IT Sicherheit: IT-Forensik Forensik Forensik ist ein Sammelbegri f ur wissenschaftliche und technische Arbeitsgebiete, in denen \Spuren" systematisch untersucht werden um strafbare

$Page 1: IT Sicherheit: IT-Forensik Forensik Forensik ist ein Sammelbegri f ur wissenschaftliche und technische Arbeitsgebiete, in denen \Spuren" systematisch untersucht werden um strafbare$
IT Sicherheit:IT-Forensik

Dr. Marta Gomez-Barrero

Hochschule Darmstadt, CRISP, da/sec Security Group

27.11.2018

Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 1/39

Grundlagen

Forensik

Forensik ist ein Sammelbegriff fur wissenschaftliche und technischeArbeitsgebiete, in denen “Spuren” systematisch untersucht werdenum strafbare bzw. anderweitig rechtswidrige oder sozialschadlicheHandlungen nachzuweisen und aufzuklaren.

Etymologie:

I Forum = Marktplatz (im antiken Rom).

I Auf Forum fanden Gerichtsverhandlungen statt.

I Beantwortung der Rechtsfragen im offentlichen Raum.


Grundlagen

Spur

Spuren im foresnischen Sinne sind hinterlassene Zeichen welche alsAusgangspunkt fur eine Untersuchung dienen (z.B. Fingerabdruck)

Arten von Spuren:

I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.

I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).

I Im Kontext von IT-Forensik: digitale Spuren


Grundlagen

Spur

Spuren im foresnischen Sinne sind hinterlassene Zeichen welche alsAusgangspunkt fur eine Untersuchung dienen (z.B. Fingerabdruck)

Arten von Spuren:

I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.

I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).

I Im Kontext von IT-Forensik: digitale Spuren


Grundlagen

Indiz, Beweis

I Indiz: Hinweis, der alleine oder mit anderen Indizienzusammen auf das Vorliegen eines Sachverhalts schließen lasst(gewurdigte Spur)

I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.

I Beweis: Feststellung eines Sachverhalts als Tatsache in einemGerichtsverfahren aufgrund richterlicher Uberzeugung(Juristische Wahrheit)

I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.

I Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aberweniger als ein Beweis


Grundlagen

Indiz, Beweis

I Indiz: Hinweis, der alleine oder mit anderen Indizienzusammen auf das Vorliegen eines Sachverhalts schließen lasst(gewurdigte Spur)

I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.

I Beweis: Feststellung eines Sachverhalts als Tatsache in einemGerichtsverfahren aufgrund richterlicher Uberzeugung(Juristische Wahrheit)

I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.

I Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aberweniger als ein Beweis


Grundlagen

Teilgebiete der Forensik

1. Forensische Medizin / Rechtsmedizin: Beantwortung vonRechtsfragen im Zusammenhang eines vermuteten

I nicht-naturlichen Todes (z.B. Todesursache, Todeszeitpunkt),

I Gewaltdeliktes (z.B. gegen Kinder, sexuelle Gewalt).

Bitte nicht mit Pathologie verwechseln!!

2. Forensische Toxikologie: Rechtsfragen zu chemischen oderbiologischen Stoffen (z.B. liegt eine Vergiftung vor?).

3. Ballistik: Rechtsfragen zu Geschossen (z.B. Zuordnung einerPatrone zu einer Pistole).

4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen.

5. etc.


Grundlagen

Aufgaben der Forensik im Einzelnen

I Identifizieren, Sicherstellen, Selektieren und Analysieren vonSpuren, die im weiteren Verlauf der Ermittlungen zu Indizienund Beweisen werden konnen.

I Dabei soll der Forensiker so wenig wie moglich in denUntersuchungsgegenstand eingreifen.

I Grundsatzlich gilt das Paradigma der Integritat vonBeweismitteln.

I Beispiel der IT-Forensik: Unverandertheit einer zuuntersuchenden Festplatte.

I Dabei stets Einhaltung der Sorgfaltskette (engl. Chain ofCustody). Es muss immer klar dokumentiert sein, wer wannwie auf ein Beweisstuck zugreifen kann.


Grundlagen

Das Locardsche Austauschprinzip: Einfuhrung

1. Edmond Locard (1877-1966):I Franzosischer Mediziner und Rechtsanwalt.

I Pionier der Kriminalistik und Forensik.

