Analyse forensischer Toolsammlungen zur Rekonstruktion

Transcription

Analyse forensischer Toolsammlungen zur
Rekonstruktion browserbasierter Tatbestände
Bachelorarbeit von
Sandy-Dorothea Hein
Aufgabenstellung:
Prof. Dr. Gabi Dreo Rodosek
Betreuung:
Dipl.-Wirt.-Inf. Mario Golling
Dipl.-Inf. Frank Tietze
Universität der Bundeswehr München
Fakultät für Informatik
Institut für Technische Informatik
Neubiberg, den 30. Januar 2013
2
Erklärung nach §22(6) ABaMaPO
Hiermit versichere ich, dass ich die vorliegende
Arbeit selbständig und nur unter
Verwendung der angegebenen Hilfsmittel
und Quellen angefertigt habe.
Sandy-Dorothea Hein
4
Zusammenfassung
Diese Bachelorarbeit beschäftigt sich mit der IT-Forensik mit besonderem Fokus auf
die Untersuchung und Bewertung forensischer Tool-Sammlungen. Dabei werden zunächst Grundlagen der IT-Forensik vermittelt und das Szenario vorgestellt. Anschließend werden Anforderungen an die IT-Forensik mit Bezug auf das gewählte Szenario
definiert. Anhand dieser Anforderung werden aktive Toolkits für eine forensische Ermittlung im Bereich des Szenarios untersucht und beurteilt.
Abstract
This bachelor thesis deals with computer forensics focussing on the investigation and
evaluation of forensic toolkits. To begin with, basic principles of computer forensics
are provided and the scenario is presented. Afterwards, computer forensic requirements
concerning the chosen scenario are specified. Based on these requirements active toolkits are examined and evaluated referring to forensic investigations in the field of the
scenario.
Danksagung
An dieser Stelle möchte ich all denen danken, die durch ihre fachliche und persönliche
Unterstützung zum Gelingen dieser Bachelorarbeit beigetragen haben. Allen voran gilt
mein besonderer Dank Prof. Dr. Gabi Dreo Rodosek, als Begutachterin dieser Arbeit,
sowie den Betreuern Dipl.-Wirt.-Inf. Mario Golling und Dipl.-Inf. Frank Tietze für ihre
tatkräftige Unterstützung.
Weiterhin danke ich Sergej Kottmeyer für das Korrekturlesen und für die guten Hinweise zu dieser Arbeit.
Inhaltsverzeichnis
1 Einführung
1
1.1
Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.2
Aufbau der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
2 Grundlagen der IT-Forensik
5
2.1
IT-Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.2
Digitale Beweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3
Live-Forensik vs. Post-mortem-Analyse . . . . . . . . . . . . . . . . . .
6
2.4
Vorgehensweise bei einer forensischen Untersuchung . . . . . . . . . . .
6
2.4.1
S-A-P Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.4.2
Der forensische Prozess laut BSI . . . . . . . . . . . . . . . . . .
8
Datenquellen einer Browser-Session auf dem Nutzersystem . . . . . . .
11
2.5.1
Browser-Artefakte
. . . . . . . . . . . . . . . . . . . . . . . . .
12
2.5.2
Browserspezifische Dienste . . . . . . . . . . . . . . . . . . . . .
15
2.5.3
Externe Browserkomponenten . . . . . . . . . . . . . . . . . . .
15
2.5
3 Szenario
3.1
3.2
17
Beschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.1.1
Gesamtüberblick . . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.1.2
Technische Details . . . . . . . . . . . . . . . . . . . . . . . . .
18
Forensische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . .
18
3.2.1
Vorgehensweise . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
3.2.2
Datenquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
4 Anforderungsanalyse
4.1
23
Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . .
23
4.1.1
Such- und Filterfunktion . . . . . . . . . . . . . . . . . . . . . .
23
4.1.2
Datenkorrelation . . . . . . . . . . . . . . . . . . . . . . . . . .
23
4.1.3
Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
4.1.4
Imageeinbindung . . . . . . . . . . . . . . . . . . . . . . . . . .
24
I
Inhaltsverzeichnis
4.2
Szenariospezifische Anforderungen . . . . . . . . . . . . . . . . . . . . .
24
4.2.1
Browser-Artefakte
24
4.2.2
Informationen und Veränderungen an zu Grunde liegenden
. . . . . . . . . . . . . . . . . . . . . . . . .
Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
4.2.3
Veränderungen von Konfigurationen . . . . . . . . . . . . . . . .
25
4.2.4
Veränderter Programmablauf . . . . . . . . . . . . . . . . . . .
25
5 Stand der Wissenschaft und Technik
27
5.1
Image-Erstellung mit dcfldd . . . . . . . . . . . . . . . . . . . . . . . .
27
5.2
Sicherung der Integrität mit md5deep . . . . . . . . . . . . . . . . . . .
28
5.3
Analyse der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
5.3.1
Forensische Workstation . . . . . . . . . . . . . . . . . . . . . .
28
5.3.2
Auswahlkriterien . . . . . . . . . . . . . . . . . . . . . . . . . .
29
5.3.3
OSForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
5.3.4
DFF - Digital Forensics Framework . . . . . . . . . . . . . . . .
35
5.3.5
Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
5.3.6
SIFT - SANS Investigate Forensic Toolkit . . . . . . . . . . . .
44
5.3.7
Backtrack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
5.3.8
CAINE - Computer Aided Investigative Environment . . . . . .
55
5.3.9
Paladin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
5.3.10 TSK - The SleuthKit . . . . . . . . . . . . . . . . . . . . . . . .
62
5.3.11 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . .
65
6 Ausblick
69
Literaturverzeichnis
73
Abbildungsverzeichnis
76
Tabellenverzeichnis
77
Glossar
79
II
1 Einführung
Aufgrund der wichtigen Rolle, die Computersysteme in unserer Gesellschaft in den
letzten Jahren übernommen haben, werden sie auch zunehmend zur Durchführung
von Straftaten genutzt. Einen guten Einblick in das Ausmaß bietet das Bundeslagebild
2011 zum Thema Cybercrime vom Bundeskriminalamt (BKA) [Bun11b]. Die vom BKA
veröffentlichte Entwicklung der gemeldeten Vorfälle in den Jahren 2007 bis 2011 zeigen
die Abbildungen 1.1 und 1.2. Dabei kam es in diesem Zeitraum zu einem quantitativen,
vor allem aber auch zu einem qualitativen Anstieg im Bereich der Cyberkriminalität.
Dies betrifft Straftaten wie den Diebstahl digitaler Identitäten, Computersabotage,
Phishing, digitale Erpressung und auch Angriffe auf mobile Endgeräte.
59.839 60.000 50.254 50.000 40.000 59.494 37.900 34.180 30.000 20.000 10.000 0 2007 2008 2009 2010 2011 Abbildung 1.1: Cybercrime im engeren Sinne 2007 - 2011 [Bun11b]
Diese Bachelorarbeit beschäftigt sich mit dem Thema
Analyse forensischer Tool”
sammlungen zur Rekonstruktion browserbasierter Tatbestände“ und analysiert Möglichkeiten der Aufklärung von Straftaten, die unter Nutzung eines Browsers begangen
wurden.
