Computerforensik

Commentaren

Transcriptie

Computerforensik
Computerforensik
Vorlesung im Frühjahrssemester 2007
Universität Mannheim
Exkurs: Ablauf von Angriffen
Prof. Dr. Felix Freiling
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
http://pi1.informatik.uni-mannheim.de
Name und Datumwww.uni-mannheim.de
Seite 1
Motivation
• Ziel eines Angreifers: Das System dazu bringen,
etwas zu tun, was es nicht tun sollte
• Beispiele:
– Absturz des Rechners (Denial-of-Service)
– Vollständige Kontrolle über den Rechner (Root-Zugang)
• Wie gehen Angreifer typischerweise vor?
• Welche Techniken setzen sie ein?
• Hintergrundwissen ist nützlich bei der Untersuchung
von Systemeinbrüchen
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 2
Vorsicht
• Jeder Fall ist neu und einzigartig!
• Wichtig sind Fakten, nicht Vermutungen
– Bereits vor der Untersuchung von Beweismitteln beginnen
Ermittler bereits, Theorien über den Tathergang zu bilden
• Die „Erfahrungsfalle“:
– Wenn ein neuer Fall ähnlich erscheint zu einem alten, ist
man geneigt, den neuen mit den Mitteln anzugehen, die
beim alten zum Erfolg führten
• Mit zunehmender Erfahrungen werden derartige
Voraussagen genauer, aber man darf niemals darauf
vertrauen
[Casey, p. 93f]
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 3
Übersicht
•
•
•
•
Arten von Angriffen
Klassen von Angreifern
Typische Angriffsverläufe
Beispiel eines echten Angriffs
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 4
Schwachstellen und Exploits
• Sicherheitslücke/Schwachstelle (vulnerability):
– Schwäche eines Systems, die als Ansatzpunkt für einen
möglicherweise erfolgreichen Angriff ausgenutzt werden kann
– Designfehler, Implementierungsfehler, oft unbekannt
• Bekannte Klassen:
–
–
–
–
–
–
Stack Overflow, Heap Overflow
Integer Overflow
Race Conditions
Cross Site Scripting
Command Injection
usw. (siehe Vorlesung “Angewandte IT-Sicherheit”)
• Exploit:
– Programm, welches die Schwachstelle ausnutzt
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 5
Code mit Schwachstelle
/* concat.c: concatenate command line arguments and print them */
void concat_arguments(int argc, char **argv) {
char buf[60];
char *p = buf;
int i;
for (i = 1; i < argc; i++) {
strcpy(p, argv[i]);
p += strlen(argv[i]);
if (i + 1 != argc) *p++ = ' '; /* Add a space back in */
}
printf("%s\n", buf);
}
int main(int argc, char **argv) {
concat_arguments(argc, argv);
exit(0);
}
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 6
Local und Remote Exploit
• Local Exploit führt zu erweiterten Rechten auf einem
Computer, zu dem der Angreifer bereits Zugang hat
– Beispiel: Benutzerpasswort erraten, anschliessend
Privilegeskalation zu Root
• Remote Exploit führt zu Rechnerzugang
– Typischerweise Schwachstelle in einem Netzwerkdienst
– Beispiel: Ausnutzen einer Schwachstelle in einer
Webapplikation (Rechte des Webservers), anschliessend
Privilegeskalation to Root (durch Local Exploit)
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 7
Arten von Angriffen
• Händische Kompromittierung
– Eine Person „legt selbst Hand an“
• Automatisierte Kompromittierung
– Vollkommen automatisierte Kompromittierung durch
bösartige Software (Malware)
• Unterschied nicht immer klar (Verwendung von
Tools)
• Die meisten der folgenden Aussagen gelten für
händische Angriffe
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 8
Übersicht
•
•
•
•
Arten von Angriffen
Klassen von Angreifern
Typische Angriffsverläufe
Beispiel eines echten Angriffs
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 9
Klassifikation von Angreifern
• Klassifikation nach möglicher krimineller Energie:
–
–
–
–
Hacker: "testen" Systeme auf Schwachstellen, handeln aus
Spieltrieb, wollen Status in der community verbessern
Cracker/Corporate Raiders/professionelle Kriminelle: wollen
sich mit Spezialwissen persönlich bereichern (durch
Computerbetrug, unentgeltliche Nutzung von
Dienstleistungen, oder bezahlte Aktivitäten wie
Industriespionage im Auftrag von Firmen)
Vandalen/IT-Terroristen: führen Angriffe durch, um Personen
oder Organisationen zu schaden
IT-Spione/Geheimdienste: führen Angriffe mit dem Ziel der
Informationsgewinnung oder gezielten Manipulation durch,
politisch oder wirtschaftlich motiviert, teilweise mit sehr
hohem Budget
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 10
Ordnung der Angreiferklassen
• Ordnung "schlimmer als"
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 11
Wie wahrscheinlich ist ein Angriff?
