Final - Vorlage für Praktika

Aus Labor für Echtzeitsysteme

Wechseln zu: Navigation, Suche

Kaptiel 1. Allgemeines

1.Überblick

Was ist IT-Forensik !? (Auszug aus Wikipedia) Die IT-Forensik oder auch Computer-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit Informationstechnik|IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Protokoll|Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Mittlerweile ist die Untersuchung von Computersystemen auch im Zusammenhang mit „herkömmlichen“ Verbrechen, aber auch für Zwecke der Steuerfahndung, kaum noch wegzudenken. Die Untersuchung von computerbezogenen Verbrechen (Netz- bzw. Servereinbrüche, etc.) spielt meist eine untergeordnete Rolle.

IT-Forensik und Beweismittelsicherung Um Beweise zu sichern, werden zum Beispiel Datenträger, sowie Protokolle des Netzverkehrs gesichert und analysiert. Bei der Analyse von Datenträgern wird in der Regel vorher ein forensisches Duplikat erstellt. Die Kenntnis um die Halbwertzeit der einzelnen Spuren sollte die Reihenfolge der Sicherung der digitalen Spuren bestimmen, in der Realität wird jedoch häufig nach Grundsätzen verfahren, die dieser Aussage widersprechen: Viele Verfahrensvorgaben für computerforensische Untersuchungen sehen als ersten Schritt das Ziehen des Netzsteckers und den Ausbau der Festplatten vor, woraufhin diese auf mitgebrachte Sicherungsplatten kopiert werden. Dieser Ansatz macht beispielsweise eine Untersuchung des Arbeitsspeicherinhaltes unmöglich. Darüber hinaus gefährdet er bei einigen Dateisystemen die Datensicherheit auf den Festplatten, da moderne Dateisysteme viele relevante Daten im Speicher halten, die verloren gehen bzw. nur noch teilweise durch Selbstreparaturmaßnahmen des Dateisystems wieder korrigiert werden können. Diese Option steht nach der Erzeugung einer Kopie möglicherweise nicht mehr zur Verfügung. Einzelne Softwareprodukte zur IT-Forensik tragen diesem Umstand unterschiedlich gut Rechnung.

Neben der klassischen Datenträgeranalyse von Festplatten aus Personal Computer|PC- und Serversystemen rückt die Auswertung digitaler Spuren von Smartphones und Personal Digital Assistant|PDAs immer stärker in den Vordergrund.

Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.

Überlegungen zur Beweismittelsicherung Um eine forensische Analyse durchführen zu können, sind im Vorfeld – bei der Sicherung des Systems – einige Dinge zu beachten:

Das originale Beweismaterial muss so wenig wie möglich „bewegt“ werden. Jede „Bewegung“ des Beweismaterials kann eine Verfälschung zur Folge haben (Warum? →) Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.


Prozess Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten: Identifizierung Sicherstellung Analyse Präsentation / Aufbereitung

Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:

‚Wer‘ – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt? ‚Wann‘ – Datum und Uhrzeit. ‚Warum‘ – Warum wurde eine Änderung, Bewegung und / oder Abweichung vorgenommen? ‚Wo‘ – Genaue Ortsangabe. ‚Was‘ – Was wurde genau getan? ‚Wie‘ – Wie wurde vorgegangen bzw. welche Tools und / oder welche physikalischen Mittel wurden eingesetzt?


Identifizierung Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen.


Sicherstellung Dieser Schritt beinhaltet die eigentliche Beweiserhebung. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können.

In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.


Analyse Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, muss eine erste Analyse erfolgen. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.


Aufbereitung und Präsentation Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

Ermittlung der Identität des Täters / der Täter, Ermittlung des Zeitraums der Tat (Erstellung „Timeline“), Ermittlung des Umfanges der Tat, Ermittlung der Motivation der Tat und Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab.




Literatur Dan Farmer, Wietse Venema: Forensic Discovery. 2nd pr. Boston [u. a.]: Addison Wesley, 2006. ISBN 0-201-63497-X Alexander Geschonneck: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3., aktualisierte und erweiterte Aufl. Heidelberg: dpunkt Verl., 2008. ISBN 3-89864-534-7


Artikel und Fachbeiträge Der Feind in meinem Büro – Firmen unterschätzen Wirtschaftskriminalität durch Datenklau (Spiegel Online 24. Mai 2007) „Versteckte Daten in JPEG-Dateien“ (Netzreport, 4. Oktober 2006) „Der PC ist das Beweismittel“ (ZDFheute Online, 16. April 2006) „Computer-Forensik: Kein Fall für Dr. Watson“ (Heise Security, 19. August 2005) „Verbrecherjagd am PC“ (PC-Magazin, ohne Datum) „Zwischen Festplatte und Fingerabdruck“ (Tagesspiegel, 24. Juli 1996)


Sachbezogene Webseiten zum Thema computer-forensik.org forensicswiki.org computer.forensikblog.de












Kapitel 2: Vorbereitung

2. 1 Die Helix CD:

Bei der Helix CD handelt es sich um eine Linux Live CD. Von einer Live CD kann direkt ein Betriebssystem gebootet werden. Der PC muss hierzu in seinem BIOS so eingestellt sein, dass von der CD gebootet wird. Hat dies alles geklappt erscheint der Bootloader der Helix CD. Hier sollte für das Praktikum die Option "GUI" ausgewählt werden. Der Start von der CD dauert meist etwas länger als von einer Festplatte.