1
1 Einführung
71,2 80,0 61,5 70,0 60,0 37,2 50,0 40,0 36,9 31,0 30,0 20,0 10,0 0,0 2007 2008 2009 2010 2011 Abbildung 1.2: Schäden 2007 - 2011 [Bun11b]
1.1 Problemstellung
Der Cyberkriminalität entgegenwirkend gibt es zwar diverse Schutzmaßnahmen für
Computersysteme, wie Intrusion Detection Systeme, Firewalls und Virenscanner, diese
sind jedoch häufig fehlerbehaftet und lückenhaft. Als weiterer Faktor wird die Mobilität beim Nutzen von Computersystemen bedeutsamer. Jederzeit und von überall aus
möchte der Nutzer Zugriff auf seine Daten und seine Programme haben, sowohl am
eigenen PC, Smartphone oder Tablet als auch an fremden Computersystemen. Daher gibt es eine stetige Entwicklung von Diensten wie Mobile Computing und Cloud
Computing, die diese Mobilität unterstützen sollen. In der Konsequenz dient der Webbrowser somit nicht mehr nur dem Durchstöbern von Webseiten, sondern auch der
Integration von Anwendungen jeder Art. Dies macht ihn jedoch sowohl zu einem nützlichen Hilfsmittel zur Ausübung von Straftaten als auch zu einem attraktiven Angriffsziel. Aus diesem Grund besteht die Notwendigkeit, Browser besonders abzusichern. Da
heutige Maßnahmen hier nachweislich zu kurz greifen, muss eine forensische Betrachtung im Schadensfall erfolgen.
Diese wissenschaftliche Arbeit untersucht die Möglichkeiten, eine Browser-Session zu
rekonstruieren und damit zur Aufklärung einer während der Nutzung eines Browsers
vollzogenen Straftat beizutragen. Dabei bezeichnet der Begriff Session“ den Zeitraum
”
in dem die Straftat ausgeführt wurde und alle damit verbundenen browserspezifischen
Vorgänge.
2
1.2 Aufbau der Arbeit
1.2 Aufbau der Arbeit
Die Bachelorarbeit ist in sechs Kapitel unterteilt. Nach dieser Einleitung werden zunächst notwendige Grundlagen für den Bereich der IT-Forensik vermittelt. Dazu gehören einerseits wichtige Begriffsdefinitionen, andererseits aber auch die Vorstellung
zweier ausgewählter Vorgehensmodelle einer forensischen Untersuchung. Abschließend
werden für die Rekonstruktion der Tatbestände einer Browser-Session potentielle Datenquellen samt ihrer Bedeutung erläutert. In dem darauf folgenden Kapitel wird das
Szenario vorgestellt, welches die Grundlage für diese Bachelorarbeit bildet. Zusätzlich
werden die ersten Schritte des Vorgehens eines forensischen Ermittlers anhand des
Szenarios präsentiert und vorhandene Datenquellen eingegrenzt. Abgeleitet aus dem
Szenario werden im Anschluss im vierten Kapitel Anforderungen an die forensische
Untersuchung gestellt. Im fünften Kapitel wird mit Bezug zum Szenario der aktuelle
Stand der Wissenschaft und Technik ermittelt. Dazu werden verschiedene gängige forensische Toolsammlungen auf ihre Funktionen und ihren Nutzen hin untersucht. Das
letzte Kapitel bewertet die untersuchten Toolsammlungen hinsichtlich Erfüllung der
aufgestellten Anforderungen und weist auf Entwicklungspotential hin.
3
1 Einführung
4
Dieses Kapitel widmet sich der Einführung in die Begriffswelt der IT-Forensik in Bezug auf die Auswertung von Tatbeständen während einer Browser-Session. Im ersten
Teil werden grundlegende Begriffe der IT-Forensik und von Cybercrime definiert. Der
zweite Teil enthält zwei Modelle zur Vorgehensweise bei einer forensischen Analyse.
Abschließend werden Artefakte vorgestellt, die im Zuge einer Browser-Session erzeugt
werden.
2.1 IT-Forensik
Der Leitfaden IT-Forensik“ des Bundesamts für Sicherheit in der Informationstechnik
”
(BSI) definiert den Begriff IT-Forensik folgendermaßen:
IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern
”
und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers
eines IT-Systems.“ [Bun11a]
Die IT-Forensik lässt sich in die zwei Spezialgebiete Computer-Forensik und NetzForensik einteilen [Eck11]. Im Rahmen der Computer-Forensik werden vor allem digitale Speichermedien analysiert, während bei der Netz-Forensik die Überwachung von
Netzen und die Untersuchung von flüchtigen und dynamischen Daten in einem Netz,
wie bspw. des E-Mail-Verkehrs oder von Chat-Sitzungen im Vordergrund steht. Diese
Arbeit fokussiert sich auf die Computer-Forensik.
2.2 Digitale Beweise
Digitale Beweise sind Daten, die bei der Nutzung eines Computers gespeichert oder
übermittelt werden und dabei eine Theorie über den Ablauf einer Straftat oder ein
5
Alibi bestätigen oder widerlegen können. Zudem können sie Hinweise auf das Tatmotiv
geben.
Locard’s Exchange Principle“, das digitale Austauschprinzip des französischen Medi”
ziners Edmund Locard, gilt heutzutage als Grundprinzip der forensischen Wissenschaft
und besagt: Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück.“ In
”
der IT-Forensik trägt es den Titel das digitale Austauschprinzip“, während sein Wort”
laut entsprechend angepasst wurde: In jedem hinreichend komplexen digitalen System
”
hinterlässt Datenverarbeitung notwendigerweise Spuren.“ [Cas11]
2.3 Live-Forensik vs. Post-mortem-Analyse
In Bezug auf den Zeitpunkt der Untersuchung wird die IT-Forensik in die Live-Forensik
und in die Post-mortem-Analyse eingeteilt [Bun11a].
Bei der Post-mortem-Analyse findet nach erstmaligem Herunterfahren des Systems
eine Untersuchung des Datenträgers statt, was einen Verlust der flüchtigen Daten bewirkt. Der Fokus liegt bei der Post-mortem-Analyse auf der Untersuchung der nichtflüchtigen Daten auf u.a. umbenannte, gelöschte, versteckte und verschlüsselte Dateien.
Die Live-Forensik hingegen beginnt ihre Untersuchung vor dem erstmaligen Herunterfahren nach dem Eintritt eines Vorfalls. Dadurch besteht die Möglichkeit, flüchtige
Daten zu gewinnen und untersuchen zu können. Dies betrifft bspw. den Arbeitsspeicher, gestartete Prozesse und bestehende Netzverbindungen. Ein wichtiger Punkt spielt
hierbei, dass im Zuge der Datensicherung diese verändert werden, was zu einer Anfechtung der Ergebnisse führen kann.
2.4 Vorgehensweise bei einer forensischen
Untersuchung
In diesem Abschnitt wird der Verlauf einer forensischen Untersuchung erläutert. Dabei
wird auf das Secure-Analyse-Present (S-A-P) Modell und auf den forensischen Prozess
laut BSI näher eingegangen.
