebssystems Microsoft Windows XP im Verzeichnis SYSTEMTOOT System32 config Dabei handelt es s
13. Vertriebsb ros NdA T3 8 Faxger te Abb 67 Modifizierte RECPLAST Musterlandschaft Auf diesem wurden im Rahmen einer strategischen Vorbereitung das Firewall Logging und das IP Connectiontracking siehe dazu auch Kapitel aktiviert Symptom Die Untersuchung beginnt als die Firma eine Abmahnung erh lt die besagt dass Symptom Leitfaden IT Forensik 285 Operationale Vorbereitung Datensammlung Kommunikations protokolldaten Sitzungsdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien ber ihre Internetleitung Urheberrechtsverletzungen durchgef hrt wurden Damit steht am Anfang der Ermittlung das Resultat der CERT Taxonomie wie in Tabelle 64 dargestellt fest Angreifer Werkzeuge Schwach Aktion Ziel Resultat Absicht stelle Unerlaubter Zugriff auf Computer und Netze und Informationen Tabelle 64 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Operationale Vorbereitung In der operationalen Vorbereitung wurden die erfolgversprechenden Datenquellen festgestellt Da das IP Connectiontracking und Firewall Logging auf der Firewall aktiv sind und diese Aufschluss ber bestehende Verbindungen bieten wurden diese als sinnvoll identifiziert Das Firewall Logging liefert zudem Daten f r bereits abgeschlossene Vorf lle Da hier der Zeitraum des Vorfalls bereits bekannt war sollten die entsprechenden Daten gesichert werd
14. XML Format evtx Die einzelnen bis zu 30 Dateien werden unter SYSTMROOT system32 winevt Logs gespeichert siehe dazu auch Ges08a und Fri08 Zu jedem Systemdienst findet sich jetzt ein Protokoll wobei die bekannten Ereigniskategorien System Application und Security weiterhin existieren Au erdem ist zu erw hnen dass ein Vorschaufeld die Eigenschaften des aktuell ausgew hlten Ereignisses darstellt und eine Diagnose einen Bericht ber den Systemzustand anbietet Mit dem Befehlszeilenprogramm wevtutil k nnen Ereignisprotokolle abgefragt konfiguriert exportiert und gel scht werden wevtutil ge f text lt Protokoll gt Exportierung des Protokolls in eine Textdatei wevtutil enum logs zeigt die Namen aller Ereignisprotokolle an wevtutil export log Protokoll Datei Exportiert ein Protokoll in eine Datei Die Konfiguration von zus tzlichen Ereignisprotokollen ist der strategischen Vorbereitungsphase zuzuordnen Die Auswertung der protokollierten Ereignisse sollte bei der Ermittlung nach einem Vorfall hohen Stellenwert haben da diese 120 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik umfangreiche Informationen enthalten k nnen Thumb Dateien In den jeweiligen Vorg ngerversionen der Betriebssysteme wurden in jedem Verzeichnis eine eigene thumb db Datei Zwischenspeicher der Miniaturansicht angelegt In den neuen Windows Betriebssystemen wird der Zwischenspeicher unter einem
15. ber einen Vorfall liefern Durch eine ber wachungsrichtlinie wird bei Erkennung eines dort verzeichneten Ereignisses ein Eintrag in die Ereignisanzeige dem zentralen Logdienst des Betriebssystems geschrieben Leitfaden IT Forensik 117 Detaillierte Vorgehensweise in der IT Forensik auditpol get category auditpol get subcategory Listet die aktuellen berwachungseinstellungen f r alle Kategorien und Unterkategorien auf Die Auswertung der Konfiguration nach einem Vorfall gibt der ermittelnden Person einen Einblick ber die m glichen Informationsquellen Extraktion von Sitzungsdaten INFO2 Diese Datei und den Ordner RECYCLER siehe dazu auch die Ausf hren ber das L schverhalten und Windows in Kapitel gibt es unter Windows Vista Windows Server 2008 nicht mehr siehe dazu auch Zeh08 Das Papierkorb Verzeichnis wurde in Recycle bin umbenannt Die Abbildung 26 zeigt den Inhalt des Papierkorbs G Recycle Bin 8 1 5 21 4239351813 4261937874 2374905488 18081 gt dir a Volume in Laufwerk C hat keine Bezeichnung Volumeseriennummer 3861 9867 Verzeichnis von C Recycle Bin S 1 5 21 4239351813 4261937874 2374905 468 1661 28 10 2069 19 41 lt DIR gt 28 16 2069 19 41 lt DIR gt 28 18 2889 19 41 544 SIAINLSK txt 28 18 2889 19 39 544 SIEQHKAG png 28 10 2009 19 48 4 SRA1NLSK txt 28 10 2009 19 16 698 582 SREQHKAG png 69 16 2669 21 86 129 desktop ini 5 Datei en 699 863 Bytes 2 Verzeichnis se 781
16. lichen Torrent Dateien offenbar gel scht hat Es war weiterhin m glich die gel schte Zieldatei des Downloads teilweise wieder zu sichern Das Werkzeug file offenbarte dabei dass es sich bei dem wiederhergestellten Fragment um eine Videodatei handelt Mit Hinblick auf die Dateigr e und dem Dateinamen ist 290 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien es wahrscheinlich dass es sich um die gesuchte Datei handelt Ein berblick ber dieses Verzeichnis zeigt die Abbildung 70 MD5 Values for files in C Dokumente und Einstellungen me Anwendungsdaten uTorrent hda 63 31439204 18e8d24239ee675f debian 40r3 i3 CD 1 iso torrent F14d504b7bz debian 40r3 CD 1 iso torrent Zone Identifier afa53e24 dht dat 5751f4a46f65 dht dat old 3 ddO0f6b2 H CAM XviD PLUBE AVI 2008 torrent a5bda 3b H CAM XviD PLUBE AVI 2008 torrent Zone Identifier resume dat resume dat old settings dat 7 8fe5bl6bcf 5 settings dat old b010b4e9f0436512al 5e071 T TS XviD Dual ITL2 0 torrent fbecf14d504b7 b2dbcb5a5bda75bd93b T ITS XviD Dual ITL2 0 torrent Zone Identifier Abb 70 Ansicht auf das Arbeitsverzeichnis von uTorrent In dieser Untersuchung gelang es den Inhalt ausfindig zu machen Dies erm glicht die Beantwortung weiterer Fragen der CERT Taxonomie was in Tabelle 69 dargestellt wird Es ist deutlich dass eine weitere Untersuchung auf dem Dom nenkontroller Aussage
17. 0 N7 Ifd0 Exif MakerNote Offset 1100 Ifd0 Exif MakerNote Length 2400 Ifd0 Exif MakerNote Scheme unknown Ifd0 Exif Interop InteroperabilityIndex R98 Ifd0 Exif Interop InteroperabilityVersion 0100 6 Exif old JPEG 1 0 0 is top left Ifd1 XResolution 72 Ifd1 Y Resolution 72 Ifd1 ResolutionUnit 2 pixels per inch 3820 2 13274 117 2 13393 427 2 13822 62212 2 76036 61455 2 137493 61455 2 198950 44872 Start of JPEG baseline DCT compressed primary image 2576x1932 length 3519861 at offset 0 0 End of JPEG primary image data at offset 0x35b6574 3519860 Start of JPEG baseline DCT compressed reduced resolution image 160x120 length 9454 IFD 1 at offset Oxeec 3820 End of JPEG reduced resolution image data at offset 0x33d9 13273 NumberOflmages 2 FileFormat JPEG APP1 APP2 TIFF EXIF with MakerNote Eastman Kodak Company unknown makernote format 206 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Ein forensisches Werkzeug welches die EXIF Datenfelder aus Bilddateien extrahieren kann ist exifprobe Es wird im Abschnitt der Untersuchung US eingesetzt Eine Beispielausgabe des Programms ist in dem nachfolgenden Textkasten abgebildet Von besonderem forensischen Interesse sind hier die ent haltenen Zeitstempel DateTimeOriginal DateTimeDigitized und das Vorhandensein eines Vorschaubildes baseline DCT comp
18. Betriebssystems Microsoft Windows Vista zur Datengewinnung von den hardwarenahesten zu den abstrakten Daten Dabei werden nur zus tzlich entstandene M glichkeiten aufgef hrt die bereits festgestellte Eigenschaften der Vorg ngerbetriebssysteme werden nicht noch einmal gesondert aufgef hrt Allgemeine nderungen durch den Einsatz der neuen Betriebssystemgeneration Windows Vista einschlie lich Windows Server 2008 Aufgrund der engen Verzahnung zwischen Microsoft Windows Vista und Windows Server 2008 werden zun chst allgemeing ltige nderungen aufgef hrt bevor dann die beiden Systeme separat betrachtet werden Benutzerkontensteuerung User Account Control UAC SID und Virtual Store Leitfaden IT Forensik 111 Achtung Detaillierte Vorgehensweise in der IT Forensik Die Benutzerkontensteuerung wurde entwickelt damit das t gliche Arbeiten nicht unter Administratorrechten geschieht siehe dazu auch Zeh08 Wird f r eine Aufgabe h here Rechte ben tigt muss dem explizit zugestimmt oder es angegeben werden Mit dieser Erneuerung wurde das lokale Konto Administrator deaktiviert nur bei Windows Vista Bei der Installation wird daf r ein zus tzliches Konto mit Administrationsrechten angelegt nur bei Windows Vista Somit soll die Identifizierung des Kontos mit den h chsten Rechten erschwert werden Jedoch kann anhand des zweiten Teils der Security ID SID eines Kontos das Standardadministratorenkonto identifizie
19. CERT Taxonomeall emens as een leis aeat 29 CERT Taxonomie in der IT Forensik cccssssssccssccssscesscccesseccceessncesonsaes 31 Cham or GUSTO EE Beweiszeitel un 44 Chain of Custody in der Datensammlung 90 Cobain lau sea COBIT Alleemein ses ensure 17 Cobit indes EE Fotensik anna a TR Eee 17 Comp tervirenschitlzprogtamm es a HlEkks MER ele ones toned 168 KEE ED KEE 152 EE 145 DIES EEE 134 Dateiwiederherstellung unse en LS EE 246 Undekien eege EE 238 RENE ae ee er rer Datenanalyse allgemeines Vorgchen 25 Datenanalyse nach forensischem Modell 91 MDAC TIS PA EE Datensammlung Seele ee 24 Datensammlung nach forensischem Modell 88 REN EEN Datenschutz bei einer forensischen Untersuchung 42 Kate unsre elle 42 RE le EE 352 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten DESSEN Dep 236 forensische Eeer 26 Forensische Gewinnung von Datentr gerabbildern 235 forensisches Datentr ger bbild u 26 KE 236 nase nur 26 Physische Kopie EE 26 AE ee ne Re ee ie 27 VAC LO CR CTS mannna Ee 236 Datentypen ag ho egies oa oslo baa atc ve Sa ioc aes Seah a Is a eG Datenarten nach forensischem Modell 80 Zeichenketten in Binardateien names ae sa 255 Dokumentanon a nee ee es ehe Dokumentation Allgemein sauren 25 Dokumentation nach forensischem Modell 91 Forensische Toolkits Rena DUB Enns nes 216 Eege eelere HE LEE 216 SEO EE 215 DOW AVS E 214 Fgpensrs
20. Die Funktionalit t als Webshop wird auf diesen System dort eine Kombination aus dem Apache2 Webserver dem MySQL4 1 Datenbankserver sowie der Verkaufsportalsoftware ZenCart zur Verf gung gestellt Symptom Die forensische UntersuchungSymptom wurde dadurch ausgel st dass einem Mitarbeiter auffiel dass sich die Preise von Waren sprunghaft reduzierten Daraufhin wurde eine Untersuchung eingeleitet An dieser Stelle kann bereits gesagt werden dass in der CERT Taxonomie siehe Kaptitel hier das Resultat Ver nderung von Daten vorliegt Die beistehende Tabelle 46 zeigt diese Erkenntnis Angreifer Werkzeuge Schwachstel Aktion Ziel Resultat Absicht le Ver nderungen von Daten Tabelle 46 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung 218 http httpd apache org 219 http dev mysql com downloads mysql 4 1 html 220 http www zencart com Leitfaden IT Forensik 263 Einsatz der IT Forensik anhand ausgew hlter Szenarien Operationale Vorbereitung In der operationalenOperationale Vorbereitung wurde ein Anfangsverdacht aufgestellt Vorbereitung der eine Vorgabe f r die hier zu sichernden Daten liefern sollte Dabei deutete das Symptom auf eine Manipulation der Datenbank hin da in dieser die Preise der Waren gespeichert sind Dadurch konnten die Log Dateien des MySQL Servers als Datenquelle identifiziert werden Weiterhin handelt es sich b
21. Die Auswertung der gespeicherten E Mails kann insbesondere bei einem Befall des Systems durch Malware sinnvoll sein Wenn diese per E Mail auf den Computer gelangt sind so l sst sich so gegebenenfalls deren Ursprung feststellen In der Datensammlung erfolgt die Sicherung der von Microsoft Outlook ge sammelten Daten durch Sichern der pst Dateien im Verzeichnis C Dokumente und Einstellungen Lokale Einstellungen Anwendungsdaten Microsoft Outlook Im Rahmen der Untersuchung erm glicht die Open Source Software libpst Zu griff auf all diese Daten Einordnung in das detaillierte Schema siehe Kapitel Bei dem Werkzeug Microsoft Outlook handelt es sich um eine IT Anwendung die auf einem Computer HW unter Windows SW l uft Die Untersuchung findet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie Festplatten oder Wechseldatentr gern UO statt Eine Aktivierung ist nicht erforderlich AE Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UV Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Kommunikationsprotokolldaten und Details ber Dateien UZ Die Untersuchungsaktion ist die online Speicherung dieser Daten UA Das Untersuchungsergebnis dabei sind Sitzungsdaten An wenderdaten Kommunikationsprotokolldaten und Details ber Dateien UE Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwen
22. In diesem Beispiel ist der Start des Apache Dienstes am 14 9 2008 um 19 21 57 Uhr und das Beenden am 21 9 2008 um 23 00 53 Uhr zu erkennen Die Angabe von Datum und Uhrzeit ist dabei in der error log optional Nicht jeder Eintrag 147Apache Webserver Sicherheitsstudie http www bsi de literat studien sistudien Apache_2003 pdf 148http httpd apache org docs 2 2 mod mod_usertrack html 182 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik enth lt somit einen Zeitstempel In der access log ist hingegen sofern nicht explizit deaktiviert immer der Zeitstempel des jeweiligen Ereignisses gespeichert Eintr ge im Common Log Format haben den bereits erw hnten Aufbau 192 168 3 200 20 Aug 2008 16 37 49 0200 GET HTTP 1 1 200 20327 Mozilla 5 0 X11 U Linux x86_64 de rv 1 8 1 16 Geck0 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 192 168 3 200 20 Aug 2008 16 37 53 0200 GET index php option com_joomlaboard amp ltemid 26 HTTP 1 1 200 10102 http s4 Mozilla 5 0 X11 U Linux x86_64 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 Die erste Anfrage erfolgte dabei direkt daher ist der Eintrag fiir den HTTP Referer Die darauf folgende Anfrage wurde dabei ber die Webseite http s4 ausgel st Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug handelt es sich um das Apache access log Es wird in der Date
23. LJ Sektor Slack File Slack Abb 15 letzter Block einer Datei mit Sektor und File Slack Wenn der letzte Sektor einer Datei nicht vollst ndig mit Inhalten beschrieben werden kann so wird bei einigen Betriebssystemen der Rest mit Inhalten des Arbeitsspeichers aufgef llt Bun06 Dieser Slack wird entweder als Sektor Slack oder als RAM Slack Bun06 bezeichnet Auch wenn dieser Inhalt willk rlich vom Betriebssystem bestimmt wird lassen sich auf diese Weise sich u U Passw rter und andere wichtige Spuren finden Dadurch wird ein geringer Teil eines fl chtigen Speichers nichtfl chtig solange die betroffene Datei nicht 74 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik modifiziert wird Sollte der Inhalt einer Datei nicht an einer Blockgrenze enden enthalten die zum restlichen Sektoren Inhalte von als gel scht markierten und deshalb zur weiteren Verwendung freigegebenen Bereichen des Dateisystems siehe auch Bun06 Dieser Slack wird als File Slack bzw Datei Slack bezeichnet Hier k nnen u a Fragmente von gel schten Dateien gefunden werden Ein Dateisystem verh lt sich in vielerlei Hinsicht wie eine Datenbank Es kann als eine Menge von Datenobjekten gesehen werden welche extern referenziert und manipuliert werden k nnen Kru04 Wie eine Datenbank auch hat ein Dateisystem einen oder mehrere Indexe bzw Tabellen Diese Tabellen enthalten u a einen eindeutigen Bezeichner f r jedes Objekt
24. Professional ISBN 0 32 126817 2 2005 Cas04 Casey Ehogan Digital Evidence and Computer Crime ISBN 0 12 162885 X 2004 Dit04 Dittmann Jana IT Security http omen cs uni magdeburg de itiamsl cms front_content php idcat 91 2004 Far05 Farmer Dan Forensic discovery Addison Wesley ISBN 0 201 63497 X 2004 FHB08 B wert Thomas Pem ller Hendrik Forensic Tool Testing File Carving Praktikumsarbeit an der Fachhochschule Brandenburg 2008 FHB08a Thl Joscha Jesidowski Slawomir Forensic Tool Testing Undelete Praktikumsarbeit an der Fachhochschule Brandenburg 2008 Fle08 Fleischmann Stefan X Ways Forensics WinHex Leitfaden IT Forensik 303 Literaturliste Benutzerhandbuch 2008 Fre07 Freiling Felix Forensik 2007 http pil informatik uni mannheim de filepool teaching forensik 2007 2007 Fri08 Frisch Aeleen Klein Helge Windows Befehle fiir Server 2008 und Vista O Reilly Verlag ISBN 978 3 89721 543 6 2008 Gar05 Garside Adam Spencer Intrusion Detection with Snort IPS FALL CONFERENCE 2005 http www nciips cc nc us fallconferencepresentations snort pdf 2005 Ges08 Geschonneck Alexander Computer Forensik Systemeinbriiche erkennen ermitteln aufklaren dpunkt GmbH ISBN 3 89864 253 4 2008 Ges08a Geschonneck Alexander Windows Vista Forensik 15 DFN CERT Workshop Hamburg http www dfn cert de veranstaltungen workshop vortrage vergangener workshops 2008 ge
25. Sicherstellung einer zuverl ssigen Zeitbasis Da die Zeit eine bedeutende Rolle f r die IT Forensik spielt sollen nun m gliche Strategien zur Sicherstellung einer korrekten Systemzeit vorgestellt werden Diese sind ein wichtiger Teil der strategischen Vorbereitung und obliegen dem Anlagebetreiber Hierbei kann eine Skalierung in einen niedrigen mittleren und hohen Aufwand zur Sicherstellung einer korrekten Systemzeit unterschieden werden In der niedrigsten Ausbaustufe sollte zumindest eine Synchronisation des Com puternetzwerkes mit einem zuverl ssigen netzwerkbasierten Zeitserver unter Verwendung des Network Time Protokolls NTP erfolgen Allerdings kann das Signal durch Vorf lle und bewusste Angriffe verf lscht werden In einer mittleren Ausbaustufe kann der Systembetreiber ein zus tzliches Em pfangsger t in Form eines DCF 77 Empf ngers in sein Computernetzwerk integrieren Derartige Ger te empfangen das offizielle Zeitsignal der in Deutschland g ltigen gesetzlichen Zeit welches ber Langwelle deutschlandweit empfangbar ist siehe dazu auch Pie04 Ein DCF 77 Empf nger setzt die Zeitsignale typischerweise in NTP konforme Pakete um welche dann als Zeitbasis f r alle Computer im Netzwerk eingesetzt werden k nnen Jedoch sind das genutzte Funksignal und die damit bertragenen Daten nicht gegen eine absichtliche Manipulation gesch tzt In einer hohen Ausbaustufe wird deshalb eine Kombination aus DCF 77 und daz
26. UA Das Untersuchungsergebnis dabei sind alle Datenarten UE Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR2 Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 22232 MDSDeep Bei dem forensischen Werkzeug md5deep handelt es sich um eine Daten auswertungssoftware Zeitline l uft dabei auf einem Computer HW unter Linux und Windows SW Dieses Werkzeug arbeitet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie einer Festplatte oder einem Wechseldatentrager UO Eine Aktivierung ist nicht notwendig AE AlsUntersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UVs Das Untersuchungsziel sind hier alle Datenarten UZ sl Die Untersuchungsaktion ist die Absicherung von Sicherheitsaspekten UA 2 Das Untersuchungsergebnis dabei sind alle Datenarten UE s Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist nicht datenschutzrechtlich relevant DSRi Eine
27. aus Sicht des Computers in Bl cke mit bestimmten Gr en unterteilt ist und sich in jedem dieser Bl cke nur eine Datei befinden kann passiert es dass bisweilen Bl cke nicht komplett ausgef llt sind In diesen nicht belegten Bereichen kann man die Reste lterer Dateien die diesen Speicherbereich einst belegt haben finden Es kann aber auch ebenso vorkommen dass vors tzlich versucht wurde im Slack Speicher Daten vor einem Ermittler zu verstecken Im Abschnitt der Datensammlung einer forensischen Untersuchung werden diese Daten ausschlie lich durch den Einsatz forensischer Werkzeuge gesichert welche ein genaues Datentr gerabbild erstellen Das beispielhaft ausgew hlte Werkzeug dcfldd leistet dieses und bietet zu s tzlich die F higkeit zur automatisierten Erstellung von Pr fsummen um die Beweisintegrit t zu gew hrleisten siehe dazu auch die Ausf hrungen ber die Sicherheitsaspekte in Kapitel Extraktion des Swap Speichers Die Aufgabe des Swap Speichers ist es Daten aufzunehmen die keinen Platz im Arbeitsspeicher des Computersystems finden Struktur der Speicherorganisation In diesen Daten k nnen sich prinzipiell die gleichen Informationen wie im Arbeitsspeicher befinden Der gro e Vorteil ist jedoch dass die Daten im Swap Speicher nicht bei Spannungsverlust verloren gehen Des Weiteren werden Daten 121 http www sleuthkit org sleuthkit man icat html 122 http defldd sourceforge net Leitfaden IT Forensik
28. berwachen Erfolgreich Anmeldev he Gberwachen Erfolgreich Bi Kontenverwaltung berwachen Nicht definiert e ET Er R8 Objektzugriffsversuche berwachen Nicht definiert b SEN d B3 Prozessverfolgung berwachen Nicht definiert eg Zuweisen von Benutzerrer a z i Sicherheitsoptionen B lpschHtevermwencug berwachen Nicht definiert E Ereignispratokall RS Richtliniendnderungen berwachen Nicht definiert GQ Eingeschr nkte Gruppen Re Systemereignisse berwachen Nicht definiert 9 Systemdienste RE Verzeichnisdienstaugriff berwachen Nicht definiert GM Registrierung GM Dateisystem Y Drahtlosnetzwerkrichtlinien IE Richtlinien ffentlicher Schl ss Richtlinien f r Softwareeinsch 8 IP Sicherheitsrichtlinien auf Ac HAHAAHA AAA Abb 72 Aktivierung der Protokollierung von Loginversuchen 292 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Datei Aktion Ansicht gt DR ebe I Windows Einstellungen S Skripts Start Herunterfahren SW anwendungsprotokoll Aufbewahrung Nicht definiert E A Sicherheitseinstellungen Rs Aufbewahrungsmethode des Anwendungspr Nicht definiert Gi g Kontorichtinien 8g Aufbewahrungsmethode des Sicherheitsprot Nicht definiert Egg Lokale Richtlinien 3 Aufbewahrungsmethode des Systemprotokolls Nicht definiert gl berwachungsricht
29. dass St rungen schnellstm glich behoben werden um Unterbrechungen oder eine Minderung der Service Qualit t zu vermeiden Diese Festlegung entspricht weitestgehend der eingangs beschriebenen Vorfallsbehandlung Das Problem Management hat die Aufgabe die einer St rung zugrunde liegenden Ursachen zu suchen und anschlie end Wege zur Behebung und Vorbeugung zu finden Dort kann die IT Forensik eine wertvolle Hilfe sein Damit lassen sich die Forderungen von ITIL auf die einzelnen Prozessabschnitte einer forensischen Untersuchung anwenden Die im ITIL Modell verwendeten Festlegungen lassen sich f r eine konstante Verbesserung von IT Dienstleistungen auf die IT Forensik anwenden wenn auch diese als Dienstleistung betrachtet wird Nach ITIL wird ein siebenstufiger Prozess beschrieben welcher auch f r die forensische Untersuchung G ltigkeit hat e Definition was erfasst werden soll Definition was erfasst werden kann Sammlung der Daten Bearbeitung der Daten Analyse der Daten Pr sentation und Benutzung der Daten 20 Leitfaden IT Forensik Einf hrung Umsetzung von korrigierenden Ma nahmen d h der Auswahl einer geeigneteren Response Strategie Diese Darstellung verl uft damit hnlich der im Kapitel benutzten Modellierung des forensischen Prozesses in einzelne Abschnitte und betrifft insbesondere die prozess bergreifende Dokumentation einer forensischen Untersuchung Zusammenspiel von COBIT und ITIL f r
30. einzelner Prozesse extrahiert werden Es ist beim Einsatz dieser Option zu erwarten dass fl chtige Daten ver ndert werden So sollte diese Option nur bei wohl begr ndetem Verdacht und sehr sorgf ltig eingesetzt werden X Ways Forensics unterst tzt eine Vielzahl von Dateisystemen darunter NTFS FAT FAT32 EXT2 3 4 oder auch HFSplus Im Gegensatz zu EnCase werden Windows EVT Logs in eine bersichtliche HTML Datei berf hrt Der integrierte Regristry Betrachter erinnert an das Windows Programm Regedit wobei die einzelnen Dateien der Systemregistrierung separat ge ffnet werden Neben diesen Auswertungsfunktionen f r Windowssysteme ist es ebenso m glich die MAC Zeiten zuvor ausgew hlter Dateien in einer Kalender bersicht darzustellen X Ways Forensics bietet umfangreiche Methoden zur Wiederherstellung gel schter Dateien unter anderem Filecarving wie auch eine Struktursuche die teilweise auch bei einer fehlerhaften FAT Dateien nebst Metadaten wiederherstellt Hervorzuheben ist auch die Funktion RAID Verb nde wiederherzustellen hierzu werden die einzelnen Datentr gerabbilder wieder zum kompletten RAID Laufwerk zusammengef gt Sleuthkit Bei dem Sleuthkit handelt es sich um ein Werkzeug zur Untersuchung von Datentr gerabbildern Das Programmpaket ist eine Open Source L sung und kann direkt von der Webseite heruntergeladen werden Das Sleuthkit liefert dabei Unterst tzung und Analysetechniken f r zahlreiche untersc
31. extrahiert werden k nnen Dazu ist es sinnvoll einenKkommunikations Blick auf folgende Tabelle 43 zu werfen welche dieprotokolldaten m glichen Werkzeuge darstellt Dabei sind dieSitzungsdaten untersuchungsrelevanten Datenarten farbig hervorgehoben worden BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 43 Werkzeuge f r die Datensammlung Nun werden aus dieser Tabelle geeignete Werkzeuge ausgesucht Dabei ist es sowohl wichtig deren Beweiskrafttendenz als auch die eigene Vertrautheit mit dem Werkzeug zu beachten Auch der Selbstschutz des Werkzeugs spielt eine wichtige Rolle In diesem Fall wird zun chst der Netzwerk verkehr aufgezeichnet Zeitgleich wird die IP und MAC Adresse des Computersystems ermittelt welches den IP Adresskonflikt gemeldet hat Dies ist mit ipconfig all auf Windowssystemen m glich Zudem werden die Logdaten des DHCP Server gesichert um damit sp ter die IP Adressvergabe nachvollziehen zu k nnen Au erdem werden die ARP Tabellen und MAC Tabellen der Netzkoppelelemente gesichert Bei managed switch Ger ten wie z B Ger ten mit Cisco IOS k nnen diese in der Regel extrahiert werden Bei Switchen ist h ufig nur die Zuordnung der MAC Adresse zu bestimmten Anschl ssen m glich da IP Adressen f r d
32. f higkeit des Computersystems UV Untersuchungsziel sind Festplatten bzw Images davon also Rohdaten UZ Die Untersuchungsaktion besteht in der offline Speicherung von Dateien aus Datentr gern oder Abbildern von diesen UA Untersuchungsergebnis sind Anwenderdaten UE Das Datenvolumen des Untersuchungsergebnisses h ngt proportional mit dem Volumen der Eingangs daten zusammen DV genaue Angaben zum Proportionalit tsfaktor sind jedoch nicht m glich Da Scalpel offline genutzt wird treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von Scalpel muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden UE Logparser Das forensische Werkzeug Logparser ist eine Software f r Microsoft Windows basierte Systeme zur Sammlung und Korellation von Logdateien Es verarbeitet vom Betriebssystem im EVT Format zur Verf gung gestellte Logdateien Ereignislogs engl Eventlogs mit Hilfe eines SQL Dialekts Dabei adressiert das Werkzeug das in der IT Forensik wichtige Feld der Zusammenf hrung von einzelnen Untersuchungsergebnissen Es l sst sich in drei Abschnitten des forensischen Prozesses einsetzen in der Datensammlung der Untersuchung und in der
33. ge ffnet Im Folgenden wurde das Sicherheitsprotokoll als EVT Datei auf einen mitgebrachten USB Datenspeicher extrahiert Danach wurde die SHA256 Pr fsumme ermittelt und auf dem Beweiszettel notiert Im Anschluss wurde der Nutzer wieder abgemeldet Zus tzlich dazu wurde das Sicherheitsprotokoll mittels Logparser Version 2 2 ber das Netzwerk vom Server auf die mobile forensische Workstation gesichert Zudem wurde die SHA256 Pr fsumme auf dem Beweiszettel notiert Im folgenden Schritt wurde der angegebene Zeitraum aus den Logdaten extrahiert hierf r kam wiederum das Werkzeug Logparser auf der forensischen Workstation zum Einsatz Auch f r diese Untersuchungsergebnisse wurde die SHA256 Pr fsumme gebildet und auf dem Beweiszettel notiert Zudem wurden die Ergebnisse des lokalen mit denen des entfernten Datenexports verglichen Beide enthielten exakt die gleichen Daten Beigelegte Beweise Beweisdatentr ger 1 USB Datenspeicher Sicherheitsprotokollexport der Ereignisanzeige Beweisdatentr ger 2 WORM Medium CD R Sicherheitsprotokollexport von Logparser Extrahierte Zeitr ume aus den Sicherheitsprotokollexporten Beweisdatentr ger 3 WORM Medium DVD R mit Festplattenabbild Daten der forensischen Workstation verwendete Werkzeugversionen Beweiszettel Pr fsummen der Daten von Datentr ger 1 Pr fsummen der Daten von Datentr ger 2 Pr fsummen der Daten von Datentr ger 3 Zusammenfassung Die Untersuchung des
34. glich Als eine Variante eines derartigen Netzwerksniffers welcher auch den Anforderungen an forensische Untersuchungen gerecht wird kann der digitale Fahrtenschreiber eingesetzt werden Kapitel siehe dazu auch Hil08 Dieser ist bzgl des in Kapitel vorgestellten Modell des forensischen Prozesses in die grundlegende Methode der Skalierung von Beweism glichkeiten SB einzuordnen Er wurde einerseits so ausgelegt dass er von einem Verursacher eines Vorfalls nicht erkannt werden kann andererseits wird die Integrit t und Authentizit t der Unter suchungsergebnisse automatisch mittels kryptografischen Hashverfahren sowie mit HMAC Algorithmus abgesichert Zudem kann das Untersuchungsergebnis verschl sselt gespeichert werden damit wird die Vertraulichkeit abgesichert M gliche Standorte f r den digitalen Fahrtenschreiber sind dem Kapitel zu entnehmen Der digitale Fahrtenschreiber wird im Abschnitt der Datensammlung eingesetzt Im Anhang A2 wird der Fahrtenschreiber in Aufbau und Funktion detailliert beschrieben Im aufgezeichneten Datenstrom befinden sich sowohl Verkehrsdaten als auch der komplette Inhalt der Netzwerkpakete beispielsweise aufgerufene Webseiten der 224 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Inhalt von E Mails usw d h der gesetzlich vorgeschriebene Datenschutz ist in jedem Fall unbedingt einzuhalten Die gewonnenen Daten sind deshalb auch nur zweckgebunden einz
35. hlter Szenarien Forensische Gewinnung von Datentr gerabbildern forensische Duplikation Die Erzeugung eines forensischen Datentr gerabbildes bildet als Ma nahme der Datensammlung die Grundlage f r die nachfolgenden Abschnitte des forensischen Prozesses insbesondere der Untersuchung und Analyse Hierbei werden die nichtfl chtigen Daten auf Datentr gern eines Computersystems erfasst Zur allgemein akzeptierten Gewinnung eines Datentr gerabbildes muss der entsprechende Datentr ger entweder an eine forensische Workstation ange schlossen werden oder aber an einem System betrieben werden welches nachweislich w hrend der Erstellung des Abbildes keine Modifikationen am Datentr ger vornimmt Handelt es sich beim betrachteten Datentr ger um eine Festplatte eines eingeschalteten Computers bedingt dies zumindest im Vorfeld einen Neustart bei welchem vorher nicht gesicherte fl chtige Daten verloren gehen Deshalb sollten die in Kapitel diskutierten Fragestellungen erwogen werden Die Technik der Gewinnung von Datentr gerabbildern wird auch als maging bezeichnet und findet auch Einsatz au erhalb der IT Forensik z B zur Daten sicherung bzw Erzeugung von identisch aufgebauten Systemen u a f r den Einsatz in Rechenzentren Insgesamt lassen sich hierdurch Datentr gerabbilder von Massenspeichern wie beispielsweise Festplatten Disketten CD ROM DVD ROM magneto optischen Datentr gern aber auch USB Sticks und Flash Speicherkarten g
36. identifiziert werden Diese k nnen sowohl lokal sein was nur eine weitere Datensammlung notwendig macht oder auf einem anderem System was eine forensische Untersuchung auf diesem notwendig machen kann Bei der eigentlichen Durchf hrung ist eine durchgehende prozessbegleitende Dokumentation siehe Kapitel durchzuf hren Dokumentation W hrend der Untersuchung wurden bereits zahlreiche Abl ufe und Ergebnisse passiv dokumentiert die den Grundstock f r diesen zweiten Teil der Dokumentation der nach der eigentlichen Untersuchung stattfindet legt Im Rahmen dieses Abschnitts wird also aus dem vorliegenden Verlaufsprotokoll ein Ergebnisprotokoll generiert Dieses Ergebnisprotokoll hat die Aufgabe die gewonnenen Daten zu interpretieren und einem entsprechenden Adressatenkreis dar zu legen Da ein solcher Kreis sehr unterschiedlich aussehen kann kann auch die Form dieses Ergebnisprotokolls sehr unterschiedlich sein Die Form des Verlaufsprotokolls ist jedoch immer gleich und gibt umfassend Aufschluss ber die durchgef hrten Ma nahmen und ihre direkten Ergebnisse Diese Systematik des Vorgehens im Rahmen einer forensischen Untersuchung wird im vorliegenden Leitfaden in dem Kapitel vorfallsbasierte Basisszenarien und Kapitel Komplexszenarien konsequent eingesetzt Leitfaden IT Forensik 91 Detaillierte Vorgehensweise in der IT Forensik Grundlegende Methoden im Detail Nachdem im Kapitel die Klassifikation forensischer Methoden vor
37. kfree Idev_add_pack memmove enyelkm Die Untersuchung der Datei etc rc local ergab folgende Ausgabe aus der zu erkennen ist dass das Rootkit bei jedem Start ausgef hrt wird root interceptor mnt etc cat rc local bin sh e rc local This script is executed at the end of each multiuser runlevel Make sure that the script will exit 0 on success or any other value on error 1 In order to enable or disable this script just change the execution bits By default this script does nothing lt HIDE 8762 gt sbin insmod etc driverHIDE NT lt HIDE 8762 gt exit 0 AbschlieBend wurden Details zu beiden Dateien untersucht um herauszufinden wann der Vorfall geschah 272 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien root interceptor mnt etc stat driverHIDENT File driverHIDENT Size 10346 Blocks 24 IO Block 4096 regul re Datei Device 700h 1792d Inode 669973 Links 1 Access 0644 rw r r Uid 33 www data Gid 33 www data Access 2008 09 14 19 21 56 000000000 0200 Modify 2008 08 20 19 13 47 000000000 0200 Change 2008 08 20 19 15 02 000000000 0200 root interceptor mnt etc stat rc local File rc local Size 366 Blocks 8 IO Block 4096 regul re Datei Device 700h 1792d Inode 32774 Links 1 Access 0777 rwxrwxrwx Uid 0 root Gid 0 root Access 2008 09 21 06 25 45 000000
38. nnen Die vorzustellenden Programme dienen dem Identifizieren fremder bzw ungew hnlicher Prozesse TASKLIST Dieses Befehlszeilenprogramm dient zum Anzeigen von Anwendungen und zugeh rigen Tasks bzw Prozessen die auf dem lokalen oder einem Remotesystem ausgef hrt werden Windows Task Manager Der Windows Task Manager stellt Informationen zur Computerleistung bereit und zeigt Einzelheiten zu den auf dem Computer ausgef hrten Programmen und Prozessen an Extraktion von Sitzungsdaten Die Extraktion von Sitzungsdaten kann in den Abschnitt der Datensammlung des forensischen Prozesses eingeordnet werden Das Betriebssystem Microsoft Windows XP SP2 erfasst dabei Login Zeiten und Verlaufsdaten Die dazu zu betrachtenden Daten finden sich in den benutzer spezifischen Verzeichnissen Recent und Verlauf im jeweiligen Nutzerverzeichnis unter C Dokumente und Einstellungen Mit diesen Daten k nnen die letzten Nutzeraktivit ten grob rekonstruiert werden 53 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf arp 54 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf tasklist 55 Beschreibung gek rzt aus dem Hilfe und Support Center Suche Task Manager Leitfaden IT Forensik 101 Achtung Achtung strategische Vorbereitung beachten Achtung strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT Forensik Das Werkzeug net bietet zwei M glichkeiten Sitzungsinformationen a
39. prozessbegleitenden Dokumentation ablesen lassen RP Fact given by Report Als Beispiel sei hier genannt Im Syslog steht dass um 22 32 Uhr eine Telnetverbindung zum befallenen Server herstellt wurde Fakten die direkt aus anderen Fakten entspringen bilden die dritte Gruppe BF Based on another fact in the list In diesem Fall w re ein solcher Fakt Der betroffene Rechner hat Dienste angeboten deren Passw rter ber Klartext ausgetauscht werden Die letzte Gruppe stellen die daraus entspringenden Schlussfolgerungen CC causal conclusions dar Eine solche k nnte hierbei sein Es war m glich Zugangsdaten zu dem Server zu sniffen Wenn nun eine Why Because Analyse durchgef hrt wird ist es das Ziel eine Leitfaden IT Forensik 63 Detaillierte Vorgehensweise in der IT Forensik solche Liste aus Fakten zusammenzustellen Die Analyse ist dann erfolgreich wenn jeder Fakt logisch aus bereits vorher vorhandenen Fakten rekonstruiert werden kann Es ist m glich eine solche Faktenliste als Baumstruktur siehe dazu auch Van06 darzustellen um eine bessere bersicht ber den Ablauf eines Vorfalls zu erhalten siehe Abbildung 14 Ein Beispiel soll dieses Vorgehen erl utern 1 Verlust von Daten bei Benutzer Max siehe 10 2 Server bietet FTP an GF 3 Um 22 34 hat sich Benutzer Max mittels Telnet vom Arbeitsrechner eingeloggt RF 4 Um 23 17 hat sich Benutzer Max von unbekannter IP einge
40. r den Prozess vorhanden sind sind in 87 Manpage von ifconfig http linux die net man 8 ifconfig 88 SSH Protokoll http tools ietf org html rfc4254 89 http www mjmwired net kernel Documentation filesystems proc txt Leitfaden IT Forensik 131 Strategische Vorbereitung beachten Strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT Forensik environ aufgelistet Ein symbolischer Link zur Anwendung ist in exe zu finden Das Arbeitsverzeichnis ist durch den Symbolischen Link cwd angegeben Falls ein Prozess in einer Chroot Umgebung l uft so verweist der Symbolische Link root auf das alternative Root Verzeichnis sonst wird immer auf das Wurzelverzeichnis verwiesen Eine Liste der verwendeten Dateien befindet sich im Unterverzeichnis fd zu jeder ge ffneten Datei ist ein Symbolischer Link vorhanden Dies schlie t unter anderem auch verwendete Bibliotheken und Sockets mit ein Der Prozessstatus befindet sich in der Datei status Es werden offensichtlich zu jedem Prozess viele Daten erhoben die mit einfachen Mitteln im Rahmen der Datensammlung gesichert werden k nnen Extraktion von Sitzungsdaten Sitzungsdaten werden lediglich f r den Kernel gesammelt nicht f r einzelne Nutzer Die Extraktion der gesammelten Daten kann jedoch den forensischen Prozess unterst tzen und ist somit im Abschnitt der Datensammlung zu sichern Kernel Logs In proc kmsg wer
41. r den zentralen Logserver bildet die Linux Distribution Debian Etch 4 0 in ihrer Minimalinstallation Zus tzlich kann OpenSSL installiert werden damit die Zertifikate auf dem System erstellt werden k nnen Diese Installation ist optional da diese auch auf einem dritten Computer erstellbar ist Generell sollte m glichst wenig Software auf dem Server installiert sein da dadurch das Risiko f r ausnutzbare Schwachstellen minimiert werden kann Zus tzlich sind Ma nahmen zur Hartung des Systems strengstens zu empfehlen insbesondere sollten Programmerstellungsumgebungen und werkzeuge wie z B Compiler entfernt werden Grundinstallation des syslog ng Premium Edition Servers Da derzeit kein dediziertes Server Paket f r die gew hlte Linux Distribution 224http www balabit com network security syslog ng 225http www ibm com developerworks linux library l secinx3 Leitfaden IT Forensik 325 Anhang A Debian 4 0 Etch existiert kommt das generische Paket f r Linux Server des Herstellers von syslog ng zum Einsatz Dieses ist ein Shellscript mit eingebettetem Bin rteil und kann somit einfach durch eine Shell gestartet werden Nach dem Aufruf mit sh syslog ng premium edition 3 0 2 linux i386 run wird die Software entpackt und auf Integrit t berpr ft Bei der Installation werden dann einige Dialoge angezeigt Zuerst wird dar ber informiert dass zuvor installierte Logdienste vom Computer entfernt werd
42. r die Fragen die f r eine solche Absch tzung zu beantworten sind k nnen sein Ist der Untersuchungsweg mit gleichen Ergebnissen wiederholbar Sind die eingesetzten Werkzeuge und Methoden allgemein anerkannt e Ist die Wahl der eingesetzten Werkzeuge und Methoden nachvollziehbar War der Untersuchende mit diesen ausreichend vertraut um potentielle Hinweise zu erkennen 62 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik e Wurde die Integrit t der bearbeiteten Daten w hrend des Prozesses gewahrt Wurde die Authentizit t der bearbeiteten Daten w hrend des Prozesses gewahrt e Wurde das Vier Augen Prinzip beachtet Die Elemente dieser Liste zielen vor allem darauf ab einem Dritten eine umfassende M glichkeit zur Absch tzung der Beweiskraft der gewonnenen Informationen zu erm glichen Es ist ersichtlich dass Informationen die durch den Einsatz von Werkzeugen und Methoden die als instabil gelten zweifelhafte Algorithmen verwenden oder die daf r bekannt sind bei bestimmten Sonderf llen falsche Ergebnisse zu liefern einiges an Beweiskraft einb en Gleiches gilt auch f r Informationen die aus Daten gewonnen werden bei denen Integrit t oder Authentizit t nicht sichergestellt werden k nnen Als Analogie zu der klassischen Forensik sei hier verwiesen auf die Unterschiede der Beweiskraft einer ballistischen Untersuchung eines am Tatort gefundenen Projektils dessen Verbleib genauestens dokumentiert
43. r die Klassifizierung von Sicherheitsverletzungen so genannten Vorf llen geeignet sind um den Vorfall so pr zise wie m glich zu beschreiben um darauf aufbauend Abwehr und Erkennung abzustimmen Die folgende Abbildung 5 beschreibt die CERT Taxonomie Vorfall D Angriff Ereignis Angreifer Werkzeuge Schwachstell Aktion Ziel Resultat Absicht Phsikalischer Herausfor Hacker Angriff Dieb Design Abfragen Account Unerlaubter Werung Status stah Bescha einzelner od Zugriff auf Nervenkitzel Spione digung Implementierung mehrerer Ziele Prozesse Computer und REES und deren Netze Politisch Terroristen Be Konfiguration Eigenschaflen Daten Informationen motiviert berlad d Beauftragte Einschleusen Zalkeparttt Kompo Ver nderungen Finanziell Angestellte von Kommandos berflutung nenten von Daten motiviert Professionelle Programme Identit t Computer Behinderung von Freude am Kriminelle oder Scripte mit Nachspielen Resourcen und Schaden Soene Masquerade Netzwerk der Dienstver Vandalen ede f gbarkeit Sicherheits S EE Umgehen Netzwerk beurteilung oyeur von Netzen Agenten Auslesen SE Vertraulichkeit r Viren W rmer Ressourcen Zugriffeschutz SecurityScan n Personen CR Toolkits Zus Nutzer Authentizit t gef Werkzeuge Stehlen Verteiltarbeiten Modifizieren garde de Werkzeuge Verf gbarkeit L schen Aufnahme elektr
44. rter zu verwenden Dabei k nnen die Logs nur eingesehen werden wenn mindestens zwei Personen ihre jeweiligen Passw rter eingeben Die zweite Person sollte der Datenschutzbeauftragte in der Organisation sein Eine Diskussion welche Daten berhaupt und in welchen Umst nden erhoben werden kann findet sich u a in Pim06 Im Anhang A3 wird die Einrichtung eines zentralen Logservers sowie eines Windows basierten als auch eines Linux basierten Klienten beschrieben welche die genannten Forderungen erf llen 26 https engineering purdue edu ECN Resources Documents UNIX evtsys 27 http www intersectalliance com projects Snare Windows 28 UDP versendet Pakete ohne eine Best tigung seitens des Empf ngers einzuholen Die Reihenfolge der Ankunft der Pakete ist ebenfalls nicht garantiert 29 Download ber http www balabit com network security syslog ng Leitfaden IT Forensik 51 Achtung Denial of Service m glich Achtung syslog ng bevorzugt einsetzen Datenschutz beachten Einf hrung Der Einsatz von Intrusion Detection Systemen in der IT Forensik Der Anlagenbetreiber kann im Rahmen der strategischen Vorbereitung Ma nahmen treffen welche die Aufkl rung eines Vorfalls unterst tzen k nnen Eine derartige Ma nahme ohne konkreten Vorfallsverdacht aber in Erwartung eines solchen ist die Einrichtung eines Intrusion Detection Systems IDS Als weiterf hrende Literatur zum Thema IDS sei beispielhaft auf P1607 und
45. t Authentizit t und Vertraulichkeit erfolgt durch den Einsatz kryptographische Funktionen F r das benutzerbasierte Sicherheits modell sind pro Nutzer zwei Schl ssel erforderlich ein Privacy Key und ein Authentication Key Diese Schl ssel werden f r lokale und entfernte Nutzer verwaltet Die Werte dieser Schl ssel sind nicht ber das SNMPv3 Protokoll abfragbar bzw ver nderbar Jedoch ist SNMPv3 nicht gegen Angriffe auf den Sicherheitsaspekt der Verf gbarkeit siehe dazu auch die Ausf hrungen in Kapitel abgesichert Auch eine Verkehrsdatenanalyse bei welcher ein potentieller Angreifer das generelle Muster des Verkehrs zwischen Manager und Agenten beobachten kann wird durch SNMPVv3 nicht verhindert Prinzipiell sollte schon bei der Beschaffung der Netzkoppelelemente im Hinblick auf forensisch aufzukl rende Vorf lle Ger ten mit SNMPv3 F higkeiten der 195 spezifiziert in RFC 2275 Leitfaden IT Forensik 221 SNMPv3 Achtung Strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT Forensik Vorzug gegeben werden Achtung Mittels einer forensischen Untersuchung von Netzkoppelelementen lassen sich Datenschutz viele dem Datenschutz unterliegende Informationen gewinnen Der gesetzlich beachten vorgeschriebene Datenschutz muss auf jeden Fall eingehalten werden Zusammenfassende Einordnung in das Modell des forensischen Prozesses Als Abschluss des Kapitels ber die Netzkoppelelemente sollen diese
46. www forensicswiki org wiki Defeating Whole Disk Encryption 73 http technet microsoft com en us library dd163506 aspx 74 http www microsoft com windowsserver2003 technologies management powershell default mspx Leitfaden IT Forensik 115 Strategische Vorbereitung beachten Strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT Forensik Abbilddatei erstellen Wie bei allen anderen Speicherabbildern wird hier lediglich auf die M glichkeit zur Sammlung dieser Rohdaten verwiesen Die Untersuchung des Prozessspeichers hat den Vorteil dass die Datenmenge weit geringer ist als die von kompletten Speicherabbildern Es ist dabei jedoch zu be achten dass diese Daten auf der Festplatte des zu untersuchenden Computer systems abgelegt werden womit der Inhalt der Festplatte ver ndert wird Ermittlung von Details ber Daten Last Access Timestamp Der Zeitpunkt des letzten Zugriffs auf eine Datei wird standardm ig nicht mehr festgehalten Stattdessen wird der Zeitpunkt der Erstellung der Datei angezeigt Der Registry Key HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem Nt fsDisableLastAcessUpdate ist vorgabeseitig auf den Wert 1 gesetzt Das Ver ndern dieses Eintrages auf den Wert 0 ist der strategischen Vorbereitungsphase zuzuordnen Dadurch wird die Zeit des letzten Zugriffs wieder aktualisiert Alternate Data Stream ADS Der ADS ist mit den neuen Version des Befehlszeilenprog
47. 0201707195 2004 Lai00 Laing Brian Intrusion Detection Systems http www snort org docs iss placement pdf 2000 LD08 Lang Andreas Dittmann Jana Offline Forensik fiir vernetzte Gruppeninteraktionen In Patrick Horster Ed DACH Security 2008 Bestandsaufnahme Konzepte Anwendungen Perspektiven Syssec S 160 170 Berlin 24 25 Juni 2008 2008 ISBN 978 3 00 024632 6 2008 Lar02 Larisch Dirk Verzeichnisdienste im Netzwerk NDS Active Directory und andere Hanser Verlag ISBN 978 3446212909 2002 Lew73 Lewis David Causation Journal of Philosophy Oxford University Press 1973 Lin08 Lindner Felix Network Infrastucture Forensics In Proceedings IMF2008 IT Incident Management amp IT Forensics LNI Proceedings ISBN 978 3 88579 234 5 2008 Moo06 Moos Flemming Datenschutzrecht schnell erfasst Springer Verlag ISBN 3 540 236 89 9 2008 New07 Newman Robert C Computer Forensics Evidence Collection and Management Auerbach Publications ISBN 0849305616 2007 Nik05 Nikkel Bruce J Forensic acquisition and analysis of magnetic tapes The International Journal of Digital Forensics and Incident Response 2005 NTF08 NTFS com Partition Boot Sector on PC hard drives http www ntfs com ntfs partition boot sector htm 2008 Obe08 Obex Hannes Sind E Mail Accounts von Mitarbeitern unantastbar In DFN Mitteilungen Ausgabe 75 ISSN 0177 6894 2008 Pie04 Piester Dirk Hetzel P
48. 159 Achtung forensische Datensicherung erforderlich Hauptspeicher analyse Techniken erforderlich Journal Modus Ordered Modus Write Back Modus Detaillierte Vorgehensweise in der IT Forensik im Swap Speicher nach ihrer Verwendung nicht explizit gel scht wodurch man die M glichkeit hat aus dem Swap Bereich ltere Daten zu extrahieren Bei Unix Systemen handelt es sich bei dem Swap Speicher entweder um eine Swap Datei oder um eine ganze Swap Partition F r die deutlich umfangreichere Analyse dieser Daten wird nun auf ein Vorgehen analog zur Analyse des Hauptspeichers verwiesen Einzelne Dateien lassen sich aber eventuell unter Verwendung des forensischen Werkzeugs icat als Bestandteil der Werkzeugsammlung Sleuthkit extrahieren Dabei muss dann jedoch immer beachtet werden dass die Daten im Swap durchaus lter sein k nnen und nicht aus der letzten Sitzung stammen m ssen Eine berpr fung ob der Swap auf dem zu untersuchenden System bei jedem Neustart geleert wird und wann dieser Neustart war kann hier sehr weiterhelfen Auch die im Kapitel beschriebene Technik des Filecarvings kann auf die Swap Inhalte angewendet werden Jedoch ergeben sich auch hierbei die f r das Filecarving typischen Nachteile Verlust der Metadaten Falschklassifizierung von Dateien Die Sicherung des Swap Speichers erfolgt durch bitweises Kopieren der Swap Partition mit Hilfe eines forensischen Werkzeugs zur Erzeugung von Datentr g
49. 281 Dokamentaton ea ss 283 Fallbeispiel Aufkl rung eines Vorfalls am T ter Opfer PC Filesharing im REC PEAS EE 285 Strategische Vorbereitung uns bean 285 et E a a Er 285 Operationale Vorbereitung aere e 286 Datensammlung see blue 286 nterslehing een een eu 287 Strategische Vorbereitung es ati Ru 288 Operationale Vorbereitung auussssen abe 288 Datensammling ahnen in 289 Untersuchung asus aa eisernen 289 Operationale Vorberetung sense aan 293 Datensammlung res ERBE 293 Untetsuchuns isses da 295 Datenanalyse nen a Ra 295 Dokumentallon ee eege 297 LE EE 301 Literaturliste ee RR RE 303 Anhang E 310 Anhang Al Forensische Methoden im Detail 310 Anhang A2 Einrichtung eines digitalen Fahrtenschreibers 322 Anhang A3 Die Konfiguration und der Betrieb eines sicheren Logservers im Deal ee edd 325 6 Leitfaden IT Forensik Basissystemdes Logserven eege EES 325 Grundinstallation des syslog ng Premium Edition Servers 325 Grundinstallation der Klientswvsteme 326 Grundinstallation des Klientensystems auf einem Debian 4 0 System 326 Grundinstallation des Klienten auf einem Windows System 327 Einrichtung der verschliisselten Ubertragung sowie der Authentifizierung der Clients eek 327 Verschl sselte Speicherung der Logdaten ee ceceeeccceeneeeeeetteeeeeaes 329 Sicherung der L osdaten a ee 330 Weitere Strategische Malinabmen nen 331 Untersuc
50. 715 6 TELNET Attempted SU from wrong group Classification Attempted Administrator Privilege Gain Priority 1 11 20 00 27 44 228705 192 168 1 198 23 gt 192 168 1 128 56105 TCP TTL 64 TOS 0x10 ID 24182 IpLen 20 DgmLen 322 DF AP Seq 0x3D2227B7 Ack 0x4C1A9E84 Win 0xB5 TcpLen 32 TCP Options 3 gt NOP NOP TS 22408 9509665 166 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik In der ersten Zeile befindet sich die Bezeichnung des Ereignisses danach folgt die Klassifikation In der dritten Zeile ist der Zeitpunkt sowie die IP Adressen von Client und Server ersichtlich Die folgenden Zeilen enthalten zus tzliche Daten zu dem TCP Paket welches die Regel erkannt hat Dieses Logformat ist das Standardformat von Snort die Eintr ge sind in der Datei var log snort alert zu finden Wenn hingegen Syslog als Logziel eingestellt ist so wird diese Logmeldung generiert Nov 20 00 27 44 ubuntu snort 4666 1 715 6 TELNET Attempted SU from wrong group Classification Attempted Administrator Privilege Gain Priority 1 TCP 192 168 1 198 23 gt 192 168 1 128 56105 In diesem Fall sind nur die Klassifikation sowie die involvierten IP Adressen des Ereignisses enthalten Der Zeitpunkt wird durch Syslog festgehalten Im CSV Format wird die Meldung so gespeichert 11 20 00 27 44 228705 1 717 6 TELNET not on console TCP 192 168 1 198 23 192 168 1 128 56105 0 C 29 C5 A7
51. Aktivierung ist nicht erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems UV Untersuchungsziel sind Bild und damit Anwenderdaten UZ Die Untersuchungsaktion besteht in der Unter suchung von Dateien UA Das Untersuchungsergebnis sind Konfigurations daten und Details ber Dateien UE Das Datenvolumen ist konstant DV Da exifprobe offline genutzt wird treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von exifprobe muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM 173 http www virtual cafe com dhh tools d exifprobe d exifprobe html 174 Script ist ein auf Linux Unix Systemen bliches Werkzeug zur Aufzeichnung aller Tastatureingaben innerhalb einer Kommandozeilenumgebung und der am Bildschirm sichtbaren Ausgaben 175 http md5deep sourceforge net Leitfaden IT Forensik 207 Achtung keine Absicherung bzgl Integrit t und Authentizit t Detaillierte Vorgehensweise in der IT Forensik Forensische Eigenschaften des PDF Dateiformats und Untersuchung mit pdf parse Das weit verbreitete Dokumentenformat PDF hat eine Vielzahl forensisch wertvoller Eigenschaften Es
52. Bedeutung der strategischen Vorbereitung bei einer forensischen Untersuchung Durch die vornehmliche Betrachtung der IT Forensik aus der Sichtweise des Anlagenbetreibers ergeben sich verglichen mit dem blicherweise exklusiv betrachteten Strafverfolgungsbeamten einige Einschr nkungen u a keine Ausnahmen beim Datenschutz aber auch eine Vielzahl neuer M glichkeiten die IT Forensik unterst tzende Ma nahmen durchzuf hren Diese ergeben sich dadurch dass der Anlagenbetreiber seine IT Anlage in Erwartung eines potentiellen Vorfalls derart einrichten kann dass erheblich mehr zus tzliche Daten f r eine forensische Untersuchung zur Verf gung stehen Diese Ma nahmen 44 Leitfaden IT Forensik Einf hrung werden als Ma nahmen der strategischen Vorbereitung bezeichnet berblicksartig werden nachfolgend einige solcher Ma nahmen vorgestellt Planung und Dokumentation der IT Anlage unter Beachtung der IT Forensik Eine enorm wichtige Vorbereitung auf potentielle Vorf lle ist die ausf hrliche Dokumentation der IT Anlage Dazu geh ren insbesondere ein Netzplan und die Softwareausstattung auf den einzelnen IT Komponenten Der Netzplan ist dabei f r die strategische Vorbereitung der IT Forensik bedeutsam Er identifiziert geeignete Einsatzpunkte f r den nachfolgend in Kapitel beschriebenen Digitalen Fahrtenschreiber bzw f r Netzwerksonden eines netzwerkbasierten Intrusion Detection Systems welches in Kapitel erl utert wird Weiterh
53. Beweiskrafttendenz ist vorhanden BEL Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 22232 Firefox Bei Mozilla Firefox handelt es sich um eine IT Anwendung die auf einem Computer OW unter Windows oder Linux GW l uft Die Untersuchung Leitfaden IT Forensik 319 Anhang A findet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie Festplatten oder Wechseldatentr gern UO1 1 1 23 1 32 statt Eine Aktivierung ist nicht erforderlich AE gt Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UVs Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Kommunikationsprotokolldaten und Details ber Dateien UZ357s Die Untersuchungsaktion ist die online Speicherung dieser Daten UA Das Untersuchungsergebnis dabei sind Sitzungsdaten Anwenderdaten Kommunikationsprotokolldaten und Details ber Dateien UE 3 Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR2 Eine Beweiskrafttendenz ist vorhanden DEL Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 222
54. Beweismittel dass auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung ist nicht erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Der Security Task Manager wertet Prozessdaten aus UZ und ist dazu in der Lage diese zu speichern UA Das Ergebnis hierbei sind Prozessdaten UE Das Datenvolumen liegt im Kilobyte Bereich DV Eine Verwendung des Security Task Managers ver ndert systemweit fl chtige Daten STW Datenschutzrechtlich ist die Funktionalit t nicht bedenklich DSR So gewonnene Daten haben die Tendenz dazu beweiskr ftig zu sein BK Das Werkzeug Untersuchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM Jnettop Jnettop ist ein forensisches Werkzeug das der Skalierung von Beweism glich keiten dient Diese Funktion erf llt es in dem es aktive Netzwerk bertragungen sowie deren genutzte Bandbreite anzeigt und damit in diesem Abschnitt die Datensammlung erm glicht Besonders sinnvoll ist der Einsatz von jnettop wenn aktuelle Daten bertragungen erkannt werden sollen Zudem ist es damit m glich die Bandbreite nach Port TCP UDP oder einzelnen Hosts zu gruppieren Des Weiteren k nnen Filter definiert werden womit die generierte Datenmenge kleiner ausf llt Zur berwachung von mehreren Systemen
55. Daten sammlung arbeiten Nachfolgend sollen nun exemplarisch ausgew hlte foren sische Eigenschaften von Vertretern der grundlegenden Methode SB vorgestellt werden Der Security Task Manager Die Aufgabe des Security Task Managers ist die Einsch tzung aktuell laufender Prozesse hinsichtlich deren potentieller Gef hrlichkeit f r das System siehe dazu auch UMD08b Der Security Task Manager wertet hierf r diverse Kriterien aus und mittels der implementierten Heuristik ist es so auch m glich beispielsweise Rootkits zu entdecken In einer forensischen Live Untersuchung kann der Einsatz des Security Task Managers sinnvoll sein wenn man sich noch nicht sicher ist welche Art von Vorfall vorliegt Der Security Task Manager kann sinnvolle Hinweise darauf liefern ob der Vorfall durch Schadsoftware bedingt ist oder die Ursache an einem anderen Ort zu suchen ist Der Security Task Manager ist auch dazu in der Lage mithilfe des Exportieren Befehls einige wichtige Prozess informationen f r die Datensammlung zu sichern Im Modell des forensischen Prozesses im vorliegenden Leitfaden ist der Security Task Manager in den Abschnitt der Datensammlung einzuordnen Die von ihm gesammelten Daten sind Prozessdaten Einordnung in das detaillierte Schema siehe Kapitel Leitfaden IT Forensik 193 Detaillierte Vorgehensweise in der IT Forensik Bei dem forensischen Werkzeug Security Task Manager handelt es sich um ein Werkzeug zur Skalierung der
56. Der Abschnitt der strategischen Vorbereitung befindet sich noch vor dem Auftreten eines Zwischenfalls der eine forensische Untersuchung notwendig macht siehe dazu auch die Ausf hrungen im Kapitel Im Rahmen dieses Abschnittes werden Ma nahmen getroffen die eine sp tere forensische Untersuchung unterst tzen oder erleichtern k nnen Hierbei sind nat rlich vor allen zus tzliche Logging Mechanismen gemeint die aber jeweils Beschr nkungen hinsichtlich ihres Datenvolumens einerseits und ihrer datens chutzrechtlichen Relevanz mit sich bringen Die beispielhafte Werkzeugsammlung f r diesen Abschnitt erleichtert die Auswahl in dem sie die Werkzeuge nach den betrachteten forensischen Datenarten unterteilt und weiterhin Aussagen ber diese beiden Punkte liefert Innerhalb der strategischen Vorbereitung sollte ein Werkzeugkatalog erstellt werden In diesem werden wie beispielhaft im Kapitel beschrieben forensische Werkzeuge anhand ihrer Eigenschaften aufgef hrt Aus diesem Werkzeugkatalog werden dann im Verlauf der forensischen Untersuchung geeignete Werkzeuge ausgew hlt Ein wichtiger Teil dieses Untersuchungsabschnitts ist die prozessbegleitende Dokumentation siehe Kapitel die aufzeigt welche M glichkeiten durch die hier durchgef hrten Ma nahmen f r eine Untersuchung er ffnet wurden Symptom Ebenso wie die strategische Vorbereitung gibt das Symptom den Rahmen f r die forensische Untersuchung vor An dieser Stelle wird der Vo
57. Detaillierte Vorgehensweise in der IT Forensik Datenbanken selbst Anwenderdaten MySQL Binlogs Die Binlogs enthalten s mtliche Datenbankanfragen die den Datenbestand ndern dies schlie t auch Bin rdaten ein BLOB Sie werden in einem bin ren Format gespeichert und k nnen mit dem integrierten Programm mysqlbinlog in ein lesbares Format umgewandelt werden Zus tzlich ist zu jeder Anfrage der Ausf hrungszeitpunkt vermerkt Dieser entspricht der jeweiligen Systemzeit Die in ein lesbares Format konvertierten Logs eignen sich auch dazu wieder in die Datenbank eingelesen zu werden somit ist eine partielle Rekonstruktion mit Hilfe der Binlogs m glich Der forensische Nutzen ist offensichtlich die M glich keit Datenver nderungen und den Ver nderungszeitraum erkennen zu k nnen Gerade Datenbestands nderungen z B durch SQL Injection k nnen somit zur ckverfolgt werden Die generierten Ergebnisse sind dabei der Datenart Sitzungsdaten zuzuordnen Eine Sammlung dieser Daten wird durchgef hrt indem die MySQL Binlogs die sich standardm ig im Verzeichnis var log mysql eines linux basierten Systems befinden zu sichern In der Datenuntersuchung werden diese anschlie end u a mithilfe des zu MySQL geh rigen Werkzeuges mysbinlog in ein lesbares Format berf hrt und k nnen dann untersucht werden Einordnung in das detaillierte Schema siehe Kapitel MySQL binlogging l uft auf festinstallierten Computern HW Das
58. Dokumentation siehe Kapitel Die operationale Vorbereitung ist angemessen zu dokumentieren Datensammlung In der Datensammlung werden aus dem Katalog der forensischen Werkzeuge geeignete Werkzeuge ausgew hlt um die in der operationalen Vorbereitung identifizierten Daten zu sichern Der Werkzeugkatalog erm glicht eine gezielte Auswahl hinsichtlich der betrachteten Datenarten siehe dazu auch Kapitel Erfassung von Systemzeit und Systemdatum Eventuelle Abweichungen zu einer Referenzzeit m ssen genauso wie die am System eingestellte Zeitzone dokumentiert werden Hierzu ist ein forensisches Werkzeug erforderlich welches in der Lage ist die Datenart Hardwaredaten zu erfassen W hrend der Erfassung m ssen integrit tssichernde Ma nahmen siehe dazu die Ausf hrungen ber die Sicherheitsaspekte in Kapitel ergriffen werden ber die Ausgaben der eingesetzten forensischen Werkzeuge sollte dazu eine geeignete kryptographische Hashsumme erzeugt werden Die Authentizit tssicherung erfolgt ber das Vier 88 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Augen Prinzip im Rahmen der prozessbegleitenden Dokumentation Erfassung der auf dem System laufenden Prozesse Dazu sollte eine Liste der aktiven Prozesse erstellt werden Hier werden bzgl der Datenarten Prozessdaten erfasst Wann immer m glich sollten daf r statisch kompilierte Programme von einem schreibgesch tzten Datentr ger zum Einsatz kommen um eine
59. Eigenschaften eines bestimmten Objekts im Active Directory an Detaillierte Informationen ber verteilte Dateisysteme befinden sich im Kapitel DSQUERY Die Befehle dieser Werkzeugsammlung erm glichen es dem Nutzer das Active Directory laut angegebener Suchkriterien zu durchsuchen Detaillierte Informationen ber verteilte Dateisysteme befinden sich im Kapitel Ermittlung von Kommunikationsprotokolldaten WHOAMI Dieser Befehl gibt den Dom nennamen den Computernamen den Benutzer namen die Gruppennamen die Anmeldekennung und die Berechtigungen des aktuell angemeldeten Benutzers zur ck und erm glicht dadurch die Einordnung des Servers in die Netzwerkumgebung Zusammenfassung der Methoden und Werkzeugeinordnung Um das Kapitel ber die forensischen Werkzeuge von Windows Server 2003 noch einmal kurz und visuell zusammenzufassen sei hier auf die nachfolgende Abbildung 24 verwiesen 66 Beschreibung aus der Hilfe und Support Center Suche cluster 67 Beschreibung aus der Hilfe und Support Center Suche dfscmd 68 Beschreibung aus der Hilfe und Support Center Suche dsget 69 Beschreibung aus der Hilfe und Support Center Suche dsquery 70 Beschreibung aus dem Hilfe und Support Center Suche whoami Leitfaden IT Forensik 109 Detaillierte Vorgehensweise in der IT Forensik Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdate
60. Erfasst werden k nnen In der Muster landschaft sind die Standorte B5 und B6 zu diesem Typ zugeh rig Der Standorttyp 4 ist besonders dann n tzlich wenn mit wenigen Fahrten schreibern m glichst gro e Teile des Netzwerks erfasst werden k nnen Solche Standorte sind auch f r IDS Sensoren ideal Allerdings ist dabei zu beachten dass dort die anfallende Datenmenge bedeutend gr er ausfallen kann als bei Standorten vor einzelnen Systemen Zu diesem Typ geh ren die Standorte B1 bis B6 Der Standorttyp 5 besitzt einen Sonderstatus einerseits ist er flexibel einzurichten andererseits ist dieser als einziger von einem m glichen Angreifer erkennbar Zudem wird bei diesem Standort nur ein Netzwerkanschluss des digitalen Fahrtenschreibers ben tigt Die Standorte B22 bis B25 geh ren zu diesem Typ 56 Leitfaden IT Forensik Einf hrung Bei der Positionierung sind verschiedene Faktoren einzuplanen einer der wichtigsten ist das zu erwartende Datenvolumen An dieses muss der verf gbare Speicherplatz des digitalen Fahrtenschreibers angepasst werden Dar ber hinaus kann der Standort beeinflussen was berhaupt aufgezeichnet werden kann Besonders die Standorte B1 und B2 bilden hier einen Sonderfall Da die Eingehenden VPN Verbindungen am Standort Bl noch verschl sselt sind k nnen diese nicht ausgewertet werden Daf r ist eine Positionierung an Standort B2 n tig Auch das anfallende Datenvolumen d rfte an Standort B1 gr er sein als d
61. FD extrahiert werden k nnen Um f r die Betrachtung der grundlegenden Methoden im Kapitel die Darstellung zu vereinfachen wird f r jede einzelne grundlegende Methode die Abbildung 19 gew hlt Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Kommunikations Konfigurations protokolidaten daten Abb 19 Darstellung der Datenarten grundlegender Methoden des forensischen Prozesses Hier sind die acht Datenarten im Verh ltnis zum Abschnitt des forensischen 84 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Prozesses abgetragen Jedes Kreisringsegment wird farbig markiert wenn die betreffende Datenart im Abschnitt des forensischen Prozesses betrachtet wird Zusammenfassung der wichtigsten Elemente des nachfolgend eingesetzten Modells Um die Ausf hrungen ber das im folgenden Verlauf eingesetzte Modell des forensischen Prozesses abzuschlie en soll die folgende Abbildung 20 die wesentlichen Bausteine zusammenfassen Unterteilung der Abl ufe Abschnitte des forensischen Prozesses Quellen forensisch en bedeutsamer Methoden l bie grundlegende Methoden Abb 20 Bausteine des Modells des forensischen Prozesses im Sinne des Leitfadens Auf der Basis der Bausteine Abschnittsteilung Kategorienbildung und forensische Datenarten kann der forensische Prozess universell dargestellt werden Im Kapitel werden die einzelnen grundlegenden
62. Fehlerberichterstattung werden ebenfalls zug nglich gemacht Dar ber hinaus ist der Export dieser Daten m glich Auch ein Remote Einsatz ist vorgesehen Hilfe und Support Center Hier werden in der Rubrik Tools der Punkt Computerinformationen angeboten Hier kann der Status der Systemhardware und Daten ber die auf dem Computer installierte Hardware angezeigt werden Diese Werkzeuge sind im Wesentlichen zur Analyse von Fehlfunktionen sinnvoll Ein Datenexport ist nicht m glich Sammlung von Rohdateninhalten Obwohl Microsoft Windows XP keine eigenen Methoden zur Untersuchung des Hauptspeichers und der darin enthaltenen Daten bietet unterh lt es zwei wichtige Dateien aus denen Hauptspeicherinhalte gewonnen werden k nnen Dadurch ergibt sich ein indirekter Zugriff auf Rohdateninhalte von Teilen des Haupt speichers pagefile sys Auslagerungsdatei f r den virtuellen Arbeitsspeicher Mit dem Befehlszeilenprogramm pagefileconfig k nnen Daten der Aus lagerungsdatei pagefile sys angezeigt werden Das Programm pagefileconfig vbs erm glicht es Administratoren die Einstellungen f r den virtuellen Speicher der Systemauslagerungsdatei anzuzeigen und zu konfigurieren Die Script Datei wird durch cscript exe interpretiert welche sich im Verzeichnis system32 der Win dows Installation befindet Die Integrit t und Authentizit t ist bei einer Sicherung auf diese Weise keinesfalls gew hrleistet Da es sich um eine im regul ren Dateisy
63. Firewallsystems erbrachte die Information dass die Leitfaden IT Forensik 299 Einsatz der IT Forensik anhand ausgew hlter Szenarien betreffenden Verbindungen zum Tauschb rsendienst ber einen Zeitraum von drei Wochen von dem Arbeitsplatz mit der IP Adresse 192 168 0 10 ausgingen Eine Untersuchung auf dem System brachte einen installierten Tauschb rsenclienten sowie die Dateirechte der zuvor gel schten beanstandeten Dateien zum Vorschein Mittels Korrelation mit den Logindaten die auf dem Dom nencontroller aufgezeichnet wurden war es m glich aus der Kombination von Zeitpunkt und Arbeitsplatz herauszufinden welcher Mitarbeiter dort zu diesem Zeitpunkt aktiv war 300 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Fazit blicherweise wird die IT Forensik als ein Fachgebiet verstanden welches sich mit dem Nachweis und der Aufkl rung von Straftaten unter Verwendung von IT Komponenten besch ftigt Diese Sichtweise auf die IT Forensik umfasst insbesondere die T tigkeiten welche speziell geschulte Auditoren und Strafverfolgungsbeh rden in der Vorfallsbearbeitung einsetzen Ohne diese Zielgruppe au er Acht zu lassen wird die IT Forensik auf Vorf lle und Untersuchende au erhalb dieser Festlegung erweitert In dem vorliegenden Dokument wird IT Forensik als Datenanalyse zur Feststellung der Ursache eines Fehlverhaltens einer IT Anlage betrachtet Darin eingeschlossen sind sowohl absichtliche
64. Forensics IMF 2009 Piscataway IEEE ISBN 978 0 7695 3807 5 S 54 68 Kongress IMF 2009 5 Stuttgart 2009 09 15 17 2009 KHD09 S Kiltz M Hildebrand J Dittmann Forensische Datenarten und analysen in automotiven Systemen In Patrick Horster Ed DACH Security 2009 Bochum 19 20 Mai 2009 KHDV09 S Kiltz T Hoppe J Dittmann C Vielhauer Video surveillance A new forensic model for the forensically sound retrival of picture content off a memory dump In Proceedings of Informatik2009 Digitale Multimedia Forensik GI Informatik 2009 Liibeck 2009 KHDVS09 S Kiltz M Hildebrand J Dittmann C Vielhauer C Schulz Sicherstellung von gel schtem Schadcode anhand von RAM Analysen und Filecarving mit Hilfe eines forensischen Datenmodells Tagungsband des 11 Deutscher IT Sicherheitskongress des BSI SecuMedia Verlag Ingelheim ISBN 978 3 922746 97 3 2009 Ken06 Kent Karen Chevalier Suzanne Grance Tim Dang Hung Guide to Integrating Forensic Techniques into Incident Response NIST Special Publication 800 86 2006 Leitfaden IT Forensik 305 Literaturliste Kr 08 Kr ger Knut Forensische Aufkl rung eines Vorfalls unter Betrachtung der Eigenschaften der Dateisysteme NTFS und FAT32 am Beispiel des Szenarios T ter Opfer PC Bachelorarbeit am Fachbereich der Fachhochschule Brandenburg 2008 Kru04 Kruse Warren G Computer forensics incident response essentials Addison Wesley ISBN
65. Forensik Detaillierte Vorgehensweise in der IT Forensik unvorsichtigem Vorgehen sehr schnell zerst ren kann Man muss sich dar ber im Klaren sein dass jede Aktion auf einem Live System unweigerlich MAC Zeiten ver ndern wird Die MAC Zeiten werden in den Inodes gef hrt Zum Extrahieren der Inodedaten kann beispielsweise Werkzeug istat der Werkzeugsammlung Sleuthkit verwendet werden Inodes geh ren bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Verwaltung von Attributen Die EXT Dateisystemfamilie verwendet ebenfalls Attribute siehe dazu auch die Ausf hrungen ber Attribute des NTFS Dateisystems im Kapitel Diese sind im Einzelnen e FIFO e Zeichenorientierte Geratedatei Verzeichnis e Blockorientierte Ger tedatei e Datei Symbolischer Link Socket Da unter Linux auch Ger te oder Netzwerksockets als Dateien dargestellt werden geben diese Attribute Aufschluss dariiber um was es sich bei der betrachteten Datei handelt Beispiele hierf r sind Sockets Links Verkn pfungen aber auch Ger te und klassische Dateien Forensisch interessant sind diese Informationen unter anderem dadurch dass im Linux Betriebssystem in bestimmten Verzeichnissen fast ausschlie lich Ger te dateien zu finden sind beispielsweise im dev Verzeichnis Rootkits lagern hier u U regul re Dateien ab welche h ufig Namen von Ger tedateien tragen Verwaltung von Rechten Dateizugr
66. Form gebracht wurden ist das weitere Vorgehen hingegen wieder identisch Strategische Vorbereitung siehe Kapitel L Ein Vorgehen technisch und oder organisatorisch zur Wahrung der Sicherheitsaspekte wurde festgelegt O Ein integrit tssicherndes Vorgehen wurde festgelegt O Die Pr fsumme des Datentr gers wurde f r eine sp tere berpr fung gesichert O Es wird ein Werkzeug eingesetzt dass das Untersuchungsziel nicht ver ndert O Ein Richtlinie zum Umgang mit vertraulichen Daten wurde erstellt O Ein Richtlinie zum Umgang mit vertraulichen Daten wurde erstellt Operationale Vorbereitung siehe Kapitel L Interessante Datenquellen wurden ausgew hlt O Vorfallsrelevante Datenquellen wurden identifiziert L Position von Logdateien wurde festgestellt L Position von Anwenderdaten wurde festgestellt L Position von Konfigurationsdaten wurde festgestellt Untersuchung siehe Kapitel O Die Dokumentation der Untersuchung wurde sichergestellt L Die Untersuchung wurde mit Bildschirmfotos Dokumentiert O Die Untersuchung wurde durch regelm ige Bildschirmfotos dokumentiert L Der Hashwert Bildschirmfotos wurde berechnet und dokumentiert O Das Festplattenabbild wurde untersucht O Gel schte Dateien wurden wiederhergestellt Leitfaden IT Forensik 339 Anhang B Ablaufdiagramme und Checklisten O Dies wird von Autopsy automatisch durchgef hrt O Die Logdateien wurden ausgewertet O Die Logdateien wurden extrahiert O Die Logdateien wurd
67. Im Folgenden wurde mittels dcfldd von der Helix CD unter Zuhilfenahme eines Hardware Writeblockers ein Abbild der Festplatte gewonnen und die SHA256 Pr fsumme gebildet Diese wurde auf dem Beweiszettel notiert Anschlie end wurden die Logdaten von Syslog vom Apache Webserver Dienst sowie dem Lastlog untersucht Zus tzlich wurde den Hinweisen zum Rootkitbefall nachgegangen Dabei wurde im Verzeichnis Jet eine Datei driverHIDE IT gefunden welche ber etc rc local in den Kernel geladen wurde Die Stringanalyse mit strings zeigte mehrfach die Zeichenkette enyelkm daher wurde das gleich namige Rootkit vermutet Anschlie end wurden die MAC Zeiten dieser Datei werden manuell mit den Logdaten korreliert Dabei zeigten sich zeitgleiche Zugriffe auf ein unbekanntes PHP Script auf dem Webserver welches danach untersucht und als r57 Shell identifiziert wurde Die Zugriffe erfolgten von einem Computer mit der IP 192 168 3 200 Deren MAC Zeiten wurden abermals mit den Logdaten korreliert Es zeigte sich Leitfaden IT Forensik 275 Einsatz der IT Forensik anhand ausgew hlter Szenarien dabei dass eine Remote File Inclusion L cke ausgenutzt wurde um mittels eines weiteren Scripts die PHP Shell auf den Server zu laden Beigelegte Beweise Beweisdatentr ger 1 WORM Medium DVD R mit Festplattenabbild Festplattenabbild des Servers daraus extrahierte Dateien Beweiszettel Pr fsummen der Daten von Dat
68. Imaging Achtung HPA DCO Writeblocker verwenden Einsatz der IT Forensik anhand ausgew hlter Szenarien Festplatte reservierte Bereiche eingesetzt wurden Diese reservierten Bereiche sind u a in Gup06 beschrieben und sollen nachfolgend kurz vorgestellt werden Eine Umsetzung f r derartige reservierte Bereiche wird auch als Host Protected Area HPA bezeichnet Dies wird legitim von Herstellern eingesetzt um dort so genannte Recovery Partitionen unterzubringen welche zur Wiederherstellung des Systems benutzt werden k nnen Es k nnten aber dort auch absichtlich Daten abgelegt worden sein um deren Pr senz dem Ermittler zu verbergen Auf diesen Datenbereich der Festplatte kann Normalbetrieb nicht zugegriffen werden Durch besondere Kommandos auf der Hardwareebene der Schnittstelle zum Ger t kann der Zugriff auf diesen Bereich erm glicht werden Ein weiterer Bereich einer Festplatte auf welchen durch das BIOS bzw das Betriebssystem und Anwendungssoftware nicht zugegriffen werden kann ist das so genannte Device Configuration Overlay DCO Der legitime Einsatz dieses Mechanismus ist es von der Sektorenanzahl gleich gro e Festplatten zu erzeugen durch Ausschluss von bersch ssigen Sektoren wie sie z B in einem RAID Verbund ben tigt werden Es k nnten jedoch auch dort absichtlich Daten verborgen werden welche sich durch eine forensische Duplikation ohne Beachtung des DCO Bereichs nicht erfassen lassen Ein Werkzeu
69. JPG ipg 1 4MB 12 10 2008 17 49 48 12 10 2008 17 49 48 1203648 verz in Cl 214000 x 100_4918 JPG ipg 14MB 12 10 2008 17 50 00 12 10 2008 17 50 00 1206504 verz in Cl 214764 Verz in Cl 214920 X x 100_4919 JPG ipg 0 9 MB 12 10 2008 17 50 34 12 10 2008 17 50 34 100_4920 JPG ipg 510 KB 12 10 2008 17 50 56 12 10 2008 17 50 56 Verz in CI 215076 x 100_4921 JPG ipa 1 1 MB 12 10 2008 19 45 28 12 10 2008 19 45 28 Verz in Cl 215384 100_4922 JPG ipa 1 2MB 12 10 2008 19 45 40 12 10 2008 19 45 40 1214520 verz in Cl 216756 x 100_4923 JPG ipg 1 1 MB 12 10 2008 19 45 56 12 10 2008 19 45 56 1217032 verz in Cl 218280 x 100_4924 JPG ba 1 1 MB 12 10 2008 19 46 08 12 10 2008 19 46 06 1219200 SE N A E x 100_4925 JPG ipa O 9MB 12 10 2008 19 46 16 12 10 2008 19 46 16 1221448 v Verz in Cl 220576 Partition Datei Vorschau Details Galerie Kalender Legende Roh Syne w 4 8 Gew hlt 1 Datei 0 Verz 510 KB Verz in Cl 220732 Verz in Cl 222868 verz in Cl 223024 verz in Cl 223180 verz in Cl 223944 verz in Cl 225772 Verz in Cl 226080 Verz in Cl 228516 Verz in Cl 228976 Verz in Cl 229284 verz in Cl 229440 Verz in Cl 229596 Verz in Cl 229752 Verz in Cl 233256 Verz in Cl 233868 Verz in Cl 234632 Verz in Cl 234788 Verz in Cl 235552 v lt gt sd_abbild Partition 1 Pfad unbekannt Verz in CI 146332 100_4920 JPG Abb 57 Durch die intensive Datenstruktursuche gefu
70. Kapitel LDP l uft auf festinstallierten Computern HW Das Programm ist f r Windows erh ltlich SW Der Untersuchungsort lokal oder remote auf dem zu untersuchenden System UO F r LDP ist keine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems sowie Administratorrechte UV Untersuchungsziel sind Kon figurationsdaten Anwenderdaten und Sitzungsdaten UZ Die Untersuchungs aktion besteht aus der online Extraktion der Konfigurationsdaten UA Das Untersuchungsergebnis sind Konfigurationsdaten Anwenderdaten und Sitzungs daten UE Das Datenvolumen des Untersuchungsergebnisses h ngt Proportional mit dem Volumen der Eingangsdaten zusammen DV Da LDP online genutzt wird k nnen fl chtige Daten als Strukturwirkung ver ndert werden STW Eine Datenschutzrelevanz ergibt sich nicht aus der Nutzung des Programms DSR 196 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Eine Beweiskrafttendenz besteht eher nicht BK Bei der Verwendung von LDP muss dieses extern gegen Ver nderung gesch tzt werden SM das Unter suchungsziel wird bei dem Einsatz des Werkzeugs unter Umst nden ver ndert SM das Untersuchungsergebnis muss ebenfalls extern gesch tzt werden SM Chkrootkit Das forensische Werkzeug Chkrootkit wird dazu verwendet ein Computersystem auf einen Befall von Rootkits zu berpr fen Die Untersuchung durch Chkrootkit wird d
71. Kennungen erfasst und damit die l ckenlose Beweiskette initiiert Die eingesetzten forensischen Werkzeuge wurden inkl Beschaffungsquelle inventarisiert Dokumentation siehe Kapitel L Verlauf der Untersuchung dokumentiert L Benennung des Arbeitsschritts Ll Anfangszeit aufgenommen L Bezeichnung des Arbeitsschritts LI Werkzeugname und Version L Aufrufparameter Untersuchungsverlauf O Untersuchender L Untersuchungsergebnis LI Endzeit des Untersuchungsschritts aufnehmen O Ergebnis f r den Forensischen Prozess L Grund f r Untersuchungsschritt Welchen Zugewinn erhofft man sich daraus f r die Untersuchung L Absicherung der Sicherheitsaspekte dokumentiert L Behandlung der Sicherheitsaspekte bei UZ O Integrit t von UZ gesichert O Authentizit t von UZ gesichert O Vertraulichkeit von UZ gesichert L Behandlung der Sicherheitsaspekte bei UE O Integrit t von UE gesichert O Authentizit t von UE gesichert O Vertraulichkeit von UE gesichert L Die forensischen Werkzeuge wurden archiviert Leitfaden IT Forensik 343 Anhang B Ablaufdiagramme und Checklisten Ablaufliste zur Einrichtung des zentralen Logservers Da auch die Ma nahmen der Strategischen Vorbereitung dokumentiert und korrekt ausgef hrt werden m ssen ist auch daf r eine Ablaufliste sinnvoll Diese Ablaufliste verdeutlicht die Einrichtung eines zentralen Logservers sowie die Einhaltung der zutreffenden Anforderungen des BSI Grundschu
72. Kommando STRG ROLLEN ROLLEN erzeugt einen Speicherabzug als Datei Dazu kann in den Systemeinstellungen unter Erweitert Starten und Wiederherstellen vorkonfiguriert werden ob hier ein vollst ndiges ein Kernel oder ein kleines Speicherabbild erzeugt wird Der Pfad wie auch der Dateiname des Abbildes kann dort ebenfalls festgelegt werden Die Standardein stellung ist dabei SystemRoot MEMORY DMP Wie auch schon bei der Auslagerungs und Hybernation Datei von Windows XP im Kapitel angemerkt wurde ist die Extraktion von Daten aus dem Speicherabbild sehr schwierig dennoch k nnen extrem wertvolle Daten enthalten sein somit ist 65 http support microsoft com kb 244139 108 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik eine Sicherung anzuraten Hier ist u a der Einsatz des im Kapitel beschriebenen Filecarvings empfehlenswert Ermittlung von Konfigurationsdaten CLUSTER Dieser Befehl wird verwendet um einen neuen Cluster zu erstellen oder einen vorhandenen Cluster zu verwalten Hiermit k nnen weitere Systeme ermittelt werden auf denen eine Untersuchung notwendig werden k nnte DFSCMD Verwaltet ein verteiltes Dateisystem ber die Befehlszeile Detaillierte Infor mationen ber verteilte Dateisysteme befinden sich im Kapitel Speziell der Parameter view hilft dabei einzelne Volumes des DFS zu identifizieren DSGET Dieses Befehlszeilenprogramm zeigt die ausgew hlten
73. Lai00 verwiesen In eine hnliche Richtung wenn auch unter Ausnutzung von erheblich h heren Ressourcen zielen auch sich in der Forschung befindliche und u a in ISTO8 beschriebene Misuse Detection Systeme bei welchen dann auch k nstliche Intelligenz zur Unterscheidung von zul ssiger Nutzung und Missbrauch zum Einsatz kommt Derartige Systeme lassen sich in netzwerkbasierte NIDS und hostbasierte HIDS Intrusion Detection Systeme unterteilen In einem hostbasierten Intrusion Detection System werden Regelverletzungen durch z B ungew hnliche Systemaufrufe Dateisystemver nderungen Loginzeiten oder Systemauslastungen aufgezeichnet Beispielhaft seien hier die HIDS systrace und tripwire genannt Netzwerkbasierte Intrusion Detection Systeme hingegen berwachen den ein und ausgehenden Netzwerkverkehr und protokollieren Regelverletzungen anhand von erkannten Anomalien Ein typischer Vertreter eines NIDS ist das in Kapitel beschriebene Programm Snort Es gibt jedoch auch Hybridsysteme welche sowohl das System auf dem sie gestartet wurden als auch das Netzwerk berwachen Im Rahmen der IT Forensik sind nun derartige IDS wertvolle Datenquellen welche wichtige Merkmale von Vorf llen aufzeichnen k nnen Dabei muss jedoch angemerkt werden dass Fehlinterpretationen die Konsequenz aus dem Einsatz eines IDS sein k nnen Zwei Arten von Fehlern sind dabei m glich Entweder wurde ein Alarm ausgel st obwohl k
74. Leitfadens um die Betrachtungsweise und Einsatzm glichkeiten aus der Sichtweise des Anlagenbetreibers erg nzt In diesem Sinne wird IT Forensik als Datenanalyse zur Aufkl rung von Vorf llen betrachtet Das schlie t Techniken der Vorfallsbearbeitung engl incident response ein Damit sind forensische Untersuchungen und Vorgehensweisen auch zur Bearbeitung von Supportf llen d h Hardware und Softwareversagen und Fehlbedienung durch den Nutzer geeignet Eine wesentliche Erweiterung der M glichkeiten der IT Forensik durch diese Sichtweise ergibt sich aus der Integration der strategischen Vorbereitung In Erwartung von Vorf llen und deutlich vor deren Eintreffen k nnen hier Ma nahmen getroffen werden welche die Ergebnisqualit t der forensischen Untersuchung entscheidend verbessern k nnen Es wird deshalb f r den vorliegenden Leitfaden festgelegt IT Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datentr gern und in Computernetzen zur Aufkl rung von Vorf llen unter Einbeziehung der M glichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT Systems Eine entscheidende Konsequenz aus dieser Sichtweise ist dass IT Forensik bereits mit der strategischen Vorbereitung beginnt Dabei wird die IT Forensik als Mittel der Strafverfolgung in die hier vorgestellte Sichtweise integriert und bedient sich deren Techniken und akzeptierten Vorgehensweisen Ein Vorfall welch
75. Logging von Trillian handelt es sich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung ist nicht erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Trillian wertet Anwenderdaten aus UZ zeigt diese und ist dazu in der Lage diese zu speichern UA Das Ergebnis hierbei sind Anwenderdaten UE Das Datenvolumen ist hierbei nicht abzusch tzen DV Eine Verwendung des Trillian Logs ver ndert keine Daten STW Datenschutzrechtlich ist die Funktionalit t jedoch ausgesprochen bedenklich da es sich hierbei um Chatlogs handelt DSR Eine Beweiskrafttendenz ist schwierig abzusch tzen BK Das Werkzeug Unter suchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM Der Instant Messenger Pidgin Bei Pidgin handelt es sich ebenfalls um einen Instant Messenger dessen Windows basierte Version hier betrachtet werden soll Pidgin unterst tzt eine Vielzahl an Instant Messenger Protokollen F r die Forensik von Bedeutung sind hierbei sicherlich die Konversations logdateien die man nach Aktivierung der Loggingfunktion in einem dedizierten Verzeichnis finden kann Wenn das Logging von Statusver nderungen aktiviert wurde werden ebenfalls die Statusver nderungen aller Kontakte aufgezeichnet Anzumerken
76. Netzwerkkomponenten hW21 Router hw22 Access Point AP hws Mobile Komponenten hws PDA hw3 2 Mobiltelefon HW bw Forensische Hardware hw TreCorder bw TribbleCard Software SW sw Windows basiert sw 1 DOS basiert sw 11 Windows 95 sw 12 Windows 98 sw 13 Windows ME sw12 NT basiert SW12 1 Windows NT4 SW122 Windows 2000 SW 23 Windows XP 312 Leitfaden IT Forensik Anhang A SW1 2 4 Windows 2003 SW125 Windows Vista SW 26 Windows 2008 Server swz Linux basiert sw21 Linux Kernel SW22 Linux Distribution SW22 1 SUSE SW222 Debian sws Kombiniertes Betriebssystem Multiboot sw3 1 Kombination von Elementen aus sw und ew sws Cisco IOS Untersuchungsort UO uo lokal auf dem untersuchten System u01 1 fest installierte Datentr ger U014 1 RAM U01 1 2 Flash Bios Firmware u01 1 Festplatte Uz Wechseldatentr ger U012 1 Magneto optische Medien UO1 2 2 Magnetbander DAT DLT UO 2 3 Magnetwechselspeicher Zip Jaz U01 2 4 Optische Medien CD DVD U0125 Speicherkarten leser UO1 26 USB Stick UO 3 externe Ger te UO4 3 1 Mobiltelefon UO1 32 PDA U01 3 3 Digitalkamera u0134 Netzwerkkomponenten uoz remote auf dem untersuchten System UO2 1 fest installierte Datentr ger UO3 1 1 RAM UO2 1 2 Flash Bios Firmware UO213 Festplatte UO2 2 Wechseldatentr ger UO2 2 1 Magneto optische Medien UO2 2 2 Magnetb nder DAT DLT UO2 2 3 Magnetwechselspeicher Zip
77. OE BB 07 00 CD 10 SE EB FO 32 t V f sai Boot Sektor 00000070 E4 CD 16 CD 19 EB FE 54 68 69 73 20 69 73 20 6E af This isn 00000080 6F 74 20 61 20 62 6F 6F 74 61 62 6C 65 20 64 69 ot a bootable di Datei berblick von vor 0 Min 00000090 73 6B 2E 20 20 50 6C 65 61 73 65 20 69 6E 73 65 sk Please inse Physische Sektor Nr 129 00000040 72 74 20 61 20 62 6F 6F 74 61 62 6C 65 20 66 6C rt a bootable fl ee D 00000080 6F 70 70 79 20 61 6E 64 OD OA 70 72 65 73 73 20 oppy and press 000000C0 61 6E 79 20 6B 65 79 20 74 6F 20 74 72 79 20 61 any key to try a Genutzter Speicher 0 7 GB 00000000 67 61 69 6E 20 2E 2E 2E 20 OD OA 00 00 00 00 00 gain 730 218 496 Bytes 000000E0 00 00 00 00 00 00 00 00 op 00 00 00 00 00 00 00 000000F0 00 00 00 00 00 00 00 00 00 00 op 00 00 00 00 00 Daten Dolmetscher x 8 Bit 2 21 Sektor 0 von 1957407 Offset 0 235 Block 16 Bit 2 22763 Abb 56 Leeres Stammverzeichnis des Datentr gers Hier sollte bei einer intakten Kamera sich das Verzeichnis DCIM auf der SD Karte befinden in welchem sich dann die Bilder mit dem Dateinamen 100 XXXX JPG befinden XXXX repr sentiert eine laufende Bildnummer Es wurde die forensische Methode Datei berblick erweitern der forensischen Werkzeugsammlung X Ways notwendig um die Dateirekonstruktion zu erm g lichen Diese verl uft weitgehend automatisiert ab verwendet jedoch intern die in Kapitel vorgestellten Mechanismen des FAT32 Da
78. Programm ist Teil vieler Linux Distibutionen aber auch f r Microsoft Windows erh ltlich SW Der Untersuchungsort ist lokal auf festinstallierten Datentr gern UO F r das MySQL binlogging ist bei der Debian Standardinstallation keine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktions f higkeit des Computersystems sowie Administratorrechte f r den Zugriff auf die Logdateien UV Untersuchungsziel sind Anwenderdaten und Sitzungsdaten UZ Die Untersuchungsaktion besteht aus dem online Speichern von Logdaten auf das Speichermedium UA Untersuchungsergebnis sind dabei Anwenderdaten und Sitzungsdaten UE Das Datenvolumen h ngt von der Anzahl und L nge von datenbestands ndernden Anfragen ab daher sind genaue Angaben nicht m glich DV Da das MySQL binlogging Teil der normalen Datenbanknutzung ist treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich unter Umst nden DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung vom MySQL binlogging muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM MySQL Prozesslogs 133 http dev mysql com doc refman 5 0 en binary log html 134 http www linuxcommand org man_pages mysqlbinlog1 html Leitfaden IT Forensik 171 Detaillierte Vorgehensweise in de
79. Systemen innerhalb eines Netzwerks in einen zeitlichen Zusammenhang gebracht werden m ssen ist daher eine vertrauensw rdige Zeitbasis Eine bedeutsame Forderung ist es s mtliche Zeitquellen in einem IT System zu von allen Einzelkomponenten zu erfassen Die RTC eines IBM kompatiblen PCs l sst sich h ufig direkt im BIOS auslesen Auf windows basierten Systemen kann die Uhrzeit mittels des Kommandos time und das Datum mit date in der Kommandozeilenumgebung abgefragt werden Auf linux basierten Systemen liefert der Befehl date sowohl das Datum als auch die Uhrzeit Da die Ver nderung der Systemzeit selbst z B zum Verwischen von Spuren ein nachzuweisender Vorfall sein siehe dazu auch Kapitel kann m ssen sowohl die hardwarebasierte Zeit aus der RTC als auch die Systemzeit erfasst werden und mit einer aus einer unabh ngigen Zeitquelle verglichen werden Einige Betriebssysteme u a Linux erlauben es die Systemzeit v llig unterschiedlich zur RTC Zeit zu setzen Schon allein deshalb ist eine Erfassung beider Zeiten RTC und Systemzeit erforderlich Bei Microsoft Windows basierten Systemen hingegen bewirkt eine nderung der Systemzeit auch eine nderung der RTC Zeit Beide Betriebssystem Familien verlangen jedoch nach Administrator Rechten zur nderung der Zeit Zeitstempel Der Aufbau und die Interpretation der Systemzeit sind stark vom eingesetzten Betriebssystem abh ngig Beispielhaft sollen nachfolgend ausgew hlte typisch