• Ziel: Schutz gegen Angreiferklasse X, womit muss
gerechnet werden?
• Zum Beispiel X = Hacker:
–
–
–
Angriffe auf bekannte Schwachstellen
Angriffe mit "billiger" Technologie
Angriffe, die wenig Zeitaufwand erfordern
• Beobachtung: Statt Wahrscheinlichkeit ist der
Aufwand des Angreifers eine aussagekräftige
Maßzahl
–
Analogie: work factor-Ansatz aus physischer Sicherheit
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 12
Übersicht
•
•
•
•
Arten von Angriffen
Klassen von Angreifern
Typische Angriffsverläufe
Beispiel eines echten Angriffs
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 13
Modell nach Jonsson/Olovsson
•
Erland Jonsson, Tomas Olovsson: A Quantitative Model of the Security Intrusion Process
Based on Attacker Behavior. IEEE Transactions on Software Engineering, Vol. 23, No. 4,
April , 1997
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 14
Angriffsverläufe nach Geschonneck (1/2)
• Footprinting
– Angreifer sucht im Internet nach Informationen über das
Angriffsziel
– Ergebnis: Liste mit „interessanten“ IP-Adressen
• Port- und Protokollscan
– Welche (UDP/TCP) Ports sind offen?
• Enumeration
– Welche Dienste laufen auf den Ports?
– Welches Betriebssystem hat der Rechner?
• Bis hier alles noch nicht strafbar...
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 15
Angriffsverläufe nach Geschonneck (2/2)
• Exploiting/Penetration
– Nachschlagen nach bekannten Sicherheitslücken der Dienste
– Herunterladen und Ausführen des Exploits
• Hintertüren einrichten
– Installation eines Rootkits, speziellen Benutzeraccounts oder
einer Shell, die an einem Netzwerkport lauscht
• Spuren verwischen
– Tools löschen, Logfiles säubern, etc.
• Quelle: A. Geschonnek: Computer Forensik, 2.
Auflage, dpunkt, 2006, Kapitel 2
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 16
Übersicht
•
•
•
•
Arten von Angriffen
Klassen von Angreifern
Typische Angriffsverläufe
Beispiel eines echten Angriffs
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 17
Beispielangriff
• Analyse eines Einbruchs an der RWTH Aachen vom 5.