6
2.4 Vorgehensweise bei einer forensischen Untersuchung
2.4.1 S-A-P Modell
Das S-A-P Modell ist ein Modell zur Beschreibung der Vorgehensweise bei einer forensischen Untersuchung. Es hebt sich von ähnlichen Modellen ab, da es simpler und
verständlicher und trotzdem kompatibel zu den komplexeren Modellen ist. Zudem ist
das S-A-P Modell auf die Verfolgung von Straftaten ausgerichtet [Bun11a]. Dieses Modell teilt den forensischen Ermittlungsprozess, wie aus Abbildung 2.1 ersichtlich wird,
in drei Phasen ein: Secure (Sichern), Analyse (Analysieren) und Present (Präsentieren).
Secure
• Identifizierung der
Datenquellen
• Datensicherung
Analyse
nach Erstellung
der Duplikate
• Vorbereitung
• Durchführung
• Interpretierung
Present
nach Komplettierung
der Ergebnisse
• verständliche Dokumentation
• zielgruppenorientierte
Präsentation
bei Identifizierung neuer Datenquellen
Abbildung 2.1: Phasen des S-A-P Modells
Secure
Die Sicherungsphase hat zwei wesentliche Ziele [Moh03]: Die Identifizierung potentieller
Datenquellen und anschließend das korrekte Sichern aller Daten dieser Datenquellen.
Hierbei muss die Datenerfassung sorgfältig durchgeführt werden, um die Integrität der
Daten zu wahren [Ges11]. Als Grundlage dazu wird der Untersuchungsbereich sorgfältig abgesichert, sodass alle potentiellen Beweise vor Manipulation geschützt sind.
Die Spurensicherung erfolgt ebenfalls sorgfältig, wobei die Sicherung stets nach dem
Vier-Augen-Prinzip erfolgt und alle Tätigkeiten genauestens protokolliert werden.
Bei der Identifizierung potentieller Datenquellen ist es von besonderer Wichtigkeit,
dass der forensische Ermittler erkennt, welche Datenquellen relevant für den Vorfall
sind. Übersieht er nämlich hierbei eine Datenquelle, kann dies die Aufklärung des
Vorfalls gefährden.
Im Zuge der gerichtsverwertbaren Sicherung der Daten dürfen die Originaldaten möglichst nicht verändert werden [Moh03] . Die Festplatte, auf der das Duplikat erstellt
werden soll, muss zunächst unter Anwendung von so genannten Wipe Tools“ mit
”
7
Löschfunktionen (engl. wipe functions) von alten Daten bereinigt werden. Anschließend wird eine exakte Kopie der Daten erstellt, wobei sowohl das Duplikat als auch
das Original mittels Hashfunktionen verifiziert werden.
Analyse
Die Analyse-Phase besteht aus drei Abschnitten: Vorbereitung, Durchführung und
Interpretierung [Ges11] [Moh03].
Vorbereitend wird eine Kopie der Master-Kopie erstellt, damit der forensische Ermittler auf die Master-Kopie zugreifen kann, falls während der Analyse die Daten auf der
Kopie verändert werden sollten.
Während der Durchführung der Analyse sucht der Ermittler nach für den Vorfall
relevanten Daten und stellt Zusammenhänge zwischen den Daten her. Die relevanten
Daten werden aus dem Datenbestand gefiltert und erneut dupliziert.
Am Ende der Analyse-Phase bewertet der forensische Ermittler die Bedeutung der
Daten in Bezug auf ihren Einfluss auf die Untersuchung. Dabei hinterfragt er seine
Ergebnisse kritisch, um potentielle Lücken in seiner Argumentationskette zu erkennen
und zu beheben.
Present
Am Schluss der forensischen Ermittlung steht die Präsentation der Ergebnisse [Ges11] [Moh03]. Zuerst dokumentiert der forensische Ermittler die Erkenntnisse
so, dass sie auch für Laien verständlich und nachvollziehbar sind. Anschließend stellt
er die Ergebnisse sicher, zielgruppenorientiert und ggf. mit entsprechend verständlicher Visualisierung vor. Dabei muss die Glaubwürdigkeit des Ermittlers und seiner
durchgeführten Untersuchung gewahrt bleiben.
2.4.2 Der forensische Prozess laut BSI
Der Leitfaden IT-Forensik“ des BSI [Bun11a] erweitert das S-A-P Modell in Bezug
”
auf das Vorgehen bei forensischen Ermittlungen. Als Bundesbehörde, die offiziell für
die IT-Sicherheit in Deutschland zuständig ist, dient sie als Wegweiser für forensische
8
2.4 Vorgehensweise bei einer forensischen Untersuchung
Ermittlungen innerhalb Deutschlands. Der forensische Prozess des BSI teilt den Verlauf einer forensischen Untersuchung in sechs Abschnitte ein, die wiederum einen in
sich geschlossenen Kreislauf bilden, wie die Abbildung 2.2 verdeutlicht. Dabei können die ersten drei Abschnitte der Secure-Phase, die Abschnitte vier und fünf der
Analyse-Phase und der letzte Abschnitt der Present-Phase des S-A-P Modells zugeordnet werden. Im Folgenden werden die einzelnen Abschnitte kurz erläutert.
Strategische
Vorbereitung
Operationale
Vorbereitung
Dokumentation
Zusammenfassung
der Erkenntnisse,
Einordnung in CERT
Abschlussbericht
Datenanalyse
Datensammlung
Bergung
Untersuchung
Abbildung 2.2: Abschnitte des forensischen Prozesses
Strategische Vorbereitung
Der Begriff der strategischen Vorbereitung bezeichnet alle Maßnahmen, die der Betreiber einer IT-Anlage treffen kann, bevor es zum eigentlichen Eintritt eines Ereignisses
kommt. Zu diesen Maßnahmen gehört bspw. das Aktivieren von Logdiensten, die beim
Eintritt eines Vorfalls die Umstände um diesen protokollieren können.
Operationale Vorbereitung
Die operationale Vorbereitung wird nach dem Eintreten eines Ereignisses, aber vor der
Datensammlung durchgeführt [Eck11] [Cas11]. Dabei werden potentielle Datenquellen
9
für eine forensische Untersuchung im Zusammenhang mit dem Vorfall identifiziert und
anschließend zur Datensammlung genutzt. Jede Datenquelle muss auf der Basis einer
rechtlichen Ermächtigungsgrundlage, die in der Strafprozessordnung festgehalten ist,
rechtmäßig sichergestellt bzw. beschlagnahmt werden, um eine Zulässigkeit vor Gericht
zu gewährleisten. Handelt es sich bei den sicherzustellenden Objekten um dienstliche
Hardware, verkompliziert dies das Vorgehen. Zwar ist der Arbeitgeber prinzipiell der
Besitzer dieser Datenquellen und ist somit rechtlich dazu befugt bspw. den dienstlichen
Computer seiner Mitarbeiter selbst zu durchsuchen, er muss dabei aber gewisse Einschränkungen beachten. Bei falschem Umgang mit personenbezogenen und privaten
Daten kann dies zu juristischen Konsequenzen führen, woraufhin der gesamte forensische Prozess für nichtig erklärt werden kann. Stimmt der Nutzer einer Untersuchung
der dienstlichen Hardware zu, entfallen die datenschutzrechtlichen Aspekte.