80. Systems nahezu unm glich Die Dominanz der x86 kompatiblen Computersysteme im Desktop Bereich erschwert die Hardwareheterogenit t jedoch Eine Heterogenit t bez glich der Software insbesondere des Betriebs systems ist bedeutend einfacher zu erreichen Kurzzusammenfassung des Kapitels Im Rahmen des einf hrenden Kapitels wurde eine Motivation f r IT Forensik f r unterschiedliche Zielgruppen und die zu beantwortenden Fragestellungen gegeben Es erfolgte eine Einordnung der IT Forensik in den Gesamtprozess des Notfallmanagements und in weitere Gesch ftsprozesse am Beispiel von COBIT und ITIL Die Organisation von IT Forensik und die Erstellung von organisatorischen Konzepten wurden dargestellt Die Einf hrung der CERT Taxonomie erm glicht die Vorstellung eines Systems zur Beschreibung von IT sicherheitsrelevanten Vorfallen und kann ebenfalls zur Bestimmung und Auswertung von Vorf llen eingesetzt werden Anhand des Beispiels eines Vorfalls wurden grunds tzliche Fragestellungen von fl chtigen und nichtfl chtigen Daten beim Einsatz der IT Forensik vorgestellt um f r die Entscheidungsfindung unterst tzende Hinweise zu geben Die Bedeutung der Zeit als eine wichtige Einflussgr e auf eine Untersuchung im Rahmen der IT Forensik wurde unterstrichen Ein wichtiger begleitender Faktor w hrend einer forensischen Untersuchung insbesondere aus der Sichtweise des Anlagenbetreibers ist der Datenschutz Es wurde motiviert dass dieser unter al
81. Transportschicht UDP tshark q z conv udp r 1219251941 cap UDP Conversations Filter lt No Filter gt I W gt Total Frames Bytes Frames Bytes Frames Bytes 192 168 1 14 blackjack lt gt 192 168 1 2 domain 38 5268 38 2852 76 8120 192 168 1 14 bootpc lt gt 192 168 1 2 bootps 2 684 2 684 4 1368 192 168 3 200 52814 lt gt 192 168 1 14 37497 0 0 2 712 2 712 Die hier vorgestellten Ausschnitte stellen eine exemplarische Auswahl dar Das Programm kann auch andere Protokolle wie z B das ICMP Protokoll aber auch im Netzwerk freigegebene Ressourcen bspw Laufwerke und Drucker bzgl der Verbindungsdaten dekodieren Durch Weglassen der q Option wird von der konversationsbasierten Darstellung in welcher bestehende Verbindungen mit der Frame und der Bytemenge zusammenfassend aufgelistet werden auf eine detailliertere Dar stellung umgeschaltet welche aber auch erheblich gr ssere Datenmengen erzeugt Nachfolgend wird nun dargestellt wie die Untersuchung der mitgeschnittenen Netzwerkdaten auch auf die Paketnutzdateninhalte ausgedehnt werden kann Ein an der Universit t Magdeburg durch die Arbeitsgruppe Multimedia and Security entwickelte Softwarel sung siehe dazu auch LD08 verfolgt zus tzlich zur Erfassung von Verbindungsdaten eine geeignete Visualisierung durch so genannte Spinnen Dies sind Verbindungsgraphen die dazu in der Lage sind Gruppeninteraktionen und Verschleierungs
82. Untersuchung DA Datenanalyse DO Dokumentation Tabelle 21 Zusammenfassung der forensischen Eigenschaften des FAT Dateisystems Um mit dem wachsenden Speicherplatzbedarf mithalten zu k nnen erfuhr das FAT Dateisystem mehrere Revision Dadurch wurde die maximale Anzahl von Clustern siehe Kapitel des Leitfadens erh ht FAT12 kann maximal 4084 Cluster unterst tzen FAT16 adressiert 65524 Cluster und FAT32 67092481 siehe Bun06 Des Weiteren wurden als Erweiterung der 8 3 Namensvergabe max 8 Zeichen f r den Dateiname und 3 Zeichen f r den Dateityp lange Dateinamen bis zu 255 Zeichen hinzugef gt Diese Erweiterung wird auch als VFAT bezeichnet FAT ist vom Aufbau her einfacher als NTFS und gestattet keine ACLs Journaling und besitzt keine der anderen erweiterte Eigenschaften wie sie von NTFS bekannt sind Trotz allem ist es auch heute noch weit verbreitet Dies liegt vor allem darin begr ndet dass viele Wechseldatentr ger z B USB Sticks Speichermedien in Digitalkameras usw dieses System aufgrund seiner relativ einfachen Im plementierbarkeit einsetzen Deshalb sollen nachfolgend die forensischen Methoden dieses Dateisystems unter Verwendung der Datenarten aus Kapitel und der Abschnitte des forensischen Prozesses aus Kapitel beschrieben werden Extraktion der Details ber Daten Wie schon in der allgemeinen Einf hrung ber Dateisysteme im Kapitel beschrieben wurde verwaltet das Dateisystem d
83. Verdachtsfall ergriffen werden Ma nahmen aus SB sind f r den Einsatz im Hintergrund beispielsweise in einer Produktivumgebung beispielsweise aufgrund von false positive Meldungen nicht geeignet oder gedacht liefern aber im Verdachtsfall wertvolle Daten Da sie alle im Rahmen einer live Analyse eingesetzt werden ist deren m glicher Nutzen f r die forensische Untersuchung gegen ber den m glichen Sch den des Einsatzes abzuw gen Dies gilt insbesondere bez glich der Ver nderung von fl chtigen und nichtfl chtigen Daten Eine weitere Einsatzm glichkeit dieser Werkzeuge ist innerhalb einer Kopie des zu untersuchenden Systems diese kann z B aus einem Datentr gerabbild mittels Live View siehe Kapitel erzeugt 192 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik werden Um eine zusammenfassende Einordnung der in diesem Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 30 verwiesen SB Skalierung von Beweism glichkeiten SV Strategische Vorbereitung OV Operationale Vorbereitung DS Security Task Manager Jnettop LDP chkrootkit Datensammlung US Untersuchung DA Datenanalyse DO Dokumentation Tabelle 30 Zusammenfassung der Einordnung der grundlegenden Methode SB anhand der identifizierten Eigenschaften ausgew hlter forensischer Methoden Es ist ersichtlich dass die ausgew hlten Methoden im Bereich der
84. Vorfalls und der zu erwartende Schadensh he Die Risikobewertung wird u a in dem IT Grundschutz als Teil des Sicherheitsmanagements beschrieben COBIT und ITIL Im Rahmen des IT Sicherheitsmanagements spielen u a die Empfehlungen nach COBIT Control Objectives for Information and related Technology und ITIL Information Technology Infrastructure Library eine bedeutsame Rolle auf welche hier n her im Zusammenhang mit der IT Forensik eingegangen wird Dabei ist nach Boc08 COBIT ein Rahmenwerk engl Framework von generell anwendbaren und international akzeptierten IT prozessbezogenen Kontroll und Steuerungszielen die in einem Unternehmen bzw einer Organisation betrachtet und umgesetzt werden sollten um eine verl ssliche Anwendung der Informationstechnologie zu gew hrleisten Nach Boc08 ist COBIT inzwischen der De Facto Standard f r interne Kontrollsysteme im IT Bereich Im Rahmen des ITIL Frameworks ITILO8 wird ein IT Service Management beschrieben Dieses orientiert sich ausschlie lich am Kundennutzen und der unternehmens bzw beh rdeninternen Effizienz Dazu sind in ITIL sind die wichtigsten Praktiken und Prozesse einer IT Organisation beschrieben jedoch werden die genauen Abl ufe und die daf r notwendigen Werkzeuge nicht vorgegeben Stattdessen werden anhand von Checklisten Aufgaben und Verfahren vorgeschlagen welche auch von der IT Organisation individuell angepasst werden k nnen Im Vergleich zu ITIL liegt der F
85. Vorgehensweise in der IT Forensik Der FAT Root Folder beinhaltet einen Eintrag f r jede Datei und jedes Verzeichnis in der Wurzel des Verzeichnisbaums engl Root Das besondere an ihm ist verglichen mit den nachfolgenden Eintr gen dass er eine feste vorhersagbare Gr e bei Festplatten ein Sektor d h 512 Byte und eine feste Position hat siehe dazu auch Bun06 Der FAT Root Folder geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Volume Boot Record Der Volume Boot Record befindet sich im ersten Sektor einer Partition Durchaus hnlich zum Partition Boot Sector eines NTFS Dateisystems befindet sich hier der Bootcode Zus tzlich ist hier auch der BIOS Parameter Block untergebracht Dies ist ein Datenbank hnlicher Bereich in welchem sich Parameter f r die Partition und das innenliegende Dateisystem befinden siehe dazu auch Bun06 Der Volume Boot Record kann von einer Vielzahl von forensischen Werkzeugen interpretiert und gelesen werden Beispielhaft sei hier die forensische Werkzeugsammlung Sleuthkit genannt Der Volume Boot Record geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten hnlich wie bei dem Partition Boot Sektor eines NTFS Dateisystems kann hier ermittelt werden ob der Bootcode eines Systems ver ndert wurde Verwaltung der Zeiten In einem FAT Eintrag befinden sich auch die MAC Zeiten Die Erstellungszeit C
86. Windows Firewall mit erweiterter Sicherheit sie so zu konfigu rieren dass sowohl erfolgreiche Verbindungen als auch blockierte Pakete protokolliert werden siehe Abbildung 27 ay Windows Firewall mit erweiterter Sicherheit elle Datei Aktion Ansicht 3 MBr 2 Windows Firewall mit erweitert Protokollierungseinstellungen f r ffentliches Profil anpassen Firewall mit erweiterter Sicherheit auf amp 3_ Name system32 LogFiles Firewall pfirewall loc pace Ty Fee y i ffentliches Profil Psec Einstellungen Gr enlimit KB 4 096 Verworfene Pakete protokollieren Ja Sara en am Computer eine Erfolgreiche Verbindungen protokollieren Ja Ein empfohlen e Hinweis Stellen Sie beim Konfigurieren des Protokolldateinamens im Gruppenrichtlinienobjekt sicher dass das Windows Firewall Dienstkonto ber Verbindungen Schreibberechtigungen f r den Ordner mit der Protokolldatei verf gt gen Blocken Standard Verbindungen Zulassen Standard e Der Standardpfad f r die Protokolldatei lautet Zwindir system32 logfiles firewall pfirewall log Weitere Informationen ber Protokollierung ak a ae m indows Firewall steuem Anpassen Protokollierung Ressourcen 1 Geben Sie die Protokollierungs einstellungen f r die Problembehandlung gege EI Erste Sc an om Abb 27 Windows Firewall Protokollierung Diese Ma nahme ist in der strategischen Vorber
87. Zusammenfassung der Methoden und Werkzeugeinordnung 168 Die grundlegende Methode TT Amwendung 169 Forensisch nutzbare Funktionen des Datenbankmanagementsystems MYSOL ne ansehen en 170 Der Instant Messenger Trillian 00 0 ees ccscceseeeeeeseeeeeeteeceeeeeeentaeeees 174 Der Instant Messenger Prd Sithits yc ccessvccausesses eege Eeer gen 175 RChal net et 176 Der E Mail Klient und Terminplaner Microsoft Outlook 177 Der E Mail Klient Mozilla Thunderbird ee 178 Der Logmechanismus der Bourme agam zhell 180 Der Webserver Apache nenn en are 181 Der Webbrowser Mozilla Firefox u ei 183 Verteilte Dateisysteme u as cod 185 Zusammenfassung der Methoden und Werkzeugeinordnung 192 Die grundlegende Methode Skalierung von Beweismitteln 192 Der Security Task Manager nannte 193 Melonen ase 194 Das Werkze LDP EE 195 EE 197 Zusammenfassung der Methoden und Werkzeugeinordnung 198 Die Grundlegende Methode Datenbearbeitung und Auswertung 199 Das Filecarving Werkzeug Scalpel 201 LEE 202 Die Korrelationssoftware Zetlme 203 Exif Datenfelder in Anwenderdaten und deren Auswertung mit EE 204 Forensische Eigenschaften des PDF Dateiformats und Untersuchung mit DEES dee EE 208 Hashwertberechnung mittels md deen ec eeccesceeeeeeeeeeeeeeeneeeeeaes 211 Zusammenfassung der Methoden und Werkzeugeinordnung 212 Gesamtzusammenf hrung aller grun
88. am Bresch N1 Router B a N2 Firewall B ml Vertriebsb ros 3 mn N4 Switch S5 DB Server Fibu I H C8 3 Clients LI Vertriebsb ros Lt Ss SE C4 4Clients C1 5 Clients IT Lohn Fibu E k CH T3 8 Faxger te we C2 3 Clients C5 14 Clients Gesch fts Einkauf Marketing f hrung Vertrieb C9 8 Laptops C3 4 Clients Personal RW m u me um mL S4 DB Server Kunden und Auftragsbearb T1 TK Anlage Z SN Betrieb Bonn Beuel N5 Rout H SS Standleitung i Ema N7 Switch ES i E Di mi AEL ess h gt S1 Dom nen d I Controller S6 Dom nen Controller Datei u Druckserver m S2 Komm Server C6 12 Clients Exchange Fertigung Lager E eo E C7 6 Clients S3 Datei und Entwicklung Druckserver T2 TK Anlage Abb 7 Netzplan der IT Musterlandschaft RECPLAST GmbH Die nachfolgende Abbildung 8 zeigt den Netzplan des modifizierten Gesamt systems 46 Leitfaden IT Forensik Einf hrung Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros NdA o T3 8 Faxgerate Abb 8 Netzplan der modifizierten IT Musterlandschaft RECPLAST GmbH Die Zentrale in Bad Godesberg ist dabei tiber eine Standleitung unter Einsatz eines Routers N5 mit der Zweigstelle in Bonn Beuel verbunden Uber das Internet sind unter Einsatz von VPN Verbindungen Zugriffe auf das interne Netz von externen Vertriebsbiiros vorgeseh
89. ben tigten forensischen Datenarten die forensische Untersuchung zum Erfolg bringen k nnen Dabei wird der gesamte Verlauf der forensischen Untersuchung beginnend mit der strategischen Vorbereitung bis hin zum Abschlu bericht dokumentiert Der Leser wird in die Lage versetzt einerseits bei einem speziellen Verdacht selbst ndig mittels des Modells die richtige Methode und das dazu geh rige Werkzeug zu bestimmen als auch andererseits ein konkret vorgefundenes Werkzeug in den forensischen Prozess einzuordnen und zu bewerten In Kapitel 4 werden abschlie ende Hinweise zur Anwendung der vorgestellten Herangehensweise Modell gegeben Es werden aber auch Grenzen der Ermittelbarkeit von Vorf llen aufgezeigt und eine Motivation f r die Notwen digkeit der Erweiterung der Liste von ausgew hlten forensischen Werkzeugen gegeben Im Anhang werden in einer h heren Detailstufe f r jede der sechs grundlegenden Methoden exemplarische ausgew hlte konkrete Werkzeuge vorgestellt Des Weiteren wird die Konstruktion und Anwendung eines forensischen Werkzeugs forensischer Fahrtenschreiber beschrieben welches zum Nachweis von Vorf llen innerhalb eines Netzwerks benutzt werden kann Ebenfalls im Anhang befindet sich eine Anleitung zur Einrichtung eines Logdatenservers welcher zentralisiert die Ereignisdaten einer IT Anlage sicher verwahren kann Den Abschluss des Leitfadens bildet eine Sammlung ausgew hlter Checklisten zum Abarbeiten von h ufig
90. ber Daten Prinzipiell gelten f r die EXT Dateisystemfamilie auch die Ausf hrungen aus dem 154 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Kapitel Bevor auf die forensischen Eigenschaften der EXT Dateisystemfamilie eingegangen wird soll die Grundstruktur einer EXT Partition vorgestellt werden siehe dazu auch Far05 Dabei wird zum Formatierungszeitpunkt der zur Verf gung stehende Speicherbereich in gleich groBe so genannte Blockgruppen unterteilt Die Abbildung 36 verdeutlicht diesen Aufbau Gruppen Blockbitmap Inodebitmap Inode A Superblock Jeskriptoren tabelle tabelle tabelle Datenbl cke Abb 36 Aufbau einer Blockgruppe in der EXT Dateisystemfamilie Der Superblock enth lt dabei die zentralen Verwaltungsdaten siehe nachfolgende Beschreibungen Aufgrund seiner fundamentalen Bedeutung f r das Dateisystem gab es urspr nglich eine Kopie des Superblocks in jeder Blockgruppe In neueren Implementierungen gibt es nun mehrere Kopien an ausgew hlten Stellen Die Gruppendeskriptoren enthalten Daten dar ber wie viele Bl cke und Inodes noch frei sind und wie viele Verzeichnisse in dieser Blockgruppe aktuell existieren Die Gruppendeskriptoren sind analog zum Superblock mit mehreren Kopien vertreten In den Block und Inode Bitmaptabellen wird in einem Bit gespeichert ob ein Block bzw ein Inode belegt ist Den Bitmaptabellen schlie t sich die Inode Tabelle an Die nachfolgend vorgestellt
91. beschriebenen Beispiel wurde die Installation auf Debian Etch und Windows Systemen beschr nkt Es stehen jedoch Klienten f r weitere Betriebssysteme wie HP UX AIX oder Solaris zur Verf gung Grundinstallation des Klientensystems auf einem Debian 4 0 System Im Gegensatz zum Server steht f r den Klient ein Debian Paket zur Verf gung Dieses kann wie gewohnt in dieser Linux Distribution aus der Kommando zeilenumgebung mit dpkg i syslog ng premium edition client_3 0 2_1386 deb installiert werden Auch hierbei werden einige Dialoge angezeigt die zur Installation der Lizenzdatei sowie zur Erstellung eine Ausgangskonfiguration 326 Leitfaden IT Forensik Anhang A dienen Grundinstallation des Klienten auf einem Windows System F r den Windows Klient ist zun chst die Installation des Microsoft Net Frameworks in der Version 2 0 n tig Auch hier wird w hrend der Einrichtung des Clients eine Basiskonfiguration erstellt dies ist allerdings im Gegensatz zum dialogbasierten Linux Pendant nur ber die Microsoft Management Console m glich aisyalon nasaen Balabitieyaloa na Agent Settings IPv4 Properties Datei Aktion Ansicht ma aml E Setting Explain NK Balas r Name State ai syslog ng Agent Settings Se fo Enabled Eventlog Sources C Not Configured e Enable C Disable SE Server Name logtecplast de Add Suppotted on Atleast sysloa ng Agent for Windows v3
92. betrachtet Dateien bzw Ordner k nnen entweder durch Dr cken von Shift Entf Taste sofort gel scht werden oder aber in den Papierkorb engl Recycle Bin verschoben werden Durch einen Rechtsklick auf den Papierkorb und der Auswahl Papierkorb leeren werden die Objekte dann endg ltig gel scht Da die letztgenannte L schmethode forensisch interessante Daten hinterlassen kann soll dieser Mechanismus detaillierter beschrieben werden siehe dazu auch Bun06 Wenn eine Datei bzw ein Ordner in den Papierkorb verschoben wird wird der entsprechende Eintrag in der FAT bzw der MFT gel scht siehe dazu auch die Kapitel und Zeitgleich wird ein Eintrag dieser Datei bzw dieses Verzeichnisses in dem Papierkorb in einer versteckten Datei Namens NFO2 angelegt Diese Datei ist eine Datenbankdatei welche Daten ber die im Papierkorb enthaltenen Dateien enth lt F r eine Datei im Papierkorb ergibt sich der dort eingetragene Dateiname aus folgender Konvention D lt Laufwerksname gt lt Ifd Nummer gt originale Dateiendung Dabei beginnt die laufende Nummer seit WindowsXP mit der Indexnummer 1 In der INFO2 Datei findet sich nun e die Indexnummer e urspr nglicher Dateiname der gel schten Datei zusammen mit dem urspr nglichen Dateipfad sowohl in ASCH als auch in Unicode Repr sentation Datum und Zeit der L schung Im Papierkorb wird die gel schte Datei mit dem neuen Namen in einem Ordner hinterlegt welcher nach der
93. bezeichnet Bei einem Schreibzugriff ohne Journaling werden im Rahmen einer Schreiboperation mehrere Schritte sequentiell abgearbeitet Wird dieser Ablauf z B durch einen Verlust der Spannungsversorgung unterbrochen sind nur Teile der Aktion durchgef hrt worden Das Dateisystem befindet sich in einem inkonsistenten Zustand 101 http www microsoft com windowsserver2003 techinfo reskit tools default mspx Leitfaden IT Forensik 139 Strategische Vorbereitung beachten LogFile Achtung Einsatz von ADS Parent ADS Detaillierte Vorgehensweise in der IT Forensik Durch das Journal werden die geplanten Aktionen vor deren Ausf hrung aufgezeichnet und k nnen im St rungsfall bzgl der in der MFT gespeicherten Verzeichnisstruktur zur ckgenommen werden Wenn diese Protokollierung der durchzuf hrenden Aktionen nur die Metadaten MAC Zeiten Rechte Attribute Metadatenjournaling betrifft wird nur die Konsistenz der MFT gewahrt Der Inhalt der Datei ist hingegen zerst rt Aus dem Zustand des Journals kann als forensisch wertvolle Information folgen auf welche Datei im Rahmen eines Vorfalls zuletzt geschrieben wurde Bei NTFS befindet sich das Journal in der Datei LogFile die eine regul re Datei darstellt aber in der Verzeichnisansicht des Windows Explorers nicht angezeigt wird Dabei wird die Datei als Ringpuffer eingesetzt d h wenn der Speicherplatz f r Transaktionen ersch pft ist werden die ltesten Eintr ge
94. der Textkonsole zus tzlich in die Datei auf dem USB Speicher geschrieben 250 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Im Folgenden beginnt die eigentliche Datensammlung Dazu wird zun chst proc driver rtc mittels cp auf den USB Speicher kopiert und anschlie end mittels SHA256 Hash abgesichert Danach wird mittels date die aktuelle Systemzeit ausgegeben Zudem sollte die reale Uhrzeit idealerweise von einem DCF 77 Empf nger notiert werden Auch die Zeitzone des Systems sollte gesichert werden diese steht bei der Linux Distribution Debian in etc timezone somit kann hier ebenfalls eine Sicherung mittels Kopieren auf das USB Speichermedium erfolgen Im Anschluss muss wiederum der SHA256 Hash berechnet werden Im Folgenden sollten so viele Logdaten wie nur m glich gesammelt werden diese k nnen dabei helfen den Zeitpunkt der Systemzeitmanipulation genauer einzugrenzen Einerseits befinden sich Logdaten in var log z B syslog messages oder auth log andererseits k nnen Logdaten von einzelnen Anwendungen in den Nutzerverzeichnissen zu finden sein Auch diese Daten sind auf den USB Speicher zu kopieren und mittels kryptographischen Hashverfahren abzusichern Zu guter Letzt sollten noch s mtliche Dateien die mit wtmp beginnen und im Verzeichnis var log zu finden sind auf den USB Speicher kopiert werden Diese Dateien enthalten eine Liste der zuletzt angemeldeten Nutzer samt
95. der Untersuchende die Pakete klassifizieren und daraus gegebenenfalls die verd chtigen Daten bertragungen extrahieren Dazu k nnen prim r die IP Adressen des IP Protokolls sowie die Portnummern der Protokolle TCP und UDP genutzt werden Werkzeuge die auf Sitzungsebene arbeiten automatisieren diesen Schritt Beispiele f r derartige Werkzeuge sind PyFlag oder xplico Beide setzen die Paketstr me zu Sitzungen zusammen Damit kann der Untersuchende die bertragenen Daten relativ einfach einsehen und auswerten Falls das f r die bertragung eingesetzte Protokoll jedoch unbekannt ist kann der Inhalt nicht automatisch erkannt werden F r derartige F lle bietet sich der Einsatz des forensischen Werkzeugs tcpxtract aus der grundlegenden Methode der Datenbearbeitung und Auswertung an Dieses Programm wendet die im Kapitel vorgestellte Technik des Filecarvings auf die Inhalte einer pcap Datei an Dazu wird dieses Werkzeug hnlich dem in Kapitel vorgestellten Programm scalpel mit einer Konfigurationsdatei auf Header und evtl Footer eines oder mehrerer ausgew hlter Dateitypen abgestimmt Analog zur Anwendung der Technik des Filecarvings auf Massenspeicher ergeben sich auch beim Einsatz von tcpxtract die Nachteile von zus tzlichen falsch identifizierten Dateien und der Verlust von Metainformationen wie dem Dateinamen und Dateiattributen Neben dem Ansatz aufgezeichnete Netzwerkstr me auszuwerten besteht auch die M glichkei
96. des Systemzustandes und ver ndert h ufig Daten auf den nichtfl chtigen Datentr gern beispielsweise die nderung der Zeit des letzten Zugriffs auf eine Datei im Dateisystem Es m ssen also f r jeden Einzelfall folgende Fragen beantwortet werden Soll das System sofort vom Netz und oder von der Spannungsversorgung unter Verlust der fl chtigen Daten getrennt werden Falls nein sollen fl chtige Daten unter Inkaufnahme potentieller Ver nderung von nichtfl chtigen Daten gesichert werden Soll ein geordnetes Herunterfahren als Methode gew hlt werden oder der Spannungsversorgungsstecker gezogen werden Die nachfolgende Abbildung 6 verdeutlicht die erl uterten Fragestellungen 36 Leitfaden IT Forensik Einf hrung Netzverbindung trennen nicht trennen nicht trennen Angreifer bleibt weiter fl chtige Daten bleiben t tig teilweise erhalten Gefahr des Datenverlusts Gefahr des Datenverlusts evil Ausl sen logischer Verletzung der Bomben Vertraulichkeit Spannungs versorgung trennen Abb 6 Wichtige Fragestellungen beim Eintreffen am betroffenen Computersystem In jedem Fall muss jede Entscheidung ausf hrlich und unter Angabe der Entscheidungsgrundlage dokumentiert werden In den nachfolgenden Kapiteln wird auf die enorm wichtige eine komplette forensische Untersuchung umschlie ende Dokumentation detailliert eingegangen Leitfaden IT Forensik 37 Zeitquellen Zeitlinien RTC
97. die Ausgaben der beiden Befehle auf einem Cisco Switch Catalyst3500XL gt show mac address table Dynamic Address Count 3 Secure Address Count 0 Static Address User defined Count 0 System Self Address Count 51 Total MAC addresses 54 Maximum MAC addresses 8192 Non static Address Table Destination Address Address Type VLAN Destination Port 0018 4dad 4d39 Dynamic 1 FastEthernet0 1 0030 65c4 40be Dynamic 1 FastEthernet0 7 0050 e416 1d58 Dynamic 1 FastEthernet0 1 Catalyst3500XL gt show ip arp Protocol Address Age min Hardware Addr Type Interface Internet 192 168 0 1 0018 4dad 4d39 ARPA VLAN1 Internet 192 168 0 2 003 e347 5b40 ARPA VLAN1 Abb 61 show mac address table und show ip arp auf einem Cisco Switch In der Tabelle mit den MAC Adressen ist hier der zugeh rige Netzwerkanschluss angegeben Die ARP Tabelle enth lt im Gegensatz zu der des Routers keine Angabe zum Netzwerkanschluss statt dessen ist das virtuelle Netzwerk VLAN angegeben in dem sich das jeweilige System befindet Untersuchung Auch im Abschnitt derUntersuchung Untersuchung werden geeignete Werkzeug aus derRohdaten Schnittmenge von Datenart und Untersuchungsabschnittkommunikations ausgew hlt siehe Tabelle 44 um die gesammelten Datenprotokolldaten nun auf Spuren zu untersuchen Das WerkzeugSitzungsdaten tshark hilft bei der Auswertung der Netzwerkmitschnitte Je nach eingesetztem DHCP Server ist ein Werkzeug zur Auswertung vo
98. einfache mbox Dateien Diese k nnen mit jedem Werkzeug zum Anzeigen von Textdateien eingesehen werden Die msf Dateien sind Index Dateien diese enthalten Fragmente von E Mails Analog zum beobachteten Verhalten von Microsoft Outlook sowie Outlook Express siehe dazu auch Kapitel werden die Inhalte der Verzeichnisse durch die Anwendung nicht gel scht sondern als gel scht markiert F r den Anwender ist damit der betroffene virtuelle Ordner beispielsweise Gesendet Posteingang usw geleert worden Jedoch k nnen die dort enthaltenen Daten aus den mbox Dateien wiederhergestellt werden Dar ber hinaus befindet sich das Adressbuch des Nutzers in der Datei abook mab im Profilverzeichnis welches zwar eine eigene Dokumentenstruktur hat jedoch durch einen beliebigen Texteditor eingesehen werden kann In der Datensammlung erfolgt die Sicherung der von Mozilla Thunderbird ge sammelten Daten durch Sichern der Dateien des Profilverzeichnisses im Verzeichnis C Dokumente und Einstellungen nutzername Anwendungsdaten Thunderbird Profiles Im Rahmen der Untersuchung k nnen die gesammelten Daten mit jedem Textbetrachter ausgewertet werden Einordnung in das detaillierte Schema siehe Kapitel Bei dem Werkzeug Mozilla Thunderbird handelt es sich um eine IT Anwendung die auf einem Computer HW unter Windows und Linux SW l uft Die Untersuchung findet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie Fe
99. eingedrungen das Werkzeug nach CERT Diese Computerzecke wurde durch einen Exploit in einer Bildbibliothek die Schwachstelle nach CERT durch das Aufrufen einer manipulierten Webseite im Kontext des Webbrowser Prozesses aktiv Sie bietet dem Angreifer eine Anzahl von Kommandos zur Datei manipulation nach CERT das Resultat wie z B Lesen Erzeugen L schen Ver ndern im Verzeichnisbereich des aktiven Nutzers dies entspricht der Aktion nach CERT Die Kommunikation zwischen Angreifer und Mitarbeiter erfolgt indem der Schadcode im Hintergrund Inhalte von einem Webserver des Angreifers anfordert Da dieses Verhalten f r die Webbrowseranwendung typisch und zul ssig ist melden auch installierte Desktop Security Anwendungen diesen Vorfall nicht Die Computerzecke und der Angreifer nutzen die Kommunikation dynamisch um Befehle und Ergebnisse in die nach au en wie regul res Surfverhalten erscheinende Kommunikation m glicherweise sogar stegano graphisch einzubetten Das Angriffsziel waren lokal auf dem Computer des Mitarbeiters gespeicherte Dateien das Ziel nach CERT ausgelesen und zum Angreifer bertragen Da der Schadcode in diesem Fall nicht mit dem eigentlichen Programmteilen des Webbrowsers interagiert tauchen die mit dem Angreifer ausgetauschten Inhalte weder als graphische Ausgabe noch in internen Logs wie z B dem Verlauf der Browseranwendung auf Durch das Beenden des Prozesses wird auch die Computerzecke im Arbeitsspeicher been
100. empfehlenswert bereits bei der Erstellung dieser Konzepte insbesondere beim Security Monitoring und Alarmierungskonzept den jeweiligen Datenschutzbeauftragten bzw Personalvertreter mit einzubeziehen Sollte der Vorfall auch der Strafverfolgung unterstellt werden ergeben sich weitere organisatorische Fragen Wer entscheidet ob eine Strafanzeige gestellt wird Leitfaden IT Forensik 43 Incident Response Teams Konzepte f r Incident Response Datenschutz nicht vergessen Checklisten f r Routinet tigkeiten Wahrung einer l ckenlosen Beweiskette Organisatorische Ma nahmen als strategische Vorbereitung Einf hrung Wer betreut mit oder ohne Strafverfolger die Beweiserhebung Wer stellt ggf gemeinsam mit den Kriminalbeamten den Sachverhalt schriftlich dar Seitens des betreffenden Anlagenbetreibers bedarf es zum Einsatz der IT Forensik eines klaren schriftlichen Mandats siehe dazu COBIT ISACA08 Dies gilt insbesondere f r Beh rden und Unternehmen Dieses Mandat sollte die Verantwortlichkeiten die Autorit t und die Grenzen des Auftrages beschreiben Von einem Privatanwender wird ein derartiges schriftliches Mandat hingegen nicht erwartet S mtliche erstellten Konzepte sollten regelm ig hinsichtlich ihrer Vollst ndigkeit und Umsetzbarkeit berpr ft werden Beispielsweise sollte durch die Durchf hren einer Datenr cksicherung engl Restore die Funktionsf higkeit des Daten sicherungskonzep
101. engl Chain of custody Es muss sichergestellt werden dass zu jedem Zeitpunkt beginnend mit der Erfassung der digitalen Beweisspuren ein potentieller Missbrauch bzw eine Verf lschung nachgewiesen werden kann Leitfaden IT Forensik 23 Anforderungen an den Ermittlungsprozess Einf hrung Allgemeine Vorgehensweise bei einer forensischen Untersuchung Um eine forensische Untersuchung durchf hren zu k nnen welche die in Kapitel aufgeworfenen Fragen beantworten kann wird nun eine allgemeine Vorgehensweise zun chst im berblick vorgestellt Der Ausgangspunkt f r eine forensische Untersuchung insbesondere aus der Sicht des Anlagenbetreibers ist in den meisten F llen ein Symptom d h ein anormales Verhalten der Anlage bzw von Teilkomponenten Dies wird h ufig durch den Anwender des Systems bemerkt bzw es wird ein Alarm durch eingesetzte Schutzmechanismen ausgel st beispielsweise durch eine Firewall oder ein Intrusion Detection System Dieser Alarm muss in einer geeigneten Art und Weise dokumentiert werden z B durch einen entsprechenden Eintrag in einer Logdatei Die Vorgehensweise basiert auf einem Modell des forensischen Prozesses in welchem die einzelnen Untersuchungsschritte in logisch zusammengeh rige Abschnitte gegliedert werden Es gibt unterschiedliche Modelle des forensischen Prozesses Der Gro teil dieser ist sehr stark auf Strafverfolgungsbeh rden ausgerichtet Beispielhaft sei hier auf das in Cas04 vorgeste
102. entfernten Servers an Der Zugriff auf den Server kann dabei sowohl unverschl sselt als auch SSL verschl sselt erfolgen Damit dies m glich ist muss der Server jedoch zuvor f r den entfernten Zugriff konfiguriert werden Dies ist mit dem Befehl winrm quickconfig m glich PowerShell Die PowerShellist in keinem der beiden betrachteten Betriebssysteme vorinstal liert Die PowerShell wird auf der Internetpr senz von Microsoft angeboten ist aber beim Windows Server 2008 soweit integriert dass diese als zus tzliche Komponente zur nachtr glichen Installation angeboten wird Mit der PowerShell welche auf dem NET Framework basiert ist es m glich umfangreiche Informationen ber das Betriebssystem abzurufen siehe dazu auch Joo08 und Zeh08 In dieser objektorientierten Befehlszeile k nnen die Befehle aus der normalen Befehlszeile weiterhin verwendet werden Beispielhafte Befehle get help Zeigt Hilfeinformationen zur Nutzung der PowerShell an get process Zeigt die vorhandenen Prozesse an analog zu Tasklist get command Zeigt die verf gbaren Kommandos an help befehlname Zeigt eine Hilfe zum Befehl an Die PowerShell zu verwenden kann eine empfohlene Ma nahme f r die strategische Vorbereitung darstellen Erstellung von Prozessspeicherabbildern Im Task Manager k nnen zus tzlich Speicherabbilder f r einzelne Prozesse angefertigt werden im Kontextmen erscheint dazu ein neuer Men punkt 72 http
103. f r Festplatten betr gt sie blicherweise 512 Bytes Auf dieser Menge von Sektoren wird nun eine Partitionstabelle angelegt In ihr sind Partitionen mindestens eine eingetragen Eine Partition ist eine Sammlung aufeinander folgender Sektoren in welcher ein Dateisystem untergebracht ist Diesen Partitionen werden auf einigen Betriebssystemen u a auch Laufwerksbuchstaben beispielsweise Microsoft Windows zugeordnet mit welchem diese dann f r den Benutzer adressierbar werden Sind mehrere Partitionen auf einem Datentr ger angelegt kann sich ein nicht belegter Platz zwischen den einzelnen Partitionen ergeben In diesem so genannten Partition Gap k nnen absichtlich Daten versteckt worden sein Auch Restdaten von vorher auf diesem Datentr ger vorhandenen Partitionen lassen sich hier evtl finden Mit der im Basisszenario Gewinnung eines forensischen Abbildes vorgestellten Vorgehensweise aus dem Kapitel wird immer ein komplettes Abbild des gesamten Datentr gers erzeugt welches auch diese Daten enth lt Eine Vielzahl von Betriebssystemen benutzen einen Mechanismus wenn der eingesetzte Arbeitsspeicher RAM nicht mehr ausreichend ist Dieser Mecha 72 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik nismus wird als Auslagerung engl Swap bezeichnet Hierbei wird ein derzeit nicht ben tigter Teil des Arbeitsspeicherinhalts in eine spezielle Datei bzw Partition geschrieben um bei Bedarf wieder in den A
104. forensische wertvolle Daten u a durch die Aufzeichnung von durch den Nutzer ausgel sten Aktionen In jedem Fall ist bei der Untersuchung der Datenschutz zu beachten In der Datensammlung gen gt es das Verzeichnis C Dokumente und Einstellungen lt Nutzername gt Anwendungsdaten Mozilla Firefox Profiles zu sichern Ab der Version 3 0 des Mozilla Firefox werden diese personen Leitfaden IT Forensik 183 Achtung Datenschutz beachten Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik bezogenen Daten im SQLite Format gespeichert In der Untersuchung m ssen diese nun gesicherten Dateien also entsprechend mit einem SQLite Database Browser ge ffnet werden damit die Daten ausgewertet werden k nnen Dabei stehen dann folgende Datenquellen zur Verf gung cookies sqlite In dieser Datei werden Cookies zuz glich ihrer Login Session und Einstellungsdaten gespeichert _cert8 db In dieser Datei sind die Zertifikate gespeichert downloads sqlite Hier werden Downloads mit Gr e Beginn und Ende des Downloads gespeichert Ebenso wird gezeigt ob diese gesichert oder gleich ge ffnet wurden _formhistory sqlite In dieser Datei sind Formulardaten gespeichert ohne sie bestimmten Seiten zuzuordnen e places sglite Diese Datei enth lt die Lesezeichen die Chronik und die angelegten Schl sselw rter e places sglite journal Die ist eine tempor re Arbeitskopie der places sollte die w hren
105. glich weshalb eine Basisinstallation f r die Betrachtungen verwendet wird Beim Linux Betriebssystem f llt die Trennung erheblich leichter Das eigentliche Betriebssystem ist der Betriebssystemkern mit den zugeh rigen Kernel Modulen Die grundlegende Methode Dateisystem Das Dateisystem der Datentr ger ist einer der bedeutsamsten Orte um nichtfl chtige Daten zu gewinnen und damit Informationen ber einen Vorfall zu erhalten Deshalb sollen ausgew hlte Methoden beschrieben und in die Abschnitte des forensischen Prozesses eingeordnet werden welche Dateisysteme als Basis f r eine forensische Untersuchung liefern Bevor die forensisch bedeutsamen Eigenschaften eines Dateisystems vorgestellt werden soll zun chst der Begriff des Dateisystems gekl rt werden Die Aufgabe eines Dateisystems nach Ach06 ist es dem Benutzer einen einheitlichen Zugriff auf gespeicherte Daten zu erm glichen der unabh ngig von den speziellen physischen Eigenschaften des Speichermediums ist Das Leitfaden IT Forensik 71 Dateisysteme als Quelle nichtfl chtiger Daten Was ist ein Dateisystem Sektoren Partition Partition Gap Swap Hibernation Detaillierte Vorgehensweise in der IT Forensik Dateisystem muss eine Reihe von Informationen ber die gespeicherten Daten enthalten damit beim Mehrbenutzerbetrieb nur derjenige auf die Daten zugreifen kann der auch die n tigen Rechte besitzt Diese Details ber Daten beinhalten u a das
106. glichkeiten zur Dateiversio nierung bietet Versionierung Das hei t dass mehrere Versionen einer Datei auf dem Datentr ger existieren und der Zugriff auf diese unterschiedlichen Versionen einfach vonstatten geht Als Erweiterung von EXT3 bietet EXT3 cow nat rlich die gleichen forensischen Methoden wie dieses Dateisystem Jedoch kommen einige forensisch interessante Aspekte hinzu auf die nun eingegangen werden soll EXT3 cow ist dazu in der Lage mehrere Versionen einer Datei zu verwalten Dazu werden so genannte Epochen und Snapshots genutzt Ein Snapshot gibt dabei das Ende einer Epoche ein Wird eine Datei ver ndert und entspricht die aktuelle Epoche der Epoche in der die Datei zuletzt bearbeitet wurde so wird die Datei einfach berschrieben Befindet sich das letzte Bearbeitungsdatum jedoch in einer zur ckliegenden Epoche so werden Teile der Datei gesichert so dass anhand dieser Teile eine Rekonstruktion der Datei m glich ist Es ist nun m glich sowohl auf die alte als auch auf die neue Version der Datei zuzugreifen Es k nnen auch weitaus mehr Versionen einer Datei zu unterschiedlichen Zeitpunkten vorliegen Jedoch ist zu beachten dass jede Version immer noch etwas Speicherplatz belegt Des Weiteren ist es mit der aktuellen Version von EXT3 cow nicht m glich Dateien aus einem lteren Snapshot zu l schen Somit ist zumindest die Wiederherstellung der Datei zu einem fr heren Zeitpunkt m glich solange die Integrit t de
107. hierf r geeignetes Werkzeug aus der Werkzeugsammlung ausgew hlt Der Werkzeugkatalog nach dieser Einschr nkung ist in Tabelle 53 dargestellt BS FS EME ITA SB DBA Hardwaredaten Rohdaten o lo EEE VER ea SE Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 53 Werkzeuge f r die Datensammlung 270 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Untersuchung In der darauf folgendenUntersuchung Untersuchung wurden dann Werkzeuge ausgew hlt umRohdaten Details die Log Dateien des betroffenen Computers zu ber Daten untersuchen Die durchzu f hrenden Ma nahmensitzungsdaten befinden sich in der Tabelle 54 Anwenderdaten BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 54 Ma nahmen der Untersuchung Dabei wurde im Verzeichnis etc eine verd chtige Datei mit Namen driverHIDE IT gefunden Einerseits ist diese Datei verd chtig da sie versteckt ist andererseits sind normalerweise keinerlei Treiber im Verzeichnis etc welches in linux basierten Systemen typischerweise f r Konfigurationsdateien eingesetzt wird Dar ber hinaus is
108. ist und einem anonymen Anruf Des Weiteren verdeutlicht diese Liste noch einmal wie wichtig eine ge wissenhafte Protokollierung von Entscheidungsgr nden im prozessbegleitenden Dokumentationsprozess ist um hier einem Dritten eine umfassende M glichkeit zur Absch tzung der Beweiskraft der Informationen zu erm glichen Das Ergebnis dieses Abschnitts ist ein ausf hrlicher Bericht der gewonnenen Erkenntnisse aller vorhergegangenen Abschnitte und eine Beschreibung der Rekonstruktion des Vorfalls unter Verwendung der im Kapitel eingef hrten CERT Taxonomie Eine M glichkeit um im abschlie enden Dokumentationsabschnitt einen Vorfall zu rekonstruieren ist die Why Because Analyse WBA Das Ziel der WBA ist es eine korrekte und hinreichende kausale Erkl rung f r das Eintreten von Ereignissen zu liefern siehe dazu auch Van06 Der Begriff der Kausalit t lehnt sich dabei an die Definition von David Lewis Lew73 an Das Ereignis A ist ein kausaler Faktor f r B insofern dass wenn A nicht eingetreten w re auch B nicht passiert Dadurch ist es m glich Folgen von Schlussfolgerungen zu treffen Diese Schlussfolgerungen beruhen dabei auf vier unterschiedlichen Arten von Fakten Die erste Kategorie stellen in der Natur gegebener Fakten GF Given fact in the world dar Ein Beispiel hierf r w re Telnet Verbindungen bertragen Passw rter im Klartext Die zweite Kategorie stellen Fakten dar die sich direkt aus den Ergebnissen der
109. ist hierbei dass in beiden F llen die Timestamps von der Systemzeit des aktuellen Systems stammen Beide Optionen lassen sich unter Einstellungen Mitschnitte aktivieren Gerade bei Mitschnitten von Kommunikationsinhalten ist der Datenschutz zu beachten f r den Systembetreiber d rften diese Daten daher weniger wichtig sein F r Strafverfolger k nnen die Inhalte hingegen wichtige Indizien liefern Die Protokollfunktion von Pidgin ist in den Abschnitt der Datensammlung nach dem Modell des forensischen Prozesses einzuordnen Die Dateien k nnen dabei aus C Dokumente und Einstellungen lt username gt Anwendungsdaten purple logs pro 140 C Dokumente und Einstellungen username Anwendungsdaten purple logs protokoll lokalerSender system Leitfaden IT Forensik 175 Achtung Datenschutz beachten Achtung Strategische Vorbereitung beachten Achtung Datenschutz beachten Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik tokoll lokalerSender system gesichert werden Anschlie end werden diese in der Datenuntersuchung mit klassischen Mitteln der Log Untersuchung ausgewertet Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug Logging von Pidgin handelt es sich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows SW und l uft lokal auf dem zu untersuchenden System UO Eine Akt
110. nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 22232 Der Systemdienst Syslog Bei Syslog handelt es sich um eine IT Anwendung ITA Sie auf Computern HW unter Linux SW verf gbar Die Untersuchung findet dabei lokal auf dem zu untersuchenden System statt UO1 Eine Aktivierung ist nicht erforderlich AE Voraussetzung f r die Untersuchung ist dass das System technisch funktionsf hig ist und aktiv ist UV3 5 Das Untersuchungsziel hierbei sind Sitzungsdaten Konfigurationsdaten und Prozessdaten UZ4s Die Unter suchungsaktion ist das online Speichern UA21 von Sitzungsdaten Kon figurationsdaten und Prozessdaten UE s Das zu erwartende Datenvolumen ist nicht abzusch tzen DV3 Bei lokaler Anwendung auf dem zu untersuchenden System werden fl chtige und nichtfl chtige Daten ver ndert STW Das Ergebnis der Untersuchung ist datenschutzrechtlich nicht relevant DSR Ohne weitere Absicherung ist eine Beweiskrafttendenz eher schwierig BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 2223 2 Script Bei dem forensischen Werkzeug script handelt es sich um eine Datenauswertungs software Zeitline l uft dabei auf einem Computer HW unter Linux SW gt Dieses Werkzeug arbeitet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie einer Festplatt
111. nderbare Daten die das Systemverhalten aber nicht das Kommunikationsverhalten ver ndern Dies schlie t die Konfiguration von der Hardware des Betriebssystems und von IT Anwendungen ein Kommunikationsprotokolldaten Kommunikationsprotokolldaten sind Daten die das Kommunikationsverhalten von Systemen untereinander kontrollieren Dies beinhaltet neben den Netzwerkkonfigurationsdaten auch die Inter Prozess Kommunikation bspw pipes und RPC bei IT Anwendungen Prozessdaten Prozessdaten sind alle Daten ber einen laufenden Prozess Beispielhaft seien hier der Prozessstatus der Prozesseigent mer die Priorit t Speichernutzung oder auch die zugeh rige Anwendung genannt Dies sind f r IT Anwendungen einzelne Threads bzw Daten ber diese Sitzungsdaten Sitzungsdaten sind Daten die durch ein System w hrend einer Sitzung gesammelt werden Dabei spielt es keine Rolle ob die Sitzung von einem Benutzer dem Betriebssystem oder einer Anwendung initiiert wurde Beispielhaft k nnen dies die gestarteten Programme oder die ge ffneten Webseiten und Dokumente innerhalb einer Nutzersitzung sein Anwenderdaten Anwenderdaten sind vom Nutzer bearbeitete oder konsumierte Inhalte Dies sind Medien Daten wie Bilder Texte Audio Daten oder Videos Die vorgestellte Aufteilung der Datenarten bestimmt nun eine forensische Datenquelle FD und erfasst die im betrachteten System gespeicherten und potentiell forensisch bedeutsamen Daten unabh ng
112. nicht ver nderbaren Medien beispielsweise DVD R zu speichern Datengewinnung durch SNMP Um wichtige Daten zwischen Netzkoppelelementen untereinander austauschen zu k nnen kann das Simple Network Management Protocol SNMP eingesetzt werden Ein beachtlicher Teil der von entsprechenden Ger ten erfassbaren Daten ist auch forensisch sehr bedeutsam Hier lassen sich insbesondere fl chtige Daten aus den Netzkoppelelementen erfragen Nachfolgend wird eine exemplarische Auswahl solcher Daten aufgef hrt Dabei ist zu beachten dass Art und Umfang stark von der Implementierung des SNMP Protokolls durch den jeweiligen Ger teherstellers abh ngig sind Aus einer Kombination aus Hardware Paketfilter Firewall und WAN Router eines Ger tes der Business Klasse lie en sich dabei u a folgende forensisch wertvolle Daten durch Verwendung eines Software SNMP Managers abfragen e Ger tehersteller und letzte ununterbrochene Laufzeit des Ger ts Belegte Netzwerkinterfaces mit Hardware Adresse MAC und IP Adresse der Klienten Dem Router zugewiesene WAN IP Adresse Routing Tabellen und Typ Alter der Routing Tabellen ARP Zuweisungen Pro Protokoll empfangene Pakete e Richtung ausgew hlter Protokolldaten aktiv bzw passiv ge ffnete Verbindung Status von TCP Verbindungen Diese kleine keineswegs vollst ndige Auflistung soll verdeutlichen wie forensisch wertvoll der Einsatz von Komponenten mit imp
113. of the log file Abb 74 Extraktion von Eventlogs mittels der Ereignisanzeige Wenn die Logs jedoch ber die Ereignisanzeige gespeichert werden wird die Formatumwandlung durch das Anzeigeprogramm der Ereignisanzeige vor genommen 294 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Untersuchung Im Untersuchungsabschnitt des forensischen Prozesses wurden die wichtigen Daten von den berfl ssigen getrennt So wurde hier beispielsweise der betroffene Zeitraum extrahiert Auch hierf r kam das Werkzeug Logparser zum Einsatz das mittels einer SQL Abfragesprache einen einfachen Zugriff erm g licht Dieses unterst tzt die in Tabelle 71 angegebenen Ma nahmen BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details tiber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 71 Ma nahmen der Untersuchung Bei der Suche wurden Ereignisse mit den Kennungen 540 Anmeldungen und Abmeldungen enthalten IP Adresse des Clientrechners 538 Weitere Informa tionen zur Anmeldung und 565 Weitere Informationen zur Abmeldung betrach tet Dadurch konnte festgestellt werden dass zum Zeitpunkt des Vorfalls der Benutzer Meier auf dem betroffenen System eingeloggt war Datenanalyse Bevor die forensische Untersuchung abgeschlossen werden konnte mussten die Daten der einzelnen S
114. opt syslog ng etc cert d syslog ng logstore cert Der Schl ssel zum entschl s seln sollte an geeigneter sicherer Stelle aufbewahrt werden Dies erfordert eine Richtlinie zum Schl sselmanagement Ein neuer Chunk wird nach einer Zielgr e von 100kb bzw nach einem Zeitraum von 5s ohne neue Lognachricht erzeugt Der Eigent mer und die Gruppe der erzeugten Datei sind jeweils root wobei nur der Eigent mer das Recht zum Lesen und Schreiben hat perm 0600 Dar ber hinaus wird die Datei automatisch mit dem gzip Algorithmus kom primiert wobei der Kompressionsgrad 5 gew hlt wird Auch das Logziel muss wiederum im Logabschnitt der Konfigurationsdatei des Servers aktiviert werden log f destination d_logstore Die Integrit t wird bei dieser Speicherungsmethode automatisch gesichert indem f r jeden Chunk ein Hashwert abgelegt wird Die Speicherung der Logdaten ist dem Abschnitt der Datensammlung im abschnittsbasierten forensischen Modell dieses Leitfadens siehe Kapitel zuzuordnen Sicherung der Logdaten Neben der zentralen Speicherung ist eine regelm ige Sicherung der Logdaten n tig An dieser Stelle sei auf den BSI Grundschutz Katalog zum Thema Daten sicherung zur Einrichtung und Unterhaltung einer Datensicherungsrichtlinie verwiesen 22 Thttp www bsi de gshb deutsch baust b0 1004 htm 330 Leitfaden IT Forensik Anhang A Weitere Strategische Ma nahmen Zus tzlich zur Sicherung der Daten ist auc
115. schwere Sicherheitsl cke aufwies Er fand eine geeignete Schadsoftware welche diese Sicherheitsl cke ausnutzen konnte ein so genanntes Exploit In diesem Fall wurden damit ein neuer Zugang durch nderung des inetd Dienstes m glich Der Angreifer bekam auf diese Weise eine Kommando zeilenumgebung Shell mit Root Rechten dem Administratorkonto ausf hrbar Somit konnte der Angreifer sich einen erneuten und dauerhaften Zugang auch nach Beseitigung der Sicherheitsl cke sichern indem er ein zus tzliches Administratorkonto in die Datei mit den zul ssigen Nutzern einf gte und im Anschluss die Logdateien bereinigte indem er alle Eintr ge entfernte welche auf den gesamten Vorgang verweisen konnte Unter Verwendung der CERT Taxonomie l sst sich dieser Vorgang wie folgt beschreiben Das Ereignis bestand aus der Aktion des Modifizierens sowohl der Kontenver waltungsdatei als auch der Logdateien Ziel war ein Benutzerkonto Account Die ausgenutzte Schwachstelle war ein Implementierungsfehler des RPC Portmapper dienstes Das Resultat war ein unerlaubter Zugriff auf den Computer Als Werkzeug wurde ein Programm mit Schadensfunktion verwendet ber die Absicht und den Angreifer lassen sich im vorgestellten Beispiel keine Angaben machen 32 Leitfaden IT Forensik Einf hrung Ausgew hlte Fragestellungen beim Ablauf eines Vorfalls In diesem Unterkapitel sollen nun anhand eines beispielhaft beschriebenen Vorfalls grundlegende Fragestel
116. siehe Kapitel Stattdessen werden generische Namen mit einer laufenden Nummer verwendet Aufgrund der idealerweise vom Filecarving vorausgesetzten Bedingungen und den in der Realit t herrschenden Zust nden kommt es zu vielen so genannten False Positives Das hei t es werden Rohdateninhalte in eine Anwenderdatei ge schrieben welche nur Teile oder gar keinen erwarteten Inhalt haben z B wenn die als Header verwendete Bytefolge nur zuf llig im Rohdateninhalt vorhanden war Des Weiteren wird derselbe Rohdateninhalt h ufig in mehrere Dateien geschrieben 212 http www sleuthkit org 246 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Ein typischer Vertreter eines forensischen Werkzeugs welche die Technik des Filecarving einsetzt ist das Programm scalpel Es ist beispielsweise in der forensischen Werkzeugsammlung Helix vertreten Scalpel ben tigt eine Kon figurationsdatei in welcher die Header und Footer der zu rekonstruierenden Datentypen eingetragen sind Es wird mit einer Datei eines Datentr gerabbildes und einem Ordner f r die Resultatdateien aufgerufen Dort werden die Ergebnisse des Filecarvings nach Dateitypen sortiert und nummeriert abgelegt Zus tzlich wird eine Auditdatei im Zielordner angelegt welche u a den vollst ndigen Kommandozeilenaufruf den Beginn und das Ende des Filecarvings und die extrahierten Dateien auflistet Das Programm warnt auch vor der Angabe eines nichtlee
117. tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs im offlinebetrieb nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden UE Zusammenfassung der Methoden und Werkzeugeinordnung Die nachfolgende Abbildung 43 verdeutlicht zusammenfassend die Zuordnung der forensischen Methoden der grundlegenden Methode der Skalierung von Beweismitteln SB Anwenderdaten Hardwaredaten yt RN GE RS ec a 7 en N Rohdateninhare Sazungsdaton NV NN VV KA ka DS us oa oo TT i II Abb 43 Einordnung der grundlegenden Methode SB in die Datenarten und die Abschnitte des forensischen Prozesses Aus dieser Zusammenfassung wird deutlich dass die in diesem Kapitel vorgestellten Methoden der Methoden der Skalierung von Beweismitteln SB vor allen zur Sammlung von Kommunikationsprotokolldaten und Prozessdaten sowie zur Untersuchung von Prozessdaten Kommunikationsprotokolldaten Kon figurationsdaten Anwenderdaten und Sitzungsdaten dienen Werkzeuge die der Skalierung von Beweismitteln dienen sind vor allen darauf ausgelegt eine gr ere Menge von Informationen zu sammeln als au erhalb eines Verdachts moments sinnvoll w re Dar ber hinaus bieten sie die M glichkeit zur Auswertung von Daten innerhalb einer Live Analyse In Einzelf llen lassen sich nur so wichtige Beweise sichern 198 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik
118. und Ausgangsdaten als auch des Werkzeuges selbst angegeben In den Kapiteln bis wird f r ausgew hlte Beispielmethoden und deren konkrete Werkzeuge diese Kategorisierung vorgenommen Diese kann und sollte best ndig um neue Methoden und Werkzeuge erweitert werden und liefert dem Leser die M glichkeit eigene Methoden und deren konkrete Werkzeuge zu systematisieren um die Einsatzm glichkeiten in den einzelnen Abschnitten zu bestimmen Au erdem wird der Leser in die Lage versetzt nach Methoden und deren konkreten Werkzeuge in den Anh ngen nach bestimmten Erfordernissen zu suchen z B alle Methoden die lokal arbeiten und ein bestimmtes Unter suchungsziel haben Im Anhang Al wird anhand ausgew hlter Beispiele wird eine im Vergleich zum weiteren Verlauf des Kapitels 2 detailliertere Kategorisierung vorgestellt Die grundlegende Methode Betriebssystem Innerhalb der grundlegenden Methode Betriebssystem werden im Weiteren die Betriebssysteme Microsoft Windows und im Kapitel Linux exemplarisch untersucht Dabei ist eine klare Trennung zwischen dem Betriebssystemkern und den bei der Standard Installation mitgelieferten Anwendungsprogrammen unter Windows nur schwer m glich weshalb eine Standard Installation f r die Be trachtungen verwendet wird Auf Anwendung der im Kapitel vorgestellten detaillierten Notation bei der Beschreibung der forensischen Werkzeuge wird dabei im Verlauf dieses Kapitels zugunsten einer breitfl chigen berblic
119. und Systemzeit erfassen und validieren Achtung Einf hrung Die Bedeutung der Zeit Die Grundlage f r die Zeit in IT Systemen ist h ufig eine Echtzeituhr engl Real Time Clock RTC Diese ist blicherweise mit einer Batterie ausgestattet welche auch im ausgeschalteten Zustand die Zeit weiterz hlt siehe dazu auch Bun06 Aus dieser wird durch das Betriebssystem eine Systemzeit unter Hinzunahme weiterer Korrekturfaktoren wie z B Zeitzoneninformation erzeugt Diese Systemzeit ist nun die Grundlage f r die in Kapitel und in Kapitel detailliert beschriebenen Zeiten welche durch das Betriebssystem erfasst und vom Dateisystem eines Computers f r Verzeichnisse und Dateien mitgef hrt werden Jedoch ist die RTC nicht die einzige Zeitquelle Viele Betriebssysteme in einem Netzwerk bieten zus tzlich die M glichkeit ber das Netzwerk die Zeit zu synchronisieren Dies geschieht blicherweise ber das auf Basis des Network Time Protokolls NTP Einen sehr wichtigen Einfluss auf Untersuchungen im Rahmen der IT Forensik hat die von Computersystemen bzw im Netzwerk mitgef hrte Zeit Ein der wichtigsten T tigkeiten des Forensikers insbesondere im Abschnitt der Datenanalyse siehe Kapitel ist die Korrelation von Ereignissen anhand des Zeitpunkts zu dem sie stattfanden Dabei wird eine Zeitlinie engl timeline erzeugt Eine wichtige Ausgangsvorraussetzung f r die Korrelation insbesondere wenn Daten aus unterschiedlichen IT
120. war Werkzeuge die andere Datenarten sammeln wurden dabei nicht beachtet BS FS EME ITA SB DBA Hardwaredaten Rohdaten Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 47 Werkzeuge f r die Datensammlung Im Zuge der Datensammlung wurden die zuvor identifizierten Datenquellen dann 264 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien mit Hilfe der hier ausgew hlten Werkzeuge gesichert Diese Operation wurde durch das forensische Werkzeug script dokumentiert Untersuchung Anschlie end sollten die nunUntersuchung gesicherten Log Dateien untersucht werden Daf rSitzungsdaten m ssen geeignete Werkzeuge aus der WerkzeugsammlungAnwenderdaten gew hlt werden die dazu in der Lage sind Sitzungsdaten und Anwenderdaten zu bearbeiten F r diese hier vorliegenden Logdateien ergab sich das in Tabelle 48 vorgestellte Schema der n tigen Ma nahmen BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 48 Ma nahmen der Untersuchung Das Werkzeug grep erm glicht dabei eine Untersuchung von Dateien hinsichtlich des Vorhandenseins bestimmter Zeichenfolgen In die
121. welche Kernaufgaben definiert sein sollten und welche Kontroll und Steuerungsziele abgedeckt werden m ssen COBIT in der IT Forensik COBIT ordnet in ISACA08 die IT Forensik einem IT Management Prozess zu Die dort gelieferte Beschreibung adressiert vornehmlich Entscheidungstr ger und Auditoren Die IT Forensik innerhalb von COBIT wird als Prozess zur Feststellung der tats chlichen Vorg nge w hrend eines Vorfalls durch sofortige Erfassung von Daten gesehen Die gewonnenen Daten dienen der Identifikation eines Angreifers und der Bereitstellung von Beweisen f r die Unterst tzung von Strafverfolgungsbeh rden Des Weiteren wird der Nutzen f r Unternehmen und Organisationen durch einen verbesserten Schutz des Datenbestands vor zuk nftigen Angriffen und die Gewinnung von Erkenntnissen ber einen Angreifer und den Angriff betont Vor allem wird auf die folgenden Charakteristiken verwiesen Betonung der Notwendigkeit einer sofortigen Reaktion da sonst der Verlust bzw die Verf lschung von Beweisen droht Gewinnung und Sicherung von Daten so zeitnah wie m glich nach der Feststellung eines Vorfalls Leitfaden IT Forensik 17 COBIT allgemein COBIT in der IT Forensik Schl sselelemente der IT Forensik nach COBIT Kontroll und Steuerungsziele nach COBIT Einf hrung Forensische Sicherung von Daten zur potentiellen Verwendung vor Gericht der Datensammlungsprozess soll den geringsten Einfluss auf das System haben u
122. werden source tls_ source tcp ip 0 0 0 0 port 1999 tls key_file opt syslog ng etc key d syslog ng key cert_file opt syslog ng etc cert d syslog ng cert ca_dir opt syslog ng etc ca d ER Dies erstellt eine Quelle mit dem Namen tls source welche auf dem TCP Port 1999 auf allen IP Adressen Pakete entgegen nimmt Der Server verwendet dazu das Zertifikat opt syslog ng etc cert d syslog ng cert Dieses wird an den Client bertragen damit dieser damit die Daten bertragung zum Server verschl sseln kann Der Server entschl sselt die eingehenden Daten mit dem Schl ssel in opt syslog ng etc key d syslog ng key Zur Authentifizierung der Clients muss sich das CA Zertifikat im Verzeichnis _ opt syslog ng etc ca d befinden Damit die Quelle aktiviert wird muss diese im Log Abschnitt der Konfigurationsdatei angegeben werden log E E J Auf Linux Clients muss entsprechend ein Ziel angegeben werden destination d_tls_logserver tcp log recplast de port 1999 tls ca_dir opt syslog ng etc ca d key_file opt syslog ng etc cert d n2 key cert_file opt syslog ng etc cert d n2 cert ES Dies legt ein Logziel mit dem Namen d_tls_logserver an Ubereinstimmend mit den Daten des Servers wird der TCP Port 1999 f r die Daten bertragung genutzt Als Ziel ist log recplast de angeben Dies ist der DNS Name des Logservers welcher mit dem im Serverzertifikat angegebenen Namen berei
123. wird au erdem der so genannte promiscuous Modus unterst tzt Die direkte Ausgabe der Untersuchungs ergebnisse ist nicht m glich es kann jedoch ein CSV kompatibles Format generiert werden welches dann wiederum mit Mitteln der Shell in eine Datei umgelenkt werden kann Somit es es m glich auf einem System Netzwerkver kehrsdaten zu sammeln Dies kann bei der Entdeckung von ungew hnlichen Daten bertragungen oder auch Fehlfunktionen hilfreich sein Einordnung in das detaillierte Schema siehe Kapitel Jnettop l uft auf festinstallierten Computern HW Das Programm ist f r Linux erh ltlich SW Der Untersuchungsort lokal auf dem zu untersuchenden System UO Es sammelt Daten von OSI Schicht 4 OSI F r jnettop ist keine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die tech nische Funktionsf higkeit des Computersystems dass die Netzwerkverbindungen nicht getrennt wurden eine ununterbrochene Spannungsversorgung sowie Administratorrechte UV Untersuchungsziel sind Kommunikationsprotokoll daten UZ Die Untersuchungsaktion besteht aus der online Extraktion der aktiven Netzwerkverbindungen UA Untersuchungsergebnis sind Kommuni kationsprotokolldaten UE Das Datenvolumen des Untersuchungsergebnisses h ngt proportional von dem Volumen der Eingangsdaten ab DV Da jnettop online genutzt wird k nnen fl chtige Daten als Strukturwirkung ver ndert 163 http packages debian org de etch net jnettop 16
124. wird u a von der IT Anwendung Adobe Acrobat erzeugt Die detaillierten Spezifikationen k nnen kostenpflichtig eingesehen werden Der allgemeine Aufbau eines PDF Dokuments gliedert sich in die vier Teile siehe dazu auch Ste08 Header Objekte e Querverweistabelle Trailer Der Header enth lt dabei u a die PDF Kennung und die Version des eingesetzten Standards Zur Drucklegung repr sentiert die Version 1 7 den aktuellen Stand Die Objekte obj beinhalten die eigentlichen Grafik und Textelemente basieren auf der Postscript Programmiersprache Eingebettet finden sich hier auch Zeichens tze und Formulardaten Hier kann u a auch JavaScript Programmcode enthalten sein welcher durch das Dokumentanzeigeprogramm ausgef hrt wird Dieser Programmcode kann auch Schadcode sein wie auch in Ste08 dargestellt wurde In der Querverweistabelle xref wird die Anordnung der einzelnen Objekte im Dokument festgelegt Hier wird festgelegt welche Objekte berhaupt angezeigt werden sollen Demzufolge kann es also Objekte in einer PDF Datei geben welche durch das Anzeigeprogramm nicht ausgewertet werden Der Trailer enth lt Einsprungpunkte startxref in die Querverweistabelle und zu den Schl sselobjekten welche sich im Trailer Dictionary befinden Des Weiteren enth lt der Trailer die Dokumentendekennung EOF Eine besondere Eigenschaft des PDF Standards sind die eingesetzten inkrementellen Updates Dab
125. zwei Arbeitsplatzcomputer Einer der beiden Computer ist heruntergefahren worden An dem Switch der diese beiden Computer mit dem Intranet und ber einen Router auch mit dem Internet verbindet und auch vom anwesenden Mitarbeiter eingesehen werden kann f llt pl tzlich eine erh hte Netzwerkaktivit t durch die Port Anzeigen des Switches auf Der Mitarbeiter hat in seinem Webbrowser jedoch aktuell keine Internetseiten mehr ge ffnet und auch keinen Zugriff auf interne Netzlaufwerke Er alarmiert den Administrator der gleichzeitig auch der IT Sicherheitsverantwortliche ist Dieser trennt das Netzwerkkabel und schlie t den Browser und die Portanzeigen erl schen augenblicklich Der Sicherheits verantwortliche berpr ft die Programmdateien des Browsers welche als 12 siehe beispielsweise http www truecrypt org 13 http www ietf org rfe rfc3227 txt number 3227 14 Address Resolution Protocol erm glicht die Umsetzung einer physikalischen Adresse MAC auf eine IP Adresse 34 Leitfaden IT Forensik Einf hrung unver ndert zur Originalinstallation vorliegen Das Verhalten wird als eine Eigenheit des Browsers gewertet Da keine nderungen am Dateisystem feststellbar sind wird das Ereignis nicht weiter verfolgt Tats chlich ist jedoch in den Arbeitsspeicher des Computers des anwesenden Mitarbeiters ein Schadcode in Form eines speziellen universellen Trojanischen Pferdes auch bekannt als Computerzecke siehe HLD07 unauff llig
126. 0 ok Camel Apply Abb 76 Einrichtung des Windows Clients Wie in Abbildung 76 erkennbar miissen unter dem Eintrag Destinations Net work die Eigenschaften des Elements IPv4 angepasst werden damit die Logmeldungen an den Server gesendet werden k nnen Einrichtung der verschl sselten bertragung sowie der Authentifizierung der Clients Um den Sicherheitsaspekt der Vertraulichkeit der Logdaten zu wahren werden diese verschl sselt bertragen Dar ber hinaus ist die Authentizit t der Logdaten wichtig zur Nachweisf hrung Damit diese gew hrleistet werden kann m ssen die Clients vom Server authentifiziert werden Die verschl sselte bertragung findet ber das Protokoll TLS statt dazu m ssen die n tigen SSL Zertifikate aller Kommunikationsteilnehmer erstellt werden Dazu wird zun chst ein Zertifikat einer Zertifizierungsstelle erstellt CA Zertifikat Dieses dient zur Signierung aller weiteren Zertifikate und stellt damit deren Authentizit t sicher Dieses erstellte Zertifikat muss auf jedes Klienten system kopiert werden Im Anschluss wird f r jedes Klientensystem ein eigenes Zertifikat erstellt Diese Zertifikate bilden die Basis daf r dass sich die Systeme gegenseitig authentifizieren k nnen Anschlie end k nnen die Konfigu Leitfaden IT Forensik 327 Anhang A rationsdateien angepasst werden Beim Server muss dabei eine verschl sselte Quelle f r Logdaten angelegt
127. 0 also 192 168 0 0 da der Leitfaden IT Forensik 129 Operationale Vorbereitung Detaillierte Vorgehensweise in der IT Forensik Hexadezimalwert CO der 192 im Dezimalsystem entspricht und A8 demzufolge 168 ist Gleiches gilt auch f r die Subnetzmaske im Feld Mask und den Gateway im gleichnamigen Feld Unter Flags findet man zus tzliche Daten zur entsprechenden Route 0001 steht dabei f r aktiv und 0003 f r als Gateway aktiv Die Felder RefCnt Anzahl der Verweise auf diese Route und Use sind ungenutzt und enthalten daher immer eine 0 Im Feld Metric k nnen die Priorit t oder die Kosten der Route angegeben sein Die MTU steht f r die maximale Gr e eines Datenpaketes in Byte Das Feld Window gibt die angebotene TCP Fenstergr e in Byte an Die IRRT Initial Round Trip Time gibt die Zeit f r den Aufbau einer TCP Verbindung ber diese Route in Millisekunden an N here Informationen zur Routen Tabelle finden sich in der Manpage von route Die ARP Tabelle In der ARP Tabelle ARP Cache sind alle IP und MAC Adressen der zuletzt kontaktierten Computer vorhanden Au erdem sind dort Informationen dar ber zu finden ber welche Netzwerkschnittstelle dieser erreicht wurde und welchen Hardwaretyp dieser hat Sie befindet sich in der Datei proc net arp Auch hier k nnen Indizien f r weiterf hrende Untersuchungen vorhanden sein In Abbildung 30 ist ein Vergleich der Da
128. 000 0200 Modify 2008 08 20 19 17 19 000000000 0200 Change 2008 08 20 19 17 19 000000000 0200 Datenanalyse In diesem Untersuchungsabschnitt wurden geeignete Werkzeuge ausgew hlt die Datenanalyse dazu in der Lage sind Log Dateien nach bestimmten Eintr gen zu durchsuchen Sitzungsdaten Da es sich bei Log Dateien um Sitzungsdaten und Anwenderdaten handelt folge Anwenderdaten daraus der in Tabelle 55 dargestellte Ma nahmenkatalog f r diesen Arbeitsschritt Leitfaden IT Forensik 273 Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 55 Ma nahmen zur Analyse von Sitzungs und Anwenderdaten Durch eine Suche nach den zuvor gewonnenen MAC Zeiten in den Log Dateien des nach au en erreichbaren Webservers konnten einige Anfragen gefunden werden die mit der Erstellung des Rootkits und der Ver nderung der etc rc local korrelieren Ein solch beispielhafter Eintrag in das Webserver Log sieht wie folgt aus 192 168 3 200 20 Aug 2008 19 13 47 0200 POST includes r57 php HTTP 1 1 200 33609 http 192 168 1 14 includes r57 php Mozilla 5 0 X11 U Linux i686 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 192 168 3 200 20 Aug 2
129. 008 19 17 19 0200 POST includes r57 php HTTP 1 1 200 33646 http 192 168 1 14 includes r57 php Mozilla 5 0 X11 U Linux i686 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 Ein Klient mit der IP 192 168 3 200 hat offensichtlich per HTTP Post Daten an das Script includes r57 php geschickt Der erste Zugriff auf r57 php fand am Tag zuvor statt 192 168 3 200 19 Aug 2008 22 23 28 0200 POST mosConfig_absolute_path http example com project1 teste files temp robot txt HTTP 1 1 200 59440 http 192 168 1 14 mosConfig_absolute_path http example com project1 teste files temp robot txt Mozilla 5 0 X11 U Linux i686 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 192 168 3 200 19 Aug 2008 22 23 36 0200 GET includes r57 php HTTP 1 1 200 33465 Mozilla 5 0 X11 U Linux i686 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 Daraus ist erkennbar welches php Skript manipuliert wurde um einen Zugriff auf das System zu bekommen In diesem Fall wurde eine entfernte Datei eingebunden engl Remote File Include um zus tzliche Daten auf den Server laden zu k nnen Dies ist sehr einfach daran zu erkennen wenn zus tzlich zu der aufgerufenen Datei eine komplette URL als Parameter bergeben wurde Weiterhin ist aus dieser Log Datei die IP Adresse des Vorfallsausl sers zu entnehmen 274 Leitfaden IT Forensik
130. 05 sec Ifd0 Exif F Number 2 8 APEX f2 6 Ifd0 Exif ExposureProgram Manual Ifd0 Exif ISOSpeedRatings 100 Ifd0 Exif Version 0221 Ifd0 Exif DateTimeOriginal 2007 07 27 17 24 34 Ifd0 Exif DateTimeDigitized 2007 07 27 17 24 34 Ifd0 Exif ComponentsConfiguration 1 2 3 0 YCbCr Ifd0 Exif ShutterSpeed Value 7 6 APEX 0 00515433 sec Ifd0 Exif Aperture Value 3 APEX f2 8 Ifd0 Exif ExposureBias Value 0 APEX Ifd0 Exif MaxAperture Value 3 APEX f2 8 Ifd0 Exif MeteringMode 5 Pattern Ifd0 Exif LightSource Daylight Ifd0 Exif Flash 16 no flash suppressed Ifd0 Exif FocalLength 6 3 mm Ifd0 Exif MakerNote 1100 2400 UNDEFINED Ifd0 Exif FlashPix Version 0100 Ifd0 Exif ColorSpace 1 sRGB Ifd0 Exif PixelXDimension 2576 Ifd0 Exif PixelY Dimension 1932 Ifd0 Exif Interoperability 3516 Ifd0 Exif ExposureIndex 100 Ifd0 Exif SensingMethod 2 One chip color area sensor Ifd0 Exif FileSource 3 DSC Ifd0 Exif SceneType 1 direct photo Ifd0 Exif CustomRendered 0 Normal Ifd0 Exif ExposureMode Manual Ifd0 Exif WhiteBalance 1 Manual Ifd0 Exif DigitalZoomRatio 0 Ifd0 Exif FocalLengthIn35mmFilm 38mm Ifd0 Exif SceneCaptureType 0 Standard Ifd0 Exif GainControl 1 Low gain up Ifd0 Exif Contrast 0 Normal Ifd0 Exif Saturation 0 Normal Ifd0 Exif Sharpness 0 Normal Ifd0 Exif SubjectDistanceRange
131. 11 Security Logon Lo 538 SYSTEM ONYX BASED il File Rep Clear all Events 12 17 11 Security Logon Lo 540 SYSTEM ONYX BASED View 12 17 11 Security Logon Lo 576 SYSTEM ONYA BASED 12 17 11 Security Logon Lo 540 SYSTEM ONYX BASED Rename 12 17 11 Security Logon Lo 576 SYSTEM ONYX BASED Refresh 12 17 11 Security LogonjLo 540 SYSTEM ONYX BASED Export List 12 17 11 Security LogonjLo 576 SYSTEM ONYX BASED Properties 12 17 11 Security Logon Lo 540 SYSTEM ONYX BASED 12 17 11 Security LogonjLo 576 SYSTEM ONYX BASED Help 12 17 06 Security System E 520 SYSTEM ONYX BASED 14 16 47 Security Logon Lo 538 test ONYX BASED it 24 07 2008 14 16 47 Security Logon Lo 538 ONYX ONYX BASED it 24 07 2008 14 16 47 Security LogonjLo 540 ONYX ONYX BASED it 24 07 2008 14 16 38 Security Logon Lo 540 SYSTEM ONYX BASED it 24 07 2008 14 16 38 Security Logon Lo 576 SYSTEM ONYX BASED it 24 07 2008 14 16 33 Security Logon Lo 538 SYSTEM ONYX BASED it 24 07 2008 14 16 22 Security Logon Lo 538 SYSTEM ONYA BASED it 24 07 2008 14 16 22 Security Logon Lo 540 SYSTEM ONYA BASED it 24 07 2008 14 16 22 Security LogonjLo 576 SYSTEM ONYX BASED it 24 07 2008 14 16 22 Security LogonjLo 540 SYSTEM ONYX BASED it 24 07 2008 14 16 22 Security Logon Lo 576 SYSTEM ONYX BASED it 24 07 2008 14 16 19 Security LogonjLo 538 test ONYX BASED ace Duscht PAINTIONNA 14 14 10 Lanan a CAN ORIVY RASED Sarrik Create a copy
132. 13 04 05 xls de 0 6 MB 17 08 2006 07 55 25 02 05 2005 10 57 14 17 08 2006 A 434184 X Ways Forensics Der Inhalt einer Datei die aus Sicht des Dateisystems nicht mehr existiert kann in der Zwischenzeit teilweise oder ganz berschrieben worden sein Sie k nnen also nicht einfach davon ausgehen da die Daten die Sie zu dieser Datei sehen noch die Originaldaten dieser Datei sind Diese Art von Meldung k nftig unterlassen Gew hlt 0 Dateien D Verz 0B sandisk_ReneSchul 27 frei Dateisystem FAT32 Schreibschutz Modus Inhalt der Sektorenansicht Cluster Nr 214764 Verz in Cl 214764 gel scht Pfad unbekannt 0 00 00 00 0 00 00 00 00 Datei berblick von vor 2 Min i L i L i l Physische Sektor Nr 1722073 I 00 00 00 00 Logische Sektor Nr 1721944 i i L Genutzter Speicher 0 7GB 3 730 218 496 Bytes Diese sind vermutlich der besch digten FAT Struktur anzurechnen Auff llig ist dabei die Zuordnung zu einer Datei der IT Anwendung Microsoft Excel die Dateien jedoch enthalten keine g ltigen Excel Arbeitsmappen Es wurden im vorliegenden Fall insgesamt 92 von 140 Dateien derart rekonstruiert dass sie als Digitalbilder angezeigt wurden 10 Dateien wiesen dabei deutlich erkennbare Artefakte auf Dokumentation In der forensischen Werkzeugsammlung X Ways ist eine Protokollfunktionalit t enthalten welche im Wesentlichen der prozessbegleiten
133. 2008 18 05 33 1 80 Eintrag an alle nderungszeitstempel 18 06 2009 15 30 54 1 4 Reproduktionen senden Revisionsanzahl 61 Attribute Anzahl der Unterordnungen 0 A ACL Partitionsname 00008027 T BSIFORENSICS EN CN Reproduktionstyp aster A GUID Reproduktionsnummer 1 A Last Login Time Reproduktionszustand Ein A Login Time e Tilgungszeit 18 06 2009 15 25 59 Verbundgrenze 00008027 T BSIFORENSICS Reproduktionen Schemagrenze 00008027 T BSIFORENSICS ho fast mmm ACR Anzahl 4 Zeitstempel Flaggen Privilegien Attribut Trustee E g4 Vorhanden Fa rl E Admin foo1 BSIFORENSICS no Vorhanden nn Login Script Admin foo BSIFORENSICS gt lt Abb 40 Novell eDirectory NDS Weboberfl che Es wurden dabei die Daten des Nutzers Admin angezeigt Erkennbar sind vor allem auch die Zeitstempel der einzelnen ACLs Einordnung in das detaillierte Schema siehe Kapitel Bei Novell eDirectory handelt es sich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows und Linux SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung forensischer Ma nahmen ist nicht erforderlich AE Dieses Werk zeug setzt voraus dass das System technisch funktionsf hig ist UV Novell eDirectory nutzt Anwenderdaten Sitzungsdaten und Konfigurationsdaten UZ und speichert diese online UA Das Ergebnis hierbei Anwenderdaten Sitzungsdaten und Konfigurationsdaten UE Das Datenvolu
134. 3 MAC Zeiten Bei den MAC Zeiten handelt es sich um eine Methoden die durch das Dateisystem zur Verf gung gestellt wird Sie ist auf einem Computer HW zug nglich und unter den meisten g ngigen Betriebssystemen wie Linux und Windows SW verf gbar Die Untersuchung findet dabei lokal auf dem zu untersuchenden System statt UO Eine Aktivierung ist nicht erforderlich AE Voraussetzung f r die Untersuchung ist dass das System technisch funktionsf hig und aktiv ist UV Das Untersuchungsziel hierbei sind Details ber Dateien Die Untersuchungsaktion ist das online Speichern UA von Details ber Dateien UE Das zu erwartende Datenvolumen h ngt von der Gr e der Partition ab DV Bei lokaler Anwendung auf dem zu untersuchenden System werden fl chtige und nichtfl chtige Daten ver ndert STW Das Ergebnis der Untersuchung ist datenschutzrechtlich nicht relevant DSR Eine Beweiskraft tendenz ist gegeben BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM Windows Eventlog Dienst Das Windows Eventlog ist eine Methode des Betriebssystems Sie ist auf Computern HW unter Windows NT SW verf gbar Die Untersuchung findet dabei lokal auf dem zu untersuchenden System statt UO Eine Aktivierung ist nicht erforderlich AE2 Voraussetzung f r die Untersuchung ist dass das System technisch funktionsf hig ist und aktiv ist sowie Nutzerr
135. 4 engl f r Komma separierte Liste 194 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik werden STW Eine Datenschutzrelevanz ergibt sich nicht aus der Nutzung des Programms DSR Eine Beweiskrafttendenz besteht eher nicht BK Bei der Verwendung von jnettop muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM Das Werkzeug LDP Wie bereits in Kapitel beschrieben kann mit LDP auf das Active Directory zugegriffen werden Mit seiner Funktion direkt auf das zugrunde liegende LDAP Verzeichnis zuzugreifen ist LDP eine grundlegende Methode zur Skalierung von Beweism glichkeiten Es kann vor allem im Abschnitt der Datensammlung und Untersuchung eingesetzt werden um die Konfigurationsdaten Anwenderdaten sowie Sitzungsdaten aus dem Active Directory zu extrahieren LDP ist teil der Windows Server 2003 Support Tools und ist kostenfrei bei Microsoft erh ltlich Es muss jedoch beachtet werden dass durch die n tige Anmeldung am Active Directory Daten ver ndert werden k nnen Zudem ist LDP auch in der Lage Daten gezielt zu ver ndern daher ist ein bewusster gut dokumentierter Umgang mit dem Werkzeug zwingend n tig Um Zugriff zum Active Directory zu erlangen muss zun chst mit der Option Bind im Men Connection eine Verbindung aufgebaut werden
136. 53 Basisszenario Rootkaufkl rung l mus 253 Strategische Vor bere Wit EE 254 e EE 254 Operationale Morberetung ann 254 Eens use een 255 INGE PSC UNO Ae 255 EE 256 Dokumentation ee 256 Basisszenario Support Case Doppelt vergebene IP Adresse 257 E EE E 257 EEN 257 Operationale Morberetung nennen 257 Datensamiml n t insel 258 ere EE ed 259 HE 260 Dokumentation ea 261 L t EE 262 Fallbeispiel Aufkl rung eines Vorfalls mit Ursprung im Internet Vorfall m EENEG eg 262 Strategische ee Et 262 DS YINBLOTD ee en ee dee 263 Leitfaden IT Forensik 5 Operationale Meet nie eek 264 EEN 264 Untersuchung Ss 265 Datenanalyse susanne 266 RTE EE 268 Fallbeispiel Aufkl rung eines Vorfalls mit Ursprung im Intranet Kompromittierung eines Intranetserverg eeeeeeseceteceseeeeeeeseeteeeees 269 Strategische Vorbereitung EE 269 rAd U0 15 01 00 Ree eee eC een POU OS oR ORE ry oy OR re rN aE pI PRON Ta ee SET Pr 269 Operational e E 270 RE EE 270 Untersuchungs EE 271 Datenanalyse anerkennt 273 Dokumentation sus ae ses 215 Fallbeispiel Aufkl rung eines Vorfalls innerhalb einer IT Anwendung Denial auf Service Angriff auf MySQL 276 Strategische Vorbereitung nase ea 276 Operationale Vorberetung areas een 277 IR ln EE 278 Untersuchung ausser ae Rees ann eas ee 278 IR ais gareny tees ta ata vaneee eae ea ee ee 280 Strategische Vorbereitung EE 281 Operationale Vorberetung 281 Datensammlung EE
137. 5c1 HMAC cee75b06f565f f68256f4a0f e36648d32b0dc896809a3102F2095770aef581F8 MAC table of brO at So 19 Apr 12 34 35 CEST 2009 port no mac addr is local ageing timer 1 00 0c 29 3a 86 af yes 0 00 2 00 0c 29 3a 86 b9 yes 0 00 1 00 0c 29 a9 cb f1 no 2 68 1 00 0c 29 bc 9d 23 no 206 18 1 00 15 f2 41 a3 22 no 13 07 1 00 16 38 b5 de el no 21 87 1 00 21 85 fb 66 3b no 36 81 1 00 30 1b b8 1le 6c no 6 97 1 00 80 c8 d7 ef c5 no 5 25 1 40 00 04 11 6f 44 no 7 02 1 40 00 04 11 6f 46 no 6 97 1 40 00 04 11 6f 52 no 7 08 1 40 00 04 11 6f 7d no 7 13 1 40 00 04 11 6f 86 no 7 18 Log item SHA256 hash d8f1f4e961e3734a35ddc20536f F4b9e85 F58b60b61b15cd3df4cc6ec242ba2d HMAC cee75b06f565f f68256f4a0f e36648d32b0dc896809a3102F2095770aef581F8 Linux forensic transparent bridge session end mark time So 19 Apr 12 34 35 CEST 2009 Investigator Mustermann Log item SHA256 hash d9a258e7767602dc9ba28a Fd89ab6bFObF406225d45d2490d9950b7014648c617 HMAC cee75b06f565f f68256f4a0f e36648d32b0dc896809a3102F2095770aef581F8 324 Leitfaden IT Forensik Anhang A Es gibt jeweils einen Log Eintrag zum Beginn und zum Ende einer Sitzung in beiden Eintr gen ist dabei die Uhrzeit sowie der Name des Untersuchenden festgehalten Dazwischen befinden sich die Eintr ge f r die einzelnen Datenerfassungen Dabei ist wiederum der Zeitpunkt von Beginn und Ende der Datensammlung angegeben Dar ber hinaus wird die Befehlszeile des Snifferaufrufs protokolliert Zus tzli
138. 6414 192 168 1 111 213 199 165 14 192 168 1 111 213 61 112 153 2008 08 22 r combined 16597099 v E 20 36 57 192 165 1 111 2554 124 reverse 16580179 2008 08 22 r 192 168 1 111 64452 189 VJ 20 36 58 192 168 1 111 65 55 197 114 E forward y Lem 2008 08 22 r 192 168 1 111 65 55 249 67 MEDM I TEE 192 168 1 111 66 151 152 125 192 168 1 111 66 249 93 104 192 168 1 111 8 12 209 125 192 168 1 111 87 79 26 10 d 192 168 3 200 192 168 1 111 45877 501 46702 503 59822 502 60490 31337 Abb 83 Darstellung im virtuellen Dateisystem VFS 192 168 1 111 65 55 21 250 Dabei werden gesendete und empfangene Daten voneinander getrennt aufgezeigt eine kombinierte Darstellung wird nur selten angeboten Der Inhalt der gebotenen Informationen entspricht im Wesentlichen dem Ergebnis der im Kapitel vorgestellten Untersuchung von Verbindungsdaten Leitfaden IT Forensik 333 Anhang A In der Detailanzeige ist dann jedoch der Paketinhalt erkennbar Webseiten werden dabei zumindest teilweise rekonstruiert wie die nachfolgende Abbildung 84 zeigt Case nutzdatenauswertung a Viewing file in inode Inet1 S3708 Classified as HTML Document by magic Summary HTTP 1 1 200 OK Date Wed 20 Aug 2008 17 27 17 GMT Server Apache 2 2 3 Debian mod_python 3 2 10 Python 2 4 4 PHP 5 2 0 8 etch11 mod_perl 2 0 2 Perl v5 8 8 X Powered By PHP 5 2 0 8 etch11 K
139. 8 http www e fense com helix 209 dieses Werkzeug ist ebenfalls auf der Helix CD enthalten 210 http www guidancesoftware com law_enforcement index aspx 211 http www x ways net replica html Leitfaden IT Forensik 237 Imagegewinnung Einsatz der IT Forensik anhand ausgew hlter Szenarien Einordnung in das Modell des forensischen Prozesses Die Einordnung des Basisszenarios der Gewinnung eines forensischen Datentr gerabbildes unter Verwendung des forensischen Werkzeugs defldd wird in der nachfolgenden Abbildung 52 verdeutlicht Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations daten Abb 52 Einordnung der Gewinnung eines Datentr gerabbildes unter Einsatz von dcfldd Hieraus ist ersichtlich dass die Gewinnung eines forensischen Datentr gerabbilds in den Abschnitt der Datensammlung im Modell des forensischen Prozesses einzuordnen ist Die Datenarten betreffen sowohl in der Eingabe als auch in der Ausgabe des Werkzeuges dcfldd die Rohdateninhalte Dabei wird das forensische Werkzeug dcfldd der grundlegenden Methode der Datenbearbeitung und Auswertung zugeordnet Wiederherstellung von Daten Undelete Eine der h ufigsten T tigkeiten in der Datentr geruntersuchung ist die Wiederherstellung von gel schten Daten Die Datenwiederherstellung ist im Abarbeitungsschritt der Untersuchung siehe dazu Kapitel einer forensischen Untersuc
140. 889 536 Bytes frei G Rec yc1le Bin 8 1 5 21 4239351813 4261937874 2374905488 108081 gt type SIAINLSK txt 8 EasSvawec N Users mario Documents tes EN ee A d G Recycle Bin S 1 5 21 4239351813 4261937874 23749054088 18081 gt type SRAINL8K txt test C Recyc le Bin 1 5 21 4239351813 42619378 74 23 74905 408 1601 gt Abb 26 Inhalt des Papierkorbs Die Dateiendung bleibt beim L schen vorhanden der Name wird jedoch zuf llig vergeben F r jede einzelne Datei die gel scht wird werden zwei Dateien im Papierkorb erstellt Eine davon ist die gel schte Datei selbst dieser wird ein R vor dem zuf lligen Namen vorangestellt Des weiteren wird eine Datei mit einer vorangestellten Zeichenkette I erstellt diese enth lt den ehemaligen Speicherort mit dem Dateinamen und den L schzeitpunkt Die Auswertung der Information aus diesen Dateien kann potentiell wichtige Vorfallsdaten liefern wenn beispielsweise Spuren nur durch Verschieben in den Papierkorb gel scht wurden Insbesondere der L schzeitpunkt kann im Rahmen einer forensischen Untersuchung ein wichtiges Datum darstellen Windows Firewall 118 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Die in Windows integrierte Firewall ist seit Windows XP Service Pack 2 standardm ig aktiviert siehe dazu auch Joo08 und Zeh08 Au erdem ist es m glich ber die erweiterte Verwaltungsoberfl che wf msc Systemsteuerung Verwaltung
141. 9F 0 30 1B B8 1E F A Ox5EA A 0x3D233C60 0x4C1AA064 0xB5 64 16 24474 1500 20 Es ist erkennbar dass zus tzlich die MAC Adressen der involvierten Computer systeme enthalten sind Die einzelnen Felder konnen in der Snort Dokumen tation nachgeschlagen werden Die anfallenden Daten sind entsprechend den Richtlinien und Forderungen des Datenschutzes zu behandeln siehe dazu auch Kapitel Dies gilt beispielsweise auch fiir die Zweckbindung der erhobenen Daten So diirfen die in den Logs von NIDS enthaltenen Verbindungsdaten zwar zur Vorfallsaufklarung verwendet werden diirfen jedoch nicht beispielsweise zur Uberwachung des Surfverhaltens von Mitarbeitern genutzt werden Einordnung in das detaillierte Schema siehe Kapitel Snort l uft auf festinstallierten Computern HW Das Programm ist f r Linux und Windows erh ltlich SW Der Untersuchungsort ist lokal auf dem zu untersuchenden System UO Es sammelt Daten der OSI Schichten 3 7 OSI F r Snort ist keine Aktivierung erforderlich AE Die Untersuchungsv oraussetzung ist die technische Funktionsf higkeit des Computersystems dass die Netzwerkverbindungen nicht getrennt wurden eine ununterbrochene Spannungs versorgung sowie Administratorrechte UV Untersuchungsziel sind Kom munikations protokolldaten und Anwenderdaten UZ Die Untersuchungsaktion besteht aus dem Online Speichern von verd chtigen Paketen UA Das Untersuchungsergebnis sind Kommunikationsprotok
142. Ansatz beginnend mit der eingesetzten Hardware unter Verwendung immer abstrakterer Schichten Hardwaredaten Hardwaredaten sind jene Daten von Datenquellen in einem System deren Verhalten durch die System Teilkomponenten Betriebssystem und Anwendungen nicht oder nur sehr eingeschr nkt ver ndert werden k nnen Beispiele daf r sind die RTC Zeit Daten zu Interrupts Seriennummern der Hardwareger te oder auch der OP Code der Firmware der Hardware Virtualisierungsdaten sind Hardwaredaten diese sind zwar durch das Host Betriebssystem nderbar nicht jedoch durch das Betriebssystem des Clients Rohdateninhalte Rohdaten sind noch nicht n her klassifizierte Bitfolgen bzw Datenstr me von Teilkomponenten des Systems Sie k nnen prinzipiell Daten aus den brigen Datenarten enthalten Beispiele f r Rohdaten sind Abbilder aller Art also prim r Speicher und Daten tr gerabbilder HD Images Netzwerkpakete sind ebenfalls Rohdaten Leitfaden IT Forensik 81 Detaillierte Vorgehensweise in der IT Forensik Details ber Daten Details ber Daten sind Metadaten zu den eigentlichen Nutzdaten Diese k nnen innerhalb oder au erhalb der Nutzdaten gespeichert sein Des Weiteren werden sowohl persistente als auch fl chtige Metadaten hier adressiert als Beispiele seien hier MAC Zeiten von Dateien oder Sequenznummern von Netzwerkpaketen genannt Konfigurationsdaten Konfigurationsdaten sind durch das Betriebs system bzw Anwendungen ver
143. BN 978 3 88579 234 5 2008 ISACA08 ISACA Computer Forensics Document G28 304 Leitfaden IT Forensik Literaturliste http www isaca org AMTemplate cfm Section Standards Guidelines Procedures for IS_Auditing amp Template Conte ntManagement ContentDisplay cfm amp ContentID 18642 2008 ISTO8 IST Misuse Detection System http www ist world org ProjectDetails aspx ProjectId 5093cc95705e4286b483 fa9c9bdda330 2008 ITILO8 APM Group Ltd IT Infrastructure Library http www itil officialsite com home home asp 2008 ITW08 ITWissen DIN 44300 Definition IT Lexikon http www itwissen info definition lexikon DIN 44 300 html 2008 Jei02 Technical Standardization Committee on AV and IT Storage Systems and Equipment Exchangeable image file format for digital still cameras Exif Version 2 2 http www kodak com global plugins acrobat en service digCam exifStandard2 pdf 2008 Jon03 Jones Keith J Forensic Analysis of Internet Explorer Activity Files http www foundstone com us pdf wp_index_dat pdf 2003 Joo08 Joos Thomas Microsoft Server 2008 Die Neuerungen im Praxiseinsatz Microsoft Press ISBN 3 86645 645 X 2008 KAD09 S Kiltz R Altschaffel J Dittmann From the Computer Incident Taxonomy to a Computer Forensic Examination Taxonomy In From the computer incident taxonomy to a computer forensic examination taxonomy Sth International Conference on IT Security Incident Management and IT
144. Beschreibung aus dem Hilfe und Support Center Suche ipconfig 100 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik konfigurierten Systemen die Information wie lange die aktuelle Netzwerk konfiguration mindestens schon aktiv ist und von welchem Server die aktuelle IP Adresse zugeteilt wurde Die IP und MAC Adresse helfen dabei das System im Netzwerk zu identifizieren Bei der Auswertung von Netzwerkmitschnitten erm glicht dies die Ermittlung von m glichen St rern oder auch Opfern ARP Dieser Befehl listet die bersetzungstabellen von IP Adressen zu physikalischen Netzwerkadressen MAC Adressen der zuletzt kontaktierten Computer im Netzwerk welche vom ARP Address Resolution Protocol verwendet werden Diese Liste deutet auf weitere m gliche Datenquellen hin Extraktion von Prozessdaten Die Erfassung der auf einem Computersystem laufenden Prozesse ist im Rahmen einer forensischen Untersuchung zwingend notwendig wenn das System noch mit der Spannungsversorgung verbunden und aktiv ist Prozessdaten sind fl chtige Daten sie gehen mit dem Ausschalten des Computers verloren siehe dazu auch Kapitel Microsoft Windows XP SP2 bietet f r die Sammlung von Prozessdaten ein Kommandozeilenprogramm und ein Programm mit graphischer Oberfl che Dem Kommandozeilenprogramm sollte aus forensischer Sicht der Vorrang gew hrt werden weil die Ausgaben leicht in eine Datei zur weiteren Verwendung geschrieben werden k
145. DV21 Ein Aufruf der ARP Tabelle ver ndert lokal fl chtige Daten STW11 1 1 Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung DSR Eine Beweiskrafttendenz besteht eher nicht BK4 Die Methode ist vor Ver nderung gesch tzt Die zu Untersuchenden Daten sowie das Untersuchungsergebnis sind w hrend der Nutzung gesch tzt SM IP Connectiontracking Bei dem forensischen Werkzeug handelt es sich um proc net ip_conntrack Es wird in der Datensammlungsphase gesichert und ist Teil des Linux Kernels Leitfaden IT Forensik 321 Anhang A SW21 Daher l uft es auf Computern HW Der Untersuchungsort ist lokal auf dem System UO F r proc net ip_conntrack ist eine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems sowie eine ununterbrochene Stromversorgung UV3 Das Untersuchungsziel sind Kommunikationsprotokolldaten UZs die online extra hiert werden UA 2 Untersuchungsergebnis sind hierbei ebenfalls Kommuni kationsprotokolldaten UEs Das zu erwartende Datenvolumen liegt im Kilobyte Bereich DV Ein Nutzung dieser Methode ver ndert lokal fl chtige Daten STW 1 1 Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung DSR Eine Beweiskrafttendenz besteht eher nicht BK4 Die Methode ist vor Ver nderung gesch tzt Die zu untersuchenden Daten sowie das Untersuchungs ergebnis sind w hrend der Nutzung gesch tzt SM gt
