+ All Categories
Home > Documents > Fighting Cybercrime - Digitale Kriminalistik · PDF fileStefanBecker 2...

Fighting Cybercrime - Digitale Kriminalistik · PDF fileStefanBecker 2...

Date post: 06-Feb-2018
Category:
Upload: doankhue
View: 220 times
Download: 1 times
Share this document with a friend
30
Fighting Cybercrime - Digitale Kriminalistik Stefan Becker Kriminalhauptkommissar Polizeipräsidium Bonn Öffentliche Vorlesung am 26. Juni 2009
Transcript

Fighting Cybercrime -Digitale Kriminalistik

Stefan BeckerKriminalhauptkommissarPolizeipräsidium Bonn

Öffentliche Vorlesung am 26. Juni 2009

2Stefan BeckerPolizeipräsidium Bonn

Fighting Cybercrime - Digitale Kriminalistik

Agenda

• § 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)

• Computer Forensik ist digitale kriminalistische Arbeit - Grundsätze der kriminalistischen Vorgehensweise

• Vor Ort: Ausschalten oder was ist als erstes zu tun? (Strategien zur Vorgehensweise)

• Live Analyse versus Post Mortem Abbild

• Die Forensische Duplikation

• Fundorte digitaler Spuren am laufenden System

• Werkzeugkiste: Vorstellung einiger Tools

• Herausforderung Anti Forensics

3Stefan BeckerPolizeipräsidium Bonn

Vorbereiten des Ausspähens und Abfangens von Daten(1) Wer eine Straftat nach § 202a oder § 202b

vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den

Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

§ 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)

§ 202 c StGB

4Stefan BeckerPolizeipräsidium Bonn

� Gesetzestext semantisch etwas unglücklich

� § 202 a Ausspähen- / § 202 b Abfangen von Daten

§ 202 c StGB

§ 202 c StGB - Bedeutung für die Praxis (Hackerwerkzeuge)

http://www.linux-magazin.de/NEWS/Hacker-Paragraf-202c-StGB-Erste-Anzeigen

5Stefan BeckerPolizeipräsidium Bonn

Der Gesetzentwurf kriminalisiere nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren, insbesondere wenn diese nur die Sicherheit des eigenen

Datennetzes prüfen wollten.

Deutscher Bundestag Drucksache 16/5449

16. Wahlperiode 23. 05. 2007

§ 202 c StGB

http://dip21.bundestag.de/dip21/btd/16/054/1605449.pdf

http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-067.html

6Stefan BeckerPolizeipräsidium Bonn

Computer-Forensik

• Nachweis und die Ermittlung von Straftaten im Bereich der Computerkriminalität

• Nachweis und Aufklärung von strafbaren Handlungen z. B. durch Analyse von digitalen Spuren

Kriminalistische Fragestellungen:Wer, Was, Wo, Wann, Womit, Wie und Weshalb

Computer Forensik – digitales kriminalistisches Arbeiten

Fighting Cybercrime - Digitale Kriminalistik

7Stefan BeckerPolizeipräsidium Bonn

• Secure

– „Tatort“ und Untersuchungsbereich absichern

– Beweisspuren sichern

• Analyze

– Spuren sorgfältig auswerten

• Present

– Erkenntnisse schlüssig dokumentieren

SAP – Modell

Fighting Cybercrime - Digitale Kriminalistik

8Stefan BeckerPolizeipräsidium Bonn

Ziel der Ermittlung

• Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte,

• Ermittlung des entstanden Schadens nach einem Systemeinbruch,

• Identifikation des Angreifers,• Sicherung der Beweise für weitere juristische

Aktionen.

Computer Forensik

Fighting Cybercrime - Digitale Kriminalistik

9Stefan BeckerPolizeipräsidium Bonn

� Soviel Informationen wie möglich von einem kompromittierten System sammeln, ohne dabei den aktuellen Zustand bzw. Status dieses Systems zu verändern.

Computer Forensik

Fighting Cybercrime - Digitale Kriminalistik

10Stefan BeckerPolizeipräsidium Bonn

•Flüchtige DatenInformationen, die beim geordneten Shutdown oder Ausschalten verloren gehen (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete User etc.)