Datensammlung
Ein entscheidender Grundsatz der IT-Forensik ist: never touch original“ [Eck11]. Dies
”
bedeutet, dass das Originalsystem sicher zu verwahren ist und die forensischen Untersuchungen nicht an ihm durchzuführen sind. Daher ist der erste und sehr wichtige
Schritt bei der Datensammlung das Erstellen von beweissicheren Kopien der OriginalDatenquellen, so genannter Images. Wichtig hierbei ist die Sicherung der Integrität
der Beweismittel zur Gewährleistung der gerichtlichen Verwertbarkeit, weswegen die
zur Sicherung genutzten Datenträger mittels Wipe Tools“ gelöscht und alle erzeugten
”
Images unter Verwendung kryptographischer Verfahren abgesichert werden müssen.
Untersuchung
Der Vorgehensabschnitt der Untersuchung dient der Filterung der Daten. Hierbei werden aus allen Daten diejenigen herausgefiltert, die zu dem entsprechenden Vorfall gehören könnten, indem bspw. nur spezielle Dateitypen extrahiert werden.
Datenanalyse
Alle nötigen forensischen Untersuchungen sollten nur an forensischen Duplikaten und
auch dort nur im mit Leserechten durchgeführt werden, um einer Verfälschung der Untersuchungsergebnisse durch versehentliche Änderungen innerhalb der Datenbestände
vorzubeugen. Durch den never touch original“-Grundsatz ist auch die Möglichkeit
”
10
2.5 Datenquellen einer Browser-Session auf dem Nutzersystem
einer separaten, unabhängigen Überprüfung stets gewährleistet. Im Rahmen der Datenanalyse werden die gefilterten Daten im Detail analysiert. Zeitliche und inhaltliche
Zusammenhänge werden hierbei deutlich.
Dokumentation
Ein Kernprinzip der forensischen Untersuchung ist die ordnungsgemäße Dokumentation [Eck11] [Cas11]. Jeder einzelne Schritt sollte idealerweise von Hand zur Erleichterung der Authentizität unter Angabe des Namens des Ermittlers, dem Ort und der
Uhrzeit auf Papier notiert werden. Zur Dokumentation der GUI eignen sich idealerweise Videoaufnahmen und Screenshots, wobei alle wichtigen Erkenntnisse und Ergebnisse
zusätzlich schriftlich festzuhalten sind. Die Dokumentation innerhalb des forensischen
Prozesses dient der Zusammenfassung der Einzelergebnisse und gliedert sich wiederum in zwei Abschnitte: Die prozessbegleitende und die abschließende Dokumentation.
Die prozessbegleitende Dokumentation findet parallel zur Durchführung der anderen
Phasen statt. Dabei werden sowohl die Ergebnisse als auch der Verlauf bis zu diesen
Ergebnissen u.a. unter Angabe des Namens, der Versionsnummer des genutzten Programms und der Aufrufe innerhalb des Programms genauestens protokolliert. Im Zuge
der abschließenden Dokumentation wird aus den bis dahin gesammelten Daten ein Gesamtbild erstellt. Dabei werden sowohl die gewonnenen Informationen zusammengefasst, als auch Hintergründe zur Durchführung der Untersuchung detailliert erläutert.
Ziel der Dokumentation ist neben der Präsentation der Ergebnisse auch, das Vorgehen
bei der forensischen Analyse für Dritte nachvollziehbar zu machen, sodass diese auch
die Integrität der Ergebnisse beurteilen können.
2.5 Datenquellen einer Browser-Session auf dem
Nutzersystem
Nahezu jede Tätigkeit, die ein Nutzer bei der Nutzung seines Browser durchführt, hinterlässt Spuren auf dem Computer. Dieses Kapitel beschreibt die Artefakte, die während einer Browser-Session auf dem Nutzersystem hinterlassen werden. Zudem wird
die Bedeutung browserspezifischer Dienste und externer Komponenten in diesem Rahmen erläutert. Abhängig von dem Betriebssystem und dem genutzten Browser werden
Browseraktivitäten auf eine andere Art und Weise gespeichert. Diese Bachelorarbeit
betrachtet dabei den Internet Explorer 8 unter Microsoft Windows 7 Professional 64bit.
11
2.5.1 Browser-Artefakte
Generell gilt, dass manchmal Weiterleitungen oder Werbeanzeigen zu einer Webseite
führen, die der Nutzer nicht besuchen wollte. Somit ist dem Nutzer nicht immer eine
Absicht zu unterstellen. Im Folgenden wird auf zeitbehaftete Daten, gering zeitbehaftete Daten und Downloads eingegangen. Zu den zeitbehafteten Daten gehören in diesem
Zusammenhangen all die Daten, die sich von Browser-Session zu Browser-Session ändern. Gering zeitbehaftete Daten wiederum ändern sich nur selten.
Zeitbehaftete Daten
Für den Fall, dass der Browser während der Nutzung abstürzt, speichert
dieser diverse Wiederherstellungsdaten der Browser-Session ab. Dazu gehören geöffnete Fenster, Tabs und Popups, die Position der Fenster ebenso
wie die Scrollposition der jeweiligen Tabs. Beim Internet Explorer 8 werden diese Daten unter C:\Users\USER\AppData\Local\Microsoft\Internet_
Explorer\Recovery\LastActive gesichert. In diesem Ordner befinden sich zwei
verschiedene Arten von .DAT-Dateien: Die Hauptdatei namens RecoveryStore.
{GUID}.dat, wobei GUID (Globally Unique Identifier) eine ID ist, die für jeden
Nutzer und für jeden Computer unterschiedlich ist. Für jedes geöffnete Fenster
und jeden geöffneten Tab erstellt der Internet Explorer eine eigene .DAT-Datei
zur Sicherung der Details und Daten der Webseite unter {GUID}.dat. Hierbei
ändert sich die GUID für jede Browser-Session.
Beim ersten Besuch einer Webseite speichert der Browser in seinem Cache die
URL der Webseite und alle mit ihr verbundenen Elemente, wie z.B. Bilder und
Texte zwischen. Diese Daten werden auch als Temporary Internet Files“ bezeich”
net. Bei einem weiteren Besuch dieser Webseite zu einem späteren Zeitpunkt
greift der Browser auf die Cache-Dateien zu und kann somit regelmäßig besuchte Seiten schneller laden. Einige Browser speichern ebenfalls die Anzahl der
Seitenzugriffe ab. Der Internet Explorer 8 sichert diese Daten unter C:\Users\
USER\AppData\Local\Temp\Temporary_Internet_Files\Content.IE5. In diesem Ordner legt er eine Datei namens index.dat an, in der er die Cache-Daten
hinterlegt.
Browser legen einen Verlauf über alle besuchten Webseiten mit Zeitstempel
an. Das Speicherverzeichnis dieser Daten befindet sich beim Internet Explorer
12
8 unter C:\Users\AppData\Local\Local\Temp\History\History.IE5. Auch
in der Registry unter HKEY_CURRENT_USER\Software\Microsoft\Internet_
Explorer\TypedURLs lassen sich die URLs, die in das Adressfeld eingegeben
wurden auflisten. Dabei ist url1“ die zuletzt eingegebene URL. Das Hive des
”
Nutzerregistry-Datei ist unter C:\Users\USER\ntuser.dat gespeichert.