146. Datenanalyse Die Datensammlungsfunktion l sst sich dabei sowohl lokal als auch entfernt auf dem zu untersuchenden System einsetzen In jedem Fall m ssen die n tigen Rechte f r den Zugriff auf die Logdaten vorhanden sein Logparser verarbeitet prim r Sitzungs und Prozessdaten vereinzelt k nnen aber auch Anwenderdaten erfasst werden Dabei werden verschiedene Ein und Ausgabeformate unterst tzt Exemplarisch seien hier EVT und CSV als Eingabe formate sowie CSV und SYSLOG als Ausgabeformate genannt Durch die Konvertierung der Eventlogs in das Syslog Format kann eine Sicherung auf einem zentralen Logdatenserver wie er in Kapitel vorgestellt wurde erfolgen Die Auswertung insbesondere unter der Einbeziehung von Logdateien anderer IT Komponenten kann dann u a mit der nachfolgend vorgestellten Korrelationssoftware Zeitline erfolgen Die Erstellung vordefinierter Anfragen sollte Teil der Strategischen Vorbereitung sein Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug Log Parser handelt es sich um eine Datenauswertungs Software den Log Parser von Microsoft welcher in der Lage 168 http www microsoft com downloads details aspx FamilyID 890cd06b abf8 4c25 91b2 f8d975cf8c07 202 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik ist auf dem untersuchten Windows basierten Computer mit Hilfe eines SQL Dialekt Eingabedaten zu verarbeiten HW Das Programm ist f r Windows e
147. Die Basis f r Novell eDirectory bietet ein Lightweight Directory Access Protocol LDAP Datenbankmanagementsystem Das eDirectory System ist f r Windows basierte Systeme serverseitig mit Microsoft Windows Server 2003 und Microsoft Windows XP als Klientsystem erh ltlich Des Weiteren kann es unter Verwendung von Linux auf SUSE Enterprise Servern bzw RedHat Advanced Server aber auch auf Novell NetWare sowie einigen Unix Derivaten betrieben werden Novell eDirectory kann vollst ndig ber ein Webinterface konfiguriert und administriert werden Im Netzwerk lassen sich e Directory Verbindungen standardm ig auf dem Port 8028 f r den http Server und auf dem Port 389 f r die LDAP Anbindung finden Dies ist jedoch nur dann der Fall wenn eine Klartextverbindung besteht Gesicherte Verbindungen finden sich auf dem Port 8030 f r den http Server SSL und auf dem Port 636 f r die LDAP Anbindung SSL TLS Die Zeitsynchronisation in einem solchen E Directory Netzwerk erfolgt dadurch dass jedes Mal wenn ein Ereignis eintritt eine Zeitmarke angefordert wird Der Zeitstempel ist dabei ein eindeutiger Code der die Zeit und das dazu geh rige Ereignis angibt Dabei dienen so genannte Ausschlie liche Zeitreferenz Server als zentrale Zeitgeber im Netzwerk Diese legen gemeinsam mit Prim rzeitservern die Netzwerkzeit fest die dann gegebenenfalls noch ber sekund re Server an die 153 http www novell com products edirectory overview ht
148. Erstellungsdatum einer Datei das Datum des letzten Zugriffs das Datum der letzten Modifikation den Eigent mer und die Zugriffsrechte Das Dateisystem soll nach Bun06 folgende Anforderungen erf llen Verwaltung des Dateinamens bzw des Verzeichnisnamens Verwaltung des Dateianfangs Verwaltung der Dateil nge zusammen mit Metadaten z B Dateirechte Zeitstempel Verwaltung der von der Datei benutzten Speichereinheiten Cluster Verwaltung der belegten und freien Cluster Da ein Dateisystem f r gew hnlich auf einem Datentr ger beispielsweise Festplatte USB Stick untergebracht ist soll die dort verwendete Organisations struktur kurz umrissen werden Dies wird u a notwendig weil sich einige forensisch interessante Daten au erhalb von Dateisystemen auf Datentr gern befinden Eine detailliertere Beschreibung findet sich u a in Bun06 Grundaufbau von Datentr gern Ein Datentr ger ist f r das Betriebssystem eine Folge aufeinander folgender Sektoren Auch dieses ist z B auf einer Festplatte Abstraktion da hier mehre Datenscheiben von darauf lesenden und schreibenden K pfen abgefahren werden Die Einteilung dieser Datenscheiben in Sektoren wird w hrend der so genannten Low Level Formatierung vorgenommen F r n here Details dazu sei auf Kru04 verwiesen Diese Sektoren sind damit die kleinste vom Betriebssystem zu adressierende logische Datenspeichereinheit Die Kapazit t ist u a vom Medium abh ngig
149. Es ist ersichtlich dass nach Beachtung der strategischen Vorbereitung die ausgew hlten Methoden im Bereich der Datensammlung arbeiten vornehmlich unter Einsatz von Loggingfunktionalit ten Im Kapitel werden exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode EME vorgestellt Die grundlegende Methode IT Anwendung IT Anwendungen stellen die eigentlichen Anwendungen eines IT Systems dar Hierzu geh ren Tabellenkalkulationen Datenbanksoftware Webbrowser Chat clients oder auch Spiele Werkzeuge die in dieser grundlegenden Methode einsortiert werden zeichnen sich dadurch aus dass sie neben ihrer Haupt funktionalit t M glichkeiten zur Unterst tzung forensischer Untersuchungen bieten Dies sind beispielsweise die Log Dateien eines MySQL Servers oder die Verlaufslogs eines Webbrowsers Die grundlegende Methode ITA bezieht sich somit auf all jene Methoden die geeignet sind aus der Ausf hrung von IT Anwendungen forensisch nutzbare Daten zu gewinnen Einordnung in Abschnitte des forensischen Prozesses Um eine erste Einordnung im Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 9 verwiesen Leitfaden IT Forensik 77 Detaillierte Vorgehensweise in der IT Forensik ITA IT Anwendungen SV x Strategische Vorbereitung OV Operationale Vorbereitung DS X Datensammlung US Untersuchung DA Datenanlayse DO Dokumentation
150. Forensik 52 Der digitale Fahrtenschreiber als forensisches Werkzeug 0 00100e00e00 55 Anforderungen an die forensische Worketaton 57 Kurzzusammenfassung des Kapitele 58 Detaillierte Vorgehensweise in der UT Forenaik cc eeeeceeecceseceeeneeeeeeeeeeneeeees 59 Vorgehensmodell des forensischen Drozesseg 59 Der abschnittsbasierte Verlauf einer forensischen Untersuchung 60 Klassifikation forensischer Methoden eenig iergent Zeen eg el 65 Die grundlegende Methode Betriebssystem nnnenenneen 66 Die grundlegende Methode Dateiswatem seses seseeses sese 71 Die grundlegende Methode Explizite Methoden der Einbruchserkennung E He Die grundlegende Methode TT Amwendung 77 Die grundlegende Methode Skalierung von Beweismitteln 78 Die grundlegende Methode Datenbearbeitung und Auswertung 79 Forensisch bedeutende Daten rlen ses 80 Vorgehensweise bei einer forensischen Untersuchung 86 Strategische Vorbereitung nee era 87 SALE 6108 a EOE ea mel EE 87 Operationale Mreches 87 Da t samml n t etsa12shcestxtanzhaheen EA gefeelt ett 88 Brut 90 eeler 91 Dokumentallon nase esse ee Bern 91 Grundlegende Methoden im Detall u 92 2 Leitfaden IT Forensik Jee EE 92 Die grundlegende Methode Betriebssystem cssessenseensenseesnnesnennn 93 Das Betriebssystem MS Windows XP 93 Sammlung von Harduwaredaten 94 Sammlung von
151. Hierzu sind die Zugangsdaten eines berechtigten Nutzers n tig Danach kann durch die Auswahl des Men punktes Tree aus dem Men View eine Baumansicht der relevanten Daten im linken Teilfenster erzeugt werden Die Struktur des Baumes entspricht weitgehend der von den Verwaltungswerkzeugen des Active Directory bekannten Daten In Abbildung 42 sind die im Active Directory gespeicherten Daten des Nutzers Administrator dargestellt 165http support microsoft com kb 892777 166http www microsoft com downloads details aspx FamilyId 6EC50B78 8BE1 4E81 B3BE 4E7AC4F0912D amp displaylang en Leitfaden IT Forensik 195 Detaillierte Vorgehensweise in der IT Forensik Idap S1 recplast de DC recplast DC de oj x Connection Browse Yiew Options Utilities Help CN ForeignSe CN Richtlinien Ersteller Besitzer CN Users DC recplast DC de CN Infrastruc JCN Dom nen Admins CN Users DC recplast DC de CN LostandFe CN Organisations Admins CN Users DC recplast DC de CN NTDS Que JCN Schema Admins CN Users DC recplast DC de CN ProgramC JCN Administratoren CN Builtin DC recplast DC de CN 5ystem D 1 gt uSNChanged 12613 El CN Users DC 1 gt name Administrator 1 gt objectGUID c587b3a7 97ab 49c4 884a 19e1057bd61b No chil 1 gt userAccountControl 0x10200 UF_NORMAL_ACCOUNT CN DHCP UF_DONT_EXPIRE_PASSWD CN DHCP 1 gt badPwdCount 0 CN DnsAc 1 gt codePage 0 CN DnsUp 1 gt countryCode 0 CN Domar 1 gt badPasswor
152. IF 1 0 1 2 0 Einerseits wurde diese Verbindung zur Datenbank nicht mehr getrennt andererseits ist die Syntax der zweiten Anfrage verd chtig Eine berpr fung der Abfrage erbrachte die Erkenntnis dass diese geeignet ist einen MySQL Server zum Absturz zu bringen Datenanalyse Mit diesen Zeitstempel konnte die Datenanalyse begonnen werden Wieder war der Webserver der erste Anlaufpunkt da dieser mehrere Skripte anbietet die auf die Datenbank zugreifen Eine Korrelation mit den nun gesammelten Zeitstempeln ergab eine Anfrage zum gleichen Zeitpunkt 192 168 85 161 14 Nov 2008 01 28 28 0100 POST tool php HTTP 1 1 200 60 Aus diesem Log Abschnitt sind sowohl der Zeitpunkt der Anfrage als auch der Computer von dem diese abgesendet wurde bekannt Da es sich um eine IP Adresse aus dem lokalen Netzwerk handelt konnte die Untersuchung auf dem angreifenden Rechner fortgesetzt werden Dennoch waren bereits an dieser Stelle einige weitere Fragen der CERT Taxonomie siehe dazu auch Kapitel gekl rt wie die Tabelle 60 darlegt Darin ist zu erkennen dass Werkzeug Schwachstelle Aktion Ziel und Resultat bekannt sind Angreifer Werkzeuge Schwachstelle Aktion Ziel Resultat Absicht 192 168 85 161 Ein Implementation berladung Prozesse Behinderung schleusen der Ziel von von kapazit t Ressourcen Kommandos und der Dienst verf gbarkeit Tabelle 60 Einordnung des Vorfalls in die CERT Ta
153. IT Forensik 97 Achtung Detaillierte Vorgehensweise in der IT Forensik Dieses Programm kann ebenfalls derzeit vorhandene Zust nde anzeigen oder ndern F r eine forensische Untersuchung darf der Zustand nicht ver ndert sondern nur ausgelesen werden Durch ein blo es Markieren einer Datei bzw eines Ordners wird die Zeit des letzten Zugriffs ver ndert Dieses Werkzeug kann nur zum Einsatz auf einem forensischen Image empfohlen werden bei welchem das zu untersuchende Objekt schreibgesch tzt eingebunden wurde Zudem ist eine Dokumentation nur schwer m glich daher ist vom Einsatz des Windows Explorers in forensischen Untersuchungen abzuraten Extraktion der Konfigurationsdaten Die Ermittlung der Systemkonfiguration kann den forensischen Prozess in mehreren Abschnitten unterst tzen Hierbei lassen sich sowohl die umfangreichen Systemeinstellungen als auch Einstellungen von Anwendungen erfassen welche bei einer Basisinstallation von Microsoft Windows XP enthalten sind ASSOC Dieser Kommandozeilen Befehl zeigt die Zuordnungen mit den Datei erweiterungen an So kann beispielsweise festgestellt werden dass bestimmte Programme gel scht wurden da sich gleichzeitig noch ihre Dateizuordnungen finden lassen ATTRIB Der Befehl ATTRIB zeigt Dateiattribute an oder ndert sie Diese Dateiattribute werden im Kapitel beschrieben und im Kapitel ber die Dateisysteme aufgegriffen DRIVERQUERY Dieser Befehl zeigt eine Liste mit al
154. Issuer Valid From Valid To c5b recplast de E admin recpl 01 03 2009 17 1 01 03 2010 17 7 Abb 78 Einrichtung des Zertifikats Danach bertr gt auch der Windows Client die Daten verschl sselt und wird durch den Server als zul ssiger Kommunikationspartner authentifiziert Die Ein richtung ist im syslog ng Administrator s Guide n her beschrieben Verschl sselte Speicherung der Logdaten Neben der verschl sselten bertragung der Logdaten ist auch eine verschl sselte Speicherung zur Wahrung des Sicherheitsaspekts der Vertraulichkeit w nschens 226http www balabit com dV guides syslog ng v3 0 guide admin en pdf Leitfaden IT Forensik 329 Anhang A wert Zus tzlich ist bei der dauerhaften Speicherung ein Mechanismus zur berpr fung der Integrit t der Logdaten n tig Beides wird von syslog ng erm glicht Die Verschl sslung erfolgt dabei wiederum ber SSL x509 Zer tifikate Dazu ist auf dem Server ein verschl sseltes Logziel einzurichten destination d_logstore logstore var log messages lgs encrypt_certificate opt syslog ng etc cert d syslog ng logstore cert chunk_size 100 chunk_time 5 owner root group root perm 0600 compress 5 D Damit wird ein Logziel namens d_logstore angelegt welches den Logstore Mechanismus von syslog ng nutzt Eingehende Daten werden in der Datei var log messages lgs abgelegt Die Verschl sslung erfolgt ber das Zertifikat
155. Jaz UO22 Optische Medien CD DVD UO2 2 5 Speicherkarten leser UO226 USB Stick UO23 externe Ger te UO gt 2 3 1 Mobiltelefon UO023 2 PDA U023 3 Digitalkamera Leitfaden IT Forensik 313 Anhang A UO2 3 4 Netzwerkkomponenten uos lokal auf Teilkomponenten des Systems u031 fest installierte Datentr ger U03 1 1 RAM U03 1 2 Flash Bios Firmware UO3 1 3 Festplatte UO3 Wechseldatentr ger UO3 2 1 Magneto optische Medien UO32 2 Magnetb nder DAT DLT UO3 2 3 Magnetwechselspeicher Zip Jaz UO3 2 4 Optische Medien CD DVD UO3 5 Speicherkarten leser U03 2 6 USB Stick UuO33 externe Ger te UO3 3 1 Mobiltelefon UO3 3 2 PDA UO3 3 3 Digitalkamera UO3 3 4 Netzwerkkomponenten uo remote auf Teilkomponenten des Systems Uu fest installierte Datentr ger UO4 1 1 RAM UO4 1 2 Flash Bios Firmware u041 3 Festplatte UO4 gt Wechseldatentrager UO4 2 1 Magneto optische Medien UO422 Magnetbander DAT DLT U04 2 3 Magnetwechselspeicher Zip Jaz U042 4 Optische Medien CD DVD UO4 5 Speicherkarten leser UO426 USB Stick u013 externe Ger te UO4 3 1 Mobiltelefon UO4 3 2 PDA UO4 3 3 Digitalkamera UO4 3 4 Netzwerkkomponenten Aktivierung Installation erforderlich AE ae Aktivierung Installation erforderlich aez keine Aktivierung Installation erforderlich Untersuchungsvorraussetzung UV uv Logging ist eingeschaltet la osiq 7 uv2 Netzwerkverbindung en wurden nicht get
156. Kilobyte Bereich anzusiedeln DV Wenn md5deep offline genutzt wird treten keine Strukturwirkungen auf ansonsten werden fl chtige Daten lokal ver ndert STW Eine Datenschutz relevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher hoch BK Bei der Verwendung von mdS5deep muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs im offlinebetrieb nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden UE 180http www nsrl nist gov Leitfaden IT Forensik 211 Detaillierte Vorgehensweise in der IT Forensik Zusammenfassung der Methoden und Werkzeugeinordnung Die nachfolgende Abbildung 45 verdeutlicht zusammenfassend die Zuordnung der forensischen Methoden der grundlegenden Methode der Datenbearbeitung und Auswertung DBA Anwenderdaten Hardwaredaten Rohdateninhalte Szungsdaten Prozessdaten Gu Daten w Kommunikations Kontigurations protokolidaten daten Abb 45 Einordnung der grundlegenden Methode DBA in die Datenarten und die Abschnitte des forensischen Prozesses Aus dieser Zusammenfassung ist ersichtlich dass Methoden der Datenbearbeitung und Auswertung DBA vor allem in den Abschnitten der Datensammlung Untersuchung Datenanalyse sowie der Dokumentation zum Einsatz kommen Die Anwendbarkeit von md5deep auf alle Datenarten in der Untersuchung und der Dokumen
157. Kontrolle Dieses Recht erlaubt einer Gruppe das ndern der Rechte das ndern des Besitzers und zus tzlich die Aus bung der Lese Schreib Ausf hrungs und Modifikationsrechte Auch der Besitzer und die Gruppe werden in einem Eintrag in der File Struktur in der MFT festgehalten Forensisch interessant sind die Rechte und der Besitzer u a auch deshalb weil bei einem kompromittierten Konto evtl auf diese Weise Spuren des Ursprungs eines Vorfalls zu finden sind Das Besondere an NTFS ist das die MFT eine regul re Datei im System ist Dadurch hat sie sowohl Attribute als auch MAC Zeiten Aus diesen l sst sich der Erstellungszeitpunkt des gesamten Dateisystems ablesen Jedes ernstzunehmende forensische Werkzeug zur Untersuchung von Microsoft Windows basierten Computersystem kann die MFT analysieren Beispielhaft sei hier aus dem Open Source Bereich die Software Sleuthkit H genannt Die MFT geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Der Partition Boot Sektor Auch im Partition Boot Sektor befinden sich u U forensisch wertvolle Informa tionen Strukturen zur Speicherorganisation Im Partition Boot Sektor existiert u a der Bootstrap Code also das Programm welches den Betriebssystemstart einleitet siehe dazu auch NTF08 Forensisch bedeutsam im Partition Boot Sector ist die Positionsangabe der im Vorangegangen erl uterten Master File Table MFT Im Unterschied
158. L zu kl renden Fragen bertragen Leitfaden IT Forensik 21 COBIT und ITIL f r die IT Forensik Einordnung des Leitfadens Wichtige Fragestellungen Einf hrung Leitfaden IT Forensik Abb 3 Der forensische Prozess in Zusammenspiel von COBIT und ITIL Hieraus wird ersichtlich dass f r jeden einzelnen Schritt des im Kapitel vorgestellten Abschnitts einer forensische Untersuchung nach dessen Abbildung auf einen der von ISACA04 beschriebenen Schl sselelemente eine best ndige Prozessoptimierung nach ITIL vorgenommen werden sollte und die Fragen zur Datenerfassung sammlung bearbeitung analyse pr sentation und benutzung konkretisiert werden m ssen Anforderungen an eine forensische Untersuchung Das Ziel einer forensischen Untersuchung ist die Beantwortung der folgenden Fragen Was ist geschehen Wo ist es passiert Wann ist es passiert Wie ist es passiert Zus tzlich k nnen die nachfolgenden Fragestellungen relevant werden ins besondere auch im Fall der Strafverfolgung oder einer Sicherheitsbewertung Wer hat es getan Was kann gegen eine Wiederholung getan werden Dabei muss eine Untersuchung im Sinne der IT Forensik prinzipiell nach Spuren suchen welche sowohl eine These untermauern als auch diese widerlegen k nnen 22 Leitfaden IT Forensik Einf hrung Zudem werden an eine forensische Untersuchung Anforderungen an die Vorgehensweise gestellt siehe auch Ges08 Ak
159. Linux Distributionen viele Daten f r forensische Untersuchungen Einschr nkend ist hierbei zu sagen dass all diese fl chtig sind und somit nach einem 90 http linuxwiki de chroot 91 Manpage des Kernel Log Deamons klogd http linux die net man 8 klogd 92 Manpage von dmesg http linux die net man 8 dmesg 93 http www linuxinsight com proc_loadavg html 132 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Systemneustart unwiederbringlich verloren gehen In Standardumgebungen sind die Daten des Kernels bereits mehr als ausreichend Sollten erweiterte Sicherheitstechniken ben tigt werden so kann etwa der Puffer f r Kernel Logs vergr ert werden oder IP Verbindungen verfolgt werden In Umgebungen mit hohen Sicherheitsanforderungen sollte man jedoch die fl chtigen Daten regelm ig sichern Dies dient einerseits zur dauerhaften Speicherung der Informationen andererseits ist es m glich einen Verlauf von Ereignissen zu konstruieren wenn nicht nur eine Version gesichert wird Um das Kapitel ber die forensischen Werkzeuge des Linux Kerns noch einmal kurz und visuell zusammenzufassen sei hier auf die nachfolgende Abbildung 31 verwiesen Virtualisierungsdaten Kommunikations protokolldaten Sitzungsdaten Dateiinhalte Prozessdaten Details Gber Dateien Netzwerkdaten Konfigurations daten Abb 31 Von forensischen Werkzeugen erfasste Datenarten in den Abschnitten des forensischen Pro
160. Manipulationen an IT Anlagen als auch Komponentenversagen in Hard und Software bzw als Folge einer Fehlbedienung durch Anwender Aufgrund der Ausweitung des Anwendungsfeldes beginnt die IT Forensik aus der Sichtweise dieses Leitfadens bereits bei der Planung einer IT Anlage Aufgrund der Ausweitung des Anwendungsfeldes wird deshalb die Hinzunahme der strategischen Vorbereitung m glich Diese schlie t u a die Sicherstellung einer netzwerkweiten korrekten Zeitbasis ein Auch die sichere Erfassung und Speicherung von Ereignisdaten engl Logs wird damit ein Teil der IT Forensik Die Planung des Netzwerks erlangt dabei eine herausragende Bedeutung u a wird hier festgelegt wo Netzwerksensoren aber auch Aufzeichnungssysteme zu platzieren sind um bestimmte Daten erfassen zu k nnen Auch in die Auswahl von Netzwerkkomponenten sollten berlegungen zu den forensischen F higkeiten der Ger te mit einflie en Analog dazu hat auch die Auswahl von Hard und Softwareausstattung sowohl f r Arbeitsstationen als auch Server einen nicht zu untersch tzenden Einfluss auf die Menge und Qualit t der gesammelten forensisch relevanten Daten und damit auf das Ergebnis einer forensischen Untersuchung Diese Studie spiegelt in Ausz gen den Stand der Technik im Bereich IT Forensik wider erhebt aber keinen Anspruch auf Vollst ndigkeit Dieses Feld unterliegt sehr kurzen und starken Ver nderungszyklen Verantwortliche und Durchf hrende in diesem Bereich sind expl
161. Medium DVD R mit Festplattenabbild Festplattenabbild des Clients Beweiszettel Pr fsummen der Daten von Datentr ger 1 Zusammenfassung Die Untersuchung des Intranetservers erbrachte die Information dass der MySQL Dienst durch eine pr parierte SQL Anfrage gezielt zum Absturz gebracht wurde Diese wurde von einem Computer innerhalb des Firmen netzwerkes gesendet Dazu wurde eine mangelhafte berpr fung der Eingabedaten innerhalb eines PHP Scriptes ausgenutzt Bei der Unter suchung des Clients zeigte sich dass das Nutzerkonto des Nutzers Meier diesen Vorfall verursacht hat 284 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Fallbeispiel Aufkl rung eines Vorfalls am T ter Opfer PC Filesharing im RECPLAST Netz In diesem Szenario soll die Aufkl rung eines dreigeteilten Vorfalls dargestellt werden Hierbei wird im ersten Teil festgestellt welcher Computer der eigentliche Vorfallsausl ser ist um im zweiten Teil die festgestellte IT Komponente zu untersuchen Im dritten Teil der Untersuchung wird auf dem Dom nenkontroller in Erfahrung gebracht welcher Nutzer zum Zeitpunkt des Vorfalls auf dem vorfallsausl senden System aktiv war Strategische Vorbereitung Das Szenario beginnt mit der Untersuchung des Firewallservers S2 der Strategische modifizierten RECPLAST Musterlandschaft siehe Abbildung 67 Vorbereitung Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet
162. Methoden anhand von exemplarisch gew hlten Beispielen vorgestellt Leitfaden IT Forensik 85 Detaillierte Vorgehensweise in der IT Forensik Vorgehensweise bei einer forensischen Untersuchung Ein forensischer Vorfall wird nach dem in Kapitel vorgestellten Modell des forensischen Prozesses in mehrere Untersuchungsabschnitte durch die Grup pierung in logisch zusammengeh rige Arbeitsschritte aufgeteilt Aufgrund dieser Aufteilung in abzuarbeitende Untersuchungsabschnitte und unter Zuhilfenahme der in Kapitel vorgestellten allgemeinen Vorgehensweise bei forensischen Untersuchungen wird der nachfolgend aufgef hrte Ablauf einer Untersuchung im Rahmen der IT Forensik vorgeschlagen Dabei findet die in Kapitel vorgestellte CERT Taxonomie Verwendung Die nachfolgende Abbildung 21 stellt den vorgeschlagenen Ablauf vor Abb 21 Vorgehensweise bei einer forensischen Untersuchung Dabei kann grob in drei unterschiedliche Bereiche geteilt werden Ma nahmen die vor der forensischen Untersuchung stattfinden sollten e Ma nahmen die zur eigentlichen forensischen Untersuchung durch 86 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik zuf hren sind e Ma nahmen die nach der eigentlichen Untersuchung stattfinden dies schlie t das Festhalten der Ergebnisse und deren Bewertung ein Diese Arbeitsschritte und ihre Funktion im forensischen Prozess sollen nun nachfolgenden vorgestellt werden Strategische Vorbereitung
163. Pfad zusammengefasst C Users lt Benutzername gt AppData Local Microsoft Windows Explorer Der Inhalt dieses Ordners kann umfangreiche Informationen ber die benutzten Mediendateien eines zu untersuchenden Systems liefern Extraktion von Anwenderdaten robocopy exe Das Befehlszeilenprogramm robocopy ist eine Erweiterung des Befehls xcopy siehe dazu auch Joo08 beide sind jedoch Teil der Standard Installation von Windows Vista Eine Besonderheit stellt die Befehlsoption mir da Durch diese wird eine Verzeichnisstruktur gespiegelt jedoch werden auch die Zieldateien und verzeichnisse gel scht die in der Quelle nicht mehr vorhanden sind D Zusammenfassung der Methoden und Werkzeugeinordnung Um das Kapitel ber die forensischen Werkzeuge von Windows Vista noch einmal kurz und visuell zusammenzufassen sei hier auf die nachfolgende Abbildung 28 verwiesen Rlohdateninhalte Sazungsdaten Kommunikations Konfigurations protokolidaten daten Abb 28 Von den vorgestellten forensischen Werkzeugen erfasst Datenarten in den Abschnitten des forensischen Prozesses f r Windows Vista Leitfaden IT Forensik 121 Detaillierte Vorgehensweise in der IT Forensik Die hier rot markierten Bereiche zeigen an dass es f r die zugeh rigen Datenarten in den jeweiligen Abschnitten des forensischen Prozesses Werkzeuge in Windows Vista identifiziert wurden Ver nderungen und Neuerungen der integrierten forensi
164. RL Dieser befindet sich in HKEY_CURRENT USER Software Microsoft Internet Explorer TypedURLs Hier ist eingetragen welche Internetadressen beim Einsatz des Internet Explorers in das Zielfenster eingetragen wurden In den beschriebenen Dateien befinden sich sehr viele potentiell private Inhalte Beim Auswerten dieser Datei muss der gesetzlich vorgeschriebene Datenschutz unbedingt gew hrleistet werden Outlook Express Der E Mail Klient Outlook Express ist Teil der Standard Installation von Windows XP und wird deshalb an dieser Stelle betrachtet wohingegen die forensischen Eigenschaften der IT Anwendung Microsoft Outlook im Kapitel des Leitfadens vorgestellt werden Outlook Express hinterlegt seine gespeicherten E Mails zusammen mit weiteren Metadaten wie z B der Eingangs bzw Versanddatum Art und Gr e des Anhangs usw in einem besonderen datenbankbasierten Format in mehreren Dateien mit der Endung dbxt welche sich im folgenden Ordner befinden C Dokumente und Einstellungen lt Nutzername gt Lokale Einstellungen Identities GUID Microsoft Outlook Express Dabei ist die GUID eine alphanumerische Kombination welche u a die Netzwerkadresse MAC des betroffenen Computers enth lt Die Open Source Software eindeutig kann die Inhalte dieser Dateien anzeigen und die in den dbx Dateien enthaltenen Daten extrahieren Dies betrifft auch E Mails Metadaten und Anh nge die mit den Funktionen von Microsof
165. Rahmen der Strategischen Vorbereitung UV Untersuchungsziel sind Anwenderdaten und Sitzungsdaten UZ Die Untersuchungsaktion besteht aus dem online Speichern von Logdaten auf das Speichermedium UA Untersuchungsergebnis sind Anwenderdaten und Sitzungsdaten UE Das Datenvolumen h ngt von der Anzahl und L nge der Anfragen ab daher sind genaue Angaben nicht m glich DV Da das MySQL Slow Query Log Teil der normalen Datenbanknutzung ist treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich unter Umst nden DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung vom MySQL Slow Query Log muss dieses Extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM MySQL Query Logs Optional ist es m glich s mtliche Anfragen zu protokollieren Diese Query Logs sind auch eine M glichkeit unautorisierte Datenbankzugriffe anhand der get tigten Eingaben zu protokollieren welche durch SQL Bypass Operationen an unzureichend gesicherten Datenbankservern m glich sind Auch hier wird der Zeitpunkt der Anfrage festgehalten dies ist wieder die Systemzeit Die Query Logs sind im st ndigen Betrieb nur eingeschr nkt nutzbar Durch die hohe zu erwartende Datenmenge ist nur eine kurzzeitige Aktivierung dieser Funktion ratsam Andererseits f hrt die hohe Anzahl vo
166. Rahmen einer forensischen Untersuchung bieten sich zahlreiche Log Dateien als Datenquellen an siehe dazu auch Kapitel Nachdem diese im Abschnitt der Datensammlung gesichert wurden m ssen aus diesem im Verlauf der Untersuchung nutzbringende Daten extrahiert werden Mit diesem Vorgehen besch ftigen sich zahlreiche Publikationen detailliert Als Beispiel sei hier auf BSI07a verwiesen welche die Auswertung zahlreicher unterschiedlicher Log Dateien behandelt Dennoch liegen bei der Auswertung von Log Dateien einige grunds tzliche Arbeitsschritte vor die immer durchgef hrt werden sollten Pr fung der zeitlichen Konsistenz Ist der Zeitverlauf in einer Log Datei nicht Leitfaden IT Forensik 199 Detaillierte Vorgehensweise in der IT Forensik chronologisch und beinhaltet R ckschritte so kann dies ein Indiz f r eine Zeitmanipulation sein siehe dazu auch Kapitel Gleiches gilt auch f r unerwartete Zeitspr nge innerhalb der Log Dateien wenn beispielsweise auf einem stark ausgelasteten Server ber den Zeitraum von einer Woche keine Log Dateien vorliegen Pr fung der syntaktischen Konsistenz Die meisten Log Dateien haben ein starres Format das die Anzahl der Felder pro Eintrag festlegt Entsprechen Eintr ge nicht den Spezifikationen deutet dies ebenfalls auf eine Manipulation hin Solch eine berpr fung findet meistens mithilfe automatisierter Werkzeuge statt die in der Lage sind die Log Dateien in einer f r Menschen lesbaren F
167. Robdatenmbalten eee cecceeeeeeeseeeeeeeteeeeeeaeeees 95 Extraktion von Details ber Daten eeneennennnenn 96 Extraktion der Konfigurationsdaten 0 cceseeseeseeseeeeeeteeeeseeeenees 98 Extraktion der Kommunikationsprotokolldaten 99 Extraktion von Prozessdaten anne 101 Extraktion von Sttzungsd ten enge nen 101 Extraktion von Anwenderdaten 103 Zusammenfassung der Methoden und Werkzeugeinordnung 107 Die Erweiterung der Methoden durch den Einsatz des Betriebssystems Microsoft Windows Server EE EE 107 Ermittlung von Rohdatenmbalten eee eeeeeeeeteeeeneeeeeneeeneeeees 108 Ermittlung von Konfgeuratponsdaten cc eseeseeseeseceteeeeeeneeeneeees 109 Ermittlung von Kommunikationsprotokolldaten 109 Zusammenfassung der Methoden und Werkzeugeinordnung 109 Ver nderungen und Neuerungen der integrierten forensischen Methoden von MS Windows Vista im Vergleich zu MS Windows XP 110 Allgemeine nderungen durch den Einsatz der neuen Betriebssystemgeneration Windows Vista einschlie lich Windows Server 2008 EE 111 Ermittlung von Details ber Daten uceseensenneessnennnnn 116 Extraktion der Konftoeuraponsdaten 117 Extraktion von Sitzungsdaten nennen 118 Extraktion von Amowenderdaten 121 Zusammenfassung der Methoden und Werkzeugeinordnung 121 Ver nderungen und Neuerungen der integrierten forensischen Methoden von MS Windo
168. Security ID SID des Nutzers benannt ist Diese Security ID wird f r jeden Nutzer eines Systems erzeugt und kann aus der systemweiten Registrierungsdatei engl Registry siehe dazu auch die Aus f hrungen zu Regedit innerhalb dieses Kapitels ausgelesen werden Im Papierkorb werden also die gel schten Dateien und Verzeichnisse nach Nutzer sortiert gef hrt Wenn der Papierkorb komplett geleert wird werden alle Eintr ge in der entsprechenden FAT bzw MFT bzgl des Papierkorbinhalts als gel scht markiert Die INFO2 Datei wird auf ihre Vorgabegr e reduziert 20 Bytes Jedoch befin den sich im File Slack siehe dazu Kapitel der NFO2 Datei eventuell die Eintr ge der gel schten Daten Aus einem Datentr gerabbild sind die gel schten Daten somit teilweise wiederherstellbar Selbst wenn die INFO2 Datei nicht wieder rekonstruiert werden kann besteht die M glichkeit die Dateien durch das im Kapitel beschriebene File Carving zu erhalten Wenn ein Nutzer einzelne Dateien im Papierkorb l scht z B durch Dr cken der Entf Taste bei einer markierten Datei im Papierkorb wird der entsprechende 104 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Eintrag in der INFO2 Datei nicht gel scht sondern die ersten beiden Bytes des Eintrags auf 00 gesetzt und damit als gel scht markiert Die f r den Nutzer unsichtbaren Verzeichnisse auf der Basis der SID bleiben jedoch erhalten Laut der f r diesen Leitfaden getroffenen F
169. Verf lschung durch absichtlich manipulierte Systemprogramme zu verhindern Die zur Erfassung der Liste potentiell erforderlichen Manipulationen am lokalen Dateisystem Erstellung neuer Dateien und Ver nderung von MAC Zeiten von Dateien und Ordnern sind detailliert zu dokumentieren ber die Ausgaben der eingesetzten forensischen Werkzeuge sollte dazu eine geeignete kryptographische Hashsumme erzeugt werden Die Authentizit tssicherung erfolgt ber das Vier Augen Prinzip im Rahmen der prozessbegleitenden Dokumentation In diesem Untersuchungsschritt ergibt sich eine Datenschutzrelevanz deshalb sind die in diesem Schritt gewonnenen Daten zus tzlich durch den Einsatz eines geeigneten Programms zu verschl sseln Wahrung des Sicherheitsaspekts der Vertraulichkeit siehe dazu auch Kapitel Erfassung der am System ge ffneten Netzwerkverbindungen Sockets Alle derzeit am System offenen Netzwerkverbindungen sind zu erfassen Hierzu m ssen bzgl der Datenarten Kommunikationsprotokolldaten erfasst werden Wann immer m glich sollten f r die Erfassung statisch kompilierte Programme von einem schreibgesch tzten Datentr ger zum Einsatz kommen um eine Verf lschung durch Malware zu verhindern Die zur Erfassung der Liste potentiell erforderlichen Manipulationen am lokalen Dateisystem Erstellung neuer Dateien und Ver nderung von MAC Zeiten von Dateien und Ordnern sind detailliert zu dokumentieren In diesem Untersuchungsschritt ergibt sich gef e
170. Verlaufsprotokoll muss ein auf die Zielgruppe zu geschnittener Gesamtbericht erstellt werden Dies kann beispielsweise ein technischer Bericht f r die Administration ein Bericht ber die wirtschaftlichen Implikationen f r das Management oder ein Ablaufs und Ergebnisdokument zur Einleitung juristischer Schritte sein 256 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Basisszenario Support Case Doppelt vergebene IP Adresse In diesem Szenario wurde durch ein Computersystem ein IP Adresskonflikt gemeldet Da eine doppelt vergebene IP Adresse einen zuverl ssigen betrieb des Computersystems verhindert ist eine Aufkl rung sinnvoll Je nach Ausstattung der Systemumgebung sind verschiedene Vorgehensweisen m glich Hier wird einerseits der digitale Fahrtenschreiber eingesetzt andererseits werden auch die M glichkeiten von bestimmten Netzkoppelelementen genutzt In bereinstim mung mit der Vorgehensweise bei einer forensischen Untersuchung aus Kapitel werden zun chst die relevanten Methoden aus den grundlegenden Methoden anhand des forensischen Modells aus Kapitel identifiziert siehe Tabelle 42 Relevante Methoden BS Ipconfig Windows Client show ip arp show mac address Betriebssystem table Cisco IOS FS Dateisystem EME Explizite Methoden der Einbruchserkennung ITA DHCP Server IT Anwendungen SB Digitaler Fahrtenschreiber Skalierung von Beweism glichkeiten DBA tshark Datenb
171. Vorstellung von ausgew hlten forensischen Methoden des Betriebssystems Microsoft Windows XP zur Datengewinnung von den hardwarenahesten zu den abstrakten Daten Sammlung von Hardwaredaten Windows XP bietet mehrere Methoden die im Abschnitt der Datensammlung genutzt werden k nnen Einige davon sind wiederum in der operationalen Vorbereitung hilfreich um weitere Datenquellen ausfindig zu machen Ausserdem sind diese Daten beim Aufsp ren von hardwarebedingten Vorf llen n tzlich Im folgenden sollen einige Ma nahmen vorgestellt werden die dazu geeignet sind Hardwaredaten zu sammeln SYSTEMINFO Dieses Konsolen Werkzeug ist dazu in der Lage verschiedene Datenarten zu 94 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik sichern Hierzu geh ren die Hardwaredaten des Computersystems sowie Konfigurationsdaten des Betriebsystems Hierzu geh ren Sicherheitsinformatio nen Product ID Hardwareeigenschaften wie die Gr e des Arbeitsspeichers und der Massenspeicher und Netzwerkkarten aber auch die installierten Hotfixes Weiterhin wird die Netzwerkkonfiguration erfasst Hinzu kommen Daten ber die verwendete Netzwerkdom ne und den benutzten Anmeldeserver WINMSD Neben ausf hrlicheren Angaben zur verbauten Hardware liefert das grafische Werkzeug WinMSD Daten zu Treibern und Hardwarekonflikten Die Liste der Autostart Programme wie auch aktive Prozesse Dienste verbundene Netzlauf werke oder Daten der Windows
172. Zeitpunkt der An und Abmeldung der Sitzungsdauer und dem Computer bzw Terminal von wo aus sich eingeloggt wurde Dar ber hinaus sind Daten ber die Startzeitpunkte des untersuchten Computers darin zu finden Die Notwendigkeit diese Daten mittels SHA256 Hash gegen unentdeckte Manipulation zu sch tzen sollte dem Leser sofort ersichtlich sein Nachdem die eigentliche Datensammlung nun abgeschlossen ist muss zun chst script mit STRG D oder dem Befehl exit beendet werden Nun kann der USB Speicher mittels umount mnt ausgeh ngt werden Sobald der Schreib vorgang vollst ndig abgeschlossen ist kann dieser vom Computer entfernt werden Mit dem Abmelden vom untersuchten System ist die Datensammlung nun abgeschlossen Sollte der USB Speicher einen Schreibschutzschalter besitzen so ist dieser nun auf schreibgesch tzt umzulegen Untersuchung Im Abschnitt der Untersuchung werden die gesammelten Daten zun chst gesichtet Untersuchung und hinsichtlich ihrer Brauchbarkeit f r die Aufkl rung des Vorfalls bewertet Hardwaredaten siehe dazu auch Tabelle 36 Sitzungsdaten Anwenderdaten Leitfaden IT Forensik 251 Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 36 Ma nahmen d
173. Zustand vor dem Auftreten des Vorfalls herstellen alle Auswirkungen des Vorfalls beseitigen also eine De Eskalation und damit den Normalbetrieb sicherstellen Die Komplexit t einer forensischen Untersuchung erfordert oftmals Untersuchungen in jedem der drei vorgestellten Bereiche Selbst im nachfolgenden Normalbetrieb k nnen IT forensische Untersuchungen von N ten sein um das Gesamtbild des Vorfalls zu vervollst ndigen Auch sollten bereits vor dem Eintreffen eines Vorfalls Ma nahmen der strategischen Vorbereitung getroffen werden welche einen erheblichen Einfluss auf die Qualit t und den Umfang der Gewinnung von Daten ber den Vorfall haben Die nachfolgende Abbildung 1 verdeutlicht diese zeitliche Einordnung der IT Forensik in das Notfallmanagement Normal Krisen betrieb reaktion Notlbetrieb Normalbetrieb Sofortma nahmen I I I I I I I I Wiederanlauf I I Abb 1 Zeitliche Einordnung der Krisenreaktion nach R s03 mit Hinzunahme der IT Forensik nn Prgms Forensik Ms lassen Oftmals stehen sich nach einem Vorfall jedoch unterschiedliche Interessen bei der Reaktion auf einen Sicherheitsvorfall und der IT Forensik gegen ber Die Reaktion auf einen Sicherheitsvorfall soll beispielsweise nach Fre07 eine schnelle Best tigung liefern ob ein Vorfall aufgetreten ist e einen Vorfall erkennen und eind mmen eine Zuordnung erm glichen wer und was betroffen ist e Au
174. aR Bundesamt fiir Sicherheit in der Informationstechnik Leitfaden IT Forensik Version 1 0 1 Marz 2011 Bundesamt f r Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel 49 228 99 9582 0 E Mail If itforensik bsi bund de Internet https www bsi bund de Bundesamt f r Sicherheit in der Informationstechnik 2010 Inhaltsverzeichnis Einfuhrung ae ernennen 8 Was leistet der vorliegende LL emttaden eee cceccceceseceeeceeeteeeeeeteeeeesneeeeeseaeees 9 Strukturierung des Leittadens se near 10 Begriffsfindung und Einordnung der IT Forensik in ausgew hlte Prozesse der IT Sicherheit nn rer 13 Anforderungen an eine forensische Untersuchung 22 Allgemeine Vorgehensweise bei einer forensischen Untersuchung 24 Die beweissichere Anfertigung eines Datentr gerabbilds forensische D plikation EE 26 Die CERT Taxonomie im Rahmen einer forensischen Untersuchung 29 Ausgew hlte Fragestellungen beim Ablauf eines Vorfalls 33 Die Bedeutung der Zeit u nee genen 38 Aspekte des Datenschutzes nun aan 42 Organisatorische Ma nahmen 20 Edge 43 Die Bedeutung der strategischen Vorbereitung bei einer forensischen Untersuchung tl een 44 Planung und Dokumentation der IT Anlage unter Beachtung der IT Forensik NEE ee 45 Die Einrichtung und der Betrieb eines zentralen Logservers 49 Der Einsatz von Intrusion Detection Systemen in der IT
175. abei manuell im Verdachtsfall angesto en Dieses Werkzeug untersucht verschiedene Systemdateien Logdateien und aktuelle Prozessdaten um Dis krepanzen und Ver nderungen aufzusp ren Zudem ermittelt es ob eine Netzwerkschnittstelle sich im Promiscuous Modus befindet was auf eine den Versuch des netzwerkweiten Verkehrsmitschnitts hindeutet und ob Spuren be kannter loadable Kernel Module Rootkits vorhanden sind Des Weiteren wird nach ge nderten Logeintr gen gesucht dabei wird insbesondere die Logdatei wtmp des Linux Systems untersucht welche Login und Logoutvorg nge protokolliert siehe auch Kapitel Diese ist darin begr ndet dass als Resultat eines erfolgreichen Rootkitvorfalles h ufig versucht wird in Protokolldaten zu verwischen Weiterhin untersucht chkrootkit die Eintr ge im proc Pseudo dateisystem siehe Kapitel nach Eintr gen welche vom Programm ps und vom Systemaufruf readdir verborgen worden sind Ein Suchlauf von chkrootkit mit negativem Ergebnis stellt jedoch keine Sicherheit dar dass keine Rootkits auf dem System vorhanden sind Jedoch kann es dem Forensiker einen m glichen weiteren Untersuchungsweg aufzeigen wenn ein Rootkitvorfall erkannt wurde Die Ergebnisse einer Datensammlung unter Einsatz des laufenden Systems und der vorhandenen Programme sind dabei nicht vertrauensw rdig Auch der Einsatz von statisch kompilierten Programmen wird potentiell falsche Resultate liefern wenn der Betriebssystemkern selbst kom
176. abei n tigen Ma nahmen im Sitzungsdaten Untersuchungsabschnitt BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details tiber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 66 Ma nahmen der Untersuchung Leitfaden IT Forensik 287 Strategische Vorbereitung Operationale Vorbereitung Einsatz der IT Forensik anhand ausgew hlter Szenarien Bei dieser Untersuchung der Firewall Logdaten des Syslogs konnte ein Computer identifiziert werden von dem wiederholt Verbindungen zu Tauschb rsen hergestellt wurden Dies wurde durch den wiederholten Zugriff auf bliche Ports von Filesharing Netzwerken deutlich Diese IT Komponente wurde in einer weiteren Untersuchung bearbeitet Untersuchung auf dem verd chtigen System Strategische Vorbereitung Auf dem verd chtigen System einen Client aus dem Bereich C4 siehe Abbildung 68 fand keine strategische Vorbereitung statt die weitere M glich keiten f r die Untersuchung erm glichen w rde Verwaltung Bad Godesberg w pa Vertriebsb ros T3 8 vi Betrieb Bonn Beuel NdA Abb 68 Modifizierte RECPLAST Musterlandschaft Operationale Vorbereitung Zu Beginn der Untersuchung war das System aktiv und ein Benutzer angemeldet Daher wurde in der operationalen Vorbereitung entschieden dass hier zun chst Prozes
177. able Image Format EXIF wurde von der Japan Electronic Industries Development Association JEIDA zum Einsatz in Digitalkameras 170 http www sleuthkit org 171 bspw MP3 Tags mit Daten u a ber Interpret zugeh riges Album Ver ffentlichungsdatum usw 172 http www kodak com global plugins acrobat en service digCam exifStandard2 pdf 204 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik entwickelt Dieses Datenfeld findet sich h ufig im Einsatz um zus tzliche Daten ber die Eigenschaften eines Digitalfotos mitzuf hren Exemplarisch aus gew hlte potentiell in Digitalfoto Dateien enthaltene Daten umfassen u a siehe dazu auch Jei02 Datums und Zeitdaten Digitalkameras f hren h ufig eine vom Nutzer einzustellende Zeitbasis und betten die Erstellungszeit in die Digitalfoto Datei ein e Kameraeinstellungen Dieses kann sowohl statische Daten Hersteller Modellrevision usw als auch Daten enthalten welche f r u U jedes Foto verschieden sind bspw Ausrichtung Verschlusszeiten Fokus e Vorschaubild Dieses Vorschaubild ist h ufig eine verkleinerte Darstellung des eigentlichen Fotos zum Einsatz auf dem Kameradisplay bzw zur Vorschau in Bildbetrachtern und als relativ neuen Eintrag auch e Geolocation Kameras mit eingebautem GPS Empf nger k nnen hier auch den Ort hinterlegen an welchem das Bild aufgenommen wurde Aus diesen beispielhaft ausgew hlten Eigenschaften ist
178. achfolgend der Datenuntersuchung von Interesse Die nachfolgende Tabelle 19 fasst die im Anschluss beschriebenen exemplarisch gew hlten Eigenschaften und ihre Einordnung in das Modell des forensischen Prozesses zusammen 134 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik FS Dateisystem SV Strategische Vorbereitung OV Operationale Vorbereitung DS Informationen des Master File Table der Mac Zeiten Control Datensammlung Lists Alternate Data Streams Partition Boot Sector US Dateiwiederherstellung Untersuchung DA Datenanalyse DO Dokumentation Tabelle 19 Zusammenfassung der forensischen Eigenschaften des NTFS Dateisystems Exemplarisch werden nun nachfolgend ausgew hlte forensische Methoden des NTFS Dateisystems unter Verwendung der Datenarten aus Kapitel und der Abschnitte des forensischen Prozesses aus Kapitel vorgestellt Extraktion von Details Uber Daten Wie schon in der allgemeinen Einf hrung ber Dateisysteme im Kapitel beschrieben wurde verwaltet das Dateisystem die Daten ber die in ihm gespeicherten Dateien in Tabellen Eine im NTFS Dateisystem besonders bedeutsame Tabelle ist die Master File Table Die Master File Table MFT Die Master File Table enth lt sowohl Strukturen zur Speicherorganisation als auch die Verwaltung von Rechten von Zeiten und von Attributen Strukturen zur Speicherorganisation Die Master File Table d
179. acking On in der Konfiguration des Apache aktiviert werden Die Logdatei selbst wird ber die Option CustomLog festgelegt Ein m glicher Eintrag ist CustomLog logs clickstream fcookie n Yor t Auch bei diesen Logdaten ist der Datenschutz zu beachten Nachdem die erhobenen Daten im Abschnitt der Datensammlung gesichert wurden k nnen diese im Abschnitt der Untersuchung ausgewertet werden Dies wird im Folgenden anhand von access log und error log vorgestellt da diese von nahezu allen Apache Installationen erstellt wird Die error log ist bei der Diagnose von Fehlfunktionen hilfreich Dies ist insbesondere auch f r den Einsatz der IT Forensik im Supportfall vorteilhaft In der Standardkonfiguration des Apache Webservers der Linux Distribution Debian Etch werden die Logdaten einmal w chentlich archiviert Insgesamt werden 52 Archivdateien vorgehalten die Logdaten sind somit f r ein gesamtes Jahr vorhanden Dies ist gegebenenfalls entsprechend der rechtlichen Vorgaben anzupassen Der Zugriff wird automatisch auf den Nutzer root und die Gruppe adm beschr nkt Auf Microsoft Windows Systemen ist gegebenenfalls eine manuelle Archivierung und Zugriffsbeschr nkung notwendig Sun Sep 14 19 21 57 2008 notice Apache 2 2 3 Debian mod_python 3 2 10 Python 2 4 4 PHP 5 2 0 8 etch11 mod_perl 2 0 2 Perl v5 8 8 configured resuming normal operations Sun Sep 21 23 00 53 2008 notice caught SIGTERM shutting down
180. ahmen befanden Jedoch wurde dieser Zustand erst nach der Aufnahme eines weiteren Bildes bemerkt Operationale Vorbereitung Im Rahmen der operationalen Vorbereitung wurde die forensische Werkzeug sammlung X Ways Forensics und ein USB nach SD Card Adapter bereit gestellt da ein Fehlverhalten der Kamera nicht auszuschlie en war Um die auf dem Datentr ger enthaltenen Daten nicht weiter zu gef hrden wurde das externe USB Leseger t anstatt der Datenverbindung mit Adapterkabel zwischen Kamera und forensischer Workstation gew hlt Der hardwareseitig von der SD Karte vorgesehene Schreibschutz wurde aktiviert Datensammlung F r die Erzeugung eines Datentr gerabbildes unter Verwendung der forensischen Duplikation siehe dazu auch Kapitel wurde die von X Ways Forensics bereitgestellte Funktionalit t Datentr ger klonen gew hlt siehe nachfolgende Abbildung 53 Datentr ger klonen Sektoren kopieren Quelle Datentr ger Wi J Datentr ger ganz kopieren Wechselmedium 1 ChipBankSD MM Reader 1 Ziel Roh Image Datei vc _ C Defekte Sektoren meiden Zu berspringen UNREADABLESECTOR o C Simultane E44 zum Beschleunigen wenn Quelle und Ziel unterschiedliche physische Datentr ger sind Abb 53 Auswahl der Optionen f r die forensische Duplikaton Auff llig ist dabei dass in dem Programm eine automatische Generation von kryptographischen Hashsummen zur Sicherung der Integrit t nicht vorgese
181. ahrtenschreibers bildet Debian Linux Version 5 0 Lenny Zudem wurden die f r den Einsatzzweck berfl ssigen Software pakete vor allem Compiler entfernt Zus tzlich wurden die bridge utils truecrypt sowie tshark installiert Die Netzwerkinterfaces ethO sowie eth1 sind dabei zu einer Netzwerkbr cke engl Bridge br0 zusammen gefasst Um f r einen Angreifer unerkennbar zu bleiben wurde die Unterst tzung f r das Spanning Tree Protokoll deaktiviert welches Meldungen im Netzwerk zur Folge h tte Die erste Konsole ttyl wurde so eingerichtet dass dort automatisch der Nutzer Iftb angemeldet wird und dieser dann das Shellscript des digitalen Fahrtenschreibers startet 223 http www debian org 322 Leitfaden IT Forensik Anhang A Nach dem Start der Live CD wird zun chst die Bridge gestartet damit leitet der digitale Fahrtenschreiber eingehende Netzwerkpakete an das entsprechende Netzwerkinterface weiter Danach wird automatisch das Shellscript gestartet welches zuerst nach der zu verwendenden Sprache fragt Dabei steht derzeit eine deutsche und eine englische Variante der Dialoge zur Verf gung Das Script ist jedoch so ausgelegt dass weitere Sprachen problemlos eingebunden werden k nnen Im Anschluss wird der Untersuchende aufgefordert die Systemzeit manuell zu berpr fen Falls diese nicht stimmt kann sie angepasst werden Eine automatische Zeiteinstellung ist bis
182. als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM Verteilte Dateisysteme Verteilte Dateisysteme finden vor allem in gr eren Computernetzen Ver wendung Der Name l sst hier vermuten dass es sich bei den nachfolgend be schriebenen Systemen um Dateisysteme im Sinne des Kapitel handelt Auch wenn die vorgestellten verteilten Dateisysteme einige der eingef hrten Eigenschaften von Dateisystemen haben wie z B die Verwaltung von Rechten oder die Verwaltung von Attributen bzw von Zeit so wird die eigentliche Datenspeicherung einem jeweils lokal vorhandenem Dateisystem berlassen Deshalb sind die verteilten Dateisysteme im Sinne in die grundlegende Methode der IT Anwendung ITA einzuordnen Einige Vertreter solcher verteilten datenbank basierten Systeme sollen in diesem Kapitel berblicksweise vorgestellt werden und ausgew hlte forensisch inter essante Eigenschaften beschrieben werden Konkret werden die Systeme Microsoft DFS Active Directory Novell e Directory und Open LDAP betrachtet Microsoft DFS Microsofts DFS wurde f r den Einsatz auf Microsoft Windows Servern konzipiert Es setzt zwingend ein NTFS Dateisystem voraus Der Name DFS suggeriert eigentlich dass es sich hierbei um ein Dateisystem engl Filesystem FS handelt Vielmehr jedoch ist es ein Dienst der f r die Darstellung bzw Verteilung von Dateien zust ndig ist Hierbei handelt es sich um eine verteilte Architektur Clie
183. anz der Lage von Managementinformationen welche aufbereitet werden sollen anhand von Authentifizierungsdaten einer Erlaubnis zur Durchf hrung einer Operation und vom MIB unterst tzten Informationen F r detailliertere Informationen siehe dazu Sta98 F r die Absicherung der forensisch gewonnenen Daten bedeutsam ist das in SNMPv3 integrierte benutzerbasierte Sicherheitsmodell engl User based Security Model USM Dieses Sicherheitsmodell siehe dazu auch Sta98 bietet u a Mechanismen zum Schutz gegen Modifikation der Daten eine nicht autorisierte Instanz k nnte alle Management Parameter u a zur Konfiguration zu Betriebsparametern und der Verwaltung ndern Damit wird eine Wahrung des Sicherheitsa spekts der Integrit t sichergestellt siehe dazu auch die Ausf hrungen in Kapitel Maskerade Management Operationen welche f r eine Instanz nicht zul ssig sind werden durch das Vort uschen einer anderen Instanz ausgef hrt Damit wird eine Wahrung des Sicherheitsaspekts der Authentizit t sichergestellt siehe dazu auch die Ausf hrungen in Kapitel Offenlegung Eine Instanz k nnte den Datenaustausch zwischen dem Manager und einem Agenten beobachten und Werte von Objekten sowie das Auftreten von Ereignissen mitlesen beispielsweise eine Passwort nderung Damit wird eine Wahrung des Sicherheitsaspekts der Vertraulichkeit sichergestellt siehe dazu auch die Ausf hrungen in Kapitel Die Sicherstellung von Integrit
184. apitel Extraktion von Dateien Das NTFS Dateisystem bietet einige M glichkeiten die das Wiederherstellen von gel schten oder verlorenen gegangenen Daten unterst tzen Struktur der Speicherorganisation Mit Hilfe der in der Master File Table gespeicherten Informationen ber den physikalischen Ort der zu extrahierenden Daten k nnen die zugeh rigen Sektoren ausgelesen werden Auf diese Weise lassen sich u a auch als gel scht markierte Dateien rekonstruieren Das Dateisystem liefert hierzu aufgrund seines Aufbaus die Mechanismen welche durch die Anwendung eines forensischen Werkzeugs benutzt werden k nnen Dazu sei zun chst einmal der regul re L schvorgang beschrieben um auf nachfolgend auf Wiederherstellungsstrategien eingehen zu k nnen Der L schvorgang enth lt zwei Aktionen Eine Markierung engl Flag in der MFT f r den in Kapitel beschriebenen Dateieintrag engl file record wird auf unbenutzt engl Unused gesetzt In der Systemdatei Bitmap welche alle verf gbaren Bl cke cluster verwaltet wird f r alle betroffenen Dateneintr ge engl runs der zu l schenden Datei der Status von belegt durch eine 1 repr sentiert auf verf gbar durch eine 0 repr sentiert ge ndert Wie daraus ersichtlich ist werden beim eigentlichen L schvorgang einer Datei deren Datenbestand und die Dateiattribute nicht gel scht sondern nur als verf gbar markiert Daraus ergibt sich auch die M glichkeit e
185. as an B2 da die Firewall diverse Anfragen ablehnt Anforderungen an die forensische Workstation Eine weitere Ma nahme der strategischen Vorbereitung ist die Einrichtung der forensischen Workstation zur Datenanalyse Diese ist zu dokumentieren Die genauen Anforderungen hinsichtlich der dort eingesetzten Werkzeuge h ngen von den Gegebenheiten der Systemlandschaft ab diese sollten bereits dokumentiert worden sein siehe Kapitel Dar ber hinaus gibt es einige Grundlagen die beachtet werden sollten 1 Einschr nkung der Rechte auf das vom jeweiligen Arbeitsschritt ben tigte Ma 2 berpr fbarkeit der Integrit t des Untersuchungssystems 3 Verwendung eines Schreibschutzes f r das jeweilige Medium bei der Datensammlung 4 Heterogenit t bez glich Untersuchungssystem und untersuchtem System Die Einschr nkung der Rechte auf das vom jeweiligen Arbeitsschritt ben tigte Ma dient vor allem der Wahrung der Integrit t der forensischen Workstation Sollte bei der Untersuchung versehentlich z B Schadcode vom untersuchten System zur Ausf hrung gebracht werden so hilft dies bei der Begrenzung der daraus resultierenden Sch den Im Idealfall sind die Zugriffsrechte f r jedes Werkzeug derartig zu beschr nken dass dieses ausschlie lich auf die ben tigten Daten bzw Dateien sowie Ressourcen zugreifen kann Die berpr fbarkeit der Integrit t des Untersuchungssystems ist n tig damit die Untersuchungsergebnisse verwertbar sind Dies gilt i
186. at 169http sourceforge net projects zeitline Leitfaden IT Forensik 203 Datenfelder in Anwenderdaten EXIF Detaillierte Vorgehensweise in der IT Forensik der forensischen Werkzeugsammlung SleuthKit Zus tzlich ist das Programm modular aufgebaut eigene Filter konnen somit leicht nachgeriistet werden Dar ber hinaus k nnen auch selbstdefinierte Ereignisse in den Zeitverlauf eingef gt werden Dadurch ist Zeitline prinzipiell in der Lage verschiedene Datenarten zu bedienen wobei der Fokus auf Sitzungsdaten und Details ber Daten wie z B MAC Zeiten liegt Danach k nnen in diesen Log Abschnitten Eintr ge zu gr eren Ereignissen zusammengefasst werden Die Eintr ge unterschiedlicher Log Dateien k nnen dann in eine einzige Zeitlinie berf hrt werden deren zeitliche Sortierung von Zeitline bernommen wird Zur Analyse bietet Zeitline weiterhin zahlreiche M glichkeiten zur Suche in Log Abschnitten und zur Filterung von Ereignissen nach Zeitstempel und Beschreibung Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug Zeitline handelt es sich um eine Datenaus wertungssoftware Zeitline l uft dabei auf einem Computer HW unter Linux oder Windows SW Dieses Werkzeug untersucht lokal auf dem zu unter suchenden System oder dessen Teilkomponenten wie einer Festplatte oder einem Wechseldatentr ger UO Eine Aktivierung ist nicht notwendig AE Als Unter suchungsvoraussetzung lie
187. atenbank engl Registry siehe dazu auch Kapitel und Kapitel als Schl ssel 17 HKEY_ LOCAL_MACHINE SYSTEM ControlSet001 Control TimeZoneInformation siehe Leitfaden IT Forensik 39 Strategische Vorbereitung beachten Einf hrung gespeichert Auf linux basierten Systemen ist die Zeitzone in der Datei timezone im Verzeichnis etc gespeichert Dabei wird als Normzeitzone die Greenwich Mean Time GMT Zone benutzt zu welcher in westlicher Richtung die Stunden addiert GMT X und von welcher in stlicher Richtung die Stunden GMT X abgezogen werden m ssen Des Weiteren gilt es eventuelle Sonderzeiten wie z B die Sommerzeit engl Daylight Savings Time zu ber cksichtigen um eine Aussage ber die tats chliche Zeit in einem System und den von ihm erstellten Objekten treffen zu k nnen Eine Sonderstellung nimmt die durch das NTP Protokoll verbreitete Netzwerkzeit ein Hier wird nur die koordinierte Weltzeit engl UTC ohne jegliche Zeitzoneninformationen bertragen Die Korrektur der Zeiten an die jeweilige Zeitzone muss also hier durch den Untersuchenden erfolgen Wie aus den Angaben ersichtlich ist differiert der Aufbau der Systemzeit sowohl bez glich des daf r reservierten Speicherplatzes als auch der Interpretation der Daten erheblich Deshalb muss sowohl das Betriebssystem das verwendete Dateisystem und evtl die erzeugende Anwendung des untersuchten Computersystems beachtet werden siehe dazu auch Kapitel
188. ationsdateien festgesetzten Regel s tze gelten In Gar05 werden die Grundlagen zur Platzierung von Sensoren Taps sowie der Aufbau von Regeln beschrieben Es werden dabei drei Standorttypen von Taps unterschieden e Nat rliche Sammelpunkte e K nstliche Sammelpunkte e Grenzen zwischen vertrauensw rdigen und nicht vertrauensw rdigen Zonen des Intranets Nat rliche Sammelpunkte sind Stellen in der Netzwerktopologie an denen ein nur ein m glicher Datenpfad existiert Dies ist z B bei der Internet Verbindung des RECPLAST Netzes siehe Kapitel der Fall daher ist die Firewall N2 ein geeigneter Standort f r einen IDS Sensor siehe nachfolgende Abbildung 38 gleiches gilt f r die Positionen Pl und P4 in der Abbildung 38 K nstliche Sammelpunkte entstehen aufgrund der logischen Topologie des Netz werkes Wenn bestimmte Server von den Clients durch Router oder Switches ge trennt sind entstehen solche Punkte Im RECPLAST Netz ist ein solcher Punkt die Netzverbindung zum Segment mit dem zentralen Logserver sowie dem Backupserver Grenzen zwischen vertrauensw rdigen und nicht vertrauensw rdigen Zonen des Intranets sind mit nat rlichen Sammelpunkten vergleichbar sie sind jedoch innerhalb des Netzwerkes zu finden Eine derartige Grenze existiert im RECPLAST Netz zwischen N3 und N4 sowie zwischen N5 und N8 P2 bzw P3 in Abbildung 38 da hier ein Netzsegment mit hohem Schutzbedarf mit dem rest lichen Unternehmensnetz verbunden i
189. auf getreten Abb 25 Vergleich von cacls und icacls Das Kommando icacls gibt zus tzlich zum Leserecht bestimmter Dateien auch an ob f r diese das Recht zum Ausf hren gesetzt ist Extraktion der Konfigurationsdaten PnP Dienstprogramm Mit dem Befehlszeilenprogramm pnputil k nnen alle Drittanbieter Treiberpakete aufgelistet werden siehe dazu auch Fri08 Hierdurch kann potentiell vorhandener Schadcode auff llig werden welcher sich als Treiber in das System eingebracht hat bzw es lassen sich Systemmanipulationen erkennen pnputil e zeigt alle Treiber von Drittherstellern im Driver Store an Programm welche sich als Treiber tarnen k nnten durch die Auswertung der ermittelten Informationen identifiziert werden wbadmin Dieses Kommando verwaltet die Datensicherung und f hrt Backups durch siehe dazu auch Fri08 Das Anfertigen von Datensicherungen ist der strategischen Vorbereitungsphase zuzuordnen und kann potentiell das Weiterarbeiten nach einem Vorfall gew hrleisten wbadmin start systemstatebackup backuptarget Laufwerkbuchstabe quiet Sichert den System State u a Systemdateien Registrierung und Active Directory auf das angegebene Laufwerk auditpol Dieser Befehl konfiguriert und zeigt die detaillierten berwachungsrichtlinien an siehe dazu auch Fri08 und Zeh08 Die Konfiguration der berwachungs richtlinien ist der strategischen Vorbereitungsphase zuzuordnen und kann zu deutlich mehr Informationen
190. auf dem forensischen Duplikat eine erste Sichtung vorgenommen Die SD Karte war dabei scheinbar gel scht nur die Metadaten waren vorhanden siehe nachfolgende Abbildung 56 242 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Las X Ways Forensics Partition 1 ep Datei Bearbeiten Suchen Position Ansicht Extras Specialist Optionen Fenster Hilfe 8X Deusez Be a 2 aA ame Semo Ai roe RT 1 ege EEN EEN SRE Falldaten sd_abbild dd Schlupfspeicher Freier Speicher sandisk_ReneSchult img sandisk_ReneSchult img Partiti e ae Yez e Am 11 Sektor Kommentar Stammverzeichnis 4 0KB 3848 Boot Sektor 16 0KB D Brachliegender Speicher Dateisystemschlupf 35KB 1957400 FAT 1 0 9 MB 32 FAT 2 0 9 MB 1940 Freier Speicher 257 MB Gew hlt 0 Dateien 1 Verz 4 0 KB Partition _ Datei Vorschau Details Galerie Kalender Legende SJ Sync a 0 Offset BZ SSES SZ BZ Ek RS SZ sandisk_ReneSchul 27 frei 00000000 EB 58 90 6D 6B 64 6F 73 66 73 00 00 02 08 20 00 Xinkdosfs 3 Dateisystem FAT32 00000010 02 00 00 00 00 F8 00 00 3F 00 20 00 00 00 00 00 o Schredbechute Modus 00000020 1E DE 1D 00 74 07 00 00 00 00 00 00 02 00 0000 br 00000030 01 00 06 00 00 00 00 00 op 00 00 00 00 00 00 00 EE 00000040 00 00 29 2A OA ES 47 20 20 20 20 20 20 20 20 20 8G 00000050 20 20 46 41 54 33 32 20 20 20 0E 1F BE 77 7CAC FAT32 sw Cluster Nr A 00000060 22 CO 74 OB 56 B4
191. bbildung 35 verdeutlicht die Zuordnung der forensischen Methoden des Dateisystems FAT als Teil der grundlegenden Methode des Dateisystems FS 116 Die Hauptspeicheranalyse liegt au erhalb des vorliegenden Leitfadens es wird auf weiterf hrende Literatur u a Ges08 verwiesen 117 http www sleuthkit org sleuthkit man icat html Leitfaden IT Forensik 151 Hauptspeicher analyse Techniken erforderlich Detaillierte Vorgehensweise in der IT Forensik Rohdateninhalte Kommunikations protokolidaten Abb 35 Einordnung des FAT Dateisystems in die Datenarten und die Abschnitte des forensischen Prozesses Das Dateisystem FAT ist in den Abschnitt der Datensammlung im forensischen Prozess bzgl der Gewinnung von Details ber Daten und in den Abschnitt der Untersuchung bzgl der Gewinnung von Rohdateninhalten einzuordnen Die Dateisysteme EXT2 EXT3 EXT4 sowie EXT3 cow Die Dateisystemfamilie EXT wird sehr h ufig f r Linux Betriebssysteme eingesetzt und repr sentiert die Basisinstallation von vielen Linux Distributionen u a SUSE RedHat und Debian Sie ist damit weit verbreitet und auch im Rahmen von forensischen Untersuchungen anzutreffen Es kann von einer Dateisystemfamilie gesprochen werden welche urspr nglich aus UFS welches u a in Solaris von Sun Microsystems eingesetzt wird heraus entwickelt wurde Die forensischen Eigenschaften werden in den Abschnitten der Datensammlung genutzt um Daten zur weiteren Verarbe
192. berschrieben Es existiert immer eine Kennung welche auf den Beginn des zwischengespeicherten Bereichs verweist alle nachfolgenden Bereiche beschreiben dann im Schadensfall zu wiederholende Dateisystemoperationen Forensisch interessant ist diese Datei vor allem deshalb weil sich hier unmittelbar nach dem L schvorgang der vollst ndigen Inhalt von kleinen Dateien lt 660kb finden l sst Das betroffene Computersystem darf ohne vorherige forensische Abbild gewinnung siehe Kapitel nicht wieder gestartet werden da ansonsten die automatische R cknahme der im Journal gespeicherten Aktionen erfolgt und damit wertvolle Informationen verloren gehen k nnen Das Metadaten Journaling geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Alternate Data Streams ADS Bei den Alternate Data Streams ADS handelt es sich um eine Eigenschaft des NTFS Dateisystems zus tzliche Dateiinhalte an bestehende Dateien zu binden siehe dazu auch Kru04 Alternative Datenstr me Urspr nglich wurde diese Funktionalit t geschaffen um Dateien von Macintosh Computern von Apple handhaben zu k nnen Da sich beispielsweise an eine ausf hrbare Datei Konfigurationsdateien angeh ngt befinden k nnen die f r den Betrachter nicht sichtbar sind werden ADS forensisch interessant da sie absichtlich wie auch unabsichtlich versteckte Daten enthalten k nnen Inzwischen werden ADS von Microsoft und v
193. beschreiben In einer Partition muss angegeben sein wie gro die kleinste durch das Betriebssystem adressierbare Einheit ein so genannter Block engl Cluster ist Solche Bl cke sind ganzzahlige Vielfache von Sektoren Die Blockgr e wird w hrend der Erstellung des Dateisystems festgelegt Wenn ein Block w hrend einer Low Level Formatierung des Datentr gers als defekt erkannt wurde z B als ein Fehler des Mediums oder auch durch die Alterung eines Ger tes wird dieser ausgelagert Dieser Mechanismus kann jedoch auch durch dedizierte Programme zum Zweck des Versteckens von Daten ausgenutzt werden Ist ein Block als defekt markiert wird er vom Dateisystem ausgeschlossen Die darin vorhandenen Daten bleiben jedoch erhalten und k nnen f r eine forensische Untersuchung wertvoll sein Durch die Aufteilung in Bl cke entsteht zwangsl ufig ein Verschnitt engl Slack am Ende des letzten Blocks einer Datei wenn die zu speichernden Inhalte nicht an einer Sektor bzw an einer Blockgrenze enden siehe dazu auch Bun06 Dieser Slack ist forensisch sehr interessant da er Reste von Dateien und evtl vom Arbeitsspeicherinhalt enthalten kann Dieser in Dateisystemen auftretende Slack l sst sich in Sektor Slack und File Slack auch bekannt als Dateislack einteilen Die nachfolgende Abbildung 15 illustriert diesen Zusammenhang Dabei ist der letzte Block einer Datei bestehend aus einzelnen Sektoren dargestellt Bi Nutzdaten einer Datei
194. bnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM 157 http www openldap org 158 siehe dazu auch das RFC2251 http www ietf org rfc rfc225 1 txt 159 zentraler Logdienst eines Linux basierten Systems 160 Siehe dazu http www openldap org doc admin24 monitoringslapd html 161 blicherweise in etc ldap 162 blicherweise in var lib ldap Leitfaden IT Forensik 191 Detaillierte Vorgehensweise in der IT Forensik Zusammenfassung der Methoden und Werkzeugeinordnung Die nachfolgende Abbildung 41 verdeutlicht zusammenfassend die Zuordnung der forensischen Methoden der grundlegenden Methode der IT Anwendungen ITA Kommunil kations Konfigurations protokolidaten daten Abb 41 Einordnung der grundlegenden Methode ITA in die Datenarten und die Abschnitte des forensischen Prozesses Aus dieser Zusammenfassung ist ersichtlich dass Methoden der IT Anwendungen ITA vor allen zur Sammlung von Details ber Daten Prozessdaten Anwenderdaten Kommunikationsprotokolldaten Konfigurationsdaten und Sitzungsdaten dienen also all jenen Daten die im direkten Zusammenhang mit der IT Anwendung stehen Zu beachten ist dass teilweise eine Aktivierung dieser Funktionen in der strategischen Vorbereitung notwendig ist Die grundlegende Methode Skalierung von Beweismitteln Die grundlegende Methode Skalierung von Beweismitteln SB umfasst forensische Methoden welche bei einem konkreten
195. bzurufen Der Aufruf net user ermittelt den Zeitpunkt der letzten Anmeldung des aktuellen Nutzers Mit net print kann die Druckerwarteschlange angezeigt werden Das Befehlszeilenprogramm openfiles zeigt mit dem Argument query alle derzeitig ge ffneten Dateien Die Datei INFO2 des jeweiligen Laufwerks zeigt den Inhalt des Papierkorbes an siehe dazu auch Kapitel Weitere Daten k nnen der Ereignisanzeige entnommen werden siehe Kapitel Recent Der Ordner enth lt Informationen ber die vom Benutzer zuletzt ge ffneten Dokumente Die Verkn pfungen zu den Dokumenten werden unter den Namen des Ziels abgespeichert Die Daten befinden in folgenden Ordner C Dokumente und Einstellungen lt Benutzername gt Recent Verlauf Der Ordner enth lt die im Recent erfassten Dateien und speichert die Verkn pfungen nach Wochentagen sortiert ab Die Daten sind im folgenden Ordner zu finden C Dokumente und Einstellungen lt Benutzername gt Lokale Einstellungen Verlauf OPENFILES Dieser Befehl listet alle Dateien und Ordner auf die auf einem System ge ffnet wurden welche R ckschl sse auf die Aktivit t auf dem betroffenen System und im Netzwerk geben k nnen DOSKEY Der Aufruf doskey HISTORY zeigt alle in der aktuell ge ffneten Eingabe aufforderung gespeicherten Befehle Somit kann nachvollzogen werden welche Befehle eingegeben wurden Eine Speicherung ber mehrere Sitzungen wie bei der History Funktion der Linux Kommandozeil
196. cap Log item SHA256 hash 8525d57925826d961b97d4988b02c96e0eb13bd84b4393a466769bc7b1b3f5c1 HMAC cee75b06f565f f68256f 4a0 f e36648d32b0dc896809a3102F2095770aef581F8 MAC table of br at So 19 Apr 12 34 35 CEST 2009 port no mac addr is local ageing timer 1 00 0c 29 3a 86 af yes 0 00 2 00 0c 29 3a 86 b9 yes 0 00 1 00 0c 29 a9 cb f1 no 2 68 1 00 0c 29 bc 9d 23 no 206 18 1 00 15 f2 41 a3 22 no 13 07 1 00 16 38 b5 de el no 21 87 1 00 21 85 fb 66 3b no 36 81 1 00 30 1b b8 1le 6c no 6 97 1 00 80 c8 d7 ef c5 no 5 25 1 40 00 04 11 6f 44 no 7 02 1 40 00 04 11 6f 46 no 6 97 1 40 00 04 11 6f 52 no 7 08 1 40 00 04 11 6f 7d no 7 13 1 40 00 04 11 6f 86 no 7 18 Log item SHA256 hash d8f1f4e961e3734a35ddc20536ff4b9e85F58b60661b15cd3df4cc6ec242ba2d HMAC cee75b06f565ff68256f4a0fe36648d32b0dc89680933102f2095770aef58lf8 Linux forensic transparent bridge session end mark time So 19 Apr 12 34 35 CEST 2009 Investigator Mustermann Log item SHA256 hash d9a258e7767602dc9ba28afd89a6bFObf406225d45d2490d995067014648c617 HMAC cee75b06f565ff68256f4a0fe36648d32b0dc89680933102f2095770aef581Ff8 226 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Das Protokoll ist in der Datei 1ftb evidence auf dem Beweismitteldatentrager zu finden Die eigentlichen Mitschnitte sind im PCAP Format gespeichert Dabei werden auf der Paketebene der Datensicherungsschicht des ISO OSI Modells siehe Zim80 s mtliche Netzwerkpaket
197. ch welche im Umkehr schluss wiederum erlaubt forensische Software anhand ihrer Eigenschaften f r den jeweiligen Verwendungszweck auszuw hlen Nachfolgend werden nun exemplarisch ausgew hlte forensische Werkzeuge und ihre Einordnung detaillierter in Form einer Methodencharakterisierung anhand einer Systematik vorgestellt siehe dazu nachfolgende Tabelle 74 Mit Hilfe dieser Systematik k nnen gezielt konkrete Werkzeuge zur Verwendung im Rahmen einer forensischen Untersuchung anhand ihrer Eigenschaften ausgew hlt werden Es wird zun chst unterschieden ob es sich um eine Hardware und oder eine Softwarel sung handelt HW SW Danach wird eine allgemeine Beschreibung AB gegeben in welcher sich u a die untersuchte Versionsnummer vom Werkzeug verarbeitete Eingabedaten die zur ckgegebenen Ausgabedaten sowie Angaben zur Konfiguration und evtl Anwendungsinformationen sowie die Bezugs und Dokumentationsquelle befinden Der Untersuchungsort UO beschreibt ob die Untersuchung lokal oder entfernt am zu untersuchenden System bzw Teilkomponenten dessen vorgenommen werden Wenn eine zus tzliche Aktivierung bzw Installation zum Wirken des forensischen Werkzeugs erfor derlich ist wird das in dem Feld Aktivierung erforderlich AE vermerkt Welche Untersuchungsaktionen durchgef hrt werden wird im Feld UA festgehalten Das Untersuchungsziel wird im Feld UZ vermerkt Im Feld f r die Untersuchungs voraussetzung UV wird festgehalten was notw
198. ch das Kopieren auf andere Datentr ger kann der Inhalt dieser Dateien gesichert werden 76 http linuxreviews org man proc index html de 77 http delcom sourceforge net sysfs txt 126 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Extraktion von Hardwaredaten Bestimmte Daten der Hardware lassen sich mit Betriebssystemmitteln erfassen Dies ist vor allem in dem Abschnitt der Datensammlung wichtig da hierdurch zu einem sp teren Zeitpunkt die genaue Hardwarekonfiguration des untersuchten Systems bekannt ist Die allgemeinen Hardwaredaten dienen zum einen zur Identifikation des Systems zum anderen k nnen unter Umst nden Hardware konflikte aufgezeigt werden Zeit der Echtzeituhr RTC Unter proc driver rtc befindet sich Uhrzeit und Datum der Echtzeituhr Da unter Linux die Systemzeit bei Ver nderung nicht sofort in die RTC zur ckgeschrieben wird kann man hier Manipulationen erkennen siehe dazu auch Kapitel H ufig wird in der Echtzeituhr die so genannte koordinierte Weltzeit engl Universal Coordinated Time UTC verwendet dadurch ergeben sich Zeitunterschiede zur lokalen Systemzeit diese sind je nach Zeitzone unterschiedlich gro Extraktion von Rohdateninhalten Mit proc kcore l sst sich auf dem Hauptspeicher zugreifen die Daten sind dabei im core Dateiformat gespeichert Der Hauptspeicherinhalt kann somit im Abschnitt der Datensammlung einer forensischen Untersuchu
199. ch erkennbar sie bestehen aus Jahr Monat Tag Stunde Minute Sekunde hintereinander ohne Trennzeichen in der jeweiligen UTC Zeit Das wird durch den Buchstaben Z am Ende des Strings gekennzeichnet Dies entspricht dem Schema f r Nutzerapplikationen nach RFC 4519 Besonders bei der Weboberfl che sind viele Zeitstempel zu finden F r Nutzer und Server sind dies unter anderem der Erstellungszeitpunkt und der Zeitpunkt der letzten nderung sowie bei Nutzern der Loginzeitpunkt F r nahezu jeden Eintrag ist zudem ein Zeitstempel vorhanden dies gilt auch f r einzelne Access Control Lists ACL siehe Kapitel In Abbildung 40 ist ein Ausschnitt der Weboberfl che dargestellt 155 http www novell com support viewContent do externalld 7003 143 amp sliceld 1 156 http www rfc archive org getrfc php rfc 45 19 Leitfaden IT Forensik 189 Detaillierte Vorgehensweise in der IT Forensik 18 Juni 2009 15 31 31 8 CN Admin O foo1 T BSIFORENSICS Server CN WXP NDS O foo1 T BSIFORENSICS Identit t CN Admin O foo1 BSIFORENSICS NDS iMonitor Eintrag Eintr gsinformationen Reproduktionssynchronisierung Relativer Name 00008024 CN Admin Eintragssynchronisierung Uberordnungsname 00008028 O foo1 T BSIFORENSICS Verbindungsinformationen Flaggen Vorhanden KEE Lokale Eintragsflaggen Ge ndert d Eintragsinformationen Basisklas e ger Eintrag berpr fen Erstellungszeitstempel 22 04
200. ch ist die Ergebnisdatei samt SHA256 Hash Wert im Log Eintrag enthalten Nach jedem Eintrag folgt dessen Hash Wert welcher die Integrit t sichert und der SHA256 HMAC der die Authentizit t sicherstellt Bei der Beendigung der Sitzung wird zus tzlich die MAC Tabelle der Bridge gespeichert Anhang A3 Die Konfiguration und der Betrieb eines sicheren Logservers im Detail Dieses Kapitel beschreibt exemplarisch die Einrichtung eines zentralen Log servers wie er im Kapitel vorgestellt wurde Dazu kommt die Software syslog ng Premium Edition zum Einsatz diese z hlt zu den grundlegenden Methoden von IT Anwendungen ITA innerhalb des Modells des forensischen Prozesses siehe Kapitel Diese kommerzielle L sung bietet den Vorteil dass einerseits der bertragungsweg und andererseits die Speicherung in einer verschl sselten Form erfolgen kann Aufgrund des Funktionsumfangs der Software ist eine Wahrung der Sicherheitsaspekte siehe dazu auch Kapitel der Integrit t der Vertraulichkeit und der Authentizit t sichergestellt Zus tzlich k nnen auch Windows Clients eingebunden werden Erst damit ist eine vollumf ngliche zentrale Speicherung von Logdaten in heterogenen Netzwerkumgebungen m glich Zun chst wird die Durchf hrung der Einrichtung im Rahmen der Strategischen Vorbereitung SV nach dem abschittsbasierten Verlaufsmodell des forensischen Prozesses siehe dazu Kapitel beschrieben Basissystem des Logservers Das Basissystem f
201. che Hptepergsbrttggee ass as Ee Vorgehensweise bei einer forensischen Untersuchung 86 Grundaufbau yon Datentr gern cesisaeaus Block ame en Bean 74 EE 74 PAID STM ALON nee een keine 73 PAP E 74 GEI 72 Slack een es Be REN Ere S I eT eS 74 Grundlegende forensische Methoden Bete DSS ystee eisa a e a ESARTE KEDARRA ed nae 66 IR EE 71 Datenbearbeitung und Auswertung 79 Explizite Methoden der Embruchserkennung 76 REG 77 Skalierung von Beweismittel nu se 78 Intrusion Detektion System u age HE ke Der Einsatz von Intrusion Detection Systemen in der IT Forensik 52 SNOT euere een 164 NPT TOG LIS Ik sis Ausgew hlte Fragestellungen beim Ablauf eines Vorfalls 33 fl chtige Daten nee ee 33 Live Forensik u sun i aai ee Noia aa a aE S 13 HEH eech 33 Post mortem A eier ee erer eege ee 13 SEI 87 NR TEEN Leitfaden IT Forensik 353 Anhang B Ablaufdiagramme und Checklisten RN RE EE 19 BA Watson II Forensik uses 20 Netzwerkdatensammiune an ae ee eig digitale Fahrtensehreiber Ae2ss u Rassen 55 Einrichtung und der Betrieb eines zentralen Logserverg 49 Netzk ppelelementen n se ER 217 Netzwerk 4 ApS vi ne ae ati ige 53 Netzwerkdatenuntersuchuns ce aeg Untersuchung von Nutzdaten in einem Netzwerkstrommitschnitt 231 Untersuchung von Verbindungsdaten in einem Netzwerkstrommitschnitt 228 Ee EE EE KEE 67 KE 67 Windows Registry allremen a tesa Re 67 Schnelle Zwi
202. chert Dies kann in forensischen Untersuchungen ein wichtiger Teil der prozessbegleitenden Dokumentation sein Jedoch m ssen sowohl die bash_history als auch das Ergebnis der script Sitzung bez glich ihrer Integrit t unter Verwendung einer kryptographischen Hashsumme abgesichert werden um die Unver ndertheit der Inhalte sicherzustellen Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug handelt es sich um die Bash History Es wird in der Datensammlungsphase gesichert Es ist ein Logmechanismus einer Shell ITA Die Bash l uft auf festinstallierten Computern HW Das Programm ist unter anderem f r Linux SW Der Untersuchungsort ist lokal auf dem zu untersuchenden System UO F r die Bash History ist keine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktions f higkeit des Computersystems sowie Administratorrechte UV Das Unter suchungsziel sind Sitzungsdaten UZ Die Untersuchungsaktion besteht aus dem Online Speichern von Programmaufrufen auf das Speichermedium UA Unter suchungsergebnis sind Sitzungsdaten UE Das Datenvolumen des Unter suchungsergebnisses steht in einem proportionalen Verh ltnis zur Anzahl der Programmaufrufe DV Da die Bash History st ndig aktiv ist treten Struktur wirkungen auf STW Eine Datenschutzrelevanz ergibt sich aus der Nutzung DSR Eine Beweiskrafttendenz besteht BK Bei der Verwendung der Bash History muss diese ext
203. chert werden Dieses muss jedoch im Rahmen der strategischen Vorbereitung aktiviert bzw erstellt worden sein Ist dies geschehen so lassen sich die aktuellen Verbindungen in den proc net ip_conntrack und proc net nf conntrack finden Bei bestehenden Verbindungen kann hieraus auch die eigene IP Adresse ermittelt werden Eine m gliche Zeile dieser Datei ist zum Beispiel diese tcp 6 431968 ESTABLISHED src 192 168 0 188 dst 192 168 0 1 sport 2388 dport 22 packets 23 bytes 2995 src 192 168 0 1 dst 192 168 0 188 sport 22 dport 2388 packets 24 bytes 3909 ASSURED mark 0 use 1 Sie sagt aus dass es eine bestehende TCP Verbindung von 192 168 0 188 nach 192 168 0 1 existiert Diese nutzt auf dem Computer 192 168 0 188 den Port 2388 auf dem anderen Computer Port 22 welcher im Normalfall f r SSH genutzt wird Weitere Informationen sind die Anzahl der bertragenen Pakete sowie der Datenmenge in die jeweilige Richtung Extraktion von Prozessdaten Prozessdaten sind im Abschnitt der Datensammlung einer forensischen Untersuchung zu sichern Sie k nnen n here Informationen zu laufenden Prozessen liefern Damit ist es m glich weitere Dateien auf dem Computer zu identifizieren die m glicherweise zus tzliches Beweismaterial enthalten Die Daten werden f r jeden Prozess unter proc Prozessnummer gespeichert In cmdline wird dabei der Aufruf mit all seinen Parametern angegeben S mtliche Umgebungsvariablen die f
204. chreibung der Durchf hrung der forensischen Untersuchung bildet dabei die im Kapitel beschriebene Vorgehensweise Bei den folgenden Szenarien wird zun chst die Ausgangslage beschrieben wobei auf die Einordnung in das RECPLAST Netz und die strategische Vorbereitung siehe Kapitel auf den involvierten Systemen eingegangen wird Anschlie end werden der Ausl ser das Symptom f r die forensische Unter suchung und der Verlauf dieser dargestellt Die Szenarien welche auf Hil08 basieren enden mit beispielhaften Berichten welche die Resultate der Untersuchung darlegen Fallbeispiel Aufkl rung eines Vorfalls mit Ursprung im Internet Vorfall in einem Webshop Im Rahmen dieses Komplexszenario wird die Aufkl rung eines Vorfalls eingegangen der aus dem Internet ausgel st wurde Dabei wird beispielhaft die Wirksamkeit einer Log Korrelation gezeigt Strategische Vorbereitung Dieses Szenario findet aufStrategische dem Webserver S7 Abbildung 62 der Vorbereitung modifizierten Musterlandschaft RECPLAST siehe dazu auch Kapitel statt 262 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros NdA o T3 8 Faxger te Abb 62 modifizierte Musterlandschaft RECPLAST Im Rahmen der strategischen Vorbereitung wurden keine zus tzlichen Ma nahmen f r das dort installierte Betriebssystem Debian Linux getroffen
205. chtenmodells f r Netzwerke siehe dazu auch Zim80 m glich Ein forensisches Werkzeug aus der grundlegenden Methode der Datenbearbeitung und Auswertung DBA welches die beschriebenen Leistungsumf nge besitzt ist das kommandozeilenbasierte Open Source Werkzeug tshark Mit diesem Programm k nnen Dateien im pcap Format welche mitgeschnitten Netzwerk pakete enthalten untersucht werden Das Werkzeug hat den Vorteil dass die Untersuchung pro OSI Schicht 2 4 separat erfolgen kann Dadurch dass tshark kommandozeilenbasiert arbeitet lassen sich leicht Aufzeichnungen ber s mtliche get tigten Eingaben zusammen mit den Ausgaben des Werkzeugs anfertigen was wiederum die prozessbegleitende Dokumentation siehe Kapitel erheblich erleichtert Nachfolgend soll anhand von Beispielaufrufen dieses Werkzeugs exemplarisch gezeigt werden welche potentiell forensisch relevanten Daten durch tshark gewonnen werden k nnen Dabei wurde hier der bersichtlichkeit halber die zusammenfassende Darstellung Option q gew hlt OSI Schicht 2 Datensicherungsschicht 197 Das AG M nchen entschied am 09 10 2008 dass IP Adressen keine personenbezogene Daten darstellen Aktenzeichen 133C5677 08 198 Siehe dazu auch das RFC 791 http www fags org rfcs rfc791 html 199 Download unter www wireshark org die Dokumentation ist unter http www wireshark org docs man pages tshark html verf gbar 200 z B durch Einsatz des script Kommandos auf
206. d der Sitzung benutzt wird Erst nachdem diese beendet wird wird der erzeugte Inhalt in die places sqllite geschrieben Dennoch liegen auch einige weitere Dateien und Verzeichnisse im Klartext oder HTML Format vor Diese sind bookmarkbackups Dies ist der Ordner mit den Backups der Lese zeichendatei bookmarks html Die Dateien in ihm sind nach dem Muster bookmarks Jahr Monat Tag html benannt Durch eine Untersuchung kann man feststellen wann welche Bookmarks hinzugef gt wurden e Cache Der Zwischenspeicher von Firefox In diesem Ordner werden Web seiten und Bilder zwischengespeichert um sie sp ter schneller aufrufen zu k nnen Hier finden sich oftmals auch vollst ndige E Mails wenn ein webbasierter E Mail Abruf erfolgte e OfflineCache Dies ist ein Zwischenspeicher f r die Offline Nutzung von Web Anwendungen bookmarks html moztmp Hierbei handelt es sich um eine tempor re Datei in welcher die Lesezeichen gespeichert sind wenn die bookmarks html schreibgesch tzt ist e signons3 txt Ab Firefox 3 0 vormals signons txt und signons2 txt kommt dieser Dateityp zum Einsatz In dieser Datei werden die vom Passwort Manager verwalteten Benutzernamen und Passw rter verschl sselt abge speichert Die Rekonstruktion der Passw rter wird durch den blo en Zugriff zwar nicht m glich aber allein durch Auslesen dieser Datei ist ersichtlich f r welche Webseiten Passw rter gespeichert sind In den beschriebenen Dateien befin
207. dTime 01 01 1601 01 00 00 Mitteleurop ische Zeit CN Domal Mitteleurop ische Sommerzeit CN Dom t 1 gt lastLogoff 01 01 1601 01 00 00 Mitteleurop ische Zeit CN Dom t Mitteleurop ische Sommerzeit CN Dom t 1 gt lastLogon 06 22 2009 23 18 31 Mitteleurop ische Zeit CN Gast t Mitteleuropaische Sommerzeit CN Hilfedi 1 gt pwdLastSet 06 22 2009 18 20 40 Mitteleurop ische Zeit CN krbtgt Mitteleurop ische Sommerzeit CN Orgar 1 gt primaryGroupID 513 CN RAS 1 gt objectSid S 1 5 21 1376947392 2173018381 2658950915 500 CN Richtli 1 gt adminCount 1 CN Schen 1 gt accountExpires 09714 30828 02 48 05 UNC CN SUPPC 1 gt logonCount 6 CN Telnet 1 gt sAMAccountName Administrator CN Zertifi 1 gt sAMAccountType 805306368 DC TAPISDire 1 gt objectCategory DC ForestDns CN Person CN Schema CN Configuration DC recplast DC de DC DomainDn 1 gt isCriticalSystemObject TRUE CN Configura Abb 42 LDP Daten des Nutzers Administrator Im linken Fensterteil ist die Baumansicht erkennbar Im rechten Teil sind unter anderem die bereits von LDP interpretierten Zeitstempel ersichtlich Eine Kombination dieses forensischen Werkzeuges zusammen mit dem im Kapitel vorgestellten Live View erm glicht eine Untersuchung ohne die dauerhafte Ver nderung von nichtfl chtigen Daten setzt jedoch die Erstellung eines Datentr gerabbildes siehe auch Kapitel voraus Einordnung in das detaillierte Schema siehe
208. dbar sind um ausgew hlte Vorf lle zu untersuchen Dabei wird zwischen e datenorientierten Basisszenarien d h hier wird der Fokus auf die Gewinnung und Untersuchung der in einem System enthaltenen Daten gelegt z B Gewinnung eines forensisch anerkannten Datentr ger abbildes Untersuchung eines Dateiinhalts mittels der Technik des Filecarvings und vorfallsorientierten Basisszenarien d h hier liegt der Fokus auf der Dokumentation der Vorg nge anhand eines Vorfallsverlaufs z B Aufkl rung eines Rootkitvorfalls Nachweis der Modifikation der Systemzeit unterschieden Unter R ckgriff auf diese Basisszenarien wird darauf aufbauend f r vier komplexe forensische Vorg nge Aufkl rung des Vorfalls mit Verursacher im Internet Aufkl rung des Vorfalls mit Verursacher im Intranet Leitfaden IT Forensik 11 Forensische Datenarten Basisszenarien Komplexszenarien Einf hrung Vorfallsaufkl rung innerhalb einer IT Anwendung Vorfallsaufkl rung mit direktem Zugriff auf T ter Opfer PC die forensische Untersuchung anhand des Modells des forensischen Prozesses und der detaillierten Vorgehensweise beschrieben Dabei kommen alle drei Teilaspekte des Modells zum Einsatz Das Ziel ist es anhand nachvollziehbarer Beispiele die Praxistauglichkeit der vorgeschlagenen Vorgehensweise zu unterstreichen Es wird gezeigt wie eine geschickte Auswahl und Anwendung von forensischen Werkzeugen nach der Bestimmung der
209. den Dokumentation aus dem Kapitel entspricht Dieser Bericht wurde auch f r die beschriebene Untersuchung erzeugt und bildete die Grundlage f r die Beschreibung in diesem Kapitel Nachfolgend werden exemplarisch vorfallsorientierte Basisszenarien beschrieben welche typische Abarbeitungsschritte unter Verwendung der in Kapitel dargestellten Vorgehensweise beinhalten Leitfaden IT Forensik 245 Filecarving Dateisystem unabh ngig Gro es Datenvolumen beachten Einsatz der IT Forensik anhand ausgew hlter Szenarien Einsatz der Technik des Filecarvings Im Rahmen einer forensischen Untersuchung auf Datentr gern gilt es auch gel schte Dateien oder zumindest Bestandteile davon wiederherzustellen Viele Techniken greifen dabei auf das auf dem Computer vorhandene Dateisystem und dessen Techniken zur ck Beispielhaft sei hier das forensische Werkzeug unrm der Werkzeugsammlung Sleuthkit genannt Prinzipiell ist diese Technik dem nachfolgend vorgestellten Filecarving vorzuziehen Wenn jedoch die Struktur des Dateisystems nicht mehr verf gbar ist bei spielsweise wenn sie absichtlich im Rahmen eines Vorfalls zerst rt worden ist kann als letzter Versuch der Wiederherstellung von Daten die Technik des Filecarvings eingesetzt werden siehe dazu auch Spe08 Diese Technik ben tigt also keine Details ber das verwendete Dateisystem sie arbeitet auf den Rohdateninhalten welche beispielsweise durch ein Datentr ger image gel
210. den IT Forensik 61 Detaillierte Vorgehensweise in der IT Forensik Urheberschaft zu schlie en Dabei m ssen die zeitlichen Abl ufe plausibel und nachvollziehbar sein Ein Beispiel f r eine Ma nahme dieses Abschnitts ist die Logdateienauswertung In dem Abschnitt der Dokumentation DO werden nun alle gefundenen Einzelergebnisse zu einer Gesamtbetrachtung zusammengefasst Dabei wird eine Einteilung der Ma nahmen zur Dokumentation in eine prozessbegleitende Dokumentation und eine abschlie ende Dokumentation vorgenommen siehe dazu auch AIt08 Der prozessbegleitende Dokumentationsprozess verl uft parallel zu der Durch f hrung der anderen Phasen Seine Aufgabe ist das Protokollieren der ge wonnenen Daten und durchgef hrten Prozesse Der prozessbegleitende Doku mentationsprozess zeichnet also auf welche Daten beim Durchf hren der einzelnen Methoden gewonnen wurden protokolliert aber gleichzeitig auch Parameter der Durchf hrung selbst Beispiele f r diese Parameter sind Name und Versionsnummer des verwendeten Programms Kommandozeilenparameter des Aufrufs e Forensische Absicherung dieses Werkzeugs notfalls durch externe Schutzmechanismen wie Pr fsummen Verschl sselung Signierung Hardware Schreibblocker oder andere Ma nahmen die geeignet sind Authentizit t Integrit t oder Vertraulichkeit sicherzustellen Erfahrung des Untersuchenden mit diesem Werkzeug Motivation zur Auswahl dieses Werkzeugs Auch wenn die Bedeutung d
211. den Kernel Meldungen einmalig ausgegeben und auch nur dann wenn der Kernel Log Dienst klogd nicht l uft Dar ber hinaus verwendet der Linux Kernel intern einen Ringpuffer f r seine Log Nachrichten dieser kann mit Hilfe von dmesg ausgelesen werden Die Gr e des Puffers kann unter General setup Kernel log buffer size bei der Kernelkonfiguration eingestellt werden gebr uchlich sind hierbei Werte zwischen 16 und 128 KB Wenn auf dem System viele Kernel Meldungen anfallen so sollte dieser Wert im Rahmen der strategischen Vorbereitung vergr ert werden Als Beispiel f r den forensischen Nutzen sei hier die Verwendung eines USB Sticks genannt dessen Nutzung wird im Kernel Log vermerkt Durchschnittliche Systemauslastung Mit proc loadavg wird eine einfache Statistik zur Auslastung des Systems innerhalb eines gewissen Zeitraums zur Verf gung gestellt Die ersten drei Ziffern geben dabei die Auslastung innerhalb der letzten der letzten f nf und der letzten zehn Minuten dar Das darauf folgende Feld gibt die Anzahl der aktiven Prozesse sowie die Gesamtanzahl von Prozessen an Die letzte Zahl ist die zuletzt genutzte Prozessnummer Da hier bereits vom Kernel Daten gesammelt und ausgewertet werden k nnen diese Daten im Abschnitt der Untersuchung einer forensischen Untersuchung relevant sein Zusammenfassung der Methoden und Werkzeugeinordnung Bereits der Linux Kernel liefert in der Standardkonfiguration verschiedener