I Direktor des weltweit ersten Kriminallabors in Lyon (1912 vonPolizei anerkannt).

2. Locard’s exchange principle:I With contact between two items, there will be an exchange.

I Jeder und alles am Tatort hinterlasst etwas und nimmt etwasmit (physische Spuren).

I Basis fur die Suche nach Spuren (die immer existieren).


Grundlagen

Das Locardsche Austauschprinzip: Ubersicht

Spuren: Fingerabdrucke, Fußabdrucke, Schmauchspuren,Faserspuren, etc. sind oft die Hauptbelastungsbeweise fur dieAufklarung zahlreicher Verbrechen.


Grundlagen

Das Locardsche Austauschprinzip: Zitat

Uberall dort, wo er geht, was er beruhrt, was er hinterlasst, auchunbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seineFingerabdrucke oder seine Fußabdrucke, auch seine Haare, die Fasern ausseiner Kleidung, das Glas, das er bricht, die Abdrucke der Werkzeuge, dieer hinterlasst, die Kratzer, die er in die Farbe macht, das Blut oderSperma, das er hinterlasst oder an sich tragt. All dies und mehr sindstumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Erist nicht verwirrt durch die Spannung des Augenblicks. Er ist nichtunkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicherBeweis. Physikalische Beweismittel konnen nicht falsch sein, sie konnensich selbst nicht verstellen, sie konnen nicht vollstandig verschwinden.Nur menschliches Versagen diese zu finden, zu studieren und zuverstehen kann ihren Wert zunichte machen.

Zitiert nach Wikipedia


Grundlagen

IT-Forensik

1. Indizien, Spuren im Kontext eines IT-Systems (Computer,Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router,Netzkabel, WLAN, Cloud, ...).

2. Abstraktionsgrade:I Anwendungsebene: Applikationsdaten (z.B. sqlite, doc).

I Dateisystemebene: Dateisystem (z.B. NTFS, ext3).

I Datentragerebene: Partitionen (z.B. DOS-Partitionen).

I Bits und Bytes.

I Physische Spur: Signal.


Prinzipien und Vorgehensmo-delle

Sieben W-Fragen der Kriminalistik

Typische Fragen im Zusammenhang mit einemErmittlungsverfahren:

1. Wer? - Tater

2. Was? - Straftat

3. Wo? - Tatort

4. Wann? - Tatzeitpunkt

5. Womit? - Spuren (z.B. Waffe)

6. Wie? - Tathergang

7. Weshalb? - Motiv



Anforderungen an IT-Forensik

1. Akzeptanz: Untersuchungsschritte und Methoden in derFachwelt dokumentiert und anerkannt

2. Glaubwurdigkeit: Robustheit und Funktionalitat derangewandten Methoden (Unterschied zu Akzeptanz?)

3. Wiederholbarkeit: Erneute Durchfuhrung der forensischenUntersuchung erzielt dieselben Ergebnisse

4. Integritat: Digitalen Spuren bleiben unverandert

5. Ursache und Auswirkungen: Verbindungen zwischenEreignissen, Spuren und evtl. auch Personen herstellen.

6. Dokumentation: Insbesondere Chain of Custody



SAP - Vorgehensmodell: Ubersicht

I Das S-A-P Modell ist ein Modell zur Beschreibung derVorgehensweise bei einer forensischen Untersuchung.

I Vorteil: Einfachheit

1. Secure: Identifizierung der Datenquellen, Datensicherung (zB:Erstellung von Kopien)

2. Analyse: Vorverarbeitung, Interpretierung

3. Present: Dokumentation, zielgruppenorientierte Prasentation



BSI-Vorgehensmodell: Ubersicht

I Das BSI (Bundesamtes fur Sicherheit in derInformationstechnik) untergliedert forensische Prozess infolgende Untersuchungsabschnitte (Phasen):

1. strategische Vorbereitung;

2. operationale Vorbereitung;

3. Datensammlung;

4. Untersuchung;

5. Datenanalyse;

6. Dokumentation

einer forensischen Untersuchung



BSI-Vorgehensmodell: Ubersicht

Quelle: Denise Muth, BSI



BSI-Vorgehensmodell: Phase 1 + Phase 2

1. Strategische Vorbereitung:I Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom).

I Bereitstellung von Datenquellen (z.B. Logs von Webdiensten,Verbindungsdaten von Routern).