Windows protokolliert alle Ereignisse unter Angabe von Datum, Uhrzeit, Ereig-
nisquelle und Art des Ereignisses in Logdateien. Ereignisquellen können hierbei
Anwendungen, das System oder die Systemsicherheit sein. Das Ereignisprotokoll
des Internet Explorers befindet sich unter C:\Windows\System32\winevt\Logs\
Internet_Explorer.evtx.
Baut der Benutzer eine https/SSL-Verbindung mit einer Webseite auf, wird das
Zertifikat der Webseite auf Echtheit überprüft und anschließend ein Sitzungsschlüssel übertragen [Bar12] [Cas11]. Mit diesem kann eine symmetrische Datenverschlüsselung erfolgen. Trotz intensiver Quellenrecherche konnte kein Hinweis
auf einen Speicherort des Sitzungsschlüssels auf Windows 7 gefunden werden.
Es ist jedoch davon auszugehen, dass dieser nicht für eine Post Mortem Analyse auswertbar auf der Festplatte hinterlegt wird, da dies nicht im Sinne seiner
Funktion ist.
Gering zeitbehaftete Daten
Einige Webseiten verfolgen die Interessen und die Besuche von Webseiten ei-
nes Nutzers, indem sie einen so genannten Cookie“ im Browser hinterlegen.
”
Amazon nutzt z.B. den Cookie zur Identifizierung der Interessen des Nutzers
durch Beobachtung getätigter Einkäufe und anschließender Platzierung passender Werbung. Unter Windows 7 werden Cookies unter C:\Users\USER\AppData\
Roaming\Microsoft\Windows\Cookies gespeichert. Zusätzlich enthält die Datei
index.dat Cookie-Informationen.
Webseiten, die der Nutzer häufiger besuchen möchte oder als interessant einstuft,
kann er als Lesezeichen unter seinen Favoriten abspeichern. Dazu speichert der
Browser auch, wann zuletzt auf dieses Lesezeichen zugegriffen wurde. Die Lesezeichen des Internet Explorers 8 befinden sich unter C:\Users\Favoriten.
Um nicht bei jedem Besuch einer Webseite die verlangten Anmeldeda-
ten wiederholt eingeben zu müssen, lassen sich Logindaten nach einma13
liger Eingabe auch im Browser speichern. Beim Internet Explorer werden folgende Informationen zu jedem gespeicherten Passwort mitgeliefert [Nir11] [Nir13]: Die URL, der Passworttyp (AutoVervollständigen, passwortgeschützte Webseite/http-Authentifizierung, File Transport Protocol), der
Speicherort (Registry, Credentials-Datei, Protected Storage) und den zugehörigen Nutzernamen. Der Internet Explorer speichert Passwörter an zwei verschiedenen Orten. Kennwörter des Typs AutoVervollständigen werden in der Registry unter HKEY\_CURRENT\_USER\Software\Microsoft\InternetExplorer\
IntelliForms\Storage2 hinterlegt. Erfordert eine gesperrte Webseite eine Anmeldung über Popup handelt es sich um eine HTTP-Authentifizierung. Diese
gesicherten Kennwörter befinden sich in Credentials-Dateien unter C:\Users\
AppData\Local\Microsoft\Credentials.
Mithilfe von AutoVervollständigen lassen sich neben Passwörtern auch andere
eingegebenen Formulardaten speichern [Win13]. Somit können häufig ausgefüllte
Webformularfelder wie (Nutzer-)Name, (E-Mail-)Adresse und Kennwörter automatisch vom Browser ausgefüllt werden. Die Funktion AutoVervollständigen ist
beim Start vom Internet Explorer automatisch aktiviert.
Downloads
Browser können eine Historie getätigter Downloads erstellen. Dabei wird protokolliert,
welche Dateien wann von welcher Webseite heruntergeladen wurden und, ob der Download abgebrochen oder abgeschlossen wurde. Der Internet Explorer hat zusätzlich
zum eigentlich Verlauf keinen Downloadverlauf.
Konfiguration
In den Einstellungen eines Browser kann u.a. das Speicherverhalten unter Angabe
der zu speichernden Daten und ggf. des Speicherortes genauer definiert werden. Die
Konfiguration des Internet Explorers wird unter C:\Users\USER\AppData\Roaming\
Microsoft\InternetExplorer\UserData und in der Registry unter HKEY_CURRENT_
USER\Software\Microsoft\InternetExplorer\Main hinterlegt [Bar12].
14
2.5.2 Browserspezifische Dienste
Domain Name System (DNS)
Der DNS-Dienst dient der Zuordnung von IP-Adressen zu Domainnamen und gestaltet dadurch das Aufrufen von Webseiten komfortabler. Durch Veränderung bestimmter
Konfigurationen besteht die Möglichkeit der Einarbeitung einer automatischen Weiterleitung zu einer falschen Webseite. Solche Zuordnungen lassen sich z.B. in der HostsDatei unter C:\Windows\System32\drivers\etc\hosts vornehmen.
TCP/IP Stack
Der TCP/IP Stack ist eine Sammlung von Internetprotokollen mit integrierten Anweisungen [Sup13]. Das TCP/IP-Referenzmodell beschreibt die Kommunikation von Internetprotokollen mithilfe vier aufeinander aufbauender Schichten [SK11]: Die Netzzugang-Schicht, die Internet-Schicht, die Transport-Schicht und
die Anwendungen-Schicht. Der Internet Explorer wird der Anwendungen-Schicht zugeordnet und kommuniziert mit den drei darunterliegenden Schichten, die somit potentielle Fehlerquellen innerhalb einer Browser-Session sind.
Standort
Mithilfe der IP-Adresse des Nutzersystems besteht die Möglichkeit, Rückschlüsse auf
den Standort des Nutzers zu ziehen, sofern er diesen nicht unter Verwendung von
Proxy-Programmen verschleiert.
2.5.3 Externe Browserkomponenten
Plugins
Ein Plugin ist laut Gabler Wirtschaftslexikon ein Zusatzprogramm, welches über eine
”
vordefinierte Schnittstelle in ein Basisprogramm eingebunden wird und dessen Funktionsumfang erweitert.“ [Kol13] Es dient zur Verarbeitung von Daten auf Webseiten,
die nicht in browsertypischen Dateiformaten wie HTML oder JavaScript vorliegen.
Beispiele hierfür sind PDFs und Flash.
15
Erweiterungen
Erweiterungen oder auch Add-Ons bezeichnen laut Gabler Wirtschaftslexikon eine
Funktionserweiterung bestehender Hard- oder Software.“ [Sie13] Dabei werden Brow”
ser um Funktionen wie Aktienticker oder Symbolleisten erweitert, um den Nutzen
einer Webseite zu verbessern und ggf. Multimedia- oder interaktive Inhalte bereitzustellen [Win13]. Es gibt jedoch auch Add-Ons, die dazu führen, dass unerwünschte
Inhalte, wie bspw. Werbepopups angezeigt werden oder sogar, dass der Computer nicht
mehr reagiert.
16
3 Szenario
Das in diesem Kapitel beschriebene Szenario dient der Herleitung verschiedener Kriterien und Anforderungen für die forensische Untersuchung, auf die in Kapitel 4 näher
eingegangen wird.