212. den bzgl der Datenarten Rohdateninhalte erfasst In die Erfassung der Massenspeicher fallen selbstverst ndlich externe Massenspeicher wie USB Sticks externe Festplatten aber auch beispielsweise Mobiltelefone Digitalkameras und PDAs Nur in besonderen Ausnahmef llen wenn z B durch die Ausfallzeit der betroffenen IT Komponente durch die Anfertigung des Datentr gerabbildes unverh ltnism ig hohe Kosten entstehen kann erwogen werden auf diese zu verzichten Selbstverst ndlich ist diese Entscheidung angemessen zu begr nden In diesem Untersuchungsschritt ergibt sich ggf eine Datenschutzrelevanz deshalb sollten die in diesem Schritt gewonnenen Daten zus tzlich durch den Einsatz eines geeigneten Programms verschl sselt werden Wahrung des Sicherheitsaspekts der Vertraulichkeit siehe dazu auch Kapitel Mit dem Abschnitt der Datensammlung beginnt die Notwendigkeit eines l ckenlosen Nachweises des Verbleibs der Beweismittel und deren Einsichtnahme im Rahmen der nachfolgenden Untersuchungsschritte engl Chain of Custody Es muss strikt dokumentiert werden auf welche Daten zu welchem Zwecke durch wen und mit welchem Ergebnis zugegriffen wurde Des Weiteren ist festzulegen wann der gewonnene Datenbestand auch endg ltig durch das im Kapitel sichere L schen von Datentr gern zu vernichten ist Dazu ist bei der eigentlichen Durchf hrung eine durchgehende prozessbegleitende Dokumentation siehe Kapitel durchzuf hren Untersuchung An
213. den sich sehr viele potentiell private Inhalte Beim Auswerten dieser Datei muss der gesetzlich vorgeschriebene Datenschutz unbedingt gew hrleistet werden Einordnung in das detaillierte Schema siehe Kapitel 2 3 1 Bei Mozilla Firefox handelt es sich um eine IT Anwendung die auf einem Computer HW unter Windows oder Linux SW l uft Die Untersuchung findet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie Festplatten oder Wechseldatentr gern UO statt Eine Aktivierung ist nicht 149http sqlitebrowser sourceforge net 184 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik erforderlich AE Als Untersuchungsvoraussetzung liegt vor dass die zu unter suchenden Datentr ger funktionsf hig sind UV Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Kommunikationsprotokolldaten und Details ber Dateien UZ Die Untersuchungsaktion ist die online Speicherung dieser Daten UA Das Untersuchungsergebnis dabei sind Sitzungsdaten Anwender daten Kommunikationsprotokolldaten und Details ber Dateien UE Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug
214. der IT Komponente sammeln auf der sie gestartet wurden Es ist m glich so genannte Netzwerksensoren innerhalb der IT Anlage zu verteilen um einen besseren berblick ber das gesamte Netz der IT Anlage zu bekommen Zur Realisierung dieser Funktionalit t k nnen so genannte Taps eingesetzt werden Diese werden in ein Netzwerk eingeschaltet und erlauben den Abgriff des Netzwerkverkehrs Den Aufbau eines Taps beschreibt die nachfolgende Abbildung 10 A B TapA TapB Spannungs Versorgung Abb 10 Schematische Darstellung eines Tap nach Lai00 Ein derartiger Tap ist derart aufgebaut dass die Verbindung zwischen dem Eingang A und dem Ausgang B durchgeleitet wird Aufgeteilt in die jeweilige Kommunikationsrichtung wird zus tzlich der Netzwerkverkehr auf die Tap Ausg nge A und B gelegt Die Taps arbeiten transparent d h an den Tap Ausg ngen A und B angeschlossene Ger te beeinflussen das Netzwerk A B nicht und sind durch dieses auch nicht detektierbar Damit erf llt ein Tap f r das Netzwerk die Funktionalit t eines Writeblockers Ein Ausfall der Versorgungsspannung hat keinen Einfluss auf die Funktion der Netzwerkverbindung auch wenn in diesem Fall die Funktion als Sensor f r das IDS verloren geht Diese Taps m ssen im Rahmen der strategischen Vorbereitung einer forensischen Untersuchung bereits bei der Planung der IT Anlage geeignet positioniert werden Dazu hilft der ebenfalls in der strategischen Vorbereit
215. derart behandelt werden dass sie nachweislich nachweislich nicht verf lscht wurden Dies kommt einer Wahrung der Sicherheitsaspekte gleich Die Sicherheitsaspekte sind im Einzelnen siehe dazu auch BSI02 e Vertraulichkeit Geheimhaltung von Ressourcen z B Informationen gegen ber Unberechtigten z B Anwender Dienste Integrit t Schutz von gespeicherten bzw zu kommunizierenden Ressourcen z B Informationen vor unberechtigter Ver nderung e Verf gbarkeit Schutz von Ressourcen z B Informationen vor einer unbefugten Vorenthaltung e Nichtabstreitbarkeit Schutz vor dem Abstreiten von Transaktionen wie des Versendens bzw Empfanges von Nachrichten durch authentisch festgestellte Personen e Authentizit t Schutz der Nachweisbarkeit der Herkunft einer Ressource z B Informationen F r den Umgang mit Daten die potentielle Indizien im Rahmen der Aufkl rung eines Vorfalls sein k nnen sind insbesondere die Integrit t und die Authentizit t von herausragender Bedeutung Deshalb sind diese Daten durch den Einsatz kryptographischer Verfahren gegen eine Verletzung dieser Sicherheitsaspekte 30 Leitfaden IT Forensik Einf hrung abzusichern Zum Zeitpunkt der Erstellung des Leitfadens wird berwiegend noch der MD5 Algorithmus zur Absicherung der Integrit t eingesetzt auch wenn es bereits gelungen ist so genannte Kollisionen zu erzeugen d h zwei unterschiedliche Datenmengen liefern dieselbe Hash Sum
216. des digitalen Fahrtenschreibers sind hnliche Faktoren wie bei der Positionierung von Taps und IDS Sensoren relevant Der Einsatz von Taps als Hardwareschreibschutz f r das Netzwerk ist auch in Kombination mit dem Fahrtenschreiber m glich und sinnvoll Es lassen sich verschiedene Standorttypen festlegen 1 bergang von Bereichen mit mittlerem Schutzbedarf zu Bereichen mit hohem Schutzbedarf Vor einzelnen Computersystemen Vor einzelnen Netzsegmenten An nat rlichen Sammelpunkten f r den Datenverkehr EN E EEN E An Monitorports von Netzkoppelelementen Leitfaden IT Forensik 55 Datenschutz beachten Einf hrung Bezogen auf die bereits vorgestellte Musterlandschaft ergeben sich daraus die Standorte in Abbildung 12 Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros NdA o T3 8 Faxger te Abb 12 m gliche Standorte des digitalen Fahrtenschreibers Der Standorttyp 1 ist besonders n tzlich da hiermit ermittelt werden kann welche Daten in den Bereich mit hohem Schutzbedarf gelangten und noch wichtiger welche diesen verlassen haben In Abbildung 12 geh ren die Standorte B5 B6 und B17 zu diesem Typ Der Standorttyp 2 ist besonders bei Systemen mit hohem Schutzbedarf oder zur Diagnose von Fehlfunktionen sinnvoll Die Standorte B7 bis B21 geh ren zu diesem Typ Der Standorttyp 3 ist mit dem Typ 2 vergleichbar nur dass statt einzelnen Computersystemen mehrere auf einmal
217. det und der Arbeitsspeicherbereich mit den Spuren des Programmcodes mit Schadensfunktion wieder freigegeben Dieses Beispiel zeigt dass durch eine falsche Reihenfolge und Auswahl an Ma nahmen im Rahmen der Vorfallsbearbeitung und ohne gezielten Einsatz von Methoden der IT Forensik hier kaum oder keine sp tere Aufkl rung des Vorfalls m glich ist Wie deutlich ersichtlich wird ist kann die Entscheidung bzgl der Trennung von Netzzugang und Spannungsversorgung nur eine fallbezogene Einzelfallent scheidung sein welche auch die Abw gung des potentiellen Gewinns durch mehr Informationen ber den Verlauf des Vorfalls gegen die potentiell negativen Auswirkungen eines nicht sofortigen Beenden des Vorfalls beinhalten muss F r diese Abw gung ist es auch wichtig die Sicherheitseinstufung des betroffenen Systems zu kennen W re im vorliegenden Beispiel die h chste Vertraulichkeits stufe des Computers und der Daten gegeben und damit der Sicherheitsaspekt der Vertraulichkeit siehe Kapitel das wichtigste Ziel w re das Verhalten zum sofortigen Beenden des Browsers durchaus sinnvoll Sofortiges Abschalten oder Weiterbetrieb der IT Anlage Wenn die Information wer Ausl ser des Vorfalls ist wertvoller als das sofortige Beenden des Vorfalls sein sollte kann es sich als sinnvoll erweisen den Angreifer Leitfaden IT Forensik 35 Was wirklich geschah Das Sammeln fl chtiger Daten bedingt Ver nderungen Einf hrung im System zu be
218. die Beseitigung der ausgenutzten Schwachstellen und einen Wiederanlauf der betroffenen Systeme umfassen Im Rahmen der IT Forensik sind vor allem die potentielle Ermittlung des Verursachers und eine weitgehend l ckenlose Rekonstruktion des Vorfalls Ziel der Untersuchung Betreiber von IT Anlagen m ssen im Vorfeld die Bedrohungssituation ihrer 3 Siehe dazu auch detailliert Ges08 Leitfaden IT Forensik 15 Risikobewertung als Teil der strategischen Vorbereitung Kurzvorstellung COBIT und ITIL Einf hrung Systeme absch tzen Dieses ist in erster Linie zur Installation und Unterhaltung von Schutzma nahmen erforderlich In zweiter Linie wird diese Risikobewertung jedoch auch f r die IT Forensik aus der Sicht des Anlagenbetreibers bedeutsam Dieses ergibt sich daraus dass eine der Risikobewertung entsprechende strategische Vorbereitung f r eine Untersuchung mit Ma nahmen der IT Forensik erfolgen sollte In die Eintrittswahrscheinlichkeit spielen Faktoren hinein wie beispielsweise die H ufigkeit der Bedrohung gewonnen aus vorangegangen Erfahrungen bzw Statistiken die F higkeiten Ressourcen und die Motivation eines potentiellen T ters e die Verwundbarkeit und die Attraktivit t eines IT Systems und der darin gespeicherten Daten In der im Kapitel vorgestellten CERT Taxonomie werden insbesondere die beiden letztgenannten Punkte bewertet Das existente Risiko ergibt sich dabei aus der Wahrscheinlichkeit eines
219. die Datei und beinhalten u a Lageinformationen ber die Bitmenge welche die jeweilige Datei ausmachen Auf diese Weise findet das Betriebssystem diese Bitmenge und kann auf sie zugreifen Verwaltung von Zeiten Eine der forensisch wichtigsten Eigenschaften von Dateisystemen ist das Mitf hren von Metadaten f r jedes einzelne Objekt des Dateisystems Verzeichnisse Dateien Links Diese Metadaten werden typischerweise in einer der vorgestellten Dateisystemtabellen abgelegt Um Vorf lle forensisch aufkl ren zu k nnen ist es sehr bedeutsam den zeitlichen Verlauf bestimmen zu k nnen Dateisysteme f hren mehrere zeitliche Informationen ber jedes von ihnen verwaltete Objekt Diese Zeiten werden MAC Zeiten genannt dies steht f r Modify Access Creation bei Microsoft Windows Systemen und f r Modify Access Change bei Linux Systemen Auf diese Zeiten wird detailliert in der Beschreibung der konkreten Dateisysteme eingegangen Verwaltung von Rechten In Mehrbenutzersystemen wie Microsoft Windows und Linux muss vom Dateisystem auch der jeweilige Besitzer einer Datei und die Rechte des Zugriffs auf sie mitgef hrt werden Diese Rechte k nnen f r einen Nutzer oder f r eine Gruppe von Nutzern gelten Im Dateisystem wird unter anderem das Recht f r den lesenden und modifizierenden Zugriff bzw das Recht zur Ausf hrung gespeichert Verwaltung von Attributen Abh ngig vom eingesetzten Betriebssystem werden auch Attribute vom Dateis
220. die Datensammlung schlie t sich die Untersuchung an Die Aufgabe dieses Arbeitsschrittes ist es aus den nun gesammelten Datenquellen f r die Untersuchung interessante Daten zu extrahieren Dies schlie t auch die bersetzung von Daten in andere Formate ein wie beispielsweise das Entpacken von Archiven oder das Einbinden eines Festplattenabbildes der zu untersuchenden IT Komponente F r die Auswahl dieser Werkzeuge wird die Werkzeugsammlung des Untersuchungsabschnitts zur Hilfe genommen und hinsichtlich der betrachteten Datenarten vorgefiltert Nachdem eine Auswahl stattgefunden hat wird die eigentliche Untersuchung durchgef hrt Besonders die Untersuchung von Logdateien ist in diesem Abschnitt durch zuf hren hier findet die unumg ngliche Vorfilterung f r eine sp tere Korrelation in der Datenanalyse statt Die Untersuchung von Text Logdateien soll dazu n her beschrieben werden Die Logdaten enthalten in der Regel einen Zeitstempel dieser bildet h ufig den Anfang des Logeintrags siehe dazu auch die Logdatenstudie des BSI BSI07a Danach folgen weitere Daten die den eigentlichen Logeintrag bilden Diese Eintr ge werden auf Auff lligkeiten untersucht und gegebenenfalls f r die Datenanalyse ausgew hlt Gleiches gilt f r eventuell bekannte Zeitr ume des Vorfalls Zur Untersuchung ist jeder Textbetrachter hinreichend f r die Datenanalyse m ssen s mtliche Logdaten jedoch in ein einheitliches Format berf hrt werden Dazu st
221. die IT Forensik COBIT ist prim r darauf ausgerichtet berpr fbar die Ordnungsm igkeit und Sicherheit beim Betrieb von IT Dienstleistungen zu wahren Hingegen ist die herausragende Eigenschaft von ITIL die Angemessenheit und Flexibilit t aufgrund der Orientierung am Kundennutzen und der Effizienz Also sollten die eher formalen Kontrollziele von COBIT mit dem auf Angemessenheit und Flexibilit t ausgerichteten Framework von ITIL abgeglichen werden Zum Einsatz in der IT Forensik gilt es demzufolge die von COBIT im Dokument ISACA04 genannten Schl sselelemente Schutz der gewonnenen Daten Datenakquisition Imaging Extraktion Untersuchung Zusammenf hrung bzw Normalisierung und Reporting als Kontroll und Steuerungsziele mit Hilfe des ITIL Zyklus umzusetzen siehe dazu auch Abbildung 2 um Fragen zur Erfassung Sammlung Bearbeitung Analyse Pr sentation und Benutzung der Daten sowie der Umsetzung von korrigierenden Ma nahmen zu beantworten Dieser geht durch die im Kapitel ausf hrlich beschriebene Einteilung in Abschnitte einer forensischen Untersuchung insbesondere durch die Hinzunahme des Abschnittes der strategischen Vorbereitung weiter als die Forderungen nach COBIT siehe ISACA04 In der nachfolgenden Abbildung 3 wird zur Erl uterung die Abbildung der Schritte nach ISACA04 auf die Abschnitte einer forensischen Untersuchung im Sinne des Leitfadens dargestellt und auf die prozessorientierte Sicht nach ITIL und den nach ITI
222. die net man 8 route 130 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik untersuchenden Netzwerkanschlusses steht In der Regel ist eth0 die erste Netzwerkkarte ethl die Zweite usw Bei anderen Medientypen kann die Bezeichnung abweichen z B bei WLAN und Token Ring Adaptern Die MAC Adresse wird auch in der zuvor genannten ARP Tabelle verwendet daher ist die Sammlung sinnvoll Zudem k nnte MAC Adresse durch Software manipuliert worden sein Ohne die Erfassung der derzeit g ltigen MAC Adresse ist der Nachweis eines solchen Vorfalls auch nicht m glich Statistische Daten der Netzwerkadapter Die Anzahl der bertragenen Pakete und der daraus resultierenden Datenmenge f r jeden Netzwerkadapter kann aus proc net dev ausgelesen werden Hierbei wird zwischen gesendeten und empfangenen Daten unterschieden Speziell die Angabe zur Anzahl der verworfenen drop Pakete oder die Anzahl aufgetretener Fehler errors k nnen ein Indikator f r Netzwerkprobleme sein Die hier enthaltenden Daten sind dabei mit den statistischen Informationen von ifconfig identisch Diese Daten sind zus tzlich f r jeden Anschluss auch in einzelnen Dateien im Verzeichnis sys class net ethX statistics vorhanden Verfolgung von IP Verbindungen Ist im Kernel das IP Connectiontracking aktiviert oder das Kernel Modul ip_conntrack geladen so k nnen die aktuell bestehenden Verbindungen eingesehen und gesi
223. diesem Vorschlag jedoch nicht erfasst werden Da durch die Anschaffung von Taps Kosten entstehen muss die Anzahl der einzusetzenden Taps mit dem potentiellen Gewinn an Daten abgewogen werden Einige Switches so genannte Managed Switches bieten zudem einen sog Monitorport Bei diesen l sst sich der gesamte Netzwerkverkehr aller Anschl sse oder eine ausw hlbare Teilmenge auf diesen Monitorport legen so dass das IDS bzw ein digitaler Fahrtenschreiber siehe Kapitel Zugriff auf die dar ber bermittelten Daten hat 54 Leitfaden IT Forensik Einf hrung Die anfallenden Daten sind entsprechend den Richtlinien und Forderungen des Datenschutzes zu behandeln siehe dazu auch Kapitel Dies gilt beispielsweise auch f r die Zweckbindung der erhobenen Daten So d rfen die in den Logs von NIDS enthaltenen Verbindungsdaten zwar zur Vorfallsaufkl rung verwendet werden d rfen jedoch nicht beispielsweise zur berwachung des Surfverhaltens von Mitarbeitern genutzt werden Eine Diskussion welche Daten berhaupt und in welchen Umst nden erhoben werden kann findet sich u a in Pim06 Der digitale Fahrtenschreiber als forensisches Werkzeug Wie eingangs dieses Kapitels beschrieben wurde sollten bereits bei der Entwicklung des Netzplans im Rahmen der strategischen Vorbereitung geeignete Anschlussstellen f r netzwerkbasierte Aufkl rungssysteme identifiziert werden An diesen Stellen k nnen dann im Verdachtsfall forensische Wer
224. dlegenden Methoden sn0n0000000e0 212 Forensische Toolkits aenrike aieea a aa 213 BG ASC ihien en a e a a cele cies et Tele a a oa 213 X Ways OLEMSIOS us siehe 214 ei ee ee ee eis 215 tr Te 216 ee EE 216 Live View unter Einsatz von VM Ware 217 Datengewinnung aus Netzkoppelelementen 217 Datengewinnung aus dem Netzwerkdatenstrom unter Einsatz des digitalen Fahrtenschteibeis uge eege ee 224 Leitfaden IT Forensik Untersuchung von Netzwerkdatenstr men 227 Untersuchung von Verbindungsdaten in einem Netzwerkstrommitschnitt Ee 228 Untersuchung von Nutzdaten in einem Netzwerkstrommitschnitt 231 Einsatz der IT Forensik anhand ausgew hlter Szenarien eceeeeseeeeeeee 234 Ausgewa hlte Basisszenarien 2 eh 234 Datenorientierte Bastsszenarten nenn 234 Forensische Gewinnung von Datentr gerabbildern forensische REN EE 235 Wiederherstellung von Daten Undelete eese 238 Strategische Vorbereitung EE 239 SYMIION ae 240 Operationale Morberetung nennen 240 RENE 240 Untersuchung aaa seen nebenan 242 Datenanalyse anne aueh Beckens 244 Dokumentation ss 245 Einsatz der Technik des Filecarvings ccccccecsscceseceseeeeseeeteeeeeseeees 246 Vorfallsorientierte Basisszenatien aauunnsa an mn ann 249 Basisszenario Svstemzel mus 249 Strategische Vorbere UN E 249 Ee 250 Operationale Vorbereitung nennen 250 Datensammluns nee 250 Eeer 251 Date E 253 Dokumentation nu reis 2
225. dung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM Der E Mail Klient Mozilla Thunderbird Mozilla Thunderbird geh rt zu den IT Anwendungen im vorgestellten Modell des forensischen Prozesses Die im Verlauf der Nutzung von Thunderbird anfallenden Daten werden in einem eigenen Verzeichnis gespeichert In diesen befinden sich s mtliche empfangenen und versandten E Mails und begleitende Metadaten Beim Auswerten dieser Daten muss der Datenschutz unbedingt gew hrleistet werden Unter Windows ist der Speicherort C Dokumente und Einstellungen lt nutzername gt Anwendungsdaten Thunderbird Profiles bei Unix Systemen wird im Heimatverzeichnis des Nutzers ein Verzeichnis 178 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik mozilla thunderbird angelegt Darin befindet sich das Profil des Nutzers Darin befinden sich zwei Ordner f r E Mails Mail sowie ImapMail welche wiederum f r jedes Postfach einen separaten Ordner enthalten F r jedes Postfach gibt es zwei Typen von Dateien Ordnername Gesendet Posteingang usw sowie Ordnername msf Dabei handelt es bei den Dateien ohne Dateiendung um
226. e Datumsformate kurz vorgestellt werden siehe dazu auch Fle08 15 http www ntp org 16 Basic Input Output System eine hardwarenahe Verwaltungsoberfl che Achtung der Zugriff auf das BIOS kann u U durch Passw rter gesch tzt worden sein dieses muss dann bekannt sein 38 Leitfaden IT Forensik Einf hrung MS DOS Zeitstempel Bei Verwendung des FAT Dateisystems siehe Kapitel wird immer die lokale Zeit in einem 32bit Wert gespeichert Da nur f nf Bit f r die Speicherung der Sekunden vorgesehen sind und damit nur max 32 Sekunden dargestellt werden k nnten entschied man sich nur die geraden Sekunden zu z hlen so dass der verf gbare Darstellungsraum auf die Sekunden auf diese Weise auf die 60 notwendigen Sekunden ausgebaut wurde Es wird also niemals FAT Zeitstempel mit ungerader Sekundenanzahl geben Die n chsten sechs Bit geben die Minuten an Darauf folgend ist in f nf Bits die Stunde angegeben Das Datum wird dahingehend gespeichert dass der Tag in f nf Bits der Monat in vier Bits und das Jahr in sieben Bits gez hlt werden Dabei wird der Null das Jahr 1980 zugeordnet so dass das maximal darstellbare Jahr in MS DOS Zeit das Jahr 2107 ist Windows 64bit Zeitstempel Bei der Verwendung des Windows Betriebssystems wird im Dateisystem ein acht Byte 64bit Zeitstempel mitgef hrt siehe dazu auch Bun06 Dabei werden die 100 Nanosekunden Intervalle seit dem 1 Januar 1601 um 0 00Uhr gez hlt Hier wird also entgeg
227. e Zusammenfassung der neuen Dateipfade siehe dazu auch Ges08a Leitfaden IT Forensik 113 Detaillierte Vorgehensweise in der IT Forensik XP Server 2003 Vista Server 2008 Documents and Settings Users Documents and Users lt Benutzername gt Settings lt Benutzername gt Documents and Settings lt Benutzername gt LocalSettin Users lt Benutzername gt AppData Loca gs l Documents and Settings lt Benutzername gt Recent Users lt Benutzername gt AppData Roa ming Microsoft Windows Recent Documents and Settings lt Benutzername gt Start Menu Users lt Benutzername gt AppData Roa ming Microsoft Windows Start Menu Documents and Settings lt Benutzername gt LocalSettin Users lt Benutzername gt AppData Loca gs History I Microsoft Windows History Documents and Settings Local Settings Users lt Benutzername gt AppData Loca lt Benutzername gt Temporary I Microsoft Windows Temporary Internet Files Internet Files Documents and Users lt Benutzername gt AppData Settings lt Benutzername gt Applicatio n Data Documents and Settings lt Benutzername gt Cookies Users lt Benutzername gt AppData Roa ming Microsoft Win dows Cookies Low thumbs db Users lt Benutzername gt AppData Loca I Microsoft Window s Explorer Recycled oder Recycler SID Recycle Bin SID Tabelle 15 Gegen berstellung der ge nderten Pfade seit der E
228. e Bereich dv23 Gigabyte Bereich dv24 Terabyte Bereich dvs keine Aussage m glich Strukturwirkung STW stw Wirkung auf den forensischen Prozess stwi 1 Wirkung auf das Untersuchungsziel UZ stw1 1 1 wirkt informationsver ndernd lokal la stwi 11 fl chtig stw 1 12 nichtfl chtig stw 12 wirkt informationsver ndernd netzwerkweit osi stwi 124 fl chtig stw 1 22 nichtfl chtig stw12 keine Informationsver nderung stw 3 Wirkung auf die Untersuchungsaktion UA stw14 Wirkung auf die Untersuchungsvoraussetzung UV stw s Wirkung auf das Untersuchungsergebnis UE stw s Wirkung auf die Datenschutzrelevanz DSR stw2 Wirkung auf andere forensische Werkzeuge stwa 1 BS stW22 FS stw22 EME stw23 ITA stW24 SB stw25 DBA stw3 Wirkung auf die Phase des forensischen Prozesses stw31 SV stw32 OV stw33 DS stw3 4 US stw35 DA stw3e DO Datenschutzrelevanz DSR dsr nicht relevant dsr2 relevant 316 Leitfaden IT Forensik Anhang A dsr21 Pseudonymisierung erforderlich dsr22 Anonymisierung erforderlich dsr23 Verschl sselung erforderlich Beweiskrafttendenz BK bk ja bk2 nein bks eher schwierig bk4 eher nicht bks keine Aussage m glich Schutzma nahmen SM sm Eigen Schutz des forensischen Werkzeugs Sp Eigenschutz durch HW SW smi2 externe Schutzmassnahmen notwendig smz Schutz von UZ w hrend der Verarbeitung durch das Werkzeug sM21 Schutz gegen Ver nderung durc
229. e Daten in einzelnen Dateien mit der Dateinamenerweiterung Dat In diesen befinden sich s mtliche empfangenen und versandten E Mails Kontakte Termine und begleitende Metadaten Beim Auswerten dieser Daten muss der Datenschutz unbedingt gew hrleistet werden Die Dateien sind in einem gesonderten Verzeichnis welches in der Voreinstellung C Dokumente und Einstellungen Lokale Einstellungen Anwendungsdaten Microsoft Outlook ist Bei den Dateien handelt es sich um Datenbanken welche in einer Verzeichnis struktur die E Mails Kontakte Termine sowie Metadaten dar ber enthalten u a den Erstellungszeitpunkt Diese k nnen u a mit der Open Source Software libpst insbesondere mit dem darin enthaltenen Programm readpst untersucht werden 141 http alioth debian org projects libpst Leitfaden IT Forensik 177 Achtung Datenschutz beachten Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik Analog zum beobachteten Verhalten von Microsoft Outlook Express siehe dazu auch Kapitel werden die Inhalte der Verzeichnisse durch die Anwendung nicht gel scht sondern als gel scht markiert F r den Anwender ist damit der betroffene virtuelle Ordner beispielsweise Kontakte Posteingang usw geleert worden Jedoch k nnen die dort enthaltenen Daten z B durch den Einsatz von readpst oder auch einer der in Kapitel vorgestellten forensischen Werkzeugsammlungen extrahiert werden
230. e Swap Datei pagefile sys siehe dazu auch Kapitel F r die deutlich umfangreichere Analyse dieser Daten wird nun auf ein Vorgehen analog zur Analyse des Hauptspeichers verwiesen Einzelne Dateien lassen sich aber eventuell unter Verwendung des forensischen Werkzeugs icat als Bestandteil der Werkzeugsammlung Sleuthkit extrahieren Dabei muss dann jedoch immer beachtet werden dass die Daten im Swap durchaus lter sein k nnen und nicht aus der letzten Sitzung stammen m ssen Eine berpr fung ob der Swap auf dem zu untersuchenden System bei jedem Neustart geleert wird und wann dieser Neustart war kann hier sehr weiterhelfen Auch die im Kapitel beschriebene Technik des Filecarvings kann auf die Swap Datei angewendet werden Jedoch ergeben sich auch hierbei die f r das Filecarving typischen Nachteile Verlust der Metadaten Falschklassifizierung von Dateien Die Sicherung des Swap Speichers erfolgt durch Kopieren der Swap Datei aus dem Dateisystem Zusammenfassung der Erkenntnisse Die Einordnung des Dateisystems FAT anhand der allgemeinen Eigenschaften von Dateisystemen aus Kapitel erfolgt in der Tabelle 22 FAT Speicherorganisation vorhanden Verwaltung von Zeiten vorhanden Verwaltung von Attributen vorhanden Verwaltung von Rechten nicht vorhanden Journaling nicht vorhanden Versionierung nicht vorhanden ADS nicht vorhanden Tabelle 22 Merkmale des FAT Dateisystems Die nachfolgende A
231. e Zugriffsrechte kann beispielsweise berpr ft werden ob ein Benutzerkonto berhaupt Zugriff auf diverse Dateien hatte 40 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf cacls 96 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik C Programme Windows NT gt cacls hypertrm exe C Programme Windows NT hypertrm exe VORDEFINIERT Benutzer R VORDEFINIERT Administratoren F NT AUTORITA ATNSYSTEM F C Programme Windows NT gt dir TC hypertrm exe Volume in Laufwerk C hat keine Bezeichnung Volumeseriennummer 2872 F658 Verzeichnis von G Programme Windows NT 29 12 2007 17 44 28 168 hypertrm exe 1 Dateien 28 168 Bytes 8 Verzeichnis se 15 886 766 888 Bytes frei C Programme Windows NT gt dir TA hypertrm exe Volume in Laufwerk C hat keine Bezeichnung Volumeseriennummer 2872 F658 Verzeichnis von C Programme Windows NT 04 02 2069 16 28 28 168 hypertrm exe 1 Datei en 28 168 Bytes 8 Verzeichnis se 15 886 766 686 Bytes frei C Programme Windows NT gt dir TW hypertrm exe Volume in Laufwerk C hat keine Bezeichnung Volumeseriennummer 2872 F658 Verzeichnis von C Programme Windows NT 64 68 2664 11 88 28 168 hypertrm exe 1 Dateien 28 166 Bytes Verzeichnis se 15 886 766 888 Bytes frei Abb 22 Ausgaben von cacls und dir Die Abb 22 zeigt im oberen Abschnitt die Ausgabe des Programms CACLS Die Datei hypertrm exe hat dabei drei zutreffende ACLs Die erste gibt allen Benutzern Le
232. e aufgezeichnet Es ist jedoch auch m glich mittels der Option Alles von zu bestimmter MAC Mitschneiden nur den Datenverkehr von bzw zu einem bestimmten System zu speichern Alternativ kann ein individueller Filter angegeben werden dazu ist der Men punkt Mitschnitt mit individuellem Filter zu w hlen Zudem ist es m glich durch Auswahl der Option Alles Mitschneiden gezeitet den Mitschnitt nach einer bestimmten Zeitdauer automatisch zu beenden dies ist auch mit verz gertem Aufzeichnungsbeginn mittels der Option Alles in n s Mitschneiden gezeitet m glich Jede Untersuchungsaktion des Untersuchenden wird vom digitalen Fahrtenschreiber protokolliert Das Aussehen dieses Protokolls verdeutlicht das nachfolgende Listing Leitfaden IT Forensik 323 Anhang A Linux forensic transparent bridge evidence storage Starting time So 19 Apr 12 33 58 CEST 2009 Investigator Mustermann Log item SHA256 hash b0345757dc1dc543046bfeb3a7789b8e4477445334234 f ce05eb3e62e62e0F FO HMAC bb337fe802a21284c0ff556243130d5f47b633aa7da52ff8ace9218f6f2b249f starting time So 19 Apr 12 34 04 CEST 2009 action tshark i brO w mnt 1240137244 cap n q a filesize 94816 exit time So 19 Apr 12 34 33 CEST 2009 result mnt 1240137244 cap SHA256 hash a8f0921e81593eb5f15be813a5689fd7bda60b8df6a93f5612f9e711ce62c879 mnt 1240137244 cap Log item SHA256 hash 8525d57925826d961b97d4988b02c96e0eb13bd84b4393a466769bc7b1b3f
233. e des Netzwerksegments in welchem sich der digitale Fahrtenschreiber befindet in eine Datei geschrieben welche dann nachtr glich ausgewertet werden kann Zusammenfassende Einordnung des digitalen Fahrtenschreibers in das Modell des forensischen Prozesses Aus der Zusammenfassung in Abbildung 50 ist ersichtlich dass der digitale Fahrtenschreiber prim r Kommunikationsprotokolldaten sowie Anwenderdaten im Abschnitt der Datensammlung erfasst Anwenderdaten Hardwaredaten Rohdateninhalte gV OV DS US DA voj a aA H Kommunikations Konfigurations protokolidaten daten Abb 50 Einordnung des digitalen Fahrtenschreibers in die Datenarten und die Abschnitte des forensischen Prozesses Um dies zu erm glichen ist jedoch eine strategische Vorbereitung n tig Nur durch diese kann die Datensammlung unbemerkt von statten gehen Das Untersuchungsergebnis besitzt dabei in jedem Fall datenschutzrechtlich relevanten Inhalt Je nach der Position im Netzwerk f llt ein unterschiedliches Datenvolumen an dieses muss in der strategischen Vorbereitung abgesch tzt werden damit gen gend Speicherplatz f r das Ergebnis der Datensammlung zur Verf gung steht Untersuchung von Netzwerkdatenstr men Im dem Abschnitt der Untersuchung US siehe Kapitel k nnen die durch den Einsatz des digitalen Fahrtenschreibers gewonnenen Netzwerkdaten anhand ihrer Verbindungsdaten und ihrer enthaltenen Nutzdaten ausgewe
234. e mit weiteren Informationen Kernel Module k nnen das Verhalten des Kernels und der Hardware ver ndern daher ist eine Sammlung dieser Daten sinnvoll Liste der vorhandenen Partitionen In proc partitions ist eine Liste der im System existierenden Partitionen vorhanden Der Begriff Partition ist hier allerdings etwas ungenau da neben den Partitionen auch der Datentr ger aufgelistet wird der diese enth lt Zus tzlich zum Namen ist f r jede Partition auch deren Gr e in Bl cken angegeben Diese Liste liefert Daten ber m glicherweise nicht genutzte Dateisysteme daher kann sie wichtige Informationen im Rahmen der operationalen Vorbereitung f r den nachfolgenden Abschnitt der Datensammlung des ausgeschalteten Systems enthalten Weitere Systemeinstellungen Weitere Systemeinstellungen befinden sich im Verzeichnis proc sys Hier k nnen auch zur Laufzeit Einstellungen ge ndert werden dies geschieht in der Regel mit dem Programm sysctl Diese fl chtigen Daten sollten ebenfalls gesichert werden da diese das Systemverhalten auch beeinflussen k nnen Als Beispiel sei proc sys net ipv4 ip forward genannt wenn dies eine 1 enth lt so leitet das System IP Pakete weiter Sonstige Daten Als weitere Informationsquellen seien hier folgende genannt 81 http www linuxinsight com proc_swaps html 82 http de opensuse org YaST Andere Systemprotokoll_ anzeigen 83 http de opensuse org YaST Andere Systempr
235. e oder einem Wechseldatentr ger UO Eine Aktivierung ist nicht notwendig AE Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UVs Das Untersuchungsziel sind hier alle Datenarten UZ s Die Untersuchungsaktion ist die Absicherung von Sicherheitsaspekten UA ze Das Untersuchungsergebnis dabei sind alle Datenarten UE s Das erwartete Datenvolumen h ngt hierbei 318 Leitfaden IT Forensik Anhang A vom Volumen der Eingabedaten ab DN Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 22232 DCFLDD Bei dem forensischen Werkzeug dcfldd handelt es sich um eine Datenaus wertungssoftware Zeitline l uft dabei auf einem Computer HW1 unter Linux SW2 Dieses Werkzeug arbeitet lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie einer Festplatte oder einem Wechseldatentr ger UO Eine Aktivierung ist nicht notwendig AE gt Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UVs Das Untersuchungsziel sind Rohdaten UZ Die Untersuchungsaktion ist offline Speicherung von Daten
236. earbeitung und Auswertung Tabelle 42 Methoden f r das Szenario doppelt vergebene IP Adresse Strategische Vorbereitung Das Szenario doppelt vergebene IP Adresse findet in der RecPlast Musterlandschaft statt Im Rahmen der strategischen Vorbereitung wurden mehrere Taps f r den digitalen Fahrtenschreiber platziert Symptom Der Vorfall wird durch die Meldung eines Computersystems dass ein IP Adresskonflikt besteht erkannt Operationale Vorbereitung Es ist nun notwendig sich Gedanken dar ber zu machen welche Daten zur Aufkl rung des Vorfalls notwendig sind Dies sind einerseits die Kommuni kationsprotokolldaten des Computersystems welches die Meldung anzeigte im speziellen ist dies dessen IP sowie MAC Adresse Des Weiteren k nnen die Logdaten des DHCP Servers weitere Hinweise liefern Durch die Aufzeichnung des Netzwerkverkehrs an geeigneter Position z B am Uplink des Netzsegmentes in dem der Fehler gemeldet wurde kann die Position des St rers eingegrenzt werden zudem ist es m glich dessen MAC Adresse herauszufinden Mit Hilfe Leitfaden IT Forensik 257 Strategische Vorbereitung Symptom Operationale Vorbereitung Einsatz der IT Forensik anhand ausgew hlter Szenarien der Daten aus den Netzkoppelelementen kann die Position des St rers gegebenenfalls weiter eingegrenzt werden Datensammlung Es werden nun die WerkzeugeDatensammlung ausgew hlt mit denen die gew nschten InformationenRohdaten
237. ebenen Zeitpunkt Da die Firewall nur Port Nummern protokolliert und keine Protokollanalyse vornimmt ist eine weitere Untersuchung auf dem Arbeitsplatzcomputer n tig Beigelegte Beweise Beweisdatentr ger 1 USB Datenspeicher ip_conntrack syslog syslog 0 syslog 1 gz syslog 2 gz syslog 3 gz syslog 4 gz syslog 5 gz syslog 6 gz Beweisdatentrager 2 WORM Medium DVD R mit Festplattenabbild Daten der forensischen Workstation verwendete Werkzeugversionen script Protokoll der Untersuchung Beweiszettel Pr fsummen der Daten von Datentr ger 1 Pr fsummen der Daten von Datentr ger 2 Untersuchung auf dem T tercomputer Untersuchender Max Mustermann Beginn der Untersuchung 24 07 2008 11 03 GMT 1 00 Leitfaden IT Forensik 297 Dokumentation Abschlie ender Bericht Einsatz der IT Forensik anhand ausgew hlter Szenarien Beim Eintreffen befand sich der Arbeitsplatz im aktiven Zustand und das Programm Open Office Writer war aktiv Zun chst wurden die aktiven Prozesse mit Tasklist auf einen mitgebrachten USB Datenspeicher gesichert Wie bei allen weiteren Beweisen wurde die Ausgabe dieses Programms mit der korrespondierenden SHA256 Hashsumme versehen und diese Pr fsumme auf dem beigelegten Beweiszettel notiert Gleiches wurde auch mit den Werkzeugen netstat und ipconfig durchgef hrt Danach wurde dem System von der Stromzufuhr getrennt Danach wurde das System von einem Datentr ger gestarte
238. eblockers angeschlossen Des Weiteren wird ein Datentr ger zur Aufnahme des Abbildes ben tigt Dieser sollte eine h here Kapazit t als der Datentr ger besitzen von welchem ein forensisches Abbild zu erstellen ist Als erstes sollte anhand einer bootf higen Diskette unter Einsatz beispielsweise des TAFT Werkzeuges festgestellt werden ob eventuell versteckte Bereiche auf dem zu untersuchenden Datentr ger vorhanden sind Danach sollte das System von der Helix CD gestartet werden Dabei sollten beispielsweise anhand der Startmeldungen die Bezeichnungen f r das Quell medium und das Zielmedium ermittelt wurden blicherweise beim Einsatz der Helix Umgebung hdX f r parallele IDE ATA Ger te sdX f r SCSI USB S ATA Ger te wobei das X durch einen Buchstaben zu ersetzen ist welcher die Reihenfolge im jeweiligen Bus repr sentiert Danach wird das forensische Werkzeug dcfldd aus der Kommandozeile mit den Angaben f r das Quellmedium f r den Speicherort der zu erzeugenden Imagedatei f r die Art der Hashsummenerzeugung und Ort f r die zu erzeugende Hashsummendatei gestartet Die Dauer der Imagegewinnung variiert stark und ist vom eigentlichen Datenvolumen und vom Datendurchsatz durch die Schnittstelle abh ngig Im Anhang werden detaillierte Checklisten gegeben welche die Abarbeitung dieses Ablaufs beispielhaft aufzeigen 206 beispielhaft sei hier Helix erw hnt http www e fense com helix 207 http defldd sourceforge net 20
239. echte vorliegen UV 357 Das Untersuchungsziel hierbei sind Sitzungsdaten und Prozessdaten UZs6 7 Die Untersuchungsaktion ist das online Speichern UA von Sitzungsdaten und Prozessdaten UE 7 Das zu erwartende Datenvolumen liegt im Megabyte Bereich DV gt Bei lokaler Anwendung auf dem zu untersuchenden System werden fl chtige und nichtfl chtige Daten ver ndert STW Das Ergebnis der Untersuchung ist datenschutzrechtlich nicht relevant DSR Ohne weitere Absicherung ist eine Beweiskrafttendenz eher schwierig BK Es sind externe 320 Leitfaden IT Forensik Anhang A Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 22232 Scalpel DBA Scalpel l uft auf Desktop PCs HW Das Programm ist f r Linux Windows und OS X erh ltlich SW 2 Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw ein Abbild von dieser es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO 1 123 132 F r Scalpel m ssen zun chst die Datei Header Footer eingestellt werden daher ist eine Aktivierung erforderlich AE Die Untersuchungs voraussetzung ist die technische Funktionsf higkeit des Computersystems UVs Untersuchungsziel sind Festplatten bzw Images davon also Rohdaten UZ Die Untersuchungsaktion besteht in der offline Speicherung von Dateien aus Datentr gern oder Abbildern von diesen UA Un
240. ed rfen Anzumerken ist dass einige forensische Methoden vor der Benutzung zun chst im Rahmen einer strategischen Vorbereitung aktiviert werden m ssen F r die Dokumentation liegt hier bisher nur das Werkzeug md5deep vor welches jedoch mit allen Datenarten umgehen kann Dar ber hinaus ist die Dokumentationsfunktion Aufgabe des Unter suchenden und somit nicht vollst ndig automatisierbar Forensische Toolkits Jenseits der im vorangegangenen vorgestellten einzelnen forensischen Werk zeugen sollen in diesem Kapitel Werkzeugsammlungen so gennannte forensische Toolkits berblicksm ig vorgestellt werden Eine detaillierte Pr sentation aller Eigenschaften dieser im Funktionsumfang sehr m chtigen Werkzeugsammlungen w rde den Rahmen dieses Leitfadens sprengen Zun chst sollen mit EnCase und X Ways Forensics zwei kommerzielle forensische Toolkits vorgestellt werden Im Anschluss werden mit Sleuthkit Autopsy und PyFlag Open Source Werkzeug sammlungen im berblick beschrieben EnCase EnCase ist eine kommerziell erh ltliche forensische Werkzeugsammlung die prim r bei Strafverfolgungsbeh rden verbreitet ist Es wird durch den Hersteller Leitfaden IT Forensik 213 Detaillierte Vorgehensweise in der IT Forensik Guidance Software vertrieben Der Fokus liegt bei EnCase insbesondere auf forensischen Post Mortem Untersuchungen Daher beginnt jede Untersuchung mit dem Einbinden eines Datentr gerabbildes EnCase kennt eine Vielza
241. eee e eee eee eee ee ete H AQ eg 2 05 Ba 044 3R br 4 5 amp 56789 CDEFGHIISTUWXYZcdefghijstuvwayz cece eee renee eens 2 Di ne E AE A A EEE 2 vee N 2 wf ER Era di Te lo S r ER 0 h 4pEH q U Kress Net AN pn Brut ee DE N Pre Fir EE TEE LEEREN vg 542 U e en ov T E 8 D kk XC w 2 iv V 2 2 ee KN E VTT Te 2 z Abb 86 JPEG Bild in einer E mit unbekanntem Kommunikationsprotokoll Dies ist durch die JFIF Zeichenfolge am Dateianfang zu erkennen 336 Leitfaden IT Forensik Anhang A Anhang B Ablaufdiagramme und Checklisten In diesem Teil des Anhangs befinden sich ausgew hlte Schritt f r Schritt Anleitungen bzw Ablaufdiagramme und Checklisten Diese Ablaufdiagramme und Checklisten dienen dabei jedoch nur als Beispiel um die Erstellung eigener Dokumente zu unterst tzen Dabei sind alle Ablaufdiagramme in verschiedene Sichten unterteilt Der Ausf hrende nutzt dabei die 1000er Sicht und arbeitet die einzelnen Punkte ab Danach gibt er die Ablaufdiagramme an seinen Vorgesetzen der die Aktionen auf 100er Sicht best tigt Zuletzt erh lt z B der Abteilungsleiter die Ablaufdiagramme um auf 10er Sicht die ordnungsgem e Durchf hrung zu best tigen Die einzelnen Sichten sind dabei jeweils um einen Tabulatorschritt einger ckt LI 10er Sicht LI 100er Sicht LI 1000er Sicht Sollten Markierungen in den Ablaufdiagrammen zu finden sein so ist dort das verwendete Werkzeug
242. eep Alive timeout 15 max 100 Connection Keep Alive Transfer Encoding chunked Content Type text html charset UTF 8 1f6a 20 08 2008 19 27 17 phpinfo php ini cpu mem users tmp delete safe_mode OFF PHP version 5 2 0 8 etch11 cURL OFF MySQL ON MSSQL OFF PostgreSQL OFF Oracle OFF Disable functions NONE Free space 13 48 GB Total space 14 42 GB uname a Linux S4 2 6 18 4 486 1 Mon Mar 26 16 39 10 UTC 2007 i686 GNU Linux sysctl OSTYPE linux gnu Apache 2 2 3 Debian mod_python 3 2 10 Python 2 4 4 Server PHP 5 2 0 8 etch11 mod nerl 2 0 2 Perl v5 8 8 Abb 84 Durch PyFlag rekonstruierte Webseite r57shell 1 31 fa Daten welche zum Server im Rahmen der Kommunikation gesandt wurden sind im Klartext lesbar sofern die bertragung unverschl sselt erfolgte Die nachfolgende Abbildung 85 verdeutlicht diesen Sachverhalt 334 Leitfaden IT Forensik Viewing file in inode Inet1 S3693 Classified as HTTP Request stream by magic POST includes rS7 php HTTP 1 1 Host 192 168 1 14 User Agent Mozilla 5 0 X11 U Linux i686 de rv 1 8 1 16 Gecko 20080715 Ubuntu 7 10 gutsy Firefox 2 0 0 16 Accept text xml application xml application xhtml xm1 text html q 0 9 text plain q 0 8 image png q 0 5 Accept Language de de de q 0 8 en us q 0 5 en q 0 3 Accept Encoding gzip deflate Accept Charset ISO 8859 1 utf 8 q 0 7 q 0 7 Keep Alive 300 Connection keep alive R
243. eferer http 192 168 1 14 includes r57 php Cookie uname Linux S4 2 6 18 4 486 231 Mon Ma r 26 1 6 3A39 3A1O UTC 2 007 1686 GNU 2FLinux i1d uid 3D33 28www data 29 gid 3D33 28www data 29 groups 3D33 28www data 29 sysctl ee69e921fbd7a94dab5e17dd423f337d mosvisitor 1 Content Type multipart form data boundary 1944928871113364081 462939911 So ee eRe eae ee EE 1944928871113364081 462939911 Content Disposition form data name userfile filename enyelkm ko Content Type application octet stream ELFLA Abb 85 Darstellung der Dateitibertragung mittels HTTP POST Hier wurde eine Bin rdatei mit dem Namen enyelkm ko an das Skript includes r57 php bertragen Aus der letzten Zeile der Abbildung ist zu entnehmen dass es sich bei der bertragenen Datei um eine ausf hrbare Datei mit einem ELF Header handelt Das Zielsystem war im betrachteten Fall der Computer mit der IP Adresse 192 168 1 14 wie der Referer Eintrag zeigt In der nachfolgenden Abbildung 86 hingegen ist ein kombinierter Datenstrom erkennbar in dem offensichtlich eine Bilddatei im JPEG Format bertragen wurde Leitfaden IT Forensik 335 Anhang A iewing file in inode Inet1 S3552 Classified as data by magic Ac Combined stream SendACap 90 451 297 TETT TEE EE TEE EE EE ENEE tee erie are DEE ER ET WR De d E EEN GN oe 0109 ieee amp 456789 CDEFGHIJSTUWWXYZcdefghijStUVWXyZ ccc cece
244. ehen h ufig Methoden innerhalb des Analysewerkzeugs zur Verf gung Bei der Abarbeitung der Arbeitsschritte der Untersuchung kann es vorkommen dass weitere Datenquellen identifiziert werden wodurch eine erneute Daten sammlung notwendig wird siehe dazu auch die Abbildung 21 ber die 90 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Vorgehensweise bei einer forensischen Untersuchung Bei der eigentlichen Durchf hrung ist eine durchgehende prozessbegleitende Dokumentation siehe Kapitel durchzuf hren Datenanalyse In den meisten F llen ist eine weitergehende Analyse der einzelnen Unter suchungsergebnisse notwendig In diesem Abschnitt k nnte es zum Beispiel dazu kommen dass zwei zuvor extrahierte Log Abschnitte korreliert werden um einen gemeinsamen Zeitstrahl zu ermitteln siehe dazu auch Kapitel Generell finden in diesem Abschnitt Methoden Anwendung die mehrere Datenquellen zueinander ins Verh ltnis setzen Die Auswahl dieser Methoden erfolgt hier ebenfalls durch die Nutzung des Werkzeugkatalogs f r den Abschnitt der Datenanalyse Dabei wird wieder nach den betrachteten Datenarten unterschieden um eine Liste geeigneter Werkzeuge zu erhalten siehe dazu Kapitel Auch in diesem Abschnitt ist eine akkurate Dokumentation notwendig um nach dem Ende der Untersuchung ein umfassendes Bild der Ereignisse zeichnen zu k nnen Im Abschnitt der Datenanalyse ist es nicht un blich dass weitere Datenquellen
245. ei dem Apache2 Webserver um den einzigen von au en erreichbaren Dienst des Webshops weshalb auch die Log Dateien dieses Dienstes als Datenquellen identifiziert wurden Diese beiden Log Dateien beinhalten die Datenarten Sitzungsdaten und Anwendungsdaten Auf eine Abbilderstellung des Massenspeichers wurde verzichtet da die Kompromittierung nur innerhalb einer Anwendung vermutet wird Da keine weitere Ver nderung von Daten zu beobachten war wurde auch auf eine Aufzeichnung des Netzwerk verkehrs verzichtet Das System selbst blieb zudem aktiv F r die Datensammlung wurde festgelegt dass f r die zu sammelnden Sitzungsdaten und Anwenderdaten die Integrit t und Authentizit t sichergestellt werden muss F r den Abschnitt der Untersuchung wurde die Extraktion von Hinweisen bzw Indizien geplant welche dann in der Datenanalyse miteinander zu korrelieren sind F r den Fall dass weitere Hinweise gefunden werden sollten ist gegebenenfalls in einer erneuten Datensammlung ein Abbild der Festplatte oder eine Kopie von einzelnen Dateien zu erstellen Datensammlung In der DatensammlungDatensammlung wurden aus der Werkzeugsammlung folglichSitzungsdaten Werkzeuge ausgew hlt die dazu in der Lage sind dieseAnwenderdaten Datenarten zu sichern Die nachfolgende Tabelle 47 verdeutlicht die Auswahl Hierbei wurden die Werkzeuge hinsichtlich der Datenarten unterteilt hier farbig markiert so dass eine direkte Auswahl der geeigneten Ma nahmen m glich
246. ei wird bei der nderung eines PDF Dokuments der vorherige Inhalt nicht entfernt Stattdessen werden nach der Dokument endekennung neue Objekte die ge nderte Querverweistabelle und ein neuer Trailer eingef gt siehe Abbildung 44 176 Siehe http www adobe com products acrobatstd pdfs acrobatstd_datasheet pdf 177 Siehe dazu http www adobe com devnet pdf 178 Siehe dazu auch http www tailrecursive org postscript postscript html 208 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Header PDF 1 X Objekte obj Querverweistabelle xref Trailer trailer Originaldatei ge nderte Datei Abb 44 schematischer Dokumentaufbau einer PDF Datei Der unver nderte Originalinhalt wird demzufolge immer im Dokument mitgef hrt jedoch entsprechend der ge nderten Verweistabelle entweder gar nicht oder ver ndert dargestellt Ein sehr einfacher Weg die Dokumenthistorie wiederherzustellen und die jeweiligen Zwischenversionen betrachten zu k nnen ergibt sich durch den Einsatz eines Texteditors Indem der Inhalt nach der vorletzten Dokument endekennung EOF abgeschnitten wird und die verbleibende Datei ab gespeichert wird erzeugt man den Zustand vor dem inkrementellen Update Um die Objektinhalte zu untersuchen bietet sich der Einsatz des forensischen Werkzeugspdf parser an Dieses in der Interpretersprache Python geschriebene Programm bietet zun chst die M glichkeit an alle vorha
247. ein Fehlverhalten stattfand engl false positive oder schlimmer noch es wird kein Alarm ausgel st obwohl ein Sicherheitsvorfall auftrat engl false negative Das Fehlverhalten liegt darin begr ndet dass die Untersuchung anhand von Regels tzen erfolgt welche vom Betreiber der IT Anlage im Rahmen der strategischen Vorbereitung festgelegt werden m ssen Dabei k nnen Regeln zur Verf gung gestellt werden welche ein ungew hnliches Verhalten erkennen Anomalieerkennung oder es k nnen Regeln erstellt werden welche einen Befehlsablauf enthalten der typischerweise nur zum Einbruch in ein System benutzt wird Signaturerkennung F r den Einsatz in der IT Forensik ist die F higkeit von IDS ma geblich die erkannten Regelverletzungen zu protokollieren Die Regels tze m ssen h ufig sich ndernden Gegebenheiten angepasst werden Aus der forensischen Sicht ist es absolut notwendig die f r den jeweiligen Zeitraum geltenden Regels tze zusammen mit den Logdateien manipulationssicher aufzubewahren 30 http www citi umich edu u provos systrace 31 http sourceforge net projects tripwire 32 http www snort org 52 Leitfaden IT Forensik Einf hrung Um die Gefahr der Manipulation der gewonnenen Logdaten abzuwenden sollten diese analog zu den Logdaten von Betriebssystem und IT Anwendungen auf den im Kapitel vorgestellten Logdatenserver manipulationssicher abgelegt werden NIDS k nnen die Daten nicht nur von dem Netzwerkinterface
248. eines Vorfalls von einem Angreifer eingesehen werden konnten Es ist nicht das Ziel des Leitfadens s mtliche zur Zeit auf dem Markt verf gbaren forensischen Werkzeuge im Detail oder in ihrer Anwendung vorzustellen Dieser Leitfaden soll Anregungen f r eine m glichst vollst ndige methodisch angemessene Durchf hrung von forensischen Untersuchungen geben Im Rahmen dieser Version des Leitfadens wird die Untersuchung des Arbeitsspeichers eines IT Systems nicht betrachtet auch wenn ausgew hlte Eigenschaften des Arbeitsspeichers und darin gespeicherter Datenarten diskutiert werden Des Weiteren wird auf besondere Charakteristiken welche sich durch den Einsatz von WLAN Technologie ergeben nicht eingegangen bspw die Ortung von Funknetzteilnehmern oder die Eigenschaften von AdHoc Netzwerken Die im vorliegenden Leitfaden vorgestellten grundlegenden Prinzipien und Vorgehensweisen sind jedoch nach einer geeigneten Adaption auch auf diesen Anwendungsfeldern einsetzbar Leitfaden IT Forensik 9 Zielsetzung des Leitfadens Der Anlagenbetreiber im Mittelpunkt Was wird nicht im Detail betrachtet Einordnung der IT Forensik in Vorfallsbearbeitung Abschitte des forensischen Prozesses Grundlegende Methoden Einf hrung Strukturierung des Leitfadens In Kapitel 1 werden grundlegende Begrifflichkeiten der IT Forensik einf hrend vorgestellt und es wird eine Einordnung bzw Abgrenzung zu anderen Ver ffentlichungen aus der IT For
249. eines Unterverzeichnisses Nachfolgend werden forensisch wertvolle Eigenschaften des FAT Dateisystems erl utert File Allocation Table FAT Die File Allocation Table ist deutlich einfacher aufgebaut als die in der Funktionalit t hnliche MFT des Dateisystems NTFS Struktur der Speicherorganisation In der File Allocation Table FAT wird u a die Menge der Cluster siehe dazu auch Kapitel des Leitfadens verwaltet welche von einer Datei belegt werden Des Weiteren verwaltet die FAT auch den Belegungsstatus aller Cluster Ein m glicher Status eines Clusters ist es dabei auch als defekt markiert zu sein Derartige Cluster werden nachfolgend nicht mehr von dem FAT Filesystem verwendet Dadurch k nnen in diesen Clustern Daten versteckt werden Dies sollte bei einer forensischen Untersuchung beachtet werden FAT Mirroring Aufgrund des Einsatzes des FAT Mirroring Mechanismus wird die File Allocation Table dupliziert siehe dazu auch Bun06 Im Gegensatz zum NTFS Dateisystem ist die Position dieser Tabelle festgelegt Sollte dieser Bereich durch einen Vorfall oder durch einen Hardwaredefekt unlesbar geworden sein wird auf diese Spiegelung der FAT zugegriffen Das FAT Mirroring geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten und kann bei der Rekonstruktion von gel schten Daten n tzlich sein FAT Root Folder Stammverzeichnis Leitfaden IT Forensik 147 Achtung Detaillierte
250. eitung durchzuf hren Dazu ist in den Eigenschaften der Windows Firewall mit erweiterter Sicherheit f r jedes Profil die Protokollierung zu aktivieren F r jedes Profil kann zudem eine eigene log Datei eingestellt werden Die maximale Dateigr e muss an das zu er wartende Kommunikationsverhalten des Computers angepasst werden Zur Auswertung ist kein spezielles Werkzeug n tig da die log Daten in einem Klartextformat gespeichert werden Volumen Schattenkopie Unter Windows Vista ab der Business Edition im Windows Server 2008 sowie in allen Versionen von Windows 7 wird im Explorer im Kontextmen einer Datei die Option Vorg ngerversion wiederherstellen angeboten Das System kopiert dabei eine fr here Version von einer ge nderten Datei aus C System Volume Information in das aktive Volumen zur ck Der Mechanismus der Schattenkopie erlaubt es analog zu der in Kapitel beschriebenen Versionierung unterschiedliche Versionsst nde von Dateien zu halten und nachtr glich zu extrahieren Die Schattenkopien basieren auf der Systemwiederherstellung von Windows und stehen nur f r NTFS Dateisysteme zur Verf gung Diese ist standardm ig auch nur f r das Systemlaufwerk aktiviert Soll diese Funktion auf weiteren Laufwerken genutzt werden so muss Leitfaden IT Forensik 119 Strategische Vorbereitung beachten Strategische Vorbereitung beachten Strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT F
251. ellen forensisch relevante Daten gewonnen werden wobei zur Auswertung des Eventlogs u a der in Kapitel vorgestellte Logparser zum Einsatz kommen kann Auf das Active Directory kann zur Laufzeit des Servers auch mit dem Werkzeug LDP aus den Windows Server 2003 Support Tools zugegriffen werden Dieses Werkzeug erm glicht den direkten Zugriff auf das LDAP Verzeichnis auf welchem das Active Directory aufgebaut ist Auch einige Zeitstempel sind damit zu ermitteln F r Nutzerkonten und Computerkonten sind dies der Erstellungszeitpunkt whenCreated der Zeitpunkt der letzten nderung whenChanged der Zeitpunkt der letzten fehlgeschlagenen Anmeldung badPasswordTime der Zeitpunkt der letzten Abmeldung lastLogoff der Zeitpunkt der letzten An meldung lastLogon der Zeitpunkt der letzten Passwort nderung pwdLastSet und der Zeitpunkt des Kontoablaufs accountExpires Das Werkzeug LDP stellt diese alle im Klartext dar Weitere interessante Eintr ge sind unter Anderem die Anzahl der Anmeldungen logonCount und der Z hler f r Passwort 152 siehe dazu auch http www microsoft com germany technet datenbank articles 600704 mspx Leitfaden IT Forensik 187 Replikation Achtung Detaillierte Vorgehensweise in der IT Forensik falscheingaben badPwdCount Bei Computerkonten ist zudem das verwendete Betriebssystem operatingSystem dessen Version operatingSystem Version u
252. elt indirekter Datenzeiger 1 dreifach indirekter Datenzeiger Von besonderem forensischen Interesse sind die Datenzeiger Zw lf direkte Datenzeiger geben an wo sich der Inhalt der Datei auf dem Dateisystem befindet Sollte der Platz nun daf r nicht ausreichen wird noch der indirekter Datenzeiger genutzt der auf eine Stelle im Dateisystem verweist an dem sich weitere Zeiger auf die eigentlichen Daten befinden Der doppelte indirekte Datenzeiger verweist auf eine Stelle an der Zeiger gespeichert sind die auf weitere Stellen verweisen an denen dann die eigentlichen Daten gespeichert sind Dieses Prinzip setzt sich auch beim dreifachen indirekten Datenzeiger fort Es ist einsichtig wie n tzlich diese Informationen zur Wiederherstellung von Dateien und ganzen Verzeichnisstrukturen sind Es ist hierbei hilfreich zu wissen dass der zweite Inode einer Partition immer deren Wurzelverzeichnis re pr sentiert Wenn die Datenzeiger bekannt sind k nnen die Bereiche leicht ausgelesen werden Zum Extrahieren der Inodedaten kann beispielsweise Werkzeug istat der Werk zeugsammlung Sleuthkit verwendet werden Inodes geh ren bzgl der Daten arten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Superblock Der Superblock ist Bestandteil der meisten UNIX Dateisysteme und beinhaltet kritische Verwaltungsinformationen siehe dazu auch Car05 Im Superblock sind beispielsweise die Gr e des Dateisystems die Liste frei
253. em Ziel fest indem er ICMP Nachrichten Internet Control Message Protocol mit inkrementell ansteigenden TTL Werten Time To Live an das Ziel sendet Der angezeigte Pfad ist eine Liste benachbarter Routerschnittstellen der Router im Pfad zwischen einem Quellhost und einem Ziel Der Pfad eines Paketes zu seinem Ziel gibt Aufschluss dar ber welche Systeme zus tzliche Daten zum Vorfall liefern k nnen Bei Vorf llen die ihren Ursprung au erhalb des lokalen Netzwerkes haben kann zudem der Standort des Verursachers eingegrenzt werden Dies wird dadurch erm glicht dass der Standort von einzelnen Routern in der Regel bekannt ist IPCONFIG Dieser Befehl zeigt alle aktuellen Konfigurationswerte des TCP IP Netzwerkes an und aktualisiert DHCP Dynamic Host Configuration Protocol und DNS Einstellungen Domain Name System Ohne Parameter zeigt ipconfig die IP Adresse die Subnetzmaske und das Standardgateway f r jeden Adapter an Unter Angabe des Parameters all werden zudem Daten zu bestehenden DHCP Leases die MAC Adresse DHCP und DNS Server sowie eine Beschreibung des Netzwerkadapters angezeigt Die aktuelle Konfiguration der Netzwerkadapter ist f r die Untersuchung sehr wichtig zudem liefert der Befehl bei dynamisch 49 Beschreibung aus dem Hilfe und Support Center Suche netsh 50 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf netstat 51 Beschreibung aus dem Hilfe und Support Center Suche tracert 52
254. em zu erhalten und dort eine Hintert r einzurichten In der CERT Taxonomie ergibt sich demzufolge als Resultat Ausweiterung von Rechten Dies zeigt die beistehende Tabelle 52 Leitfaden IT Forensik 269 Einsatz der IT Forensik anhand ausgew hlter Szenarien Angreifer Werkzeuge Schwach Aktion Ziel Resultat Absicht stelle Ausweitung von Rechten Tabelle 52 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Operationale Vorbereitung In der operationalenOperationale Vorbereitung wurde die Entscheidung getroffen dassVorbereitung komplette System zu sichern da zu diesem Zeitpunkt noch nicht klar war welche Bereiche der IT Anlage das Rootkit befallen hat Dadurch war es im Verlauf der Untersuchung einfach m glich weitere Dateien einzubeziehen Auf eine Aufzeichnung des Netzwerkverkehrs wurde verzichtet da das betroffene System zur Abbilderstellung ausgeschaltet wurde In der Untersuchung sollten Hinweise f r die Quelle die Art und das Ausma der Kompromittierung gefunden werden Dabei sind besonders versteckte Dateien und andere verd chtige Dateien zu suchen und auszuwerten Diese sollten dann in der Datenanalyse zum Vorfallsverlauf zusammengef gt werden Datensammlung Da es sich bei einer gesamtenDatensammlung Duplikation einer Festplatte siehe dazu auch Kapitel umRohdaten die Sammlung von Rohdaten handelt wurde im Abschnitt der Datensammlung ein
255. em zu sichern Eine fr hestm gliche Integrit tssicherung unter Verwendung von kryptographischen Hashsummen wird als unbedingt notwendig erachtet Mechanismen zur Datengewinnung Wie schon eingangs beschrieben besitzen Netzkoppelelemente Hardware Router Hardware Firewalls usw fl chtigen und nichtfl chtigen Datenspeicher Von besonderem Interesse sind bei diesen Ger ten vor allem die fl chtigen Daten welche den aktuellen Zustand des Ger tes beschreiben Diese m ssen vor einer Untersuchung der nichtfl chtigen Daten beispielsweise der im Flash ge speicherten Ger tekonfiguration gesichert werden Das Ger t darf vor der Sicherung der fl chtigen Daten nicht von der Spannungsversorgung und von der Netzwerkverbindung getrennt worden sein Datengewinnung durch Syslog In einen Log finden sich viele Daten ber sicherheitsrelevante Vorg nge welche 187 http www cisco com en US products sw iosswrel ps1818 products_tech_note09186a008015 083e shtml 188 http www windriver com products product overviews PO_VE_3_ 7 Platform 0109 pdf 218 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik auch im Rahmen einer forensischen Untersuchung bedeutsam sein k nnen Der lokale Speicherplatz f r die Speicherung von Logs welche vom jeweiligen Ger t erzeugt werden ist durch den Flash Speicher begrenzt Logdaten lteren Datums werden deshalb mit aktuelleren Daten berschrieben Deshalb bieten viele Ger te die M glic
256. en DS6 Identifikation und Bereitstellung der Kosten Leitfaden IT Forensik Einf hrung e DS12 Management der Anlagen e DS13 Management der Operationen e M2 Bewertung der Eignung von internen Kontrollen Hiermit werden in ISACA04 gem COBIT Steuerungs und Kontrollziele benannt jedoch keine technischen bzw organisatorischen Ma nahmen zum Erreichen dieser beschrieben was in der Natur des COBIT Frameworks liegt F r die IT Forensik dient COBIT zur Strukturierung von Prozessen Die bedeutsamsten Kriterien beim der Revision Review einer forensischen Untersuchung sind Prim r Zuverl ssigkeit Integrit t und Compliance e Sekund r Vertraulichkeit und Verf gbarkeit Somit k nnen die technischen Ma nahmen dieses Leitfadens welche diesen Steuerungs und Kontrollzielen in deren Umsetzung gen gen und mittels des COBIT Rahmenwerks in die Prozesse eines Unternehmens bzw einer Organisation integriert werden ITIL allgemein Das Vorgehen nach ITIL basiert auf organisatorischen Ma nahmen und entspricht nach Boc08 einem kontinuierlichen Prozess Dieser Prozess beginnt mit der Durchf hrung einer Standortbestimmung Assessment und besteht in der Beantwortung der Fragen der nachfolgenden Abbildung 2 Was ist die Vision Wo sind wir jetzt Wo wollen wir hin Wie kann das Ziel erreicht werden Woran erkennen wir dass wir dort sind Abb 2 Assessment Typisches Vorgehen bei der ITIL Implementierung nac
257. en wie das Werkzeug einzuordnen ist d h bei welchem Untersuchungsschritt es behilflich sein kann In den Beispielen wird aus methodischen Gr nden Open Source Werkzeugen Vorrang gew hrt jedoch auch anhand von kommerziell erh ltlichen Produkten deren quivalenz gezeigt 10 Leitfaden IT Forensik Einf hrung In den Erl uterungen zu Betriebssystemen und Dateisystemen werden die derzeit g ngigsten einbezogen und Microsoft Windows XP 2003 berblicksartig MS Vista Server 2008 und Linux openSUSE Linux sowie die Dateisysteme NTFS FAT EXT und ausgew hlte Erweiterungen beschrieben Als letzter Teilaspekt werden die acht forensischen Datenarten vorgestellt Diese Kategorisierung erlaubt es sowohl die unterschiedlichen Eingangsdaten f r forensische Werkzeuge als auch die Ausgabedaten dieser zu kategorisieren Hardwaredaten e Rohdateninhalte e Details ber Daten Konfigurationsdaten e Kommunikationsprotokolldaten Prozessdaten e Sitzungsdaten Anwenderdaten Der Nutzen dieser systematsichen Einteilung liegt in deren Unabh ngigkeit von speziellen forensischen Softwareprodukten In Kapitel3 wird auf der Basis des Modells und seiner Teilaspekte die Aufarbeitung von Szenarien vorgestellt Dies geschieht zun chst mit ausgew hlten Basisszenarien welche h ufig angewandte T tigkeiten beschreiben Diese Basisszenarien zeigen wie die einzelnen Methoden und deren konkrete Werkzeuge in einer geeigneten Kombination anwen
258. en Betrieb des Switches nicht notwendig sind Bei Routern hingegen ist auch die IP Adresse relevant Im Falle von Cisco IOS lassen sich die Daten mittels der Befehle show ip arp bzw show mac address table im Terminalfenster anzeigen siehe Abbildung 60 258 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Routerl gt show ip arp Protocol Address Age min Hardware Addr Type Interface Internet 192 168 85 26 1 001a 4f85 0f6d ARPA FastEthernet0 0 Internet 192 168 85 21 0005 1af7 2b78 ARPA FastEthernet0 0 Internet 192 168 85 20 0018 4d36 b92f ARPA FastEthernet0 0 Internet 192 168 85 12 000c 2911 b7ed ARPA FastEthernet0 0 Internet 192 168 85 10 0019 66c3 471d ARPA FastEthernet0 0 Internet 192 168 85 1 000c 298a b169 ARPA FastEthernet0 0 Internet 192 168 0 1 ca00 3052 00le ARPA Ethernet1 2 Internet 192 168 0 2 ca01 3052 0000 ARPA Ethernet1 2 Internet 192 168 85 231 ca00 3052 0000 ARPA FastEthernet0 0 Abb 60 Ausgabe von show ip arp auf einem Cisco Router We WNNN FM Auf Routern ist der Befehl show ip arp vorhanden die Daten sind mit den ARP Tabellen eines einzelnen Computersystems vergleichbar Mit show mac address table wird die MAC Tabelle von Switch Ger ten angezeigt Sie dient der gezielten Verteilung von Netzwerkpaketen an die jeweiligen Netzwerkanschliisse Welche Befehle auf dem Netzkoppelelement verf gbar sind h ngt dabei vom Ger t und der eingesetzten Softwareversion ab Die Abbildung 61 zeigt
259. en Der Zugang zum Internet erfolgt tiber einen zentralen Router N1 Ein zentraler Switch N3 verbindet die lokalen Client Cx Server Sx Architekturen Die Finanzbuchhaltung ist durch einen Switch N4 an das Hauptnetz angebunden In Bonn Beuel erfolgt der Zugriff auf die Zentrale in Bad Godesberg ber einen Router N6 dem ein Switch nachgeschaltet ist Gegen ber der urspr nglichen Musterlandschaft wurde ein externer Server S7 f r den Webauftritt der RECPLAST GmbH hinzugef gt Zudem ist der jeweilige Schutzbedarf durch die Farbgebung in Abbildung 8 kodiert wobei die Gelb f rbung einem mittleren Schutzbedarf und die rote Einf rbung einem hohen Schutzbedarf entspricht Die angenommene Softwareausstattung der einzelnen IT Komponenten der IT Anlage RECPLAST entspricht den nachfolgenden Tabellen 1 bis 4 Leitfaden IT Forensik 47 Einf hrung Externe Klienten C8 Windows XP Professional SP2 AntiVir Open Office VPN Client IPSec oder PPTP C9 Windows XP Professional SP2 AntiVir Open Office Grundverschl sselung VPN Client IPSec oder PPTP Tabelle 1 Softwareausstattung der externen Klienten Verwaltung Bad Godesberg N1 N3 N5 Router Switches Cisco mit IOS N2 Firewall Linux Debian IDS Sensor VPN Server IPSec PPTP Application Level Gateway S5 DB Server Fibu Windows Server 2003 MySQL Server Sl Dom nen Controller Windows 2003 Enterprise Serv
260. en Zudem sollten die aktuellen Verbindungen gesichert werden In der Untersuchung sollte der entsprechende St rer identifiziert werden Im Folgenden sollte die forensische Untersuchung auf dessen System fortgesetzt werden F r den Fall dass der St rer derzeit aktiv sein sollte so ist dann der Netzwerkverkehr zur Beweissicherung aufzuzeichnen Datensammlung F r die Datensammlung ergab sich daraus folgend die in Tabelle 65 dargestellte Auswahl an Werkzeugen und Methoden um diese Datenquellen zu sichern 286 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdaten Details tiber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 65 Werkzeuge ftir die Datensammlung Die Daten des IP Connnectiontrackings in proc net ip conntrack welches die bestehenden Verbindungen zeigt waren zu sichern Des Weiteren wurden das gespeicherte Syslog f r den gesamten vorhandenen Zeitraum gesichert Untersuchung In der Untersuchung wurden die Daten betrachtet die das IP Connectiontracking Untersuchung geliefert hat Jedoch war zu diesem Zeitpunkt keine verr terische Netzwerk Kommunikations verbindung aktiv weshalb die Log Dateien untersucht werden mussten Die protokolldaten Auflistung in Tabelle 66 gibt Aufschluss ber die d
261. en einzusortieren welche zwar nach dem vermuteten Eintreten eines Vorfalls aber vor der eigentlichen Datensammlung erfolgen Ein Beispiel f r eine Ma nahme der operativen Vorbereitung ist die Identifikation und Enumeration potentieller Datenquellen Solche Datenquellen schlie en auch mobile Datentr ger und externe Ger te beispielsweise PDA oder Mobiltelefone ein Nachdem die potentiellen Datenquellen identifiziert wurden schlie t sich der Abschnitt der Datensammlung DS an Ein Beispiel f r Ma nahmen welche in diesen Abschnitt einzusortieren sind ist die Erzeugung von Abbildern so genannten Images von Massenspeichern Damit deren Bergung beweissicher geschieht m ssen s mtliche erzeugten Images mit kryptographischen Verfahren abgesichert werden um die Integrit t des Beweismittels sicherzustellen An den Abschnitt der Datensammlung schlie t sich die Untersuchung US an In diesen Abschnitt lassen sich alle Ma nahmen einsortieren welche aus den gesammelten Daten zun chst allgemein forensisch wertvolle Daten extrahieren k nnen Ein Beispiel f r eine solche Ma nahme ist die Extraktion von Bilddateien aus dem Image einer Festplatte In dem darauf folgenden Abschnitt der Datenanalyse DA wird eine Detail analyse der gewonnenen Daten vorgenommen Hier kommen Ma nahmen zum Einsatz welche beispielsweise in der Lage sind aufgrund von gefundenen Inhalten Verbindungen zwischen mehreren Daten herzustellen und evtl auf die Leitfa
262. en siehe Abbildung 75 Welcome H Welcome to the syslog ng installert i i i This setup program will install syslog ng Premium Edition under vopt syslog ng directory Your current logging application syslogd or a previously installed syslog ng will be disabled meaning that it will be stopped and removed from the init system The installer automatically creates backups of files it removes or modifies into the original directory of the file If you will run this syslog ng installation in server mode prepare your license file now because it will be needed during the installation Abb 75 Syslog ng Installationsdialog Anschlie end wird der Nutzer gefragt ob die ermittelten Systemdaten korrekt sind Nach Beantwortung dieser Abfrage muss die Lizenzdatei inklusive deren Position im Verzeichnisbaum eingegeben werden Dann wird dar ber informiert dass das Verzeichnis opt syslog ng bin zu der PATH Variable der Nutzer hinzugef gt werden sollte Abschlie end wird eine einfache Konfigurationsdatei erzeugt Dabei wird abgefragt ob Logdaten aus dem Netzwerk empfangen und ob wiederum Logdaten an einen weiteren Logserver weitergeleitet werden sollen Danach ist der syslog ng Dienst einsatzbereit die bertragung und Speicherung erfolgt jedoch noch unverschl sselt Grundinstallation der Klientsysteme Nachdem die Grundinstallation des Servers abgeschlossen ist werden zun chst die syslog ng Clients installiert Im
263. en Betriebsarten des digitalen Rechnersystems bilden und insbesondere die Abwicklung von Programmen steuern und berwachen 66 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Ein Betriebssystem hat generell umfangreiche M glichkeiten forensisch wertvolle Informationen zu liefern siehe auch Ken06 Dies liegt vor allem darin begr ndet dass hier ein Gro teil der forensischen Datenquelle FD verwaltet wird Ressourcenzuteilung Die Daten k nnen vom Betriebssystem fl chtig im Arbeitsspeicher bzw nichtfl chtig auf Massenspeichern abgelegt werden siehe dazu auch die Ausf hrung bzgl Details ber Daten im Kapitel In einen Betriebssystem wird u a das Netzwerk verwaltet hier fallen fl chtige beispielsweise aktuelle Netzwerkverbindungen und nichtfl chtige Daten beispielsweise Konfigurationsvorgaben an Auch ein Gro teil des Loggings wird vom Betriebssystem durchgef hrt Hier finden sich Sitzungsdaten Daten ber ge ffnete Dateien Daten ber laufende Prozesse um nur einige Beispiele zu nennen Trotzdem ist eine weitere Betrachtung der anderen grundlegenden Methoden notwendig Auch wenn beispielsweise das Betriebssystem f r die Bereitstellung von Netzwerkdatenpaketen zust ndig ist so gibt z B die auf dem Betriebssystem laufende IT Anwendung dem Paket die inhaltliche Bedeutung Semantik Betriebssystemprotokollierung und Konfigurationsdaten Die Kenntnis der Protokollierungs und Konfiguratio
264. en Inhalt einer Datei Mit EnCase ist es zudem m glich die Verlaufsdatei des Internet Explorers sowie von Mozilla Firefox auszuwerten Unter anderem k nnen auch Postf cher im Microsoft Outlook Express DBX Format untersucht werden F r die Untersuchung von Windows basierten Systemen ist eine Auswertung der EVT Logdaten und der Windows Registry m glich Zus tzlich dazu kann der Untersuchende gezielt nach IP Adressen US Telefonnummern und Kreditkartennummern suchen Daf r verwendet EnCase eine grep kompatible Syntax Als Besonderheit ist eine eigene Scriptsprache integriert mit deren Hilfe k nnen eigene Funktionen implementiert werden die die forensische Untersuchung unterst tzen EnCase ist jedoch auf externe Anwendungen zum Betrachten vieler Dateitypen angewiesen da es diese nicht nativ unterst tzt Negativ f llt dies besonders bei Dateiarchiven auf Die MAC Zeiten zuvor ausgew hlter Dateien k nnen zur bersicht in einem Kalender dargestellt werden Durch das Vormerken engl Bookmark von Dateien werden diese in den Bericht bernommen Wenn dieser als HTML Datei exportiert wird so werden diese Dateien extrahiert und im Report verlinkt Zudem werden die Untersuchungs schritte des Forensikers grob protokolliert X Ways Forensics X Ways Forensics ist wie EnCase eine kommerzielle Werkzeugsammlung f r forensische Untersuchungen Es wird vom der X Ways AG hergestellt Anders 181Siehe dazu auch http www guidancesoftwa
265. en Inodes sind Verwaltungsstrukturen welche auf Dateien verweisen Dabei ist jeder Datei und jedem Verzeichnis genau ein Inode zugeordnet Die eigentlichen Dateiinhalte finden sich dann in den Datenbl cken Nachfolgend werden nun forensische Methoden dieser Datei systemfamilie vorgestellt Inodes Inodes werden u a in der nodes EXT Dateisystemfamilie genutzt um wichtige Details ber Daten zu speichern Struktur der Speicherorganisation Ein Inode ist immer 128 Byte lang und beinhaltet alle wichtigen Details ber eine Datei mit Ausnahme des Dateinamens Dieser wird im Verzeichnis als Dateiinhalt gespeichert in dem sich diese Datei befindet Eine besondere Behandlung erhalten Dateien deren Dateiname mit einem Punkt beginnt Eine Vielzahl von Betriebssystemen zeigt diese Dateien im Rahmen einer Dateiauflistung nicht ohne zus tzliche Parameter an z B durch Auflistung mittels des ls a Aufrufes Ein Inode beinhaltet die Zugriffsrechte Zugriffszeiten aber auch Verweise auf die eigentliche Speicheradresse der dazugeh rigen Daten siehe dazu auch Kapitel Die Struktur eines Inodes sieht wie folgt aus Dateizugriffsrechte Besitzer Gruppe Gr e Zeitstempel 118 Die letzte Blockgruppe kann eine jedoch eine geringere Gr sse aufweisen Leitfaden IT Forensik 155 Datenzeiger Erstellungszeitpunkt des Dateisystems Detaillierte Vorgehensweise in der IT Forensik 12 direkte Datenzeiger 1 indirekter Datenzeiger 1 dopp
266. en als Kombination aus Betriebssystem BS expliziten Methoden der Einbruchserkennung EME und Methoden zur Skalierung von Beweism glichkeiten SB einzusortieren Einteilung in die Datenarten einer forensischen Datenquelle Die von den Netzkoppelelementen unter Nutzung der Syslog und SNMP Mechanismen gewinnbaren Daten fallen in die Klassen der Hardwaredaten der Details ber Daten der Konfigurationsdaten der Netzwerkdaten und der Sitzungsdaten Einteilung in die Abschnitte des forensischen Prozesses Netzkoppelelemente k nnen in der strategischen Vorbereitung in der operationalen Vorbereitung in der Datensammlung und der Untersuchung eingesetzt werden Datengewinnung aus dem Netzwerkdatenstrom unter Einsatz des digitalen Fahrtenschreibers Au er der Gewinnung von Daten aus Netzkoppelelementen umfasst die Netzwerkforensik auch die Akquise und Untersuchung von Netzwerkda tenstr men Neben der automatischen Untersuchung und Protokollierung von Auff lligkeiten mit Intrusion Detection Systemen siehe dazu Kapitel sowie Kapitel besteht die M glichkeit zeitweise den gesamten Datenverkehr aufzuzeichnen Mit einer derartigen Aufzeichung als Teil des Abschnitts der Datensammlung DS anhand des in Kapitel vorgestellten abschnittsbasierten Verlaufs einer forensischen Untersuchung wird die Grundlage f r die nachfolgende Untersuchung gelegt welche im Kapitel beschrieben wird Die Aufzeichung ist mit so genannten Netzwerksniffern m
267. en ausgewertet O Die Logdateien wurden korreliert O Integrit t wurde sichergestellt O Die Pr fsumme des Abbildes wurde nach der Untersuchung mit der gesicherten Pr fsumme verglichen Ablaufliste zur Aufzeichnung der Kommunikation ber Netzwerke Die Ablaufliste zur Aufzeichnung der Kommunikation ber Netzwerke beschreibt die Einrichtung und Nutzung eines expliziten Werkzeugs Strategische Vorbereitung siehe Kapitel O Es wurde festgelegt welche Inhalte aufgezeichnet werden sollten L Es wurde festgelegt was aufgezeichnet werden soll L Es wurde festgelegt was aufgezeichnet werden soll L Es wurde ein Werkzeug zur Aufzeichnung von Rohdateninhalten zur weiteren Untersuchung auf Kommunikationsprotokolldaten sowie Anwenderdaten an geeigneter Position bereitgestellt O Der Digitale Fahrtenschreiber wurde an geeigneter Position im Netzwerk positioniert dieser stellt zudem Integrit t Authentizit t und Vertraulichkeit der aufgezeichneten Rohdateninhalte sicher O Das Live CD System des Digitalen Fahrtenschreibers wurde gestartet L Die fehlerfreie Daten bertragung ber den Digitalen Fahrtenschreiber wurde berpr ft Ll Ein Vorgehen technisch und oder organisatorisch zur Wahrung der Sicherheitsaspekte wurde festgelegt O Legen Sie ein Werkzeug zur Sicherung der Authentizit t bereit O Der Digitale Fahrtenschreiber stellt die Authentizit t sicher O Legen Sie ein Werkzeug zur Sicherung der Integrit t bereit O Der Digita
268. en der Sicherheitsprotokollierung der Windows Firewall erzeugen von eigenen Strategische Ereigniskennungen und Ereignismeldungen Vorbereitung OV Ermitteln der Hardwarekomponenten Versionsnummer von Windows Operationale Vorbereitung DS Sicherung von Routen Tabelle ARP Tabelle MAC Adresse EE statistische Informationen der Netzwerkadapter IP Verbindungsinformationen E Dom neninformationen Systemkonfiguration verwendete Dateisysteme Prozessinformationen Informationen zu im System vorhandener Partitionen Verlaufsdaten Sitzungsdaten Netzwerkfreigaben US Untersuchen von anderen Computern im Netzwerk Mac Adresse Ordnerstruktur Untersuchung Netzwerkumgebung DA Datenanalyse DO Dokumentation Tabelle 13 Identifizierte forensische Eigenschaften des Betriebssystems Microsoft Windows Server 2003 Diese Untersuchung erfolgt dabei anhand des in Kapitel vorgestellten Modells ber die Abschnitte einer forensischen Untersuchung und der in Kapitel beschriebenen Datenarten Hierbei werden nur die Datenarten in der nachfolgenden Beschreibung erw hnt welche eine zus tzliche Methode liefern Ermittlung von Rohdateninhalten Im Gegensatz zu Microsoft Windows XP bietet Microsoft Server 2003 mit Hilfe eines Hotfixes bzw mit der Ver nderung der Registry ein Tastenk rzel an um einen Speicherdump anzulegen Die Aktivierung dieser Eigenschaft ist als Ma nahme der strategischen Vorbereitung zu betrachten dmp Dateien Das Tastatur
269. en des MS DOS Zeitstempels keine Teilung in Tage Stunden usw vorgenommen Aus der Z hlergr e und der Intervallgr e ergibt sich das maximal erfassbare Datum bis zum Ende des Jahres 59601 UNIX 32bit Zeitstempel hnlich dem Windows Zeitstempel werden auch beim UNIX Zeitstempel nur Zeiteinheiten ab einem Startzeitpunkt gez hlt Dabei werden jedoch bei UNIX Zeitstempeln die abgelaufenen Sekunden in einem 32bit Wert beginnend ab dem 1 Januar 1970 erfasst Damit ergibt sich die gr te darzustellende Zeit als der 2 September 2030 19 42 Uhr Des Weiteren gibt es noch viele andere potentielle Zeitstempel in einem System Stellvertretend f r weitere Datumsangaben seien hier OLE 2 0 Datum und Uhrzeit 8 Byte beginnend ab 30 10 1899 ANSI SQL Datum und Uhrzeit 8 Byte beginnend ab 17 11 1858 Macintosh HFS Datum und Uhrzeit 4 Byte beginnend ab 1 1 1904 Java Datum und Uhrzeit 8 Bytes beginnend ab 1 1 1970 genannt Die Kenntnis des Zeitstempels allein reicht jedoch zur Zeit Datumsfeststellung einer Datei nicht aus es m ssen als Korrekturfaktoren noch die nachfolgend aufgef hrten Zeitzonen eingerechnet werden Zeitzonen Prinzipiell sollte bei jeder untersuchten IT Komponente die RTC BIOS Zeit erfasst werden Die im System g ltige Zeit hingegen ergibt sich aus dieser Zeit und einer Berechnung anhand der im System eingestellten Zeitzone Auf windows basierten Systemen ist die Zeitzone in zentralen der Registrierungs d
270. en ersten berblick ber die zus tzlichen 110 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik forensischen Werkzeuge in Microsoft Vista BS Betriebssystem SV Ver nderung des Wertes in der Registry f r den Eintrag Strategische NtfsDisableLastAcessUpdate auf 0 Definieren von Vorbereitung zus tzlichen Ereignisausl sern OV Operationale Vorbereitung Sicherung der Information ob Dateien einen ADS haben DS Wiederherstellen einer Vorg ngerversion von einzelnen Dateien Datensammlung oder kompletten Volumen Untersuchung von anderen Rechnern im Netzwerk winrs Suchen nach Malware US Untersuchung DA Datenanalyse DO Dokumentation Tabelle 14 Identifizierte forensische Eigenschaften des Betriebssystems Microsoft Windows Vista Wie in den vorangegangenen Kapiteln wird Kommandozeilenprogrammen der Vorzug gegeben da diese eine leichte Umlenkung in eine Textdatei erm glichen und deren Aufruf weniger Ver nderungen im untersuchten System zur Folge hat Des Weiteren muss darauf geachtet werden dass viele der vorgestellten Kommandozeilenprogramme h ufig zwei Modi haben sie k nnen entweder Daten auslesen oder ndern Im Rahmen eines forensischen Untersuchung darf dabei nur ausgelesen werden In der nachfolgenden Beschreibung werden die Datenarten aus Kapitel eingesetzt Deshalb erfolgt die Vorstellung von ausgew hlten forensischen Methoden des
271. en forensisch mit der DBA siehe Kapitel 2 1 2 6 dd gel scht dd if dev zero of dev sda sync O Erstellungssoftware aktualisieren und erreichbar lagern O Erstellungssoftware aktualisieren und erreichbar lagern O aktuelle HELIX CD erreichbar lagern Operationale Vorbereitung siehe Kapitel L Systemstatus berpr fen L Systemstatus ermitteln gegebenenfalls Sicherung fl chtiger Daten planen System f r Datensammlung vorbereiten L Ist das zu untersuchende System angeschaltet Falls Ja LJ Fl chtige Daten sichern Falls Nein Computersystem ffnen Festplatte abtrennen und wenn m glich mit einem Write Blocker wieder anschlie en L Startreihenfolge im System BIOS derartig angepasst dass zuerst vom CD DVD Laufwerk gestartet wird bei nicht vorhandenem Write Blocker gegebenenfalls ohne angeschlossene Festplatte durchf hren Datensammlung siehe Kapitel O Schreibschutz berpr fen O Schreibschutz berpr fen O Schreibschutz berpr fen O Abbilderstellungssoftware starten LI Abbilderstellungssoftware starten O Die Werkzeugsammlung HELIX Boot CD starten ggf Tastaturbelegung ausw hlen und die Startoption CONSOLE benutzen O Datentr ger identifizieren O Datentr ger Quelle und Ziel identifizieren L Massenspeicher unter Zuhilfenahme von den IT Anwendungen siehe Kapitel 2 1 2 4 dmesg siehe dazu auch Kapitel und less mit dmesg less identifiziert L forensisch gel schten Zieldatentr ger identifizieren bz
272. en typischen Ablauf von absichtlich provozierten Vorf llen zu kennen Dieser soll hier kurz umrissen werden Zun chst wird erst einmal grob der Zielbereich f r weitere T tigkeiten festgelegt beispielsweise durch die Auswahl eines IP Bereiches Dies beinhaltet das Abfragen von Namensdiensteintr gen DNS Als Ergebnis entsteht eine Liste von IP Adressen einer gew nschten Zielumgebung Dem schlie t sich typischerweise ein Port und Protokollscan an Das Ergebnis eines solchen Scans ist eine Liste von IP Adressen mit den zugeh rigen Ports TCP und UDP sowie evtl weitere unterst tzte Protokolle Im n chsten Schritt wird versucht herauszufinden welche Anwendungen idealerweise mit Versionsnummern und Patchleveln zu den festgestellten offenen Ports geh ren Mit diesen Informationen kann gezielt nach Schwach stellen und Sicherheitsl cken gesucht werden Im nachfolgenden Schritt des Exploitings bzw der Penetration wird versucht entweder gleich einen Zugang zum System als Systemadministrator zu bekommen oder als normaler Benutzer mit dem Ziel des nachfolgenden Erlangens von Systemadministratorrechten Zutritt zu bekommen H ufig werden danach Hintert ren eingerichtet um auch nach dem Schlie en der ausgenutzten Sicherheitsl cke in das System zu kommen Um den Vorgang zu verschleiern wird dann versucht Spuren der Vorg nge zu beseitigen z B durch Bereinigen von Logdateien Ma nahmen der Reaktion auf einen Vorfall w rden
273. endig ist bzw ausdr cklich nicht getan werden darf um zu einem sinnvollen Untersuchungsergebnis zu kommen Dieses Untersuchungsergebnis UE beschreibt die aus der Anwendung eines forensischen Werkzeugs oder der Durchf hrung einer forensischen Datenanalyse gewonnenen Informationen Ob die gewonnenen Ergebnisse datenschutzrelevant sind und wie diese ggf gesch tzt werden m ssen wird im Feld Datenschutz 310 Leitfaden IT Forensik Anhang A relevanz DSR angegeben Wenn das betrachtete Werkzeug bzw die Methode im Netzwerk OSD arbeitet wird das in dem entsprechend daf r vorgesehene Feld vermerkt Die Anwendung eines forensischen Werkzeugs bzw einer Methode kann eine Strukturwirkung nach sich ziehen diese ist dann im Feld STW anzugeben Im Feld DV wird das potentiell zu erwartende Datenvolumen bei Datensammlung bzw untersuchung und analyse eingetragen Eine Ein sch tzung der Beweiskrafttendenz im Bezug auf die Schuld bzw Unschuldsthese wird in dem Feld BK vorgenommen Um eine Beweissicherheit zu erreichen ist es sehr h ufig notwendig die Ausgangsdaten auf denen eine forensische Methode arbeitet als auch die Methode selbst abzusichern Die dazu als notwendig erachteten Ma nahmen sind im Feld der Schutzma nahmen SM einzutragen uw sw AB UO AE UA UZ UV UE psr Os STW Dv BK SM RE EE RER DE EE a E EE FR ee es DEIER LES RER RE ES DEE ll EH WEE FEH Hr ae Tabelle 74 Methodencharakterisier
274. ensik Einsatz der IT Forensik anhand ausgew hlter Szenarien BI x Ways Forensics Partition 1 15 05R 1 BE x ep Deloss az an A gt BES Aan 4 OE ge Falldaten sd_abbild dd Schlupfspeicher Freier Speicher sandisk_ReneSchult img sandisk_ReneSchult img Partiti Pfad unbekannt Verz in CI 214764 0 1 Dateien 0 Verz Name Tyd Gr e Erzeugung nderung Zugriff gt am 1 Sektor Kommentbr 2 Datei Bearbeiten Verz in Cl 214764 A Verz in Cl 214920 Verz in Cl 215076 Verz in Cl 215384 Verz in Cl 216756 Verz in Cl 218280 Verz in Cl 218744 Verz in Cl 218900 Verz in Cl 220576 Verz in Cl 220732 Verz in Cl 222868 Verz in Cl 223024 Verz in Cl 223180 Verz in Cl 223944 Verz in Cl 225772 Verz in Cl 226080 Verz in Cl 228516 Verz in Cl 228976 Verz in Cl 229284 Verz in Cl 229440 Verz in Cl 229596 Verz in Cl 229752 Verz in CI 233256 Verz in Cl 233868 Verz in Cl 234632 Verz in Cl 234788 Verz in Cl 235552 Verz in Cl 235708 Verz in Cl 236928 Verz in Cl 237236 Verz in Cl 239824 Verz in Cl 241500 Verz in Cl 241960 Verz in Cl 242116 Verz in Cl 242424 00 Verz in Cl 243036 348CB0 00 00 00 00 00 op OO OO OO 00 op OO OO 00 Verz in Cl 243800 s v gt Sektor 1721944 von 1957407 Offset 348CB000 0 Block A Abb 58 Falsch erkannte Datentypen bei der Dateiwiederherstellung x Schleuse Rothensee
275. ensik vorgenommen Weiterhin wird die IT Forensik im Zusammenhang zu verwandten Themen des IT Sicherheits managements positioniert Einen weiterer Schwerpunkt wird auf die strategische Vorbereitung im Vorfeld einer forensischen Untersuchung als einer der Kernaspekte der IT Forensik gelegt Das Kapitel 2 stellt das f r den Leitfaden entwickelte dreiteilige Modell des forensischen Prozesses vor Als erster Teilaspekt wird der zeitlichen Ablauf einer forensischen Untersuchung dargestellt Der zeitliche Ablauf einer forensischen Untersuchung wird hierzu unterteilt in die strategische Vorbereitung die operationale Vorbereitung die Datensammlung die Untersuchung die Datenanalyse und e die Dokumentation Als zweiten Aspekt des Modells des forensischen Prozesses werden sechs grundlegende grundlegende Methoden eingef hrt Dies sind Methoden des Betriebssystems Methoden des Dateisystems Explizite Methoden der Einbruchserkennung e Methoden einer IT Anwendung e Methoden der Skalierung von Beweism glichkeiten e Methoden der Datenbearbeitung und Auswertung Es wird systematisch aufgezeigt und beschrieben wie die einzelnen Methoden arbeiten und den forensischen Prozess in den jeweiligen Untersuchungsschritten unterst tzen k nnen Dabei werden die Wechselbeziehungen der grundlegenden Methoden innerhalb des Gesamtprozesses verdeutlicht F r ausgew hlte exemplarische forensische Werkzeuge wird zudem beschrieb
276. ensischen Untersuchung wird das im Leitfaden in Kapitel vorgestellte Modell und die in Kapitel dargestellte Vorgehensweise eingesetzt Im Szenario Wiederherstellung von Daten werden die folgenden forensischen Methoden genutzt siehe Tabelle 32 Relevante Methoden BS Betriebssystem FS FAT FAT Mirroring FAT Root Folder Dateisystem EME Explizite Methoden der Einbruchserkennung ITA IT Anwendungen SB Skalierung von Beweism glichkeiten DBA X Ways Forensics Datenbearbeitung und Auswertung Tabelle 32 Im Szenario Wiederherstellung von Daten relevante Methoden Strategische Vorbereitung In der strategischen Vorbereitung sind keine dedizierten Ma nahmen getroffen worden Dieses gestaltet sich im beschriebenen Fall auch schwierig denn ein besseres Dateisystem mit besseren Recovery M glichkeiten konnte nicht durch den Anlagenbetreiber ausgew hlt werden Jedoch wurden zur sp teren Verwendung der Modellname der eingesetzten Kamera und der verwendeten SD Karte festgehalten und dokumentiert Kamera Typ und Name Kodak EasyShare DX4530 e Seriennummer KCKCM35023005 Leitfaden IT Forensik 239 Symptom Einsatz der IT Forensik anhand ausgew hlter Szenarien SD Karte Typ und Name X4Store SD 1GB e Seriennummer 0643TK8501U Symptom Dem Benutzer fiel auf dass die Karte laut Kamera leer sei obwohl der Benutzer sicher wusste dass sich auf der Kamera mindestens 140 Aufn
277. ent Tabelle 28 Format der access log Die Client IP ist dabei die IP Adresse des Computers der die Seite aufgerufen hat Der Nutzer erscheint nur wenn eine Authentifikation per HTTP Auth stattgefunden hat Im Feld des Zugriffszeitpunktes ist die genaue Uhrzeit mit Datum des Zugriffs zu finden Die HTTP Anfrage ist die Anfrage die der Client an den Server gesendet hat Im HTTP Statusfeld wird der Antwortcode des Servers gespeichert im Normalfall sollte dies 20017 sein Im Feld der Ant wortgr e wird die Datenmenge in Byte angegeben die an den Client gesendet wurde Der HTTP Referer ist die Seite von der auf die URL verwiesen wurde Erfolgte der Zugriff direkt steht dort nur Im User Agent Feld wird die Brow serkennung des Clients gespeichert diese ist jedoch sehr leicht zu manipulieren Nach der aktuellen Rechtsauffassung sind diese Daten zumindest teilweise datenschutzrechtlich relevant dies gilt insbesondere f r die Client IP den Nutzernamen die HTTP Anfrage sowie f r den HTTP Referer Bei der Auswertung ist daher eine entsprechende Anonymisierung n tig Die Datei zur Fehlerprotokollierung hier error log wird in der Konfigurations datei des Apache Webservers festgelegt etc apache2 apache2 conf Mit dem Eintrag ErrorLog var log apache error log wird dies festgelegt Zu s tzlich kann das Loglevel mit der Anweisung ErrorLog var log apache2 error log definiert w