Mai 2006
–
–
–
Angegriffenes System: Honeypot auf Suse Linux 9.1
Quelle: Diplomarbeit von Jan Göbel, RWTH Aachen
Uhrzeiten sind MEZ
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 18
Ablauf des Angriffs (1/5)
• 14:30:19
–
–
Rechner A, wahrscheinlich in Seoul, Korea, nutzt
Schwachstelle in Horde Application Framwork
(Webanwendung) aus
Dringt mit den Rechten des Webservers auf den Aachener
Rechner ein
• 14:30:48
–
–
Angreifer nutzt wget, um eine Datei 111.zip von der
Website http://66.218.xxx.xxx/isdulce/sex/ herunterzuladen
Zugriff schlägt fehl, Datei existiert dort nicht
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 19
Ablauf des Angriffs (2/5)
• 14:32:37
–
–
Angreifer lädt Datei 1111.php.zip von
http://217.113.xxx.xxx/marianne/ herunter
Zip-Archiv enthält PHP-Anwendung, um e-Mails zu versenden
• 14:34:42
–
–
Rechner B, wahrscheinlich in Bukarest, Rumänien, greift auf
installierte Software zu per HTTP zu
Vermutung: Angreifer testet die Software
• 20:25:22
–
Rechner C, wahrscheinlich in Dulles, Virginia, USA, greift
ebenfalls auf die installierte Software per HTTP zu
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 20
Ablauf des Angriffs (3/5)
• 20:48:51
–
–
–
Erneuter Zugriff von Rechner A aus
rm -rf 1111.php/
Vermutung: PHP-Skript wurde gelöscht, weil es nicht richtig
funktionierte (es wurden keine e-Mails verschickt)
• 20:49:01
–
–
Angreifer lädt Datei eb.zip von
http://217.113.xxx.xxx/marianne/ herunter
Zip-Archiv enthält eine eBay Phishing Site
• 20:49:19
–
Angreifer lädt PHP e-Mail-Skript erneut herunter und packt es
aus
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 21
Ablauf des Angriffs (4/5)
• 20:49:33
–
Erneuter Zugriff von Rechner B auf die Phishing site
• 20:50:18
–
–
Zugriff von Rechner C auf Phishing Site
Vermutung: Kommandos prüfen die Funktionsfähigkeit der
Website
• 21:17:37
–
Rechner B greift auf e-Mail-Skript zu
• 22:56:14
–
Rechner C greift auf e-Mail-Skript zu
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 22
Ablauf des Angriffs (5/5)
• 22:56:33
–
Rechner C verbindet sich zur eBay-Phishing-Site
• An dieser Stelle wurde der kompromittierte Rechner
vom Netz genommen, um andere Benutzer des
Internet nicht zu gefährden
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 23
Analyse der Werzeuge
• 1111.php.zip
–
–
Zip-Archiv mit PHP-Skript für den Versand von e-Mail
Kann verwendet werden, um SPAM oder phishing-Mails zu
verschicken
Subject aller ausgehenden Mails wäre gewesen "Question
from eBay Member"
Absenderadresse "eBay Member <[email protected]>"
Benutzerschnittstelle: 2 Textboxen
–
–
–
•
•
–
erste Textbox für Text der e-Mail
zweite Textbox für eine Liste der Zieladressen
Skript kann adaptiert werden (händisch heruntergeladene
Version war auf Amazon zugeschnitten)
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 24
Analyse der Werzeuge (2/2)
• eb.zip
–
–
eBay Phishing Site
zusätzlich PHP-Skipt, das Username und Passwort an eine
vordefinierte e-Mail-Adresse schickt
Phishing Site hat eine URL, die so aussieht wie eine echte eBay URL
–
•
•
falsch:
echt:
/eb/ws/eBayISAPIödllSignIn&co_partnerId=2/pUserId=...
/signin.ebay.de/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=...
–
Phishing-Site sendet Username und Passwort per e-Mai und leitet
das Opfer auf die echte eBay-Seite weiterl
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 25
Die eBay Phishing Seite
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 26
Zusammenfassung
•
•
•
•
Arten von Angriffen
Klassen von Angreifern
Typische Angriffsverläufe
Beispiel eines echten Angriffs
Vorlesung Computerforensik, Frühjahrssemester 2007, Universotät Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 27
Communications of the ACM, 48(8), 2006
Ausblick
• Forensic Mindset
• Fragen?
Name und Datumwww.uni-mannheim.de
Seite 28
Computerforensik
Vorlesung im Frühjahrssemester 2007
Universität Mannheim
Teil 3: Forensische Prinzipien
Prof. Dr. Felix Freiling
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
http://pi1.informatik.uni-mannheim.de
Name und Datumwww.uni-mannheim.de
Seite 1
Ankündigungen 7.3.2007
• Keine Forensik-Übung heute
• Übungsraum wird außerdem verlegt in A5 B244
• Vortragszusagen
– Andreas Schuster (Telekom) am 9. Mai 2007
– Katja Könnecke (BKA)
– Steven Wood (Alste GmbH)
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 2
Zum Begriff: Computerforensik
• Casey (p. 31) merkt an, der Begriff Computerforensik
sei ein „syntactical mess that uses the noun
computer as an adjective and the adjective forensic
as a noun“
– Analog müsste man forensische Entomologie als „bug
forensics“ bezeichnen
• Genauer wäre forensic computing oder digital
forensic science
– Deutsch: forensische Informatik
– ... nächster Durchgang der Vorlesung...