3.1 Beschreibung
3.1.1 Gesamtüberblick
Opfersystem
Hochfahren
mit Bootdisk
Eingabe des
Hashwerts des
Passworts
1
3
Angreifer
2
Auslesen des
Hashwerts des
Passworts
Entschlüsseln
des Hashwerts
des Passworts
4
Angreifersystem
5
Erhalten des
Passworts
Abbildung 3.1: Gesamtüberblick Teil 1
Das Szenario beschreibt einen Kreditkartenbetrug innerhalb einer kleinen Firma. Das
Opfer ist Administrator und alleiniger Nutzer seines Firmencomputers. Der Angreifer,
der ebenfalls in der Firma tätig ist, erlangt während der Abwesenheit des Opfers Zugang zu dessen Rechner. Wie Abbildung 3.1 zeigt, startet der Angreifer mithilfe einer
Boot-CD das Opfersystem und liest den Hashwert des Passwortes des Benutzerkontos aus. An seinem eigenen privaten Rechner entschlüsselt er diesen. Mit dem daraus
17
3 Szenario
gewonnen Passwort meldet er sich, wie auf Abbildung 3.2 dargestellt, auf dem lokalen Opferbenutzerkonto und anschließend auf dem Opfer-Account des Onlineshops
Amazon an. Dort führt er mittels der dort gespeicherten Kreditkartendaten einen
Kaufvorgang durch. Das Opfer bemerkt erst nach dem Herunterfahren seines Systems,
dass durch einen Fremdzugriff ein Kaufvorgang über sein Konto vollzogen wurde und
wendet sich an einen externen IT-Security-Auditor zur Aufklärung des Vorfalls.
3.1.2 Technische Details
Das Betriebssystem des Opfersystems entspricht der Standardinstallation von Microsoft Windows 7 Professional 64bit. Bei dem genutzten Browser handelt es sich um den
Internet Explorer 8 mit standardmäßigen Grundeinstellungen u.a. in Bezug auf das
Speichern der Browserdaten. Während der gesamten Zeit, zu der der Angreifer auf
dem Amazon-Account eingeloggt ist besteht eine https-Verbindung zu der AmazonWebsite. Neben der standardmäßigen Installation von Windows 7 wurden keine weiteren Sicherheitsmaßnahmen, wie z.B. Festplattenverschlüsselung auf Seiten des Opfersystems aktiviert. Ferner verfügt die Firma auch nicht über besondere netzbasierte
Sicherheitsmechanismen, wie bspw. Intrusion Detection/Prevention Systeme oder eine
Aufzeichnung des Netzverkehrs in Form von Flows oder Traces. Die technischen Daten
des Szenarios sind auf Abbildung 3.3 anschaulich zusammengefasst.
3.2 Forensische Betrachtung
3.2.1 Vorgehensweise
Der IT-Security-Auditor richtet sein Vorgehen nach dem forensischen Prozess laut
BSI aus. Da das Opfer alleiniger Nutzer des betroffenen Rechners ist und selbst den
Wunsch nach Ermittlung geäußert hat, sind datenschutzrechtliche Aspekte für den
IT-Security-Auditor irrelevant. Beim Eintreffen an dem Opfersystem ist dieses bereits
heruntergefahren, weswegen nur noch eine Post Mortem Analyse möglich ist. Zum
Unterbinden von Schreibprozessen auf die Festplatte installiert der Ermittler einen
Hardware-Writer-Blocker. Dann fährt er den Opferrechner mittels einer bootfähigen
CD hoch. In diesem Fall nutzt er die Linux-Toolsammlung Clonezilla Live 2.0.1-15-i486
und sichert die komplette Festplatte mit Partclone 0.2.56dd unter Einbindung eines
MD5-Hashes. Daraufhin bindet der IT-Security-Auditor je nach Toolanforderung das
18
Legende:
Angreifer
Fokus dieser Arbeit
Datenquellen:
-Browser-Artefakte
-Arbeitsspeicher
-Netzverbindungen
-…
137.193.63.246
Opfersystem
Firmen-LAN
Datenquellen:
-Konfiguration
-Log-Files
-…
Switch
137.193.63.0/24
Datenquellen:
-Konfiguration
-Log-Files
-Flows
-Traces
-…
137.193.63.1
Router
mit
Firewall
weitere
Datenquellen
ISP a
Telekom
Internet
ISP c
ISP b
weitere
Datenquellen
Amazon-Server
weitere
Datenquellen
Kreditkarten-Server
Abbildung 3.2: Gesamtüberblick Teil 2
19
Angreifer
20
Abbildung 3.3: Technische Details
Administrator,
Windows 7 Professional 64bit,
Internet Explorer 8
137.193.63.246
Opfersystem
Firmen-LAN
https
Switch
137.193.63.0/24
137.193.63.1
Router
mit
Firewall
ISP a
Telekom
Internet
ISP c
ISP b
Amazon-Server
Kreditkarten-Server
3 Szenario
Image als Wechselfestplatte im ReadOnly-Modus oder als dd Image in die forensische
Workstation ein.
3.2.2 Datenquellen
Potentielle Datenquellen sind der Amazon- und der Kreditkarten-Server, diverse Netzkomponenten und das Opfersystem selbst. Da der IT-Security-Auditor kein polizeilicher Ermittler ist, hat er keinen Zugriff auf Daten des Amazon- und KreditkartenServers. Da die Netzkomponenten der Firma keine Aufzeichnungsfunktionen haben,
kann der Ermittler auch diese Datenquelle nicht nutzen. Somit ist seine einzige Datenquelle das Opfersystem. Diese Quelle bietet im Zuge der Post Mortem Analyse nur
nicht flüchtige Daten. Zu diesen gehören die in Kapitel 2.5.1 beschriebenen browserspezifische Dienst, externe Komponenten und Browser-Artefakte, wie Cookies, Cache,
Windows Temporary Files, Log-Files und Login-Daten.
21
3 Szenario
22
In diesem Kapitel werden die Anforderungen an die forensischen Tools basierend auf
dem gegebenen Szenario aus Kapitel 3 festgelegt. Dabei wird zwischen allgemeinen
und für das Szenario spezifischen Anforderungen unterschieden.
4.1 Allgemeine Anforderungen
4.1.1 Such- und Filterfunktion
Zur Eingrenzung der relevanten Daten soll der forensische Ermittler die Daten unter
Eingabe einfacher oder zusammengesetzter Suchbegriffe durchsuchen können. Darüber
hinaus soll er auf eine Filterfunktion zurückgreifen können, um die Anzeige der Daten
nach geeigneten Kategorien einzuschränken.
4.1.2 Datenkorrelation
Die Abläufe in dem betroffenen Zeitfenster müssen reproduziert werden. Um ein Gesamtbild zu erstellen, müssen Tools den forensischen Ermittler dabei unterstützen,
Zusammenhänge zwischen Daten unterschiedlicher Datenquellen herzustellen.
4.1.3 Protokollierung
Der Prozess der forensischen Analyse muss protokolliert werden. Dabei sollte das forensische Tool eine Funktion besitzen, um sowohl die Eingaben z.B. verwendeter Parameter oder Suchbegriffe des forensischen Ermittlers als auch das Ergebnis genau
anzugeben.
23
4.1.4 Imageeinbindung
Abhängig vom genutzten Tool zur Image-Erstellung werden unterschiedliche Dateitypen erstellt. Das forensische Tool soll verschiedene Image-Dateitypen erkennen und das
entsprechende Image zur Untersuchung einbinden und forensisch auswerten können.