•Fragile DatenInformationen, die zwar auf der Festplatte gespeichert sind, aber deren Zustand sich beim Zugriff ändern kann

•Temporär zugängliche DatenInformationen, die sich auf der Festplatte befinden, aber nur zubestimmten Zeitpunkten zugänglich sind, z.B. während der Laufzeit einer Anwendung.

Die Kenntnis um die Halbwertzeit dieser Daten ist sehr wichtig, da damit die Reihenfolge der Datensammlung bestimmt wird.

Welche Daten in welcher Reihenfolge sammeln?

Fighting Cybercrime - Digitale Kriminalistik

11Stefan BeckerPolizeipräsidium Bonn

• Welche Person hatte (unberechtigten) Zugang?

• Was hat der Angreifer auf dem System gemacht?

• Zu welchem Zeitpunkt fand der Vorfall statt?

• Welche Systeme sind zusätzlich betroffen?

• Warum ist gerade dieses Netz oder System angegriffen worden?

• Wie konnte der Angreifer Zugriff erlangen?

• Ist der Angriff vor kurzem geschehen? Was macht der Angreifer jetzt?

• Was konnte der Angreifer auf diesem/von diesem System einsehen?

• Hat der Angreifer etwas zurückgelassen?

Fragestellungen für die Ermittlung

Fighting Cybercrime - Digitale Kriminalistik

12Stefan BeckerPolizeipräsidium Bonn

• Welche Tools kamen beim Angriff zum Einsatz?

• Wie kamen diese Tools zum Einsatz?

• In welcher Programmiersprache wurden die Tools geschrieben?

• Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?

• Welche Ereignisse wurden protokolliert ?

• Was wird durch die Protokolldaten enthüllt?-Protokolldaten von Firewall, IDS, RAS, Zutrittskontrollsystemen

• Was ist auf den Datenträgern gespeichert?-Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?

-Welche Dateien wurden gelöscht?

-Existieren versteckte Dateien?

• Existieren verschlüsselte Dateien oder -Bereiche?

• Existieren versteckte Partitionen?

• Existieren Backdoors -oder andere Remote-Tools?

Fragestellungen für die Ermittlung

Fighting Cybercrime - Digitale Kriminalistik

13Stefan BeckerPolizeipräsidium Bonn

Fighting Cybercrime - Digitale Kriminalistik

Strategie bestimmende Faktoren:

• Wie kritisch sind die betroffenen Systeme?• Wichtigkeit der gestohlenen oder beschädigten Daten.• Wer sind die vermutlichen Täter?• Ist der Vorfall bereits an die Öffentlichkeit gelangt?• Wie weit ist der Täter bereits gekommen?• Welche Skills werden beim Täter vermutet?• Welche Downtime ist zu verkraften?• Vermuteter finanzieller Gesamtverlust.

14Stefan BeckerPolizeipräsidium Bonn

Computer Forensik

Dinge, die vermieden werden sollten

• Verändern von Zeitstempeln auf den gehackten Systemen (MAC-Times)• Beenden eines verdächtigen Prozesses auf dem System• Security Patch installieren, bevor das Response Team weitere Maßnahmen

empfiehlt• Kommandos ausführen, die niemand protokolliert hat• Tools mit grafischen Interface lokal verwenden • Nicht vertrauenswürdige Programme und Systemtools verwenden• Zerstören von möglichen Beweisen durch Installieren oder Deinstallieren

von Software• Zerstören von möglichen Beweisen durch Programme, die Output auf der

Beweisplatte generieren• unter Umständen auch Shutdown

15Stefan BeckerPolizeipräsidium Bonn

Computer Forensik

Häufige Fehler bei der Ermittlung

• Keine durchgängige Dokumentation der durchgeführten Aktionen• Jeder Vorgang am oder mit dem Beweis muss lückenlos

dokumentiert sein• Entscheidungsträger sind nicht oder nur unzureichend informiert• Digitale Beweise sind unzureichend vor Veränderung geschützt• Keine rechtzeitige Meldung über den Vorfall• Unterschätzen der Tragweite des Vorfalls• Keinen Incident Response Plan in Vorbereitung

16Stefan BeckerPolizeipräsidium Bonn

� Ist der Täter aktiv?