278. entr ger 1 Fallbeispiel Aufkl rung eines Vorfalls innerhalb einer IT Anwendung Denial auf Service Angriff auf MySQL Im Verlauf dieses Szenarios soll gezeigt werden wie ein Vorfall mit den Mitteln einer IT Anwendung aufgekl rt werden kann Weiterhin wird gezeigt wie durch den Vorteil den eine Untersuchung im Intranet gegen ber einer im Internet bietet der Angreifer genauer eingegrenzt werden kann Daher ist dieses Szenario zweigeteilt in die Untersuchung der betroffenen IT Komponente und des ausl senden Computers Strategische Vorbereitung Dieses Szenario findet aufStrategische dem Server S5 statt siehe Abbildung 65 Im RahmenVorbereitung der strategischen Vorbereitung wurden dabei die MySQL Query Logs aktiviert 276 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros NdA T3 8 Faxger te Abb 65 Modifizierte RECPLAST Musterlandschaft Ausl ser f r die Untersuchung ist der Umstand dass eine Webanwendung den Symptom Fehler anzeigt dass keine Verbindung zur Datenbank hergestellt werden konnte In der CERT Taxonomie liegt somit ein Vorfall vor der als Resultat Behinderung von Ressourcen und Dienstverf gbarkeit hat Diesen Umstand illustriert Ta belle 57 Angreifer Werkzeuge Schwach Aktion Ziel Resultat Absicht stelle Behinderung von Ressourcen und der Dienst
279. enumgebung bash findet jedoch nicht statt somit ist der forensische Nutzen stark eingeschr nkt Auswertung der Windows Firewall Protokollierung Die Auswertung kann nur erfolgen wenn die Protokollierung aktiviert wurde demnach ist die Aktivierung der strategischen Vorbereitung zuzuordnen jedoch die Sicherung dem Abschnitt der Datensammlung In den Einstellungen der Windows Firewall unter dem Reiter Erweitert sind die Einstellungen der Sicherheitsprotokollierung zu finden Aus der Datei C WINDOWS pfirewall log sind Daten ber die blockierten und erlaubten Verbindungen der Netzwerk schnittstelle zu entnehmen Ereignisanzeige eventvwr msc Die Ereignisanzeige dient zur Verwaltung von Protokollen die Informationen zu 56 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf openfiles 102 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Programmen Sicherheit und Systemereignissen auf dem Computer aufzeichnen Diese Protokolle befinden sich im Windows Verzeichnis unter system32 config Sie werden in den Dateien AppEvent Evt SecEvent Evt und SysEvent Evt gespeichert Dazu k nnen diverse berwachungsfunktionen in der lokalen Sicherheitsrichtlinie aktiviert werden die zus tzliche Ereignisse protokollieren unter anderem sind dies Anmeldeereignisse Anmeldeversuche oder auch die Verwendung bestimmter Rechte Dabei ist in jedem Fall der Datenschutz zu beachten M
280. er abbildern beispielsweise defldd oder durch Kopieren der Swap Datei aus dem Dateisystem Das Journaling Das EXT3 Dateisystem bietet die M glichkeit des Journalings d h dass eine nderung an den Daten auf dem Datentr ger zun chst in ein Journal geschrieben wird Daher kann die Integrit t des Datentr gers sichergestellt werden falls es w hrend der eigentlichen Schreiboperation in das Dateisystem zu einem Systemabsturz kommt Journaling Im Journal Modus werden alle nderung an einer Datei und ihren Metadaten zun chst komplett im Journal gespeichert ehe die eigentliche Datei ver ndert wird Hierdurch ist es m glich eine Datei nach einem Systemabsturz zumindest so wiederherzustellen wie sie nach dem Schreibvorgang aussehen w rde Im ordered Modus werden zun chst die Daten in einer herk mmlichen Vorgehensweise auf den Datentr ger geschrieben Lediglich f r das Schreiben der Metadaten wird hier das Journal herangezogen siehe dazu auch das Metadaten Journaling des NTFS im Kapitel Wenn also ein Journaleintrag f r eine bestimmte Datei vorliegt kann man davon ausgehen dass diese zuvor vollst ndig auf den Datentr ger geschrieben wurde EXT3 arbeitet bei einer Standard installation im ordered Modus Im write back Modus werden die Metadaten zu einem beliebigen Zeitpunkt in das Journal geschrieben Dies kann sowohl vor nach als auch w hrend des eigentlichen Schreibprozesses sein Anhand des Jou
281. er Bl cke und Inodes und die Gr e der Inode Liste gespeichert Diese Informationen sind essentiell um ein Dateisystem zu rekonstruieren Daher speichern die hier behandelten Dateisysteme mehrere Sicherheitskopien des Superblocks Ist der prim re Superblock besch digt k nnen mit Hilfe des Werkzeugs dumpe2fs EXT2 die Sicherheitskopien aufgefunden werden Mit dem Werkzeug e2fsck EXT2 kann das Dateisystem dann wiederhergestellt werden Als weitere forensisch wertvolle Information befindet sich der Zeitpunkt der Erstellung des gesamten Dateisystems im Superblock des EXT Dateisystems Ebenfalls im Superblock befindet sich die Angabe des last mount hier wird die Zeit mitgef hrt wann das Dateisystem das letzte Mal in ein laufendes System eingebunden wurde Verwaltung von Zeiten Bei den MAC Zeiten siehe dazu auch Kapitel handelt es sich um die Zeitpunkte der letzten Modifikation des letzten Zugriffs Access und der letzten Ver nderung der Metadaten einer Datei Creation Damit kann man beispiels weise auch erkennen wann zuletzt eine Bin rdatei oder ein Skript ausgef hrt wurde Die Zugriffszeit wird auch neu gesetzt wenn auf eine Bibliotheksfunktion aus einer Programmbibliothek zugegriffen wird Somit stellen die MAC Zeiten ein m chtiges Werkzeug dar um den Weg des Angreifers durch das System zur ckverfolgen Dennoch ist offensichtlich dass man diese Informationen bei 119 http www sleuthkit org sleuthkit 156 Leitfaden IT
282. er Untersuchung Die Untersuchung der gesammelten Daten findet auf der forensischen Workstation statt Nachdem der USB Datenspeicher angeschlossen ist beginnt die Unter suchung Wichtig sind auch hierbei die genaue Protokollierung der einzelnen Untersuchungsschritte sowie deren Ergebnisse Die eingesetzten Werkzeuge sind in der Tabelle 36 vermerkt Zun chst sollte dazu die Systemzeit aus dem Inhalt der mit script erzeugten Datei mit den gesicherten Daten der RTC verglichen werden Hier kann sich eine Abweichung ergeben wenn die BIOS Zeit UTC ist und die Systemzeit der lokalen Zeitzone siehe Datei timezone auf dem USB Datenspeicher entspricht Eine Abweichung von genau zwei Stunden kann also durchaus normal sein Kleine Abweichungen also in der Regel wenige Sekunden sind ebenfalls unbedenklich da diese u U durch unterschiedliche Zeitgeber hervorgerufen werden Sollte jedoch ein anderer Zeitunterschied festgestellt werden so ist ziemlich sicher dass nach dem letzten Neustart des Systems dessen Zeit ver ndert wurde Wenn hingegen beide Zeiten bereinstimmen diese jedoch von der Realzeit deutlich abweichen ist dies ein Indiz daf r dass die Manipulation bereits l nger zur ck liegt Im Anschluss m ssen die Neustartzeitpunkte mittels last aus den wtmp Dateien entnommen werden In Log Dateien k nnen nun mittels einer genaueren Untersuchung Zeitspr nge ausfindig gemacht werden Im Normalfall sind die Logdaten stren
283. er ersten Punkte dieser Aufz hlung bereits auf den ersten Blick ersichtlich ist ben tigen die weiteren Punkte einer Erl uterung Bei einer Untersuchung ist es allgemein nicht m glich unumst lich sichere Beweise zu liefern weshalb man sich auf Informationen verl sst die aus den gesammelten Daten interpretiert werden Diese Informationen sind selbstverst ndlich nur zu einer gewissen Wahrscheinlichkeit korrekt Dabei ist es nun ersichtlich dass ein Untersuchender der bereits sehr viel Erfahrung mit einem forensischen Werkzeug oder einer forensischen Methode hat bei dem Einsatz dieser die richtigen Ans tze verfolgt und die richtigen Schl sse f r die weitere Durchf hrung der forensischen Untersuchung zieht In die gleiche Richtung zielt auch die Motivation zur Auswahl des letztendlich verwendeten Werkzeugs Dabei m ssen Vor und Nachteile abgewogen werden so dass f r einen Dritten ersichtlich wird warum dieser Pfad der Untersuchung gew hlt wurde Im Rahmen des abschlie enden Dokumentationsprozesses wird aus den zuvor gesammelten Daten ein Gesamtbild erstellt Diese Dokumentation gibt u a Aufschluss dar ber welche Informationen aus den untersuchten Daten gewonnen wurden erkl rt aber auch wie die Untersuchung durchgef hrt wurde um sie einerseits f r Dritte nachvollziehbar zu machen andererseits aber auch um ihnen die M glichkeit zu er ffnen abzusch tzen wie wahrscheinlich die gewonnen Informationen korrekt sind Beispiele f
284. er mit Active Directory S2 Kommunikationsserver Linux Postfix Amavis ClamAV Spamassassin S3 Datei und Druckserver Windows 2003 Server S4 DB Server Kunden amp Auftrag Linux Apache MySQL C1 C5 Windows XP Professional SP2 AntiVir Open Office Tabelle 2 Softwareausstattung der Verwaltung Bad Godesberg Bonn Beuel N6 N7 Router Switches Cisco mit IOS S6 Server Windows Server 2003 Active Directory C6 Clients Windows XP Professional SP2 AntiVir Open Office C7 Tabelle 3 Softwareausstattung der Nebenstelle Bonn Beuel Webauftritt der Firma RECPLAST S7 Web Server Linux Apache MySQL PHP Joomla Tabelle 4 Softwareausstattung der Internetpr senz Hieraus ist ersichtlich dass die beispielhaft ausgew hlte Softwareausstattung sehr heterogen ist Aus der Kombination der einzelnen Softwarekomponenten ergeben sich reichhaltige Quellen forensisch wertvoller Daten welche ber einen Vorfall gesammelt werden k nnen Das Beispiel der RECPLAST Musterlandschaft wird im Kapitel zur Bearbeitung der Beispielszenarien hinzugezogen 48 Leitfaden IT Forensik Einf hrung Die Einrichtung und der Betrieb eines zentralen Logservers Das Betriebssystem und die darauf installierten Anwendungen auf IT Komponenten sammeln im regul ren Betrieb bereits forensisch wertvolle Daten Als Beispiel sei hier auf die Ereignisanzeige von Windows basierten Systemen oder auf den Syslog Dien
285. er zun chst als Supportfall identifiziert wird jedoch nach dem im Leitfaden vorgeschlagenen Vorgehen bearbeitet wird kann somit wertvolle und verwertbare Hinweise liefern wenn die Ursache nachtr glich als absichtlich herbeigef hrte Betriebsst rung erkannt wird Um dies zu unterstreichen sei beispielhaft hier eine doppelt vergebene IP Adresse in einem gro en lokalen Netzwerk genannt Abh ngig von der Netzwerkstruktur kann die Suche nach dem Ausl ser des St rfalls mit konventionellen Mitteln sehr zeitaufw ndig sein Geht man jedoch methodisch unter Verwendung der IT Forensik vor findet sich der Verursacher schneller Wenn es sich dann zus tzlich bei dem Verursacher um einen nicht authorisierten Klienten mit Schadensabsicht handelt wurden im selben Arbeitsschritt der Vorfallsaufkl rung die notwendigen Beweise auf akzeptierte Weise gesammelt 8 Leitfaden IT Forensik Einf hrung Was leistet der vorliegende Leitfaden Das Ziel dieses Leitfadens ist die Pr sentation eines praxistauglichen Modells f r die IT Forensik aus dem Empfehlungen und Handlungsanweisungen abgeleitet werden k nnen Es wird eine Vorgehensweise vorgestellt welche sowohl der Vorfallsaufkl rung dienlich ist dies schlie t auch Vorf lle durch Fehlbedienungen und Komponentenversagen ein jedoch auch formellen bzw juristischen Anforderungen gen gt Basierend auf den im zu untersuchenden System gespeicherten Daten und Informationen wird deren beweissichere Gewi
286. erden Dieses legt fest welche Daten in die Logdatei geschrieben werden Es stehen dabei folgende Optionen zur Auswahl debug info notice warn error crit alert und emerg Diese ge nerieren unterschiedlich viele Daten Die Option debug erzeugt dabei die gr te Datenmenge emerg hingegen die geringste siehe dazu auch Tabelle 29 Level Beschreibung 143http httpd apache org 144http httpd apache org docs 2 2 logs html 145M gliche HTTP Statuscodes http www w3 org Protocols rfc2616 rfc2616 sec10 html 146http www datenschutz rlp de downloads oh info_webserverlogfiles pdf Leitfaden IT Forensik 181 Achtung Datenschutz beachten Achtung Datenschutz beachten strategische Vorbereitung Detaillierte Vorgehensweise in der IT Forensik emerg Emergencies das System ist unbenutzbar alert sehr kritische Fehlermeldung sofortiger Eingriff notwendig crit kritische Fehlermeldungen error Fehlermeldungen warn Warnungen notice normale aber eventuell wichtige Meldung info zu Informationszwecken debug relevant nur bei der aktiven Suche nach Fehlern Tabelle 29 Loglevels des ErrorLogs Ein weiteres Log Modul des Apache Webservers ist mod_usertrack Es erm glicht die automatische Erstellung einer Logdatei die den Nutzungsverlauf jedes einzelnen Nutzers enth lt Dies wird auch als Clickstream bezeichnet Es muss jedoch zus tzlich mit der Option CookieTr
287. erkzeuge Schwachstelle Aktion Ziel Resultat Absicht Einschleusen Implemen Modifizieren Daten Ver nderungen von tation von Daten Kommandos Tabelle 51 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Leitfaden IT Forensik 267 Abschlie ender Bericht Einsatz der IT Forensik anhand ausgew hlter Szenarien Dokumentation Nachdem die Untersuchung anDokumentation dieser Stelle abgeschlossen ist sollen die gewonnenen Ergebnisse im Rahmen eines Berichts vorgestellt werden F r den hier vorliegenden Vorfall k nnte ein solcher Bericht wie folgt aussehen Forensische Untersuchung betreffs der Ver nderung von Preisen im Webshop vom Xx xx xxxx Untersuchender Max Mustermann Beginn der Untersuchung 4 11 2008 18 33 GMT 1 00 Ein Mitarbeiter meldete um 15 45 Uhr ungewohnliche Preisanderungen im Webshop Beim Eintreffen war der Server in Betrieb ein Nutzer war nicht angemeldet Zunachst wurde der Nutzer root angemeldet und eine Script Sitzung gestartet Anschlie end wurden die MySQL Binlogs untersucht Dabei zeigt sich dass um 15 40 36 Uhr der Preis einiger Artikel ver ndert wurde Bei der manuellen Korrelation mit den Apache Logs wird ersichtlich dass die nderung mit PHPMyAdmin durchgef hrt wurde Des Weiteren wurden von der IP des Angreifers verschiedene Shell Kommandos an ein PHP Script ipn php gesendet Der Erstellungs zeitpunkt dieser Datei
288. erletzen Strategische Vorbereitung siehe Kapitel Ein Vorgehen technisch und oder organisatorisch zur Wahrung der Sicherheitsaspekte wurde festgelegt Ein vertraulichkeitssicherndes Vorgehen wurde festgelegt Die Parameterauswahl des Werkzeugs tshark wurden derart eigeschr nkt dass keine Nutzdaten angezeigt werden k nnen Operationale Vorbereitung siehe Kapitel Die Integrit t des Untersuchungsgegenstandes wurde berpr ft Der Hashwert des Untersuchungsgegenstandes wurde berechnet und mit dem dokumentierten Wert verglichen Der Hashwert des Untersuchungsgegenstandes wurde berechnet sha256sum Mitschnitt cap Der ermittelte Hashwert wurde mit dem dokumentierten Wert verglichen Untersuchung siehe Kapitel Die Dokumentation der Untersuchung wurde sichergestellt Die Untersuchung wurde mit script dokumentiert Die Untersuchung wurde innerhalb einer script Sitzung durchgef hrt script Untersuchungsprotokoll Die Verbindungsdaten wurden untersucht Die Verbindungsdaten der OSI Schicht 2 wurden untersucht Die Ethernet Frames wurden ausgewertet tshark q z conv eth r Mitschnitt cap Die Verbindungsdaten der OSI Schicht 3 wurden untersucht Die IP Pakete wurden ausgewertet tshark q z conv ip r Mitschnitt cap Die Verbindungsdaten der OSI Schicht 4 wurden untersucht
289. ern gegen Ver nderung gesch tzt werden Das Unter suchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert das Unter suchungsergebnis muss wiederum extern gesch tzt werden SM 180 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Der Webserver Apache 143 Apache ist ein HTTP Server und geh rt zur grundlegenden Methode der IT Anwendungen Insbesondere die Protokollierung der einzelnen Zugriffe kann den forensischen Prozess unterst tzen Die aufgezeichneten Sitzungsdaten k nnen dabei helfen den Verlauf des Vorfalls zu rekonstruieren und sind daher im Abschnitt der Datensammlung zu sichern Betrachtet wurde die Standard konfiguration des Apache Version 2 2 3 aus der Linux Distribution Debian Etch Dieser legt die Logdaten im Verzeichnis var log apache2 ab Dort existieren zwei verschiedene Logtypen einerseits das Zugriffslog access log welches Sitzungsdaten enth lt andererseits das Fehlerlog error log Im Letzteren werden alle Fehler protokolliert Dies k nnen einerseits Zugriffe sein welche zu einem Fehler f hrten also Sitzungsdaten andererseits aber auch Fehler des Apache Prozesses also Prozessdaten Wie in Tabelle 28 ersichtlich ist besteht ein typischer Logeintrag aus mehreren Feldern Die access log ist im Common Log Format wie folgt aufgebaut Client Nutzer Zugriffszeit HTTP HTTP Antwort HTTP User IP punkt Anfrage Status gr e Referer Ag
290. ern sowohl Daten welche sich mit den Methoden des Betriebssystems BS und des Dateisystems FS auswerten lassen Sie stellen aber auch eigene Untersuchungs methoden zur Verf gung welche Daten liefern die anderweitig nicht erfassbar sind oder von einem Angreifer mit geeigneten Rechten au erhalb der Anwendung kompromittiert werden k nnen In Weg08 wurde die Aufkl rung eines Vorfalls unter anderem durch den Einsatz von Methoden der IT Anwendung diskutiert IT Anwendungen sind allerdings nicht f r forensische Untersuchungen konzipiert sie k nnen jedoch durch ihre Eigenschaften den forensischen Prozess unter st tzen Um eine zusammenfassende Einordnung der in diesem Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 27 verwiesen Leitfaden IT Forensik 169 Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik ITA IT Anwendungen SV Aktivierung MySQL Slow Query Log Aktivierung MySQL a Query Log Aktivierung der Pidgin Logs Aktivierung des XChat Logs OV Operationale Vorbereitung DS MySQL Binlogs MySQL Prozesslogs MySQL Slow Query Datensammlung Log MySQL Query Log Trillian Pidgin Xchat Logs Xchat Scrollbacklog Logging der Bash Kommandozeilenumgebung Microsoft Outlook Mozilla Thunderbird Logging des Webservers Apache Mozilla Firefox Microsoft DFS Active Directory eDirectory OpenLDAP US Untersuchung DA Datenanalyse DO Doku
291. ersichtlich dass die in den Metatags enthaltenen Daten eine hohe forensische Bedeutung haben k nnen Auch eine nachtr gliche nderung eines Bildes kann u U durch den Vergleich aus Vorschaubild und Digitalfoto auff llig werden Leitfaden IT Forensik 205 Detaillierte Vorgehensweise in der IT Forensik FileName 100 _1720 jpg FileType JPEG FileSize 3519861 JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP JPEG APP Ifd1 Compression Ifd1 Orientation Ifd1 JPEGlInterchangeFormat Ifd1 JPEGlInterchangeFormatLength 9454 2 13270 Ifd0 Make EASTMAN KODAK COMPANY Ifd0 Model KODAK DX7590 ZOOM DIGITAL CAMERA Ifd0 Orientation 1 0 0 is top left Ifd0 XResolution 230 Ifd0 Y Resolution 230 Ifd0 ResolutionUnit 2 pixels per inch Ifd0 Y CbCrPositioning 1 centered Ifd0 ExifIFDPointer 518 Ifd0 Exif ExposureTime 0 0
292. erst tzen Die Bash ist die Standard Shell vieler unixartiger Betriebssysteme so auch beim Gro teil der Linuxdistributionen Die Daten sammlungsfunktion besteht darin alle Programmaufrufe mit deren Parametern die in der Shell gestartet wurden zu speichern Diese Funktion dient dem Anwender zur einfachen Wiederholung von Aufrufen Dazu werden diese in die Datei bash_history im jeweiligen Nutzerverzeichnis gespeichert In dieser exis tieren jedoch weder Zeitstempel noch Informationen zur Integrit t der Datei selbst Dennoch kann die Bash History wichtige Daten enthalten im Wesentlichen handelt es sich dabei um Sitzungsdaten Als Beispiel seien hier Passw rter zu nennen die als Parameter an ein Programm bergeben wurden Bei diesen Daten ist ebenfalls der Datenschutz zu beachten Als Interpreter f r Shellskripte kann die Bash auch in anderen Abschnitten als der Datensammlung genutzt werden Gerade bei der teil automatisierten Unter suchung und Datenanalyse von gesammelten Daten kann die Bash eingesetzt werden Im Falle einer forensischen Untersuchung eines unixartigen Systems bietet die Bash zudem die Schnittstelle zum IT System f r den Untersuchenden Hier ist speziell die M glichkeit hilfreich Programmausgaben in Dateien oder an andere Programme weiterzuleiten Als eine Erweiterung der Protokollierungsfunktion kann dann die IT Anwendung script gestartet werden welche s mtliche Konsolenein und ausgaben in einer separaten Datei spei
293. ersuchung einzusortieren und sind in jeder aktuellen Linux Distribution verf gbar Eine sehr wichtige Information die IP Adresse l sst sich nicht direkt ermitteln Die Routen Tabelle Die Routen Tabelle gibt dar ber Auskunft welchen Weg durch das Netzwerk die einzelnen TCP IP Pakete nehmen Dieser h ngt im Normalfall von ihrer Ziel Adresse ab Somit k nnen diese Daten Hinweise auf weitere zu untersuchende Systeme enthalten Daher ist diese Datenquelle auch im Abschnitt der operationalen Vorbereitung relevant Sie kann aus proc net route extrahiert werden Die Datei hat folgenden Aufbau siehe Tabelle 18 Iface Destination Gateway Flags RefCnt Use Metric Mask MTU Window IRTT ethO 0000A8C0 00000000 0001 0 0 0 OOFFFFFF 0 0 0 ethO 00000000 0100A8C0 0003 0 0 0 00000000 0 0 0 Tabelle 18 Aufbau einer Routentabelle Diese Daten liefert auch der Befehl route als Methode des Betriebssystems wird jedoch keine derartige zus tzliche Anwendung ben tig Die Datenfelder werden im Folgenden beschrieben face ist der verwendete Netzwerkadapter Im Feld Destination befindet sich die Netzwerkadresse des Zielnetzes als Hexadezimalzahl diese ist in der Network Byte Order dargestellt welche der Zahlendarstellung in Big Endian Systemen entspricht daher sind die Zahlen paarweise beginnend mit den letzten Beiden zu lesen So entspricht das Zielnetz 0000A8C
294. erung der Windows Firewall Erzeugen von eigenen Strategische Ereigniskennungen und Ereignismeldungen Vorbereitung OV Ermitteln der Hardwarekomponenten Versionsnummer von Windows Operationale Vorbereitung Sicherung von Routen Tabelle ARP Tabelle MAC Adresse statistische Informationen der Netzwerkadapter IP Verbindungsinformationen DS Dom neninformationen Datensammlung Systemkonfiguration verwendete Dateisysteme Prozessinformationen Informationen zu im System vorhandener Partitionen Verlaufsdaten Sitzungsdaten Netzwerkfreigaben US Untersuchen von anderen Computern im Netzwerk MAC Adresse Ordnerstruktur Netzwerkumgebung Untersuchung DA Datenanalyse DO Dokumentation Tabelle 12 Exemplarische Auswahl integrierter forensischer Werkzeuge in Microsoft Windows XP SP2 Grunds tzlich sollte Kommandozeilenprogrammen der Vorzug gegeben werden da die leichte Umlenkbarkeit der Ausgabe in eine Textdatei die Dokumentation und die Absicherung der Integrit t des Untersuchungsergebnisses erleichtert Zun chst ist zu beachten dass alle hier vorgestellten Werkzeuge die fl chtigen Daten eines Systems ver ndern und h ufig auch die nichtfl chtigen Daten modifizieren bzw nicht sicherstellen dass diese nicht ver ndert werden Ihr Einsatz ist demzufolge nur auf einer forensischen Kopie der Systempartition angeraten In der nachfolgenden Beschreibung werden die Datenarten aus Kapitel eingesetzt Deshalb erfolgt die
295. es Ziel verfolgen Das Ergebnis des Angriffs ist dann das eigentliche Resultat welches der Angreifer durch eine bestimmte Absicht verfolgt hat Es ist ersichtlich dass das eigentliche Ereignis nur Teil eines gr eren Ganzen ist Soll ein Ereignis bestehend aus einer Aktion eines T ters und dessen Ziel klassifiziert werden so muss der gesamte Angriff welcher zus tzlich aus den Werkzeugen der ausgenutzten Schwachstelle und dem Resultat besteht ausgewertet werden Dies ist notwendig um den Angriff vollst ndig zu erkennen und zuk nftig eventuell abwehren zu k nnen F r eine umfassende Analyse eines Vorfalls muss ebenfalls der Typ des Angreifers und dessen Absicht untersucht werden um die konkrete Bedrohung zu bestimmen zum Beispiel wird sich wahrscheinlich ein Hacker nach erfolgreichem Einbruch in ein System wieder entfernen wohingegen ein Spion an dieser Stelle weiter seiner Aufgabe nachgehen und den Computer umfangreich aussp hen wird Es besteht ein enger Zusammenhang zwischen der CERT Taxonomie und den Sicherheitsaspekten siehe auch Abbildung 5 Die Sicherheitsaspekte haben allgemein in der IT Sicherheit eine fundamentale Bedeutung und sind auch f r die IT Forensik auf zwei Arten bedeutsam In der IT Forensik sollen IT Sicherheitsvorf lle aufgekl rt werden was einem Nachweis einer Verletzung der Sicherheitsaspekte gleichkommt Des Weiteren m ssen die gesammelten Daten welche als Indizien f r einen Vorfall dienen k nnen
296. es betraf die Rekonstruktion von fragmentierten Dateien eines zu Testzwecken im Projekt Digital forensic tool Testing erstellten Datentr gerabbildes Des Weiteren geht bei der Dateiwiederherstellung der erste Buchstabe des Dateinamens verloren Die FAT geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Extraktion von Rohdateninhalten Prinzipiell gelten f r das FAT Dateisystem auch die Ausf hrungen aus dem Kapitel Nachfolgend werden nun ausgew hlte forensische Methoden dieser Dateisystemfamilie vorgestellt Extraktion von Dateien Das FAT Dateisystem bietet einige M glichkeiten die das Wiederherstellen von gel schten oder verlorenen gegangenen Daten unterst tzen Struktur der Speicherorganisation Mit Hilfe der in den File Allocation Tables gespeicherten Informationen ber den physikalischen Ort der zu extrahierenden Daten k nnen die zugeh rigen Sektoren ausgelesen werden Auf diese Weise lassen sich u a auch als gel scht markierte Dateien rekonstruieren Dazu sei zun chst einmal der regul re L schvorgang beschrieben um nachfolgend auf Wiederherstellungsstrategien eingehen zu k nnen Der L schvorgang enth lt zwei Aktionen Der erste Buchstabe des Dateinamens innerhalb des Verzeichniseintrages wird durch das ein reserviertes Zeichen hexadezimal E5 ersetzt Derartige Verzeichniseintr ge werden vom anfordernden Betriebssystem ignoriert In der FAT werden
297. esamtverlauf eines Vorfalls und den Zusammenh ngen zu erhalten Zusammenfassen unterschiedlicher Datenquellen in eine Zeitlinie Bei diesem Schritt werden Ereignisse aus unterschiedlichen Datenquellen in einen ge meinsamen Zeitstrahl eingef gt um den zeitlichen Ablauf allgemein darzustellen Die bersetzung dieser Quellen obliegt dem Untersuchenden der daf r aber teils Hilfe durch forensische Werkzeuge wie beispielsweise das in diesem Kapitel vor gestellte Werkzeug Zeitline erhalten kann Zusammenfassung von Ereignissen zu Super Ereignissen In diesem Schritt werden mehrere Eintr ge oder Ereignisse zu einem Gr eren zusammengefasst Dies erh ht die bersichtlichkeit in dem beispielsweise drei Log Eintr ge zu 200 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik normalen Systemanmeldungen zu einem Ereignis zusammengefasst werden Dies leistet beispielsweise das in diesem Kapitel vorgestellte forensische Werkzeug Zeitline Erkennung von zeitlichen Zusammenh ngen zwischen Ereignissen Durch diese gemeinsame Zeitlinie wird es im Idealfall m glich den Zusammenhang zwischen unterschiedlichen Ereignissen zu erkennen Beispielsweise w re es denkbar dass der Ausfall eines Systemdiensts immer auftritt nachdem eine bestimmte Webseite auf dem System aufgerufen wurde F r diesen Kernpunkt der Korrelation ist die Erfahrung und Auffassungsgabe das wichtigste Werkzeug w hrend selbst aus gekl gelte L
298. este lterer Dateien die diesen Speicherbereich einst belegt haben finden Es kann aber auch ebenso vorkommen dass versucht wurde im Slack Speicher Daten vor einem Ermittler zu verstecken Im Abschnitt der Datensammlung einer forensischen Untersuchung werden diese Daten ausschlie lich durch den Einsatz forensischer Werkzeuge gesichert welche ein genaues Datentr gerabbild erstellen Das beispielhaft ausgew hlte Werkzeug dcfldd leistet dieses und bietet zu s tzlich die F higkeit zur automatisierten Erstellung von Pr fsummen um die Beweisintegrit t zu gew hrleisten siehe dazu auch die Ausf hrungen ber die Sicherheitsaspekte in Kapitel Extraktion des Swap Speichers Die Aufgabe des Swap Speichers ist es Daten aufzunehmen die keinen Platz im 114 http www sleuthkit org sleuthkit man icat html 115 http defldd sourceforge net 150 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Arbeitsspeicher des Computersystems finden In diesen Daten k nnen prinzipiell die gleichen Informationen wie im Arbeitsspeicher finden Der gro e Vorteil ist jedoch dass die Daten im Swap Speicher nicht bei Spannungsverlust verloren gehen Des Weiteren werden Daten im Swap Speicher nach ihrer Verwendung nicht explizit gel scht wodurch man die M glichkeit hat aus dem Swap Bereich ltere Daten zu extrahieren Unter Windows basierten Systemen handelt es sich bei dem Swap Speicher um die im root Dateisystem befindlich
299. estlegung dass eine Windows XP SP2 Standard Installation das Betriebssystem festlegt geh ren auch die in der Standard Installation befindlichen Applikationen zum Betriebssystem Aus diesem Grund werden nachfolgend die exemplarisch ausgew hlten Applikationen Internet Explorer Outlook Express und Windows Media Player bez glich ihrer forensischen Eigenschaften betrachten Internet Explorer Der Internet Explorer verwaltet den Browser Cache abgelegte Cookies und den Verlauf Dazu werden forensisch wertvolle Daten an verschiedenen Stellen im Dateisystem abgelegt siehe dazu auch Jon03 Der Browser Cache eines Nutzers befindet sich in der Standardkonfiguration im Verzeichnis C Dokumente und Einstellungen lt Nutzername gt Anwendungsdaten Temporary Internet Files Hier finden sich zwischengespeicherte Internetseiten welche die Darstellungen von oft besuchten Seiten beschleunigen sollen engl Browser Cache Die Standardeinstellung stellt f r die Zwischenspeicherung 1024KB zur Verf gung Des Weiteren k nnen auch nutzergenerierte Inhalte wie z B Webmail Texte gespeichert worden sein Der Speicher f r Cookies befindet sich im Verzeichnis C Dokumente und Einstellungen lt Nutzername gt Cookies Hier sind die Daten hinterlegt die von besuchten Webseiten gespeicherte Informationen h ufig Konfigurationsdaten des benutzten Webdienstes oder Besuchsz hler u a gespeichert werden Der Verlauf wird im
300. eter Bauch Andreas Zeit und Normalfrequenzverbreitung mit DCF77 PTB Mitteilungen 114 2004 Pim06 Pimenidis Lexi Uberwachung der Sicherheit In MISC Magazin 1 2006 Diamond editions 2006 P1607 Pl tner Johannes Wendzel Steffen Praxisbuch Netzwerksicherheit ISBN 978 3 89842 828 6 2007 R s03 R ssing Rolf von Ein Integrationsmodell f r das Krisenmanagement 2003 Ruf07 Ruff Nicolas Enter SandMan PacSec07 http www msuiche net pres PacSec07 slides 0 4 pdf 2007 Sch00 Schneier Bruce Secrets and Lies Digital Security in a networked world Wiley Publishing Inc ISBN 0 471 25311 1 2000 306 Leitfaden IT Forensik Literaturliste Sch01 Schmidt Friedhelm SCSI Bus und IDE Schnittstelle Addison amp Wesley Verlag ISBN 3 8273 1828 9 2001 Sch07 Schaar Peter Das Ende der Privatsph re Bertelsmann Verlag ISBN 978 3 570 00993 2 2007 Sil99 Silberschatz Avi und Galvin Peter Operating System Concepts Wiley Publishing Inc ISBN 0 471 36414 2 1999 Spe08 Spenneberg Ralf Undeleted Carving tools help you to recover deleted files Linux Magazine Issue 93 2008 Sta95 Stallings William Operating Systems Prentice Hall ISBN 0 13 180977 6 1995 Sta98 Stallings William SNMPv3 A Security Enhancement for SNMP IEEE Communications Surveys 1998 Ste08 Stevens Didier Shoulder Surfing a Malicious PDF Author http blog didierstevens com 2008 11 10 shoulder surfing a malicious pdf aut
301. etriebssystem und Anwendungen Betriebssysteme und Anwendungen k nnen dabei in der Lage sein Ressourcen und Nutzer zu verwalten siehe Sil99 Systeme k nnen aus beliebigen Kombinationen von Teilsystemen und Maschinen bestehen Die Kombination und Interaktion bildet dabei neue beliebig komplexe Systeme siehe Sch00 Mit zunehmender Komplexit t steigen die durch 80 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik schnittliche Fehleranf lligkeit und das Potential zum vors tzlichen Ausnutzen dieser Schwachstellen eines Systems Die potentiell f r forensische Untersuchungen zur Verf gung stehenden Daten werden dabei als forensische Datenquellen FD verwendet Dadurch wird es m glich die im betrachteten System gespeicherten und potentiell forensisch bedeutsamen Daten unabh ngig von speziellen forensischen Werkzeugen aus der Datensicht zu erfassen Die nachfolgende Abbildung 16 beschreibt diese Sichtweise Abb 16 Forensische Datenquellen Danach befinden sich in jeder grundlegenden Methode Daten aus denen sich forensisch bedeutsame Informationen gewinnen lassen Motiviert durch das ISO OSI Modell f r Netzwerkkommunikation siehe u a Sta95 und die Aufteilung von Aufgaben des Betriebssystems in Schichten geschichtete Systeme siehe Tan01 wird die nachfolgend erl uterte Aufteilung in Datenarten vorgenommen Sowohl das ISO OSI Modell als auch die geschichteten Systeme verwenden einen hierarchischen
302. etroffen sind ergeben sich auch mehrere einzelne Untersuchungen auf diesen Komponenten Diese Ergebnisse zu einem einheitlichen Zeitverlauf zusammenzuf hren und in einen logischen Zusammenhang zu bringen geschieht im Abschnitt der Datenanalyse Hier k nnen sich auch neue Untersuchungen auf bisher nicht betrachteten Komponenten ergeben welche dann nach dem vorgestellten Schema durch eine erneute Sammlung und Untersuchung abzuarbeiten sind Die Durchf hrung der Datenanalyse ist sorgf ltig zu dokumentieren Nach Abschluss der Datenanalyse erfolgen Untersuchungsschritte zur Dokumentation Hier werden die einzelnen im Untersuchungsverlauf proto kollierten Schritte zu einem oder mehreren Berichten zusammengefasst Der Inhalt eines Berichtes muss dabei der jeweiligen Zielgruppe angepasst werden So enth lt der Bericht f r das Management andere technische Details als beispielsweise der Bericht f r den Administrator einer Anlage Des Weiteren muss nach Abschluss der Untersuchung auch eine Man verkritik erfolgen in welcher verbesserungsw rdige Abl ufe identifiziert werden Eventuell ist damit auch eine nderung der Response Strategie verbunden die auch strategische Vorbereitungs ma nahmen zur verbesserten IT Forensik beinhalten k nnen Im Kapitel werden aufbauend auf dieser allgemeinen Vorgehensweise unter Einbeziehung des in Kapitel vorgestellten Modells des forensischen Prozesses eine detaillierte Vorgehensweise erl utert 7 Beisp
303. etzwerkmitschnitts konnte die MAC Adresse des St rers ermittelt werden Anhand der Daten aus den Netzkoppelelementen kann ermittelt werden an welcher Position Netzwerkanschluss sich der St rer befindet Auf dessen Computersystem kann die Untersuchung gegebenenfalls fortgesetzt werden Im vorliegenden Fall war der St rer ein Laptop mit statischer IP Adresse der mit dem Netzwerk verbunden wurde 260 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Dokumentation Aus den gesammelten Verlaufsprotokoll muss ein auf die Zielgruppe Dokumentation zugeschnittener Gesamtbericht erstellt werden Dies kann beispielsweise ein technischer Bericht f r die Administration ein Bericht ber die wirtschaftlichen Implikationen f r das Management oder ein Ablaufs und Ergebnisdokument zur Einleitung juristischer Schritte sein Nachfolgend werden nun umfangreichere forensische Untersuchungen anhand exemplarisch ausgew hlter Vorf lle be schrieben Leitfaden IT Forensik 261 Einsatz der IT Forensik anhand ausgew hlter Szenarien Komplexszenarien In diesem Kapitel wird der praktische Einsatz der vorgestellten Systematik anhand komplexerer Vorf lle gezeigt Dazu wird werden sowohl das in Kapitel vorgestellte Verlaufsmodell f r eine forensische Untersuchung als auch die im Kapitel eingef hrten Datenarten verwandt um praxisrelevante und komplexe Fallbeispiele detailliert darstellen zu k nnen Die Basis f r die Bes
304. ewinnen F r Medien von Bandlaufwerken engl Streamer ist eine Duplikation nur eingeschr nkt durchf hrbar siehe dazu Nik05 F r den Einsatz in der IT Forensik gelten besondere Anforderungen an die Erzeugung der Datentr gerabbilder diese wird dann auch als forensische Duplikation bezeichnet Im einzelnen siehe dazu auch Bun06 muss sichergestellt werden dass keine nderungen am Originaldatentr ger w hrend und durch die Duplikation vorgenommen werden der gesamte erfassbare Inhalt des Datentr gers gesichert wird e das Original und die erzeugte Kopie denselben Dateninhalt enthalten Die Sicherstellung der letzten Anforderung erfolgt durch den Einsatz krypto graphischer Verfahren welche die Einhaltung des Sicherheitsaspekts der Integrit t gew hrleisten Dieses erfolgt blicherweise durch den Einsatz kryptographischer Hash Verfahren u a SHA 256 Nur durch eine forensische Duplikation werden die u a in Kapitel erw hnten Slack Speicherbereiche gesichert und die Wiederherstellung gel schter Daten wird m glich Besonderheiten bei der forensischen Duplikation von Festplatten Auf einigen Festplatten von denen ein forensisches Datentr gerabbild erstellt werden soll kann die tats chliche Gr e von der durch ein forensisches Werkzeug erstellten Abbildes abweichen Ein Hauptgrund hierf r kann sein dass auf der 204 http www digitalforensics ch nikkel05 pdf Leitfaden IT Forensik 235 Achtung
305. f hrt werden um Zwischenf lle in einem IT System zu bemerken und nicht zum Betriebssystem geh ren Klassische Beispiele sind hierbei Intrusion Detection Systeme oder on Access Virenscanner Die Werk zeuge dieser Methodenklasse m ssen im Allgemeinen im Abschnitt der strategischen Vorbereitung aktiviert werden um dann einerseits mit Hilfe ihrer Funktionalit t zur Detektion von Zwischenf llen eine forensische Untersuchung anzusto en wobei ihre Meldung dann das Symptom darstellt oder einer forensischen Untersuchung durch die von ihnen erstellten Log Dateien zu unterst tzen Dies zielt vor allem auf die Log Dateien eines netzwerkbasierten Intrusion Detection Systems ab Die grundlegende Methode EME bezieht sich somit auf all jene Methoden die durch Werkzeuge zur automatisierten routinem igen berpr fung von IT Systemen zur Verf gung gestellt werden Einordnung in Abschnitte des forensischen Prozesses 76 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Um eine erste Einordnung der in diesem Kapitel untersuchten forensischen Methoden zu geben folgt die Tabelle 8 EME Explizite Methoden der Einbruchserkennung SV X Strategische Vorbereitung OV Operationale Vorbereitung DS X Datensammlung US Untersuchung DA Datenanlayse DO Dokumentation Tabelle 8 Grobeinteilung der grundlegenden Methode Explizite Methoden der Einbruchserkennung EME
306. f dem erzeugten forensischen Duplikat welches der Datenart Rohdateninhalte anhand der in Kapitel vorgestellten Einordnung zuzuordnen ist wird nun der Abarbeitungsschritt der Untersuchung durchgef hrt Leitfaden IT Forensik 241 Untersuchung Rohdaten Details ber Dateien Anwenderdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien Untersuchung Die laut dem in Kapitel relevanten Datenarten wurden zusammen mit der dazu einzusetzenden forensischen Methode in der nachfolgenden Tabelle 33 wie folgt identifiziert BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details tiber Daten Konfigurations daten Kommunikations protokolldaten Sitzungsdaten Anwenderdaten Tabelle 33 Identifizierte Datenarten und ben tigte forensische Methoden Aus der Tabelle ist ersichtlich dass die farblich markierten Bereiche relevant fiir die Untersuchung sind Die Relevanz fiir die Rohdateninhalte ergibt sich daraus dass die Rohdateninhalte das eigentliche Datentr gerabbild repr sentieren also die Summe aller m glichen Daten in der nicht interpretierten Form Die Details ber Daten sind dahingehend relevant dass sich hierin Daten ber den Ent stehungszeitpunkt von Dateien sowie der Dateiname befinden Und schluss endlich sind die auf der SD Karte enthaltenen Anwenderdaten in Form von digitalen Bildern relevant Nachfolgend wurde nun
307. ffen werden Erstellung eines Grobkonzepts f r die Sicherheitsvorfallbehandlung Festlegung von Eskalations und Alarmierungsregelungen Festhalten von Weisungskompetenzen bei Sicherheitsvorf llen Erstellung eines Security Monitoring und Alarmierungskonzepts Festlegung unter welchen Umst nden Daten protokolliert und aus gewertet werden k nnen Weiterleitung dieser gesammelten Daten zu sicheren zentralisierten Log Servern alle kritischen Systeme sollten u a s mtliche Einlogversuche mitprotokollieren Erstellung eines Datensicherungskonzepts ein regelm iges Backup liefert einen l ngeren Spielraum f r forensische Untersuchungen wenn Ersatzhardware verf gbar ist dies hat einen direkten Einfluss auf die Wiederanlauf und Wiederherstellungszeiten Erstellung eines Patch und Updatemanagementkonzepts hier ist f r die IT Forensik vor allem die Auflistung aller Updates und Patches auf jedem Element des IT Systems bedeutsam dies schlie t auch Router Gateways und andere Netzkoppelelemente ein Erstellung und Pflege eines Systeminventars f r die IT Forensik ist hier vor allem eine Sammlung von Pr fsummen von wichtigen Dateien und Programmen und auch die Auflistung von Programmen mit riskanten aber notwendigen Zugriffsrechten sinnvoll die System und Netzwerk konfiguration sollte regelm ig aktualisiert und protokolliert werden Wichtig ist es dabei den Datenschutz in jedem Fall zu wahren deshalb ist es
308. finden sich in den Hardwaredaten Hardware Uhr Rohdateninhalten Sitzungsdaten und Anwenderdaten Log Dateien Datensammlung Im Abschnitt derDatensammlung Datensammlung werden sowohl die Systemzeiten aufHardwaredaten mehreren Wegen abgefragt als auch eine m glichst gro eRohdaten Menge an Logs gesammelt um aus einer KorrelationSitzungsdaten dieser eine Ver nderung der Systemzeit belegen zu k nnen Anwenderdaten Die daf r identifizierten Werkzeuge sind in der nachfolgenden Tabelle 35 aufgef hrt BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 35 Werkzeuge fir die Datensammlung Zun chst wird sich mit einem Administrator Account an dem zu untersuchenden System angemeldet Ein mitgebrachtes gepr ftes USB Speichermedium wird an den Server angeschlossen und eingebunden mount z B nach mnt Da einige der zu sammelnden Daten fl chtig sind und die Verf gbarkeit des Servers nicht beeintr chtigt werden darf m ssen alle Beweismittel im laufenden System gesichert werden Da hierdurch Daten ver ndert werden k nnen ist die genaue Aufzeichnung des Vorgehens n tig Dazu wird zun chst ein script Protokoll gestartet dies k nnte z B script mnt Datensammlung Webserver 31 07 2008 sein Damit werden alle Ein und Ausgaben
309. folgende Tabelle 17 gibt einen berblick BS Betriebssystem SV Aktivierung der Kernelkonfiguration zum Ablegen der Kon eg figurationsdaten Anpassen der Gr e des Speichers f r die j Kernel Logs Erstellung und Aktivierung des IP Connection tracking Moduls OV Liste der verwendeten Datei und SWAP Dateisysteme Operationale Vorbereitung DS Sicherung von Routen Tabelle ARP Tabelle MAC Adresse Datensammlung statistische Informationen der Netzwerkadapter IP Verbindungsi nformationen Systemkonfiguration verwendete Dateisysteme verwendete SWAP Dateisysteme Hauptspeicherinhalt Prozess informationen Kernel Log Nachrichten Informationen zu geladenen Kernelmodulen Informationen zu im System vor handener Partitionen US Statistische Informationen zur Systemauslastung Untersuchung DA Datenanalyse DO Dokumentation Tabelle 17 Zusammenfassung der Methoden und Werkzeugeinordnung des Linux Kerns Einschr nkend ist hier jedoch bereits im Vorfeld zu sagen dass die oben erw hnten Daten nicht dauerhaft gespeichert werden sie gehen mit dem Abschalten des Systems verloren Viele Daten lassen sich aus den beiden Pseudodateisystemen proc und sys extrahieren hierf r ist in der Regel keine besondere Anwendung n tig Im Folgenden werden die einzelnen Datenquellen n her erl utert Dabei handelt es sich um die Art der Daten aus der in Kapitel vorgestellten Klassifikation Dur
310. folgenden Verzeichnis gespeichert C Dokumente und Einstellungen lt Nutzername gt Lokale Einstellungen Verlauf History IES Diesen drei Speicherorten ist gemein dass sie eine Datei namens index dat enthalten welche eine Datenbank ber die weiteren Inhalte des Ordners enth lt Eine Besonderheit ist dabei dass die Eintr ge in dieser Datei nicht gel scht werden sondern nur durch eine Signatur als ung ltig markiert und im Internet Explorer nicht angezeigt werden hier ergibt sich eine Analogie zum L schverhalten in Dateisystemen siehe dazu auch Kapitel Die index dat Dateien k nnen mit einem Hexeditor eingesehen werden Zus tzlich erlauben einige forensische Werkzeugsammlungen wie z B die kommerziellen forensischen Produkte EnCase und X Ways Forensics siehe dazu auch Kapitel die Inhalte dieser Dateien benutzerfreundlich aufzubereiten Auch die Open Source Programme iehist und pasco erlauben die Aufbereitung dieser Inhalte Ein zus tzlich potentiell forensische bedeutsamer Eintrag in der 59 http www guidancesoftware com law_enforcement index aspx 60 http www x ways net forensics 61 http www cqure net wp iehist 62 http www foundstone com resources proddesc pasco htm Leitfaden IT Forensik 105 Achtung Datenschutz beachten Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik Systemregistrierung Registry ist der Eintrag last typed U
311. g welches sowohl HPA als auch DCO reservierte Bereiche erkennt ist The ATA Forensics Tool TAFT Prinzipiell sollten die Gr enangaben der erzeugten Imagedatei mit den Angaben der Laufwerksgr e von TAFT verglichen werden Sollte ein Unterschied be stehen und demzufolge ein Verdacht auf der Pr senz dieser versteckten Bereiche bestehen sollte zun chst ein forensisches Abbild des Datentr gers in der vorliegenden Form angefertigt werden Im Anschluss sollte die eigentliche Gr e des Laufwerkes beispielsweise unter Verwendung von TAFT eingestellt werden um danach den vollst ndigen Speicherbereich des Laufwerks in ein zweites Abbild zu erfassen Grunds tzliche Entscheidungen zur Durchf hrung der forensischen Duplikation Die Erzeugung des forensischen Abbildes kann sowohl in dem betroffenen Computer selbst als auch an einer forensischen Workstation erfolgen Dies bedingt den physischen Ausbau des Massenspeichers Unabh ngig von dieser Entscheidung wird grunds tzlich der Einsatz einer speziellen Hardware eines so genannten Writeblockers empfohlen Diese Hardware wird zwischen dem zu untersuchenden Laufwerk und dem Computer geschaltet welcher die Erfassung des Laufwerksabbildes vornimmt S mtliche Befehle welche eine Ver nderung der auf dem Datentr ger vorhandenen Daten bewirken k nnen werden durch den Writeblocker gefiltert Nachdem nun das Laufwerk entweder an die forensische Workstation unter Verwendung des Writeblocke
312. g chronologisch angeordnet Alle Daten die diese Inkonsistenz aufweisen m ssen im n chsten Schritt der Datenanalyse korreliert werden 252 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Datenanalyse In diesem Szenario ist dieDatenanalyse Datenanalyse ausgesprochen wichtig denn nur so k nnenRohdaten die gesammelten Logdateien korreliert und der AblaufSitzungsdaten extrahiert werden Die Auswahl der anzuwendendenAnwenderdaten Ma nahmen erfolgt dabei nach der Auflistung der Ma nahmen aus Tabelle 37 BS FS EME ITA SB DBA Hardwaredaten Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 37 Ma nahmen der Datenanalyse In der Datenanalyse werden die einzelnen Log Dateien korreliert um die letzte korrekte Zeit vor der Zeitmanipulation zu finden Dabei kann ebenfalls herausgefunden werden wie gro die Zeitver nderung ist Dies erlaubt es die Zeitstempel in den Log Dateien zu korrigieren und eine weitere Untersuchung zu vereinfachen Ersteres geschieht indem die letzten zeitlich korrekten Eintr ge gesucht werden Letzteres geschieht durch Ermitteln der Differenz zwischen diesen korrekten Zeitstempeln und den ersten Zeitstempeln unter Manipulations verdacht Dokumentation Aus dem gesammelten Verlaufsprotokoll als Ergebnis der prozessbegleitenden Do
313. gdateien und die Aktivierung des Loggings im Rahmen der Strategischen Vorbereitung UV Untersuchungsziel sind Anwenderdaten und Sitzungsdaten UZ Die Untersuchungsaktion besteht aus dem online Speichern von Logdaten auf das Speichermedium UA Untersuchungsergebnis sind Anwenderdaten und Sitzungsdaten UE Das Datenvolumen h ngt von der Anzahl und L nge der Anfragen ab daher sind genaue Angaben nicht m glich DV Da das MySQL Query Log Teil der normalen Datenbanknutzung ist treten keine Struktur wirkungen auf STW Eine Datenschutzrelevanz ergibt sich unter Umst nden DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung vom MySQL Query Log muss dieses Extern gegen Ver nderung gesch tzt wer den SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM Sonstige Informationsquellen in MySQL f r forensische Untersuchungen Die nachfolgend beschriebenen Datenquellen sind in diesem Spezialfall als einzige fl chtig ihre Erfassung kann wertvolle Daten liefern Sollen die Datenbanken auf Dateisystemebene gel scht worden sein so ist zumindest die Datenbank information schema noch erreichbar In der Tabelle USER PRIVILEGES sind dabei alle globalen Nutzerrechte zu finden Anhand dieser Tabelle lassen sich s mtliche Nutzer der Datenbank in ermitteln durch das Benennungsschema ist auch zu erkennen von welchen Hos
314. gen wird In der Datensammlung ist zu bedenken dass LDAP in das Syslog des zu untersuchenden Computers schreibt Dieses ist also zu sichern siehe dazu auch Kapitel Weiterhin ist es m glich mit Hilfe des Monitor Modus weitere Daten zu sammeln Zus tzlich sollten die Konfigurationsdateien des LDAP Dienstes gesichert werden Gleiches gilt f r die Datenbankdateien In der sp teren Untersuchung m ssen diese Dateien mit Mitteln der offline Datentr geruntersuchung ausgewertet werden 159 Einordnung in das detaillierte Schema siehe Kapitel Bei Open LDAP handelt es sich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows und Linux SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung forensischer Ma nahmen ist nicht erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Open LDAP nutzt Anwenderdaten Sitzungsdaten und Konfigurationsdaten UZ und speichert diese online UA Das Ergebnis sind hierbei Anwenderdaten Sitzungs daten und Konfigurationsdaten UE Das Datenvolumen ist hierbei nicht ab zusch tzen DV Eine Verwendung des Open LDAP ver ndert netzwerkweit fl chtige und nichtfl chtige Daten STW Datenschutzrechtlich sind diese Daten relevant DSR Eine Beweiskrafttendenz ist auf Grund der Natur der Daten schwierig abzusch tzen BK Das Werkzeug Untersuchungsziel und Erge
315. gestellt wurde soll nun anhand von exemplarisch ausgew hlten Beispielen eine detaillierte Beschreibung forensischer Methoden vorgestellt werden Dazu wird zun chst die zu diesem Zweck eingesetzte Notation dargelegt Das Ziel ist es dabei das Vorgehen bei der Klassifikation zu verdeutlichen um dem Leser die Einordnung anderer Werkzeuge zu erm glichen Daraus entsteht dann der Werkzeugkatalog aus welchem dann eine Auswahl in den jeweiligen Schritten der vorgestellten Vorgehensweise des vorangegangenen Kapitels erfolgt Notation Um eine Unabh ngigkeit von bestimmten forensischen Werkzeugen zu erreichen ist es hilfreich diese anhand ihrer Eigenschaften zu kategorisieren Wenn ein Werkzeug nun nicht mehr verf gbar ist oder ein OpenSource Produkt kommerzialisiert wird oder in seinen Eigenschaften nachteilig ver ndert wird kann ein anderes forensisches Werkzeug mit vergleichbaren Eigenschaften ausgew hlt werden Dies bedingt das Anlegen und best ndiges Aktualisieren einer Liste von verf gbaren forensischen Werkzeugen anhand ihrer Eigenschaften Diese sollen nachfolgend kurz vorgestellt werden e HW SW hier wird angegeben ob es sich bei dem Werkzeug um eine Hardware und oder Softwarel sung handelt AB eine allgemeine Beschreibung welche u a die untersuchte Versionsnummer die vom Werkzeug verarbeiteten Ein und Ausgabedaten Konfigurationsdaten sowie Bezugs und Dokumentationsquellen enth lt UO der Untersuchungsort besch
316. gew hlten Komponenten Bei der Installation von Komponenten ber den Server Manager werden automatisch Regeln f r die Windows Firewall erstellt und die entsprechenden Ports freigeschaltet Weiterhin bietet der Manager Zugriff auf die Verwaltung der Benutzergruppen Dienste Ereignisanzeige Der Server Manager kann dazu benutzt werden um Informationen ber die Konfiguration des zu untersuchenden Serverbetriebs Leitfaden IT Forensik 123 Achtung Detaillierte Vorgehensweise in der IT Forensik systems zu ermitteln Servermanagercmd Dieses Befehlszeilenprogramm ist die Kommandozeilenversion des Server Managers servermanagercmd query XML Ausgabedatei Zeigt alle installierbaren Rollen und Features an wobei die installierten Komponenten markiert werden Es wurde fiir die Installationsvariante Server Core entwickelt steht aber auch in der grafischen Installationsvariante bei Einsatz der Standard Installation zur Verf gung Extraktion von Sitzungsdaten Diskshadow Hierbei handelt es sich um einen Kommandozeileninterpreter zur Verwaltung von Schattenkopien Der Mechanismus der Schattenkopie erlaubt es analog zu der in Kapitel beschriebenen Versionierung unterschiedliche Versionsst nde von Dateien zu halten und nachtr glich zu extrahieren diskshadow list shadows all Listet alle Schattenkopien auf Diskshadow ist im Gegensatz zu vssadmin in der Lage vorgefertigte Skripte auszuf hren Der forensische Nutzen lieg
317. griffe auf den Massenspeicher heraus Writeblocker sind f r alle g ngigen Schnittstellen und Bussysteme erh ltlich z B SCSI IDE S ATA USB Nur durch Einsatz eines Writeblockers der zwischen den Datentr ger und die Schnittstelle des untersuchenden Systems geschaltet wird kann ein Schreibzugriff wirksam unterbunden werden Selbst das Booten von forensischen 26 Leitfaden IT Forensik Einf hrung Softwareumgebungen wie z B die Helix CD stellen keinen absoluten Schreibschutz dar auch wenn versucht wird das Risiko eines Schreibzugriffes zu minimieren Die Durchf hrung der Gewinnung des Abbildes des Massenspeichers kann entweder im betroffenen Ger t als auch nach erfolgter Demontage an dedizierten forensischen Duplikationsstationen erfolgen Ersteres ist u a in Laptops von Vorteil welche evtl Verschl sselungsmechanismen einsetzen Der Vorteil von dedizierten Duplikationsstationen ist insbesondere die h ufig h here Ge schwindigkeit der Anfertigung des Images Nachdem das Abbild erstellt wurde muss eine kryptographische Hashsumme sowohl ber dem Originaldatentr ger als auch ber dem Image berechnet werden Eine bereinstimmung der beiden Checksummen belegt eine korrekte Aus f hrung der forensischen Duplikation Damit ist eine beweissichere Basis f r die weitergehende forensische Untersuchung gelegt worden Die nachfolgende Abbildung 4 fasst den allgemeinen Arbeitsablauf zusammen Identifikation der Daten
318. gszeitpunkt des Leitfadens nicht bekannt Zusammenfassung der Methoden und Werkzeugeinordnung Um Kapitel ber die forensischen Werkzeuge von Windows XP SP2 noch einmal kurz und visuell zusammenzufassen sei hier auf die nachfolgende Abbildung 23 verwiesen Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations daten Abb 23 Von forensischen Werkzeugen erfasste Datenarten in den Abschnitten des forensischen Prozesses f r Windows XP Die hier rot markierten Bereiche zeigen an dass es f r die zugeh rigen Datenarten in den jeweiligen Abschnitten des forensischen Prozesses Werkzeuge in Windows XP identifiziert wurden Die Erweiterung der Methoden durch den Einsatz des Betriebssystems Microsoft Windows Server 2003 In diesem Kapitel soll eine Installation des Betriebssystems Microsoft Windows 2003 auf ihre forensischen Methoden untersucht werden Da Microsoft Server 2003 alle im vorangegangenen Kapitel ber Microsoft Windows XP SP 2 identifizierten Eigenschaften beinhaltet sollen hier die Unterschiede durch die Leitfaden IT Forensik 107 Strategische Vorbereitung beachten Detaillierte Vorgehensweise in der IT Forensik Serverdienste und deren Verwaltung im Fokus liegen Die nachfolgende Tabelle 13 liefert eine Kurzzusammenfassung der identifizierten forensischen Eigenschaften BS Betriebssystem SV Aktivier
319. gsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM 210 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Hashwertberechnung mittels md5deep Das Programmpaket md5deep berechnet einen kryptographischen Hashwert einer Datei oder eines Datentr gers Es stellt Programme f r den Einsatz in einer Kommandozeilenumgebung zur Verf gung Dabei werden die Algorithmen md5 sha 1 sha 256 tiger und whirlpool unterst tzt Da der Einsatz des md5 Algorithmus als nicht mehr sicher betrachtet wird ist der Einsatz des sha 256 Algorithmus zu empfehlen Das Programmpaket md5deep unterst tzt eine rekursive Hashwerterstellung Dies bedeutet dass es f r jede Datei in einem Verzeichnis und ggf Unterverzeichnissen einen Hashwert berechnet Durch Einsatz des Programmpaketes ist es m glich die Integrit t siehe Kapitel der Datei oder des Datentr gers zu berpr fen in dem man den Hashwert mit einem zuvor erstellten und notierten Hashwert vergleicht Sind diese identisch so ist die Datei mit sehr gro er Wahrscheinlichkeit nicht ver ndert wurden Dieser Nachweis der Unver ndertheit von digitalen Daten ist essentiell f r die IT Forensik Jedoch muss beachtet werden dass der Schutz der Integrit t nur dann gew hrleistet ist wenn der Vorgang der Berechnung des Hashs und dessen Ergebnisse zweifelsfrei und angemessen dokumentiert wurde Hierf r biete
320. gt gt 1 a Deutlich erkennbar sind hier die Angaben zum Programm welches das PDF Dokument erstellt hat pdfTeX 1 40 3 und die Datumsstempel f r die Erstellung CreationDate und die Modifikation Diese sind im Beispiel identisch Einordnung in das detaillierte Schema siehe Kapitel pdf parse l uft auf Desktop PCs HW Das Programm ist f r Linux und Windows erh ltlich SW Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw deren Abbild Es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO Eine Aktivierung ist nicht erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems UV Untersuchungsziel sind pdf Dateien also Anwenderdaten UZ Die Untersuchungsaktion besteht in der Untersuchung von Dateien UA Das Untersuchungsergebnis sind Anwender daten Rohdaten und Details ber Dateien UE Das Datenvolumen des Untersuchungsergebnisses h ngt proportional mit dem Volumen der Eingangs daten zusammen DV genaue Angaben zum Proportionalit tsfaktor sind jedoch nicht m glich Da pdf parse offline genutzt wird treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von pdf parse muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchun
321. gt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UV Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Details ber Dateien und Prozessdaten UZ Die Untersuchungs aktion ist die offline stattfindende Analyse dieser Log Dateien UA Das Untersuchungsergebnis dabei sind Sitzungsdaten UE Das erwartete Daten volumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM Exif Datenfelder in Anwenderdaten und deren Auswertung mit exifprobe In den Anwenderdaten finden sich h ufig auch forensisch wertvolle Zusatz informationen in Form so genannter Metatags Hierbei handelt es sich Datenfelder innerhalb der Anwenderdatei durch deren Auslesen sich wertvolle Informationen gewinnen lassen Der eigentliche Dateiinhalt Texte Bilder Videos usw wird dabei um Zusatzdaten erg nzt und wird mit der Datei zusammen kopiert so dass keine gesonderten Ma nahmen zur Erhaltung der Metatags erforderlich sind Derartige Metatags gibt es f r viele Mediendaten im Rahmen des Leitfadens soll hier das EXIF Datenfeld vorgestellt werden Das Exchange
322. h Boc08 Unternehmensziele Assessment der derzeitigen Position Was wollen wir Wie gew hrleisten wir Stetigkeit erreichen Service Improvement Programme Messbare Ziele Leitfaden IT Forensik 19 ITIL allgemein Einordnung der IT Forensik Einf hrung Um einen Prozess nach ITIL einzuf hren muss dieser beschrieben werden Dies beinhaltet die folgenden Punkte Benennung eines Prozessverantwortlichen Beschreibung der wesentlichen Prozessschritte mit einem geeigneten Werkzeug e Definition der verantwortlichen Rollen f r die Prozessschritte Benennung der notwendigen Dokumente und Aufzeichnungen die im entsprechenden Prozess verwendet und gef hrt werden Definition von Kennzahlen bez glich Qualit t und Kosten Zeiten Wichtig dabei ist dass alle Prozesse in einer bersicht zusammengefasst werden m ssen der so genannten Prozesslandschaft Aus dieser Prozesslandschaft sind dann die wesentlichen Zusammenh nge erkennbar ITIL in der IT Forensik ITIL ist in Form einer Sammlung von einzelnen B chern organisiert Einen wichtigen Stellenwert in ITIL als Teil des Service Support Buchs nimmt das IT Sicherheitsmanagement ein Wenn dort auch die IT Forensik noch nicht namen tlich erw hnt wird so l sst sich diese als notwendige Erweiterung des darin be schriebenen Incident Managements bzw des Problem Managements betrachten In Boc08 wird vom Incident Management nach ITIL verlangt
323. h konnte wie in Abbildung 66 dargestellt ein Absturz des MySQL Dienstes verbunden mit einem Zeitstempel festgestellt werden Eigenschaften von Ereignis Ereignis Datum 14 11 2008 Quelle Driwatson Uhrzeit 01 28 29 Kategorie Keine Typ Information Ereignis 4097 kennung Benutzer Nicht zutreffend Computer RECPLAST 7D2837 Beschreibung Die Anwendung C Programme xampp mysql bin mysqld nt exe hat einen Programmfehler verursacht Datum und Zeit des Fehlers 14 11 2008 um 01 28 29 250 Ausnahme c0000005 an Adresse 00431244 mysgld nt weitere Informationen ber die Hilfe und Supportdienste erhalten Sie unter http go microsoft com fwlink events asp Daten Bytes O W rter 0000 Od 00 Oa 00 Od 00 Da 00 0008 41 00 Ge 00 77 00 65 00 0010 Ge 00 64 00 75 00 Ge 00 OK Abbrechen Abb 66 Protokollierung des Programmfehlers im Ereignislog Anschlie end wurde das MySQL Query Log untersucht Der letzte gefundene Eintrag wurde genau eine Sekunde vor dem Absturz des MySQL Dienstes erstellt Dabei handelt es sich um folgenden Eintrag 081114 1 27 45 41 Connect root localhost on Leitfaden IT Forensik 279 Datenanalyse Prozessdaten Sitzungsdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien 41 Ouery SELECT FROM tooldb names WHERE JD 3 41 Quit 081114 1 28 28 42 Connect root localhost on 42 Query SELECT FROM tooldb names WHERE YD 1 OR ID IN 1 SELECT
324. h das Werkzeug durch HW SW sM22 externe Schutzmassnahmen notwendig sms Schutz von UE durch das Werkzeug sm3 1 Schutz vor sp terer Manipulation durch HW SW sM3 2 externe Schutzmassnahmen notwendig Diese Eigenschaftsliste soll durch den Anwender erweitert werden um neuen Eigenschaften Rechnung zu tragen Im Rahmen dieses Leitfadens kann dazu nur ein erster Schritt geleistet werden Die Anwendung dieser detaillierten Beschreibung wird nun an exemplarisch ausgew hlten Beispielen gezeigt Snort Snort l uft auf festinstallierten Computern HW Das Programm ist f r Linux und Windows erh ltlich SW12 Der Untersuchungsort ist lokal auf dem zu untersuchenden System UO F r Snort ist eine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems dass die Netzwerkverbindungen nicht getrennt wurden eine ununterbrochene Spannungsversorgung sowie Administratorrechte UV3 9 Untersuchungsziel sind Netzwerkdaten und Anwenderdaten UZss Die Untersuchungsaktion besteht aus dem Online Speichern von verd chtigen Paketen UA Untersuchungsergebnis sind Netzwerkdaten und Anwenderdaten UEs3 Das Datenvolumen des Untersuchungsergebnisses h ngt proportional mit dem Volumen der Eingangsdaten zusammen DV Da Snort st ndig l uft und Daten auf die Festplatte schreibt treten Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht aus der Nutzung des Progra
325. h der physische Zugriff auf den Server selbst zu sichern Auch hier wird auf den BSI Grundschutz Katalog verwiesen Dort wird das Thema Zugangsschutz 7 zum Serverraum behandelt Untersuchung der gesammelten Logdaten Da die Logdaten verschl sselt gespeichert wurden sind ist zur Auswertung der Schl ssel n tig Mit der IT Anwendung l ogcat die Teil des syslog ng Serverpakets ist kann die verschl sselte Logdatei wieder in die lesbare Klartextform berf hrt werden Dabei wird auch die Integrit t der Datei bzw den Chunks berpr ft Der Schl ssel wird dabei als Parameter bergeben logcat k schluessel key messages Jos Die Logdaten werden dann im bekannten Syslogformat ausgegeben Zus tzlich werden Meldungen zur Integrit t des Chunks angezeigt LogStore NOTICE messages lgs Log store integrity check successful signature matches chunk_id 341 Die weitere Untersuchung US als Abschnitt des in Kapitel vorgestellten Modells des forensischen Prozesses sowie die Integration der gewonnen Daten in den Abschnitt der Datenanalyse DA kann damit analog anderen Logdaten erfolgen Anhang A4 Auswertung von Nutzdaten in einem Netzwerkstrommitschnitt mit PyFlag im Detail Die Untersuchung von Nutzdateninhalten wird nachfolgend anhand der in Kapitel vorgestellten forensischen Werkzeugsammlung PyFlag beschrieben Zun chst muss dabei ein Fall erstellt werden Anschlie end kann die pcap Datei als Datenquelle ei
326. he zu erleichtern in dem automatisch alte Nachrichten aus vorhergegangen Sitzungen angezeigt werden Die Scrollbackdateien werden als Plaintext und mit Zeitstempel zwischen gespeichert Logdateien und Scrollback Dateien befinden sich unter Windows in den Verzeichnissen C Dokumente und Einstellungen Anwendungsdaten X Chat 2 xchatlogs beziehungsweise C Dokumente und Einstellungen Anwendungsdaten X Chat 2 scrollback Beide Dateiarten sind zur Laufzeit gegen Beschreiben durch andere Programme gesichert Gerade bei Mitschnitten von Kommunikationsinhalten ist der Datenschutz zu beachten f r den Systembetreiber d rften diese Daten daher weniger wichtig sein F r Strafverfolger k nnen die Inhalte hingegen wichtige Indizien liefern Im Rahmen der Strategischen Vorbereitung muss das Logging von X Chat aktiviert werden damit diese Daten sp ter genutzt werden k nnen W hrend der 176 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Datensammlung befinden sich die Scrollbackdateien unter Windows in C Dokumente und Einstellungen Anwendungsdaten X Chat 2 scrollback Die Xchat Logs k nnen unter C Dokumente und Einstellungen Anwendungsdaten X Chat 2 xchatlogs gesichert werden AnschlieBend muss eine Datenuntersuchung mit klassischen Mitteln der Log Dateienauswertung stattfinden Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug Logging von Xchat handelt es s
327. hen Vorfalls Datensammlung Es werden nun die WerkzeugeDatensammlung ausgew hlt mit denen die gew nschten InformationenRohdaten Details extrahiert werden k nnen Dazu ist es sinnvoll einen ber Daten Blick auf folgende Tabelle 39 zu werfen welche dieProzessdaten m glichen Werkzeuge darstellt Dabei sind die untersuchungsrelevanten Datenarten farbig hervorgehoben worden BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdnten sec ew Sitzungsdaten Anwenderdaten Tabelle 39 Werkzeuge f r die Datensammlung Nun werden aus dieser Tabelle geeignete Werkzeuge ausgesucht Dabei ist es sowohl wichtig deren Beweiskrafttendenz als auch die eigene Vertrautheit mit dem Werkzeug zu beachten Auch der Selbstschutz des Werkzeugs spielt eine wichtige Rolle In diesem Fall f llt die Entscheidung zugunsten von cp um die betroffene Datei zu sichern stat um deren MAC Zeiten anzeigen zu lassen und ps um Informationen ber laufende Prozesse zu erhalten proc PID liefert weitergehende Informationen nachdem dank ps ein verd chtiger Prozess gefunden wurde Des Weiteren sollte dann auch dessen eigene Bin rdatei gesichert werden Die eigentliche Ausgabe des Suchprogramms RKHunter ist ebenfalls von Interesse Untersuchung Auch i
328. hen ist Dieses wurde im nachfolgenden Schritt nachgeholt siehe Abbildung 54 240 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Hash berechnen Hash berechnen MEHR ei Abb 54 Auswahl des zu verwendenden Hashalgorithmus Hier ist ersichtlich dass auch X Ways Forensics noch den MD5 Algorithmus als kryptographische Hashsummenberechnung anbietet dieser sollte jedoch nicht mehr verwendet werden Nach Abschluss der Datensammlung ergab sich der in der folgenden Abbildung 55 vorgestellte berblick Asservat Bez Nr des Objekts Partition 1 Hinzugef gt am 26 11 2008 Interne Bezeichnung E Programme X Ways Forensics4Neuer Fall2 s Gr e 0 9 GE Kommentare Beschreibung Dateisystem FAT32 Gesamtkapazit t 1 002 192 384 Bytes 0 9 GB Sektoren insges 1 957 407 Nutzbare Sektoren 1 953 552 Erster Datensektor 3 848 Bytes pro Sektor 512 Bytes pro Cluster 4 096 Freie Cluster 65 918 27 frei Cluster insgesamt 244 194 FAT1 lt gt FAT2 Clean shut down Ja 1170 error free Ja Hash MD5 OFBBDBDB214D2557F505E 338DA3A0BDE Hash berpr fen v Abb 55 Zusammenfassung der erkannten Datentr gerstruktur Dabei ist bereits auff llig dass die beiden FAT Speicherrepr sentationen FAT1 und FAT2 nicht bereinstimmen und dass der Datentr ger keinesfalls wie von der Kamera angegeben leer ist sondern einen Freiraum von 27 aufweist Au
329. her nicht vorgesehen NTP scheidet aufgrund der n tigen Kommunikation ber das Netzwerk aus Jedoch ist der Einsatz eines DCF 77 oder GPS Empf ngers siehe dazu auch Kapitel 1 4 dringend anzuraten um eine gesicherte Zeitbasis zu garantieren Danach wird der Name des Untersuchenden abgefragt dieser erscheint auch sp ter in den Protokollen des digitalen Fahrtenschreibers Zur Sicherung der Authentizit t der aufgezeichneten Daten wird anschlie end ein Passwort f r den HMAC Algorithmus abgefragt Abschlie end wird das Ziellaufwerk f r die gesammelten Daten festgelegt Dies kann eine RAM Disk sein dabei m ssen die Daten jedoch vor dem Abschalten des Systems gesichert werden Des Weiteren ist im RAM h ufig relativ wenig Speicherplatz vorhanden Daher ist die Auswahl einer ganzen Festplatte oder einer Partition vorzuziehen Sollte ein Datentr ger bereits Beweismittel enthalten so wird der Untersuchende darauf hingewiesen Es besteht dann die M glichkeit ein anderes Laufwerk zu w hlen das Laufwerk zu formatieren oder die Daten auf das gleiche Laufwerk zu speichern Nachdem dies gew hlt wurde wird im Regelfall ein Crypto Container erstellt daf r muss der Nutzer Passwort Dateiname und Gr e eingeben Danach erscheint das Hauptmen des digitalen Fahrtenschreibers Derzeit stehen f nf Aufzeich nungsoptionen zur Auswahl Bei Auswahl der Option Alles Mitschneiden wird der gesamte Datenverkehr ber die Transparente Bridg
330. herung festgelegt in dem Entscheidungen dar ber getroffen werden wie die gewonnenen Daten forensisch abgesichert werden k nnen Auf diese Sicherung der Authentizit t und Integrit t zielt auch die Frage ab ob die M glichkeit einer Live Datensammlung ergriffen wird welches jedoch durch die forensische Untersuchung bedingte Ver n derungen an nichtfl chtigen Daten zur Folge hat siehe dazu auch Kapitel Diese Ver nderungen sind so gering wie m glich zu halten und genauestens zu dokumentieren Im Rahmen der Live Datensammlung ist dabei die Fl chtigkeit der gesammelten von Daten von gro er Wichtigkeit da diese vorgibt in welcher Reihenfolge die Daten gesichert werden m ssen um m glichst wenig Verf lschungen zu erhalten Es wird folgende Reihenfolge bei der Sammlung von Daten vorgeschlagen Erfassung von aktueller Systemzeit und Systemdatum Erfassung der momentan auf dem System laufenden Prozesse System zustand Erfassung der am System ge ffneten Netzwerkverbindungen Sockets Erfassung der am System angemeldeten Nutzer Bei der Zusammenstellung der nachfolgend ben tigten forensischen Werkzeuge spielen neben den in Kapitel vorzustellenden Eigenschaften des jeweiligen Werkzeugs zudem die in Kapitel beschriebenen allgemeinen Kriterien u a Vertrautheit mit dem forensischen Werkzeug allgemeine Akzeptanz des Werkzeugs eine wesentliche Rolle Ein wichtiger Teil dieses Untersuchungsabschnitts ist die prozessbegleitende
331. hiedliche Datei systeme u a die im vorliegenden Leitfaden vorgestellten Dateisysteme FAT NTFS EXT2 3 4 Dazu geh ren unterschiedliche Arten der Datensuche oder auch die M glichkeit zur Erstellung von Zeitlinien anhand von Dateizugriffszeiten Mit dieser Funktionalit t bietet das Sleuthkit die Grundlage f r zahlreiche andere forensische Werkzeugsammlungen die meistens Erweiterung f r den Funktions umfang oder eine grafische Oberfl che zur besseren Benutzbarkeit liefern 183 www sleuthkit org Leitfaden IT Forensik 215 Detaillierte Vorgehensweise in der IT Forensik Autopsy Autopsy ist eine webbasierende grafische Benutzeroberfl che zu den Werkzeugen aus Sleuthkit Es kann von derselben Webseite wie auch Sleuthkit selbst heruntergeladen werden Zus tzlich ist eine einfache Fall Verwaltung integriert Im Gegensatz zu EnCase oder X Ways Forensics muss das Datentr gerabbild welches untersucht werden soll ausschlie lich unter Verwendung externer Programme zuvor gewonnen werden Danach erfolgt die Berechnung einer Hashsumme um Manipulationen am Datentr gerabbild belegbar ausschlie en zu k nnen Die Untersuchung beginnt dabei mit der Fallerstellung dazu werden Hosts und Datentr gerabbilder hinzugef gt Anschlie end k nnen die Daten des Abbildes untersucht werden auch hier k nnen verd chtige Daten durch Lesezeichen markiert werden Es werden als gel schte Dateien erkannt und entsprechend markiert Eine Dateiwiede
332. hkeit die erzeugten Logs an entfernte Syslogserver siehe Kapitel zu senden Die Logdaten sind prinzipiell nichtfl chtig aber vom berschreiben bei berschreiten der Speicherkapazit t bedroht Ein derartiges Syslog kann die nachfolgend exemplarisch aufgef hrten Daten enthalten siehe dazu auch P1607 auth log Hier wird gesichert wer sich eingeloggt hat und ob der Vorgang erfolgreich war daemon log Darin sind Daten ber gestartete Dienste enthalten kern log Dieses Log enth lt Daten des eingesetzten Betriebssystemkerns mail log Hier werden Daten ber das Mail Subsystem gespeichert e messages bzw syslog Hier werden allgemeine Daten zum Systemstatus festgehalten Vor allem im Zusammenhang mit Netzkoppelelementen relevant sind Meldungen ber den Netzwerkstatus oder eines evtl im System integrierten Paketfilters Firewall Die Gewinnung von Daten durch Syslog wird in drei Ausbaustufen vorgestellt In einer niedrigen Ausbaustufe wird zun chst nur das interne Logging des Ger tes aktiviert Abh ngig vom Detailgrad und der Menge der aufgezeichneten Ereignisse kann hier nur ein vergleichbar kurzer Zeitabschnitt aus dem Ger t ausgelesen werden In einer mittleren Ausbaustufe gibt es bei einigen Ger ten die M glichkeit diese Logs per E Mail z B dem Administrator zukommen zu lassen Derartige E Mails sind jedoch in ihrer Beweiskrafttendenz BK als gering einzusch tzen da sie blicherweise unverschl sse
333. hl von Dateisystemen insbesondere die im Leitfaden vorgestellten Dateisysteme FAT NTFS EXT2 3 4 aber auch das Dateisystem auf Macintosh Computern HFSplus und viele weitere auf UNIX basierten Systemen verbreitete Dateisysteme Bei NTFS kann auch die LogFile ausgewertet werden Es ist m glich neben einem erstellten Datentr gerabbild einen zu untersuchenden Datentr ger auch direkt einzubinden wobei ein spezieller Treiber Schreibzugriffe verhindern soll Da EnCase auf Windows Systemen l uft ist jedoch der Einsatz eines Hardware Write Blockers dringend anzuraten Neben der M glichkeit Datentr gerabbilder direkt einzubinden kann mit EnCase auch ein Image angefertigt werden Eine Erstellung eines RAM Abbildes ist ebenso m glich wird jedoch im Rahmen dieses Leitfadens nicht n her betrachtet Danach kann der Untersuchende diverse Untersuchungsaktionen durchf hren Dies schlie t die Suche nach E Mail Postf chern Konversationen in Instant Messenger Klienten und die Wiederherstellung von gel schten Dateien ein Aus Dateien k nnen die im Kapitel vorgestellten EXIF Informationen extrahiert werden Auch k nnen aus WebMail resultierende Inhalte in Dateien des Webbrowser Caches identifiziert werden Es kann eine Verifikation von Dateisignaturen durchgef hrt werden Gerade letztgenanntes ist dabei sehr wichtig da EnCase sonst Dateien nach ihrer Endung klassifiziert Erst die Verifikation der Dateisignaturen gibt Hinweise auf den tats chlich
334. hohe Zuverlassigkeit durch redundante Speicherung wichtiger Datenstrukturen und eine hohe Geschwindigkeit durch eine relative Nahe aller relevanten Daten zu der dazugeh rigen Datei Die Basis war das EXT2 Dateisystem auf Basis dessen wurde EXT3 mit der Erweiterung durch ein Journal siehe dazu auch die Ausf hrungen ber NTFS im Kapitel entwickelt Auch nderte sich das L schverhalten erheblich Um die Speicherkapazit t weiter auszubauen 16TB als maximale Dateisystem gr e und unter Beibehaltung des Journaling wurde EXT4 1EB Exabytes entspricht 2 Bytes entworfen Hierbei wurde vor allem die Skalierbarkeit adressiert EXT4 gilt derzeit noch als experimentell die Entwickler raten derzeit vom Einsatz auf Produktionssystemen ab Ebenfalls experimentell aber forensisch sehr interessant verspricht die Entwicklung des EXT3 cow copy on write zu sein Hierbei handelt es sich um ein versionierendes Dateisystem bei welchem jeweils die Unterschiede des Datei systems mit gespeichert werden Auf diese Weise l sst sich theoretisch ein beliebiger zeitlicher Zustand des Dateisystems rekonstruieren Exemplarisch werden nun nachfolgend ausgew hlte forensische Methoden der EXT Dateisystemfamilie unter Verwendung der Datenarten aus Kapitel und der Abschnitte des forensischen Prozesses aus Kapitel vorgestellt Dabei wird bei besonderen Eigenschaften vermerkt zu welchem Dateisystem aus der Familie diese geh ren Extraktion von Details
335. hor 2008 TanO1 Tanenbaum Andrew S Modern Operating Systems Prentice Hall ISBN 0 13 588187 0 2001 UMD08 Gennies Maria Harms Hinrich und Clausing IT Sec I E Mail Forensics Seminararbeit der Universitat Magdeburg 2008 UMD08a Wen Eniyavan Chat Client Forensics Seminararbeit der Universitat Magdeburg 2008 UMD08b Shahzad Ahmed Qasim Alima IT Forensics Runtime Analysis Seminararbeit der Universit t Magdeburg 2008 UMD08c Becker Christian Borodatyy Arthur und Michaelis Constanze Pyflag Log Analyse Seminararbeit der Universit t Magdeburg 2008 UMD08d nicht namentlich aufgef hrter Autor Specht Norman Pyflag Networkforensics Seminararbeit der Universit t Magdeburg 2008 Van06 Vangerow Andreas Entwicklung einer Systemarchitektur f r forensische Analysen Diplomarbeit am Fachbereich Rechnernetze und Verteilte Systeme an der Universitat Bielefeld 2006 Weg08 Wegner Sven Aufkl rung eines Vorfalls in einer IT Anwendung auf einem Server Betriebssystem am Beispiel des Szenarios Beweissicherung mit forensischen Methoden von Microsoft Windows 2003 Server und MySQL Bachelorarbeit am Fachbereich der Fachhochschule Brandenburg 2008 WITO8 Windows IT Library http www windowsitlibrary com Content 592 2 html 2008 WKS08 Wright Craig Kleiman Dave und Sundhar Shyaam Overwriting Hard Drive Data The Great Wiping Controversy In Information Systems Leitfaden IT Fo
336. hung angesiedelt Im Gegensatz zum im folgenden Kapitel beschriebenen Filecarving bezieht die Dateiwiederherstellung engl Undelete das darunterliegende Dateisystem mit ein und nutzt daher Mittel welche das Dateisystem bietet siehe dazu auch Kapitel Dabei wird vornehmlich der Umstand ausgenutzt dass die meisten Dateisysteme die Rohdateninhalte nicht l schen sondern nur die entsprechenden Eintr ge in den Dateiverwaltungstabellen beispielsweise die FAT die MFT oder die Inode List als gel scht markiert werden wenn eine Datei vom Benutzer gel scht wird Eine wirkliche 238 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien berschreibung geschieht hingegen erst wenn neue Daten in die als gel scht markierten Bereiche geschrieben werden Nachfolgend soll am Beispiel einer FAT32 formatierten SD Karte unter Einsatz der forensischen Werkzeugsammlung X Ways Forensics der Ablauf einer forensischen Untersuchung mit dem Zweck der Datenwiederherstellung be schrieben werden Die Werkzeugsammlung bietet eine einfache und effiziente L sung f r das Problem deshalb wurde sie hier ausgew hlt Dieses Beispiel untermauert gleichzeitig den generischen Blickwinkel in welchem IT Forensik mit Datenanalyse gleichzusetzen ist Denn der T ter ist im beschriebenen Fall eine defekte Digitalkamera welche das verwendete FAT32 Dateisystem auf der Speicherkarte besch digt hat Bei der Beschreibung des Ablaufs der for
337. hung der gesammelten Logdaten 331 Anhang A4 Auswertung von Nutzdaten in einem Netzwerkstrommitschnitt RER mr Detail ae aaa 331 Anhang B Ablaufdiagramme und Checklsten een 337 Ablaufliste zum Erstellen eines beweissicheren forensischen Abbildes eines Massenspelchers Vs e Ee eet reet 337 Ablaufliste zur Auswertung von Festplattenabbildern 339 Ablaufliste zur Aufzeichnung der Kommunikation ber Netzwerke 340 Ablaufliste zur Auswertung der Netzwerkverbindungsdaten 342 Ablaufliste zur Durchf hrung einer untersuchungsbegleitenden Dokumentation E EE 343 Ablaufliste zur Einrichtung des zentralen Logserverg 344 Ausgew hlte Checklisten uses ae 345 Leitfaden IT Forensik 7 Was ist IT Forensik Einf hrung Einf hrung Der vorliegende Leitfaden wurde erstellt um einer gro en Zielgruppe von Lesern den Einsatz der IT Forensik zu erl utern und zu erm glichen Der Leitfaden IT Forensik eignet sich sowohl als Grundlagenwerk zur tiefergehenden Einarbeitung in die Thematik wie auch als Nachschlagewerk f r einzelne praxisbezogene Problemstellungen In der Sichtweise des BSI wird die IT Forensik erweitert zu der gel ufigen Auslegung methodisches Vorgehen zur Aufkl rung von Straftaten unter Verwendung von IT Systemen gesehen Das streng methodische jederzeit nachweisbare und begr ndbare Vorgehen w hrend einer forensischen Unter suchung wird im Sinne des
338. ich eine HTTP POST Anfrage an tool php welche ebenfalls um 01 28 28 Uhr gesendet wurde Diese kam von einem Computer mit der IP 192 168 85 161 Die Untersuchung des PHP Scriptes dabei dass die Eingaben aus einem Formular nicht hinreichend berpr ft werden damit war ein Einschleusen von Kom mandos in die SQL Anfrage m glich Beigelegte Beweise Beweisdatentr ger 1 WORM Medium DVD R mit Festplattenabbild Festplattenabbild des Servers Beweiszettel Pr fsummen der Daten von Datentr ger 1 Untersuchung des Clientsystems Untersuchender Max Mustermann Beginn der Untersuchung 14 11 2008 16 05 GMT 1 00 Beim Eintreffen war der Computer au er Betrieb F r die Datensammlung wurde die Festplatte aus dem Computer entfernt und mit einem Write Blocker an die forensische Workstation angeschlossen Im Folgenden wurde mittels defldd ein Abbild der Festplatte gewonnen und die SHA256 Pr fsumme gebildet Diese wurde auf dem Beweiszettel notiert Leitfaden IT Forensik 283 Einsatz der IT Forensik anhand ausgew hlter Szenarien Anschlie end wurde anhand der Windows Logdaten ermittelt ob das System zum Vorfallszeitpunkt aktiv war Da es nicht m glich war den angemeldeten Nutzer zu bestimmen wurde der Verlauf der installierten Browser von jedem Benutzer ermittelt Dabei zeigte sich dass der Nutzer Meier zum gegebenen Zeitpunkt auf den Intranetserver zugriff Beigelegte Beweise Beweisdatentr ger 1 WORM
339. ich um propriet re Bin rformate welche sich nicht mit einem Texteditor einsehen lassen Um die Ereignisdaten zu sichern kann ein forensisches Datentr gerabbild erstellt werden siehe Kapitel Aus diesem lassen sich dann die evt bzw evtx Dateien extrahieren Unter Einsatz des Windows Betriebssystems lassen sich die Eintr ge unter Einsatz des von Microsoft kostenlos zur Verf gung gestellten Werkzeugs Logparser siehe Kapitel auslesen und in andere Formate wie z B syslog siehe Kapitel berf hren Unter Einsatz des Linux Betriebssystem lassen sich die Eventdateien vom Typ evt durch das Werkzeug GrokEVT untersuchen Im Linux Betriebssystem hingegen geschieht die Konfiguration durch Parameter die beim Start oder zur Laufzeit gesetzt werden k nnen Diese sind wie auch s mtliche Protokollierungsdaten nicht persistent Linux Distributionen bestehen jedoch nicht nur aus dem Betriebssystem welches in diesem Fall nur der Kernel ist sondern auch aus verschiedenen essentiellen Anwendungen diese bilden den so genannten Userspace Deren Konfigurations und Protokollierungsdaten sind in der Verzeichnisstruktur des Dateisystems zu finden Die Benennung sowie die genaue Position richtet sich dabei nach dem Filesystem Hierarchy Standard Hier finden sich Konfigurationsdaten siehe dazu auch Kapitel vor allem im Verzeichnis etc Dieses beinhaltet u a die Startskripte des Systems und ist forensisch wertvoll weil diese das Sys
340. ich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows und Linux SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung ist erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Xchat arbeitet mit Anwenderdaten und Sitzungsdaten UZ zeigt diese und ist dazu in der Lage diese zu speichern UA Das Ergebnis hierbei sind Anwenderdaten und Sitzungsdaten UE Das Datenvolumen ist hierbei nicht abzusch tzen DV Eine Verwendung des Xchat Logs ver ndert keine Daten STW Datenschutzrechtlich ist die Funktionalit t jedoch ausgesprochen bedenklich da es sich hierbei um Chatlogs handelt DSR Eine Beweiskrafttendenz ist auf Grund der Natur der Daten schwierig abzusch tzen BK Das Werkzeug Untersuchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM Der E Mail Klient und Terminplaner Microsoft Outlook Im Gegensatz zum im Kapitel beschriebenen E Mail Klient Microsoft Outlook Express ist Microsoft Outlook nicht in einer Basisinstallation des Betriebssystems Microsoft Windows enthalten Deshalb wird Microsoft Outlook auch als IT Anwendung in das vorgestellte Modell des forensischen Prozesses eingeordnet Hierbei handelt es sich um einen Pers nlichen Informations Manager PIM mit einer integrierten E Mail Funktionalit t Microsoft Outlook speichert sein
341. ie berpr fung der zu erreichenden Ziele innerhalb einer forensischen Untersuchung wird durch die Teilung in logische Untersuchungsabschnitte erleichtert Das hier vorgestellte Modell ist deshalb so gew hlt worden um dem Anwender die wesentlichen Aspekte und die Durchf hrung einer forensischen Untersuchung n herzubringen es beinhaltet im wesentlichen drei Bausteine die Einteilung der vorzunehmenden Abarbeitungsschritte in logisch zusammengeh rige Untersuchungsabschnitte die Einteilung von forensischen Methoden und Werkzeugen in geeignete grundlegende Kategorien die Einteilung der im Rahmen einer forensischen Untersuchung vorhandenen Daten anhand einer strukturierten Modellierung Datenmodell Durch die nachfolgende Beschreibung dieser drei Bausteine und ihres Zusammenwirkens wird es angestrebt dem Leser ein tieferes Verst ndnis f r die Aspekte einer forensischen Untersuchung zu liefern Das dargestellte Vorgehensmodell ist zukunftsf hig es kann jederzeit um neue forensische Methoden erweitert werden Im Kapitel wird mit dem zeitlichen Verlauf der erste Baustein des Modells einer forensischen Untersuchung durch die Einteilung in Abschnitte vorgestellt Daran anschlie end erfolgen im Kapitel die Beschreibung des zweiten Bausteins und damit die Vorstellung der Kategorien zur Einordnung forensischer Methoden Die Einordnung wird zun chst berblicksm ig und allgemein beschrieben Im Kapitel wird anhand von exemplarisch ausgew hlte
342. ie Daten ber die in ihm gespeicherten Dateien in Tabellen Der grunds tzliche Aufbau eines FAT Datei systems wird in der nachfolgenden Abbildung 34 berblicksm ig dargestellt siehe dazu auch Bun06 Eine detaillierte Beschreibung erfolgt im Anschluss an diese einleitende Vorstellung 146 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Boot FAT 1 FAT 2 Stamm Datenbl cke Record verzeichnis Abb 34 Aufbau eines FAT Dateisystems Im Boot Record sind sowohl Daten ber den Datentr ger u a Clustergr e siehe dazu auch Kapitel als auch Angaben mit welchem Betriebssystem der Datentr ger formatiert wurde und der Datentr gername eingetragen In der Dateizuordnungstabelle engl File Allocation Table FAT ist f r jeden Cluster des Datenblocks vermerkt ob und wenn ja zu welcher Datei bzw zu welchem Verzeichnis dieser zugeordnet wurde Von der FAT wird eine innerhalb des Dateisystems eine Kopie angelegt um die Gefahr eines potentiellen Datenverlustes durch eine besch digte FAT zu verringern Bei jeder Formatierung eines Datentr gers mit dem FAT Dateisystem wird ein Stammverzeichnis angelegt Von diesem aus kann auf s mtliche anderen Verzeichnisse ihre Unterverzeichnisse und Dateien zugegriffen werden Dazu existieren f r jedes Verzeichnis bzw f r jede Datei hier allgemeine Daten ber die Datei bzw das Verzeichnis beispielsweise Attribute und die Nummer des ersten Clusters einer Datei bzw
343. ie im Kapitel beschriebene Technik des Filecarvings kann auf die Swap Datei angewendet werden Jedoch ergeben sich auch hierbei die f r das Filecarving typischen Nachteile Verlust der Metadaten Falschklassifizierung von Dateien Die Sicherung des Swap Speichers erfolgt durch Kopieren der Swap Datei aus dem Dateisystem Zusammenfassung der Erkenntnisse Die Einordnung des Dateisystems NTFS anhand der allgemeinen Eigenschaften von Dateisystemen aus Kapitel erfolgt in der Tabelle 20 106 http www sleuthkit org sleuthkit man icat html Leitfaden IT Forensik 143 Detaillierte Vorgehensweise in der IT Forensik NTFS Speicherorganisation vorhanden Verwaltung von Zeiten vorhanden Verwaltung von Attributen vorhanden Verwaltung von Rechten vorhanden Journaling teilweise vorhanden Versionierung nicht vorhanden ADS vorhanden Tabelle 20 Merkmale des NTFS Dateisystems Die nachfolgende Abbildung 33 verdeutlicht die Zuordnung der forensischen Methoden des Dateisystems NTFS als Teil der grundlegenden Methode des Datei systems FS Anwenderdaten Hardwaredaten Rohdateninhake Prozessdaten Kommunikabons Konfigurations protokolidaten daten Abb 33 Einordnung des NTFS Dateisystems in die Datenarten und die Abschnitte des forensischen Prozesses Das Dateisystem NTFS erm glicht im Rahmen der Datensammlung die Gewinnung von Rohdateninhalten und Details ber Dateien In der Daten