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 3
Übersicht: Themen der Vorlesung
1.
2.
3.
4.
5.
6.
7.
8.
9.
Motivation und Überblick
Forensik und digitale Spuren
Forensische Prinzipien und Beweise
Vorgehensmodelle: Incident Response vs.
Computerforensik
Dateisystemanalyse
Internet-Forensik und Live Response
Computerforensische Werkzeuge
Rechtliche Rahmenbedingungen
Zusammenfassung
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 4
Motivation
• Basic Forensic Mindset
–
–
–
Wie geht man an forensische Fragestellungen heran?
Welche Grundregeln sind zu beachten?
Wie gehe ich wissenschaftlich vor?
• Was ist ein Beweis?
• Quellen:
–
–
Casey, pp. 91ff, und Kapitel 7
Dornseif, Vorlesung vom 14.1.2004
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 5
Übersicht
• Der wissenschaftliche Ansatz
• Forensische Vorgehensweise
• Beweise
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 6
Was wollen wir?
• Wahrheit herausfinden
• Genauer:
–
–
–
–
–
–
Was ist passiert?
Wo?
Wann?
Wie?
Wer?
Warum?
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 7
Objektivität
• Effektivität einer Untersuchung hängt entscheidend
von der Objektivität der Ermittler ab
• Ermittler beginnen sofort, Theorien über den
Tathergang zu bilden
– Jeder Fall ist jedoch neu und einzigartig!
• Wichtig sind Fakten, nicht Vermutungen
• Die „Erfahrungsfalle“:
– Wenn ein neuer Fall ähnlich erscheint zu einem alten, ist
man geneigt, den neuen mit den Mitteln anzugehen, die
beim alten zum Erfolg führten [Casey, p. 93]
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 8
Hans Gross
• Nothing can be known if nothing has happened; and yet, while
still awaiting the discovery of the criminal, while yet only on the
way to the locality of the crime, one comes unconciously to
formulate a theory doubtless not quite void of foundation but
having only a superficial connection with reality; you have
already heard a similar story, perhaps you have formerly seen
an analogous case; you have had an idea for a long time that
things would turn out in such and such a way. This is enough;
the details of the case are no longer studied with entire freedom
of mind. Or a chance suggestion thrown out by another, a
countenance which strikes one, a thousand other fortuitous
incidents, above all losing sight of the association of ideas end
in a preconceived theory, which neither rests on juriducal
reasoning nor is justified by actual facts.
Hans Gross: Criminal Investigation, Sweet&Maxwell, London, 1924
(zitiert nach Casey, p. 93)
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 9
Risiken von Voreingenommenheit
• Voreilige Theorien können dazu führen, dass
bestimmte Spuren nicht mit der nötigen Sorgfalt
untersucht oder falsch interpretiert werden
• Beispiel: gelöschte Datei mit Namen „σorn1yr5.gif“
mit nacktem Kleinkind
– Bei der Dateiwiederherstellung könnte ein Ermittler geneigt
sein, den Originalnamen als „porn1yr5.gif“ statt
„born1yr5.gif“ zu wählen
– Besser: neutrales Zeichen verwenden „_orn1yr5.gif“
– Dokumentieren, dass das erste Zeichen zerstört war
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 10
Wissenschaftliche Methodik
• Grundannahme: Jede Beobachtung oder Analyse kann Fehler
enthalten
• Der Versuch, eine Theorie zu bestätigen, erhöht die Chancen,
Fehler zu machen
• Besserer Ansatz: viele Theorien entwickeln und versuchen,
Theorien zu widerlegen
– Schwerer, von einer Theorie eingenommen zu werden
– Höhere Wahrscheinlichkeit, objektive Ergebnisse zu bekommen
• Grundsatz: Suche immer Fehler in Deinen eigenen Theorien
• Wissenschaftstheorie von Karl Popper (1902-1994)
– „... das einzige Kriterium für die Wissenschaftlichkeit eines Satzes
ist seine prinzipielle Falsifizierbarkeit.“
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 11
Übersicht
• Der wissenschaftliche Ansatz
• Forensische Vorgehensweise
• Beweise
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 12
Basic Mindset
• Nichts verändern
– Wissen, dass nichts verändert wurde, bedeutet lediglich,
dass man nichts bewußt verändert hat
• Änderungen passieren schnell, z.B. durch
– booten eines Systems, mounten einer Festplatte, ls –lR, ...