I Einrichtung einer forensischen Workstation samt Zubehor(Tools, Write-Blocker, Kabel fur Smartphones).

I Festlegung von Handlungsanweisungen (z.B. Rucksprache mitJuristen).

2. Operative Vorbereitung:I Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls.

I Festlegung des konkreten Ziels der Ermittlung.

I Festlegung der nutzbaren Datenquellen (Datenschutzbeachten).




3. Datensammlung:I Eigentlich: Datenakquise oder Datensicherung.

I Sicherung der im Rahmen der operativen Vorbereitungfestgelegten Daten.

I Integritat der Datentrager sowie Vier-Augen-Prinzipberucksichtigen.

I Order of Volatility (Unbestandigkeit) bei der Datensicherungbeachten (z.B. RAM zuerst).

4. Datenuntersuchung:I Eigentlich: Vorverarbeitung fur anschließende Analyse.

I Datenreduktion (irrelevant vs. relevant).

I Datenrekonstruktion (z.B. Dateiwiederherstellung).




5. Datenanalyse:I Eigentliche Analyse der vorverarbeiteten Daten.

I Insbesondere Korrelation der Daten.

6. Dokumentation:I Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe

der verschiedenen Ermittlungsphasen.

I Ergebnisprotokoll: Adaption des Verlaufsprotokolls fur einebestimmte Zielgruppe (z.B. Staatsanwalt, Geschaftsleitung,IT-Abteilung).

I Nutzung standardisierter Terminologie (CERT-Terminologie).



BSI-Vorgehensmodell: Phase 6

I Der prozessbegleitende Dokumentationsprozess verlauftparallel zu der Durchfuhrung der anderen Phasen.

I Seine Aufgabe ist das Protokollieren der gewonnenen Datenund durchgefuhrten Prozesse.

I Der prozessbegleitende Dokumentationsprozess zeichnet alsoauf, welche Daten beim Durchfuhren der einzelnen Methodengewonnen wurden, protokolliert aber gleichzeitig auchParameter der Durchfuhrung selbst.

I Beipiele: Name und Versionsnummer des verwendetenProgramms, Motivation zur Auswahl dieses Programms, etc.



Kurzabriss: Tools

1. The Sleuthkit (TSK):I Toolsammlung zur IT-forensischen Analyse von Datentragern.

I Autor: Brian Carrier.

I Frontend (insbesondere fur Windows): Autopsy.

I Tools auf unterschiedlichen Abstraktionsebenen:I Dateisystemebene: fls, ils, blkcat.

I Datentragerebene: mmls.

2. dd: Datensicherung.

3. sha256sum: Berechnung von Hashwerten.


Datentrageranalyse

Erstellung der Arbeitskopien

Quelle: Denise Muth

1. Paradigma: Original so selten wie moglich verwenden.I Einfach bei klassischen Datentragern wie HDDs, SSDs,

SD-Karten, USB-Sticks.

I Schwierig(er) bei Smartphones, Hauptspeicher, Cloud

2. Verwendung von Schreibschutz (typischerweiseHardware-basierte Write-Blocker).


Datentrageranalyse

Fallbeispiel: Sicherung externer HDD

# sha256sum /dev/sdb

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb

# dd if=/dev/sdb of=mastercopy.dd bs=512

# dd if=mastercopy.dd of=workingcopy.dd bs=512

# sha256sum mastercopy.dd workingcopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921

mastercopy.dd

6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921

workingcopy.dd


Datentrageranalyse

Sektor, Partitionierung

Sektor:

I Kleinste adressierbare Einheit auf einem Datentrager.

I Adressierungsschema: Logical Block Address (LBA), vonvorne nach hinten.

I Große: 512 Byte (alter), 4096 Byte (modern).


Datentrageranalyse

Partitionierung

Partitionierung:

I Ziel: Organisation in kleinere Bereiche zur Ablageunterschiedlicher Daten (z.B. Windows parallel zu Linux;Betriebssystem vs. Nutzerdaten).

I Layout des Datentragers in Partitionstabelle beschrieben.

I Verbreitete Schemata: DOS-Partitionierung,GPT-Partitionierung.

I Sleuthkit-Tool: mmls.