Hat das System vollständig gestartet, erscheint ein übersichtlicher Desktop. Sämtliche Laufwerke werden angezeigt und können durch simples draufklicken eingehangen werden. In der Leiste unten befinden sich die wichtigsten Menüs. Von hier kann man ein Root Terminal öffnen. Sollte man Speicherplatz brauchen um Dateien irgendwo zu speichern, so ist bitte die Ramdisk zu benutzen. Ein leerer Ordner mit genug Speicherplatz wäre: /ramdisk/home/helix/


2.2 Die Linux Shell:

Zu Linux findet man jede Menge Informationen im Internet. Unter Linux kann man zu jedem Befehl mit "man BEFEHL" das Manual lesen. Sollte zu einem Befehl kein Manual vorhanden sein, hilft ein "BEFEHL --help" In diesem Praktikum wird hauptsächlich mit der Shell gearbeitet. Hierzu sollte man mit Linux und den folgenden Befehlen vertraut sein:

"man", "df", "fdisk", "find", "losetup", "mount", "echo", "setxkbm", "firefox", "chkrootkit", "mork.pl", "more"

Zusätzlich solte man wissen, wie und wo Firefox 2 seine history speichert!


2.3 Zusätzliche Fragen:

  • 2.1 Wie kann man heraus finden, wie viel Speicherplatz (in kB, MB oder GB !) unter /ramdisk noch frei ist ?
  • 2.2 Was bewirkt die Taste TAB in einer Linuxshell ?
  • 2.3 Welcher Befehl würde eine Liste aller Dateien in /tmp/files.txt schreiben ?
  • 2.4 Wie findet man ein freies Loop-Device (losetup) ?
  • 2.5 Wie ruft man das Manual von ls auf ?
  • 2.6 Wie listet man alle Dateien (auch versteckte) auf ?



Kapitel 3: Aufgabe/Durchführung

3.1 Aus einem Zeitungs-Auszug:

POLIZEIDIREKTION DÜSSELDORF Überfall auf Geldinstitut

19.06.2008/ 11:50 Uhr Örtlichkeit: Kaiserswerther Markt 35, 40489 / Düsseldorf

Heute Mittag ist gegen 11:50 Uhr ein Geldinstitut an dem Kaiserswerther Markt durch einen unbekannten Täter überfallen worden. Die Polizei bittet die Bevölkerung anhand der Bilder aus der Überwachungskamera um Mithilfe bei der Fahndung und Aufklärung der Tat.

Der Mann begab sich an einen Schalter und zeigte gegenüber dem Angestellten einen Zettel mit der Notiz "Geld her oder ich schieße" vor. Um dieser Aufforderung Nachdruck zu geben holte er gleichzeitig kurz eine grau-schwarze Pistole, Model P8 der Marke Hackler & Koch hervor. Der Mitarbeiter des Geldinstitutes übergab dem Mann daraufhin Bargeld, dass er in eine mitgebrachte blaue Tüte verstaute. Anschließend verließ der Täter das Institut und floh von dem Kaiserswerther Markt in Richtung Düsseldorfer Flughafen. Trotz einer sofort ausgelösten Fahndung konnte der Täter bisher nicht gefunden werden. Der Mann ist circa 1,80 Meter groß, 40 bis 45 Jahre alt und hat eine normale Statur. Er trug zur Tatzeit eine graue Hose, einen dunklen Blouson, ein braunes Basecap und schwarze Schuhe. Hinweise zum Täter und Tatablauf sind an den Kriminaldauerdienst unter der Rufnummer 0211 109-5222 zu richten.


Am 19.06.2008 wurde eine Filiale der Dresdener Bank überfallen. Aufgrund polizeilicher Ermittlungen hat die Polizei einen Hauptverdächtigen. Im Verlauf der Beweissicherung wurde unter anderem der Computer des Verdächtigen beschlagnahmt.

Ihre Aufgabe besteht nun darin, den PC, mit Hilfe der vorgegebenen Software, auf Beweismaterialien zu untersuchen.


3.2 Vorgehensweise beim Praktikumstermin

1.Analysieren Sie das Surfverhalten des Users 2.Analysieren Sie den E-Mail-Verkehr des Users 3.Stellen Sie "gelöschte" Dateien wieder her 4.Zip-Datei untersuchen (Für die schnelleren Praktika-Teilnehmer) 1.Pwd. Auslesen/herausfinden 2.Inhalt anschauen



Durchführung

Nachdem das Live System gestartet wurde, muss zuerst mal die Festplatte mit dem Image eingehangen werden. Das Image befindet sich unter /media/XXXXXXXX. Zum einhängen des Images ist ein freies Loop Device erforderlich. Der Befehl "dfisk -l IMAGE" zeigt an, wie die Festplatte, von der das Image stammt partitioniert ist. Dieses Image kann nun mit den Befehlen "losetup -o $((63*512)) /dev/loopX IMAGE" und "mount -o ro,noatime,noexec /dev/loopX /mnt" nach /mnt eingehangen werden. Nun können die Dateien aus dem Image unter /mnt/ gelesen und bei Bedarf kopiert werden.