344. iefert werden Sie kann auch auf Datentr gern eingesetzt werden die prinzipiell kein Dateisystem verwenden Beispielhaft sei hier der in Kapitel vorgestellte Swap Speicher genannt Filecarving basiert auf der Annahme dass der Typ der wiederherzustellenden Dateien bekannt ist Idealerweise sind vom Aufbau der Datei zwei Fakten bekannt die Anfangssignatur einer Datei engl Header und die Endesignatur engl Footer Des Weiteren wird bei der Technik des Filecarvings vorausgesetzt dass alle im Dateisystem vorhandenen Dateiinhalte sequentiell hintereinander stehen Hier sind bereits die Probleme beim Einsatz des Filecarvings ersichtlich e Viele Datentypen haben keinen Footer einige verzichten sogar auf einen Header Dateisysteme neigen dazu nach l ngerer Benutzung zu fragmentieren d h die zu einer Datei zugeh rigen Bl cke sind quer ber den Datentr ger verteilt Das Funktionsprinzip des Filecarvings ist somit vereinfacht wie folgt beschrieben Es besteht in der Suche innerhalb einer Menge von Rohdateninhalten nach einem oder mehreren vorgegebenen Headern und dem Kopieren der Bl cke danach bis entweder ein zugeh riger Footer gefunden wurde oder bis eine voreinzustellende Menge von Bl cken kopiert wurde Da kein Zugriff auf die Strukturen des Dateisystems erfolgt ist auch keine Rekonstruktion des Namens oder der Datei rechte beispielsweise aus der MFT eines NTFS Dateisystems bzw aus einem Inode eines EXT Dateisystems m glich
345. ielen Drittanbietern genutzt um zus tzliche Inhalte an eine Datei bzw ein Verzeichnis zu binden Beispielsweise werden in ADS Vorschaubilder von Mediendateien gespeichert Seit Windows XP mit Servicepack 2 wird aber auch ein so genannten Zone Identifier mitgef hrt mit welchem erkennbar wird ob Dateien aus dem Internet heruntergeladen wurden Auch Schadcode nutzt teilweise die M glichkeit in normalen Dateiauflistungen unsichtbare Dateiinhalte an scheinbar ungef hrliche Dateien anzuh ngen Wenn die Datei bzw das Verzeichnis an dem der ADS angebunden wurde das so 140 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik genannte Parent ver ndert wird ndert sich der Inhalt des ADS nicht Umge kehrt bewirkt eine Ver nderung des ADS keine Ver nderung des Parents Prinzipiell gehen ADS verloren wenn Dateien von einem NTFS Dateisystem auf ein anderes Dateisystem z B FAT kopiert werden ADS werden heute von vielen forensischen Werkzeugen erkannt und angezeigt Beispielhaft sei hier das Freeware Programm LADS erw hnt Alternate Data Streams geh ren bzgl der Datenarten des Modells des forensisch en Prozesses zur Gruppe Details ber Daten Extraktion von Rohdateninhalten Nachdem im vorhergehenden Abschnitt die Extraktion von Details ber Dateien diskutiert wurde wird nun erl utert inwiefern NTF die Extraktion von Rohdaten inhalten unterst tzt Hierf r gelten ebenfalls die Ausf hrungen aus dem K
346. ielsweise werden vom US amerikanischen Normungsinstitut NIST Datenbanken mit Checksummen von bekannter und damit aus einer forensischen Untersuchung auszuschlie ender Software gef hrt siehe dazu http www nsrl nist gov Beispielsweise betrifft dies ausgew hlte ausf hrbare Dateien und Betriebssystembibliotheken des Microsoft Windows Betriebssystems Leitfaden IT Forensik 25 Die forensische Duplikation Writeblocker einsetzen Einf hrung Die beweissichere Anfertigung eines Datentr gerabbilds forensische Duplikation Aufgrund der herausragenden Bedeutung f r die Beweiskraft einer forensischen Untersuchung soll in diesem Abschnitt berblicksartig die beweissichere Anfertigung eines Datentr gerabbildes engl Image beschrieben werden Im Detail wird auf dieses Thema im Kapitel eingegangen Der Vorgang der Gewinnung eines Datentr gerabbildes wird in der Literatur h ufig auch als forensische Duplikation bezeichnet und sollte bis auf wenige begr ndete Ausnahmen konsequent im Rahmen einer forensischen Untersuchung angefertigt werden Da die Gewinnung eines Datentr gerabbildes Zeit und Ressourcen ben tigt stellt sich zun chst die Frage nach der Notwendigkeit einer forensischen Duplikation Bis auf wenige Ausnahmen kann diese Frage prinzipiell bejaht werden Mit einem Abbild erh lt der Forensiker eine 1 1 Kopie des Datentr gers an welchem verschiedene Untersuchungsschritte mehrfach ausgef hrt werden k nnen ohne die Origi
347. ient zur Organisation des Dateisystems und enth lt Eintr ge ber alle Verzeichnisse und Dateien innerhalb einer NTFS Partition F r jedes Verzeichnis und jede Datei existiert mindestens ein so genannter Record Eintrag Diese Records sind 1024 Byte lang Wenn nicht der ganze Record mit einer Datei belegt ist kann der bersch ssige Bereich Fragmente von alten Dateien enthalten siehe dazu auch Ges08 Die Struktur innerhalb der MFT besteht aus FILE Eintr gen Diese speichern bei sehr kleinen Dateien den voll st ndigen Dateiinhalt auch bekannt als residente Datei oder aber einen Zeiger auf den Beginn des entsprechenden Datenfeldes nicht resident Diese Datenfelder werden auch als Data Runs bezeichnet Die nachfolgende Abbildung 32 verdeutlicht den vereinfachten Aufbau eines File Eintrags f r eine 94 Siehe dazu auch http www ntfs com ntfs 20basics Leitfaden IT Forensik 135 Record MAC Achtung strategische Vorbereitung erforderlich Detaillierte Vorgehensweise in der IT Forensik Header Standard Filename Daten Informationen Data Data Data Run 1 Run 2 Runn Abb 32 Aufbau eines FILE Feldes f r eine Datei Datei Hierbei handelt es sich um eine nicht residente Datei Im Datenfeld finden sich daher nur Verweise auf den Speicherort des Dateiinhalts Bei einer residenten Datei w re im letzten Feld DATA dem Datenfeld der vollst ndige Dateiinhalt abgelegt worden Im Header befi
348. ierte Vorgehensweise in der IT Forensik EME Explizite Methoden der Einbruchserkennung SV Definition von IDS Regeln Strategische Vorbereitung OV Operationale Vorbereitung DS IDS Snort Antiviren Software AVGuard Datensammlung US Untersuchung DA Datenanalyse DO Dokumentation Tabelle 26 Zusammenfassung der Einordnung der grundlegenden Methode EME anhand der identifizierten Eigenschaften ausgew hlter forensischer Methoden Es ist ersichtlich dass nach Beachtung der strategischen Vorbereitung die ausgew hlten Methoden im Bereich der Datensammlung angesiedelt sind vornehmlich unter Einsatz von Loggingfunktionalit ten Nachfolgend sollen nun exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode EME vorgestellt werden Intrusion Detection Systeme am Beispiel von Snort Bei Snort handelt es sich um eine Open Source Implementierung eines Intrusion Detection Systems Es ist f r Linux und Windows basierte Systeme erh ltlich Snort kann in drei verschiedenen Modi laufen e in einem Sniffer Modus in welchen einfach alle Netzwerkpakete in einem zusammenh ngenden Datenstrom auf dem Bildschirm ausgegeben werden e in einem Packet Logger Modus in welchem die Pakete auf die Festplatte geloggt werden e im Network Intrusion Detection Modus in welchem der Netzwerkverkehr mit nutzerdefinierten Regeln verglichen wird und benutzerdef
349. ieses Abschnittes ber die Dateisysteme wird nachfolgend ein allgemeines Modell eines Dateisystems auf der Basis von Ach06 vorgestellt werden welches dann auch f r die Beschreibung der konkreten Dateisysteme eingesetzt wird Grundaufbau von Dateisystemen Ein Dateisystem im Allgemeinen hat die folgenden forensisch interessanten Eigenschaften welche einen Einfluss auf den Umfang und die Qualit t der gewinnbaren Daten haben Strukturen zur Speicherorganisation Verwaltung der Zeiten Verwaltung der Rechte e Verwaltung der Attribute Des Weiteren haben evtl zus tzliche Charakteristiken von einigen Dateisystemen Einfluss auf die Gewinnung von Daten Diese sind z B e Journaling Schattenkopien Versionierung alternative Datenstr me Auf die vorgestellten Eigenschaften wird zun chst allgemein und nachfolgend anhand exemplarisch ausgew hlter Dateisysteme unter Beachtung der im Kapitel beschriebenen Datenarten eingegangen Leitfaden IT Forensik 73 Achtung Gefahr des Datenverlusts Partitionen Bl cke Slack Sektor Slack Detaillierte Vorgehensweise in der IT Forensik Strukturen zur Speicherorganisation Auch wenn im Anschluss auf spezifische Dateisysteme genauer eingegangen wird so lassen sich generelle Aussagen ber Dateisysteme treffen siehe dazu auch Bun06 Ein Dateisystem befindet sich in einer Partition Dort m ssen Daten vorhanden sein welche u a das Layout und die Gr e des Dateisystems
350. iffsrechte kennzeichnen welcher Benutzer oder welche Benutzergruppe Zugriff auf eine Datei hat Im Einzelnen beinhaltet die EXT Dateisystemfamilie die folgenden Rechte f r Dateien e Read die Datei darf eingelesen werden Write die Datei darf modifiziert bzw gel scht werden Execute die Datei darf ausgef hrt werden Diese Rechte gelten prinzipiell auch f r Verzeichnisse Dabei wird das Leserecht ben tigt um die im Verzeichnis vorhandenen Dateien anzeigen zu lassen jedoch wird das Execute Recht ben tigt um mehr als den Dateinamen anzuzeigen Weiterhin ist es m glich bei gesetztem Schreibrecht auf dem Verzeichnis eine von den Dateirechten als schreibgesch tzt markierte Datei zu l schen Die Datei zugriffsrechte beinhalten weiterhin die Angabe des Besitzers der Datei sowie die Gruppe der die Datei geh rt Hierdurch lassen sich im Rahmen einer Unter suchung Aussagen dar ber treffen welches Nutzerkonto dazu in der Lage war wie auf welche Dateien zuzugreifen Dadurch k nnen ggf Verdachtsmomente ausger umt werden Hierbei ist es wichtig zu wissen dass bei aktivierten Meta datenjournaling jede Ver nderung der Zugriffsrechte in diesem aufsp rbar ist 120 http www sleuthkit org sleuthkit Leitfaden IT Forensik 157 Achtung Access Control List Der L schvorgang in der EXT Dateisystemfa milie Detaillierte Vorgehensweise in der IT Forensik siehe n chster Punkt Des Weiteren signalisieren die Date
351. ig von speziellen forensischen Werkzeugen Die nachfolgende Abbildung 17 verdeutlicht den zu betrachtenden Gesamtzusammenhang Hier sind die bereits vorgestellten Ebenen zus tzlich eingetragen 82 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Abb 17 Forensische Datenquelle FD eingeteilt in grundlegende Methoden und den enthaltenen Daten Es gilt demnach ber alle Abschnitte den forensischen Prozess mit der Gesamtheit der im betrachteten IT System vorhandenen Daten aufgeteilt in grundlegende Methoden anhand der daraus zu gewinnenden Informationen zu betrachten Auch dieser Zusammenhang soll nochmals anhand von Abbildung 17 dargestellt werden welche sich aus der Abbildung 13 ber die Abschnittsteilung des forensischen Prozesses mit der Integration der Abbildung 15 ber die forensischen Datenquellen ergibt Leitfaden IT Forensik 83 Detaillierte Vorgehensweise in der IT Forensik Operationale Vorbereitung Datensammlung Bergung Abb 18 Der forensische Prozess im Zusammenspiel mit den forensischen Datenquellen Dabei steht Abbildung 18 keinesfalls im Widerspruch zur Abbildung 12 ber die Abschnittsteilung des forensischen Prozesses in welchem sich im Zentrum des kreisf rmigen Verlaufs die Dokumentationsfunktion DO befindet Denn die Zusammenf hrung aller gesammelten einzelnen Untersuchungsergebnisse kann nur aus den Daten gewonnen werden welche aus der forensischen Datenquelle
352. in m ssen Zug nge zu Netzwerkverkehrsdaten aus Netzkoppelelementen lokalisiert werden Bei s mtlichen daraus erfolgenden Verkehrsmitschnitten und deren Untersuchung muss der gesetzlich vorgeschriebene Datenschutz beachtet werden Von ebenfalls erheblicher Bedeutung ist die Planung der Netzsegmente ins besondere um den in Kapitel vorgestellten zentralen Logserver zu sch tzen Zur weiteren Vertiefung der Netzplanung sei auf die Studie ISi LANA verwiesen BSI07 In diesen zentralen Logserver k nnen nicht nur Logdaten von IT Anwendungen und vom unterliegenden Betriebssystem eingepflegt werden sondern auch von expliziten berwachungssystemen insbesondere von Intrusion Detection Systemen IDS Die Softwareausstattung legt den Rahmen f r die M glichkeiten zur Sammlung von forensisch relevanten Daten insbesondere aus den eingesetzten IT Anwendungen siehe Kapitel aber auch des eingesetzten Betriebs und Dateisystems Kapitelund und zus tzlicher Einbruchserkennungssoftware Kapitel und fest Die Musterlandschaft RECPLAST Zur Beschreibung der Szenarien dieses Leitfadens kommen jeweils Ausschnitte der angepassten IT Musterlandschaft zum Einsatz welche unter anderem in dem Webkurs zum IT Grundschutzhandbuch GSHB08 anhand des fiktiven Unter nehmens RECPLAST GmbH verwendet Die Abbildung 7 stellt dabei die Ausgangsbasis dar Leitfaden IT Forensik 45 Einf hrung Verwaltung Bad Godesberg E N3 Switch Internet E
353. inden sind Hierbei ist zu beachten dass die Wahrscheinlichkeit daf r dass eine wiederherzustellende Datei berschrieben wurde steigt wenn mehr Zeit zwischen L schvorgang und Wiederherstellung vergangen ist Daraus ergibt sich auch die in Kapitel vorgestellte berlegung ein laufendes Sys tem hart durch Trennung von der Spannungsversorgung auszuschalten Denn durch ein geordnetes Herunterfahren besteht u a die Gefahr das w hrend des Herunterfahrens schreibende Zugriffe auf das Dateisystem erfolgen welche auch die als verf gbar markierten Eintr ge mit neuen Inhalten berschreiben k nnten Das Dateisystem liefert zur Dateirekonstruktion aufgrund seines Aufbaus deshalb die Mechanismen welche durch die Anwendung eines forensischen Werkzeugs benutzt werden k nnen Beispielhaft sei hier das forensische Werkzeug icat ge nannt dass ebenfalls Bestandteil der Werkzeugsammlung Sleuthkit ist Nach dem Dateien rekonstruiert wurden k nnen diese anschlie end detailliert unter sucht werden Extraktion des Slack Speichers Im so genannten Slack Speicher eines Datentr gers kann man berreste von alten Dateien finden siehe dazu auch die Ausf hrungen in Kapitel Da ein Datentr ger aus Sicht des Computers in Bl cke mit bestimmten Gr en unterteilt ist und sich in jedem dieser Bl cke nur eine Datei befinden kann passiert es dass bisweilen Bl cke nicht komplett ausgef llt sind In diesen nicht belegten Bereichen kann man die R
354. indows Registry F r Logdateien sei hier beispiels weise der typische Beginn einer dmesg Startlogdatei unter einem Unix artigen System angegeben der in diesem Fall den gesuchten Header darstellt Auf einen Footer wird in diesem Fall verzichtet da hier kein einheitlicher Eintrag vorliegt Hierbei muss dann die maximal zu extrahierende Dateil nge in Abh ngigkeit von den zu extrahierenden Dateien gew hlt werden Hierbei ist hervorzuheben dass je nach Fall sowohl Anwenderdaten als auch Logdateien den forensischen Prozess unterst tzen k nnen Bei der Wahl der zu extrahierenden Daten ist daher zu beachten welche Daten genau gesucht werden da es leicht zu Erzeugung gewaltiger Datenmengen kommen kann Im Kapitel wird der Einsatz von Scalpel als Vertreter der Filecarving Technik beschrieben Einordnung in das detaillierte Schema siehe Kapitel 167 http www digitalforensicssolutions com Scalpel Leitfaden IT Forensik 201 Detaillierte Vorgehensweise in der IT Forensik Scalpel l uft auf Desktop PCs HW Das Programm ist f r Linux und Windows erh ltlich SW Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw ein Abbild von dieser es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO F r Scalpel m ssen zun chst die Datei Header Footer eingestellt werden daher ist eine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktions
355. ine Datenschutzrelevanz deshalb sollten die in diesem Schritt gewonnenen Daten zus tzlich durch den Einsatz eines geeigneten Programms verschl sselt werden Erfassung der am System angemeldeten Nutzer Hierbei sollten alle auf dem System eingelogten Benutzer des betroffenen Systems erfasst werden Die Erfassung zielt dabei bzgl der Datenarten auf Sitzungsdaten ab Wann immer m glich sollten f r die Erfassung statisch kompilierte Programme von einem schreibgesch tzten Datentr ger zum Einsatz kommen um eine Verf lschung durch Malware zu verhindern Die zur Erfassung der Liste potentiell erforderlichen Manipulationen am lokalen Dateisystem Erstellung neuer Dateien und Ver nderung von MAC Zeiten von Dateien und Ordnern sind detailliert zu dokumentieren In diesem Untersuchungsschritt ergibt sich ggf eine Datenschutzrelevanz deshalb sollten die in diesem Schritt gewonnenen Daten zus tzlich durch den Einsatz eines geeigneten Programms verschl sselt werden Als m gliche operationale Vorbereitung von Untersuchungen an weiteren IT Komponenten sollten alle Systeme aufgelistet werden welche mit der betroffenen IT Komponente eine Netzwerkverbindung hatten Forensische Duplikation Prinzipiell wird in Rahmen dieses Untersuchungsabschnitts die Durchf hrung einer forensischen Duplikation der betroffenen Massenspeicher erforderlich siehe Leitfaden IT Forensik 89 Detaillierte Vorgehensweise in der IT Forensik dazu Kapitel Dabei wer
356. iner Datenre konstruktion Forensische Werkzeuge die NTFS Dateisysteme lesen alle als verf gbar markierten Dateieintr ge auch unter Einbeziehung der zugeh rigen Bitmap Felder ein und kennzeichnen die rekonstruierten Dateien als gel scht Der L schmechanismus des NTFS Dateisystems bedeutet jedoch auch dass Dateiinhalte welche als verf gbar markiert worden sind bei der n chsten Schreiboperation des Dateisystems mit neuen Inhalten berschrieben werden 102 http www heysoft de Frames f_sw_la_en htm Leitfaden IT Forensik 141 Der L schvorgang von NTFS im berblick Achtung forensische Datensicherung erforderlich Hauptspeicher analysetechniken erforderlich Detaillierte Vorgehensweise in der IT Forensik konnen und damit sich bestenfalls noch Reste des alten Bestandes im Slack Speicher siehe dazu auch Kapitel zu finden sind Je gr er die Zeitspanne zwischen dem L schvorgang und der Wiederherstellung ist desto gr er ist das Risiko dass Teile der zu extrahierenden Datei berschrieben wurden Daraus ergibt sich auch die in Kapitel vorgestellte berlegung ein laufendes System hart durch Trennung von der Spannungsversorgung auszuschalten Denn durch ein geordnetes Herunterfahren besteht u a die Gefahr das w hrend des Herunterfahrens schreibende Zugriffe auf das Dateisystem erfolgen welche auch die als verf gbar markierten Eintr ge mit neuen Inhalten berschreiben k nnten Beispielhaf
357. inf hrung von Windows Vista und Windows Server 2008 Diese Standardpfade sind insbesondere auch dadurch bedeutsam dass die in Kapitel beschriebenen Anwendungsprogramme per Vorgabe ihre forensisch relevanten Daten in diesen Verzeichnissen ablegen BitLocker BitLocker ist die integrierte Laufwerksverschl sselung von Microsoft die es erm glicht eine Partition komplett zu verschl sseln siehe dazu auch Joo08 BitLocker ist in keinem der beiden betrachteten Betriebssysteme vorinstalliert wird jedoch in den Vista Versionen Enterprise und Ultimate angeboten sowie als zus tzliche Komponente bei dem Windows 2008 Server Falls auf einem System 114 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik die BitLocker Verschl sslung eingesetzt wird so ist die Abbilderstellung weitaus problematischer Wenn Zugriff auf das aktive System besteht so muss der Datentr ger entsperrt werden Andernfalls ist es nicht hinreichend nur die Fest platte zu untersuchen F r den Zugriff k nnen weitere Komponenten n tig sein so z B die Hauptplatine mit dem Trusted Computing TPM Chip winrs Dieses Befehlszeilenprogramm f hrt den Befehl in der shell cmd exe auf einem entfernten Server aus siehe dazu auch Fri08 Somit ist es m glich jedes ermittelte forensische Befehlszeilenprogramm auf entfernen Windows Server auszuf hren winrs r servername ipconfig all Dieser Befehl zeigt die aktuelle Netzwerkkonfiguration des
358. iniert auf eventuelle Regelverletzungen reagiert wird F r den Einsatz als forensisches Werkzeug sind vor allem die F higkeiten des Loggings von Snort bedeutsam Dies kommt dem Network Intrusion Detection Modus gleich wenn als benutzerdefinierte Regel das Loggen gew hlt wird Als Logziele stehen zum einen Syslog oder zum anderen regul re Dateien zur Verf gung alternativ ist auch ein Logging in eine Datenbank m glich Gerade letztere erm glicht eine komfortable Auswertung der gesammelten Daten hierf r 127 http www snort org 164 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik stehen integrierte Werkzeuge wie beispielsweise die webbasierende Software BASE zur Verf gung Es ist ein Werkzeug der grundlegenden Methoden der Datenbearbeitung und Auswertung welches prim r im dem Schritt der Unter suchung eingesetzt wird Gerade durch die M glichkeit Filter anzuwenden kann die zu untersuchende Datenmenge reduziert werden Mit BASE k nnen die Pakete die protokolliert wurden auch einzeln eingesehen werden Auch ein Download im PCAP Format und somit das Abspeichern verd chtiger Pakete ist m glich Snort wird im Rahmen einer forensischen Untersuchung prim r im Abschnitt der Datensammlung eingesetzt Die Snort Logs sollten idealerweise in regelm igen Abst nden unter Anwendung von integrit ts und authentizit tssichernden Ma nahmen abgelegt werden Diese Absicherung muss auch f r die in den Konfigur
359. ird vordringlich versucht so genannte fl chtige Daten zu gewinnen und zu untersuchen Diese beinhalten unter anderem den Hauptspeicherinhalt Informationen ber bestehende Netzwerkverbindungen und gestartete Prozesse Eine forensische Untersuchung l sst sich allgemein in die Vorfallsbearbeitung bzw Krisenreaktion engl incident response eingliedern siehe dazu auch die Ausf hrungen in Fre07 Diese Vorfallsbearbeitung ist ein Teil des Notfallmanagements Hinsichtlich des Notfallmanagements wird auf die Ausf hrungen des BSI Standards 100 4 verwiesen Das Notfallmanagement schlie t neben der Vorfallsbearbeitung auch den Wiederanlauf und die Wiederherstellung ein siehe dazu auch R s03 Durch Sofortma nahmen die Krisenreaktion sollen unmittelbare und dringliche Aufgaben erf llt und der entstandene Schaden begrenzt werden Finanzielle Erw gungen spielen eine untergeordnete Rolle e Der Wiederanlauf engl Recovery soll einen Notbetrieb mit vermutlich 1 Auch Daten auf Massenspeichern k nnen verloren gehen da das Tr germedium auch altert bspw die Magnetplatten von Festplatten 2 http www bsi de literat bsi_standard bsi standard_100 4_v070 pdf Leitfaden IT Forensik 13 Notfallmanagement Einf hrung eingeschr nkter Kapazit t einleiten Folgesch den verhindern oder zumindest begrenzen und den Zeitdruck f r die Wiederherstellung vermindern Die Wiederherstellung die Restauration soll den vorherigen
360. it den Befehlszeilenprogrammen eventtriggers und eventcreate k nnen be nutzerspezifische Ereignisausl ser erstellt werden welche detailliertere Infor mationen ber die Vorg nge im Betriebssystem liefern k nnen Mit eventcreate wird manuell ein Ereignis auf einem System erstellt Zus tzlich ist es m glich Ereignisprotokolle f r eine sp tere Analyse und Korrelation zu exportieren Wie aus allen Logdaten k nnen hier prinzipiell wichtige Erkenntnisse f r die Untersuchung gewonnen werden Die m glichen Ma nahmen sind in den Abschnitt der strategischen Vorbereitung einer forensischen Untersuchung einzuordnen Extraktion von Anwenderdaten F r eine forensische Untersuchung stellen Anwenderdaten eine wertvolle Datenquelle dar In diese Kategorie fallen u a Chat Protokolle Emails und Tempor re Dateien Aufgrund der Festlegung dass bei Microsoft Windows XP SP2 eine Basisinstallation angenommen wird schlie t das auch den Browser Internet Explorer den Instant Messenger Messenger und den E Mail Klient Outlook Express sowie den Media Player ein Die Daten dazu finden sich in den Ordnern Temp und Temporary Internet Files Au erdem bieten Outlook Express mit den gespeicherten Emails und der MSN Messenger mit seinen Chat Protokollen m gliche Untersuchungsziele Die hier erworbenen Daten weisen mit hoher Wahrscheinlichkeit eine hohe Datenschutzrelevanz auf da sie unter anderem pers nliche Daten enthalten Im speziellen sollten hier Ano
361. itung zu gewinnen Da es in der Natur des Dateisystems liegt auf einem physischen Datentr ger gespeichert zu sein eignen sich die nun vorgestellten Informationsquellen auch zu einer Offline Analyse Eine kurze Zusammenfassung der forensisch nutzbaren Eigenschaften der beiden Dateisysteme geben die nachfolgenden Tabellen 23 und 24 f r die Dateisysteme EXT2 und EXT3 152 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik FS Dateisystem SV Strategische Vorbereitung OV Operationale Vorbereitung DS Datensammlung Daten der Inodes MAC Zeiten Dateizugriffsrechte Slack Speicher Swap Speicher US Untersuchung Dateiwiederherstellung DA Datenanalyse DO Dokumentation Tabelle 23 Zusammenfassung der forensischen Eigenschaften des EXT2 Dateisystems Leitfaden IT Forensik 153 EXT3 allgemein EXT4 allgemein EXT3 cow allgemein Detaillierte Vorgehensweise in der IT Forensik FS Dateisystem SV Strategische Vorbereitung OV Operationale Vorbereitung DS Daten der Inodes MAC Zeiten Dateizugriffsrechte Slack Datensammlung Speicher Swap Speicher Journaling US Dateiwiederherstellung Untersuchung DA Datenanalyse DO Dokumentation Tabelle 24 Zusammenfassung der forensischen Eigenschaften des EXT3 Dateisystems Die allgemeinen Eigenschaften von EXT siehe dazu auch Car05 sind eine
362. ivierung ist erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Pidgin wertet Anwenderdaten aus UZ zeigt diese und ist dazu in der Lage diese zu speichern UA Das Ergebnis hierbei sind Anwenderdaten UE Das Datenvolumen ist hierbei nicht abzusch tzen DV Eine Verwendung des Pidgin Logs ver ndert keine Daten STW Datenschutzrechtlich ist die Funktionalit t jedoch ausgesprochen bedenklich da es sich hierbei um Chatlogs handelt DSR Eine Beweiskrafttendenz ist auf Grund der Natur der Daten schwierig abzusch tzen BK Das Werkzeug Untersuchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM XChat Bei Xchat handelt es sich um einen IRC Klienten der sowohl unter Windows basierten als auch unter Linux Systemen lauff hig ist siehe dazu auch UMD08a Mit seinem Log Mechanismus und dem in der aktuellen Version hinzugekommen Scrollbackmechanismus bietet Xchat zwei forensisch interes sante Funktionen Zun chst einmal verf gt Xchat ber einen klassischen Logmechanismus der standardm ig deaktiviert ist Dieses Log speichert sowohl Konversationen als auch Dateitransfers Zus tzlich gibt es eine Logdatei der Kommunikation mit dem Server Hier k nnen weitere Informationen wie zum Beispiel die eigene IP Adresse oder Uhrzeit am Server gewonnen werden Ziel der Scrollbackfunktion ist es dem Nutzer die Fortsetzung alter Gespr c
363. izit angehalten diesen Leitfaden und die ihm zugrunde liegende Methodik als Ausgangspunkt f r weiterf hrende Betrach tungen zu nutzen und sich dadurch auf dem aktuellen Stand zu halten bzgl nderungen der Gesetzeslage und Standards sowie neuen Bedrohungen und Methoden F r die IT Forensik gelten selbstverst ndlich der Datenschutz und andere wichtige gesetzliche Bestimmungen wie z B das Fernmeldegesetz F r einige Personengruppen wie z B Angeh rige von Strafverfolgungsbeh rden werden einige der Forderungen dieser Gesetze hinter den Strafaufkl rungs anspruch des Staates zur ckgestellt Bei der Ausweitung des Feldes m glicher Ausf hrender auch auf die IT Anlagenbetreiber kommen alle rechtlichen Vorschriften uneingeschr nkt zur Geltung Dies hat insbesondere damit einen erheblichen Einfluss darauf welche Daten im Rahmen einer forensischen Untersuchung durch diese Personengruppe berhaupt erfasst und eingesehen werden d rfen Leitfaden IT Forensik 301 Fazit Durch die im vorliegenden Leitfaden vorgestellte Vorgehensweise wird ein Ausf hrender bef higt eine forensische Untersuchung beginnend mit der Vorbereitung bis hin zum Abschlussbericht erfolgreich und ressourcenschonend zu f hren Dadurch wird eine Unabh ngigkeit von speziellen evtl nicht mehr vorhandenen oder in ihren Leistungsmerkmalen und anforderungen ver nderten Software und Hardwareprodukten erreicht 302 Leitfaden IT Forensik Fazit Literaturliste
364. izugriffsrechte zus tzlich ob eine Datei oder ein Verzeichnis vorliegt Hinzu kommen nun noch die Benutzerumschaltflagge und die Gruppenumschaltflagge suid sgid Diese sorgen daf r dass ein Programm immer mit den Rechten des Besitzers respektive der besitzenden Gruppe ausgef hrt wird H ufig werden bei Vorf llen Programme mit aktivierter Benutzerumschaltflagge benutzt um die Zugriffsrechte des Dateibesitzers zu erlangen Wenn der Dateibesitzer nun ein Administratorenkonto besitzt hat nun auch ein unauorisierter Nutzer Administratorrechte Es ist daher sinnvoll nach Dateien mit solchen Dateirechten zu suchen um m gliche Schwachstellen zu identifizieren und so den Vorfallsverlauf verfolgen zu k nnen Zu den Dateizugriffsrechten z hlen ebenfalls die erweiterten Attribute und die Access Control Lists ACLs Mit Access Control Lists kann man detaillierte Zugriffsrechte f r Dateien und Verzeichnisse einrichten Erweiterte Attribute erlauben es beispielsweise eine Datei auf immutable zu setzen Damit ist diese unabh ngig von Dateiattributen nicht mehr zu ver ndern siehe dazu auch Car05 Der Systemadministrator kann jedoch das immutable Bit ohne Ein schr nkungen wieder entfernen Extraktion von Rohdateninhalten Prinzipiell gelten f r die EXT Dateisystemfamilie auch die Ausf hrungen aus dem Kapitel Nachfolgend werden nun ausgew hlte forensische Methoden dieser Dateisystemfamilie vorgestellt Struktur der Speicherorganisa
365. ksvermittlung der forensischen Eigen schaften des betrachteten Betriebssystems verzichtet Im Anhang A wird f r ausgew hlte Beispiele eine derartige Einordnung vorgenommen Der Gro teil dieser Werkzeuge ist prim r auf dem noch laufenden System einzusetzen Einige k nnen aber auch auf ein forensisches Duplikat angewendet werden Das Betriebssystem MS Windows XP Das Betriebssystem Microsoft Windows XP bietet eine Vielzahl von M glich keiten die von ihm verwalteten Ressourcen zu erfassen und somit eine forensische Untersuchung zu unterst tzen Untersucht wird an dieser Stelle eine Standard Installation Basisinstallation von Windows XP SP2 mit allen von Microsoft Update ermittelten Patches Stand 21 02 08 Die Trennung zwischen Betriebssystemkern und den ihn umgebenden Anwendungen f llt beim Betriebssystem Microsoft Windows XP SP2 verglichen mit beispielsweise dem Linux Betriebssystem schwer Deshalb wird hier als Betriebssystem eine Standard Installation von Microsoft Windows XP festgelegt Die Einordnung der forensischen Werkzeuge erfolgt dabei anhand des in Kapitel vorgestellten Modells ber die Abschnitte einer forensischen Untersuchung und der in Kapitel beschriebenen Datenarten Die Tabelle 12 gibt einen ersten berblick ber die forensischen Werkzeuge in Windows XP SP2 Leitfaden IT Forensik 93 Detaillierte Vorgehensweise in der IT Forensik BS Betriebssystem SV Aktivieren der Sicherheitsprotokolli
366. kumentation muss ein auf die Zielgruppe zugeschnittener Gesamtbericht erstellt werden Dies k nnen beispielsweise ein technischer Bericht f r die Administration ein Bericht ber die wirtschaftlichen Implikationen f r das Management oder ein Ablaufs und Ergebnisdokument zur weiteren Verwendung von juristischen Schritten sein Basisszenario Rootkitaufkl rung Linux In diesem Szenario wurde ein Rootkit durch Binary Ersetzung installiert Bsp trojanisierter sshd dies wird durch berpr fung der Hashsummen der Bin rdaten von ausf hrbaren Programmen auff llig Die verd chtige Datei wird isoliert und gesichert Eine Untersuchung auf enthaltene Textrepr sentationen best tigt die Pr senz des Rootkits Dies wird im Rahmen der Dokumentation belegt In bereinstimmung mit der Vorgehensweise bei einer forensischen Untersuchung Leitfaden IT Forensik 253 Dokumentation Operationale Vorbereitung Einsatz der IT Forensik anhand ausgew hlter Szenarien aus Kapitel werden zun chst die relevanten Methoden aus den grundlegenden Methoden anhand des forensischen Modells aus Kapitel identifiziert siehe Tabelle 38 Relevante Methoden BS Prozessinformationen Betriebssystem FS MAC Zeiten Dateisystem EME Explizite Methoden der Einbruchserkennung ITA IT Anwendungen SB Tripwire RK Hunter Skalierung von Beweism glichkeiten DBA Datenbearbeitung und Auswertung Tabelle 38 Methoden f r das Szenario Rootkitaufkl rung Li
367. kzeuge angeschlossen werden welche in der Lage sind den Netzwerkverkehr bzw Teile davon beweissicher d h unter Wahrung der Authentizit t und der Integrit t siehe Kapitel f r eine nachfolgende forensische Untersuchung zu erfassen Ein daf r geeignetes Werkzeug ist der so genannte digitale Fahrtenschreiber welcher w hrend der Bearbeitung dieses Leitfadens entwickelt wurde und dessen detaillierte Beschreibung sich im Anhang A2 befindet Dieses forensische Werkzeug wird im Bridge Modus betrieben Dies ist notwendig um dem Verursacher eines Vorfalls die Anwesenheit eines solchen Protokollsystems vorzuenthalten Dieses Werkzeug ist im Netz mit blichen Methoden nicht zu erkennen Der digitale Fahrtenschreiber kann dabei an vielen Stellen im Netzwerk eingesetzt werden auf der nachfolgenden Abbildung 12 sind dabei die m glichen Positionen dargestellt sie sind wiederum durch einen gestrichelten Kreis als Umrandung hervorgehoben Die Positionen B22 B25 stellen dabei den Betrieb am Monitorport des entsprechenden Switches dar Wenn eine hohe Gefahr durch externe T ter vermutet wird ist die Position B2 am sinnvollsten da hier im Gegensatz zur Position Bl sowohl weniger Datenverkehr zu erwarten ist als auch der VPN Datenverkehr bereits entschl sselt wurde Der Einsatz des digitalen Fahrtenschreibers vor einem Computersystem kann bei vermuteten Fehl funktionen vorfallsrelevante Daten aufzeichnen Bei der Positionierung
368. lassen und sein Verhalten zu beobachten Dies wird insbesondere absichtlich in so genannten Honeypots eingesetzt in welchem einem potentiellen Angreifer scheinbar wertvolle Daten angeboten werden Dieses Vorgehen kann aber auch auf einem von einem Vorfall betroffenen System das angemessene Verhalten sein diese Entscheidung ist jedoch auf jeden Fall nachvollziehbar und plausibel zu begr nden Abschalten aber wie Ist die Entscheidung f r eine Trennung von der Spannungsversorgung gefallen gibt es mehrere M glichkeiten siehe dazu auch Bun06 a das geordnete Herunterfahren des Systems oder b das Herausziehen des Kabels aus dem Computernetzteil und Entfernung der Batterie bei Laptopsystemen Das geordnete Herunterfahren birgt die Gefahr dass Schadcode zur Ausf hrung gelangt welcher evtl von einem Angreifer f r diesen Fall hinterlegt wurde Au erdem ver ndert das geordnete Herunterfahren Zeiten und Inhalte von Dateien Trotzdem kann ein geordnetes Herunterfahren gezielt im Vergleich zum Herausziehen von Kabeln bzw das Trennen von der Spannungsversorgung die richtige Entscheidung sein wenn das System beispielsweise Serverkomponenten hat welche mit einer oder mehreren aktiven Datenbankanwendungen arbeiten Hier k nnte ein Herausziehen des Netzsteckers bzw eine Trennung von der Spannungsversorgung Inkonsistenzen und gro fl chigen Datenverlust zur Folge haben Des Weiteren bedingt die Sammlung fl chtiger Daten eine Ver nderung
369. lche das Attribut versteckt f hrt standardm ig nicht vom Windows Explorer bzw vom Kommandozeileninterpreter Befehl DIR aufgelistet Hierf r sollten geeignete andere Werkzeuge wie beispielsweise alle Dateisystembrowser der in Kapitel vorgestellten Werkzeugsammlungen verwendet werden Verwaltung von Rechten In der MFT werden auch die Rechte und der Besitzer einer Datei bzw eines Verzeichnisses gespeichert Die nachfolgenden Rechte k nnen einer Datei zugeordnet werden und sind in der MFT als Teil eines File Eintrages gespeichert werden Lesen Dieses Recht erlaubt einer Gruppe oder einem Nutzer das Lesen 97 Siehe dazu auch http www ntfs com 98 siehe dazu auch http www windowsitlibrary com Content 592 1 html 1 Leitfaden IT Forensik 137 strategische Vorbereitung erforderlich Erstellungszeitpunkt des Dateisystems Achtung Detaillierte Vorgehensweise in der IT Forensik einer Datei und ihrer zugeordneten Attribute und Rechte Schreiben Diese Recht erlaubt einer Gruppe oder dem Besitzer das berschreiben der Datei das ndern der Attribute die Einsicht des Besitzers und der Rechte Lesen und Ausf hren Dieses Recht erlaubt einer Gruppe oder einem Nutzer die Ausf hrung einer Datei Es gelten zus tzlich die Leserechte e Modifizieren Dieses Recht erlaubt einer Gruppe oder einem Nutzer die Modifikation und die L schung Es gelten zus tzlich Lese Schreib und Ausf hrungsrechte Volle
370. le Fahrtenschreiber stellt die Integrit t sicher O Stellen Sie vertraulichkeitssicherndes Vorgehen sicher O Der Digitale Fahrtenschreiber stellt die Vertraulichkeit sicher O Eine Richtlinie zum Schl sselmanagement existiert L Eine Richtlinie zum Schl sselmanagement existiert O Die Ma nahmen der strategischen Vorbereitung wurden dokumentiert 340 O Die Ma nahmen der strategischen Vorbereitung wurden dokumentiert O Der Digitale Fahrtenschreiber stellt ein prozessbegleitendes Untersuchungsprotokoll zur Verf gung Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Operationale Vorbereitung siehe Kapitel L Ein ausreichend gro er Zieldatentr ger wurde vorbereitet O Ein ausreichend gro er Zieldatentr ger zur Aufnahme der Rohdateninhalte wurde vorbereitet O Ein ausreichend gro er Zieldatentr ger wurde vorbereitet und an den Digitalen Fahrtenschreiber angeschlossen O Der Zieldatentr ger zur Aufnahme der Rohdateninhalte wurde eingerichtet O Die Ma nahmen der operationalen Vorbereitung wurden dokumentiert O Die Ma nahmen der operationalen Vorbereitung wurden dokumentiert O Die Systemzeit wurde berpr ft und ggf richtig eingestellt L Der Untersuchende hat sich in den Digitalen Fahrtenschreiber eingetragen Datensammlung siehe Kapitel O Die Datensammlung wurde durchgef hrt O Die Datensammlung wurde mit einem Werkzeug durchgef hrt welches Kommunikations und Anwenderdaten sammelt und in ei
371. lementierten SNMP sein kann SNMP ist ein System bestehend aus Agenten und Managern siehe dazu auch Sta98 Dabei soll der Agent Daten aus seiner lokalen Umgebung sammeln und aktualisieren diese entweder auf Anfrage eines Managers oder bei Eintreffen eines Ereignisses versenden und auf Anfrage des Managers lokale Einstellungen und Parameter ndern Die letzte Option verbietet sich jedoch wenn das SNMP Protokoll zu forensischen Zwecken eingesetzt wird Die Daten werden in den jeweiligen Ger ten in Form einer Management 191 siehe dazu u a auch RFC 1441 192 Netgear FVS 124g Wide Area Network Business Class Router and Firewall 193 benutzt wurde das forensische Werkzeug snmpwalk aus der Werkzeugsammlung Net SNMP http net snmp sourceforge net 194 hier werden 32bit Z hler eingesetzt welche bei Uberlauf wieder von Null beginnen zu z hlen 220 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Information Base MIB gehalten Diese enth lt u a aktuelle und voran gegangene Daten ber die lokale Konfiguration und Verkehrsdaten In fr heren Versionen des Protokolls wurden keine expliziten Ma nahmen zur Wahrung der IT Sicherheit getroffen Mit der Einf hrung von SNMPv3 finden sich auf zwei Ebenen Sicherungsma nahmen Die Zugriffskontrolle erfolg auf Basis eines View Based Access Control Model VACM Die Zugangsentscheidung erfolgt danach anhand der Identit t der anfordernden und ausf hrenden Inst
372. len Umst nden gewahrt werden muss Die Ergebnisse einer forensischen Untersuchung k nnen durch den Einsatz einer Strategischen Vorbereitung erheblich verbessert werden d h das Treffen von zus tzlichen Ma nahmen deutlich vor dem Eintreffen eines Vorfalls aber in dessen Erwartung Die im Rahmen einer forensischen Untersuchung erhobenen Anwenderdaten k nnen neben den Mediendaten zus tzliche Datenfelder beinhalten deren Inhalte u U wertvolle Hinweise f r die weiter gehende Analyse liefern Das forensische Untersuchungssystem selbst sollte insbesondere bzgl seiner Integrit t abgesichert werden Nach den einf hrenden Beschreibungen soll nun die Durchf hrung einer forensischen Untersuchung detailliert unter Verwendung eines vorzustellenden Vorgehensmodells des forensischen Prozesses erl utert werden 58 Leitfaden IT Forensik Einf hrung Detaillierte Vorgehensweise in der IT Forensik In diesem Kapitel wird zur Erleichterung und Strukturierung einer forensischen Untersuchung eine Vorgehensweise ein Vorgehensmodell vorgestellt welche im Weiteren Verwendung finden wird und mit exemplarisch ausgew hlten Beispielen illustriert wird Das Ziel ist dabei die Ableitung von Handlungsanweisungen zur Durchf hrung forensischer Untersuchungen Vorgehensmodell des forensischen Prozesses Durch die Aufteilung in logisch zusammenh ngende Untersuchungsabschnitte kann eine forensische Untersuchung leichter verst ndlich gemacht werden Auch d
373. len installierten Ger tetreibern und ihrer Eigenschaften an die u a zum Identifizieren von RootKits dienen kann SC Mit der Befehlssyntax sc query werden alle installierten Dienste aufgelistet Dies kann eine wertvolle Information f r den Untersuchenden sein der Status der Dienste kann u a Aufschluss ber die Funktionsf higkeit eines installierten Computervirenschutzprogramms geben und es lassen sich evtl Schwachstellen im System identifizieren W32TM Dieser Befehl erm glicht das Setzen und das Abrufen der Konfiguration des Windows Time Service Mit dem Aufruf w32tm tz kann die aktuelle Zeit zoneneinstellung abgerufen werden Diese Information ist wichtig da die Zeitzone des untersuchten Systems f r die sp tere Korrelation mit anderen Daten von hoher Bedeutung ist siehe dazu auch Kapitel damit die ermittelten MAC Zeiten in einen Zusammenhang gebracht werden k nnen 42 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf assoc 43 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf attrib 44 Beschreibung aus der Hilfe und Support Center Suche driverquery 98 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik REGEDIT Der Microsoft Registrierungs Editor regedit exe erm glicht es in der Registrierung des Systems engl Registry vorhandene Einstellungen anzuzeigen und zu ndern sowie dort nach Einstellungen zu suchen Die Registrierung enth lt Informationen wie Program
374. linie E i N i A Zuweisen von Benutzerre ZA len Gastkontozugriff auf Anwendungspr Nicht definiert fen akalan 7 achkambam umwikk a Cichnehaikens ali Nicht definiert Eigenschaften von Aufbewahrungsmethode des Sicherheitspr xl Nicht definiert Sicherheitsrichtlinie Eigenschaften von Aufbewahrungsmethode des Sicherheitsprotokolls TTC UTI Nicht definiert Nicht definiert Nicht definiert Aufbewahrungsmethode des Sicherheitsprotokalls IV Diese Richtlinieneinstellung definieren C Ereignisse auf Tagen basierend berschreiben C Ereignisse bei Bedarf berschreiben Abbrechen bernehmen Abb 73 Die Aufbewahrungsfrist f r die Protokolldateien wird auf unbegrenzt gesetzt Operationale Vorbereitung In der operationalen Vorbereitung wurden die zu sammelnden Daten festgelegt Operationale Dabei wurden vor allen die Sitzungsdaten ausgew hlt Auf die Erstellung eines Vorbereitung Datentr gerabbildes wurde verzichtet da der Server nicht unmittelbar Teil des Vorfalls war und eine Abschaltung weite Teile des Netzwerks negativ beeinflusst h tte Die relevanten Sitzungsdaten sollten in der Untersuchung extrahiert und abschlie end mit den anderen Beweisen zusammengef gt werden Datensammlung In der Datensammlung wurden die Sitzungsdaten dann gesichert Die IT Anwen Datensammlung dung Active Directory siehe Kapitel erfasste die n tigen Sitzungsdaten zur Sitzungsdaten Laufzeit
375. linux basierten Systemen 228 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik tshark q z conv eth r 1219251941 cap Ethernet Conversations Filter lt No Filter gt D A Frames Bytes Min Total Frames Bytes Frames Bytes 00 04 75 74 0f 23 lt gt 00 60 97 dc 6f fa 2822 647787 2839 491037 5661 1138824 00 04 75 74 0f 23 lt gt ff ff ff fF fF fF 0 0 757 45420 757 45420 Aus diesem Ergebnis ist ersichtlich dass hier Verbindungen zwischen physischen Netzwerkadapter Adressen MAC Adressen dargestellt werden Die zuge h rigen in einer h heren Schicht angesiedelten IP Pakete sind in diesem Modus nicht sichtbar Diese Darstellung ist insbesondere sinnvoll wenn innerhalb eines lokalen Netzwerks Verbindungen verfolgt werden Diese Information ber die physischen Adressen geht bei einem Netz bergang verloren OSI Schicht 3 Netzwerkschicht IP tshark q z conv ip r 1219251941 cap IPv4 Conversations Filter lt No Filter gt Loes Herz Total Frames Bytes Frames Bytes Frames Bytes 192 168 3 200 lt gt 192 168 1 14 2585 630556 2601 300387 5186 930943 192 168 1 14 lt gt 67 15 232 146 168 181852 165 11654 333 193506 192 168 1 14 lt gt 192 168 1 2 40 5952 40 3536 80 9488 192 168 1 14 lt gt 62 149 140 24 6 1716 6 481 12 2197 Dieses Untersuchungsergebnis zeigt zusammenfassend Konversationen auf der Netzwerkschicht zwischen je
376. llte Investigative Process Model verwiesen Dieses nimmt eine Aufteilung in 12 Abschnitte vor eines dieser Abschnitte ist beispielsweise das Identifizieren und Beschlag nehmen Das S A P Modell aus Ges08 hingegen nimmt eine Teilung in die drei Abschnitte Secure Analyse und Present vor Auch dieses ist vornehmlich auf die Verfolgung von Straftaten ausgerichtet Dieser Leitfaden unterteilt die Vorgehensweise einer forensischen Untersuchung in die folgenden sechs Abschnitte strategische Vorbereitung e operationale Vorbereitung Datensammlung Untersuchung Datenanalyse Dokumentation Eine forensische Untersuchung beginnt mit der gezielten Vorbereitung in welcher geeignete forensische Werkzeuge identifiziert und bereitgestellt werden Die Kriterien nach denen die Auswahl erfolgt sollten dokumentiert werden Diese Vorbereitung wird dann fir einen konkreten Vorfall ausgebaut tiblicherweise nachdem ein Symptom wahrgenommen wurde Eine bedeutsame Rolle spielt dabei die im Kapitel vorzustellende strategische Vorbereitung Wenn diese durchgef hrt wurde k nnen u U mehr forensische Werkzeuge f r den Einsatz vorbereitet werden um dann auch mehr Daten ber einen Vorfall zu gewinnen Danach erfolgt die Sammlung wichtiger Daten von potentiell betroffenen Komponenten Prinzipiell ist die Durchf hrung der Datensammlung zu dokumentieren Diese Sammlung muss in bereinstimmung mit den Prin
377. loggt RF 5 Um 23 19 wurden Daten von Benutzer Max gel scht RF 6 Passw rter werden bei FTP in Klartext bertragen GF 7 Passw rter f r Benutzerkonten werden zum Server im Klartext bertragen BF aus 2 BF aus 6 8 Passwort f r Benutzerkonto Max wurde 22 34 im Klartext bertragen BF aus 7 BF aus 3 9 Passwort f r Benutzerkonto Max konnte abgefangen werden BF aus 8 10 Angreifer hat Passwort von Benutzerkonto Max abgefangen sich eingeloggt und seine Daten gel scht CC aus 9 CC aus 4 CC aus 5 10 X d Abb 14 Darstellung eines Vorfalls mittels eines WBA Graphen Gelbe Punkte kennzeichnen dabei Fakten die direkt aus der Untersuchung gewonnen wurden Gr ne Punkte vorgegebene Fakten Die hellblauen Punkte stellen Fakten dar die aus anderen folgen oder kausal gefolgert wurden Das Resultat des Vorfalls stellt der dunkelblaue Punkt dar In die Dokumentation fallen auch die Bewertung der Qualit t der durchgef hrten 64 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Untersuchung und die best ndige Verbesserung der Durchf hrung der einzelnen Schritte Dies erfolgt durch das Reporting bzw durch die Man verkritik Die Dokumentation ist in der Abbildung 13 als Zentrum der Abschnittsteilung einer forensischen Untersuchung dargestellt Dies ergibt sich aus dem forensischen Grundprinzip der berpr fbarkeit der Ermittlung und hat damit zur Folge dass die vorgenommenen Ermitt
378. lt versandt werden In einer hohen Ausbaustufe sollte ein zentraler dedizierter Syslogserver ein gerichtet werden siehe dazu auch Kapitel Dazu bietet sich der Einsatz eines Linux Systems an Im Anhang A3 wird die Einrichtung detailliert beschrieben Der Computer welcher den Syslogserver enth lt sollte ein sehr hohes Sicherheitsniveau aufweisen beispielsweise sollte er keine Compiler und nur absolut notwendige Interpreter enthalten Dieser Syslogserver sollte einen Paketfilter Firewall enthalten welcher nur von vorher festgelegten IP Adressen auf den dedizierten Syslog Portnummern entgegennimmt Auch dieser Syslogserver sollte die in Kapitel vorgestellte Zeitbasis verwenden Des Weiteren sollte er die empfangenen Logs digital signieren Aufgrund des hohen zu erwartenden Datenvolumens bei mehreren berwachten Ger ten und hohem Detailgrad des Loggings sollte f r ausreichenden Speicherplatz auf einer 189die Daten sind ger teabh ngig und h ufig individuell konfigurierbar 190 blicherweise UDP Port 514 kann evtl ge ndert werden wenn alle eingesetzten Syslog Quellger te eine Anderung zulassen Leitfaden IT Forensik 219 Zentraler Syslogserver Absicherung des zentralen Syslogservers SNMP Detaillierte Vorgehensweise in der IT Forensik eigenen Partition idealerweise auf einer eigenen Festplatte gesorgt werden Es wird empfohlen die anfallenden Daten zusammen mit ihrer Signatur regelm ig auf nachtr glich
379. lungen diskutiert werden welche sich f r das Vorgehen beim Eintreffen eines Untersuchenden beim Beginn einer forensischen Untersuchung eines laufenden Vorfalls ergeben Dabei ist der Weg vom Erkennen eines Vorfalls bis zum Vorlegen von Beweisen in Ges08 anhand des folgenden Ablaufs beschrieben e Ungew hnliche Aktivit ten werden durch den Anwender bzw den Administrator wahrgenommen Neugierde f hrt oft zur weiteren Beobachtung Erste schnelle Sammlung von Spuren Der Anfangsverdacht wird best tigt Die Straftat bzw der Schaden wird entdeckt und evtl best tigt Meldung an externe bzw interne Ermittlungsspezialisten Beweisspuren werden gesichert Beweisspuren werden analysiert Analyseergebnisse werden interpretiert und verifiziert Analyseergebnisse werden in einen nachvollziehbaren Bericht zusammen gefasst und pr sentiert Eine der grundlegenden Entscheidungen die beim Erscheinen am Ort des Vorfalls zu treffen ist betrifft die Trennung eines laufenden Computersystems vom Netzwerk und oder von der Spannungsversorgung Dies ist immer eine Abw gungsfrage welche u am der Fl chtigkeit von Daten begr ndet ist Die Problemstellung wird u a auch in Bun06 und in Ken06 diskutiert In einem Computer gespeicherte Daten lassen sich in fl chtige und nichtfl chtige Daten einteilen Die nichtfl chtigen Daten bleiben auch nach dem Ausschalten des Computers erhalten sie befinden sich in Regel auf Masse
380. lungsschritte und jede einzelne durchgef hrte Ma nahme umfassend dokumentiert werden muss Die in den einzelnen Abschnitten angefallenen Dokumente werden f r den Abschlussbericht zusammengef hrt Bestimmte Ergebnisse eines Abschnitts k nnen R ckspr nge auf vorangegangene Abschnitte oder an den Beginn eines Abschnittes zur Folge haben siehe dazu auch die Pfeile in der Abbildung 13 Das Vorgehen und die H ufigkeit des Durchlaufens der Abschnitte sind immer vom jeweiligen Einzelfall abh ngig Nachfolgend wird eine Klassifikation forensischer Methoden vorgenommen welche dann zusammen mit dem vorgestellten in Abschnitte unterteilten Verlauf des forensischen Prozesses die Grundlage f r die weitere Bearbeitung liefern Klassifikation forensischer Methoden Nachdem die Einteilung der Abarbeitungsschritte in logisch zusammengeh rende Untersuchungsschritte vorgestellt wurde soll nun der Fokus auf die forensischen Methoden und damit in der Detailsicht auf konkrete exemplarisch ausgew hlte Werkzeuge zu deren Umsetzung gelegt werden Es wird erl utert welche sechs grundlegenden Methoden zur Verf gung stehen wie die forensischen Methoden in den einzelnen Untersuchungsabschnitten grunds tzlich angewendet werden k nnen und welche Unterst tzung sie bieten d h welche Daten gesammelt erfasst wie untersucht analysiert und bewertet werden k nnen Den Ausgangspunkt bilden die M glichkeiten der Unterst tzung des forensischen Prozesses du
381. m Abschnitt derUntersuchung Untersuchung werden geeignete Werkzeug aus derRohdaten Details Schnittmenge von Datenart und Untersuchungsabschnitt ber Daten ausgew hlt siehe Tabelle 40 um die gesammelten DatenProzessdaten nun auf Spuren zu untersuchen Das Werkzeug strings erm glicht es hierbei Zeichenketten in den gesicherten Bin rdateien zu erkennen um damit eventuell R ckschl sse auf den Urheber des Werkzeugs oder den Angreifer ziehen zu k nnen Des Weiteren werden nat rlich alle weiteren gesammelten Daten ausgewertet auch wenn dazu keine dedizierten Werkzeuge n tig sind Leitfaden IT Forensik 255 Dokumentation Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Ds Sitzungsdaten Anwenderdaten Tabelle 40 Werkzeuge f r die Untersuchung Datenanalyse Bei diesem Beispiel ist keineDatenanalyse weitere Analyse notwendig wie auch die nachfolgende Tabelle 41 verdeutlicht BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 41 Werkzeuge f r die Datenanalyse Dokumentation Aus den gesammelten
382. me Es wird angeraten wann immer m glich auf den SHA 256 Algorithmus zur ckzugreifen Die verf gbaren kryptographischen Verfahren und die Sicherheit welche sie liefern k nnen sind regelm ig zu berpr fen und mit neuen Entwicklungen abzugleichen Die CERT Taxonomie in der IT Forensik F r die Anwendung der CERT Taxonomie in der IT Forensik ist nun als Ausgangspunkt das Resultat zu sehen und von diesem aus die Ma nahmen zu w hlen Es gilt dabei Antworten auf die in der Einleitung des Leitfadens aufgeworfenen Fragen zu liefern Was ist geschehen Wo ist es passiert Wann ist es passiert Wie ist es passiert und eventuell auch Wer hat es getan Was kann dagegen getan werden Diese Fragestellungen dienen als Ausgangsbasis ftir die Bearbeitung der vorfallsorientierten Basisszenarien siehe Kapitel und f r die Bearbeitung der Komplexszenarien im Kapitel F r die Anwendung der Betrachtung nach CERT spricht die hier angestrebte datenzentrierte Sichtweise Eine optimale Auswahl der forensischen Methoden wird dadurch sichergestellt dass als Ausgangspunkt f r die Betrachtungen immer die potentiell vorliegende Datenquelle und der in der Gesamtheit ermittelbare Informationsgehalt der betroffenen IT Anlage gew hlt wird und nicht beispielsweise die Leistungsmerkmale einer gegebenen Sammlung von forensischen Werkzeugen Die CERT Taxonomie ist ein wichtiger Ausgangspunkt f r den Dokumentations abschnitt einer forensische
383. me auf dem Computer ausgef hrt werden Zudem ist auch ein Export dieser Daten m glich Der Inhalt der Registry ist f r die Untersuchung sehr wichtig da dieser das Verhalten von Anwendungen und Betriebssystem ma geblich beeinflusst und auch gezielt Schadsoftware gestartet werden kann Daneben k nnen gezielt Daten in der Registry versteckt werden Der Aufbau der Windows Registry ist in Kapitel beschrieben Vom Einsatz des Registrierungseditors ist jedoch abzuraten da dieser eine Sicherheitsl cke besitzt die verhindert dass bestimmte Schl ssel angezeigt werden Dieses Problem ist seit 2005 bekannt ein Patch existiert nicht daher ist davon auszugehen dass dies von St rern genutzt wird Es gibt jedoch einige weitere L sungen die dazu in der Lage sind gesicherte Registry Dateien zu untersuchen Dabei seien hier f r den Einsatz unter Windows regdump als Teil der LogoTest Suite sowie f r den Einsatz unter Linux reglookup bespielhaft genannt S mtliche Aktionen unter Verwendung dieses Programms werden eine Ver nderung der Zeiten des letzten Zugriffs der jeweiligen Quelldatei zur Folge haben so dass der Einsatz auf einem schreibgesch tzten System bzw einem schreibgesch tzten Datentr gerabbild erfolgen sollte Dieses Programm kann ebenfalls derzeit vorhandene Zust nde anzeigen oder ndern F r eine forensische Untersuchung darf der Zustand nicht ver ndert sondern nur ausgelesen werden Eine Datensammlung erf
384. men ist hierbei nicht abzusch tzen DV Eine Verwendung des eDirectorys ver ndert netzwerkweit fl chtige und nichtfl chtige Daten STW Datenschutzrechtlich sind diese Daten relevant DSR Eine Beweiskrafttendenz ist auf Grund der Natur der Daten schwierig abzusch tzen BK Das Werkzeug Untersuchungsziel und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden 190 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik SM Open LDAP Der Verzeichnisdienst Open LDAP basiert auf einem Datenbankmanagement system welches speziell f r eine schnelle Suche optimiert wurde Es ist eine Open Source Implementierung des Lightweight Directory Access Protocol LDAP Die Open LDAP Distribution enth lt den selbstst ndigen LDAP Server Dienst slapd und den selbstst ndigen LDAP update replication daemon s urpd Dienst LDAP besitzt dabei keine eigene Zeitsynchronisation und muss sich auf externe Ma nahmen verlassen Die Replikation wird unter LDAP mittels Sync Cookies gesteuert Dabei gibt es unterschiedliche Methoden f r die Replikation Entweder ist die Push basiert also der Server schickt Daten an den Client oder Pull basiert also der Client holt sich die Daten vom Server Weiterhin gibt es die Modi RefreshOnly bei dem in festen Intervallen Ver nderungen vom Server geholt werden und RefreshAndPersist wo die Verbindung bestehen bleibt und jede nderung direkt bertra
385. mentation Tabelle 27 Zusammenfassung der Einordnung der grundlegenden Methode ITA anhand der identifizierten Eigenschaften ausgew hlter forensischer Methoden Es ist ersichtlich dass nach Beachtung der strategischen Vorbereitung die ausgew hlten Methoden im Bereich der Datensammlung arbeiten Nachfolgend sollen nun exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode ITA vorgestellt werden Forensisch nutzbare Funktionen des Datenbankmanagementsystems MySQL Bei MySQL handelt es sich um ein Open Source Datenbankmanagement system welches f r Windows basierte und Linux basierte Computer erh ltlich ist Es bietet eine Vielzahl von forensisch interessanten Daten welche im Rahmen einer Untersuchung gewonnen und ausgewertet werden k nnen Forensische Daten in MySQL MySQL beinhaltet mehrere forensische Datenquellen und geh rt zu den grundlegenden Methoden der IT Anwendungen ITA Alle der folgenden Mechanismen dienen der Datensammlung und k nnen folglich im gleichnamigen Abschnitt des forensischen Prozesses genutzt werden Einige m ssen jedoch vorher also in der strategischen Vorbereitung aktiviert werden Zudem m ssen bei einem Gro teil der Methoden datenschutzrechtliche Bestimmungen beachtet werden Alle Mechanismen generieren dabei Log Meldungen also Sitzungs und Prozessdaten dar ber hinaus enthalten die 132 http www mysql com 170 Leitfaden IT Forensik
386. ml 154 http www novell com coolsolutions feature 16191 html 188 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Arbeitsstationen weitergeleitet wird siehe dazu auch Lar02 In der Datensammlung sollten die Log und Datenbankdateien gesichert werden Folgende Dateien enthalten dabei n tzliche Daten DIBFiles nds 01 Hauptdatenbankdatei DIBFiles dhost log Prozessdaten DIBFiles nds rfl logRoll Forward Log DIBFiles nds db Roll Back Log Das Roll Forward Log enth lt dabei alle nderungen an der Datenbank der Inhalt ist folglich mit den MySQL Binlogs vergleichbar Das Roll Back Log hingegen dient als Zwischenspeicher f r partiell ausgef hrte Transaktionen Sollte eine Transaktion zu umfangreich f r eine direkte Ausf hrung sein so wird diese in Pakete unterteilt und einzeln ausgef hrt Wenn es dabei jedoch zu einem bertragungsfehler kommt ist die Integrit t der Datenbank gef hrdet Mit Hilfe des Roll Back Logs k nnen die bereits ausgef hrten Teiltransaktionen dann r ckg ngig gemacht werden Weitaus einfacher ist jedoch die Untersuchung des laufenden Systems Hierzu bietet sich der Zugriff ber einen LDAP Browser auf dem Port 636 oder ber die integrierte Weboberfl che auf Port 8030 an Die Weboberfl che bietet dabei den Vorteil dass die Daten konzentriert und weitgehend menschenlesbar dargestellt werden Beim direkten LDAP Zugriff ist dies nicht der Fall allerdings sind Zeitstempel relativ einfa
387. ml 80 http de opensuse org YaST Andere Systemprotokoll anzeigen Leitfaden IT Forensik 127 Detaillierte Vorgehensweise in der IT Forensik Beispiel ein Datentr ger nur zum Lesen ge ffnet ist dann ist dies hier ersichtlich Die Liste der Dateisysteme kann zus tzlich Aufschluss dar ber geben auf welchen Computern noch Daten gesammelt werden k nnen dies ist z B bei der Nutzung von NFS Freigaben der Fall Liste der genutzten Swap Dateisysteme Eine Liste der genutzten Swap Dateisysteme ist in proc swaps zu finden Linux kann einerseits Swap Dateien nutzen analog zur Pagefile sys von aktuellen Windows Systemen anderseits ist die Nutzung von dedizierten Swap Partitionen m glich Die eigenst ndigen Partitionen stellen hierbei den Regelfall dar Neben der Position der Swap Dateisysteme gibt proc swaps auch Auskunft ber ihre Gr e und deren Auslastung Deren Ermittlung ist f r die operationale Vorbereitung der forensischen Untersuchung n tig Akquirierte Abbilder des Swap Speichers k nnen zus tzliche Informationen preisgeben Wie auch die Untersuchung von Speicherabbildern wird die Untersuchung des Auslagerungs speichers im Rahmen dieses Leitfadens nicht n her betrachtet 681 Daten zu geladenen Kernel Modulen Daten zu den geladenen Kernel Modulen sind an zwei Orten zu finden In proc modules befindet sich eine Liste der Module und in sys module existieren f r jedes Modul gesonderte Verzeichniss
388. mms DSR Eine Beweiskrafttendenz ist eher schwierig BK3 Bei der Verwendung von Snort muss dieses besonders seine Regeln extern gegen Ver nderung gesch tzt werden Das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert Das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM 122 132 Leitfaden IT Forensik 317 Anhang A Zeitline Bei dem forensischen Werkzeug Zeitline handelt es sich um eine Datenaus wertungssoftware Zeitline l uft dabei auf einem Computer HW unter Linux oder Windows SW Dieses Werkzeug untersucht lokal auf dem zu untersuchenden System oder dessen Teilkomponenten wie einer Festplatte oder einem Wechseldatentr ger UO 11 2 Eine Aktivierung ist nicht notwendig AE Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UV Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Details ber Dateien und Prozessdaten UZ3 Die Untersuchungsaktion ist die offline stattfindende Analyse dieser Log Dateien UA gt 4 Das Untersuchungsergebnis dabei sind Sitzungsdaten UE3 7 Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR2 Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma
389. mputersystems finden In diesen Daten k nnen prinzipiell die gleichen Informationen wie im Arbeitsspeicher zu finden sein Der gro e Vorteil ist jedoch dass die Daten im Swap Speicher nicht bei Spannungsverlust verloren gehen Des Weiteren werden Daten im Swap Speicher nach ihrer Verwendung nicht explizit gel scht wodurch man die M glichkeit hat aus dem Swap Bereich ltere Daten zu extrahieren Unter Windows basierten Systemen handelt es sich bei dem Swap Speicher um die im root Dateisystem befindliche Swap Datei pagefile sys siehe dazu auch Kapitel F r die deutlich umfangreichere Analyse dieser Daten wird nun auf ein Vorgehen analog zur Analyse des Hauptspeichers verwiesen Einzelne Dateien lassen sich aber eventuell unter Verwendung des forensischen Werkzeugs icat als 103 http www sleuthkit org sleuthkit man icat html 104 http defldd sourceforge net 105 Die Hauptspeicheranalyse liegt au erhalb des vorliegenden Leitfadens es wird auf weiterf hrende Literatur u a Ges08 verwiesen 142 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Bestandteil der Werkzeugsammlung S euthkit extrahieren Dabei muss dann jedoch immer beachtet werden dass die Daten im Swap durchaus lter sein k nnen und nicht aus der letzten Sitzung stammen m ssen Eine berpr fung ob der Swap auf dem zu untersuchenden System bei jedem Neustart geleert wird und wann dieser Neustart war kann hier sehr weiterhelfen Auch d
390. n Unter anderem deshalb ist es immer ratsam nach einem Vorfall ein Datentr gerabbild zu gewinnen siehe dazu auch Kapitel und die Untersuchung auf einer dedizierten forensischen Arbeitsstation durchzuf hren Einordnung in Abschnitte des forensischen Prozesses Prinzipiell sind Methoden eines Betriebssystems allen Abschnitten des forensischen Prozesses abz glich der Dokumentation einsetzbar siehe Tabelle 6 jedoch mit teilweise erheblichen Einschr nkungen bzgl der Beweissicherheit bzw der Qualit t der gelieferten Informationen 37www e fense com helix 70 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik BS Betriebssystem SV x Strategische Vorbereitung OV x Operationale Vorbereitung DS X Datensammlung US X Untersuchung DA X Datenanlayse DO Dokumentation Tabelle 6 Grobeinteilung der grundlegenden Methode Betriebssystem BS Das Betriebssystem ist auch deshalb so bedeutsam da es bei einer ein geschr nkten oder gar nicht vorgenommenen strategischen Vorbereitung SV zusammen mit dem eingesetzten Dateisystem das Minimalma an verf gbaren forensischen Methoden darstellt Innerhalb der grundlegenden Methode BS werden im Kapitel die Betriebssysteme MS Windows XP und Linux exemplarisch untersucht Dabei ist eine klare Trennung zwischen dem Betriebssystemkern und bei der Basisinstallation mitgelieferten Anwendungsprogrammen unter MS Windows nicht oder kaum m
391. n k nnen wird bei ACLs eine feingranularere Rechtevergabe m glich siehe hierzu auch WITO8 Hier wird f r jede Datei und jedes Verzeichnis die Information mitgef hrt welchem Nutzer Zugriff zu gew hren ist Diese Daten sind von hohem Wert in einer forensischen Untersuchung vor allem wenn im Rahmen der strategischen Vorbereitung siehe Kapitel 2 1 1 f r wichtige Dateien und Verzeichnisse diese Rechtevergabe gesichert wurde Auf diese Weise lassen sich Ver nderungen im Rahmen eines Vorfalls forensisch nachweisen Die ACLs k nnen mit vielen forensischen Werkzeugen ausgelesen werden und somit Aufschluss dar ber geben welcher Nutzer welche Zugriffsrechte in einem System hat Dies kann n tzlich sein um Fehlerquellen auszuschliessen wenn so deutlich wird dass ein Benutzer nicht die ben tigten Rechte hatte um auf eine betroffene Datei zuzugreifen Beispielhaft sei hier auf das Werkzeug Showacls exe aus dem Paket Windows Server 2003 Resource Kit Tools ver wiesen Access Control Lists geh ren bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Das Metadaten Journaling Zu den zus tzlichen Eigenschaften welche ber die allgemeinen Anforderungen an ein Dateisystem hinausgehen geh rt auch das Metadaten Journaling Journaling Vor einer nderung im Dateisystem werden die beabsichtigen nderungen zun chst in einen reservierten Speicherbereich abgelegt Dieser wird als Journal
392. n Basisszenarien d h hier liegt der Fokus auf der Dokumentation der Vorg nge anhand eines Vorfallsverlaufs z B Aufkl rung eines Rootkitvorfalls Nachweis der Modifikation der System zeit Dies schlie t auch Vorf lle u a Supportf lle ein welche nicht durch mutwillige Handlungen entstanden sind Fehlbedienung Hard und Softwarefehler Datenorientierte Basisszenarien Im Rahmen dieses Kapitels werden elementare T tigkeiten beschrieben welche bei der Sicherung von nichtfl chtigen Daten eines Computersystems zum Einsatz kommen Diese werden in das im Rahmen des Leitfadens entwickelten Modells des Ablaufs des forensischen Prozesses unter Verwendung der dort vorgestellten Datenarten einsortiert Zun chst wird die Gewinnung eines Datentr gerabbildes vorgestellt Besonderer Wert wird dabei auf eine allgemein akzeptierte Vorgehensweise gelegt da das erzeugte Datentr gerabbild das Fundament aller Untersuchungen auf diesem Datentr gerinhalt darstellt und eine ungeeignete Vor gehensweise alle anderen nachfolgend gewonnenen Erkenntnisse in Frage stellen k nnte Darauf folgend wird die Dateiwiederherstellung anhand eines praktischen Beispiels und unter Verwendung der in Kapitel vorgestellten Vorgehensweise beschrieben Im Anschluss wird die Technik des Filecarvings zur Gewinnung von Dateiinhalten aus Datentr gerabbildern und dessen M glichkeiten und Grenzen vorgestellt 234 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew
393. n Beispielen f r diese Methoden deren M glichkeiten und Grenzen beschrieben sowie Referenzen auf alternative Methoden pr sentiert Als Betriebssysteme f r die exemplarischen Werkzeuge werden hier Windows XP Professional SP2 und Server 2003 sowie berblicksweise Vista und Server 2008 Dateisysteme NTFS und FAT32 und Linux openSUSE und Debian Dateisysteme EXT2 und EXT3 gew hlt Der dritte und letzte Baustein wird durch die in einem zu untersuchenden Computersystem gespeicherten Datenarten repr sentiert Die Aufteilung der dort potentiell zu erfassenden Daten erfolgt im Kapitel Leitfaden IT Forensik 59 Detaillierte Vorgehensweise in der IT Forensik Der abschnittsbasierte Verlauf einer forensischen Untersuchung Wie schon in Kapitel ber die allgemeine Vorgehensweise bei einer forensischen Untersuchung motiviert wurde lassen sich die einzelnen Untersuchungsschritte in logisch zusammengeh rige forensische Prozessabschnitte gliedern Diese Unterteilung ist unter anderem dabei behilflich den zeitlichen Verlauf innerhalb einer Untersuchung zu erfassen und die einzelnen Abschnitte detaillierter zu betrachten In diesem Leitfaden wurden sechs einzelne Untersuchungsabschnitte im Rahmen des vorliegenden Modells identifiziert Aufgrund der Betrachtung aus der Sichtweise des Anlagenbetreibers und auf der Basis der allgemeinen Vorgehensweise aus dem Kapitel konnte der Untersuchungsabschnitt der strategischen Vorbereitung siehe Kapitel hi
394. n Ger ten ist beispielhaft in Basisszenario in Kapitel beschrieben Embedded OS Systeme verwenden Dateisysteme mit Flash Bausteinen als unter liegenden Massenspeicher und setzen u U explizite Methoden der Einbruchs erkennung ein Dort laufen eigens geschaffene IT Anwendungen Auch Methoden der Skalierung von Beweism glichkeiten und zur Datenbearbeitung und Auswertung lassen sich dort einsetzen Die Auswahl der im Netzwerk eingesetzten Ger te zur Netzkoppelung kann einen nicht zu untersch tzenden Einfluss auf die Menge und die Qualit t der zu ge winnenden Daten haben Die Ger tezusammenstellung f llt aus forensischer Sicht damit in die strategische Vorbereitung Des Weiteren ist es notwendig die Korrektheit der im Netzwerk eingesetzten Zeitbasis sicherzustellen Empfehlung en dazu k nnen im Kapitel nachgeschlagen werden Viele Ger te bieten eine Loggingfunktion an um wichtige Ereignisse zu speichern Dieses Logging muss h ufig explizit aktiviert werden hierbei handelt es sich um eine Ma nahme der strategischen Vorbereitung Besitzt das Ger t eine serielle Schnittstelle k nnen wichtige Systemdaten u a auch w hrend eines Vorfalls abgefragt werden ohne einen potentiellen Angreifer zu warnen Des Weiteren verf lscht die Abfrage der Daten auf diesem Weg den aufzuzeichnenden Netzwerkverkehr nicht Die Anfragen und die bermittelten Daten sind ber die Protokollfunktion des seriellen Terminalprogramms auf dem Ermittlungssyst
395. n Konfigurations daten Abb 24 Von forensischen Werkzeugen erfasste Datenarten in den Abschnitten des forensischen Prozesses fiir Windows Server 2003 Die hier rot markierten Bereiche zeigen an dass es f r die zugeh rigen Datenarten in den jeweiligen Abschnitten des forensischen Prozesses Werkzeuge in Windows Server 2003 identifiziert wurden sie schlie en die Werkzeuge mit ein die auch bei Windows XP verf gbar sind Ver nderungen und Neuerungen der integrierten forensischen Methoden von MS Windows Vista im Vergleich zu MS Windows XP In diesem Kapitel wird gezeigt welche nderungen bzw zus tzlichen M glichkeiten durch den Einsatz von Windows Vista verglichen zum Vorg nger Windows XP ergeben Dabei werden alle bereits f r Windows XP festgestellten forensische Eigenschaften bernommen F r die diesem Leitfaden zugrunde liegenden Betrachtungen kam eine Installation von Microsoft Windows Vista in der Installationsart Business unter Verwendung des Servicepack 1 und der Updates bis zum 20 10 2008 zum Einsatz Die Darstellung erfolgt anhand des in Kapitel vorgestellten Modells ber die Teilung der Abarbeitungsschritte anhand logischer Untersuchungsabschnitte einer forensischen Untersuchung und anhand der in Kapitel beschriebenen Datenarten Hierbei werden nur die Datenarten in der nachfolgenden Beschreibung erw hnt welche eine zus tzliche Methode liefern bzw eine Ver nderung darstellen Die nachfolgende Tabelle 14 gibt ein
396. n Untersuchung Die Beschreibung der einzelnen Abschnitte einer forensischen Untersuchung wird detailliert im Kapitel vorgenommen Im Rahmen der Dokumentation ist die Beschreibung des Vorfalls anhand von Aktion und Ziel dem Ereignis zus tzlich der Identifikation von Werkzeug Schwachstelle und Resultat dem Angriff und evtl zus tzlich von Angreifer und Absicht dem Vorfall von Vorteil Des Weiteren bildet die CERT Taxonomie die Grundlage f r die vorfallsbasierten Szenarien im Kapitel 3 1 2 Konkrete Vorf lle sind des Weiteren u a in Ges08 zu finden Dort wird beispielsweise die Gewinnung eines entfernten Zugriffs auf einen Computer mit Administrator Rechten auf einem Linux System beschrieben Dieser Vorfall ereignete sich tats chlich auf einem Computer der sich in einem Netzwerk befand um potentielle Angreifer anzulocken und deren Vorgehen zu analysieren ein so genannter Honeypot Dort wurde zun chst ein Portscan durchgef hrt um potentiell auszunutzende Dienste zu identifizieren Ein solcher wurde in Form eines Remote Procedure Calls RPC gefunden Danach wurde versucht das Leitfaden IT Forensik 31 Die CERT Taxonomie in der IT Forensik CERT als Basis f r die Dokumentation Einf hrung System konkret anhand einer aufgebauten Telnet Verbindung zu identifizieren Aufgrund der gewonnenen detaillierten Systeminformationen wurde vom Angreifer festgestellt dass ein Teil des RPC Dienstes auf dem System der Portmapper eine
397. n Ursachen der Nichtverf gbarkeit ist f r die Aufkl rung eines derartigen Vorfalls sehr wichtig Aufgrund des hohen Datenvolumens ist dieser Loggingmechanismus standard 135 http dev mysql com doc refman 5 0 en error log html 136 http dev mysql com doc refman 5 0 en error log html 137 http dev mysql com doc refman 5 0 en slow query log html 172 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik m ig nicht aktiviert muss also aktiviert werden um Anfragen und Systemzeiten zu protokollieren Auch diese Log Dateien m ssen in der Strategischen Vorbereitung aktiviert werden In der Datensammlung k nnen diese Daten standardm ig aus dem Verzeichnis var log mysql gesichert werden W hrend der Datenuntersuchung k nnen diese Daten dann mit klassischen Methoden der Logdateienuntersuchung siehe dazu auch Kapitel ausgewertet werden Einordnung in das detaillierte Schema siehe Kapitel MySQL Slow Query Log l uft auf festinstallierten Computern HW Das Programm ist Teil vieler Linux Distributionen aber auch f r Microsoft Windows erh ltlich SW Der Untersuchungsort ist lokal auf festinstallierten Datentr gern UO F r das MySQL Slow Query Log ist bei der Debian Standardinstallation eine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die tech nische Funktionsf higkeit des Computersystems sowie Administratorrechte f r den Zugriff auf die Logdateien und die Aktivierung des Loggings im
398. n Zeit z B von einer Uhr wird die Ver nderung nachgewiesen Im Rahmen der Aufkl rung dieses Basisszenarios werden dabei die folgenden forensischen Methoden genutzt siehe Tabelle 34 Relevante Methoden BS proc driver rtc Betriebssystem FS Dateisystem EME syslog Explizite Methoden der Einbruchserkennung ITA date IT Anwendungen SB Skalierung von Beweism glichkeiten DBA last Datenbearbeitung und Auswertung Tabelle 34 Im Szenario Systemzeit Linux relevante Methoden Strategische Vorbereitung Das Szenario Systemzeit Linux findet auf einem Linux basierten Computer statt beispielsweise im Netz der Musterlandschaft wie sie im Kapitel beschrieben wurde Im Rahmen der strategischen Vorbereitung wurde auf dem System bereits das Programm RKHunter installiert und regelm ig durch den Systemdienst cron aufgerufen Leitfaden IT Forensik 249 Strategische Vorbereitung Einsatz der IT Forensik anhand ausgew hlter Szenarien Symptom Einem Angestellten fiel auf Symptom dass die Uhrzeit auf dem Webportal dass auf dem betroffenen Computer gehostet wird falsch war Operationale Vorbereitung In diesem Fall ist es n tig soOperationale viele Logdateien wie m glich zu sammeln um mittels Vorbereitung Korrelation dieser eine Zeitmanipulation feststellen zu k nnen Des Weiteren ist es nat rlich n tig alle m glichen Methoden zur Sicherung der Systemzeit zu nutzen Informationen ber die Systemzeit be
399. n dar ber erm glicht welcher Benutzer diese Software auf dem betroffenen Computer ausgef hrt hat Daher wurde diese Untersuchung anschlie end durchgef hrt Angreifer Werkzeuge Schwach Aktion Ziel Resultat Absicht stelle Arbeitsrech Tauschb rse Stehlen Daten Unerlaubter ner C4 1 nsoftware Zugriff auf Computer und Netze bzw Informationen Tabelle 69 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Untersuchung auf dem Dom nenkontroller Strategische Vorbereitung Im Rahmen der strategischen Vorbereitung auf dem Dom nenkontroller S1 siehe Strategische Abbildung 71 wurde die Logfunktion f r Nutzeran und Abmeldung aktiviert so Vorbereitung dass diese Daten f r eine forensische Untersuchung zur Verf gung standen Leitfaden IT Forensik 291 Einsatz der IT Forensik anhand ausgew hlter Szenarien Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros T3 8 Faxger te Abb 71 Modifizierte RECPLAST Musterlandschaft Weiterhin wurde aktiviert dass die Sicherheitslogs unbegrenzt lange aufbewahrt werden Die Abbildungen 72 und 73 dokumentieren diese Ma nahmen Ai Standard Dom nensicherheitseinstellungen Datei Aktion Ansicht e AE HEH Windows Einstellungen Skripts Start Herunterfahren Sicherheitseinstellungen E Kontorichtlinien i Lokale Richtlinien Re Anmeldeereignisse
400. n dessen Logdaten notwendig Leitfaden IT Forensik 259 Datenanalyse Rohdaten Kommunikations protokolldaten Sitzungsdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 44 Werkzeuge f r die Untersuchung Mittels tshark lassen sich die Kommunikationsprotokolldaten aus dem Netzwerkmitschnitt auswerten Interessant sind vor allem die IP und MAC Adressen in den Paketheadern diese lassen sich f r jedes Paket im Mitschnitt mit tshark r Mitschnitt cap n Tfields e eth e ip anzeigen Datenanalyse Bei diesem Beispiel m ssen nun die gesammelten Daten miteinander in Verbindung gebracht werden besondere Werkzeuge sind hierf r nicht n tig wie auch die nachfolgende Tabelle 45 verdeutlicht BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 45 Werkzeuge f r die Datenanalyse In diesem Fall wurde vom DHCP Server nur einem Computersystem die IP Adresse zugewiesen ein Weiterer nutze diese jedoch ebenfalls Durch die Auswertung des N
401. n generierten Log Meldungen zum Nebeneffekt dass nderungen an der Systemzeit erkannt werden k nnen dies ist aber aufgrund des Datenvolumens nicht sinnvoll Normalerweise sind diese Query Logs aufgrund des gro en Datenvolumens deaktiviert bieten aber bei Aktivierung detaillierte Anwender und Sitzungsdaten 138 In der Strategischen Vorbereitung k nnen diese Log Dateien aktiviert werden 138 http dev mysql com doc refman 5 0 en query log html 139 Siehe dazu auch die Demonstration unter der URL http www foundstone com us resources videos hacmetravel lesson1 index htm Leitfaden IT Forensik 173 Detaillierte Vorgehensweise in der IT Forensik In der Datensammlung k nnen diese Daten standardm ig aus dem Verzeich nis var log mysql gesichert werden W hrend der Datenuntersuchung k nnen diese Daten dann mit klassischen Methoden der Logdateienuntersuchung siehe dazu auch Kapitel ausgewertet werden Einordnung in das detaillierte Schema siehe Kapitel MySQL Query Log l uft auf festinstallierten Computern HW Das Programm ist Teil vieler Linux Distributionen aber auch f r Microsoft Windows erh ltlich SW Der Untersuchungsort ist lokal auf festinstallierten Datentr gern UO F r das MySQL Query Log ist bei der Debian Standardinstallation eine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktions f higkeit des Computersystems sowie Administratorrechte f r den Zugriff auf die Lo
402. nach dem Footer abgebrochen und die Datei gespeichert Danach werden Header und Footer definiert dies kann wie in diesem Beispiel in Hexadezimalschreibweise oder aber im Klartext erfolgen Aus den vielen Dateien welche durch das Filecarving erzeugt werden wird nur ein kleiner Teil eine vollst ndige korrekte Datei enthalten Auf jeden Fall m ssen die Resultatdateien eingesehen werden und auf ihre Verwendbarkeit hin berpr ft werden Trotzdem k nnen durch den Einsatz des Filecarvings u U wertvolle Spuren gefunden werden Die Technik des Filecarvings wird best ndig verbessert siehe dazu auch KHDVS09 Einordnung in das Modell des forensischen Prozesses 213 http www digitalforensicssolutions com Scalpel 214 http www e fense com helix 215 W hrend eines Testlaufs auf einem 512MB USB Stick generierte Scalpel 4GB an Daten 216 siehe auch http www dfn cert de veranstaltungen workshop vortrage vergangener workshops 2008 schuster pdf Leitfaden IT Forensik 247 Konfigurationsdatei geschickt w hlen Nachbearbeitung erforderlich Einsatz der IT Forensik anhand ausgew hlter Szenarien Die Einordnung des Filecarvings in das Modell des forensischen Prozesses verdeutlicht die nachfolgende Abbildung 59 Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations daten Abb 59 Einordnung Filecarving unter Einsatz von Scalpel Hie
403. naldaten zu ver ndern Des Weiteren kann die forensische Untersuchung u U parallelisiert werden d h mehrere Personen k nnen denselben Daten tr gerinhalt nach unterschiedlichen Gesichtspunkten und mit unterschiedlichen Methoden und Werkzeugen untersuchen Die Unver ndertheit des Dateninhalts eines Datentr gers ist eine absolute Notwendigkeit wenn dieser ein Beweisst ck eines juristischen Prozesses ist Deshalb ergeben sich die folgenden Anforderungen an eine forensische Duplikation Physische Kopie Von dem Datentr ger muss eine physische Kopie hergestellt werden d h der gesamte Sektorinhalt aller Sektoren des Datentr gers wird in die Datei hineingeschrieben Fehlerbehandlung Lesefehler m ssen eindeutig erkannt und protokolliert werden und durch vorher festgelegte F llmuster ersetzt werden Vollst ndigkeit des Abbildes Reservierte Bereiche von Massenspeichern bspw HPA und DCO siehe Kapitel m ssen sicher erkannt werden und f r den Zeitpunkt der Abbilderstellung deaktiviert werden um ein vollst ndiges Abbild zu erhalten Unver ndertheit Die Erstellung des Abbildes muss mit der Berechnung einer kryptographischen Checksumme abgeschlossen werden um die Unver ndertheit Integrit t siehe Kapitel des Abbildes nachweisen zu k nnen Um sicherzustellen dass auf den betroffenen Datentr ger nur lesend zugegriffen wird sollten hardware basierte Writeblocker eingesetzt werden Diese filtern s mtliche Schreibzu
404. nd das verwendete Service Pack operatingSystemServicePack vermerkt Einordnung in das detaillierte Schema siehe Kapitel Bei dem Active Directoy handelt es sich um eine IT Anwendung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung forensischer Ma nahmen ist nicht erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Active Directory nutzt Anwenderdaten Sitzungsdaten und Konfigurationsdaten UZ und speichert diese online UA Das Ergebnis hierbei sind Anwenderdaten Sitzungsdaten und Konfigurationsdaten UE Das Datenvolumen ist hierbei nicht abzusch tzen DV Eine Verwendung des Active Directorys ver ndert netzwerkweit fl chtige und nichtfl chtige Daten STW Datenschutzrechtlich sind diese Daten relevant DSR Eine Beweiskrafttendenz ist auf Grund der Natur der Daten schwierig abzusch tzen BK Das Werkzeug die Untersuchungsziele und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM Novell eDirectory Der Verzeichnisdienst Novell eDirectory bietet eine standardisierte und systematische M glichkeit Identit ten Ressourcen Ger te und Policies bei spielsweise E Mail Adressen Anwendungen Dateien und Gruppen zusammen zuf hren und zu verwalten Es ging aus dem Novell Directory Service NDS hervor
405. nd den Gesch ftsablauf nach M glichkeit nicht unterbrechen Identifikation des Angreifers und Erbringung von Tatbeweisen Nach ISACA08 werden auf der technischen Ebene die folgenden Schl ssel elemente f r den forensischen Prozess beschrieben Schutz der gewonnenen Daten Datenakquisition Imaging Extraktion Untersuchung Zusammenf hrung Normalisierung Reporting Im Rahmen der Datenakquisition wird die Untersuchung von Massenspeichern behandelt welche ihre gespeicherten Daten nicht nach dem Abschalten der IT Anlage verlieren Aber auch die h ufige Notwendigkeit der Sammlung fl chtiger Daten einschlie lich offener Ports aktiver Prozesse eingelogter Benutzer und Teilen des Hauptspeichers werden betont Sowohl auf die Erfassung fl chtiger als auch nichtfl chtiger Daten wird im Leitfaden in den Kapiteln und eingegangen Die betroffenen Kontroll und Steuerungsziele nach COBIT sind im Einzelnen 18 Prim rziele PO8 Sicherstellen der Compliance mit externen Anforderungen All Identifikation automatisierter L sungen DS1 Definition und Management von Service Leveln DS2 Management von Third Party Diensten DS5 Gew hrleistung der Sicherheitssysteme DS10 Problem und Vorfallsmanagement DS11 Datenmanagement M1 Prozess berwachung M3 Einholung einer unabh ngigen Zusicherung Sekund rziele PO Definition eines strategischen IT Plans PO4 Definition der IT Organisationen und ihrer Beziehung
406. nde Sicht nun auf die grundlegenden Methoden an ergibt sich damit die folgende tabellarische Zusammenstellung welche eine Klassifizierung der grundlegenden Methoden und deren konkreten forensischen Werkzeuge und erm glicht siehe Tabelle 5 Die Tabelle ist hierbei mit den Erkenntnissen f r die in den Kapiteln bis exemplarisch untersuchten forensischen Methoden gef llt worden Strategische Operationale Untersuchung Datenanalyse Dokument sammlung u ation Betriebs system FS Dateisystem EME Explizite Methoden der Einbruchs erkennung ITA IT Anwendunge n SB Skalierung von Beweis m glichkeiten DBA Daten bearbeitung und Auswertung Tabelle 5 Einordnung forensischer Methoden und deren konkreten Werkzeugen unter Beachtung des Abschnitts im forensischen Prozess Methodik Diese Methodik wird nachfolgend in einer ersten bersicht f r die einzelnen grundlegenden Methoden vorgestellt und im Kapitel ausgeweitet und f r exemplarisch ausgew hlte Beispiele wird deren Einsatz gezeigt Die grundlegende Methode Betriebssystem Bevor die forensisch wertvollen Informationen beschrieben werden welche sich aus einem Betriebssystem gewinnen lassen ist die Bedeutung Begriffs Betriebssystem festzulegen Unter einem Betriebssystem werden nach der Norm DIN 44300 ITW08 die Programme eines digitalen Rechnersystems verstanden die zusammen mit den Eigenschaften der Rechenanlage die Grundlage der m glich
407. nde Tabelle 49 zeigt die hinsichtlich dieser Kriterien geeigneten Ma nahmen in diesen Untersuchungsabschnitt BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 49 Ma nahmen der Datenanalyse Dazu wurde das Werkzeug grep ausgew hlt um die Log Datei des Apache2 Webservers nach den Zeitstempeln der Manipulationen zu durchsuchen Dabei war zu beachten dass das MySQL Bin Log die Zeitzone UTC nutzte w hrend das Apache2 Log lokale Zeit GMT 1 verwendete Dadurch ergab sich ein Zeitunterschied von einer Stunde der nachfolgend beachtet werden musste siehe auch Kapitel Durch die Suche innerhalb der Log Datei ergab sich zum Zeitpunkt der Ver nderung ein Zugriff auf den Webserver mit folgendem Aufruf 192 168 1 102 04 Nov 2008 15 42 24 0100 POST phpmyadmin read_dump php HTTP 1 1 200 4132 http 192 168 1 105 phpmyadmin read_dump php Mozilla 5 0 Windows U Windows NT 5 1 de rv 1 9 0 3 Gecko 2008092417 Firefox 3 0 3 Dies deutet darauf hin dass die Daten ber einen Zugriff auf phpMyAdmin ver ndert wurden offenbarte aber gleichzeitig auch die IP Adresse des ausl senden Rechners Daraufhin konnte die Log Datei des Webservers nach weiteren Aufrufen durchsucht werden die von dieser IP Adresse ausgingen 266 Lei
408. nden sich in beiden F llen eine Angabe dar ber ob die Datei resident ist komprimiert oder verschl sselt ist In den Standardinformationen STANDARD_INFORMATION sind u a die nachfolgend vorgestellten MAC Zeiten und die Dateirechte gespeichert Im Feld Dateiname FILE_NAME befindet sich ua die Angabe der L nge des Dateinamens der Dateinamen selbst aber auch der Verweis auf das Verzeichnis in welchem sich die Datei befindet und Kopien der MAC Zeiten F r Verzeichnisse ergibt sich ein hnlicher Aufbau nur dass sich im Datenfeld keine Nutzdaten befinden sondern ein so genannter Verzeichniseintrag INDEX_ROOT Bei kleinen Verzeichnissen befindet sich dabei wieder das gesamte Verzeichnis im INDEX_ROOT Bei gr eren Verzeichnissen wird parallel zu nicht residenten Dateien auch hier wieder ein indirekter Verweis auf die eigentlichen Speicherorte abgelegt Verwaltung von Zeiten Eine der bedeutsamsten forensisch wertvollen Daten innerhalb der MFT sind die bereits in Kapitel allgemein beschriebenen MAC Zeiten Dies sind die Zeiten der letzten Modifikation des letzten Zugriffs engl Access und beim Microsoft Windows basierten NTFS die Zeit der Erstellung engl Creation Die Modifikation enth lt die Zeit zur der eine Datei das letzte Mal geschrieben wurde Die Zeit des letzten Zugriffs kennzeichnet den Zeitpunkt an welchem die Datei das letzte Mal gelesen oder ausgef hrt wurde Diese Zeit wird von NTFS nu
409. ndene Bilddateien Hierbei ist auf der linken Seite des Bildschirmfotos die identifizierte Clusterstruktur zu erkennen Diese konnte nach der intensiven Suche wie ein Verzeichnis eingesehen werden Im mittleren Teil des Bildes erkennt man die einzelnen rekonstruierten Dateien Eine Vorschau des jeweils rekonstruierten Bildes befindet sich in der unteren Mitte der Abbildung Es sind die rekonstruierten Details ber Daten als Datenarten siehe Kapitel erkennbar insbesondere der Dateiname Bsp 100 4920 JPG die Dateigr e Bsp 512KB und die MAC Zeiten Bsp Erzeugung am 12 10 2008 um 17 50 56 letzte Modifikation am 12 10 2008 17 50 56 und der Startsektor der Datei 1211208 Alle Dateien sind als gel scht markiert worden dies wird in X Ways durch ein rotes Kreuz vor dem Dateinamen symbolisiert Des Weiteren ist erkennbar dass wie in diesem Beispiel einige Dateien besch digt bzw nicht vollst ndig sind Alle Dateien wurden aus dem Datentr gerabbild extrahiert und eine Hashsumme wurde ber jede extrahierte Datei berechnet Das Resultat des Untersuchungsschritts ist ein Ordner der rekonstruierten Dateien Datenanalyse In diesem einfachen Fall beschr nkt sich die Datenanalyse darauf die jeweils einzeln extrahierten Dateien optisch zu sichten Im Rahmen der Dateiwieder herstellung entstanden auch eine Vielzahl scheinbar vorhandener Daten welche jedoch keinen sinnvollen Inhalt darstellten siehe Abbildung 58 244 Leitfaden IT For