• Alles immer und überall nachweisbar machen
– Dokumentieren
– Dokumentieren
– Dokumentieren
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 13
Dokumentieren
• Möglichst viel schriftlich, auf Papier, und von Hand
– Erleichtert die Authentifikation
• Möglichst numerierte, gebundene Seiten
– Beugt Manipulationen vor
• Jedes Blatt sollte mit dem eigenen Kürzel signiert
sein
• Jeder Eintrag/jedes Blatt sollte Ort und Zeit der
Aufzeichnung dokumentieren
• Jeden Schritt dokumentieren, wirklich jeden
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 14
Automatische Doku
• Auf der Kommandozeile gibt es Toolunterstützung
– Unix-Kommando script -- make typescript of terminal session
• Aus der Manual Page:
script makes a typescript of everything printed on your terminal.
It is useful for students who need a hardcopy record of an
interactive session as proof of an assignment, as the typescript
file can be printed out later with lpr(1).
If the argument file is given, script saves all dialogue in file. If
no file name is given, the typescript is saved in the file
typescript.
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 15
Beispiel
sonic:~ freiling$ script script-2007-03-07.txt
Script started, output file is script-2007-03-07.txt
sonic:~ freiling$ date
Tue Mar 6 23:32:35 CET 2007
sonic:~ freiling$ uname -a
Darwin sonic.informatik.uni-mannheim.de 8.8.0 Darwin Kernel Version 8.8.0: Fri Sep
17:18:57 PDT 2006; root:xnu-792.12.6.obj~1/RELEASE_PPC Power Macintosh powerpc
sonic:~ freiling$ finger
Login
Name
TTY Idle Login Time
Office Phone
freiling Felix Freiling
*con 3:35 Tue
19:57
freiling Felix Freiling
p1
11 Tue
19:57
freiling Felix Freiling
p2
Tue
23:21
freiling Felix Freiling
p4
Tue
23:29
sonic:~ freiling$ ping www.uni-mannheim.de
PING www-v10.rz.uni-mannheim.de (134.155.100.10): 56 data bytes
64 bytes from 134.155.100.10: icmp_seq=0 ttl=63 time=0.395 ms
64 bytes from 134.155.100.10: icmp_seq=1 ttl=63 time=0.375 ms
64 bytes from 134.155.100.10: icmp_seq=2 ttl=63 time=0.382 ms
^C
--- www-v10.rz.uni-mannheim.de ping statistics --3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.375/0.384/0.395/0.008 ms
sonic:~ freiling$ exit
exit
Script done, output file is script-2007-03-07.txt
sonic:~ freiling$
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
8
Seite 16
Integrität der Doku
• Erzeugte Dateien sind prinzipiell wieder manipulierbar
• In der handschriftlichen Doku kann man den MD5Hash von Dateien festhalten
• Hash kann später mit dem Hash der vorgelegten
Datei verglichen werden
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 17
Automatische Doku der GUI?
•
•
•
•
Schwierig
Vorgehensweise per Video abfilmen
Bildschirmfotos machen
Vier-Augen-Prinzip
• Tools?
