310 likes | 775 Views
Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06. IT Forensik. Agenda. Was ist IT-Forensik? Wo/Was soll ich suchen? Analysearten Forensik-Distributionen Tools im Detail Limitations Info-Quellen Vorführung. Was ist IT-Forensik?. Spuren auf IT-Systemen / Netzwerken
E N D
Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06 IT Forensik
Agenda • Was ist IT-Forensik? • Wo/Was soll ich suchen? • Analysearten • Forensik-Distributionen • Tools im Detail • Limitations • Info-Quellen • Vorführung
Was ist IT-Forensik? • Spuren auf IT-Systemen / Netzwerken • Suchen / Auswerten / Dokumentieren • Klassische Fragen (W-Fragen) • Motivation des „Angreifers“ • Zusammenhänge erkennen/beweisen • Schwachstellen identifizieren
Wo/Was soll ich suchen? Was soll ich suchen? • Log-Files / Event-Logs • Zeitstempel beachten • Browser-cache • Suchanfragen • Webmail • History • … • Selbst verfasste Dokumente • Programme/Tools Wo soll kann ich (noch) suchen • ADS • Unallocated Space • Slack Space • Steganografie
Analysearten • Online • Laufendes System • Flüchtiger Speicher • RAM • Cache • Netzwerk • Offline • Massenspeicher • Keine Änderungen
Online – Analyse • Vorteile • Kompletter Systemzustand • Laufende Applikationen • Crypt-FS / Encrypted Files • Nachteile • Veränderung des Systems • Transport i.a. nicht möglich • „Fallen“
Offline - Analyse • Vorteile • Keine Änderungen • Wiederholbarkeit der Analyse • Parallelisieren der Arbeit möglich • Transport leicht möglich • Nachteile • Flüchtige Daten verloren (Dienste, RAM, Netzwerk, Passwörter)
Vorgangsweise - Online • CD-Tools nutzen • RAM-Dump • Laufende Programme • Outlook, Webmail,… • ARP-Table • Netstat • Dns-cache !!!! Mit jeder Tätigkeit kompromittiere !!!! !!!! ich das System !!!!
Vorgangsweise - Offline • Datenträger-Image • Write-Blocker • Prüfsumme bilden • „Hashen“ • Auf Kopie arbeiten • Mount … -r • Am Ende Prüfsumme vergleichen • Wenn ungleich => • Image kompromittiert und somit ungültig!
Distributionen • Helix • Debian-basierte Linux Distribution • Forensik Tools für Analyse • Bootfähiges Live – System (CD-ROM) • Gute Dokumentation • Laufende Weiterentwicklung • Windows Tools inkludiert • Weitere • Auditor • …
Tools im Detail • Imaging: • dd • Das non-plus-ultra imaging tool • Auch übers Netz mittels netcat! • Bsp: • Suspect PC: #dd if=/dev/sda | pipebench | gzip -fast | netcat -l -p 2000 • Client #netcat 192.168.x.x 2000 | gunzip | pipebench > /dump/img.dd
Tools im Detail • Prüfsummen über Platten und Image-Dateien • # md5sum img.dd • # md5sum /dev/sda • # sha1sum img.dd • # sha1sum /dev/hda • Partitionierung / Klassifizierung • Fdisk • disktype
Tools im Detail • Textsuche • Kontext / Stichwort-Liste sollte bekannt / vorbereitet sein BSP: Namen, Telefonnummern, Mail, Drogen, Waffen, Terror, Bomben, Al-Kaida Bsp: (sehr einfach) • #cat img.dd | strings | egrep -i -f keywords.txt
Tools im Detail • Strings / ifind / istat • Strings: „Suche den Byteoffset mit dem Keyword“ • Ifind: „Zeige mir den Inode zu dem Datenblock“ • Istat: „Zeite mir die Inode-Infomationen zu dem Inode“ (Filename, Blocks,…) • Bsp: • cat img.dd | strings –el | egrep <keyword> • ifind –d (byteoffset/fs-blocksize) img.dd • istat img.dd <inode>
Tools im Detail • FS Blöcke • Voll belegt (Files) • Teilweise belegt (slackspace) • Nicht belegt (unallocated, gelöscht) • # dls /dev/loop1 > unallocated.dd • # dls –s /dev/loop1 > slackspace.dd
Tools im Detail • Undelete • NTFS: ntfsundelete • FAT/EXT: Sleuthkit • Ntfsundelete /dev/loop1 • Ntfsundelete /dev/loop1 –u <inode> -d /recovery
Tools im Detail • Undelete • Magicrescue • Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space) • Bsp: magicrescue –r /KNOPPIX/usr/local/share/ magicrescue/recipes/zip –d /unallocated.dd • Weitere Tools • foremost
Tools im Detail • Archive • zip, bzip, tar… • Falls Passwort geschützt • Fcrackzip • Bsp: # fcrackzip -D -p /usr/share/dict/french -u /archive.dll
Alternative Data Streams • Man kann auf NTFS Datenträgern ADS an normale Files anhängen ohne diese zu überschreiben / Größe ändern, … • => tolle Möglichkeit Informationen zu verstecken • Tools zum Finden von ADS: • Lads • Ffind • ADS in der Praxis
Limitations • Nicht alles was man bei CSI sieht ist auch in der Realität möglich! • Verbrannte Festplatten • Allgemein HW-Defekte • Encrypted Files • PGP • EncryptedFileSystems • Truecrypt • EFS
Infoquellen • http://www.d-fence.be/ • http://www.linux-forensics.com/ • http://www.forensicswiki.org/wiki/Main_Page • http://www.computerforensicsworld.com/ • http://www.forensicfocus.com/ • http://www.forensics.nl/ • http://www.d-fence.be • http://www.lnx4n6.be
Vorführung Zurücklehnen & Partizipieren