410. ndenen Elemente der PDF Datenstruktur berblicksartig darzustellen Das Beispiel im Textkasten zeigt die Ausgabe von pdf parser zur Dokumentenstruktur eines Textdokuments im PDF Format 179 Download unter http blog didierstevens com programs pdf tools Leitfaden IT Forensik 209 Detaillierte Vorgehensweise in der IT Forensik Comment 3 XREF 1 Trailer 1 StartXref 1 Indirect object 10 5 3 1 6 7 10 Catalog 1 9 Font 1 4 FontDescriptor 1 8 Page 1 2 Pages 1 5 Von besonderer forensischer Bedeutung sind auch beim PDF Dokument die darin enthaltenen Zeitstempel Diese befinden sich im Beispieldokument im Objekt 10 Dessen Inhalt wird in dem nachfolgenden Textkasten dargestellt obj 100 Type Referencing 1 N 2 lt lt 1 ik 2 Producer 1 2 3 pdfTeX 1 40 3 2 1 ik 2 Creator 1 2 3 TeX 2 1 n 2 CreationDate 1 2 0 3 D 20090419121554 02 00 2 DL d ik 2 ModDate 1 N 2 O G D 20090419121554 02 00 2 1 et 2 Trapped 1 2 False 1 n 2 PTEX Fullbanner 1 2 G This 1 3 is 1 3 pdfTexX 1 3 Version 1 3 3 141592 1 40 3 2 2 1 2 C 3 Web2C 1 3 7 5 6 2 n 1 3 kpathsea 1 3 version 1 3 3 5 6 2 1 n 2
411. nem Format f r Rohdateninhalte speichert O Die Kommunikationsprotokolldaten und Anwenderdaten wurden durch Auswahl des passenden Men punktes des Digitalen Fahrtenschreibers aufgezeichnet O Die Sicherheitsaspekte wurden beachtet O Die Authentizit t wurde durch Einsatz eines Werkzeuges bzw einer Ma nahme zur sichergestellt O Die Authentizit t wurde durch den Digitalen Fahrtenschreiber sichergestellt O Die Integrit t wurde durch Einsatz eines Werkzeuges zur sichergestellt O Die Integrit t wurde durch den Digitalen Fahrtenschreiber sichergestellt L Das Untersuchungsergebnis wurde so gespeichert dass der Datenschutz gewahrt bleibt O Der Datenschutz sowie Vertraulichkeit wurden durch Einsatz von beachtet L Die gespeicherten Daten wurden zur Wahrung von Datenschutz und Vertraulichkeit in einem TrueCrypt Container gespeichert O Die Datensammlung wurde dokumentiert O Die Datensammlung wurde unter Verwendung von dokumentiert L Die Datensammlung wurde durch den Digitalen Fahrtenschreiber dokumentiert Leitfaden IT Forensik 341 Anhang B Ablaufdiagramme und Checklisten Ablaufliste zur Auswertung der Netzwerkverbindungs daten Die Ablaufliste zur Auswertung der Netzwerkverbindungsdaten beschreibt die Auswertung mit einem hohen Detailgrad auf der 1000er Sicht Gerade wenn die Vertraulichkeit bei der Untersuchung gew hrleistet werden muss ist dies sinnvoll um z B datenschutzrechtliche Vorgaben nicht zu v
412. ner forensischen Untersuchung sollte die Reihenfolge der Fl chtigkeit von Daten beachtet werden siehe dazu auch das RFC 3227 In einem typischen Computersystem kann demzufolge die folgende Ordnung aufgestellt werden beginnend mit der h chsten Fl chtigkeit CPU Register CPU Cache e Routing Tabellen ARP Caches Prozesstabellen Kernel Statistiken Arbeitsspeicherinhalt ge ffnete echtzeitverschl sselte Dateisysteme tempor re Dateisysteme Massenspeicherinhalte entfernt gef hrte Logging und Monitordaten welche relevant zum betrachteten System sind physische Konfiguration Netzwerktopologie Archivmedien Im Kapitel wird detailliert auf Sichtweise auf die in einem Computer gespeicherten Datenarten eingegangen Fl chtige Daten im Netzwerk sind unter anderem die Daten welche ber das Netzwerk versandt bzw empfangen werden die aktuelle Konfiguration des Netzwerks usw und w rden im Beispiel Informationen ber den Vorfall liefern Andererseits k nnte die Trennung vom Netz und von der Spannungsversorgung in einem hnlich gelagerten Vorfall gr eren Schaden verhindern weil dadurch die Menge der bertragenen Netzwerkpakete h tte limitiert werden k nnen Anhand eines Beispiels werden ausgew hlte Fragestellungen deutlich welche gerade das erste Eintreffen am Untersuchungsort betreffen Folgender Vorfall tritt exemplarisch ein In einem Unternehmen stehen in einem B ro von zwei Mitarbeitern jeweils
413. ng gesichert werden Dazu kommt in diesem Fall noch das Problem dass proc kcore h ufig die Gr e des gesamten virtuellen Adressraums annimmt Da das System bei der Sicherung des Speicherinhaltes weiterarbeitet ist das Abbild zwangsl ufig nicht konsistent Wie bei allen Speicherabbildern ist die Untersuchung sehr schwer u U liefert das in Kapitel beschriebene Filecarving wichtige Ergebnisse Die Beschreibung der Untersuchung von Speicherabbildern nicht Teil dieses Leitfadens im Einzelfall ist diese jedoch u erst hilfreich daher ist an dieser Stelle die Datenquelle zur Akquise der relevanten Daten genannt Extraktion der Konfigurationsdaten Die Systemkonfiguration unterst tzt die forensische Untersuchung in mehreren Abschnitten Neben der Relevanz im Abschnitt der Datensammlung sind bestimmte Informationen f r die operationale Vorbereitung n tig So f hrt die Nutzung von entfernen Dateisystemen unter Umst nden zur Notwendigkeit weitere Computersysteme in die Untersuchung mit einzubeziehen Liste der genutzten Dateisysteme Die Liste der genutzten Dateisysteme befindet sich in proc mounts TT Diese Datei gibt Aufschluss dar ber welche Dateisysteme genutzt werden wo deren Einh ngepunkt ist welches Dateisystem sie nutzen und wo sie sich physisch befinden Au erdem sind die Optionen der Dateisysteme aufgelistet wenn zum 78 http www unixguide net linux faq 04 16 shtml 79 http www unixguide net linux faq 07 13 sht
414. ngerichtet werden siehe Abbildung 79 Dazu muss sie sich jedoch im PyFlag Upload Verzeichnis befinden se Managemen oad Data onfiguration Disk Fo o Case nutzdatenauswertung Load IO Data Source Select IO Subsystem Standard Evidence Timezone SYSTEM Currently Selected files 1219429842 cap Select Standard image Enter partition offset Unique Data Load ID Submit Abb 79 Einrichtung der Datenquelle 228http www bsi de gshb deutsch baust b02004 htm 229 Leitfaden IT Forensik 331 Anhang A Eine derartige pcap Datei ist z B das Ergebnis des Einsatzes des in Kapitel beschriebenen Digitalen Fahrtenschreibers sein Da PyFlag seine forensischen Daten in einem virtuellen Dateisystem h lt muss nachfolgend der Einh ngepunkt engl mount point der pcap Dateiinhalte festgelegt werden Dieser Vorgang ist in der nachfolgenden Abbildung 80 dargestellt Case nutzdatenauswertung Load Filesystem image Case nutzdatenauswertung Select IO Data Source netl Magic identifies this file as PCAP tcpdump file Selecting PCAP Virtual Filesystem automatically VFS Mount Point net Submit Abb 80 Einbindung der pcap Datei in das virtuelle Dateisystem von PyFlag Mit Best tigung der Einbindung wird die Datenquelle durch das PyFlag analysiert Abh ngig von der Gr e der Quelldatei kann dieser Einlesevo
415. ngeschlossen Dar ber hinaus ist das System gegen ber unbefugten Ver nderungen abzusichern die Schutz anforderungen entsprechen den Anforderungen an die forensische Workstation siehe Kapitel Dies gilt insbesondere hinsichtlich der Minimalit t der n tigen Rechte f r den Logdienst Des Weiteren ist es sinnvoll dass Daten lediglich hinzugef gt werden k nnen d h eine Ver nderung oder L schung von bestehenden Logdaten durch den Logdienst sollte verhindert werden Leitfaden IT Forensik 49 Zentraler Logserver Einf hrung Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsbiiros NdA T3 8 Faxgerate Abb 9 Erweitertes RECPLAST Netz mit Logdaten und Backupserver Die gesammelten Logdaten sollten idealerweise bereits am Erzeugungsort sp testens jedoch beim Eingang in den zentralen Logdatenserver mittels krypto graphischer Ma nahmen auf Integrit t abgesichert werden um eine Manipulation der Daten ausschlie en zu k nnen Des Weiteren sollten die Daten zus tzlich verschl sselt werden Dies ist eine direkte Folge aus der Notwendigkeit der Einhaltung der allgemeinen Prinzipien und gesetzlichen Vorschriften siehe Kapitel Es wird vorgeschlagen als Protokoll f r das Format der Logdaten und deren bertragung den Quasi Industriestandard Syslog einzusetzen Diese Empfehlung ist darin begr ndet dass h ufig IT Anlagen sehr heterogen bzgl des eingesetzten Betrieb
416. nnung und Aufbereitung praxisnah beschrieben Die beschriebene Vorgehensweise ist weitgehend unabh ngig von konkreter forensischer Software Das zugrunde liegende Modell erlaubt zudem das Einsortieren und die Verwendung neuer nach Beendigung der Erstellung dieses Leitfadens entstandener Produkte Um dies zu erreichen wird aus einer datenzentrierten Sichtweise der forensische Prozess beginnend mit der Vor bereitung auf einen m glichen Vorfall bis hin zu dessen ausf hrlicher Dokumentation modelliert Dazu werden die potentiell verf gbaren Daten identifiziert und erl utert Zielgruppen dieses Leitfadens sind Betreiber von IT Anlagen Administratoren Sicherheitsverantwortliche aber auch Strafverfolgungsbeh rden Neben dem klassischen T ter Opfer PC als ein zu betrachtendes Szenario sollen gezielt die Anforderungen der Betreiber einer IT Anlage ber cksichtigt werden Da der Betreiber einer IT Anlage nicht zwangsl ufig der Eigent mer der darin gespeicherten Information sein muss wird zudem auf den gesetzlich vorgeschriebenen Datenschutz an geeigneter Stelle verwiesen Der Anlagenbetreiber hat bei Verwendung der gleichen Vorgehensweise eines Ermittlungsbeamten siehe dazu auch die detaillierten Ausf hrungen in New07 zus tzliche Interessen So gilt es beispielsweise einen erneuten Vorfall unter Einsatz eines vergleichbaren Vorgehens zu verhindern Auch ist es u U f r die Schadensbegrenzung wichtig zu bestimmen welche Daten im Verlauf
417. nsammlungsphase gesichert Es ist ein Logmechanismus eines HTTP Servers ITA Apache l uft auf festinstallierten Computern HW Das Programm ist unter anderem f r Linux und Windows erh ltlich SW Der Untersuchungsort ist lokal auf dem zu untersuchenden System UO Es sammelt Daten der OSI Schicht 7 OSD F r das Apache access log ist keine Aktivierung erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktions f higkeit des Computersystems sowie Administratorrechte UV Das Unter suchungsziel sind Sitzungsdaten UZ Die Untersuchungsaktion besteht aus dem Online Speichern von Logdaten auf das Speichermedium UA Untersuchungs ergebnis sind Sitzungsdaten UE Das Datenvolumen des Untersuchungs ergebnisses steht in einem proportionalen Verh ltnis zur Anzahl der Anfragen DV Da Apache st ndig l uft treten Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht aus der Nutzung des Programms DSR Eine Beweiskrafttendenz besteht BK Bei der Verwendung von Apache access log muss dieses extern gegen Ver nderung gesch tzt werden das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM Der Webbrowser Mozilla Firefox Bei dem Mozilla Firefox handelt es sich um eine IT Anwendung in Form eines Webbrowsers Analog zum im Kapitel vorgestellten Webbrowser Internet Explorer bietet auch der Mozilla Firefox
418. nsbesondere f r die vorher dokumentierten Versionen der einzelnen Werkzeuge Dazu kann die forensische Workstation z B von einer Live CD gestartet werden Die Integrit t der CD bzw der Inhalte auf der CD l sst sich dabei nachweisen denn das Medium selbst ist nicht mehr ver nderbar Alternativ k nnen bestimmte diskrete Systemzust nde gespeichert werden wie dies z B virtuelle Maschinen unterst tzen Der Vorteil dieser letztgenannten L sung ist dass sich einzelne Werkzeuge leicht nachinstallieren lassen Die Verwendung eines Schreibschutzes f r das jeweilige Medium bei der Daten sammlung dient vor allem dazu dass dieses keinesfalls ver ndert wird So bleiben einerseits die Ausgangsdaten unver ndert und eine gezielte oder unbeabsichtigte Manipulation wird ausgeschlossen Derartige Schreibschutzmechanismen sind Write Blocker siehe Kapitel f r Festplatten oder Taps siehe Kapitel f r Netzwerke Durch die Heterogenit t bez glich Untersuchungssystem und untersuchtem Sys tem wird die Ausf hrung von Schadcode auf der forensischen Workstation weiter Leitfaden IT Forensik 57 Minimale Rechte Integrit t des Untersuchungs systems Schreibschutz einsetzen Heterogenit t strategisch einsetzen Kurzzusammen fassung des 1 Kapitels Einf hrung erschwert Diese Heterogenit t ist sowohl bez glich der Software als auch der Hardware w nschenswert In diesem Fall ist die Ausf hrung von Schadcode des untersuchten
419. nsdaten der im Kapitel vorgestellten Betriebssysteme MS Windows und Linux ist forensisch bedeutsam Deren Auswertung ist ein wichtiger Anlaufpunkt in jeder forensischen Untersuchung Hier finden sich Hinweise ber die derzeit aktive Konfiguration z B des Netzwerks und des Loggings Die Loggingdaten selbst befinden sich auch vorbestimmten Orten welche wichtige Aufschl sse ber die vom Betriebssystem protokollierten Ereignisse befinden z B das Einbinden oder die Entfernung von portablen Massenspeichern Mircrosoft Windows Betriebssysteme verwenden eine zentrale Registrierungs datenbank engl Windows Registry welche nachfolgend in einem berblick bzgl deren Aufbau und Inhalten vorgestellt wird Die Registry ist eine wichtige Quelle f r forensische Daten beispielsweise eingebundene Datentr ger gestartete Programme die aktuell verwendete Netzwerkadresse u v a Die Registry hat fl chtige und nichtfl chtige Daten Zur Laufzeit des Betriebssystems wird die Registry aus dem Dateisystem in den Arbeitsspeicher geladen Im Dateisystem eines Windows basierten Systems ist der nichtfl chtige Teil der Registry in den Dateien engl hives SAM SECURITY software system und NTUSER DAT gespeichert Diese befinden sich im Fall des Betriebssystems Microsoft Windows XP im Verzeichnis SYSTEMTOOT System32 config Einzig die f r die Bildung des Schl ssels HKEY CURRENT USER befindet sich als Datei NTUSER DAT im Wurzelverzeichnis des jeweiligen Nuz
420. nsischen Untersuchung erhoben wurden nach Abschluss eines Verfahrens bzw des Abschlusses der Untersuchung die gewonnenen Daten zu l schen In WKS08 wurde zum Sicheren L schen magnetischer Datentr ger festgestellt dass nach der Anwendung geeigneter L schtechniken engl wiping eine Datenwiederherstellung nahezu ausgeschlossen ist Ein dreimaliges berschreiben wird dabei als ausreichend erachtet die Wahrscheinlichkeit der Rekonstruktion von Daten fragmenten verschwindend gering werden zu lassen 11 http pyflag sourceforge net Documentation articles raid reconstruction html 28 Leitfaden IT Forensik Einf hrung Die CERT Taxonomie im Rahmen einer forensischen Untersuchung Um einen Vorfall erfolgreich aufkl ren zu k nnen muss dieser systematisch Eine gemeinsame beschrieben werden Dazu hat sich der Einsatz der CERT Taxonomie HL98 Sprache f r die bew hrt Diese wird best ndig erweitert bzw angepasst die Version aus Dit04 Vorfalls soll deshalb kurz vorgestellt und danach der Wert f r die forensische beschreibung Untersuchung unterstrichen werden Die CERT Taxonomie adressiert vors tzliche Handlungen im Rahmen eines Vorfalls Zuf llige Betriebsst rungen und der Ausfall bzw das Fehlverhalten von Hard und Software sind nicht Teil der Taxonomie Das beschriebene Vorgehen wird jedoch auch diesem Leitfaden gerecht Ziel der Taxonomie ist es ein Minimum an abstrakt zu beschreibenden Begriffen zu finden welche f
421. nspeichern wie z B der Festplatte oder einem USB Stick Die fl chtigen Daten hingegen gehen mit dem Ausschalten des Computers unwiederbringlich verloren Sie befinden sich vornehmlich im Arbeitsspeicher des Computers aber auch u a in Registern des Prozessors bzw von Peripherieger ten In Ges08 wird eine geringf gig andere Sichtweise auf die in einem Computer gespeicherten und verarbeiteten Daten geliefert Dort wird eine Einteilung in fl chtige fragile und tempor r zugreifbare Daten vorgenommen Die Beschreibung der fl chtigen Daten entspricht der hier getroffenen Festlegung Die fragilen Daten entsprechen den nichtfl chtigen Daten dieses Leitfadens Die tempor r zug nglichen Daten beschreiben Daten welche sich auf der Festplatte befinden aber nur zu bestimmten Zeitpunkten zug nglich sind z B w hrend der Laufzeit einer Anwendung siehe Ges08 Als Beispiel Leitfaden IT Forensik 33 Den Stecker ziehen Arten der Fl chtigkeit von Daten in IT Systemen Reihenfolge der Flichtigkeit von Daten Flichtige Daten im Netzwerk Ein Vorfall wird gemeldet Einf hrung dazu sei ein verschl sseltes Laufwerk ein so genannter Krypto Container genannt dessen Daten nur gewonnenen werden k nnen wenn dieses Laufwerk entschl sselt im System eingebunden ist oder der Schl ssel bekannt ist Obwohl die Daten nichtfl chtig sind ist der Zugriff auf diese als fl chtig zu beschreiben Bei der Sammlung von Daten im Rahmen ei
422. nstimmen muss Das vom Server beim Verbindungsaufbau gesendete Zertifikat wird wiederum mit dem CA Zertifikat aus dem Verzeichnis opt syslog ng etc ca d authentifiziert Der Client bertr gt das Zertifikat opt syslog ng etc cert d n2 cert zum Server um den R ckkanal der Kommunikation zu verschl sseln Der Schl ssel in opt syslog ng etc cert d n2 key wird zur Entschl sselung der Antworten des Servers genutzt Analog zur Aktivierung der Logquelle ist dies auch f r das Logziel n tig log f 328 Leitfaden IT Forensik Anhang A destination d_tls_logserver A Die Einrichtung der Windowsclients gestaltet sich auch hier etwas schwieriger Zun chst m ssen die Zertifikate ber die Managementkonsole f r das Nutzer konto importiert werden siehe Abbildung77 im Konsole1 Konsolenstamm Zertifikate Lokaler Computer Eigene Ze Kal Datei Aktion Ansicht Favoriten Fenster e ame 2 C Konsolenstamm Ausgestellt f r Zertifikate Lokaler Compul cSb recplast de ered CJ Eigene Zertifikate on Zertifikate C vertrauensw rdige Ste Organisationsvertraue I Zwischenzertifizierung vertraute Herausgeber C Nicht vertrauensw rdic C Drittanbieter Stammze C Vertrauenswiirdige Per E spc Abb 77 Import des Zertifikats Ca a c n Hr Erst danach ist eine Auswahl im Client m glich siehe Abbildung 78 Select Certificate Select the certificate you want to use Subject Name
423. nt Server Dabei ist Microsoft DFS in zwei Gruppen einzuteilen in so genannte Namespaces DFS N und in Replikationsgruppen DFS R Viele Funktionen des Microsoft DFS Systems sind nur bei gleichzeitigem Einsatz des nachfolgend beschriebenen Active Directory verf gbar Dies trifft insbesondere f r DFS R zu Dabei wird unter einer Replikation die Verteilung von Daten auf mehrere Server verstanden Genauer geht es hier sowohl um eine Datenverteilung zum Zweck der Ausfallsicherheit es kann aber auch als Datensicherungskonzept 150 F r die beschriebenen Eigenschaften ist der Einsatz von Microsoft Windows Server 2003 R2 erforderlich 151 siehe dazu auch http www serverhowto de Teil 1 Grundsaetzliche Informationen rund um Microsofts DFS 339 0 html Leitfaden IT Forensik 185 Namespaces Replikations gruppen Achtung Detaillierte Vorgehensweise in der IT Forensik dienen Unter Namespaces versteht man den Zugriffspunkt dem Verweise engl Links und Freigaben zugeordnet werden Der Zugriff darauf durch den Klienten erfolgt ber das DFS Wurzelverzeichnis DFS Root eines Root Servers welcher Teil des DFS N Client Server Subsystems ist Ein Verweis Link zeigt auf eine Freigabe eines beliebigen Servers der unterhalb des Namespaces angezeigt wird Hier k nnen Freigaben gruppiert werden welche repliziert werden sollen Dazu k nnen hier u a die Bandbreitensteuerung und die Steuerung der Replikations zeiten vorgenommen werden
424. ntersuchenden System UO Eine Aktivierung forensischer Ma nahmen ist nicht erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV Im DFS werden prim r Anwenderdaten gespeichert es sind jedoch auch Kon figurations und Sitzungsdaten zu finden UZ Diese werden online gespeichert UA Das Ergebnis sind wiederum Anwenderdaten Sitzungsdaten sowie Kon figurationsdaten UE Das Datenvolumen ist hierbei nicht abzusch tzen DV Eine Verwendung des Microsoft DFS ver ndert netzwerkweit fl chtige und nicht fl chtige Daten STW Datenschutzrechtlich sind diese Daten relevant DSR Eine Beweiskrafttendenz ist schwierig abzusch tzen BK Das Werkzeug die Untersuchungsziele und Ergebnisse m ssen durch weitere forensische Methoden vor Manipulation gesch tzt werden SM 186 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Microsoft Active Directory Das Microsoft Active Directory verwaltet verschiedene Netzwerkobjekte wie beispielsweise Benutzer Gruppen Computer Server und Dateifreigaben Es erm glicht eine netzwerkweite Rechtevergabe auf die vom Active Directory verwalteten Ressourcen Zur Funktion bedarf es mindestens eines Computers im Netzwerk welcher als Dom nenkontroller konfiguriert wurde Dieser Dom nen kontroller dient als Server f r Netzwerkanwendungen und andere Dienste Des Weiteren hat er auch die Aufgabe netzwerkweit die Zeit zu synchronisieren
425. ntr gerinhalt aus den einzelnen Datentr gerabbildern rekonstruiert werden Bei der Gewinnung des Datentr gerabbildes m ssen insbesondere das entstehende Datenvolumen und die zur Erstellung des Abbildes notwendige Zeit beachtet werden Beides sind gerade f r den Anlagenbetreiber wichtige Gr en Zum einen muss mindestens der Speicherplatz f r die Aufnahme des Datentr gerabbildes bereitgestellt werden Dabei kann die entstehende Imagedatei jedoch in Teile aufgespalten gespeichert werden Zum anderen ist die ben tigte Zeit f r die Erstellung eines Datentr gerabbildes und damit der potentielle Ausfall einer oder mehrerer IT Komponenten einzuplanen Trotzdem hat die Empfehlung Bestand prinzipiell von Datentr gern potentiell betroffener Systeme zun chst ein Abbild unter Verwendung der forensischen Duplikation zu erstellen Diese wird detailliert in Kapitel beschrieben Es gibt zwei wichtige Gr nde das sichere L schen von Datentr gern zu adressieren Zun chst ist es wichtig den Datentr ger welcher Datentr gerabbilder und andere forensisch bedeutsame Daten aufnehmen soll in einem gel schten Zustand vor der Aufnahme der Daten zu versetzen Daten von vorangegangenen Untersuchungen m ssen derart gel scht werden dass sie nicht zu Fehl interpretationen von darauffolgenden Untersuchungen f hren k nnen Des Weiteren verlangt der in Kapitel vorgestellte gesetzlich vorgeschriebene Datenschutz dass die Daten welche im Rahmen einer fore
426. nun in den forensischen Prozess eingeordnet werden Die nachfolgenden Abbildungen stellt die Einordnung visuell dar Es wird hier auf Ger te mit Embedded OS Bezug genommen Hierbei wird pro grundlegender Methode das Verh ltnis von Datenarten in Bezug zum Abschnitt der forensischen Untersuchung dargestellt Abbildungen 47 49 Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations daten Abb 47 Einteilung der BS Komponente der Netzkoppelelemente nach Datenarten in den Abschnitten des forensischen Prozesses 222 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations daten Abb 48 Einteilung der EME Komponente der Netzkoppelelemente nach Datenarten in den Abschnitten des forensischen Prozesses Anwenderdaten Hardwaredaten Rohdateninhalte Sitzungsdaten Prozessdaten Details ber Daten Netzwerkdaten Konfigurations Abb 49 Einteilung der SB Komponente der Netzkoppelelemente nach Datenarten in den Abschnitten des forensischen Prozesses Einteilung anhand der grundlegenden Methoden Leitfaden IT Forensik 223 Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik Netzkoppelelemente unter Nutzung der Syslog und SNMP Mechanismen sind in die grundlegenden Method
427. nux Strategische Vorbereitung Das SzenarioStrategische Rootkitaufkl rung Linux findet auf einem Linux Vorbereitung basierten Computer statt Im Rahmen der strategischen Vorbereitung wurde auf dem System bereits der Rootkit Suchprogramm RKHunter installiert und regelm ig als durch den Systemdienst cron aufgerufen Durch diese strategische Vorbereitung wurde nicht nur die Erkennung der Schadsoftware erkannt sondern es ergaben sich zus tzliche Informationen Symptom Der Vorfall wird durch dieSymptom Meldung des Rootkit Suchprogramms RK Hunter entdeckt der jede Nacht durch den Systemdienst cron aufgerufen wird Operationale Vorbereitung Es ist nun notwendig zu ermitteln welche Daten zur Aufkl rung des Vorfalls notwendig sind Zun chst einmal sind nat rlich die Logdateien des RK Hunter und auch die Daten der laufenden Prozesse von Interesse Ersteres wird durch die Rohdaten siehe Kapitel abgedeckt w hrend letzteres in den Prozessdaten zu finden ist Offensichtlich wurden nderungen am Dateisystem durchgef hrt und so ist es sinnvoll Informationen ber alle Dateien des Systems einzuholen um zu erkennen welche Dateien im Rahmen des Vorfalls ver ndert wurden Hierbei 217 http www rootkit nl 254 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien bietet also die Kategorie Details ber Dateien sinnvolle Informationen zur Aufkl rung des forensisc
428. nymisierung bzw Pseudonymisierung angewendet werden Um auf einem laufenden Windows XP SP2 Untersuchungen von Anwenderdaten vornehmen zu k nnen werden hier die Befehlszeilenprogramme expand find findstr comp und type bereitgestellt Jedes der nachfolgend vorgestellten Programme nimmt dauerhafte Ver nderungen sowohl der MAC Zeiten siehe Kapitel als auch potentiell des Dateisystems vor Der potentielle Informationsgewinn durch den Einsatz dieser Werkzeuge ist gegen den potentiellen Beweiskraftverlust abzuw gen Daher ist eine Untersuchung dieser Daten von einem vorher angefertigten Abbild der Festplatte vorzuziehen Temp Ordner 57 Beschreibung gek rzt aus dem Hilfe und Support Center Suche Ereignisanzeige 58 http support microsoft com kb 324145 Leitfaden IT Forensik 103 Datenschutz beachten Achtung Detaillierte Vorgehensweise in der IT Forensik Tempor re Dateien werden von Anwendungen angelegt um zwischenzeitlich Daten auszulagern Das L schen der ausgelagerten Dateien ist bei Programm oder Systemabbr chen nicht gew hrleistet und bietet ber Programmsitzungen hinweg m glicherweise interessante Inhalte INFO2 Dateien L schvorgang unter Verwendung des Papierkorbs Prinzipiell bieten die Windows Betriebssysteme dem Nutzer zwei Arten der L schung von Dateien und Ordnern Da dieser Mechanismus nur vom Betriebssystem nicht jedoch vom eingesetzten Dateisystem abh ngig ist wird dieser an dieser Stelle
429. nzugef gt werden was zus tzliche Ma nahmen f r eine verbesserte Vorfallsaufkl rung erm glichen kann Danach untergliedert sich der forensische Prozess in die Untersuchungsabschnitte strategische Vorbereitung e operationale Vorbereitung Datensammlung Untersuchung Datenanalyse Dokumentation einer forensischen Untersuchung Wie die nachfolgende Abbildung 13 verdeutlicht sollte dieser zeitliche Verlauf als ein geschlossener Kreislauf angesehen werden 60 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Strategische Operationale Vorbereitung Vorbereitung Dokumentation Zusammenfassung der Erkenntnisse weii Einordnung gung in CERT gt A x Datenanalyse Untersuchung Abb 13 Abschnitte des forensischen Prozesses Abschlu bericht Im Rahmen der strategischen Vorbereitung SV werden alle Ma nahmen seitens des Anlagenbetreibers in Erwartung eines Vorfalls getroffen siehe dazu auch Kapitel Diese pro aktive Vorgehensweise setzt also Ma nahmen vor dem eigentlichen Eintreten eines Ereignisses voraus Ein Beispiel f r eine Ma nahme w hrend der strategischen Vorbereitung ist die Aktivierung von Logdiensten welche in der Lage sind die Umst nde eines Vorfalls mitzuprotokollieren Des Weiteren z hlen dazu die im Kapitel vorgestellten Ma nahmen zur Sicherstellung der korrekten Zeit Im Rahmen der operationalen Vorbereitung OV sind all die Ma nahm
430. o vernichten Verbindlichkeit magnetischer Abstrahlung La Nachweisbarkeit Pers nlichkeitsschutz Abb 5 Die erweiterte CERT Taxonomie nach Dit04 Mit dieser Taxonomie ist es m glich den Angriffsverlauf zu beschreiben Wie aus Beschreibung nach der schematischen Darstellung ersichtlich klassifiziert die Taxonomie in Vorfall CERT Wie ist die Angriff und Ereignis Ein Vorfall beschreibt dabei den Angreifer mit der damit Taxonomie zu verbundenen Absicht sowie den Angriff selbst Es wird zus tzlich noch zwischen lesen Innent ter und Au ent ter unterschieden Dabei hat der Innent ter u U detaillierte Kenntnisse ber die Computer und deren Vernetzung und h ufig auch einen Zugang zum angegriffenen System bzw einen physischen Zugang zu den Computern Der Innent ter ist demzufolge der vermutlich gef hrlichere aber auch zahlenm ig kleinere Angreiferkreis siehe dazu auch Ken06 Der eigentliche Leitfaden IT Forensik 29 Sicherheitsaspekte Einf hrung Angriff wiederum wird unterteilt in das verwendete Werkzeug die ausgenutzte Schwachstelle das Ereignis selbst und das erzielte Resultat Das eigentliche Ereignis wird in die Aktion und das Ziel unterteilt Die gesamte Taxonomie ist dabei wie folgt zu interpretieren Ein Angreifer nutzt mit Hilfe eines oder mehrerer Werkzeuge eine bestimmte Schwachstelle im Computer bzw einem Computernetz aus Dadurch kann er bestimmte Aktionen ausf hren welche ein ganz bestimmt
431. oder der Hash Wert einzutragen Die unterschiedlichen Detailgrade sind abh ngig von den Vorkenntnissen des Ausf hrenden gew hlt worden Die genannten Werkzeuge sind exemplarisch ausgew hlte Beispiele Es gibt f r fast jeden forensischen Einsatzzweck mehrere Alternativen um unter Wahrung von Integrit t und Authentizit t Daten zu erheben zu untersuchen und zu analysieren Ablaufliste zum Erstellen eines beweissicheren forensischen Abbildes eines Massenspeichers Die Ablaufliste zum Erstellen eines beweissicheren forensischen Abbildes eines Massenspeichers beinhaltet eine detaillierte Handlungsanweisung auf 1000er Sicht f r den Ausf hrenden Gerade wenn dieser keine weitreichenden forensischen Kenntnisse hat ist dieser Detailgrad sinnvoll Auch zum Training von angehenden Untersuchenden ist dies besonders geeignet Strategische Vorbereitung siehe Kapitel O Writeblocker f r alle Interfaces bereithalten L Writeblocker f r alle Interfaces bereithalten L Writeblocker f r alle Interfaces bereithalten L Hardware Verzeichnis f r eingesetzte Datentr ger erstellen O Hardware Verzeichnis f r eingesetzte Datentr ger erstellen O Hardware Verzeichnis f r eingesetzte Datentr ger erstellen O Zieldatentr ger aufbereiten Leitfaden IT Forensik 337 Anhang B Ablaufdiagramme und Checklisten O Zieldatentr ger in ausreichender Gr e aufbereiten CL ausreichend gro er USB Zieldatentr ger f r m gliche forensische Untersuchung
432. og Die Untersuchungsv oraussetzung ist die technische Funktionsf higkeit des Computersystems sowie Administratorrechte f r den Zugriff auf die Logdateien UV Untersuchungsziel sind Prozessdaten UZ Die Untersuchungsaktion besteht aus dem online speichern von Logdaten auf das Speichermedium UA Untersuchungsergebnis sind Prozessdaten UE Das Datenvolumen h ngt von der Anzahl der aufgetretenen Ereignisse ab daher sind genaue Angaben nicht m glich DV Da die MySQL Prozesslogs Teil der normalen Datenbanknutzung ist treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht DSR Eine Beweiskrafttendenz existiert nicht BK Bei der Verwendung von MySQL Prozesslogs m ssen diese Extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM MySQL Slow Query Log In Kombination mit der Variable Jong ouer mme ist es m glich Anfragen zu protokollieren die l nger als die angegebene Zeitdauer ben tigen Der Wert von long query_time wird dabei in Sekunden angegeben Slow Querys k nnen f r Angriffe auf die Verf gbarkeit verwendet werden siehe dazu die Ausf hrungen ber die Sicherheitsaspekte im Kapitel MySQL besitzt in der Regel eine Maximalanzahl von Prozessen Wenn diese ausgesch pft sind werden keine weiteren Anfragen beantwortet Das Erkennen von m gliche
433. og Analyse Software hier nur eine Hilfestellung geben kann Nachfolgend sollen nun exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode DBA vorgestellt werden Das Filecarving Werkzeug Scalpel Scalpel ist ein forensisches Werkzeug dass zum Filecarving eingesetzt wird p 8 8 8 siehe auch Kapitel Dabei werden Rohdaten ohne genaue Kenntniss ihres genauen Inhalts bzw dessen Struktur z B durch Dateisysteme siehe dazu Kapitel auf bekannte Dateitypen hin untersucht Es ist Bestandteil der grundlegenden Methoden der Datenbearbeitung und Auswertung DBA Scalpel ist f r Linux und Windows verf gbar und arbeiten auf Rohdateninhalten aus Datentr gern bzw Datentr gerimages Es extrahiert Daten anhand von bekannten Dateianf ngen engl Header von gesuchten Dateiinhalten und extrahiert diese mitsamt dem folgenden Abschnitt bis zum Erreichen eines vordefinierten Dateiendes engl Footer oder einer vorgegebenen Gr e Aufgrund dieser Arbeitsweise k nnen fragmentierte Daten nur teilweise wiederhergestellt werden Scalpel ist in der Grundkonfiguration dazu konfiguriert Anwenderdaten zu extrahieren kann aber auch unter Ver nderung der Header und Footer dazu verwendet werden Konfigurationsdateien oder Logdateien die dann in sp teren Schritten interpretiert werden m ssen zu gewinnen Ein Beispiel f r die Extraktion von Konfigurationsdateien w re der bereits vordefinierte Header der W
434. okus bei COBIT auf der Kontrolle und Steuerung von IT Prozessen Dies ist auch in der Urheberschaft durch den internationalen Pr fungsverband ISACA Information Systems Audit and Control Association von Auditoren und Revisoren begr ndet 4 siehe dazu auch http www bsi bund de gshb deutsch baust b01000 htm 5 http www isaca org cobit 6 http www itil officialsite com 16 Leitfaden IT Forensik Einf hrung COBIT allgemein Nach Boc08 definiert COBIT f r jeden IT Prozess sowohl die Gesch ftsziele als auch die Kontroll und Steuerungsziele die durch diesen Prozess unterst tzt werden sollen F r die Kontroll und Steuerungsziele werden sieben Arten von Gesch ftsanforderungen ber cksichtigt die Sicherheitsanforderungen Vertraulichkeit Integrit t Verf gbarkeit Effektivit t Wirksamkeit Effizienz Wirtschaftlichkeit Compliance Einhaltung rechtlicher Erfordernisse und Zuverl ssigkeit Ordnungsm igkeit der Berichterstattung F r jeden Prozess m ssen nach COBIT die ben tigten Ressourcen definiert werden die dieser Prozess liefert bearbeitet und ben tigt Unter Verwendung eines prozessorientierten Gesch ftsmodells wird die Struktur der Kontrollziele innerhalb der Informationstechnologie anhand von den vier Bereichen Planung und Organisation Beschaffung und Implementation Betrieb und Unterst tzung berwachung und Bewertung zusammengefasst F r jeden Prozess wird durch COBIT generisch festgelegt
435. olgt durch Sicherung der Dateien default system SECURITY software und SAM im Verzeichnis C WINDOWS system32 config sowie der Datei NTUSER DAT im Verzeichnis C Dokumente und Einstellungen lt Nutzer gt Eine Untersuchung kann dann u a mit regdump oder auch reglookup durch gef hrt werden Extraktion der Kommunikationsprotokolldaten Abh ngig von der zu untersuchenden Umgebung k nnen unterschiedliche Netzwerkdaten relevant sein So ist eine MAC Adresse im Internet eher unbedeutend da diese der MAC Adresse des letzten Routers entspricht In lokalen Netzwerken kann diese aber eine sehr wichtige Information darstellen Alle Datenquellen sind hierbei sofern nicht anders angegeben in den Abschnitt der Datensammlung des forensischen Prozesses einzuordnen Erfassbar sind u a die aktuelle IP Adresse der verwendete Nameserver DNS Gatewayeintr ge ein eventuell verwendeter Proxyserver sowie der ARP Cache und die aktiven Netzwerkverbindungen Es werden Kommandozeilenprogramme bevorzugt da diese eine leichte Umlenkung in eine Textdatei zur dauerhaften Sicherung zu 45 Beschreibung gek rzt aus dem Hilfe und Support Center Suche regedit 46 http secunia com advisories 16560 47 http forums microsoft com msdn ShowPost aspx PostID 1009367 amp SiteID 1 48 http freshmeat net redir reglookup 58566 url_tgz reglookup 0 9 0 tar gz Leitfaden IT Forensik 99 Achtung Detaillierte Vorgehens
436. olldaten und Anwenderdaten UE Das Datenvolumen des Untersuchungsergebnisses h ngt proportional mit dem Volumen der Eingangsdaten zusammen DV Da Snort st ndig l uft treten Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht aus der Nutzung des Programms DSR Eine Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von Snort muss dieses besonders seine Regeln extern gegen Ver nderung gesch tzt werden SM Das Untersuchungsziel wird bei dem 129http www snort org docs snort_htmanuals htmanual_283 node177 html Leitfaden IT Forensik 167 Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik Einsatz des Werkzeugs nicht ver ndert SM das Untersuchungsergebnis muss wiederum extern gesch tzt werden SM Virenscanner am Beispiel der Komponente AVGuard von Antivir Bei dem AVGuard handelt es sich um einen Bestandteil des Virenscanners Antivir f r Windows basierte Computer Die Aufgabe von AV Guard ist dabei die berwachung von Dateizugriffen und das berpr fen dieser auf Schad software Derartige berpr fungen werden im Wesentlichen in folgenden Situationen durchgef hrt ffnen von Dateien Erstellen neuer Dateien auf dem Dateisystem z B bei Downloads Verschieben von Dateien auf dem Dateisystem AVGuard unterst tzt forensische Prozesse in dem es in einem dedizierten Verzeichnis einige nutzbringende Log Dateien anlegt Zun chst sei hier die Datei avgua
437. orensik sie im Rahmen der Strategischen Vorbereitung in den Systemeigenschaften unter Computerschutz aktiviert werden Einzelne Versionen werden nur zu diskreten Zeitpunkten angelegt diese Wiederherstellungspunkte werden z B automatisch einmal t glich oder beim Einspielen neuer Sicherheitsupdates erzeugt Des Weiteren k nnen sie manuell erstellt werden F r die Schattenkopien werden in der Standardeinstellung von Windows Vista bis zu 15 des Festplattenspeichers genutzt Wenn dieser Wert berschritten wird so werden die ltesten Wiederherstellungspunkte gel scht Bei Windows 7 kann dieser Wert in den Systemeigenschaften unter Computerschutz ver ndert werden Bei Windows Vista ist dies ber das Befehlszeilenprogramm vssadmin m glich VSSAdmin Volume Shadow Copy Service Hierbei handelt es sich um das Befehlszeilenprogramm zum Erstellen L schen Bearbeiten und Anzeigen von Schattenkopien Es listet die zur Auswertung m glichen Schattenkopien auf vssadmin list shadowstorage Zeigt Schattenkopien Speicherassoziationen an vssadmin list shadows for c Zeigt Informationen zu allen Schattenkopien auf c an Dar ber hinaus erm glicht vssadmin auch die Anpassung der maximalen Gr e der Schattenkopien unter Windows Vista Zudem k nnen die Schattenkopien auf einem anderen Laufwerk angelegt werden Ereignisanzeige eventvwr msc wevtutil exe Die von Windows mitprotokollierten Ereignisse haben einen neues Dateiformat
438. orm darzustellen Pr fung semantischer Konsistenz F r diesen Schritt ist eine genaue Kenntnis des untersuchten Systems notwendig Hier k nnen Manipulationen an der Systemzeit oder der Log Datei selbst dadurch festgestellt werden dass periodische Aufrufe wie beispielsweise durch regelm iges Anlegen von Backups entstehen fehlen All diese Ma nahmen zielen darauf ab die Authentizit t und Integrit t der Logs und der darin angegeben Zeiten zu berpr fen Dies ist darin begr ndet dass die hier gewonnenen Erkenntnisse nur in dem Ma e aussagekr ftig sind in dem die Authentizit t und Integrit t des Logs belegt werden kann Gerade die Zeit ist auch f r die Korrelation verschiedener Log Dateien notwendig zur Bedeutung der Zeit siehe auch Kapitel Reduktion von Daten Dieser Analyseschritt ist notwendig um die gro e Menge an gesammelten und bereits untersuchten Daten zu reduzieren Nach der Untersuchung ist es er sichtlich ob diese f r den betrachteten Vorfall relevant sind oder nicht Dadurch ist es m glich diese Daten gegebenenfalls au en vor zu lassen um so eine Kon zentration auf die wesentlichen und fallrelevanten Daten zu erm glichen Korrelation von Daten Im Bereich der Log Korrelation werden die Aussagen aus unterschiedlichen Datenquellen zusammengef gt und dabei in einen inhaltlichen Zusammenhang gesetzt Daf r gibt es einige Techniken die diesen Arbeitsschritt erleichtern um einen besseren Eindruck von dem G
439. otokoll_ anzeigen 84 Manpage von sysctl http linux die net man 8 sysctl 85 Uberblick des proc Dateisystems http linuxgazette net issue46 fink html 128 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik proc version aktuell laufende Kernel Version proc meminfo Informationen zur Speicherauslastung Diese Daten dienen im Wesentlichen der Beschreibung des untersuchten Systems Die Version des laufenden Kernels kann zudem Aufschluss ber vorhandene Sicherheitsl cken geben Kernel Konfiguration Im Kernel kann eine Option aktiviert werden die dessen Konfiguration unter proc config gz ablegt dies muss im Rahmen der strategischen Vorbereitung geschehen Die Konfiguration des Kernels beeinflusst sein Verhalten genauso wie geladene Module oder einzelne Systemeinstellungen daher ist die Erfassung dieser Konfiguration ebenfalls ratsam Extraktion von Kommunikationsprotokolldaten Zun chst sollte bekannt sein welche Netzwerkdaten relevant sind Diese sind in der Regel von der zu untersuchenden Umgebung abh ngig So ist eine MAC Adresse im Internet eher unbedeutend kann aber im lokalen Netz eine sehr wichtige Information darstellen In diesem Abschnitt werden alle Methoden aufgelistet die in verschiedenen Szenarien relevant sein k nnen und vom Kernel auch geliefert werden Alle Daten sind hierbei sofern nicht anders angegeben in den Abschnitt der Datensammlung einer forensischen Unt
440. promittiert wurde In jedem Fall sollte im Rahmen einer forensischen Untersuchung ein Datentr gerabbild gewonnen siehe Kapitel und untersucht werden Einordnung in das detaillierte Schema siehe Kapitel Das Programm chkrootkit l uft auf Desktop PCs HW Das Programm ist f r Linux erh ltlich SW Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw ein Abbild von dieser Es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO Eine Aktivierung ist nicht erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems UV Das Unter suchungs ziel sind Konfigurationsdaten Kommunikationsprotokolldaten Pro zessdaten und Sitzungsdaten UZ Die Untersuchungsaktion besteht in der Untersuchung von Dateien UA Die Untersuchungsergebnisse sind Kon figurationsdaten Kommunikationsprotokolldaten Prozessdaten und Sitzungs daten UE Das Datenvolumen des Untersuchungsergebnisses ist im Kilobyte Bereich anzusiedeln DV Wenn chrootkit offline genutzt wird treten keine Strukturwirkungen auf im Online Einsntz werden fl chtige Daten lokal ver ndert Leitfaden IT Forensik 197 Detaillierte Vorgehensweise in der IT Forensik STW Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von chrootkit muss dieses extern gegen Ver nderung gesch
441. r herstellung ist ebenso vorgesehen Einzelne Dateien k nnen in ihrer Hexadezimal repr sentation oder in der Textdarstellung ASCII Text eingesehen werden Die MAC Zeiten der einzelnen Lesezeichen k nnen zudem korreliert werden Pyflag Pyflag ist ebenfalls eine webbasierende Werkzeugsammlung zus tzlich steht mit pyflash auch eine Benutzeroberfl che f r die Textkonsole zur Verf gung Es ist in Quellen von der Homepage frei herunterladbar Es enth lt zum aktuellen Zeitpunkt jedoch noch einige Fehler dennoch sind die gebotenen Funktionen f r forensische Untersuchungen interessant Zus tzlich zur Untersuchung von Datentr gerabbildern welche wie bei Autopsy zuvor manuell gewonnen werden m ssen sind Funktionen f r die Untersuchung von Hauptspeicherabbildern sowie Netzwerkmitschnitten vorgesehen Dazu k nnen im Vorfeld erzeugte Abbilder des Hauptspeichers und Dateien im pcap Format als Netzwerkmitschnitte eingepflegt werden Pyflag bietet auch die Rekonstruktion von E Mails an die per Webmail gesendet wurden Dar ber hinaus besteht die M glichkeit HTTP Requests DNS Anfragen E Mails FTP Daten sowie IRC Verbindungen und MSN Nachrichten aus zuvor auf gezeichneten Netzwerkdatenstr men zu untersuchen Es k nnen auch gezielt einzelne Logdateien in die Untersuchung mit einbezogen werden Zudem ist die Untersuchung der Windows Registry m glich Au erdem werden diverse Logformate unterst tzt unter anderem auch Apache Logs so
442. r IT Forensik Im Normalfall werden s mtliche Log Meldungen des MySQL Dienstes an den Syslog Dienst gesendet Optional ist auch ein Logging in separate Dateien m glich jedoch muss dies vorher aktiviert werden Dazu ist der Parameter log error beim Start von MySQL anzuh ngen Dann wird eine separate Logdatei erzeugt diese ist nach dem Computernamen benannt Computername err alternativ kann ein anderer Name gew hlt werden An dieser Stelle werden somit Prozessdaten erfasst Prozesslogs k nnen dem Untersuchenden helfen Fehlfunk tionen aufzufinden welche die Verf gbarkeit siehe dazu auch die Ausf hrungen ber die Sicherheitsaspekte in Kapitel des Dienstes beeinflusst haben Diese Log Dateien m ssen in der Strategischen Vorbereitung aktiviert werden In der Datensammlung k nnen diese Daten standardm ig aus dem Verzeich nis var log mysql gesichert werden W hrend der Datenuntersuchung k nnen diese Daten dann mit klassischen Methoden der Logdateienuntersuchung siehe dazu auch Kapitel ausgewertet werden Einordnung in das detaillierte Schema siehe Kapitel MySQL l uft auf festinstallierten Computern HW Das Programm ist Teil vieler Linux Distibutionen aber auch f r Microsoft Windows erh ltlich SW Der Untersuchungsort ist lokal auf festinstallierten Datentr gern UO F r die MySQL Prozesslogs ist bei der Debian Standardinstallation keine Aktivierung erforderlich AE das Logziel ist hier jedoch Sysl
443. r dann ver ndert wenn mindestens eine Stunde seit dem letzten Zugriff vergangen ist Ges08 Bei Microsoft Windows Vista ist zudem die Aktualisierung der Zeit des letzten Zugriffszeit in der Standardeinstellung deaktiviert Diese l sst sich leicht durch das Ver ndern eines Registrierungsschl ssels wieder aktivieren Sollen die 95 Hierbei kommt eine B Baum Speicherstruktur zum Einsatz 96 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem NtfsDisableLastAccessUpdate 0 136 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik letzten Zugriffszeiten im Rahmen einer Untersuchung verf gbar sein ist also eine strategische Vorbereitung notwendig Dieser Schritt wird empfohlen Die Zeit der Erstellung kennzeichnet wann eine Datei neu erstellt wurde oder auf ein neues Medium kopiert wurde Eine Verschiebung innerhalb einer Partition hingegen ndert nur die Zeit des letzten Zugriffs Der interne Aufbau der Zeitstempel ist u a in Bun06 beschrieben Verwaltung von Attributen Die MFT speichert in den Header Daten auch die Attribute von Dateien Diese k nnen die folgenden sein e Geratedatei komprimiert e nicht indiziert e normal e offline Reparse Punkt e schreibgesch tzt Sparse Systemdatei e tempor re Datei e verschl sselt e versteckt Verzeichnis e zu archivieren Diese Attribute werden vom Betriebssystem ausgewertet So wird z B eine Datei we
444. ramms dir Befehl dir R zu identifizieren Der Mechanismus der alternativen Datenstr me wird detailliert in dem Kapitel ber das Dateisystem NTFS beschrieben Dadurch kann ermittelt werden ob im ADS einer Datei zus tzlichen Daten versteckt wurden icacls Icacls dient zur Verwaltung und Anzeige von Zugriffs Berechtigungen f r Dateien und Ordner Seit Windows Vista ist dies zus tzlich zum von Windows XP bekannten Werkzeug cacls Teil der Standard Installation icacls c windows save ACL Datei T Speichert die ACLs fiir alle Dateien unter C Windows und in den dazugeh rigen Unterverzeichnissen in der Datei ACL Datei Diese Exportfunktion dient dem Wiederherstellen der ACLs Ohne den Parameter save werden die ACLs f r die Datei ausgegeben Die Ausgabe des Programms entspricht weitgehend der von cacls In der Abbildung 25 sind die Unterschiede deutlich zu erkennen 75 Hilfe der Eingabeaufforderung von Windows Vista Windows Server 2008 116 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik C Windows gt cacls write exe C Windows write exe NT SERUICENTrustedInstaller F VORDEFINIERT Administratoren R NT AUTORITATNSYSTEM R VORDEFINIERT Benutzer R C Windows gt icacls write exe write exe NT SERVICE TrustedInstaller F gt VORDEFINIERT Administratoren CRR gt NT AUTORITAT SYSTEM CRED VORDEFINIERT Benutzer CHRN3 1 Dateien erfolgreich verarbeitet bei Dateien ist ein Verarbeitungsfehler
445. raus ist ersichtlich dass die Gewinnung eines forensischen Datentragers in den Abschnitt der Untersuchung im Modell des forensischen Prozesses einzuordnen ist Die Datenarten betreffen bez glich der Eingabe Rohdateninhalte Die Ausgabedaten k nnen Anwenderdaten und Systemkonfigurationsdaten sein Dabei wird das forensische Werkzeug scalpel der grundlegenden Methode der Datenbearbeitung und Auswertung zugeordnet 248 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Vorfallsorientierte Basisszenarien In diesem Kapitel sollen zwei wichtige T tigkeiten im Zusammenhang mit der Vorfallsaufkl rung vorgestellt werden welche h ufig im Zusammenhang mit absichtlichen Angriffen auf Computersysteme stehen Ein weiteres drittes Basisszenario beschreibt den Einsatz von forensischen Techniken zur Bearbeitung einer Supportanfrage Hier soll verdeutlicht werden dass dieselben Techniken zur Aufkl rung von mutwillig herbeigef hrten Vorf llen auch zur Aufkl rung von Fehlbedienungen und Hardware bzw Softwarefehlern eingesetzt werden kann Die hier beschriebenen T tigkeitsabl ufe bilden einen Baustein f r die Abarbeitung von Komplexszenarien Diese werden im Anschluss im Kapitel ausf hrlich beschrieben Basisszenario Systemzeit Linux Im Rahmen des Vorfalls wurde zur Verschleierung der Loginzeiten die Systemzeit vorgestellt Mit einem Abgleich der Systemzeit und der RTC Zeit siehe dazu auch Kapitel sowie der lokale
446. rbeitsspeicher eingelesen zu werden siehe dazu auch Ges08 und Bun06 Dadurch wird ein Teil des eigentlich fl chtigen Arbeitsspeichers auf einen nichtfl chtigen Datentr ger geschrieben Im Swap k nnen sich forensisch wertvolle Informationen beispielsweise benutzte Passw rter befinden so dass dieser unbedingt in eine forensische Untersuchung einbezogen werden sollte Einige Betriebssysteme bieten jedoch eine Verschl sselung des Swap an welche eine Untersuchung stark beeintr chtigen k nnte Viele vor allem mobile Computer bieten die M glichkeit den fast vollst ndigen Inhalt des Arbeitsspeichers in eine spezielle Datei bzw Partition betriebs systemabh ngig zu schreiben auch bekannt als suspend to disc Diese Ma nahme dient dazu den Computer in einen stromsparenden Ruhezustand engl Hibernation zu versetzen Damit werden die Startzeiten reduziert und die Fortsetzung der Abarbeitung vor dem Ruhezustand erm glicht Forensisch interessant ist der Inhalt der Hibernation Datei bzw Partition da sie den fast vollst ndigen Inhalt des Arbeitsspeichers des Systems vor der Aktivierung des Ruhezustands unverschl sselt enth lt siehe dazu auch Ruf07 Ein derartiges System sollte auf keinen Fall ohne vorherige forensische Abbilderstellung siehe dazu Kapitel der Datentr ger wieder zur ck in den Betriebszustand versetzt werden da ansonsten potentiell forensisch wertvolle Daten berschrieben werden F r den weiteren Verlauf d
447. rbereitung DS X Datensammlung US X Untersuchung DA X Datenanlayse DO X Dokumentation Tabelle 11 Grobeinteilung der grundlegenden Methode Datenbearbeitung und Auswertung DBA Es ist ersichtlich dass die ausgew hlten Methoden im Bereich der Daten sammlung der Untersuchung der Datenanalyse und der Dokumentation im forensischen Prozess im Sinne des vorgestellten Modells arbeiten Im Kapitel werden exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode DBA vorgestellt Forensisch bedeutende Datenarten In diesem Kapitel werden zun chst die forensisch bedeutenden Datenarten in einem Computersystem vorgestellt Das Ziel dieser Einteilung ist eine strukturierte Modellierung forensisch wertvoller Daten Die an dieser Stelle vorgenommene Aufteilung in acht Datenarten wird im weiteren Verlauf konsequent eingesetzt Um die datenzentrierte Sichtweise zu erreichen werden die sechs vorgestellten grundlegenden Methoden nun auf ihren potentiellen Datengehalt untersucht und klassifiziert Um diese Einteilung vornehmen zu k nnen werden folgende grundlegenden Festlegungen ber Daten und Systeme getroffen Daten S mtliche Bitfolgen in IT Systemen sind Daten erst durch deren Interpretation durch den Menschen ggf unter Zuhilfenahme von forensischen Werkzeugen werden daraus Informationen gewonnen System Ein System in besteht aus Teilkomponenten der Bereiche Hardware B
448. rch das eingesetzte Betriebssystem BS auf dem IT System Nachfolgend wird betrachtet welche Mechanismen das eingesetzte Dateisystem FS zur Aufkl rung eines Vorfalls bietet Diese beiden grundlegenden Methoden sind insbesondere deshalb bedeutsam da sie die Grenzen f r den Erfolg einer forensischen Untersuchung abstecken wenn seitens des Betreibers der IT Anlage keine oder nur eine eingeschr nkte strategische Vorbereitung stattfand Die n chste grundlegende Methode welche u a Werkzeuge aus der strategischen Vorbereitung aufnehmen soll ist die der expliziten Ma nahmen zur Einbruchs erkennung EME Ein Beispiel daf r ist der Einsatz eines Intrusion Detection Systems IDS Die M glichkeiten der Unterst tzung des forensischen Prozesses welche sich durch die Eigenschaften einer verwendeten Anwendungssoftware ergeben werden in der grundlegenden Methode IT Anwendung ITA einsortiert Um die Methoden zu erfassen welche die Aufkl rung eines Vorfalls weiter verbessern k nnen wurde die grundlegende Methode Skalierung der Beweism glichkeiten SB geschaffen In die grundlegende Methode der Datenbearbeitung und Auswertung DBA werden die Werkzeuge einsortiert welche in der Lage sind eine forensische Untersuchung unter anderem im Leitfaden IT Forensik 65 Detaillierte Vorgehensweise in der IT Forensik Abschnitt der Untersuchung der Datenanalyse und der Dokumentation zu unterst tzen Wendet man die auf Abschnitte basiere
449. rd log genannt die von AVGuard selbst angelegt wird Hier finden sich Informationen dar ber zu welchen Zeitpunkten AVGuard aktiv war und welche Suchheuristiken verwendet wurden Des Weiteren werden Funde von Schadsoftware und die vom AVGuard durchgef hrten Aktionen protokolliert Wenn AVGuard beendet wird legt dieser einen weiteren Eintrag in seiner Protokolldatei ab In dem benannten Verzeichnis befinden sich die Protokolldateien des Update Prozesses die wichtige Informa tionen ber die Aktualit t der verwendeten Suchheuristiken und Schadsoftware definitionen beinhalten Im Modell des forensischen Prozesses im vorliegenden Leitfaden ist AVGuard in den Abschnitt der Datensammlung einzuordnen Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug AVGuard handelt es sich um eine explizite Methode der Einbruchserkennung die auf einem fest installierten Computer HW eingesetzt wird Es ist lauff hig unter Windows SW und l uft lokal auf dem zu untersuchenden System UO Eine Aktivierung ist erforderlich AE Dieses Werkzeug setzt voraus dass das System technisch funktionsf hig ist UV AVGuard wertet Rohdaten aus UZ analysiert UA diese und speichert die Ergebnisse der Analyse UE Das Datenvolumen ist hierbei im Kilobyte Bereich angesiedelt DV Eine Verwendung von AVGuard auf einem laufenden System ver ndert fl chtige Daten STW Datenschutzrechtlich ist die Funktionalit t nicht bedenklich DSR
450. rden Hierbei handelt es sich um einen abgeleiteten Schl ssel welcher von einer Verbindung zum SID des HKEY Users abh ngig ist e HKEY CURRENT CONFIG wird u a gebraucht um das derzeitige Hardwarekonfigurationsprofil zu erstellen Hierbei handelt es sich um einen abgeleiteten Schl ssel welcher von mehreren Eintr gen in HKEY LOCAL MACHINE abh ngig ist e HKEY LOCAL MACHINE wird u a verwendet um die computer spezifischen Einstellungen zu vermerken Die Einstellungen betreffen den Computer und alle darauf zugelassenen Nutzer Dieser Schl ssel ist ein Masterschl ssel und nicht von anderen abgeleitet HKEY USERS wird u a eingesetzt um die Umgebungseinstellungen fiir Konsolennutzer und andere Nutzer welche sich am System angemeldet haben zu speichern Auch dieser Schliissel ist ein Masterschliissel Bereits aus dieser Auflistung mit den Abh ngigkeiten erkennt man eine Redundanz der in der Registry gespeicherten Daten Um die fl chtigen Daten der Registry zu sichern bietet es sich an den im Windows basierten System integrierten Registrierungseditor Regedit siehe Kapitel zu verwenden Jedoch wird eine Speicherung im lokalen Dateisystem dieses zwansl ufig ver ndern Aber auch eine Einbindung eines externen Massen speichers beispielsweise ein USB Stick wird Werte in der Registry ver ndern Deshalb gilt insbesondere bei der Sicherung der fl chtigen Daten der Registry die in Kapitel vorgestellte Abw gungsproblematik
451. re com 182Die Herstellerseite ist http www x ways net forensics 214 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik als EnCase liefert es jedoch f r wichtige Dateitypen integrierte Betrachtungs routinen mit Zudem werden die Untersuchungsaktionen feingranularer pro tokolliert Dies geht soweit dass die Auswahl bestimmter Men elemente aufgezeichnet wird Zudem wird von komplexeren Dialogen ein Screenshot erstellt welcher wiederum im Protokoll erscheint Die forensische Untersuchung beginnt dabei analog zur forensischen Werkzeugsammlung EnCase Nachdem ein Fall erstellt wurde k nnen Datentr ger und Abbilder davon hinzugef gt werden Auch das Erstellen von Datentr gerabbildern ist m glich dabei wird jedoch kein Hashwert berechnet dies muss im Anschluss manuell gemacht werden Daher ist der Einsatz eines Hardware Writeblockers dringend anzuraten Eine zeitaufw ndige Verifikation der Dateisignaturen ist bei X Ways Forensics nicht n tig Bei der Auswahl einer Datei wird diese analysiert und deren Klassifikation gegebenenfalls aktualisiert X Ways bietet die M glichkeit die aus der Dateisystemanalyse gewonnenen Zeiten anhand einer Zeitlinie darzustellen So kann eingesehen werden welche Daten eines Datentr gers in einem vorher ausgew hlten Zeitraum ver ndert wurden Es gibt zudem die M glichkeit direkt auf den Hauptspeicher des Systems zuzugreifen auf dem X Ways Forensics l uft Dadurch kann der Speicher
452. reate und die Modifikationszeit Modify sind hier als Zeit und Datum abgelegt Die Zeit des letzten Zugriffs Access wird aber nur mit einem Datumsstempel gespeichert d h es ist keine Information ber die Uhrzeit dieses Zugriffs auslesbar Verwaltung der Attribute Ebenfalls in einem FAT Eintrag ist das Attribut zu einer Datei bzw einem Verzeichnis hinterlegt Dieses kann folgende Werte enthalten siehe dazu Bun06 e nur lesbar e versteckt System Datentragerbezeichnung langer Dateiname Verzeichnis Archiv Forensisch interessant ist dabei besonders das versteckt engl hidden Attribut Mit diesem wird die Datei nicht in normalen Dateiauflistungen bsp durch das 108 http www sleuthkit org sleuthkit 148 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Kommando DIR erscheinen Hierf r sollten geeignete andere Werkzeuge wie beispielsweise alle Dateisystembrowser der in Kapitel vorgestellten Werkzeugsammlungen verwendet werden Die FAT kann von einer Vielzahl von forensischen Werkzeugen interpretiert und gelesen werden Beispielhaft sei hier die forensische Werkzeugsammlung Sleuthkit genannt Auch die Programme Recuva Restoration und Undelete Plus verf gen ber die Eigenschaft gel schte Dateien wieder herzustellen Jedoch hat sich in Tests gezeigt siehe FHBa08 dass die Dateiwiederherstellung nicht immer korrekt durchgef hrt wurde Di
453. reibt ob die Untersuchung lokal oder entfernt auf dem Gesamtsystem oder auf Teilkomponenten erfolgt AE mit dieser Eigenschaften wird vermerkt ob f r das forensische Werkzeug eine Installation bzw eine Aktivierung erfolgen muss e UA hier wird die Untersuchungsaktion des forensischen Werkzeugs festgehalten e UZ hier wird das Untersuchungsziel dokumentiert d h auf welchen Daten das Werkzeug eingesetzt wird e UV dieser Eintrag enth lt Vorraussetzungen zum gewinnbringenden Einsatz des forensischen Werkzeugs UE hier wird das Untersuchungsergebnis des Einsatzes des Werkzeugs festgehalten DSR fallen beim Einsatz des Werkzeugs datenschutzrelevante Daten an wird das in dieser Eigenschaft vermerkt OSI arbeitet das forensische Werkzeug auf Netzwerkdaten wird hier die Netzwerkschicht angegeben e STW hier wird die Strukturwirkung des Werkzeugs festgehalten d h die durch dessen Einsatz ver nderten weiteren M glichkeiten der forensischen Untersuchung insbesondere bzgl ver nderter Daten DV hier erfolgt eine Absch tzung des durch den Einsatz des Werkzeuges zu erwartenden Datenvolumens sowohl auf Datentr gern als auch in Netzwerken 92 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik e BK hier wird qualitativ die Beweiskraft eingesch tzt welche die durch den Werkzeugeinsatz erhobenen Daten haben e SM hier werden evtl notwendige Schutzma nahmen sowohl der Ein gangs
454. ren Ordners zur Ablage der extrahierten Dateien um eine Vermischung mehrerer Untersuchungsergebnisse zu vermeiden Neben Scalpel stehen u a auch noch Foremost und MagicRescue sowie RevIT zum freien Download Auf der Windowsplattform existiert neben einer Portierung von Scalpel ebenfalls verschiedene kostenfreie Programme wie z B das Pro gramm PhotoRec Umfangreiche Versuche u a in FHB08 zeigten dass die Programme sehr unterschiedliche Wiederherstellungserfolge hatten Dies ist ma geblich abh ngig von der Konfiguration der Programme Der Gewinn an Daten h ngt in einem hohen Ma von der geschickten Auswahl an Datentypen und damit von einer geeigneten Best ckung der Konfigurationsdatei mit Header und Footerdaten ab Werden zu viele potentielle Datentypen aus gew hlt beispielsweise aus Unkenntnis welcher explizite Datentyp zur Aufkl rung eines Vorfalls ben tigt wird erh hen sich sowohl der Zeitbedarf als auch der Speicherplatzbedarf auf dem Zieldatentr ger erheblich Werden jedoch zu wenig Datentypen ausgew hlt k nnen evtl wichtige Dateninhalte bersehen werden Eine typische Definition eines Dateityps in der Konfigurationsdatei ist folgende jpg y 200000000 xffixd8 xff xe0 x00 x10 tfc Hier wird ein Dateityp mit der Endung jpg definiert Das y steht daf r dass bei Header und Footer die Gro und Kleinschreibung beachtet werden muss Darauf folgt die Angabe der maximalen Dateigr sse nach dieser wird die Suche
455. rennt osi4 zl uv3 Spannungsversorgung wurde nicht unterbrochen la 314 Leitfaden IT Forensik Anhang A uva Caching aktiviert uvs Computersystem ist technisch funktionsf hig uve Systemzugang Administrator uv7 Systemzugang Nutzer Untersuchungsziel UZ uz1 Hardwaredaten UZ2 Rohdaten uz3 Details ber Daten uz4 Konfigurationsdaten uzs Netzwerkdaten uZs Prozessdaten uzz Sitzungsdaten uzs Anwenderdaten A Ga be H 2 Untersuchungsaktion UA ua Offline Ua 14 Speichern ua Image Festplatte la ua 1 2 Image Flash la Ua1 1 3 Image EEPROM la ua 2 Extrahieren ua1 3 Untersuchung ua14 Analyse ua15 Dokumentation uaz online Ua21 Speichern Ua21 1 Hauptspeicher zu Zeitpunkt x la Ua2 1 2 Aktive Netzwerkkonfiguration Route osis IP osis Gatewaylosis DNS osi7 Proxy osiv Ua2 1 3 Aktive Netzwerkverbindungen Port osis Dienst haupts chlich osi7 Ua21 4 Logdaten auf Speichermedium uaz21 Cachedateien auf Speichermedium Ua22 Extrahieren Ua23 Untersuchung ua2 Analyse Ua25 Dokumentation Untersuchungsergebnis UE ue Hardwaredaten uez Rohdateninhalte ues Details ber Daten ue Konfigurationsdaten ues Netzwerkdaten Leitfaden IT Forensik 315 Anhang A ues Prozessdaten uez Sitzungsdaten ues Anwendungsdaten Datenvolumen DV dv Variabel proportionaler Zusammenhang dv2 Konstant feste Gr e obere Schranke dv21 Kilobyte Bereich dv22 Megabyt
456. rensik 307 Literaturliste Security S 243 257 Springer Verlag ISBN 978 3 540 8986 1 0 Zeh08 Zehner Marcel Windows Vista Security Hanser Fachbuchverlag ISBN 3 44641 356 1 2008 Zim80 Zimmermann Hubert OSI Reference Model The ISO Model of Architecture for Open Systems Interconnection IEEE Transactions on Communications 1980 308 Leitfaden IT Forensik Literaturliste Anhang A Im ersten Teil des Anhangs werden zun chst exemplarisch 12 ausgew hlte forensische Methoden und deren Einordnung in das Verlaufsmodell und die Einteilung in grundlegende Methoden als Basis zur angestrebten Erweiterung der Liste von forensischen Methoden und ihres Einsatzes vorgestellt Nachfolgend wird eine detaillierte Beschreibung und eine Anleitung zur Konstruktion des digitalen Fahrtenschreibers aus Kapitel gegeben Der in Kapitel in seinen Eigenschaften vorgestellte Logserver wird zusammen mit exemplarischen Klienten in seiner Einrichtung beschrieben Anhang A1 Forensische Methoden im Detail Das Ziel des Leitfadens ist es insbesondere den Leser zu motivieren sich einen eigenen forensischen Werkzeugkatalog anzufertigen um damit auf Ver nderungen im Hard und Softwareangebot bzw der Systemanforderungen flexibel reagieren zu k nnen und unabh ngig von bestimmten Produkten zu sein Dazu wurde im Rahmen dieses Leitfadens im Kapitel eine Eigenschaftsliste entwickelt Damit ist eine Klassifizierung von forensischer Software m gli
457. ressed reduced resolution image Dieses sollte unbedingt eingesehen werden da es m glich sein kann dass ein Bild manipuliert wurde das Vorschaubild jedoch unver ndert bleibt Es muss angemerkt werden dass die in den Digitalfotos enthaltenen Daten keinen Schutz gegen absichtliche Manipulation enthalten Die Sicherheitsaspekte der Integrit t und Authentizit t siehe dazu auch Kapitel sind durch das EXIF Datenfeld keineswegs gesichert Das Kommandozeilen Programm exifprobe kann die EXIF Daten lesen aber auch modifizieren Des Weiteren kann die Datums und Uhrzeiteinstellung schon in der Kamera bewusst oder unbewusst falsch gesetzt worden sein Daraus ist ersichtlich dass EXIF Daten nur eine sehr geringe Beweiskrafttendenz BK siehe Kapitel aufweisen Um jedoch zumindest die Authentizit t und Integrit t w hrend und nach dem Auslesevorgang nachweisen zu k nnen sollte mittels des script Kommandos der Aufruf dokumentiert werden und sowohl dessen Ausgaben als auch die Ergebnisdatei des exiftool Werkzeugs kryptographisch beispielsweise unter Einsatz des MD5Deep Werkzeugs abgesichert werden Einordnung in das detaillierte Schema siehe Kapitel exifprobe l uft auf Desktop PCs HW Das Programm ist f r Linux erh ltlich SW Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw ein Abbild von dieser Es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO Eine
458. rfall zuerst bemerkt und es wird deutlich dass eine forensische Untersuchung notwendig wird Ein wichtiger Teil dieses Untersuchungsabschnitts ist die prozessbegleitende Dokumentation siehe Kapitel Das Symptom sollte angemessen dokumentiert werden zusammen mit allen Rahmenbedingungen zum Zeitpunkt des Auftretens des Symptoms Operationale Vorbereitung Mit der operationalen Vorbereitung beginnt die eigentliche Untersuchung Sie bezeichnet den Zeitpunkt in dem eine erste Bestandsaufnahme stattfindet Dabei wird der Rahmen der forensischen Untersuchung festgestellt Dies geschieht in dem eine bersicht ber das m glicherweise betroffene Netzwerk und der darin verf gbaren Datenquellen erstellt wird Dazu geh ren insbesondere jene die durch eine strategische Vorbereitung erm glicht wurden Dieser Punkt zeigt dass eine gr ndliche Dokumentation bereits im Vorfeld eines Vorfalls hier eine Menge Leitfaden IT Forensik 87 Detaillierte Vorgehensweise in der IT Forensik Arbeit sparen kann Nachdem analog zum ITIL Prozess die Frage gekl rt wurde siehe dazu Kapitel was gesichert werden kann ist es wichtig sich der Frage was gesichert werden soll anzunehmen Hierf r wird aus dem Symptom ein Anfangsverdacht vorgegeben Aus den M glichkeiten und der Vorauswahl an potentiell interessanten Daten ergibt sich so eine Liste forensischer Datenarten die gesichert werden sollen Weiterhin werden hier auch die Parameter f r diese Datensic
459. rgang einen l ngeren Zeitraum ben tigen Eine erfolgreiche Analyse hat eine Ausgabe zur Folge welche beispielhaft in der Abbildung 81 dargestellt ist G Case nutzdatenauswertung Tree View EI nei Weeer Abb 81 Die Verzeichnisstruktur von PyFlag Durch die Auswahl des Men punkts Network Forensics kann der Inhalt der geladenen pcap Datei und damit des Netzwerkmitschnitts nun untersucht werden Unter dem Eintrag View Connections sind die einzelnen identifizierten Verbindungen zu finden siehe dazu die nachfolgende Abbildung 82 332 Leitfaden IT Forensik Anhang A VE EE BE E P D i gt E RA RE z Hei Case nutzdatenauswertung E g O mmettissz1g WO 2008 08 20 19 27 09 192 168 1 14 80 E 192 168 3 200 51982 H H O inetuiss711 E 20080820 19 27 09 192 168 8 200 s1982 192 168 1 14 80 S O Q me ssr10 2008 08 20 19 26 54 192 168 3 200 8823 E 192 168 1 14 3124 3124 192 168 3 200 8823 80 192 168 3 200 51981 51981 192 168 1 14 80 34733 192 168 1 14 80 Abb 82 TE der festgestellten Netzwerkverbindungen Alternativ k nnen unter Ausnutzung des virtuellen Verzeichnisbaums die Verbindungen anhand des Datums der Kommunikationspartner sowie der verwendeten Ports sortiert ausgegeben werden siehe Abbildung 83 Case nutzdatenauswertung FH streams E 2008 08 22 192 168 1 111 213 199 1
460. rh ltlich SW Der Untersuchungsort ist lokal oder entfernt auf dem zu untersuchenden System einer Festplatte einen Wechseldatentr ger oder auf Teilkomponenten des zu untersuchenden Systems UO Es arbeitet auf OSI Schicht 7 OSI Eine Aktivierung ist nicht erforderlich AE Die Voraussetzung f r die erfolgreiche Analyse ist das eingeschaltete Logging dass die Spannungsversorgung nicht unterbrochen wurde dass das untersuchte Computer system technisch funktionsf hig ist und das ein Systemzugang Administrator existiert UV Das Untersuchungsziel sind Sitzungs Prozess und Anwender daten UZ Die Untersuchungsaktion ist die offline Untersuchung des Betriebs systems UA Das Untersuchungsergebnis Sitzungs Prozess und Anwender daten UE Die Untersuchung findet im Application Layer statt OSI Das erwartete Datenvolumen h ngt von den Eingabedaten und dem verwendetet SELECT Befehl ab und ist daher mit variabel zu definieren DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nicht fl chtige Daten ver ndert werden STW Weiterhin sind Wirkungen auf die Untersuchungsvoraussetzungen auf das Untersuchungsergebnis und auf die Datenschutzrelevanz im forensischen Prozess zu erwarten Strukturwirkungen werden auch auf die forensischen Abschnitte der Strategischen Vorbereitung und Datensammlung angenommen Das Ergebnis der Untersuchung ist datenschutz rechtlich relevant DSR Eine Beweiskrafttendenz ist
461. rieben und Zeitstempel ver ndert Der Vorteil von Live View besteht darin dass einige Werkzeuge der grundlegenden Methoden zur Skalierung von Beweism glichkeiten SB siehe Kapitel auf ein Datentr gerabbild angewendet werden k nnen Somit k nnen Daten die nur schwer mit den grundlegenden Methoden zur Datenbearbeitung und Auswertung ausgewertet werden k nnen ohne Beeinflussung des darunterliegenden Datentr gerabbildes untersucht werden Da die virtuelle Maschine jedoch nur aus dem Abbild der Massenspeicher erstellt wird sind fl chtige Daten auf diesem Wege nicht zu rekonstruieren Dar ber hinaus werden s mtliche Netzwerkkarten entfernt somit kann deren Konfiguration nicht rekonstruiert werden Infolge dessen kann es auch zu Problemen beim Start einzelner Dienste kommen Dennoch gibt es Szenarien in denen der Einsatz von Live View lohnenswert ist Dies ist beispielsweise der Fall wenn Dienste mit unbekanntem propriet rem Datenformat eingesetzt werden In derartigen F llen kann Live View deutlich die Auswertung deutlich beschleunigen Als Beispiel ist hier die Auswertung der Daten des Active Directory mit LDP zu nennen hier ist ein Zugriff auf die Datenbank im gestarteten Zustand mittels dieses Werkzeuges m glich siehe Kapitel Datengewinnung aus Netzkoppelelementen Viele Vorf lle hinterlassen Spuren nicht nur an den betroffenen Computer systemen sondern in Abschnitten oder sogar im gesamten Netzwerk H ufig ist beispielswei
462. rnals kann man keine Aussage 123 Die Hauptspeicheranalyse liegt au erhalb des vorliegenden Leitfadens es wird auf weiterf hrende Literatur u a Ges08 verwiesen 124 http www sleuthkit org sleuthkit man icat html 125 http defldd sourceforge net 160 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik ber die Integrit t der Daten treffen Sie k nnten von vor den Schreibvorgang von danach oder g nzlich inkonsistent sein Es ist wichtig darauf hinzuweisen dass selbst bei einem Mounten mit der Option read only nicht immer sichergestellt ist dass das Betriebssystem die im Journal angef hrten nderungen nicht noch durchf hrt Hier hilft es das Datentr gerab bild Image mit dem immutable Bit zu markieren oder f r hardwareseitigen Schreibschutz zu sorgen Das Journaling kann im Rahmen einer forensischen Untersuchung dazu beitragen die zum Zeitpunkt eines Hardware Resets oder einer Trennung des laufenden Computersystems von der Spannungsversorgung nicht vollst ndig abge schlossenen Dateimanipulationen zu ermitteln Weiterhin ist eine MAC Zeitanalyse und in einigen F llen auch die Wieder herstellung gel schter Dateien mit Hilfe des Journals m glich siehe dazu Hei09 Daher wird die Aktivierung des Journals nicht nur aus Gr nden der Datenkonsistenz empfohlen EXT3 cow Bei EXT3 cow copy on write handelt es sich um eine frei verf gbare Erweiterung f r das EXT3 Dateisystem die M
463. rotokolldaten Prozessdaten Untersuchung Rohdaten Kommunikations protokolldaten Prozessdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 68 Ma nahmen der Untersuchung F r die Untersuchung wurde die forensische Werkzeugsammlung Autopsy siehe dazu Kapitel verwendet Durch eine einfache Suche nach allen Dateinamen die den Ausdruck Torrent beinhalteten gelang es bereits herauszufinden dass es sich bei der gesuchten Filesharingsoftware um uTorrent handelt Dieser Arbeitsschritt ist in Abbildung 69 dargestellt rir C Dokumente und Einstellungen me Anwendungsdaten uTorrent debian 40r3 i386 CD 1 is r r C Dekumente und Einstellungen me Anwendungsdaten uTorrent Hy CAM XviD PLUBE 2008 torrent r r C Dokumente und Einstellungen me Anwendungsdaten uTorrent TZ IS XviD Dual ITL2 0 torre Abb 69 Suche nach Spuren von Torrent Dateien mit Autopsy auf dem gesamten Festplattenabbild Nach einer kurzen Internetrecherche war es m glich das Arbeitsverzeichnis von UTorrent ausfindig zu machen und dieses zu berpr fen In diesem Verzeichnis lagen Arbeitskopien der Torrent Dateien nach dem der Verursacher die urspr ng
464. rpflichtet werden Auch bei einer beh rdlichen Ermittlung wird der Datenschutz nicht automatisch au er Kraft gesetzt Den Beh rden geben Gesetze die Erm chtigung auch Informationen zu sammeln zu denen sie daten schutzrechtlich keinen Zugang h tten Diese Informationen d rfen jedoch zu keinem Zeitpunkt die bearbeitende Beh rde verlassen Sie m ssen den g ltigen Regeln entsprechend erhoben gespeichert genutzt und bermittelt bzw transportiert werden Es m ssen demzufolge auf der Umsetzungsebene Regelungen f r die Erhebung e die Speicherung die Verarbeitung und Nutzung die bermittlung die Berichtigung L schung und Sperrung Benachrichtigungs und Auskunftspflichten die Kontrolle sowie Haftungs und Strafvorschriften getroffen und durchgesetzt werden Dies betrifft nicht nur den Einsatz technischer Mittel sondern bedingt auch organisatorische Ma nahmen siehe dazu auch M0006 und Sch07 Ein besondere Beachtung im Rahmen des Dateschutzes genie en E Mails da hier zus tzlich zum Datenschutz auch das Fern meldegeheimnis greift E Mails d rfen daher durch den Anlagenbetreiber nicht oder nur unter sehr klar definierten Umst nden z B bei Mitarbeitern welche nicht ansprechbar oder verstorben sind abgerufen und eingesehen werden Die g ltige Rechtslage muss in jedem Fall beachtet werden In Obe08 werden detaillierte Informationen zu dieser Thematik gegeben Eine umfassende Darstellung g ltigen Rech
465. rs angeschlossen wurde oder eine forensische 205 http www vidstrom net stools taft 236 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Softwareumgebung auf dem zu untersuchenden Computer gestartet wurde ebenfalls unter Verwendung eines Writeblockers kann nun die Erstellung des forensischen Abbildes erfolgen Hierzu kann beispielsweise das forensische Werkzeug dcfldd eingesetzt werden welches auch in der forensischen Umgebung Helix auf Basis einer bootf higen Linux Live CD enthalten ist Ein anderes Werkzeug welches einen vergleichbaren Funktionsumfang bietet ist beispielsweise das Werkzeug LinEn welches Datentr gerabbilder zur Verwendung im forensischen Programmpaket EnCase erzeugen kann Vom Hersteller der forensischen Werkzeugsammlung X Ways Forensics wird das DOS basierte Werkzeug X Ways Replica angeboten welches auch verdeckte Datenbereiche in Form eines HPA erfassen kann Das Werkzeug dcfldd erm glicht die Erstellung eines forensischen Duplikates eines Datentr gers bei gleichzeitiger Erzeugung einer kryptographischen Hashsumme Damit l sst sich nachweisen dass die Integrit t der erzeugten Imagedatei nicht ver ndert wurde wenn eine Hashsumme ber den an geschlossenen Datentr ger identisch mit der Hashsumme des Abbildes ist Zum Erzeugen des Abbildes wird der Datentr ger an den untersuchenden Computer vorzugsweise unter Einsatz eines Hardware Writ
466. rt werden Die Relative ID RID dessen ist immer 500 Mit dem Befehlszeilenprogramm wmic Befehl wmic useraccount get Caption Name SID Value kann die SID ausgegeben werden Sollten Anwendungen die mit den Standardbenutzerrechten ausgef hrt werden Operationen wegen mangelnder Berechtigungen nicht vollst ndig ausf hren k nnen z B die nderung einer Programmdatei werden diese in virtuelle Verzeichnisse umgeleitet Virtual Store Die nderungen werden in diesem Verzeichnis gespeichert und die Originaldateien bleiben unversehrt Folgende Bereiche werden dahingehend berwacht C ProgramFiles C ProgramData C Windows Registrierungsdatenbank HKLM Software Orte der Umleitungen C Benutzer lt Benutzername gt AppData Local VirtualStore HKCU Software Classes VirtualStore Anmerkung Um die folgenden vorgestellten Anwendungen in ihrem vollen Umfang nutzen zu k nnen sollten sie mit administrativen Rechten oder aus einer mit administrativen Rechten gestarteten Eingabeaufforderung aufgerufen werden 71 Die Benutzerkontensteuerung ist beim Windows Server 2008 zwar aktiviert jedoch ist das Administratorkonto nicht deaktiviert und weiterhin der Standardbenutzer nach der Installation 112 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Neue Pfade Einige Standardpfade wurden mit der Einf hrung von Microsoft Windows Vista und Microsoft Server 2008 ver ndert Die nachfolgende Tabelle 15 zeigt ein
467. rtet werden Dabei muss der bei der Untersuchung jedoch der gesetzlich vorgeschriebene Datenschutz eingehalten werden Insbesondere bei der Nutzdatenanalyse gilt zus tzlich noch das Fernmeldegeheimnis siehe dazu auch Obe08 S mtliche 196 http www tcpdump org documentation Leitfaden IT Forensik 227 Detaillierte Vorgehensweise in der IT Forensik Untersuchungen sind deshalb im Vorfeld als Teil der strategischen Vorbreitung mit der aktuell g ltigen Rechtslage abzustimmen Untersuchung von Verbindungsdaten in einem Netzwerkstrommitschnitt Der Untersuchung der Verbindungsdaten sollte im Rahmen einer forensischen Untersuchung auf Basis eines Netzwerkmitschnitts wie im Kapitel beschrieben der Vorzug gegeben werden Dies liegt darin begr ndet dass bei dieser Untersuchung mit den IP Adressen nur in eingeschr nktem Umfang personenbezogene Daten entstehen Der eigentliche Inhalt der Kommunikation bleibt verborgen Auf jeden Fall sind geltende Gesetze und Bestimmungen im Rahmen der Untersuchung einzuhalten Durch eine Untersuchung der Verbindungsdaten lassen sich Erkenntnisse ber Verbindungsauf und abbauten sowie ber bestehende Netzwerkverbindungen gewonnen werden ohne die eigentliche Nutzlast den Dateninhalt der Netzwerkpakete einzusehen Dazu werden die Headerdaten von IP Paketen ausgewertet Damit sind Auswertungen auf der Netzwerkschicht 2 Datensicherungsschicht bis zur Schicht 4 Transport schicht des OSVISO Schi
468. rversion von einzelnen Dateien Datensammlung oder kompletten Volumen Untersuchung von anderen Rechnern im Netzwerk winrs US Untersuchung DA Datenanalyse DO Dokumentation Tabelle 16 Identifizierte forensische Eigenschaften des Betriebssystems Microsoft Windows Server 2008 Wie in den vorangegangenen Kapiteln wird Kommandozeilenprogrammen der Vorzug gegeben da diese eine leichte Umlenkung in eine Textdatei erm glichen und deren Aufruf weniger Ver nderungen im untersuchten System zur Folge hat Des Weiteren muss darauf geachtet werden dass viele der vorgestellten Kommandozeilenprogramme h ufig zwei Modi haben sie k nnen entweder Daten auslesen oder ndern Im Rahmen einer forensischen Untersuchung darf dabei nur ausgelesen werden In der nachfolgenden Beschreibung werden die Datenarten aus Kapitel eingesetzt Deshalb erfolgt die Vorstellung von ausgew hlten forensischen Methoden des Betriebssystems Microsoft Windows Server zur Datengewinnung von den hardwarenahesten zu den abstrakten Daten Extraktion der Konfigurationsdaten Server Manager servermanager msc Der Windows Server 2008 bietet zur Verwaltung der Serverfunktionen den Server Manager an Dieser gibt einen berblick dar ber welche Rollen prim re Aufgaben des Servers z B DNS Server Web Server usw und zus tzlichen Eigenschaften Features dem Serverbetriebssystem hinzugef gt werden k nnen und hilft bei der Installation der
469. s mtliche f r die Datei bereitgestellten Bl cke engl Cluster als verf gbar markiert Wie daraus ersichtlich ist werden beim eigentlichen L schvorgang einer Datei deren Datenbestand und die Dateiattribute nicht gel scht sondern nur als verf gbar markiert Jedoch geht der erste Buchstaben des Dateinamens bei Einsatz des FAT Dateisystems verloren Daraus ergibt sich auch die Strategie der 109 http www sleuthkit org sleuthkit 110 http www recuva com 111 http www snapfiles com php download php id 106926 amp a 7119871 amp tag 234966 amp loc 2 112 http undelete plus com download html 113 http dftt sourceforge net Leitfaden IT Forensik 149 Der L schvorgang von FAT im berblick Achtung forensische Datensicherung erforderlich Detaillierte Vorgehensweise in der IT Forensik forensischen Werkzeuge welche eine eine Datenrekonstruktion auf der Basis der FAT Dateisystemstruktur anbieten Diese lesen alle Verzeichniseintr ge ein welche im Dateinamen als ersten Buchstaben den hexadezimalen Wert E5 enthalten und kennzeichnen die rekonstruierten Dateien als gel scht Der L schmechanismus des FAT Dateisystems bedeutet jedoch auch dass Dateiinhalte welche als verf gbar markiert worden sind bei der n chsten Schreiboperation des Dateisystems mit neuen Inhalten berschrieben werden k nnen und damit sich bestenfalls noch Reste des alten Bestandes im Slack Speicher siehe dazu auch Kapitel zu f
470. s Dateisystems gew hrt ist Die Einfl sse eines solchen Dateisystems auf den forensischen Prozess sind vielf ltig So bietet die Versionierung beispielsweise die M glichkeit sehr genau zu verfolgen wann und wie eine Konfigurationsdatei ver ndert wurde So kann 126 http www ext3cow com und http znjp com papers peterson tos05 pdf Leitfaden IT Forensik 161 Achtung L schen unm glich EXT3 cow in der Forensik Versionierung wie einsetzen Detaillierte Vorgehensweise in der IT Forensik der zeitliche Ablauf eines gr eren Vorfalls zumeist gut rekonstruiert werden Des Weiteren ist es dank der Versionierung kein Problem die vor dem Vorfall vorliegenden Daten wiederherzustellen Hinzu kommt auch noch dass es f r einen Angreifer schlichtweg unm glich ist kompromittierende Daten zu l schen wenn denn ein Snapshot davon existiert Hierbei zeigt sich allerdings auch das Problem der Snapshot basierten Versionierung auf Es muss ein Mittelweg zwischen zu vielen und zu wenigen Snapshots gefunden werden Prinzipiell bedingt der Einsatz von EXT3 cow eine strategische Vorbereitung siehe dazu auch Kapiteldes vorliegenden Leitfadens W hrend wenige Snapshots das Ma an sinnvollen Daten reduzieren sorgen zu viele Snapshots schnell f r eine gewaltige Menge an Verwaltungsdaten sowohl im Bezug auf das Dateisystem als auch im Bezug auf den forensischen Prozess Eine weitere logistische Herausforderung ist die Wahl der Verzeichni
471. s Konfigurations protokolidaten daten Abb 37 Einordnung der EXT Dateisystemfamilie in die Datenarten und die Abschnitte des forensischen Prozesses Die Dateisystemfamilie EXT ist in den Abschnitt der Datensammlung im forensischen Prozess bzgl der Gewinnung von Details tiber Daten und in den Abschnitt der Untersuchung bzgl der Gewinnung von Rohdateninhalten einzuordnen Nachdem die M glichkeiten der grundlegenden Methode des Dateisystems dargestellt wurden sollen nachfolgend explizite Methoden der Einbruchs erkennung vorgestellt werden Die grundlegende Methode Explizite Methoden der Einbruchserkennung Unter Methoden der expliziten Einbruchserkennung EME werden Ma nahmen verstanden die nicht zum Betriebssystem bzw Dateisystem geh ren welche weitestgehend automatisiert ausgef hrt werden und ohne konkreten Vorfalls verdacht routinem ig gestartet werden k nnen Ma nahmen und Methoden der EME fallen gr tenteils in den Abschnitt der strategischen Vorbereitung Hier werden Computervirenschutzprogramm Dateiintegrit tspr fer Anti Spyware und Intrusion Detection Systeme mit dem Fokus auf deren Loggingf higkeiten betrachtet Es wird dargestellt wo der Einsatz eines Integrit tspr fers sinnvoll und wo eher hinderlich sein kann Um eine zusammenfassende Einordnung der in diesem Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 26 verwiesen Leitfaden IT Forensik 163 Detaill
472. s dem Einsatz des digitalen Fahrtenschreibers entstehenden Protokolls wird nach folgend vorgestellt Zun chst wird ein Eintrag f r die Initialisierung des Zieldatentr gers geschrieben Dieser enth lt den Namen des Untersuchenden sowie den Zeitpunkt an dem die Sitzung begonnen wurde Danach folgen die Eintr ge der einzelnen Datensammlungen mit Startzeitpunkt dem Sniffer Aufruf mit allen Parametern dem Endzeitpunkt der Aufzeichnung sowie den Namen des Untersuchungsergebnisses samt Hashwert Wenn die Sitzung beendet wird wird die von der Bridge erstellte MAC Tabelle also die Zuordnung der bekannten MAC Adressen zu den jeweiligen Netzwerkinterfaces gespeichert Abschlie end wird die Sitzungsendmarke erstellt die neben dem Namen des Untersuchenden den Zeitpunkt der Beendigung der Sitzung enth lt Leitfaden IT Forensik 225 Detaillierte Vorgehensweise in der IT Forensik Linux forensic transparent bridge evidence storage Starting time So 19 Apr 12 33 58 CEST 2009 Investigator Mustermann Log item SHA256 hash b0345757dc1dc543046bfeb3a7789b8e4477445334234f ce05eb3e62e62e0Ff FO HMAC bb337fe802a21284c0ff556243130d5f47b633aa7da52ff8ace9218f6f2b249f starting time So 19 Apr 12 34 04 CEST 2009 action tshark i brO w mnt 1240137244 cap n q a filesize 94816 exit time So 19 Apr 12 34 33 CEST 2009 result mnt 1240137244 cap SHA256 hash a8f0921e81593eb5f15be813a5689fd7bda60b8df6a93f5612f9e711ce62c879 mnt 1240137244
473. schen Methoden von MS Windows Server 2008 zu MS Windows Server 2003 Zus tzlich zu den allgemeinen Neuerungen die f r Windows Vista und Windows Server 2008 im Vergleich zu Windows XP und Windows Server 2003 vorgestellt wurden werden nachfolgend die Unterschiede aufgezeigt welche sich durch den Einsatz von Windows Server 2008 ergeben Betrachtet wurde eine Installation von Microsoft Windows Server 2008 in der Installationsart Standard Full Installation Diese Installation enthielt das Servicepack 1 und die Updates bis zum 10 2008 Die Darstellung erfolgt anhand des in Kapitel 2 1 1 vorgestellten Modells ber die Teilung der Abarbeitungsschritte anhand logischer Untersuchungsabschnitte einer forensischen Untersuchung und anhand der in Kapitel beschriebenen Datenarten Die nachfolgende Tabelle 16 gibt einen ersten berblick ber die zus tzlichen forensischen Werkzeuge in Microsoft Server 2008 122 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik BS Betriebssystem Installation von zus tzlichen Features ber den Server Manager SV Ver nderung des Wertes in der Registry f r den Eintrag Strategische NtfsDisableLastAcessUpdate auf 0 Definieren von Vorbereitung zus tzlichen Ereignisausl ser Aktivierung der berpr fung des ausgehenden Netzwerkverkehrs OV Operationale Vorbereitung Sicherung der Information ob Dateien einen ADS haben DS Wiederherstellen einer Vorg nge
474. schenspeicher a sans nr OTe gitt natier enee nengen Ee 34 Sicherheitsaspekte nasse Bicherheilsaspekle an nan ans a e a ar ea ia 30 Untersuchung nee before Untersuchung allem eer ee en 25 Untersuchung nach forensischem Modell 90 Virtueller Speichen I LER EE EEN 95 e EE 73 Vorbereitung E Operationale EE 87 Strategische Vorbereitung een 87 Vorbereitung allgemein ua ec 24 Ke EE EK Ehe 181 ZA ame An ASRS AES doe lt a oA MT CS aaa Die Bedeutung der EE 38 EH 38 e len ungen ara 38 Zeitstempel EE 38 ee rn sl Ee ec enee 38 Zentrale ran ersehen Einrichtung und der Betrieb eines zentralen Logserverg 49 354 Leitfaden IT Forensik
475. schonneck pdf 2008 GSHBO8 BSI IT Grundschutz Startseite http www bsi de gshb index htm 2008 2008 Gup06 Gupta Mayank R Hoeschele Michel D Rogers Marcus K Hidden Disk Areas HPA and DCO International Journal of Digital Evidence 2006 Hei09 Heinrich Christian MAC Time Analyse mit Hilfe des Journals eines Ext3 Dateisystems Bachelorarbeit an der FH Brandenburg 2009 Hil08 Hildebrandt Mario Einsatz fortschrittlicher Methoden in vernetzten Systemumgebungen mit dem Schwerpunkt der Live Analyse von Linux Servern am Beispiel des Szenarios Angriff aus dem Intranet Internet Studienarbeit eingereicht bei der Fakult t f r Informatik der Universit t Magdeburg November 2008 HL98 Howard John D Longstaff Thomas A A common language for computer security incidents ISBN 0 201 63346 9 1998 Hoe09 Hoeren Thomas Internetrecht http www uni muenster de Jura itm hoeren materialien Skript Skript_ Maerz2009 pdf 2009 Hop07 Hoppe Tobias und Lang Andreas und Dittmann Jana Evaluierung der Bedrohung durch fortschrittliche Angriffstechniken von Programmen mit Schadensfunktion 2007 Innovationsmotor IT Sicherheit Tagungsband 10 Deutscher IT Sicherheitskongress des BSI SecuMedia Verlag Ingelheim 20071 49 ISBN 978 3 922746 98 0 2007 IMF08 G bel Oliver Schadt Dirk Frings Sandra G nther Detlef und Nedon Jens IMF 2008 IT Incident Management amp IT Forensics LNI Proceedings IS
