Computer Forensics

(c) Walt Disney Computer Forensics Einleitung Basics Vorgehen Analyse

(c) Earthlink Einleitung Basics Vorgehen Analyse Heute • Vortrag über „Computer Forensics“ • Bedeutung, Motivation • Vorgehen bei forensischer Analyse • Praktische Gruppenarbeit • Detektivarbeit! • Angegriffenes System analysieren •  Wer? Wie? Wann? Was? • Diskussion, Wissensaustausch

Einleitung Basics Vorgehen Analyse Vortragsübersicht • Einleitung, Motivation • „Basics“ • Vorgehensweise • Eigentliche Analyse • Zusammenfassung

Einleitung Basics Vorgehen Analyse Computer Forensics = ? • Duden: Forensisch = gerichtlich • Allgemeinere Definition: „Gathering and analysing data in a manner as free from distortion or bias as possible to reconstruct data or what has happened in the past on a system“

(c) Apple Einleitung Basics Vorgehen Analyse Ziele • System analysieren • Beweise • Wer, Wann, Was, Wo, Wie? • Ereignisse im befallenen System • Rekonstruieren • Zeitlich ordnen • Konsequenzen ziehen • Patches • Updates

Einleitung Basics Vorgehen Analyse Forensische Grundsätze • Datenverlust minimieren • System ausschalten? • Vom Netz trennen? • Daten 1:1 kopieren • Memory • Partitionen (Harddisks) • Nur Kopien analysieren • Erkenntnisse und Vorgehensweise notieren

Einleitung Basics Vorgehen Analyse Ein paar „DON‘Ts“ • Keine laufende Prozesse „killen“ • Nie auf original Datenträger schreiben • Keine Befehle ausführen  Trojaner! • Keine neue Software installieren

Einleitung Basics Vorgehen Analyse Ausrüstung „Notkoffer“ • „Sauberen“ Computer • Vorzugsweise Linux • Aktuellste Patches/Updates • Hardware • Netzwerkkarte, CDRW, ... • Harddisc: Genügend Platz für Images! • Zusätzlich: Hub, Netzwerkkabel, ... • Floppy/CDROM mit wichtigsten Tools

Einleitung Basics Vorgehen Analyse Vorgehensweise • Vorbereitung („Notkoffer“) ü • Identifikation (Angriff?) ü • Dead oder Live System • Daten sichern, Beweise sicherstellen • Kopien (Images) „mounten“ • System analysieren • Konsequenzen ziehen

Einleitung Basics Vorgehen Analyse Dead vs. Live System • Befallenes System • Runterfahren (Dead System) • Laufen lassen (Live System) • Bevorzugt: Live System • Memory Dump möglich • Laufende Prozesse • Network Monitoring

Einleitung Basics Vorgehen Analyse Daten sichern 1/2 • Zielmedium sterilisieren • Alle Daten löschen • dd if=/dev/zero of=/dev/hda1 • Memory Dump • Daten auf Zielmedium sichern!  Netcat nc... • dd if= /dev/kmem of=output dd if= /dev/mem of=output

Einleitung Basics Vorgehen Analyse Daten sichern 2/2 • Harddisc Partitionen • Informationen • /etc/fstab • fdisk -l /dev/hda1 • Format: UNIX, NTFS, ... • Partitionen kopieren • dd if=/dev/hda1 of=/images/hda1.img • MD5 Summe berechnen • md5sum hda1.img

Einleitung Basics Vorgehen Analyse Images mounten • Befehlssyntax • mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1 • Nicht Linux/UNIX Partitionen mounten • NTFSmount -t ntfs -o loop,ro ... • FAT16, FAT32mount –t vfat -o loop,ro ...

Einleitung Basics Vorgehen Analyse System analysieren • Allgemeine Informationen über das System • Passwort und Shadow Dateien • Logfiles • SUID Root Dateien • Versteckte Verzeichnisse und /dev • MAC-Time Analyse • Wiederherstellen von gelöschten Daten

Einleitung Basics Vorgehen Analyse System Informationen • Betriebssystem und Version • /etc/issue • Zeitzone • /etc/timezone • Boot Informationen • /var/log/boot.log • Partitionstabelle und Zusatzinfos • /etc/fstab • fdisk -l /dev/hda1

Einleitung Basics Vorgehen Analyse Passwort, Shadow Dateien • /etc/passwd • Struktur: login-id:password:user-id#:group-id#:User Info:home-dir:shell • Verdächtig, z.B. Accounts ohne Passwort! • /etc/shadow • Struktur: login-id:password:lastchg:min:max: warn:inactive:expire:flag • Verändert sich, nach folgenden Befehlen • passwd • useradd, usermod und userdel

MAC Time • stat: Zusatzinformationen zu File/Directory • MAC Time = Timestamp für Ereignisse • Modified • Accessed • Changed stat passwd bash-2.05$ File: "passwd" Size: 1409 Blocks: 8 IO Block: 4096 Regular File Device: 302h/770d Inode: 212086 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55:37 2003 Modify: Mon May 5 10:25:09 2003 Change: Mon May 5 10:25:09 2003

MAC Time Analyse mit TCT • grave-robber -c /mnt -d /forensics -m -o LINUX2 • Liefert wertvolle Informationen • MAC Time aller Dateien in bodyDatei • Sequentiell ordnen: mactime • Gelöschte Inodes • ils : Wiederherstellen • ils2mac: MAC Time

Zusammenfassung • Computer Forensics • Methodisches Vorgehen nach Attacke • Hilft uns Konsequenzen zu ziehen •  Prävention • Fahrlässiges Sicherheitsverhalten verändern!

Bibliographie [1] LINUX/UNIX Tools unter Windows: http://users.erols.com/gmgarner/forensics/ [2] Forensische Computer: http://www.forensic-computers.com [3] LINUX/UNIX Tools unter Windows: http://www.weihenstephan.de/~syring/win32/UnxUtils.html [4] LINUX/UNIX Tools unter Windows: http://www.cygwin.com/ [5] Forensische Analyse: http://personal.ie.cuhk.edu.hk/~shlam/ssem/for/#part1 [6] Gute Tipps/Tricks zur forensischen Analyse: http://www.fish.com/forensics/class.html [7] Infos rund um Rootkits: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq [8] Password Dateien: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-238.html [9] Shadow Datein: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-240.html [10] UID, GID: http://www.linuxbase.org/spec/gLSB/gLSB/usernames.html [11] Nummerbereiche bei UID, GID: http://web.cs.ualberta.ca/systemssupport/Doc/Inprogress/uidgidrange/uidgid.txt [12] The Coroner's Toolkit (TCT): http://www.porcupine.org/forensics/tct.html [13] Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/download.php

Computer Forensics