Computer Forensics

Einleitung

Basics

Vorgehen

Analyse

(c) Walt Disney

2

Heute

Vortrag über „Computer Forensics“ Bedeutung, Motivation Vorgehen bei forensischer Analyse

Praktische Gruppenarbeit Detektivarbeit! Angegriffenes System analysieren Wer? Wie? Wann? Was?

Diskussion, Wissensaustausch

Einleitung

Basics

Vorgehen

Analyse

(c) Earthlink

3

Vortragsübersicht

Einleitung, Motivation „Basics“ Vorgehensweise Eigentliche Analyse Zusammenfassung

Einleitung

Basics

Vorgehen

Analyse

4

Computer Forensics = ?

Duden: Forensisch = gerichtlich

Allgemeinere Definition:„Gathering and analysing data in a manner as

free from distortion or bias as possible to reconstruct data or what has happened in the past on a system“

Einleitung

Basics

Vorgehen

Analyse

5

Ziele

System analysieren Beweise Wer, Wann, Was, Wo, Wie?

Ereignisse im befallenen System Rekonstruieren Zeitlich ordnen

Konsequenzen ziehen Patches Updates

Einleitung

Basics

Vorgehen

Analyse

(c) Apple

6

Forensische Grundsätze

Datenverlust minimieren System ausschalten? Vom Netz trennen?

Daten 1:1 kopieren Memory Partitionen (Harddisks)

Nur Kopien analysieren Erkenntnisse und Vorgehensweise notieren

Einleitung

Basics

Vorgehen

Analyse

7

Ein paar „DON‘Ts“

Keine laufende Prozesse „killen“

Nie auf original Datenträger schreiben

Keine Befehle ausführen Trojaner!

Keine neue Software installieren

Einleitung

Basics

Vorgehen

Analyse

8

Ausrüstung „Notkoffer“

„Sauberen“ Computer Vorzugsweise Linux Aktuellste Patches/Updates

Hardware Netzwerkkarte, CDRW, ... Harddisc: Genügend Platz für Images!

Zusätzlich: Hub, Netzwerkkabel, ... Floppy/CDROM mit wichtigsten Tools

Einleitung

Basics

Vorgehen

Analyse

9

Vorgehensweise

Vorbereitung („Notkoffer“) Identifikation (Angriff?)

Dead oder Live System Daten sichern, Beweise sicherstellen Kopien (Images) „mounten“ System analysieren Konsequenzen ziehen

Einleitung

Basics

Vorgehen

Analyse

10

Dead vs. Live System

Befallenes System Runterfahren (Dead System) Laufen lassen (Live System)

Bevorzugt: Live System Memory Dump möglich Laufende Prozesse Network Monitoring

Einleitung

Basics

Vorgehen

Analyse

11

Daten sichern 1/2

Zielmedium sterilisieren Alle Daten löschen dd if=/dev/zero of=/dev/hda1

Memory Dump Daten auf Zielmedium sichern! Netcat nc... dd if= /dev/kmem of=output dd if= /dev/mem of=output

Einleitung

Basics

Vorgehen

Analyse

12

Daten sichern 2/2

Harddisc Partitionen Informationen

/etc/fstab fdisk -l /dev/hda1

Format: UNIX, NTFS, ... Partitionen kopieren

dd if=/dev/hda1 of=/images/hda1.img MD5 Summe berechnen

md5sum hda1.img

Einleitung

Basics

Vorgehen

Analyse

13

Images mounten

Befehlssyntax mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1

Nicht Linux/UNIX Partitionen mounten NTFSmount -t ntfs -o loop,ro ...

FAT16, FAT32mount –t vfat -o loop,ro ...

Einleitung

Basics

Vorgehen

Analyse

14

System analysieren

Allgemeine Informationen über das System Passwort und Shadow Dateien Logfiles SUID Root Dateien Versteckte Verzeichnisse und /dev MAC-Time Analyse Wiederherstellen von gelöschten Daten

Einleitung

Basics

Vorgehen

Analyse

15

System Informationen

Betriebssystem und Version /etc/issue

Zeitzone /etc/timezone

Boot Informationen /var/log/boot.log

Partitionstabelle und Zusatzinfos /etc/fstab fdisk -l /dev/hda1

Einleitung

Basics

Vorgehen

Analyse

16

Passwort, Shadow Dateien

/etc/passwd Struktur: login-id:password:user-id#:group-

id#:User Info:home-dir:shell Verdächtig, z.B. Accounts ohne Passwort!

/etc/shadow Struktur: login-id:password:lastchg:min:max:

warn:inactive:expire:flag Verändert sich, nach folgenden Befehlen

passwd useradd, usermod und userdel

Einleitung

Basics

Vorgehen

Analyse

17

MAC Time

MAC Time = Timestamp für Ereignisse Modified Accessed Changed

File: "passwd"Size: 1409 Blocks: 8 IO Block: 4096 Regular FileDevice: 302h/770d Inode: 212086 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55:37 2003Modify: Mon May 5 10:25:09 2003Change: Mon May 5 10:25:09 2003

bash-2.05$ stat passwd

stat: Zusatzinformationen zu File/Directory

18

MAC Time Analyse mit TCT grave-robber -c /mnt -d /forensics -m -o LINUX2

Liefert wertvolle Informationen MAC Time aller Dateien in body Datei

Sequentiell ordnen: mactime

Gelöschte Inodes ils : Wiederherstellen ils2mac: MAC Time

19

Zusammenfassung

Computer Forensics Methodisches Vorgehen nach Attacke Hilft uns Konsequenzen zu ziehen Prävention

Fahrlässiges Sicherheitsverhalten verändern!

20

Bibliographie[1] LINUX/UNIX Tools unter Windows: http://users.erols.com/gmgarner/forensics/

[2] Forensische Computer: http://www.forensic-computers.com

[3] LINUX/UNIX Tools unter Windows: http://www.weihenstephan.de/~syring/win32/UnxUtils.html

[4] LINUX/UNIX Tools unter Windows: http://www.cygwin.com/

[5] Forensische Analyse: http://personal.ie.cuhk.edu.hk/~shlam/ssem/for/#part1

[6] Gute Tipps/Tricks zur forensischen Analyse: http://www.fish.com/forensics/class.html

[7] Infos rund um Rootkits: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq

[8] Password Dateien: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-238.html

[9] Shadow Datein: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-240.html

[10] UID, GID: http://www.linuxbase.org/spec/gLSB/gLSB/usernames.html

[11] Nummerbereiche bei UID, GID: http://web.cs.ualberta.ca/systemssupport/Doc/Inprogress/uidgidrange/uidgid.txt

[12] The Coroner's Toolkit (TCT): http://www.porcupine.org/forensics/tct.html

[13] Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/download.php