476. sdaten und Kommunikationsprotokolldaten zu sichern seien um danach ein Festplattenabbild zu erstellen In der Untersuchung sollten diese auf Spuren analysiert werde 288 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Datensammlung F r die an dieser Stelle ausgew hlten Datenquellen ergab sich die in Tabelle 69 dargestellte Werkzeugsammlung BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details tiber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 67 Werkzeuge ftir die Datensammlung Unter Nutzung der Windows Bord Werkzeuge netstat ipconfig und tasklist wurden auf dem Livesystem Kommunikationsprotokoll und Prozessdaten ge sichert und in separaten Dateien gespeichert Danach wurde das System durch Ziehen des Netzsteckers deaktiviert und mit der Helix Live Forensic CD neu gestartet Unter Verwendung dieser Umgebung wurde mittels des forensischen Werkzeugs dcfldd eine Kopie der Festplatte erzeugt die dann in den weiteren Schritten bearbeitet wurde Untersuchung Fir die Untersuchung der durch das Festplattenabbild zur Verfiigung gestellten Rohdaten wurden geeignete Methoden ausgew hlt welche die Ma nahmen aus Tabelle 72 unterst tzen Leitfaden IT Forensik 289 Datensammlung Rohdaten Kommunikations p
477. se ein Router in einen Vorfall involviert F r eine erfolgreiche Aufkl rung eines Vorfalls in einem Computernetzwerk ist es demnach notwendig alle verf gbaren Daten zu erfassen und auszuwerten Prinzipiell k nnen gerade Managed Switches Router Hardware Firewalls und IDS Sensoren auch als vollwertige IT Komponenten betrachtet werden d h f r sie gelten die nachfolgend detailliert beschriebenen grundlegenden Methoden Diese Komponenten verf gen ber ein Betriebssystem h ufig ein auf den Anwendungszweck angepasstes Linux bzw BSD welches auch als Embedded OS bezeichnet wird oder auch ein neu entworfenes Betriebssystem welches sowohl das Betriebssystem als auch die Anwendung ohne deren dedizierte 186 http liveview sourceforge net Leitfaden IT Forensik 217 Netzkoppelelemente und Datenaufteilung strategische Vorbereitung beachten Achtung Netzwerkdaten nicht verf lschen Achtung Syslog Detaillierte Vorgehensweise in der IT Forensik Trennung enth lt Dies trifft insbesondere f r Ger te des Herstellers Cisco zu welche das eigens entwickelte IOS einsetzen Ein derartiges System wird auch als monolithisches System bezeichnet F r weitergehende Betrachtungen ber die Ger teklassen sei auf Lin08 verwiesen Ebenfalls f r Ger te der Business Klasse kommt h ufig auch das Betriebssystem VxWorks zum Einsatz welches ebenfalls monolithisch aufgebaut ist Die Anwendung der Untersuchung von IOS basierte
478. sem Fall wurde damit im MySQL Log nach Anfragen gesucht die dazu in der Lage sind die Preise von Waren innerhalb der Datenbank zu ver ndern Dabei wurden mehrere Varianten einer solchen Anfrage ausprobiert Die nachfolgende Abbildung 63 zeigt diesen Vorgang ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 006 grep update specials ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 007 grep update specials ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 006 grep UPDATE specials ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 007 grep UPDATE specials UPDATE specials set specials new products price 20 00 where products id 5 UPDATE specials set specials new products price 25 00 where products id 5 ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 006 grep UPDATE products ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 007 grep UPDATE products ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 007 grep a 4 b 2 UPDATE specials grep 2 No such file or directory grep UPDATE specials No such file or directory ubuntu ubuntu Desktop mysqlbinlog voll 1 var log mysql mysql bin 007 grep a4 b2 UPDATE specials 305545 081104 14 40 36 server id 1 end log pos 251023 Query thread id 95 exec_time 0 error code 0 305639 SET TIMESTAMP 1225809636 305670 UPDATE specials set specials ne
479. serechte die zweite gew hrt Mitgliedern der Systemgruppe Administratoren einen Vollzugriff auf die Datei gleiches gilt f r den Nutzer System Bei den ACLs handelt es sich um die vordefinierten Einstellungen des Systems DIR Listet die Dateien und Unterverzeichnisse eines Verzeichnisses auf Mit der Parameter T bestimmt der Benutzer welche Zeit Erstellung Letzter Zugriff Letzter Schreibzugriff beim Auflisten verwendet wird nur f r NTFS Diese Methode erm glicht die Sicherung der MAC Zeiten Detaillierte Informationen zu MAC Zeiten befinden sich im Kapitel und im Kapitel Die Abb 22 zeigt im unteren Abschnitt die drei MAC Zeiten der Datei hyperterm exe Beim Aufruf gibt der Parameter TC gibt den Erstellungszeitpunkt aus der Parameter TA den Zeitpunkt des letzten Zugriffs und TW den Zeitpunkt des letzten Schreibzugriffs aus Der Zeitpunkt des letzten Schreibzugriffs kann dabei auch vor dem Erstellungszeitpunkt der Datei liegen dies ist z B bei vorinstallierten Dateien des Betriebssystems der Fall Windows Explorer Der Windows Explorer liefert viele Daten zu Dateien Dazu geh ren Vorschau bilder und auch die MAC Zeiten Die f r die forensische Untersuchung interessanten MAC Zeiten k nnen in der Detailansicht durch die Reiter Letzter Zugriff am Erstellt am und Ge ndert am ermittelt werden 41 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf dir Leitfaden
480. servers mit sinnlosen Logs der Speicherplatz u U sehr schnell ausgesch pft wird Um diese M glichkeit zumindest einzuschr nken kann in der Konfiguration des Servers angegeben werden von welcher IP Logs entgegengenommen werden sollen bzw welche verworfen werden sollen 128 Da der originale Syslog Standard jedoch den Transport tiber das UDP Protokol im Klartext vorsieht kann hier nur zum Einsatz von Syslog ng geraten werden Diese auf dem originalen Standard basierende Implementierung erweitert das Versenden und Entgegennehmen von Syslog Ereignissen im Klartext unter Einsatz von UDP um die M glichkeit eine verbindungsorientierte Kommuni kation unter Einsatz von TCP verschl sselt aufzubauen Nur durch den Einsatz einer solchen Transportm glichkeit kann die Forderung der IT Forensik nach unverf lschten Daten bzgl Integrit t und Authentizit t siehe Kapitel gew hrleistet werden Durch den Einsatz der Verschl sselung wird auch der Forderung nachgekommen dass die anfallenden Daten entsprechend den Richtlinien und Forderungen des Datenschutzes zu behandeln sind siehe dazu auch Kapitel Dies gilt beispielsweise auch f r die Zweckbindung der erhobenen Daten So d rfen die in den Logs enthaltenen Anmeldezeiten zwar zur Vorfallsaufkl rung verwendet werden d rfen jedoch nicht beispielsweise zur Arbeitszeit berwachung von Mitarbeitern genutzt werden Um datenschutzkonform vorzugehen wird vorgeschlagen zweigeteilte Passw
481. sse die sich schlie lich auf der EXT3 cow Partition befinden Die Benutzung mehrerer Partitionen von denen nur einige Versionierung benutzen ist hier angeraten Das Datenvolumen bei Logdateien eines Apache Servers beispielsweise kann sonst schnell gewaltige Gr en annehmen Hier ist es angeraten f r System und Konfigurationsdateien eine eigene EXT3 cow basierte Partition einzurichten Es bleibt abzuwarten ob in n chster Zeit Werkzeuge erscheinen welche die forensische Arbeit mit EXT3 cow f r einen Ermittler vereinfachen Hier w ren beispielsweise Werkzeuge denkbar die den zeitlichen Verlauf der Ver nderungen an einer Datei nachzeichnen k nnen Zusammenfassung der Erkenntnisse Die Einordnung der EXT Dateisystemfamilie anhand der allgemeinen Eigen schaften von Dateisystemen aus Kapitel erfolgt in der Tabelle 25 EXT Speicherorganisation vorhanden Verwaltung von Zeiten vorhanden Verwaltung von Attributen vorhanden Verwaltung von Rechten vorhanden Journaling teilweise vorhanden Versionierung teilweise vorhanden ADS nicht vorhanden Tabelle 25 Merkmale der EXT Dateisystemfamilie Die nachfolgende Abbildung 37 verdeutlicht die Zuordnung der forensischen Methoden der EXT Dateisystemfamilie als Teil der grundlegenden Methode des Dateisystems FS 162 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Anwenderdaten Hardwaredaten Rohdateninhalte Kommunikation
482. ssystems und den darauf laufenden Anwendungen best ckt sind Diesen Umstand reflektiert auch die auf Abbildung 8 vorgestellte Musterlandschaft RECPLAST anhand der Tabellen 1 bis 4 Um jedoch das Ziel umsetzen zu k nnen auf einem zentralen Logdatenserver alle Ereignisse und Logs aller IT Komponenten zu sichern gibt es verschiedene Programme um die Windows basierten in einem Bin rformat kodierten Ereignislogs engl Event Logs in das textbasierte Syslog Format siehe dazu auch das RFC 3164 zu 24 Syslog ist konform mit dem Industriestandard XSH4 2 siehe dazu auch http h30097 www3 hp com docs base_docDOCUMENTATION V51_HTML MAN MAN3 0193 HTM 25 http www fags org rfcs rfc3 164 html 50 Leitfaden IT Forensik Einf hrung 2666 2766 bersetzen Beispielhaft seien hier die L sungen evtsys und Snare genannt Diese wandeln auf dem Windows Betriebssystem die anfallenden Eventlogs in das Syslogformat um und versenden es ber das Netzwerk an den anzugebenden Syslogserver Der Inhalt des Syslogservers ist selbstverst ndlich regelm ig auf nur einmal beschreibbaren Medien zu sichern Jedoch ist dabei zu beachten dass die Gefahr eines Denial of Service Vorfalls besteht Dies ist darin begr ndet dass im normalen Verhalten der Syslogserver jedes Log entgegennimmt welches auf dem vereinbarten Port vorgabem ig der UDP Port 514 eintrifft Hier besteht die Gefahr dass durch absichtliches berfluten des Syslog
483. st 128http base secureideas net Leitfaden IT Forensik 165 Achtung Detaillierte Vorgehensweise in der IT Forensik Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsbiiros NdA a T3 8 Faxger te Abb 38 Erweiterte RECPLAST Musterlandschaft mit IDS Sensoren Die Regeln von Snort sind recht einfach aufgebaut siehe dazu auch Gar05 Als Beispiel wird hier eine Regel erl utert die Ereignisse protokolliert bei denen ein Telnet Server ein Paket mit dem Inhalt to su root an den Client sendet alert tcp STELNET_SERVERS 23 gt EXTERNAL_NET any msg TELNET Attempted SU from wrong group flow from_server established content to su root nocase classtype attempted admin sid 715 rev 6 Die beiden Variablen TELNET SERVERS und EXTERNAL_NET werden in der Konfigurationsdatei von Snort definiert Nach msg wird der Text angeben der sp ter bei Eintreten des Ereignisses in den Logdateien erscheint Der Teil flow from_server established bedeutet dass diese Regel nur dann erf llt ist wenn bei einer bestehenden Verbindung der Server das Paket mit dem Inhalt to su root sendet Dieser Inhalt wird mit content to su root festgelegt mit der Option nocase wird nicht zwischen Gro und Kleinschreibung unterschieden Die brigen Daten dienen der Klassifikation des Ereignisses Ein Typischer Logeintrag von Snort sieht so aus 1
484. st auf Linux basierten Systemen verwiesen Ein sehr guter Einblick ber die Art und den Umfang verf gbarer Logdaten wird u a in der Logdatenstudie des BSI BSI07a gegeben Diese Daten sind auf den Massenspeichern der jeweiligen IT Komponente fiir Nutzer mit Administratorprivilegien einsehbar l schbar bzw nderbar Deshalb kann eine wichtige Ma nahme der strategischen Vorbereitung einer forensischen Untersuchung die Einrichtung eines zentralen Logservers sein Im Anhang A3 wird exemplarisch die Einrichtung eines derartigen Servers beschrieben Auf diesem legen dann alle IT Komponenten ihre Logs zur sicheren Verwahrung ab Der offensichtliche Vorteil einer solchen L sung ist dass die Daten weitestgehend manipulationssicher f r eine forensische Untersuchung w hrend und nach einem Vorfall zur Verf gung stehen Dazu muss sich dieser zentrale Logserver in einem besonders gesicherten Netzsegment befinden In der Abbildung 9 ist dieser durch einen gestrichelten Kreis hervorgehoben da dieser in dieser Modifikation zur Unterst tzung forensischer Untersuchungen hinzugef gt wurde Er ist in die Gruppe der IT Komponenten mit hohem Schutzbedarf einzuordnen siehe auch GSHB08 Der Zugriff auf diesen Computer ist nur einer minimalen Gruppe von Nutzern zu gew hrleisten z B IT Sicherheitsverantwortlichen oder besonders geschulten Administratoren Da der zentrale Logserver einen hohen Schutzbedarf besitzt wird dieser in einem eigenen Subnetz a
485. stellen Eine Analyse der Dateireste mittels des forensischen Werkzeugs file lie einen MPG typischen Dateiheader erkennen der neben dem Dateinamen darauf hindeutet dass sich hierbei um die abgemahnte Datei handelt Die wiederhergestellten Fragmente der Datei sind ebenfalls auf dem Beweisdatentr ger enthalten Beigelegte Beweise Beweisdatentr ger 1 WORM Medium DVD R Ausgabe von Tasklist Ausgabe von netstat Ausgabe von ipconfig Inhalt des Verzeichnisses C Programme uTorrent Inhalt des Verzeichnisses C Dokumente und Einstellungen me Anwendungsdaten uTorrent Wiederhergestellte Inhalt des Verzeichnisses C Dokumente und Einstellungen me Eigene Dateien Downloads Screenshots der Ausgaben von Autopsy Beweisdatentr ger 2 WORM Medium CD R 298 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Verwendeter Datentr ger von Helix 1 9a 07 13 2007 Beweisdatentr ger 3 USB Festplatte gesichertes Festplattenabbild Beweiszettel Pr fsummen der Daten von Datentr ger 1 Pr fsummen der Daten von Datentr ger 2 Pr fsumme f r Helix 1 9a 07 13 2007 von Herstellerwebsite Pr fsummen der Daten von Datentr ger 3 Untersuchung auf dem Dom nencontroller Untersuchender Max Mustermann Beginn der Untersuchung 24 07 2008 11 16 GMT 1 00 Beim Eintreffen war der Server aktiv ein Nutzer war jedoch nicht angemeldet Anschlie end wurde sich als Administrator eingeloggt und die Ereignisanzeige
486. stellt L Die SSL Zertifikate wurden eingerichtet und auf Korrektheit berpr ft L Der Logserver wurde als Logziel eingerichtet Ma nahmen zur Sicherung der Daten wurden getroffen O Ein Backup Plan wurde anhand der BSI Grundschutz Kataloge erstellt O Die Ma nahmen aus http www bsi de gshb deutsch baust b01004 htm wurden befolgt 344 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Ausgew hlte Checklisten Im folgenden Abschnitt befinden sich einige Checklisten f r ausgew hlte Abl ufe im Bereich der IT Forensik auf der Basis der Ablauflisten Diese bieten jeweils grau markiert eine bersicht ber die notwendigen Schritte Die wei en Felder sind daf r vorgesehen die Durchf hrung des benannten Punktes zu beschreiben w hrend die zweite Spalte den Namen des Durch f hrenden enthalten sollte Dies ist notwendig um Schritte zu kennzeichnen die von externen Bearbeitern durchgef hrt wurden Die letzte Spalte ist zum Abhaken gedacht W hrend die allgemeinen Checklisten 1 bis 3 nicht dazu geeignet sind eine Dokumentation zu ersetzen unterst tzen sie diese Checkliste 4 gibt ein Beispiel f r die Dokumentation einer Ma nahme im Rahmen der strategischen Vorbereitung vor Die Checklisten sind im einzelnen 1 Untersuchung eines Festplattenabbilds 2 Seiten 2 Aufzeichnung des Netzwerkverkehrs 1 Seite 3 Auswertung der Netzwerkverbindungsdaten 1 Seite 4 Einrichtung eines Zentralen Log Ser
487. stem befindliche Datei handelt sollte sie deshalb besser durch die Erzeugung eines Datentr gerabbildes gesichert werden wie im Kapitel dargestellt Daran sollte sich eine Auswertung mit Werkzeugen aus der grundlegenden Methode der Datenbearbeitung und Auswertung DBA anschlie en Die Auslagerungsdatei kann wichtige Daten enthalten so z B auch Passw rter f r verschl sselte Dateien Die Analyse gestaltet sich jedoch schwierig u U liefert das in Kapitel vorgestellte Filecarving wichtige Ergebnisse 38 Beschreibung aus dem Hilfe und Support Center Suche systeminfo 39 Beschreibung aus der Hilfe der Eingabeaufforderung Aufruf pagefileconfig Leitfaden IT Forensik 95 Achtung Achtung Detaillierte Vorgehensweise in der IT Forensik hiberfil sys Datei Wurde der Ruhezustand eines Computers mit dem Windows XP SP2 Betriebs system aktiviert wird hier eine Kopie des Arbeitsspeichers RAM in der Datei hiberfil sys angefertigt Diese hat dann dieselbe Gr e wie der physisch vorhandene Arbeitsspeicher und enth lt alle Daten die das laufende System vor dem bergang in den Ruhezustand hatte Ein System im Ruhezustand sollte keinesfalls auf dem normalen Weg f r die weitere forensische Untersuchung wieder in Betrieb genommen werden Die in der hiberfil sys Datei enthaltenen Daten k nnten berschrieben werden Deshalb sollte der Massenspeicher in diesem Fall die Festplatte idealerweise an einer forensischen Workstation
488. stimmt mit dem Zeitpunkt einer HTTP Post Anfrage an das passwort forgotten php Script des Webshops berein Die weitere Untersuchung des Apache Logs zeigte dass der Angreifer auf die Konfigurationsdatei des Webshops zugriff und somit das Datenbank passwort aussp hen konnte Beigelegte Beweise Beweisdatentr ger 1 WORM Medium DVD R mit gesicherten Logdaten Logdaten des Servers Beweiszettel Pr fsummen der Daten von Datentr ger 1 268 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Fallbeispiel Aufkl rung eines Vorfalls mit Ursprung im Intranet Kompromittierung eines Intranetservers Im Rahmen dieses Szenarios wird ein Rootkit Befall auf einem internen Server behandelt Strategische Vorbereitung Dieses Szenario findet aufStrategische dem Server S4 der modifizierten Vorbereitung Musterlandschaft RECPLAST statt siehe nachfolgende Abbildung 64 Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros T3 8 Faxger te Abb 64 Modifizierte RECPLAST Musterlandschaft Im Rahmen der strategischen Vorbereitung wurden keine zus tzlichen Ma nahmen ergriffen die eine sp tere Untersuchung unterst tzen k nnen Symptom Bei einer monatlichenSymptom Routine berpr fung des Systems wurden Hinweise auf einen Rootkitbefall gefunden Ein Rootkit ist eine Schadsoftware die es einen Angreifer erlaubt erweiterte Zugriffsrechte auf ein Syst
489. stplatten oder Wechseldatentr gern UO statt Eine Aktivierung ist nicht erforderlich AE Als Untersuchungsvoraussetzung liegt vor dass die zu untersuchenden Datentr ger funktionsf hig sind UV Das Untersuchungsziel sind hier alle Sitzungsdaten Anwenderdaten Kommuni kationsprotokolldaten und Details ber Dateien UZ Die Untersuchungsaktion ist die online Speicherung dieser Daten UA Das Untersuchungsergebnis dabei sind Sitzungsdaten Anwenderdaten Kommunikationsprotokolldaten und Details ber Dateien UE Das erwartete Datenvolumen h ngt hierbei vom Volumen der Eingabedaten ab DV Bei lokaler Anwendung auf dem zu untersuchenden System k nnen fl chtige und nichtfl chtige Daten ver ndert werden STW Das Ergebnis der Untersuchung ist datenschutzrechtlich relevant DSR Eine Beweiskrafttendenz ist vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM 142Hierbei handelt es sich um das Standardformat auf UNIX basierten Systemen Leitfaden IT Forensik 179 Achtung Datenschutz beachten Detaillierte Vorgehensweise in der IT Forensik Der Logmechanismus der Bourne again shell Die Bash Bourne again shell ist eine besondere IT Anwendung Einerseits sammelt diese Daten die in forensischen Untersuchungen ausgewertet werden k nnen andererseits kann sie als Interpreter f r Shellskripte den forensischen Prozess aktiv unt
490. swirkungen des Vorfalls f r die betroffenen IT Anlagenbetreiber einsch tzen den m glichen entstandenen Schaden benennen Der Faktor der Reaktionszeit spielt somit bei der Reaktion auf einen 14 Leitfaden IT Forensik Einf hrung Sicherheitsvorfall eine gro e Rolle und die Eind mmung des entstandenen Schadens u a durch Ausgrenzung des Ausl sers des Vorfalls steht an erster Stelle F r die forensische Ermittlung des T ters k nnte es hingegen von Interesse sein diesen nicht sofort vom betroffenen IT System auszugrenzen wenn er sich noch auf diesem befindet um wichtige Daten ber den Angreifer und seine Vorgehensweise zu gewinnen Des Weiteren ist es f r eine Organisation bzw f r ein Unternehmen eine wichtige Information welche Daten durch einen Vorfall in beliebiger Form ver ndert oder auch nur eingesehen wurden Die Integration der IT Forensik in den Prozess der Reaktion auf einen Vorfall und die daraus resultierenden Problemfelder wurde u a in einer Ver ffentlichung des US amerikanischen Normungsinstuts NIST siehe Ken06 diskutiert Die IT Forensik kann als Bindeglied zwischen der Reaktion auf einen Vorfall als Teil einer Incident Response Strategie und der Strafverfolgung bezeichnet werden Dies liegt unter anderem darin begr ndet dass sowohl die Reaktion auf einen Vorfall als auch die Durchf hrung einer Untersuchung im Sinne der IT Forensik hnliche Fragen zu beantworten versuchen Es ist daher notwendig d
491. t Daten von Massenspeichern der betroffenen Systeme insbesondere im Cache des Webbrowsers zu untersuchen Dies wird z B in der in Kapitel vorgestellten kommerziellen forensischen Werkzeugsammlung EnCase verwendet um Webmail Sitzungen zu rekonstruieren 201www wireshark org 202http www xplico org 203 http tcpxtract sourceforge net 232 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien In diesem Kapitel wird die Praxistauglichkeit der vorgestellten Systematik belegt Dazu werden basierend auf dem Modell des forensischen Prozesses und den in Kapitel eingef hrten Datenarten praxisrelevante Fallbeispiele detailliert ausgearbeitet und das Vorgehen bei der Ermittlung dargestellt F r ausgew hlte forensische Arbeitsschritte z B das Erstellen von Datentr gerabbildern werden ausf hrliche Durchf hrungsanweisungen in Form von Checklisten bereitgestellt Ausgew hlte Basisszenarien In diesem Kapitel werden T tigkeitsabl ufe in Form von Szenarien dargestellt welche im Kapitel in einen komplexeren Zusammenhang gesetzt werden Dabei wird unterschieden in datenorientierten Basisszenarien d h hier wird der Fokus auf die Gewinnung und Untersuchung der in einem System enthaltenen Daten gelegt z B Gewinnung eines forensisch anerkannten Datentr ger abbildes Untersuchung eines Dateiinhalts mittels der Technik des Filecarvings und vorfallsorientierte
492. t auf dem sich Helix 1 9a 07 13 2007 befand Sowohl der Datentr ger als auch dessen Pr fsumme sowie die vom Hersteller angegebener Pr fsumme sind den Beweisen beigelegt Zun chst wurde unter Verwendung eines Writeblockers mit defldd eine forensische Kopie der Festplatte erzeugt auf der die weiteren Untersuchungen durchgef hrt wurden Pr fsummen sowohl der Festplatte als auch deren Kopie befinden sich auf dem beigelegten Beweiszettel Als n chster Schritt wurde eine Suche nach bekannten Tauschb rsenprogrammen durchgef hrt Dabei konnte eine Installation von uTorrent im Verzeichnis C Programme uTorrent gefunden werden Sowohl die Bin rdatei als auch deren Pr fwert befinden sich in den beigef gten Beweisen Danach wurde das bekannte Arbeitsverzeichnis von uTorrent nach Hinweisen durchsucht Eine berpr fung von C Dokumente und Einstellungen me Anwendungsdaten uTorrent erm glichte die Sicherstellung einiger Torrent Dateien Darunter befand sich auch die Torrent Datei zu dem abgemahnten Inhalt Die gesicherten Torrent Dateien finden sich als Beweismittel beigelegt ebenso deren Pr fsummen Eine berpr fung des Zielverzeichnisses f r Downloads die mit uTorrent durchgef hrt werden erbrachte dass sich dort keine Beweismittel finden lie en Eine Dateiwiederherstellung mittels Autopsy auf dieses Verzeichnis C Dokumente und Einstellungen me Eigene Dateien Downloads konnte Dateireste von gel schten Dateien wiederher
493. t Outlook Express gel scht wurden siehe dazu auch UMD08 Die kommerziell erh ltlichen forensischen Werkzeugsammlungen EnCase und X Ways Forensics siehe dazu auch Kapitel bieten hierf r ebenfalls eine eingebaute Suchfunktion In dieser Datei befinden sich s mtliche empfangenen und versandten E Mails und begleitende Metadaten Beim Auswerten dieser Datei muss der Datenschutz gew hrleistet werden Windows Media Player Untersucht wurde der Windows Media Player in der Version 9 Dieser f hrt ebenfalls einen Verlauf ber die abgespielten Medieninhalte mit Die Speicherung geschieht ber den Registrierungseintrag HKEY_CURRENT_USER Software Microsoft MediaPlayer Player RecentFileList und in einer speziellen Datenbank in der Datei CurrentDatabase_59R wmdb Diese befindet sich in dem folgenden Verzeichnis C Dokumente und Einstellungen lt Nutzername gt Lokale Einstellungen Anwendungsdaten Microsoft Media Player In dieser Datei sind die Abspielhistorie und evtl der Speicherort der Mediendaten bin r kodiert angegeben Diese k nnen mit einem Hexadezimaleditor eingelesen und auf Spuren hin untersucht werden Ein dediziertes forensisches Werkzeug ist 63 f r n here Informationen siehe auch http www five ten sg com libpst rnO 1re06 html 64 http sourceforge net project showfiles php group_id 146246 amp package_id 161379 106 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik zum Erstellun
494. t der Dateiname selbst ebenfalls ungew hnlich Diese Datei wurde mit dem Werkzeug strings untersucht wodurch festgestellt werden konnte dass es sich dabei um das Rootkit Enyelkm handelt dieses wird im n chsten Abschnitt aufgegriffen Danach wurde die Datei etc rc local untersucht die es erm glicht beliebige Befehle beim Start eines Linux Systems auszuf hren In dieser Datei befand sich eine Befehlsfolge die das Rootkit bei jedem Start aktiviert Anschlie end wurden die MAC Zeiten siehe dazu Kapitel der beiden Dateien gesammelt um herauszufinden wann das System kompromittiert wurde Dadurch war an dieser Stelle eine gezielte Suche der Log Dateien nach diesem Zeitstempeln m glich was in der anschlie enden Analyse umgesetzt wurde Einen weiteren Ausgangspunkt hierf r ist die Tatsache dass es sich bei dem Eigent mer der Exploit Datei um www data handelt einem Benutzerkonto mit dessen Rechten normalerweise der Webserver l uft Der nachfolgende Code Abschnitt zeigt zun chst das Ergebnis der String untersuchung des eigentlichen Rootkits die ergab dass es sich um Enyelkm handelt Leitfaden IT Forensik 271 Einsatz der IT Forensik anhand ausgew hlter Szenarien root interceptor mnt etc strings driverHIDENIT license GPL vermagic 2 6 18 4 486 mod_unload 486 REGPARM gcc 4 1 depends HIDEIT 08X lt HIDE 8762 gt lt HIDE 8762 gt dev ptmx dev pts Yod ENYELKMICMPKEY TERM linux
495. t sei hier das forensische Werkzeug icat genannt dass ebenfalls Bestandteil der Werkzeugsammlung Sleuthkit ist Nachdem Dateien rekonstru iert wurden k nnen diese anschlie end detailliert untersucht werden Extraktion des Slack Speichers Im so genannten Slack Speicher eines Datentr gers kann man berreste von alten Dateien finden siehe dazu auch die Ausf hrungen in Kapitel Da ein Datentr ger aus Sicht des Computers in Bl cke mit bestimmten Gr en unterteilt ist und sich in jedem dieser Bl cke nur eine Datei befinden kann passiert es dass bisweilen Bl cke nicht komplett ausgef llt sind In diesen nicht belegten Bereichen kann man die Reste lterer Dateien die diesen Speicherbereich einst belegt haben finden Es kann aber auch ebenso vorkommen dass ein T ter versucht hat im Slack Speicher Daten vor einem Ermittler zu verstecken Im Abschnitt der Datensammlung einer forensischen Untersuchung werden diese Daten ausschlie lich durch den Einsatz forensischer Werkzeuge gesichert welche ein genaues Datentr gerabbild erstellen Das beispielhaft ausgew hlte Werkzeug dcfldd leistet dieses und bietet zus tzlich die F higkeit zur automatisierten Erstellung von Pr fsummen um die Beweisintegrit t zu gew hrleisten siehe dazu auch die Ausf hrungen ber die Sicherheitsaspekte in Kapitel Extraktion des Swap Speichers Die Aufgabe des Swap Speichers ist es Daten aufzunehmen die keinen Platz im Arbeitsspeicher des Co
496. t sich der Einsatz des script Programms siehe auch Anhang Al Forensische Methoden im Detail an wenn dessen Ergebnisdatei gegen Manipulationen abgesichert wurde Das Programmpaket mdSdeep unterst tzt die forensische Untersuchung indem es die berpr fung der Integrit t von Untersuchungsziel und Untersuchungsergebnis erm glicht Des Weiteren kann durch Einsatz dieses Werkzeugs eine Vorsortierung im Rahmen der Datenuntersuchung erfolgen Dazu werden die errechneten Hashwerte mit Hashwerten von bekannter Software verglichen wird welche in den nachfolgenden Untersuchungsschritten ausge schlossen werden k nnen Derartige Hashwertdatenbanken werden beispielsweise vom US amerikanischen Normungsinstitut NIST zur Verf gung gestellt Einordnung in das detaillierte Schema siehe Kapitel Das Programmpaket md5deep auf Desktop PCs HW Das Programm ist f r Windows und Linux erh ltlich SW Der Untersuchungsort ist die Festplatte des zu untersuchenden Systems bzw ein Abbild von dieser Es kann lokal auf dem System untersucht werden oder lokal auf Teilkomponenten von diesem UO Eine Aktivierung ist nicht erforderlich AE Die Untersuchungsvoraussetzung ist die technische Funktionsf higkeit des Computersystems UV Untersuchungsziel sind alle Datenarten UZ Die Untersuchungsaktion besteht in der Unterst tzung von Sicherheitsaspekten UA Untersuchungsergebnis sind Anwenderdaten UE Das Datenvolumen des Untersuchungsergebnisses ist im
497. t vor allem darin vorhandene Schattenkopien zu identifizieren und damit ltere Dateiversionen zu erhalten Zusammenfassung der Methoden und Werkzeugeinordnung Um das Kapitel ber die forensischen Werkzeuge von Windows Server 2008 noch einmal kurz und visuell zusammenzufassen sei hier auf die nachfolgende Abbildung 29 verwiesen 124 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Hardwaredaten Anwenderdaten Rlohdateninhane Sitzungsdaten Details ber Prozessdaten Daten Konfigurations Kommunikations daten protokolidaten Abb 29 Von den vorgestellten forensischen Werkzeugen erfasste Datenarten in den Abschnitten des forensischen Prozesses fiir Windows Server 2008 Die hier rot markierten Bereiche zeigen an dass es f r die zugeh rigen Datenarten in den jeweiligen Abschnitten des forensischen Prozesses Werkzeuge in Windows Server 2008 identifiziert wurden Leitfaden IT Forensik 125 Detaillierte Vorgehensweise in der IT Forensik Das Linux Betriebssystem Der Linux Kernel liefert bereits in der Standardkonfiguration der verschiedenen Linux Distributionen viele Daten die forensische Untersuchungen unterst tzen k nnen Details dazu k nnen u a auch in Ges08 bzw Kru02 nachgeschlagen werden Diese Untersuchung erfolgt dabei anhand des in Kapitel vorgestellten Modells ber die Abschnitte einer forensischen Untersuchung und der in Kapitelbeschriebenen Datenarten Die
498. tation hat jeweils einen vollst ndig gef llten Ring zur Folge Dar ber hinaus k nnen mit den anderen Werkzeugen auch Prozessdaten Sitzungsdaten und Anwenderdaten gesichert werden F r den Abschnitt der Datenanalyse stehen Werkzeuge zur Analyse von Rohdaten Details ber Daten Prozessdaten Sitzungsdaten und Anwenderdaten zur Verf gung Gesamtzusammenf hrung aller grundlegenden Methoden Nachfolgend werden die von den exemplarisch ausgew hlten Vertretern der grundlegenden Methoden betrachteten Datenarten in den jeweiligen Abschnitten des forensischen Prozesses zusammengef hrt Die Abbildung 46 verdeutlicht den Zusammenhang 212 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Anwenderdaten Hardwaredaten Rohdateninhale Sazungsdaten Prozessdaten Kommunikations Kontigurations protokolidaten daten Abb 46 Einordnung aller grundlegender Methoden in die Datenarten und die Abschnitte des forensischen Prozesses Aus dieser Zusammenfassung ist ersichtlich dass das Gesamtspektrum aller grundlegender Methoden den Bereich der Datensammlung komplett abdeckt Auch der Bereich der Untersuchung ist f r alle Datenarten abgedeckt Es liegen weiterhin Methoden zur Analyse von Rohdaten Details ber Daten Prozessdaten Sitzungsdaten und Anwenderdaten vor F r die anderen Datenarten gibt es in diesem Abschnitt keine Methoden da vor allen dieser beiden Datenarten einer Korrelation verschiedener Datenquellen b
499. techniken Tunnel dar zustellen Die nachfolgende Abbildung 51 zeigt exemplarisch ein Ergebnis einer derartigen Untersuchung 230 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik 7 Anzeige Winkel u J Zeige 15 R J t cond CA Dateien Radius 9 Linienst rke 3 None Add Graph Dis BL Ax 141 44 32 3 selected mnt sdal pcap 141 44 Remove Mittelpunkt IP a Seen E ea Wh bo optiona 14144327 J 0 DECK gt Zeitangaben 40 115 84 65 gt Filteroptionen 7118 112 280 Darstell 64 19 184 144 arstellung WW 84 19 183 130 Endpunkte IP v Farben Port v Breite Datenmenge v Mittelpunkt 05 Schriftart Sans 12 Aa gt Farben gt Programmoptionen 224 0 0 251 i423 1 192 143 198 21 192 143 159 216 37 43 242 Oi 4 2 2 Aktualisiere il About D Out Abb 51 Visualisierung von Verbindungsdaten durch eine Spinne Auch diese Softwarel sung verwendet Netzwerkpaketaufzeichnungen im pcap Dateiformat wie sie u a durch den digitalen Fahrtenschreiber erzeugt werden Untersuchung von Nutzdaten in einem Netzwerkstrommitschnitt Ist eine Untersuchung der Nutzdateninhalte in einem Netzwerkdatenstrom Achtung unumg nglich k nnen auch diese durch forensische Werkzeuge aus der Datenschutz grundlegenden Methode der Datenbearbeitung und Auswertung DBA gewonnen beachten werden Dies kann z B notwendig werden wenn ber das Netzwerk bertragener Schadcode iden
500. teisystems Die tiefergehende Untersuchung unter Einsatz des Men punkts Dateisystem Datenstruktur Suche besonders intensiv zeigt nun ein deutlich ver ndertes Bild Es konnten einzelne Cluster rekonstruiert werden wie die nachfolgende Ab bildung 57 verdeutlicht Leitfaden IT Forensik 243 Einsatz der IT Forensik anhand ausgew hlter Szenarien X Ways Forensics Partition 1 amp Datei Bearbeiten Suchen Position Ansicht Extras Specialist Optionen Fenster Hilfe ax Dek Ses Ba a A gt te J5 Om 0 Bdron Schlupfspeicher Freier Speicher sd_abbild dd sd_abbild dd sd_abbild dd Partition 1 Datei Bearbeiten Pfad unbekannt Verz in CI 146332 0 91 Dateien 0 Verz Verz in Cl 146332 a Name I Tyd Gr e Erzeugung nderung Zugriff Am 1 Sektor Kommentbr A elr eer x 100_4910 JPG ira 1 3MB 12 10 2008 17 47 32 12 10 2008 17 47 32 1186008 jd EE x 100_4911 JPG ipg 1 3MB 12 10 2008 17 47 44 12 10 2008 17 47 44 1188640 EE E x 100_4912 JPG ipa 1 2MB 12 10 2008 17 47 54 12 10 2008 17 47 54 1191400 verz in Cl 205193 x 100_4913 JPG ipg 1 0MB 12 10 2008 17 48 26 12 10 2008 17 48 26 1193856 Verz in Cl 206712 x 100_4914 JPG ipg 1 0MB 12 10 2008 17 48 38 12 10 2008 17 48 38 1195936 Verz in Cl 207628 x1 100_4915 JPG ipg 14MB 12 10 2008 17 49 28 12 10 2008 17 49 28 1197952 Verz in Cl 209912 xi 100_4916 JPG ipg 14MB 12 10 2008 17 49 38 12 10 2008 17 49 38 1200776 Verz in Cl 210220 x 100_4917
501. temverhalten ver ndern Dar ber hinaus sind dort auch die Konfigurationsdaten der einzelnen Dienste zu finden darunter auch solche von Einbruchserkennungssytemen IDS wie Snort siehe dazu auch Kapitel und Protokollierungsdiensten wie Syslog siehe Kapitel Die in Linux ebenfalls integrierte Protokollierung sowie die durch den in Kapitel vorgestellten Dienst sys og hinterl sst wichtige Daten vor allem im Verzeichnis var log Hervorzuheben sind dabei die Dateien syslog sowie messages Diese beinhalten u a Prozess und Sitzungsdaten und sind forensisch wertvoll weil sie die Aufkl rung des Vorfalls unterst tzen und teilweise auch erst erm glichen Dar ber hinaus legen auch andere Anwendungen in diesem 34 Open Source Software Download unter http projects sentinelchicken org reglookup 35 http projects sentinelchicken org grokevt 36 http www pathname com fhs pub fhs 2 3 pdf Leitfaden IT Forensik 69 Ereignislogging in Windows Datensammlung von Ereignisdaten Untersuchung von Ereignisdaten Linux Konfigurations daten Linux Protokollierungs daten Linux Protokollierungs daten Achtung verf lschte Resultate m glich Abschnitte des forensischen Prozesses Detaillierte Vorgehensweise in der IT Forensik Verzeichnis Dateien und Unterverzeichnisse an um deren Protokollierungsdaten dort abzulegen Dazu z hlen u a das IDS Snort siehe dazu auch Kapitel das Datenbankmanagementsystem MySQL siehe daz
502. ten des Kernel mit der Ausgabe des Programms arp dargestellt root utopia cat proc net arp IP address HW type Flags HW address Mask Device 192 168 85 26 0x1 0x2 00 1A 4F 85 0F 6D ethl 192 168 85 31 0x1 0x2 00 12 43 30 C1 E7 ethl 192 168 85 1 0x1 0x2 00 0C 29 8A B1 69 ethl 192 168 85 88 0x1 0x2 00 21 85 FB 66 3B ethl 192 168 85 157 0x1 0x2 00 24 21 9C 71 34 ethl 192 168 85 24 0x1 0x2 00 16 38 AE 1D F4 ethl 192 168 85 86 0x1 0x2 00 00 F0 20 C8 E6 ethl 192 168 85 30 0x1 0x2 00 0A 8A A2 30 B5 ethl 192 168 85 128 0x1 0x2 00 30 1B B8 1E 6C ethl root utopia arp n Adresse Hardware Typ Hardware Adresse Optionen Maske Schnittstelle 192 168 85 26 ether 00 1A 4F 85 0F 6D C ethl 192 168 85 31 ether 00 12 43 30 C1 E7 C ethl 192 168 85 1 ether 00 0C 29 8A B1 69 C ethl 192 168 85 88 ether 00 21 85 FB 66 3B ethl 192 168 85 157 ether 00 24 21 9C 71 34 C eth1 192 168 85 24 ether 00 16 38 AE 1D F4 C eth1 192 168 85 86 ether 00 00 F0 20 C8 E6 c ethl 192 168 85 30 ether 00 0A 8A A2 30 B5 C eth1 192 168 85 128 ether 00 30 1B B8 1E 6C C ethl root utopia Abb 30 Arp Tabelle des Kernels und Ausgabe des Befehls arp Bis auf die Darstellung in der Kommandozeilenumgebung sind die Daten identisch MAC Adresse eines Netzwerkadapters Die MAC Adresse f r einen bestimmten Netzwerkadapter l sst sich unter sys class net eth0 address finden wobei eth0 f r den Namen des zu 86 Manpage von Route http linux
503. ters Die Registry kann auf der logischen Ebene als Dateisystem betrachtet werden in welchem es Verzeichnisse und Dateien gibt Dabei entspricht ein Schl ssel engl key einem Verzeichnis und ein Wert engl Value einer Datei Ein fl chtiger Schl ssel tr gt die Bezeichnung HARDWARE und enth lt beispielsweise die derzeit initialisierten und verwendeten Erweiterungskarten Die Eintr ge in diesem Schl ssel gehen mit dem Ausschalten des Systems verloren Das Wurzelverzeichnis der Registry besteht aus aaaf nf Hauptschl sseln welche nachfolgend in ihrem Inhalt kurz aufgelistet sind f r detailliertere Informationen Leitfaden IT Forensik 67 Windows Registry Sicherung der fl chtigen Daten der Registry Sicherung der nichtfl chtigen Daten der Registry Datenuntersuchung der Registry Detaillierte Vorgehensweise in der IT Forensik siehe Bun06 e HKEY CLASSES ROOT wird u a verwendet um Dateitypen mit Programmen zu assoziieren und Klassen f r Component Object Model COM Objekte zu registrieren Hierbei handelt es sich um einen abgeleiteten Schl ssel der von HKEY_LOCAL MACHINE und HKEY_CURRENT USER abh ngig ist Diese Kombination verbindet die Defaulteinstellungen mit den nutzerabh ngigen Einstellungen e HKEY CURRENT USER wird u a dazu eingesetzt die Umgebung f r Konsolennutzer zu konfigurieren Es handelt sich um nutzerspezifische Einstellungen welche vom Security Identifier SID des Nutzers abgeleitet we
504. tersuchungsergebnis sind Anwenderdaten UEs Das Datenvolumen des Untersuchungsergebnisses h ngt proportional mit dem Volumen der Eingangsdaten zusammen DV Genaue Angaben zum Proportionalit tsfaktor sind jedoch nicht m glich Da Scalpel offline genutzt wird treten keine Strukturwirkungen auf STW Eine Datenschutzrelevanz ergibt sich nicht direkt aus der Nutzung des Programms DSR Die Beweiskrafttendenz ist eher schwierig BK Bei der Verwendung von Scalpel muss dieses extern gegen Ver nderung gesch tzt werden SM das Untersuchungsziel wird bei dem Einsatz des Werkzeugs nicht ver ndert SM 22 123 das Untersuchungsergebnis muss wiederum extern gesch tzt werden Arp Tabelle in proc net arp Bei dem forensischen Werkzeug handelt es sich um proc net arp Es wird in dem Abschnitt der Datensammlung gesichert Es ist Teil des Linux Kernels SW und l uft auf beliebigen fest installierten Computern HW Der Untersuchungs ort ist lokal auf dem System UO Eine Aktivierung ist nicht erforderlich AB Die Untersuchungsvoraussetzung f r die Nutzung dieser Methode ist die technische Funktionsf higkeit des betrachtenden Systems und das die Stromversorgung dessen nicht unterbrochen wurde UV3 Das Unter suchungsziel sind Kommunikationsprotokolldaten UZs die online extrahiert werden Untersuchungsergebnis sind hierbei ebenfalls Kommunikations protokolldaten UE Das zu erwartende Datenvolumen liegt im Kilobyte Bereich
505. tfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Dabei wurde deutlich dass ber ein Skript mit Namen ipn php lokale Befehle auf dem Webserver ausf hren werden konnten wodurch es m glich war die Zugangsdaten f r phpMyAdmin zu erlangen An dieser Stelle erfolgte einDatensammlung R ckgriff auf den Abschnitt der Datensammlung da es nunDetails ber Daten notwendig wurde diese Datei und die dazugeh rigen DetailsSitzungsdaten ebenfalls zu sichern Dadurch erweiterte sich derAnwenderdaten Werkzeugkatalog der in der Datensammlung eingesetzten Werkzeuge Die nachfolgende Tabelle 50 illustriert diesen Umstand BS FS EME ITA SB DBA Hardwaredaten Rohdaten Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 50 Werkzeuge f r die Datensammlung Unter Zuhilfenahme des Erstellungszeitpunkts der Datei ipn php konnte festgestellt werden dass diese nach einem Zugriff auf password_forgotten php erstellt wurde Bei der Datei ipn php selbst handelte es sich um eine Hintert r die es erlaubte beliebige Befehle auf dem Server auszuf hren Durch diese Analyse konnten einige weitere Punkte der CERT Taxonomie gekl rt werden die ein fast vollst ndiges Bild des Angriffs bieten Die nachfolgende Tabelle 51 zeigt diese gewonnenen Erkenntnisse Angreifer W
506. tifiziert werden soll Dazu sollten jedoch vorzugsweise auto matisierte Verfahren der Auswertung eingesetzt werden da bertragene Netzwerkdaten sowohl dem Datenschutz als auch u U dem Fernmeldegeheimnis unterliegen also gar nicht oder nur unter strengen Auflagen eingesehen werden d rfen Die g ltigen Rechtsvorschriften sind unbedingt einzuhalten Bei bekannten bertragungsprotokollen ist eine Auswertung mit verschiedenen Werkzeugen m glich Im Anhang A4 ist die Auswertung mit PyFlag detailliert Leitfaden IT Forensik 231 Detaillierte Vorgehensweise in der IT Forensik erkl rt Prinzipiell kann das Vorgehen in zwei grundlegende Bereiche unterteilt werden in die Untersuchung von bekannten und unbekannten Protokollen Ein generelles Problem ist der Einsatz von Verschl sslungen eine Auswertung derartiger Daten bertragungen ist nur in Ausnahmef llen m glich Daher wird hier nur die unverschl sselte Kommunikation betrachtet Bei der Auswertung von bekannten Protokollen k nnen verschiedene Werkzeuge eingesetzt werden Diese k nnen entweder auf Sitzungs oder Paketebene arbeiten Bei letzeren spielt die Kenntnis des verwendeten Protokolls eine untergeordnete Rolle da ohnehin jedes Paket einzeln f r sich untersucht werden muss Ein Beispiel hierf r ist das Werkzeug Wireshark Dieses wertet die bekannten Header aus die brige Nutzlast wird in einer von Hexadezimaleditoren bekannten Weise dargestellt Anhand der Headerdaten kann
507. tion Tabelle 10 Grobeinteilung der grundlegenden Methode Skalierung von Beweismitteln SB Es ist ersichtlich dass die ausgew hlten Methoden im Bereich der Daten sammlung und der Untersuchung arbeiten Im Kapitel werden exemplarisch ausgew hlte forensische Eigenschaften von Vertretern der grundlegenden Methode SB vorgestellt Die grundlegende Methode Datenbearbeitung und Auswertung Methoden aus der grundlegenden Methode Datenbearbeitung und Auswertung sind dazu geeignet die forensische Untersuchung zu unterst tzen indem sie Ausgangsdaten analysieren und aus ihnen Daten extrahieren oder rekonstruieren In diese Gruppe fallen auch Werkzeuge die dazu geeignet sind Sachverhalte aus forensischer Sicht anschaulicher darzustellen was sowohl die Auswertung der Daten als auch deren Pr sentation betrifft Beispiele daf r sind Werkzeuge die Log Dateien parsen oder zusammenf hren Dateien aus Rohdaten extrahieren oder auch beispielsweise den zeitlichen Ablauf eines Vorfalls zwecks besserer bersichtlichkeit darstellen k nnen Einordnung in Abschnitte des forensischen Prozesses Um eine erste Einordnung der im Kapitel untersuchten forensischen Methoden zu geben sei auf die nachfolgende Tabelle 11 verwiesen Leitfaden IT Forensik 79 Datenaufteilung Detaillierte Vorgehensweise in der IT Forensik DBA Datenbearbeitung und Auswertung SV Strategische Vorbereitung OV Operationale Vo
508. tion F r die Wiederherstellung von gel schten Dateien muss die Speicherorganisation der EXT Dateisystemfamilie bekannt sein Diese bietet einige M glichkeiten um diese Rekonstruktion zu unterst tzen Extraktion von Dateien Mit Hilfe der in den Inodes gespeicherten Informationen ber den physikalischen Ort der zu extrahierenden Daten k nnen die zugeh rigen Sektoren ausgelesen werden Auf diese Weise lassen sich u a auch als gel scht markierte Dateien re konstruieren Der L schvorgang ist zwischen den Dateisystemreversionen EXT2 und EXT3 um eine Dateisystemaktion erweitert worden welche die Rekonstruktion von gel schten Dateien erheblich erschwert Beim EXT2 Dateisystem werden beim L schen die eigentlichen Datenbl cke der zugeh rige Inode und die Verzeichniseintr ge als verf gbar markiert sehr hnlich zum L schvorgang im NTFS Dateisystem ohne jedoch Dateiinhalte oder die interne Struktur von Inodes zu ver ndern Forensische Werkzeuge zur Dateiwiederherstellung von EXT2 Dateisystemen brauchen also nur nach dieser Kennung zu suchen um gel schte Dateien zu rekonstruieren Beim EXT3 Dateisystem werden zus tzlich zum beschriebenen L sch vorgang die Dateigr en und die Blockadressenangaben gel scht Damit 158 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik ist eine Zuordnung der Dateiinhalte zu zusammenh ngenden Dateien nicht mehr ohne weiteres m glich Erste Ans tze zur Datei
509. tr ger Auswahl geeigneter Werkzeuge zur Abbildgewinnung Durchf hrung der Gewinnung des physischen und vollst ndigen Abbilds Absicherung der Integrit t und nachfolgende Verifikation mit dem Originaldatentr ger Abb 4 Arbeitsabl ufe bei der Abbilderstellung Besondere Schwierigkeiten bei der Erstellung eines Datentr gerabbilds ergeben sich durch den Einsatz von RAID Systemen siehe dazu auch Sch01 Die Abk rzung RAID steht f r Redundant Array of Independent Discs also eine redundante Anordnung unabh ngiger Laufwerke Bei hardware basierten RAID 9 http www e fense com helix 10 Zum Erstellungszeitpunkt des Leitfadens wird der SHA 256 Algorithmus empfohlen Leitfaden IT Forensik 27 RAID Systeme Sicheres L schen von Datentr gern Einf hrung Systemen ist dabei das Problem dass der Algorithmus der Datenverteilung h ufig herstellerabh ngig in der Controller Firmware gespeichert ist Hier bietet es sich demzufolge an das Abbild an der betroffenen Hardware unter Einsatz des jeweiligen hardware basierten RAID Controllers zu erstellen Prinzipiell kann und sollte jedoch auch von den einzelnen Datentr gern welche zusammen das RAID bilden ein Abbild angefertigt werden Bei software basierten RAID Systemen von denen der Algorithmus zur Datenverteilung innerhalb des RAID Verbunds bekannt ist kann durch Einsatz von geeigneter Software z B die forensische Werkzeugsammlung pyflag der Date
510. ts eine Anmeldung ge stattet war Der Instant Messenger Trillian Bei Trillian handelt es sich um einen beliebten Instant Messenger f r Windows Trillian unterst tzt dabei die Protokolle AIM ICQ IRC MSN und Yahoo F r die Forensik relevant ist die Funktion des Loggings und die damit gesammelten Logdateien die sich je nach Protokoll sortiert im Verzeichnis C Programme Trillian users default logs befinden Trillian legt dabei jeweils zwei Versionen einer Log Datei an Eine Datei im XML Format wird dabei st ndig geschrieben w hrend die Textdatei erst nach Beendigung einer Konversation geschrieben wird S mtliche Konversations 174 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik inhalte werden im Klartext geschrieben Des Weiteren werden von Dateitransfers zumindest der Dateiname sowie dessen Anfang und Ende gespeichert Die Loggingfunktion ist standardm ig aktiviert Grade bei Mitschnitten von Kommunikationsinhalten ist der Datenschutz zu beachten f r den Systembetreiber d rften diese Daten daher weniger wichtig sein F r Strafverfolger k nnen die Inhalte hingegen wichtige Indizien liefern In der Datensammlung k nnen diese Dateien aus dem Verzeichnis C Programme Trillian users default logs gesichert werden Anschlie end wird die Datenuntersuchung mit klassischen Mitteln der Log Untersuchung durchgef hrt Einordnung in das detaillierte Schema siehe Kapitel Bei dem forensischen Werkzeug
511. ts findet sich auch in Hoe09 Des Weiteren gibt es auf der Basis des IT Grundschutzes GSHB08 bereits Empfehlungen zur Um setzung des Datenschutzes u a f r den Anlagenbetreiber 22 https www datenschutzzentrum de material recht bdsg htm 23 siehe dazu auch https www ldi nrw de mainmenu_Datenschutz submenu_Technik Inhalt TechnikundOrganisation Inhalt 070329 Datenschutz und Datensicherheit _beim_Betrieb_von_IT Systemen Datenschutz_ und Datensicherheit _beim_Betrieb_von_IT Systemen pdf 42 Leitfaden IT Forensik Einf hrung Organisatorische Ma nahmen Die Durchf hrung forensischer Untersuchungen bedarf neben technischen Ma nahmen auch organisatorischer Festlegungen Diese sollen nachfolgend im berblick vorgestellt werden Wie schon in Kapitel 1 dargelegt l sst sich die IT Forensik in das Notfallmanagement zuordnen Die Bereitstellung der F higkeit forensische Untersuchungen durchf hren zu k nnen ist deshalb h ufig mit der Organisation eines Incident Response Teams verbunden Abh ngig von der Gr e des Unternehmens bzw der Beh rde und des Schutzbedarfs der Daten wird ist die Einrichtung eines dedizierten Teams erforderlich Die zuvor erforderliche Schutzbedarfsanalyse ist u a im IT Grundschutz GSHBO08 beschrieben auf sie wird hier nicht n her eingegangen Folgende organisatorische Ma nahmen sollten unabh ngig von der Entscheidung f r oder gegen ein dediziertes Incident Response Team getro
512. ts verifiziert werden Aufgrund der Vielzahl potentieller Vorf lle ist jedoch wohl kaum m glich f r jeden auftretenden Fall ein ma geschneidertes detailliertes Konzept zu haben F r Routinet tigkeiten sollten Schritt f r Schritt Anleitungen Checklisten existieren Das umfasst beispielsweise die Anfertigung von Laufwerksabbildern Images die Erfassung von Aufzeichnung von fl chtigen Informationen aus Systemen oder die Sicherstellung von physikalischen Beweismitteln beispiels weise austauschbare Datentr ger Ausgew hlte derartige Anleitungen werden im Anhang beschrieben welche auch als Vorlage zur Erarbeitung weiterer Anleitungen dienen k nnen Das Ziel der aufgestellten Richtlinien sollte in jedem Fall die Bereitstellung konsistenter effektiver und korrekter forensischer Ma nahmen sein Insbesondere f r den Einsatz in der Strafverfolgung ist die strikte Wahrung einer l ckenlosen Beweiskette erforderlich Deshalb muss wie auch in Kru02 beschrieben jedes gefundene bzw sichergestellte Objekt sofort mit einem Beweiszettel versehen werden welcher den Gegenstand eindeutig identifiziert die vollst ndige Anzahl benennt und idealerweise den Besitzer dokumentiert S mtlicher Zugriff auf das Objekt nach der Sicherstellung ist festzuhalten Aufgrund ihrer Natur sind organisatorische Ma nahmen in die im Kapitel detailliert beschriebene strategische Vorbereitung als Abschnitt einer forensischen Untersuchung einzusortieren Die
513. tz Katalogs Strategische Vorbereitung siehe Kapitel Ma nahmen zur Zugangssicherung wurden getroffen O Die Ma nahmen zur Zugangssicherung wurden nach dem BSI Grundschutz Katalog getroffen O Die Ma nahmen aus http www bsi de gshb deutsch baust b02004 htm wurden getroffen L Ein Logserver wurde eingerichtet O Ein Basisbetriebssystem wurde installiert L Debian Etch wurde als Basis installiert L kryptographische Schl sselpaare wurden erstellt O Eine sichere Verwahrung der Schl ssel wurde durch ein geeignetes Schl sselmanagement sichergestellt O Ein Logdienst wurde eingerichtet O syslog ng wurde installiert O Ein CA Zertifikat wurde erstellt O Ein Server Zertifikat wurde erstellt O Das Server Zertifikat wurde in der Datenquelle eingetragen O Ein Zertifikat zur Logdatenverschl sslung wurde erstellt O Das Zertifikat zur Verschl sslung der Logdaten wurde im Logziel eingerichtet L Der Logserver wurde als Logziel eingerichtet O Die Windows Clients schicken die Logdaten an den Logserver O Das Microsoft Net Framework 2 0 wurde installiert L kryptographische Schl sselpaare wurden erstellt L Der syslog ng Agent f r Windows wurde installiert O Die SSL Zertifikate wurden eingerichtet und auf Korrektheit berpr ft L Der Logserver wurde als Logziel eingerichtet O Die Linux Clients schicken die Logdaten an den Logserver O Der syslog ng Client f r Linux wurde installiert L kryptographische Schl sselpaare wurden er
514. u auch Bun06 18 http tools ietf org html rfc778 19 empfohlen wird hier ntp1 ptb de dieser f hrt die gesetzliche Zeit in Deutschland und hat eine vorgeschriebene Verf gbarkeit von gt 99 9 20 http www ptb de de org 4 44 pdf dcf77 pdf 40 Leitfaden IT Forensik Einf hrung GPS Empf nger empfohlen Derartige kombinierte Ger te bestehen sowohl aus einem DCF 77 als auch aus einem GPS Empf nger und besitzen zus tzlich einen hochpr zisen internen Zeitgeber Ein derartiges Ger t kann Differenzen aus beiden externen Quellen erkennen und den Anlagenbetreiber warnen Es werden Logdaten in Normalbetrieb und im Fehlerfall gef hrt welche vom Ger t ber das Netzwerk gesichert und ausgewertet werden k nnen 21 siehe dazu u a http www meinberg de german products lanshs htm Leitfaden IT Forensik 41 Wahrung des Datenschutzes zwingend erforderlich Einf hrung Aspekte des Datenschutzes Der Anlagenbetreiber muss auch im Rahmen einer Untersuchung mit den Mitteln der IT Forensik den gesetzlich verankerten Datenschutz wahren siehe dazu auch 3a des Bundesdatenschutzgesetzes Unter anderem umfasst dies die Datenvermeidung Datensparsamkeit Systemdatenschutz als Gesamtziel Anonymisierung Pseudonymisierung Zweckbindung Transparenz Alle Personen die mit der Erfassung bzw Auswertung besch ftigt sind sollten bspw im Rahmen einer Betriebsvereinbarung auf das Datenschutzgesetz BDSG ve
515. u auch Kapitel oder der Webserver Apache siehe dazu auch Kapitel Neben den zentralen Speicherorten f r Protokollierungs und Konfigurationsdaten k nnen derartige Daten auch in den Nutzerverzeichnissen zu finden sein Da einzelne Nutzer die globalen Konfigurationsdateien nicht ver ndern d rfen ist dies zwingend notwendig Die Nutzerverzeichnisse sind in der Regel im Verzeichnis home zu finden Hier sind u a Protokolle von Instant Messengern wie Pidgin siehe dazu auch Kapitel oder Chat Klienten wie Xchat siehe dazu auch Kapitel gespeichert Dar ber hinaus legen g ngige Desktopumgebungen wie Gnome oder KDE ihre benutzerspezifischen Konfigurationsdaten dort ab Durch den Einsatz von besonderer Schadsoftware so genanten Rootkits ist es m glich die Pr senz von Dateien auf Massenspeichern und von Schadcode in laufenden Prozessen im Arbeitsspeicher zu verbergen Eine Untersuchung am laufenden System im Rahmen der Live Forensik kann hierbei erheblich verf lscht werden wenn entweder einzelne Systembefehle des Betriebssystems w hrend eines Vorfalls ausgetauscht werden oder der Betriebssystemkern modifiziert wurde Im ersten Fall kann die Verwendung statisch kompilierter ausf hrbarer Dateien zur Ausf hrung von schreibgesch tzten Datentr gern Abhilfe schaffen Diese werden f r ausgew hlte Betriebssysteme beispielsweise auf der Helix Boot CD mitgeliefert Im Rahmen der Post Mortem Untersuchung jedoch kann ein Rootkit nicht wirke
516. und schrieb diese in das Sicherheitsprotokoll Um die gesammelten Daten nun f r die forensische Vorfallsuntersuchung zu extrahieren gab es zwei M glichkeiten So konnte das Sicherheitsprotokoll mit Hilfe der Ereignisanzeige welche sich in der Standardinstallation des Servers befindet in eine EVT Datei extrahiert werden Alternativ konnten die Daten auch mit dem Werkzeug Logparser siehe dazu auch Kapitel extrahiert werden Diese Werkzeugauswahl verdeutlicht die nachfolgende Tabelle 70 In diesem Fall fiel die Auswahl auf die Ereignisanzeige deren Einsatz in Abbildung 70 gezeigt wird Leitfaden IT Forensik 293 Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 70 Werkzeuge f r die Datensammlung Der Grund daf r ist dass die eigentlichen EVT Dateien in einem Bin rformat gespeichert sind welche nicht ohne weiteres beispielsweise mit einem Texteditor eingesehen werden k nnen Event Viewer eis File Action View Help e Am fna ma Event Viewer Local Security 1 091 event s Application J 12 17 11 Security LogonjLo 538 SYSTEM ONYX BASED 12 17 11 Security Logonj Lo 538 SYSTEM ONYX BASED 12 17
517. und wer zu diesem Zeitpunkt eingeloggt war Auf dem Computer waren Internet Explorer und Mozilla Firefox installiert woraus sich die in Tabelle 62 dargestellte Auswahl an forensischen Werkzeugen f r die Untersuchung ergab Leitfaden IT Forensik 281 Strategische Vorbereitung Operationale Vorbereitung Datensammlung Rohdaten Untersuchung Rohdaten Sitzungsdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 62 Werkzeuge f r die Untersuchung Bei der Untersuchung des Browser Verlaufs des Internet Explorers mit Iehist wurde dabei herausgefunden dass der Benutzer Meier auf das in der vorherigen Untersuchung festgestellte Skript auf dem betroffenen Rechner zugriff Folgender Log Ausschnitt verdeutlicht diesen Zugriff URL 2008 11 14 1 28 25 Visited meier http 192 168 85 152 tool php Die Zeitdifferenz ist dabei auf leicht unterschiedliche Systemzeiten zur ck zuf hren Als Folge dieser zus tzlichen Untersuchung konnte das Feld Angreifer in der CERT Taxonomie konkretisiert werden so dass sich die in Tabelle 63 dargestellte Einordnung ergibt Angreifer Werkzeuge Schwach Aktion Ziel Resultat Absicht stelle Benutzer Einschle
518. ung Systematik Diese detaillierte Charakterisierung kann best ndig um neue Methoden und Werkzeuge erweitert werden und liefert dem Leser die M glichkeit eigene Methoden und deren konkrete Werkzeuge zu systematisieren um die Einsatz m glichkeiten in den einzelnen Abschnitten zu bestimmen Au erdem wird der Leser in die Lage versetzt nach Methoden und deren konkreten Werkzeuge in den Anh ngen nach bestimmten Erfordernissen zu suchen z B alle Methoden die lokal arbeiten und ein bestimmtes Untersuchungsziel haben Dabei ist das in Kapitel vorgestellte forensische Modell die Grundlage f r die folgende Eigenschaftsliste Betriebssystem BS bs Windows bs2 Linux bss Cisco IOS Dateisystem FS fs dateisystemunabh ngig fso FAT fss NTFS fsa Ext fss Reiser fse ggf verteilte Systeme fs7 Datenbanksysteme fss Journaling Erweiterte Moglichkeiten der Einbruchserkennung EME eme IDS Leitfaden IT Forensik 311 Anhang A emez Andere Logmechanismen eme aktiver Virenscanner IT Anwendung ITA ita Browser ita2 Chat Protokolle itas Metadaten itas Datenbanken Skalierung von Beweism glichkeiten SB sb zus tzliche Log Mechanismen sb Positionierung von Log Mechanismen sbs passiver Virenscanner Datenbearbeitung und Auswertung DBA dba Bearbeitungssoftware dbaz Auswertungssoftware dba Erfassungssoftware Hardware HW hw Festinstallierte Computer bw Desktop PC hw Server hw2
519. ung zu erstellende Netzplan siehe Kapitel Im vorgestellten Beispiel des Netzplans der IT Anlage der Musterlandschaft RECPLAST ist auf dem Computersystem N2 ein IDS installiert dieses fungiert zugleich als Sensor auf N2 Zudem werden an zentralen Punkten des Netzes Taps eingesetzt diese sind in Abbildung 11 mit P1 bis P4 bezeichnet und durch einen gestrichelten Kreis umrandet Leitfaden IT Forensik 53 Platzierung von Netzwerksensoren Netzwerk Taps Einsatz als Netzwerk Writeblocker Einf hrung Verwaltung Bad Godesberg Betrieb Bonn Beuel Internet Vertriebsb ros NdA o T3 8 Faxger te Abb 11 Einsatz von Taps im RECPLAST Netzwerk Diese zentralen Punkte des RECPLAST Netzwerks an denen der Einsatz von Taps vorgeschlagen wird sind im Einzelnen zwischen N3 und N5 P1 zwischen N3 und N4 P2 zwischen N5 und N8 P3 e zwischen N6 und N7 P4 Die Idee dahinter ist dass aufgrund des Einsatzes von Netzwerkelementen vom Typ Switch eine Trennung zwischen den einzelnen Netzwerkleitungen erfolgt d h das Platzieren eines Taps beispielsweise zwischen der Arbeitsstation C1 und dem Switch N4 w rde die Kommunikation zwischen der Arbeitsstation C2 und dem Internet Router N1 nicht erfassen Auf den Netz bergangspunkten der obigen Auflistung hingegen l sst sich der gesamte Verkehr auf diesem Netzsegment berwachen Ein Vorfall zwischen zwei Arbeitsstationen innerhalb eines Subnetzes k nnte mit
520. unter Verwendung der im Kapitel beschriebenen Gewinnung eines Datentr gerabbildes gesichert werden Daran sollte sich eine Auswertung der Datei mit Werkzeugen aus der grundlegenden Methode der Datenbearbeitung und Auswertung DBA anschlie en Der Nutzen eines Speicherabbildes sollte jedem Untersuchenden klar sein Dennoch ist wie auch bei der Auslagerungsdatei eine Analyse recht schwierig u U liefert das in Kapitel vorgestellte Filecarving wichtige Ergebnisse Dar ber hinaus sind auch Techniken zur Untersuchung des Arbeitsspeichers n tig die jedoch im Rahmen dieses Leitfadens nicht n her betrachtet werden Extraktion von Details ber Daten Das Betriebssystem Microsoft Windows bietet M glichkeiten Daten aus dem von ihm verwalteten Dateisystem zu erfassen Detailliert wird auf Dateisysteme im Kapitel und im Kapitel eingegangen Dennoch sind einige dieser Daten auch mit Mittel des Betriebssystems zu erfassen Zu diesen erfassbaren Daten geh ren Zugriffsrechte und MAC Zeiten von Dateien und Verzeichnissen Die dazu verwendbaren Programme sind die Befehls zeilenprogramme cacls und dir sowie der Windows Explorer als Anwendung f r die graphische Benutzeroberflache In diesem Leitfaden wird Kommando zeilenprogrammen der Vorzug gegeben da diese eine leichte Umlenkung der Ausgaben in eine Textdatei erm glichen CACLS Zeigt Datei ACLs Access Control List an oder ndert sie Access Control Lists sind im Kapitel beschrieben Durch di
521. untersuchung k nnen aus diesen Rohdaten unter Verwendung der Dateisystem struktur weitere Rohdateninhalte beispielsweise von gel schten Dateien extra hiert werden 107 Seit Einf hrung des Mechansimus der Shadow Copy welcher unter Verwendung der Betriebssysteme Windows Vista und Windows Server 2008 kann auch hier von einer Versionierung gesprochen werden 144 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik Das Dateisystem FAT Das Dateisystem FAT wurde von Microsoft zum Einsatz im Microsoft DOS entworfen Die forensisch bedeutsame Eigenschaften werden in den Abschnitten der Datensammlung und der Untersuchung genutzt um wichtige Daten zur weiteren Verarbeitung zu gewinnen siehe dazu auch Kr 08 H ufig werden in einer Datensammlung Abbilder des Dateisystems erzeugt Diese werden dann in einer Post Mortem Untersuchung zur Extraktion weiterer Daten verwendet Die nachfolgende Tabelle 21 fasst die im Anschluss beschriebenen exemplarisch ge w hlten Eigenschaften und ihre Einordnung in das Modell des forensischen Prozesses zusammen Leitfaden IT Forensik 145 Detaillierte Vorgehensweise in der IT Forensik FS Dateisystem SV Strategische Vorbereitung OV Operationale Vorbereitung DS Daten tiber MAC Zeiten den FAT Root Folder die FAT Folder Datensammlung Structure den FAT Partition Boot Sector das File Allocation System und das FAT Mirroring US Dateiwiederherstellung
522. usen Implemen Uberladung Prozesse Behinderung Meier von tation der von Kommandos Zielkapazitat Ressourcen und der Dienstverf g barkeit Tabelle 63 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung 222http www cqure net wp iehist 282 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Dokumentation Im Folgenden wurde diese Untersuchung in einem beispielhaften Bericht a aren zusammengefasst Forensische Untersuchung betreffs der Nichtverf gbarkeit des Abschlie ender Dienstes MySQL vom xx xx xxxx Bericht Untersuchung des Servers S5 Untersuchender Max Mustermann Beginn der Untersuchung 14 11 2008 13 12 GMT 1 00 Beim Eintreffen war der Server S5 in Betrieb ein Nutzer war nicht angemeldet F r die Datensammlung wurde das System vom Stromnetz getrennt Im Folgenden wurde mittels dcfldd von der Helix CD ein Abbild der Festplatte gewonnen und die SHA256 Pr fsumme gebildet Diese wurde auf dem Beweiszettel notiert Anschlie end wurden die Logdaten vom Apache Webserver Dienst sowie dem MySQL Dienst untersucht Die Windows Ereignisanzeige zeigt dabei einen Anwendungs fehler von mysql nt exe am 14 11 2008 um 01 28 29 Uhr Das MySQL Query Log enth lt einen verd chtigen Eintrag welcher um 01 28 28 Uhr generiert wurde Dieser ist zugleich der letzte Eintrag Bei der manuellen Korrelation mit den Apache Logs zeigt s
523. usetzen eine Trennung von Verkehrsdaten u a IP Adressen von der Nutzlast engl Payload der Netzwerkpakete ist zu erw gen Ablauf der Datensammlung mit dem digitalen Fahrtenschreiber Der digitale Fahrtenschreiber ist an der zuvor ausgew hlten Position im Netzwerk in der Regel als Bridge st ndig aktiv Somit kann eine kurzzeitige Unterbrechung der Konnektivit t zu Beginn der Datensammlung verhindert werden Die Systemzeit das Speichermedium f r die gesammelten Daten sowie der Name des Untersuchenden das Passwort f r den HMAC Algorithmus sowie f r den Cryptocontainer werden zum Start abgefragt Danach k nnen verschiedene Datensammlungsmodi ausgew hlt werden unter anderem ein kompletter Mitschnitt oder aber auch nur der Datenstrom von bzw zu einer bestimmten MAC Adresse Die gesammelten Daten sind in jedem Fall datenschutzrechtlich relevant daher m ssen diese nach der Erfassung ent sprechend abgesichert werden Je nach Position des digitalen Fahrtenschreibers fallen unterschiedlich viele Daten an das ist ein Problem was im Rahmen der strategischen Vorbereitung ber cksichtigt werden muss Die Datensammlung selbst wird dabei prozessbegleitend dokumentiert dabei wird zur Integrit ts sicherung f r jeden Log Eintrag ein kryptografischer Hash berechnet Dar ber hinaus wird zur Authentizit tssicherung ein weiterer Hashwert angegeben der ber einen HMAC Algorithmus berechnet wird Ein Beispiel f r ein au
524. verf gbarkeit Tabelle 57 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung Operationale Vorbereitung Da in der strategischen Vorbereitung die MySQL Query Logs siehe Kapitel Operationale aktiviert wurden k nnen diese Log Dateien nun in der operationalen Vorbereitung Vorbereitung Beachtung finden Da es in diesem Szenario aber ohnehin zu einer Nichtverf gbarkeit des Dienstes gekommen ist liegt die Entscheidung nahe zun chst die Festplatte zu duplizieren und dann anschlie end aus dieser die interessanten Log Dateien zu extrahieren Dies ist eine Einzelfallentscheidung die entsprechend begr ndet werden muss Ein vollst ndiges Datentr gerabbild hat hier den Vorteil dass parallel zur forensischen Untersuchung das System Leitfaden IT Forensik 277 Datensammlung Rohdaten Untersuchung Rohdaten Prozessdaten Sitzungsdaten Einsatz der IT Forensik anhand ausgew hlter Szenarien wiederhergestellt werden kann ohne m gliche Beweise zu vernichten Im Abschnitt der Untersuchung sollten dann zun chst die relevanten Logdaten aus dem Abbild extrahiert und untersucht werden bei komplexeren Logdatenformaten und zur Fehleruntersuchen kann zudem eine aktive Kopie des Systems hilfreich sein In der Datenanalyse sollten die gefundenen Hinweise wiederum zu einem Vorfallsverlauf zusammengef gt werden Je nach Bedarf sollten weitere Ma nahmen durchgef hrt werden Datensammlung
525. vers 1 Seite Leitfaden IT Forensik 345 Anhang B Ablaufdiagramme und Checklisten Untersuchung eines Festplattenabbilds Datum Fall Bearbeiter 1 346 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Untersuchung eines Festplattenabbilds Datum Fall Bearbeiter 2 Leitfaden IT Forensik 347 Anhang B Ablaufdiagramme und Checklisten Aufzeichnung des Netzwerkverkehrs Datum Fall Bearbeiter 1 348 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Auswertung der Netzwerkverbindungsdaten Datum Fall Bearbeiter 1 Leitfaden IT Forensik 349 Anhang B Ablaufdiagramme und Checklisten Einrichtung eines Zentralen Logservers Datum Fall Bearbeiter 1 350 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten Leitfaden IT Forensik 351 Anhang B Ablaufdiagramme und Checklisten Index E EE Ee ER EE E 116 Alternate Data Stream a ein euer 140 Beiriebssysieme Hansen rn ande TO messe ee A aac Gane eames 218 RE 126 NR WORAN EE 218 Windows Server EE 107 Windows Server 2008 2 REITER 122 Windows Vistas EE 110 Windows EE 93 Beweiskrafteinseh tzung 2a aaa al Beweiskraft eines forensischen Abbldes 26 Beweiskratt nach Eigenschaften wessen 93 Beweiskraft von forensischen Methoden 63 GER T Taxonomie see Ra Nee
526. vorhanden BK Es sind externe Schutzma nahmen sowohl f r das Werkzeug als auch f r das Untersuchungsziel und das Untersuchungsergebnis notwendig SM Die Korrelationssoftware Zeitline Das forensische Werkzeug Zeitline ist eine Software zur Korrelation von Log Dateien Es ist komplett in Java geschrieben und damit weitestgehend plattform unabh ngig In Zeitline k nnen auftretende Ereignisse aus verschiedenen Logdateien z B aus unterschiedlichen IT Komponenten bzw unterschiedlichen Ereignisquellen desselben Systems in einen zeitlichen Zusammenhang gebracht werden Das h ufige Problem mit generierten Logfiles ist dass zu viele und h ufig nicht fallrelevante Daten gesammelt werden Zeitline hilft bei der Ereignisrekonstruktion indem es erlaubt Filter ber diese Eintr ge zu legen und verschiedene Ereignisse auszublenden Des Weiteren k nnen Meta Ereignisse festgelegt werden Ein in Buc05 gegebenes Beispiel verdeutlicht die Funktionalit t Aus der Erfassung der MAC Zeit siehe dazu auch Kapitel des Compilers gcc der Erfassung des letzten Zugriffs auf eine Datei x und eines Zugriff auf die Systembibliothek y erfolgt die Komposition des Meta Ereignisses Installation des Rootkits z Die Bearbeitung durch Zeitline erfolgt dabei durch das Importieren unter schiedlicher Datenquellen Zeitline beherrscht dabei nicht nur g ngige Log Dateiformate wie syslog siehe dazu auch Kapitel bzw das fls und ils Form
527. vorkommenden Abl ufen w hrend einer forensischen Untersuchung 12 Leitfaden IT Forensik Einf hrung Begriffsfindung und Einordnung der IT Forensik in ausgew hlte Prozesse der IT Sicherheit In diesem Abschnitt werden zun chst wichtige begriffliche Grundlagen gelegt Anschlie end wird die IT Forensik in den Prozess des Notfall und des IT Servicemanagements eingeordnet Die IT Forensik wird wie folgt definiert IT Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datentr gern und in Computernetzen zur Aufkl rung von Vorf llen unter Einbeziehung der M glichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT Systems Allgemein l sst sich die IT Forensik in die Post mortem Analyse und in die Live Forensik bzgl des Zeitpunktes der Untersuchung einordnen Dabei wird bei der Post mortem Analyse auch bekannt als Offline Forensik der Vorfall nachtr glich aufgekl rt Dies geschieht im Wesentlichen durch die Untersuchung von Datentr gerabbildern so genannten Images auf nichtfl chtige Spuren zumindest in einem bestimmten Zeitraum von Vorf llen Das Hauptaugenmerk liegt dabei auf der Gewinnung und Untersuchung von gel schten umbenannten sowie anderweitig versteckten und verschl sselten Dateien von Massenspeichern Bei der Live Forensik auch bekannt als Online Forensik hingegen beginnt die Untersuchung bereits w hrend der Laufzeit des Vorfalls Hier w
528. w bereitstellen LI Partitionstabelle mit der IT Anwendung siehe Kapitel parted auf dem Ziel erstellt parted dev sda mklabel msdos LI Partition und Dateisystem mit der IT Anwendung siehe Kapitel parted auf dem Zieldatentr ger erstellt parted dev sda mkpartfs primary ext2 0 die Gr e wird anschlie end abgefragt O Zieldatentr ger wurde mit der IT Anwendung siehe Kapitel mount eingebunden mount t ext2 dev sdal mnt O Datentr gerabbild erstellen L Physisches Sektorabbild erstellen 338 Leitfaden IT Forensik Anhang B Ablaufdiagramme und Checklisten L Datentr gerabbild mit der DBA siehe Kapitel defldd erstellt und als Rohdatum siehe Kapitel mit Hash Wert zur Integrit tssicherung gesichert defldd if dev hda of mnt forensic imghashlog mnt forensic img hash O Zieldatentr ger wurde mit der IT Anwendung siehe Kapitel umount ausgeh ngt umount mnt Ablaufliste zur Auswertung von Festplattenabbildern Die Ablaufliste zur Auswertung von Festplattenabbildern verzichtet gr tenteils auch auf der detaillierten 1000er Sicht auf die Nennung expliziter Werkzeuge Damit ist diese Ablaufliste in verschiedenen Szenarien einsetzbar Gerade wenn verschiedene Systeme eingesetzt werden kann dies sinnvoll sein So unterscheidet sich die Auswertung von Logdaten von Linux und Windowssystemen sehr deutlich da unterschiedliche Logformate eingesetzt werden Sobald diese in eine einheitliche
529. w products price 20 00 where products id 5 305750 at 251023 305762 081104 14 40 41 server id 1 end Log pos 251602 Query thread id 96 exec_time 0 error code 0 391308 081104 14 42 24 server id 1 end_log pos 322752 Query thread id 116 exec _time 0 error _code 391403 SET TIMESTAMP 1225809744 391434 UPDATE specials set specials new products price 25 00 where products id 5 391514 at 322752 391526 081104 14 42 29 server id 1 end Log pos 323329 Query thread id 117 exec _time 0 error code ubuntu ubuntu Desktops Abb 63 Untersuchung der MySQL Binlogs Hierbei ist ersichtlich dass dabei zwei preisver ndernde Anfragen gefunden Leitfaden IT Forensik 265 Einsatz der IT Forensik anhand ausgew hlter Szenarien wurden Auff llig dabei ist die Syntax dieser Anfragen die nicht der von Zen Cart entspricht was auf eine manuelle Datenbankver nderung hindeutet Diese beiden Anfragen boten mit den darin vorhandenen Zeitstempeln die M glichkeit einer gezielten Korrelation mit der Logdatei des Apache Webservers der die einzige Schnittstelle zur Au enwelt darstellte Datenanalyse An dieser Stelle wurde dasDatenanalyse gewonnene Datum als Grundlage f r eine weitereSitzungsdaten Datenanalyse verwendet Dazu m ssen wieder die Log Anwenderdaten Dateien der beiden Serverdienste analysiert werden dazu wurden in der Werkzeugsammlung geeignete Werkzeuge der Datenanalyse ausgew hlt Die nachfolge
530. weils zwei IP Adressen auf OSI Schicht 3 H her gelegene Protokollebenen wie z B das TCP oder das UDP Protokoll sind aus dieser Darstellungsform nicht ersichtlich Leitfaden IT Forensik 229 Detaillierte Vorgehensweise in der IT Forensik OSI Schicht 4 Transportschicht TCP tshark q z conv tep r 1219251941 cap TCP Conversations Filter lt No Filter gt lt I gt Total Frames Bytes Frames Bytes Frames Bytes 192 168 3 200 8822 lt gt 192 168 1 14 xserveraid 164 27540 163 10997 327 38537 192 168 3 200 58148 lt gt 192 168 1 14 http 142 127873 135 117329 277 245202 192 168 3 200 8823 lt gt 192 168 1 14 beacon port 71 14930 71 4802 142 19732 192 168 3 200 50251 lt gt 192 168 1 14 11457 51 6378 71 4978 122 11356 192 168 3 200 58150 lt gt 192 168 1 14 http 62 68893 56 16945 118 85838 192 168 3 200 58149 lt gt 192 168 1 14 http 46 58026 45 3924 91 61950 192 168 3 200 58139 lt gt 192 168 1 14 http 42 50553 38 3530 80 54083 192 168 3 200 58153 lt gt 192 168 1 14 http 37 36426 37 14236 74 50662 Hier sind sowohl die IP Adressen als auch die eingesetzten Ports erkennbar Bekannte und h ufig eingesetzte Portnummern wie z B http mit Port 80 werden dabei durch Klartext ersetzt Da jedoch keine Inhalts berpr fung der Netzwerk pakete vorgenommen wird kann aus dieser Angabe nicht geschlossen werden dass auch die typischen Inhalte f r diesen Port bertragen wurden OSI Schicht 4
531. weise in der IT Forensik erm glichen NETSH Hierbei handelt es sich um ein Befehlszeilen Skriptingprogramm mit dem man entweder lokal oder remote die Netzwerkkonfiguration eines aktiven Computers anzeigen oder ndern kann Es befindet sich im system32 Verzeichnis der Windows Installation Forensisch bedeutsam ist der Befehl netsh dump Mit diesem Befehl wird die aktuelle Netzwerkkonfiguration ausgegeben Die Daten sind sehr umfangreich und k nnen speziell auf Servern wichtige Anhaltspunkte f r die forensische Untersuchung liefern F r Arbeitsstationen ist jedoch nur ein Bruchteil der Daten relevant Die Ausgabe enth lt unter anderem die Konfiguration jedes einzelnen Netzwerkadapters sowie Routing Infor mationen Bei Serversystemen sind gegebenenfalls weitere Daten n tzlich wie z B die Konfiguration f r den Fernzugriff auf das Netzwerk RAS NETSTAT Netstat liefert Daten zu bestehenden Verbindungen ge ffneten Ports sowie den zugeh rigen Programmen Gerade bei aktuellen Vorf llen sind diese Daten sehr wichtig Dieser Befehl zeigt Protokollstatistiken und aktuelle TCP IP Netzwerkver bindungen an Mit den Parametern netstat a n o b kann ein Process to Port Mapping durchgef hrt werden Bei Vorf llen die sofort festgestellt werden k nnen so weitere Systeme ermittelt werden die entweder weitere Informationen liefern k nnen oder gar der Verursacher sind TRACERT Dieser Befehl legt den Pfad zu ein
532. wie Windows Eventlogs Funktionen zum Filecarving in Datentr gerabbildern sind bereits integriert jedoch noch nicht sehr leistungsf hig Dateien k nnen in ihrer Hexadezimalrepr sentation oder in der Textdarstellung ASCH Text eingesehen werden auch das Extrahieren der Dateien ist m glich Die MAC Zeiten zuvor ausgew hlter Dateien k nnen in einer Zeitlinie korreliert werden Auch Pyflag bietet ber eine integrierte Fallverwaltung die M glichkeit mehrere 184 www sleuthkit org autopsy 185 www pyflag net 216 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik F lle zu erstellen und zu bearbeiten Insgesamt muss jedoch gesagt werden dass es sich bei Pyflag um ein Projekt handelt welches sich noch klar in der Entwicklungsphase befindet und eine beachtliche Anzahl der angebotenen Funktionen in der getesteten Version 0 87prel erhebliche M ngel aufwies siehe dazu auch UMD08c und UMD08d Live View unter Einsatz von VMWare Live View ist in der Lage aus Datentr gerabbildern virtuelle Maschinen zu erzeugen Neben Live View sind dazu VMWare Server ab Version 1 0 bzw VMWare Workstation ab Version 5 5 sowie das VMWare Virtual Disk Develop ment Kit n tig Das Ausgangsabbild kann dabei schreibgesch tzt werden dennoch ver ndert sich der Zustand des in der virtuellen Umgebung gestarteten Systems So wird einerseits die Hardwarekonfiguration des Systems ge ndert andererseits werden neue Logdaten gesch
533. wiederherstellung beim EXT3 Dateisystem basieren auf dem Journal sind u a in Car05 beschrieben F r die gesamte EXT Dateisystemfamilie gilt dass Dateiihalte welche als verf gbar markiert worden sind bei der n chsten Schreiboperation des Dateisystems mit neuen Inhalten berschrieben werden k nnen und damit sich bestenfalls noch Reste des alten Bestandes im Slack Speicher siehe dazu auch Kapitel zu finden sind Daraus ergibt sich auch die in Kapitel vorgestellte berlegung ein laufendes System hart durch Trennung von der Spannungsversorgung auszuschalten Denn durch ein geordnetes Herunterfahren besteht u a die Gefahr das w hrend des Herunterfahrens schreibende Zugriffe auf das Dateisystem erfolgen welche auch die als verf gbar markierten Eintr ge mit neuen Inhalten berschreiben k nnten Das Dateisystem EXT2 und im eingeschr nkten Umfang EXT3 und EXT4 liefern zur Dateirekonstruktion aufgrund ihres Aufbaus die Mechanismen welche durch die Anwendung eines forensischen Werkzeugs benutzt werden k nnen Beispielhaft sei hier das forensische Werkzeug icat genannt dass ebenfalls Bestandteil der Werkzeugsammlung Sleuthkit ist Nachdem Dateien rekonstru iert wurden k nnen diese anschlie end detailliert untersucht werden Extraktion des Slack Speichers Im so genannten Slack Speicher eines Datentr gers kann man berreste von alten Dateien finden siehe dazu auch die Ausf hrungen in Kapitel Da ein Datentr ger
534. ws Server 2008 zu MS Windows Server 2003 122 Extraktion der Konfigurationsdaten 0 ceceeseeceeeeceteeeeteeeeeeeeees 123 Extraktion von Sitzungsdaten cccscccssccsssscsecssccesncesenscssccssecenes 124 Zusammenfassung der Methoden und Werkzeugeinordnung 124 Das Emux Betriebssysten ns aaa 126 Extraktion von Hardwaredaten aan san ea 127 Extraktion von Robdatenmbhalten 127 Extraktion der Konfoeuratponsdaten 127 Extraktion von Kommunikationsprotokolldaten 129 Extraktion von Prozessdaten 00 cccecccescceeseeesceceteceseeeeenteeeneeneeees 131 Extraktion von Stzungsdaten aut 132 Zusammenfassung der Methoden und Werkzeugeinordnung 132 Die grundlegende Methode Dateiswatem eeceeceseeceseeeeeneeeneeeeeees 133 Das Dateisystem IN TPS u a ehe eu 134 Extraktion von Details ber Daten 135 Extraktion von Robdatenmbhalten 141 Das Dateisystem EE 145 Extraktion der Details ber Daten enenneene 146 Extraktion von Robdatenmbhalten 149 Leitfaden IT Forensik 3 Die Dateisysteme EXT2 EXT3 EXT4 sowie EXT3 cow 152 Extraktion von Details ber Daten 154 Extraktion von Robdatenmbhalten cc eseeceeeeceseceeeneeeeeeeeneees 158 Die grundlegende Methode Explizite Methoden der Einbruchserkennung EE 163 Intrusion Detection Systeme am Beispiel von Snort 164 Virenscanner am Beispiel der Komponente AVGuard von Antivir 168
535. xonomie zum aktuellen Stand der Untersuchung Von dem Ausl ser des Vorfalls ist die IP Adresse bekannt aber diese soll im Rahmen einer Untersuchung auf dem angreifenden System m glichst kon kretisiert werden 280 Leitfaden IT Forensik Einsatz der IT Forensik anhand ausgew hlter Szenarien Untersuchung auf dem angreifenden System Strategische Vorbereitung Danach begann die Untersuchung auf dem ausl senden Computer auf dem keine gesonderte strategische Vorbereitung stattgefunden hatte Operationale Vorbereitung In der operationalen Vorbereitung fiel die Entscheidung dass das System komplett zu sichern w re um sp ter vor allem die Sitzungsdaten des Webbrowsers zu untersuchen Diese sollten dann mit den Daten des Servers in Verbindung gebracht werden Datensammlung Hierf r wurde im Rahmen der Datensammlung nach geeigneten Werkzeugen f r eine solche Sicherung gesucht wobei sich die in Tabelle 61 dargestellte Werk zeugsammlung ergab BS FS EME ITA SB DBA Hardwaredaten Rohdaten LL To f fea Details ber Daten Konfigurations daten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 61 Werkzeuge f r die Datensammlung Im Rahmen der eigentlichen Untersuchung waren dann vor allem die Sitzungsdaten interessant Diese konnten Aufschluss dar ber geben ob der Angriff tats chlich von diesem System ausgef hrt wurde
536. ystem mitgef hrt Diese k nnen beispielsweise eine Datei als hidden versteckt kennzeichnen so dass sie von den Dateisystembetrachtern beispielsweise dem DIR Kommando von Microsoft Windows nicht angezeigt werden Auf die dateisystemabh ngigen Attribute wird in der Einzelbeschreibung der jeweiligen Dateisysteme eingegangen Einordnung in Abschnitte des forensischen Prozesses Leitfaden IT Forensik 75 File Slack Dateisystemtabellen MAC Zeiten Rechte Attribute Abschnitte des forensischen Prozesses Detaillierte Vorgehensweise in der IT Forensik Prinzipiell ist das Dateisystem die ausf hrende Instanz der Datenverwaltung in einem Computersystem siehe Tabelle 7 FS Dateisystem SV Strategische Vorbereitung OV Operationale Vorbereitung DS X Datensammlung US X Untersuchung DA Datenanlayse DO Dokumentation Tabelle 7 Grobeinteilung der grundlegenden Methode Dateisystem FS Deshalb sind alle forensisch wertvollen Methoden des Dateisystems in die Abschnitte der Datensammlung und der Untersuchung des forensischen Prozesses einzusortieren Im Kapitelwerden exemplarisch ausgew hlte forensische Eigen schaften von Vertretern der grundlegenden Methode FS im Detail vorgestellt Die grundlegende Methode Explizite Methoden der Einbruchserkennung Explizite Methoden der Einbruchserkennung sind Ma nahmen die weitestgehend automatisiert und routinem ig ausge
537. ysteme zun chst zusammengef gt werden Dies wurde zwar insbesondere bei der Zeit bereits w hrend den anderen Untersuchungs schritten getan dennoch sind f r einen Gesamtverlauf alle Daten relevant Die relevanten Ma nahmen sind in Tabelle 72 dargestellt Leitfaden IT Forensik 295 Untersuchung Sitzungsdaten Datenanalyse Einsatz der IT Forensik anhand ausgew hlter Szenarien BS FS EME ITA SB DBA Hardwaredaten Rohdateninhalte Details ber Daten Konfigurationsdaten Kommunikations protokolldaten Prozessdaten Sitzungsdaten Anwenderdaten Tabelle 72 Ma nahmen der Datenanalyse Die Logdaten der Firewall und des Dom nenkontrollers wurden dazu mit den Rohdaten aus dem Datentr gerabbild zusammengef gt Da vom gegebenen Zeit punkt weder Prozessdaten noch Kommunikationsprotokolldaten vorhanden waren konnten diese nicht zur Vervollst ndigung des Verlaufs genutzt werden Die in Tabelle 73 dargestellte CERT Taxonomie konnte also im Gegensatz zum vorherigen Untersuchungsschritt mit Hinblick auf den Ausl ser konkretisiert werden Angreifer Werkzeuge Schwachstelle Aktion Ziel Resultat Absicht Benutzerkonto Filesharing Stehlen Daten Unerlaubter Meier werkzeug Zugriff auf Computer und Netze und Informationen Tabelle 73 Einordnung des Vorfalls in die CERT Taxonomie zum aktuellen Stand der Untersuchung
538. zeptanz Die angewandten Methoden und Schritte m ssen in der Fachwelt beschrieben und allgemein akzeptiert worden sein Der Einsatz neuer Verfahren und Methoden ist zwar prinzipiell nicht ausgeschlossen jedoch sollte dann ein Nachweis der Korrektheit dieser erfolgen Glaubw rdigkeit Die Robustheit und Funktionalit t von Methoden wird gefordert und muss ggf nachgewiesen werden Wiederholbarkeit Die eingesetzten Hilfsmittel und Methoden m ssen bei der Anwendung Dritter auf dem gleichen Ausgangsmaterial dieselben Ergebnisse liefern Integrit t Sichergestellte Spuren d rfen durch die Untersuchung nicht unbemerkt ver ndert worden sein Die Sicherung der Integrit t digitaler Beweise muss jederzeit belegbar sein Ursache und Auswirkungen Durch die Auswahl der Methoden muss es m glich sein logisch nachvollziehbare Verbindungen zwischen Ereignissen und Beweisspuren und evtl auch an Personen herzustellen Dokumentation Jeder Schritt des Ermittlungsprozesses muss angemessen dokumentiert werden Insbesondere muss die Authentizit t der erhobenen Daten und des Vorgehens des Forensikers gew hrleistet sein Im Rahmen der Dokumentation m ssen die unternommenen Schritte innerhalb der gesamten forensischen Untersuchung d h wer tat wann was und daraus gewonnenen Resultate dargelegt werden Zus tzlich bedarf es eines l ckenlosen Nachweises ber den Verbleib von digitalen Spuren und der Ergebnisse der daran vorgenommenen Untersuchungen
539. zesses fiir den Linux Kern Die hier rot markierten Bereiche zeigen an dass f r die zugeh rigen Datenarten in den jeweiligen Abschnitten des forensischen Prozesses Werkzeuge des Linux Kerns identifiziert wurden Die grundlegende Methode Dateisystem Innerhalb der grundlegenden Methode Dateisystem engl File System FS werden die Dateisysteme NTFS und FAT f r Windows sowie die EXT Dateisystemfamilie f r Linux betrachtet Auf Anwendung der im Kapitel vorgestellten detaillierten Notation bei der Beschreibung der forensischen Leitfaden IT Forensik 133 Detaillierte Vorgehensweise in der IT Forensik Werkzeuge wird dabei im Verlauf dieses Kapitels zugunsten einer breitfl chigen berblicksvermittlung der forensischen Eigenschaften des betrachteten Datei systems verzichtet Das Dateisystem NTFS Das Dateisystem NTFS wurde von Microsoft f r die Windows Betriebs systemfamilie entwickelt Es kam zum ersten Mal in Microsoft Windows NT zum Einsatz und ist seit Microsoft Windows XP das standardm ig eingesetzte Dateisystem Gegen ber seinem Vorg nger dem ebenfalls im vorliegenden Leit faden betrachteten FAT Dateisystem bietet es u a eine h here Such Lese und Schreibgeschwindigkeit und eine differenziertere Rechteverwaltung und Zugriffs kontrolle Da Dateisysteme vor allen den Datenstamm f r eine Datentr ger untersuchung darstellen sind dessen Eigenschaften in den Untersuchungs abschnitten der Datensammlung und n
540. zipien der Forensik derart erfolgen dass idealerweise eine vollst ndige Erfassung und 24 Leitfaden IT Forensik Einf hrung Speicherung erfolgt und keine Daten durch diese Sicherungsma nahmen verf lscht werden Wenn jedoch Ver nderungen erfolgen bzw unvollst ndige Datensammlungen vorliegen m ssen diese festgehalten und dokumentiert sowie im Rahmen der abschlie enden Dokumentation gerechtfertigt und der Verf lschungsgrad und dessen Bedeutung bewertet werden Dies hat Einfl sse auf die Beweiskrafttendenz Prinzipiell sollten die Daten in der Reihenfolge ihrer Fl chtigkeit gesammelt werden siehe dazu auch Kapitel ein forensisches Duplikat sollte von allen betroffenen Massenspeichern gewonnen werden Der Ablauf der Datengewinnung muss dabei angemessen dokumentiert werden Nach Abschluss der Datensammlung erfolgt deren Untersuchung Hierbei werden den Vorfall betreffende Daten extrahiert Eine Reduktion der Daten ergibt sich dadurch dass bestimmte Daten aus der weiteren Untersuchung ausgeschlossen werden k nnen z B durch die berpr fung gegen bekannte Checksummen Bereits hier kann sich die Notwendigkeit ergeben die Untersuchung auf weitere Komponenten der IT Anlage auszuweiten Damit muss die gesamte Unter suchung beginnend mit der Vorbereitung auf diesen Komponenten ebenfalls durchgef hrt werden Die Durchf hrung der Untersuchung ist detailliert zu dokumentieren Da h ufig mehrere Teilkomponenten von einem Vorfall b
541. zum FAT Dateisystem ist die Position der MFT nicht fix wenn z B ein Laufwerkssektor als defekt markiert wurde wird die MFT an einen anderen Ort geschrieben Das Betriebssystem Ladeprogramm ntldr liest die Position der MFT aus dem Partition Boot Sektor Enth lt dieser Sektor ung ltige Eintr ge z B aufgrund eines Vorfalls wird die Partition vom Betriebssystem als nicht formatiert markiert Eine Vielzahl forensischer Werkzeuge sind in der Lage den Partition Boot Sektor auszulesen Beispielhaft sei hier auf das Werkzeug ZAR verwiesen Dadurch 99 http www sleuthkit org sleuthkit docs skins_ntfs html 100 http www z a recovery com download htm 138 Leitfaden IT Forensik Detaillierte Vorgehensweise in der IT Forensik k nnen Manipulationen am Partition Boot Sektor festgestellt werden die dazu f hren k nnten ein anderes System als das beabsichtigte zu laden Der Partition Boot Sektor geh rt bzgl der Datenarten des Modells des forensischen Prozesses zur Gruppe Details ber Daten Die Access Control Lists ACL Mit dem NTFS Dateisystem wurde auch eine feingranularere Verteilung von Zugriffsrechten m glich Die Verwaltung von Rechten Die Funktion der Access Control Lists speichert umfangreiche Daten zu Benutzerrechten von Verzeichnissen und Dateien Im Gegensatz zu kon ventionellen Rechtevergaben in denen nur dem Besitzer einer Datei bzw einer Gruppe die Rechte zum Lesen Ausf hren und Modifizieren gegeben werde
Download Pdf Manuals
Related Search