• Dokumentieren, was passiert, um es nachweisbar zu
machen
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 18
Dokumentation von Zeit
• Dokumentieren Sie, wann Sie Aktionen durchführen
• Notwendig bei automatischer Doku:
– Sorgen Sie für eine korrekte Zeit an Ihrem Arbeitsplatz
(NTP)
– Dokumentieren Sie dies
• Dokumentieren Sie auch die Zeit des
Untersuchungsobjekts
– Wichtig für die Interpretation von Zeitstempeln
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 19
Beispiel
sonic:~ freiling$ script script-2007-03-07.txt
Script started, output file is script-2007-03-07.txt
sonic:~ freiling$ host rumtime.uni-mannheim.de
rumtime.uni-mannheim.de is an alias for rumtime1.rz.uni-mannheim.de.
rumtime1.rz.uni-mannheim.de has address 134.155.98.19
sonic:~ freiling$ ntpdate -q rumtime.uni-mannheim.de
server 0.0.0.0, stratum 4, offset 3146864.000000, delay 48.01807
server 17.254.0.26, stratum 2, offset -0.015776, delay 0.19608
server 134.155.98.19, stratum 1, offset -0.017421, delay 0.02716
6 Mar 23:54:59 ntpdate[385]: adjust time server 134.155.98.19 offset 0.017421 sec
sonic:~ freiling$ date
Tue Mar 6 23:55:06 CET 2007
sonic:~ freiling$ exit
exit
Script done, output file is script-2007-03-07.txt
sonic:~ freiling$
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 20
Übersicht
• Der wissenschaftliche Ansatz
• Forensische Vorgehensweise
• Beweise
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 21
Behaupten vs. Beweisen
• „It is easy to claim that the bloody glove was found
in the suspect’s home, but it is another matter to
prove it.“ [Casey, p. 169]
• Wichtig bei Beweisen: Chain of Custody
– Lückenloser Nachweis, wer, wann, wo und warum mit dem
Beweisstück zu tun hatte
– Je weniger Leute das Beweisstück anfassen, desto besser
– Je besser qualifiziert diese Leute sind, desto besser
– Insbesondere bei digitalen Spuren wichtig
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 22
Beweise
• Techniker verstehen „beweisen“ oft falsch
– Beweis = Wahrheit zeigen?
– Kann man überhaupt etwas beweisen?
• Beweisen heißt: einen Richter überzeugen
– Die legale Wahrheit ist verhandelbar
– Die wissenschaftliche Wahrheit ist es (meistens) nicht
• Spuren, die von Ermittlern gesichert wurden, werden erst vor
Gericht zu beweisen
• Beweiskraft entsteht aus der Erläuterung der Spuren durch eine
Person
– Person, die den Beweis erbringt, ist genauso bedeutend wie die
Spur an sich
– Fakten müssen einfach, nachvollziehbar und verständlich
präsentiert werden
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 23
Zulässigkeit von Beweisen
• Beweise sind nur zulässig, wenn sie rechtmäßig
erlangt wurden
– Zustimmung des Besitzers des Beweisstückes ausreichend
– In allen anderen Fällen benötigt man einen
Gerichtsbeschluss (warrant)
• Gerichtsbeschluss wird nur unter strengen Auflagen
vergeben
– Man muss genau angeben, wo und welche Spuren gesichert
werden sollen
– Man muss deutlich machen, dass an dieser Stelle Spuren
einer bestimmten Straftat gefunden werden können
– Wenn auch noch Spuren anderer Straftaten gefunden
werden, benötigt man einen weiteren Beschluss, um sie zu
sichern
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 24
Prüfung vor Gericht
• Es wird vor Gericht zunächst die Zulässigkeit eines
Beweises geprüft
• Anschliessend wird festgestellt, um was es sich
handelt (Authentizität)
–
–
–
–
Ist es das, was behauptet wird?
Aussage des Ermittlers reicht hier meist
Besser: solide Dokumentation
Auch dokumentieren, dass die Untersuchungsmaschinen
während der Untersuchung ordnungsgemäß arbeiteten
• Anschliessend wird der Beweis näher gewürdigt
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 25
Beweisbarkeit in der Praxis
• Befolgen von (wissenschaftlich) anerkannten
Methoden
• Anfertigen lückenloser Dokumentation
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 26
Zusammenfassung
• Der wissenschaftliche Ansatz
• Forensische Vorgehensweise
• Beweise
Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de
Seite 27
Communications of the ACM, 48(8), 2006
Ausblick
• Vorgehensmodelle
– Incident Response
– Computerforensik
• Fragen?
Name und Datumwww.uni-mannheim.de
Seite 28

Vergelijkbare documenten