Welche Beweise benötige ich?Welche Beweise erwarte ich?Welche Beweise erbringt ein Live Response?

Post Mortem:Herunterfahren oder Stecker ziehen?

Ausschalten – oder was ist als erstes zu tun?

Vor Ort

17Stefan BeckerPolizeipräsidium Bonn

Vor Ort

System Shutdown

• Zerstört einige fragile Daten (pagefile)• Sehr viele MAC-Timestampswerden zerstört• Malware könnten gestartet werden

Stromkabel ziehen

• Zerstört alle flüchtigen Daten in Hauptspeicher, Informationen über laufende Prozesse und angemeldete User

• = vorher sichern! • = Live Response• Stoppt alle Prozesse sofort ohne dass Malware gestartet werden kann

18Stefan BeckerPolizeipräsidium Bonn

� Image verwenden

� Prüfsumme bilden

Niemals Original verwenden!

Die Forensische Dublikation

19Stefan BeckerPolizeipräsidium Bonn

Forensische Dublikation

20Stefan BeckerPolizeipräsidium Bonn

Forensiche Dublikation

21Stefan BeckerPolizeipräsidium Bonn

22Stefan BeckerPolizeipräsidium Bonn

dcfldd-http://dcfldd.sourceforge.net/

Forensische Dublikation

dd if=/dev/hda of=/mnt/fall/hda.img

23Stefan BeckerPolizeipräsidium Bonn

Spuren am laufenden System

• Systemdatum und -uhrzeit (mit Abweichung von einer Referenzzeit)• Liste der aktiven Prozesse• Liste der geöffneten Sockets• Liste der Anwendungen, die auf geöffneten Sockets lauschen• Liste der User, die gerade angemeldet sind• Liste der Systeme, die gerade eine Netzverbindung haben oder vor

kurzem eine hatten

doskey, scriptdate, time, wloggedonfport, lsofpslist, psnbtstat

24Stefan BeckerPolizeipräsidium Bonn

Digitale Spuren am laufenden System

Was ist bei der Live Response möglich?

Was ist möglich?• Welche Programme sind im Speicher aktiv? Sockets?• Wie wurden diese Programme gestartet? Aus welchem Pfad? In welcher

Reihenfolge? Durch welchen User?• Welche Informationen werden durch das Programm im RAM verarbeitet?• Welche User sind angemeldet?• Wie ist der Status der Netzverbindungen?

Was ist nicht möglich?• Ist das System mehrfach gebootet worden, sind die relevanten

Informationen weg.• Liegt der Vorfall länger zurück und ist das System gut ausgelastet, sind

die relevanten Informationen weg

25Stefan BeckerPolizeipräsidium Bonn

Digitale Spuren am laufenden System

26Stefan BeckerPolizeipräsidium Bonn

27Stefan BeckerPolizeipräsidium Bonn

http://www.forensicswiki.org/wiki/Main_Page

Werkzeugkiste: Vorstellung einiger Tools

28Stefan BeckerPolizeipräsidium Bonn

Werkzeugkiste: Vorstellung einiger Tools

iX Incident Response Tools

29Stefan BeckerPolizeipräsidium Bonn

Anti Forensics

•WipingTools „Spurenvernichter“

•Verschlüsselung•Date/Time Manipulation

•Metadaten Manipulation

•Backdoors, Keylogger, Sniffer etc. und Rootkits (um diese Tools zu verstecken)

30Stefan BeckerPolizeipräsidium Bonn

Vielen Dank für Ihre Aufmerksamkeit!

Fighting Cybercrime - Digitale Kriminalistik

Zeit für Ihre Fragen!http://www.shortinfosec.nethttp://computer-forensik.orghttp://computer.forensikblog.dehttp://www.forensicswiki.org/wiki/Main_Page

http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-067.html


Recommended