Da unter /mnt nun alle Dateien erscheinen kann man diese mit chkrootkit nach Rootkits durchsuchen. Da die Ausgabe eine lange Liste ist, ist es empfehlenswert die Ausgabe mit Hilfe von more seitenweise anzuzeigen.

Etwas mehr Komfort als die Konsolenbefehle bietet das Tool Autopsy. Es kann per Mausklick gestartet werden. Bedient wird es per Browser. Um das Image zu analysieren legt man ein neues Case an: Der Case Name ist Praktikum, die restlichen Feldern können leer bleiben. Man kann sich nun ohne zusätzliche Eingaben durchklicken bis der Button für "Add Image File" erscheint. Das Image mit vollem Pfad eingeben und weiter durch klicken, bis man eine Liste der Partitionen sieht. Hier die ext Partition auswählen und analysieren. Unter FileAnalysis kann man die Dateien auf dem Image sehen.

Sobald man die history.dat vom Firefox gefunden hat, kann man sich den Verlauf ansehen. Dazu bietet Helix den Befehl mork.pl an. Die Ausgabe wird in einer von Menschen lesbaren Zeit benötigt. Es wird dringend empfohlen eine HTML-Ausgabe zu machen, diese in eine temporäre Datei zu schreiben und sich das Ergebnis im Firefox anzusehen. Die normale Ausgabe, vor allem das Zeitformat hierbei, ist zu unübersichtlich.

Aufgabe: Beantworten Sie die Fragen 1-4 im Auswertungssystem

Ist ein Rootkit vorhanden? Wenn ja, welches? Nein

Wann wurde die Seite www.egun.de aufgesucht? Welche Seite wurde am xxxx um xx:xx Uhr besucht? Welche anderen Seiten wurden besucht?


Grepmail ist ein leistungsfähiges Kommandozeilen-Tool zum unter- bzw. durchsuchen von Mailboxen welche im mbox Format gespeichert werden wie beispielsweise Thunderbird dies tut.

Durch eine vielzahl von Optionen und die geschickte Kombination der grepmail Ausgabe mit anderen Kommandozeilen-Befehlen kann nahezu jede Information aus einer Mailbox gewonnen werden.

Hierzu nun einige Beispiele:

Nachdem zum Pfad des Inbox-File navigiert wurde

cd /home/'user'/.mozilla-thunderbird/Mail/'Postfach'

dient der Befehl

grepmail -rh  “Suchwort“ Inbox

dazu die Häufigkeit des gesuchten Wortes in den Headern aller mails anzugeben .

Der Befehl

grepmail -h(-b) “Suchwort“ Inbox | grep  “^From: “ | sort	>/ramdisk/home/helix/target.txt

ermittelt welche Header(Bodys) ein bestimmtes Suchwort enthalten und schreibt die Absender nach Namen sortiert in eine Liste .

Der Befehl

grepmail -h “Absender“ Inbox | grep “^Date: “

ermittelt die Daten an denen E-Mails eines bestimmten Absenders empfangen wurden.

Der Befehl

grepmail -B „“Absender“ Inbox > /ramdisk/home/helix/target.txt

erstellt eine Textdatei mit allen E-Mails eines bestimmten Absenders


Aufgabe: Beantworten Sie die Fragen 5-7 im Auswertungssystem Wie lautet die Email-Adresse der Person, an die Wolfgang S. das Geld fürs Haus überwiesen hat? mr.toronto@web.de Wann hatte Wolfgang S. mit dem Waffenverkäufer elektronischen Kontakt? 11.09.2001 Wie lautet die Auktionsnummer der Waffe? 666


Autopsy zeigt bei den Dateien an, ob diese gelöscht sind oder nicht. Manche gelöschten Files kann man wiederherstellen. Mit Hilfe von Export können (gelöschte) Dateien bei Bedarf vom Image heruntergeladen werden. Bitte hierfür das Verzeichniss /ramdisk/home/helix/ nutzen. Ob man die Dateien per Konsole oder per Browser sichtet ist egal. Gelöschte Dateien erscheinen nicht auf der Konsole.

Aufgabe: Beantworten Sie die Fragen 8-9 im Auswertungssystem Welche Dateien wurden im Home-Verzeichnis des Users gelöscht? Geben sie nur die Endungen der Dateien ein. Konto-Nr. von Wolfgang S.?


Zip-Datei:

Aufgabe: Beantworten Sie die Fragen 10-13 im Auswertungssystem Wie lautet das Pwd der Zip-Datei? 555888 Wie heißt die Frau von Wolfgang S. Nur der Vorname? Angela War Wolfgang S. der Täter? Nein Welche Datei entlastet ihn? Meinfang.jpg

Persönliche Werkzeuge