4.2 Szenariospezifische Anforderungen
4.2.1 Browser-Artefakte
Wie in Kapitel 2.5 beschrieben, hinterlässt ein Browser eine Vielzahl von Spuren auf
der Festplatte des Computers. Diese Artefakte dienen als äußerst brauchbare Quelle
zur Rekonstruktion einer Browser-Session.
Zeitbehaftete Daten
Zur Rekonstruktion einer Browser-Session gehört die genaue Wiederherstellung
der Darstellung der geöffneten Fenster, Tabs und Popups mit ihrer jeweiligen
Position auf dem Desktop sowie der dazugehörigen Scrollposition zu einem bestimmten Zeitpunkt. Diese Informationen muss das verwendete Tool aus den vom
Browser gespeicherten Daten lesen können.
Damit der forensische Ermittler die Verbindungen des Browser zu Webseiten
oder Eingaben innerhalb des Browsers zu einem gewählten Zeitpunkt rekonstruieren kann, greift er auf die Auswertung des Verlaufs, der Temporary Internet
Files und der Log-Files zurück. Zusätzlich soll das forensische Tool den Ermittler
beim Auffinden und Entschlüsseln eines SSL-Keys unterstützen, falls die Analyse
Hinweise auf eine https/SSL-Verbindung zu einer Webseite liefert.
Gering zeitbehaftete Daten
Ebenso wie die zeitbehafteten Daten, sind auch Formular- und Anmeldedaten (einschließlich der Passwörter), Cookies und Favoriten relevant für die Erstellung eines
korrekten Gesamtbildes einer Browser-Session, weshalb auch diese Daten gesammelt
ausgegeben werden sollen.
24
4.2 Szenariospezifische Anforderungen
Downloads
Eine Historie der sowohl unvollständigen als auch abgeschlossenen Downloads muss
ebenfalls zur vollständigen Rekonstruktion der Browser-Session einsehbar sein.
4.2.2 Informationen und Veränderungen an zu Grunde liegenden
Diensten
Die Konfigurationen des Domain Name System (DNS)-Dienstes können Verän-
derungen aufweisen, sodass es bei einer Namensauflösung zu falschen Weiterleitungen kommt. Entsprechende Datenquellen müssen diesbezüglich untersucht
werden können.
Auch Netzwerkprotokolle wie das TCP/IP-Protokoll müssen auf Veränderun-
gen überprüft werden können. Zudem kann der Standort des Nutzers während
der Browser-Session aufschlussreich sein, weswegen eine Auswertung dessen z.B.
mithilfe der IP-Adresse durchführbar sein muss.
4.2.3 Veränderungen von Konfigurationen
Die Konfigurationen des Browsers oder der externen Komponenten (z.B. ActiveX Steuerelemente, Plugins, Erweiterungen) können verändert werden. Dies betrifft sowohl die
allgemeinen Einstellungen als auch Webseiten-spezifische. Veränderungen an diesen
können u.U. zu Sicherheitslücken führen. U.a. in der Registry lassen sich die Konfigurationen des Browsers und der Komponenten überprüfen. Das forensische Tool muss
die zugehörigen Datenquellen auffinden und auswerten können.
4.2.4 Veränderter Programmablauf
Sowohl beim Browser selbst als auch bei externen Komponenten, wie Plugins oder
Erweiterungen, kann Schadfunktionalität in die gegebene Software einprogrammiert
werden, was wiederum u.a. zu Sicherheitslücken innerhalb des Systems führen kann.
Zudem besteht die Möglichkeit, dass neue, nicht standardmäßige Komponenten zu dem
Browser hinzugefügt werden.
25
26
5 Stand der Wissenschaft und
Technik
Auf Grundlage des Szenarios aus Kapitel 3 wird eine forensische Untersuchung des
Opfersystems zur Auswertung der Browser-Session durchgeführt. In diesem Kapitel
werden ausgewählte Forensik-Tools zur Rekonstruktion browserbasierter Tatbestände
untersucht und jeweils anhand der Anforderungen aus Kapitel 4 beurteilt.
5.1 Image-Erstellung mit dcfldd
Zur Erstellung forensischer Duplikationen werden so genannte Image Tools verwendet.
Laut [Heb12] ist dazu das Tool dcfldd am besten geeignet. Dieses Programm vereint
und erweitert die Funktionen von dd und dc3dd [HKD11]. Die Duplizierung des Datenträgers erfolgt bitweise und dadurch sehr genau. Lediglich bei Linux Kernel Versionen
bis 2.4 wird bei einer ungeraden Anzahl an Sektoren der letzte Sektor nicht kopiert.
Dcfldd enthält Hashfunktionen, wie MD5, SHA-1, SHA-256 und SHA-512, die zur Sicherung der Integrität dienen. Zusätzlich können sowohl vor, während als auch nach
der Transferphase der Daten Hashwerte berechnet werden. Dabei wird eine manuell zu
aktivierende Protokolldatei angelegt, die die Berechnungen und potentiell auftretende Fehler enthält. Trotz der Verifikationsfunktion zur Integritätsprüfung gewährleistet
dcfldd nicht die Sicherung der Authentizität. Das Tool dcfldd bietet eine Erweiterung
der Ausgabeformate des Images. Ergänzend zu dem bisherigen Rohimage bei dd können auch spezielle Formate, wie z.B. .AFF erstellt werden, die somit die Möglichkeit
der zusätzlichen Speicherung von Metadaten geben. Weiterhin lässt sich mit dcfldd die
forensische Duplikation in mehrere kleinere Teile aufsplitten.
27
5.2 Sicherung der Integrität mit md5deep
Das Tool md5deep ist sowohl für Windows als auch für Linux Betriebssysteme verfügbar [Heb12]. Es bietet die Hashfunktionen MD5, SHA-1, SHA-256, Tiger und Whirlpool, wobei der Algorithmus von MD5 laut [Bun11a] nicht mehr als sicher eingestuft
werden kann. Md5deep bietet die Möglichkeit der Berechnung rekursiver Hashwerte.
Dies bedeutet, dass für jede Datei in jedem Ordner ein eigener Hashwert berechnet
wird. Die Überprüfung der Hashwerte ist mittels Hashdatenbanken durch das Tool
selbst möglich. Dies ist sinnvoll, da dadurch bekannte und verdächtige Dateien gefiltert werden können und somit die Datenmenge eingegrenzt wird. Bei der Nutzung von
md5deep muss beachtet werden, dass es flüchtige Daten verändert. Somit muss die
Berechnung durch einen entsprechenden Schreibblocker abgesichert werden.
5.3 Analyse der Daten
5.3.1 Forensische Workstation
Eine Übersicht über den Aufbau der forensischen Workstation liefert die Abbildung 5.1.