Datentrageranalyse

Fallbeispiel: Partitionierung externer HDD

# mmls workingcopy.dd

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000002047 0000002048 Unallocated

02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C)

03: ----- 0960237568 0960239615 0000002048 Unallocated

04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05)

05: Meta 0960239614 0960239614 0000000001 Extended Table (#1)

06: 01:00 0960239616 0976771071 0016531456 Linux Swap/Solarisx86 (0x82)

07: ----- 0976771072 0976773167 0000002096 Unallocated


Datentrageranalyse

Fallbeispiel: Partitionierung externer HDD

I Wir sehen, dass es sich um eine DOS-Partitionierung handelt,die Zahlung am Beginn des Datentragers startet und dass dieZahlen in der Maßeinheit Sektoren zu je 512 Byte angegebenwerden.

I Wir sehen insgesamt zwei Partitionstabellen: die primareTabelle steht im MBR (Primary Table (#0) im Eintrag 00),die zweite Partitionstabelle findet sich im ersten Sektor dererweiterten Partition als Eintrag 05.

I Wir finden drei nicht-allozierte Bereiche (Eintrage 01, 03 und07) sowie zwei Dateisystempartitionen vor (Eintrage 02 und06).


Datentrageranalyse

Fallbeispiel: USB-Stick

[SECURE /dev/sdb to image-usb.dd]

$ mmls image-usb.dd

DOS Partition Table

Offset Sector: 0

Units are in 512-byte sectors

Slot Start End Length Description

00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)

01: ----- 0000000000 0000000031 0000000032 Unallocated

02: 00:00 0000000032 0003915775 0003915744 DOS FAT16 (0x06)

$ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744

3915744+0 records in

3915744+0 records out

$ sha256sum partition-fat.dd

c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649

partition-fat.dd


Dateisystemanalyse

Grundlagen

1. Schnittstelle zwischen Betriebssystem und verbundenenDatentragern.

2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort.

3. Phanomen Fragmentierung.

4. Cluster:I Kleinste adressierbare Einheit auf Dateisystemebene.

I Alternative Bezeichnungen: FS-Block (File System Block) odernur Block.

I Typische Große: 4096 Byte = 4 KiB.

5. Dateisystemanalyse: Untersuchung der analysefahigenStrukturen auf Dateisystemebene.


Dateisystemanalyse

Beispiele fur Dateisysteme

1. extended file system: (ext2, ext3, ext4 = extX)I Standarddateisystem unter Linux.

I ext4 ist heute Standarddateisystem unter Android.

2. FAT-Dateisystem (FAT12, FAT16, FAT32)I Alteres Dateisystem von Microsoft (aus MS-DOS-Zeiten).

I Heute noch gebrauchlich auf Wechseldatentragern.

3. New Technology File System (NTFS):I Aktuelles Dateisystem von Microsoft.

I Wegen Windows-Verbreitung sehr bedeutend.

4. Hierarchical File System (HFS/HFS+):I Aktuelles Dateisystem von Apple.


Dateisystemanalyse

Kategorien

Dateisystemdaten:

1. Grundlegende Informationen zu Dateisystem.

2. ’Am Anfang’ des Dateisystems: Bootsektor.

3. Typische Dateisystemdaten:I Clustergroße.

I Große des Dateisystems.

I Belegtstatus der Cluster: welche sind belegt, wie viele sindbelegt.

I Pointer zu weiteren Informationen uber das Dateisystem.


Dateisystemanalyse

Kategorien

Metadaten:

1. Verwaltungs-Informationen uber eine Datei.

2. Zeitstempel:I Modified Time: Last write access.

I Accessed Time: Last read access.

I Creation Time: File has been created.

I Manchmal noch vierter Zeitstempel (wann geloscht, wannMetadaten geandert, ...).

