Download - Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

Transcript
Page 1: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

Computer Forensics

Einleitung

Basics

Vorgehen

Analyse

(c) Walt Disney

Page 2: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

2

Heute

Vortrag über „Computer Forensics“ Bedeutung, Motivation Vorgehen bei forensischer Analyse

Praktische Gruppenarbeit Detektivarbeit! Angegriffenes System analysieren Wer? Wie? Wann? Was?

Diskussion, Wissensaustausch

Einleitung

Basics

Vorgehen

Analyse

(c) Earthlink

Page 3: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

3

Vortragsübersicht

Einleitung, Motivation „Basics“ Vorgehensweise Eigentliche Analyse Zusammenfassung

Einleitung

Basics

Vorgehen

Analyse

Page 4: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

4

Computer Forensics = ?

Duden: Forensisch = gerichtlich

Allgemeinere Definition:„Gathering and analysing data in a manner as

free from distortion or bias as possible to reconstruct data or what has happened in the past on a system“

Einleitung

Basics

Vorgehen

Analyse

Page 5: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

5

Ziele

System analysieren Beweise Wer, Wann, Was, Wo, Wie?

Ereignisse im befallenen System Rekonstruieren Zeitlich ordnen

Konsequenzen ziehen Patches Updates

Einleitung

Basics

Vorgehen

Analyse

(c) Apple

Page 6: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

6

Forensische Grundsätze

Datenverlust minimieren System ausschalten? Vom Netz trennen?

Daten 1:1 kopieren Memory Partitionen (Harddisks)

Nur Kopien analysieren Erkenntnisse und Vorgehensweise notieren

Einleitung

Basics

Vorgehen

Analyse

Page 7: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

7

Ein paar „DON‘Ts“

Keine laufende Prozesse „killen“

Nie auf original Datenträger schreiben

Keine Befehle ausführen Trojaner!

Keine neue Software installieren

Einleitung

Basics

Vorgehen

Analyse

Page 8: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

8

Ausrüstung „Notkoffer“

„Sauberen“ Computer Vorzugsweise Linux Aktuellste Patches/Updates

Hardware Netzwerkkarte, CDRW, ... Harddisc: Genügend Platz für Images!

Zusätzlich: Hub, Netzwerkkabel, ... Floppy/CDROM mit wichtigsten Tools

Einleitung

Basics

Vorgehen

Analyse

Page 9: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

9

Vorgehensweise

Vorbereitung („Notkoffer“) Identifikation (Angriff?)

Dead oder Live System Daten sichern, Beweise sicherstellen Kopien (Images) „mounten“ System analysieren Konsequenzen ziehen

Einleitung

Basics

Vorgehen

Analyse

Page 10: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

10

Dead vs. Live System

Befallenes System Runterfahren (Dead System) Laufen lassen (Live System)

Bevorzugt: Live System Memory Dump möglich Laufende Prozesse Network Monitoring

Einleitung

Basics

Vorgehen

Analyse

Page 11: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

11

Daten sichern 1/2

Zielmedium sterilisieren Alle Daten löschen dd if=/dev/zero of=/dev/hda1

Memory Dump Daten auf Zielmedium sichern! Netcat nc... dd if= /dev/kmem of=output dd if= /dev/mem of=output

Einleitung

Basics

Vorgehen

Analyse

Page 12: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

12

Daten sichern 2/2

Harddisc Partitionen Informationen

/etc/fstab fdisk -l /dev/hda1

Format: UNIX, NTFS, ... Partitionen kopieren

dd if=/dev/hda1 of=/images/hda1.img MD5 Summe berechnen

md5sum hda1.img

Einleitung

Basics

Vorgehen

Analyse

Page 13: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

13

Images mounten

Befehlssyntax mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1

Nicht Linux/UNIX Partitionen mounten NTFSmount -t ntfs -o loop,ro ...

FAT16, FAT32mount –t vfat -o loop,ro ...

Einleitung

Basics

Vorgehen

Analyse

Page 14: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

14

System analysieren

Allgemeine Informationen über das System Passwort und Shadow Dateien Logfiles SUID Root Dateien Versteckte Verzeichnisse und /dev MAC-Time Analyse Wiederherstellen von gelöschten Daten

Einleitung

Basics

Vorgehen

Analyse

Page 15: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

15

System Informationen

Betriebssystem und Version /etc/issue

Zeitzone /etc/timezone

Boot Informationen /var/log/boot.log

Partitionstabelle und Zusatzinfos /etc/fstab fdisk -l /dev/hda1

Einleitung

Basics

Vorgehen

Analyse

Page 16: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

16

Passwort, Shadow Dateien

/etc/passwd Struktur: login-id:password:user-id#:group-

id#:User Info:home-dir:shell Verdächtig, z.B. Accounts ohne Passwort!

/etc/shadow Struktur: login-id:password:lastchg:min:max:

warn:inactive:expire:flag Verändert sich, nach folgenden Befehlen

passwd useradd, usermod und userdel

Einleitung

Basics

Vorgehen

Analyse

Page 17: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

17

MAC Time

MAC Time = Timestamp für Ereignisse Modified Accessed Changed

File: "passwd"Size: 1409 Blocks: 8 IO Block: 4096 Regular FileDevice: 302h/770d Inode: 212086 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55:37 2003Modify: Mon May 5 10:25:09 2003Change: Mon May 5 10:25:09 2003

bash-2.05$ stat passwd

stat: Zusatzinformationen zu File/Directory

Page 18: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

18

MAC Time Analyse mit TCT grave-robber -c /mnt -d /forensics -m -o LINUX2

Liefert wertvolle Informationen MAC Time aller Dateien in body Datei

Sequentiell ordnen: mactime

Gelöschte Inodes ils : Wiederherstellen ils2mac: MAC Time

Page 19: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

19

Zusammenfassung

Computer Forensics Methodisches Vorgehen nach Attacke Hilft uns Konsequenzen zu ziehen Prävention

Fahrlässiges Sicherheitsverhalten verändern!

Page 20: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

20

Bibliographie[1] LINUX/UNIX Tools unter Windows: http://users.erols.com/gmgarner/forensics/

[2] Forensische Computer: http://www.forensic-computers.com

[3] LINUX/UNIX Tools unter Windows: http://www.weihenstephan.de/~syring/win32/UnxUtils.html

[4] LINUX/UNIX Tools unter Windows: http://www.cygwin.com/

[5] Forensische Analyse: http://personal.ie.cuhk.edu.hk/~shlam/ssem/for/#part1

[6] Gute Tipps/Tricks zur forensischen Analyse: http://www.fish.com/forensics/class.html

[7] Infos rund um Rootkits: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq

[8] Password Dateien: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-238.html

[9] Shadow Datein: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-240.html

[10] UID, GID: http://www.linuxbase.org/spec/gLSB/gLSB/usernames.html

[11] Nummerbereiche bei UID, GID: http://web.cs.ualberta.ca/systemssupport/Doc/Inprogress/uidgidrange/uidgid.txt

[12] The Coroner's Toolkit (TCT): http://www.porcupine.org/forensics/tct.html

[13] Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/download.php