3. Dateigroße.

4. Pointer zu den Inhaltsdaten (z.B. Clusteradressen).

5. Inhaber samt Zugriffsrechte.


Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition (1/2)

$ fsstat partition-fat.dd

FILE SYSTEM INFORMATION

--------------------------------------------

OEM Name: MSWIN4.1

Volume ID: 0xc2f8e4f2

Volume Label (Boot Sector): NO NAME

File System Type Label: FAT16

File System Layout (in sectors)

Total Range: 0 - 3915743

* Reserved: 0 - 1

** Boot Sector: 0

* FAT 0: 2 - 240

* FAT 1: 241 - 479

* Data Area: 480 - 3915743

** Root Directory: 480 - 511

** Cluster Area: 512 - 3915711

** Non-clustered: 3915712 - 3915743

[cont]


Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition (2/2)

[cont]

METADATA INFORMATION

--------------------------------------------

Range: 2 - 62644230

Root Directory: 2

CONTENT INFORMATION

--------------------------------------------

Sector Size: 512

Cluster Size: 32768

Total Cluster Range: 2 - 61176

FAT CONTENTS (in sectors)

--------------------------------------------

[REMOVED]


Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition

I In der ersten Kategorie FILE SYSTEM INFORMATION sehenwir, dass es sich um ein FAT16-Dateisystem handelt und dieAdressierung der Sektoren von 0 bis 3915743 reicht – mit derSektorgroße 512 Byte = 1

2 KiB.

I Daraus ergibt das eine Dateisystemgroße von

3915744 · 12KiB = 1911 · 1024 KiB = 1.86 GB .

I Die weiteren Informationen in der KategorieFILE SYSTEM INFORMATION beschreiben die Lage der dreiBereiche eines FAT-Dateisystems, namlich den reserviertenBereich, die beiden File Allocation Tables (FAT0 bzw. derenBackup FAT1) sowie den Datenbereich.


Dateisystemanalyse

Fallbeispiel: Bootsektor einer FAT-Partition

I In der zweiten Kategorie METADATA INFORMATION erhaltenwir Informationen uber den Adressbereich der ’Inodes’.

I Das Wurzelverzeichnis des Dateisystems hat dieInode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht.

I Unter CONTENT INFORMATION erfahren wir die Sektor- unddie Clustergroße (bitte beachten, dass die Sektorgroße vomDatentrager, nicht aber vom Dateisystem festgelegt wird).Der Adressbereich der Cluster ist 2 bis 61176. Auch hier gilt,dass es weder einen Cluster 0 noch einen Cluster 1 gibt.

I Schließlich erfahren wir in der Kategorie FAT CONTENTS

Informationen uber die Anzahl und Fragmentierung allozierterDateien und Verzeichnisse.


Dateisystemanalyse

Fallbeispiel: Dateien auf USB-Stick

$ fls -ar partition-fat.dd

r/r * 3: _ICT0001.JPG

r/r * 4: _ICT0003.JPG

r/r * 5: _ICT0004.JPG

r/r * 6: _ICT0005.JPG

r/r * 7: _ICT0017.JPG

r/r * 8: _ICT0009.JPG

[REMOVED]


Dateisystemanalyse

Fallbeispiel: Dateien auf USB-Stick

I In der ersten Spalte steht r/r fur eine regularare Datei, v/v fureine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkiteinfugt. d/d bezeichnet ein Verzeichnis.

I Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnisalloziert oder geloscht ist.

I Im ersten Fall gibt fls die Inode-Nummer an, im Falle einesgeloschten Objekts zusatzlich ein *.

I Es befinden sich also nur geloschte Dateien auf demUSB-Stick


Dateisystemanalyse

Fallbeispiel: Metadaten auf USB-Stick

Metadaten der geloschten Datei unter Inode 3

$ istat partition-fat.dd 3

Directory Entry: 3

Not Allocated

File Attributes: File, Archive

Size: 2438492

Name: _ICT0001.JPG

Directory Entry Times:

Written: Sat Mar 27 09:23:06 2010

Accessed: Fri Jun 4 00:00:00 2010

Created: Sat Apr 3 14:26:56 2010

Sectors:

512 513 514 515 516 517 518 519

520 521 522 523 524 525 526 527

528 529 530 531 532 533 534 535

536 537 538 539 540 541 542 543

[REMOVED]


Dateisystemanalyse

Fallbeispiel: Wiederherstellung auf USB-Stick

Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG

$ icat -r partition-fat.dd 3 > usb-pic1.jpg

$ file usb-pic1.jpg

usb-pic1.jpg: JPEG image data, JFIF standard 1.01

$ sha256sum usb-pic1.jpg

0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg


Documents

IT Sicherheit: IT-Forensik Forensik Forensik ist ein Sammelbegri f ur wissenschaftliche und technische Arbeitsgebiete, in denen \Spuren" systematisch untersucht werden um strafbare