Die forensische Analyse findet auf einem virtuellen Server statt. Über eine WindowsMaschine wird Zugriff auf einzelne virtuelle Maschinen erlangt, die sich in einem separaten Netz befinden und dort parallel ausgeführt werden. Auf jeder virtuellen Maschine
befindet sich eines der ausgewählten Toolkits entweder auf Basis eines vollständig gepatchten Windows 7 64bit Betriebssystems oder auf Linux. Um die Auswertung auch
ohne Probleme auf nicht-virtualisierte Maschinen bzw. auf virtuelle Maschinen, die
nicht mit dem VMWare Hypervisor ESXi virtualisiert werden, übertragen zu können,
wurden für die Analyse keine speziellen VMWare-Images herangezogen, sondern jeweils eigentständige Installationen mithilfe der .ISO-Images durchgeführt. Sofern das
entsprechende Toolkit eine Windows-Distribution bereitstellt, wurde diese bevorzugt
ausgewählt, da in dem Szenario davon auszugehen ist, dass der IT-Security-Auditor
kein professioneller forensischer Ermittler ist und somit weniger Erfahrungen mit Linux
hat. Zusätzlich wurde eine virtuelle Maschine namens Share“ aufgesetzt, die sowohl
”
Zugriff auf das Netz der forensischen Workstation als auch auf das Internet hat. Diese
Maschine ermöglicht eine kontrollierte Kommunikation unter den virtuellen Maschinen selbst und zwischen den virtuellen Maschinen und dem Internet. Je nach Bedarf
der einzelnen Tools sind in die virtuellen Maschinen eine virtuelle Festplatte mit dem
28
Virtuelle Maschinen
Netzkomponente Intranet
virtueller Switch
10.55.0.0/16
Netzkomponente Internet
virtueller Switch
10.55.0.10
137.193.63.247
Datenkomponente
OSForensics
Win7
DFF
Win7
Autopsy
Win7
SIFT
Linux
Backtrack
Linux
CAINE
Linux
Paladin
Linux
The Sleuth Kit
Win7
Share
WinSrv2003
readonly
virtuelle Platte
. . . . . . . . . . . .
VM-Manager
dd Image
137.193.63.0/24
Legende:
vSphere Client
Windows Server 2008
137.193.63.129
Abbildung 5.1: Forensische Workstation
entpackten dd -Image der forensischen Duplikation und/oder eine virtuelle Festplatte
mit der entsprechenden .VMDK-Datei des Opfersystems eingebunden.
5.3.2 Auswahlkriterien
Bei der Auswahl geeigneter Toolkits werden nur aktive Projekte in Betracht gezogen,
die zur Post-mortem-Analyse dienen und, die Windows 7 analysieren können, da dies
dem Betriebssystem des zu untersuchenden Systems entspricht. Ein weiteres bedeutsames Auswahlkriterium ist die Lizenz der Toolsammlung. Da die Funktionsweise von
Open Source Tools durch den öffentlich zugänglichen Quelltext besser analysiert werden kann, werden in dieser Arbeit nur Toolsammlungen mit dieser Lizenz betrachtet.
Ein weiterer Vorteil von Open Source Tools ist die Tatsache, dass der jeweilige Quelltext an eigene Bedürfnisse angepasst werden kann. Zudem sind die implementierten
Funktionen durch den öffentlich zugänglichen Quellcode einfacher zu verifizieren und
daher sind auch die Beweise, wie [Sof04] bestätigt, einfacher anzuerkennen. Auch die
Marktdurchdringung und die daraus resultierende stetige Weiterentwicklung der Toolsammlung bringen Vorteile mit sich. Die endgültige Auswahl der Tools wurde anhand
der Popularität der Toolkits getroffen. Der Dienst Google Analytics [Goo13] veröffentlicht regelmäßig Statistiken zu den Klicks auf bestimmte Links. Hierzu hat Forensic
Control [For13] auf Grundlage der entsprechenden Links von Toolsammlungen eine
29
Tabelle 5.1: Popularität von Toolsammlungen im Jahr 2012
Platz
1
2
3
4
5
6
7
8
Name
OSForensics
DFF
Autopsy
SIFT
Backtrack
CAInE
Paladin
The SleuthKit
URL
http://osforensics.com/
http://www.digital-forensic.org/
http://www.sleuthkit.org/autopsy/
https://computer-forensics2.sans.org/community/siftkit/#overview
http://www.backtrack-linux.org
http://www.caine-live.net
http://www.sumuri.com/
http://www.sleuthkit.org/sleuthkit/
Aufrufe
8417
524
373
328
298
277
261
195
Rangliste erstellt. Tabelle 5.1 fasst die Ergebnisse zusammen.
In den folgenden Abschnitten werden die ausgewählten Toolkits daraufhin untersucht,
inwiefern sie die Post-mortem-Analyse zur Rekonstruktion browserbasierter Tatbestände unterstützen. Daher werden auch nur die Werkzeuge vorgestellt, die sich auf
das gegebene Szenario anwenden lassen. Während des kompletten Analyseprozesses
haben die virtuellen Maschinen keine Internetverbindung, um bspw. Packete nachinstallieren zu können. Somit ergibt sich der Steuer- und Funktionsumfang der einzelnen
Toolsammlungen aus den von der Standardinstallation mitgelieferten Modulen. Die
Anforderungsanalyse für die einzelnen Toolkits wird mit Hilfe dreier Bewertungsstufen durchgeführt. Der jeweiligen Anforderung ist ein +“ zugeordnet für den Fall, dass
”
die Toolsammlung diese erfüllt. Bei Nichterfüllung der Anforderung findet sich in der
Tabelle ein -“ wieder. Erfüllt die Toolsammlung jedoch nur Teilaspekte der Anforde”
rungen, ist dies mit einem o“ gekennzeichnet. Zusätzliche Erklärungen sind bei Bedarf
”
innerhalb der Tabelle vermerkt.
5.3.3 OSForensics
Die forensische Toolsammlung OSForensics [Pas13] ist eine Windows-Anwendung der
Firma Passmark Software, die sich sowohl für die Live-Forensik als auch für die Postmortem-Analyse eignet. Die aktuelle Version ist seit dem 03. Oktober 2012 die Version
1.2 (Build 1003).
Einbindung der forensischen Duplikation
Die .VMDK-Datei der forensischen Duplikation des zu untersuchenden Systems ist einer zusätzlichen virtuellen Festplatte zugewiesen, die wiederum unabhängig und nicht
30
dauerhaft in die virtuelle Maschine von OSForensics eingebunden ist. Dies entspricht
einer Einbindung im Read-Only-Modus.
Casemanagement
Zu Beginn der forensischen Untersuchung erstellt der Ermittler in OSForensics einen
neuen Fall. Bei der Erstellung können Angaben zu Name, Ermittler, Organisation,
Kontaktdaten, Zeitzone und Speicherverzeichnis gemacht werden. Zusätzlich wird zwischen einer Analyse auf der derzeitigen Maschine und einer externen Maschine unterschieden. Anschließend wird dem Fall die forensische Duplikation des zu untersuchenden Systems zugewiesen. OSForensics unterstützt neben der Angabe eines Laufwerks
und eines Netzwerkverzeichnisses folgende Image-Dateiformate:
Raw Images .IMG,.DD,
Raw CD/DVD Images .ISO,.BIN,
Split Raw Images .000,.001,
Advanced Forensic Format .AFF,.AFD,.AFM,
VMWare Images .VMDK,
EnCase Images .E01 und
SMART Images .S01.
Anschließend kann das Image zur Index-Erstellung durchsucht werden. Dies beschleunigt bspw. Suchfunktionen und Zeitstrahlerstellungen im weiteren Verlauf der Analyse.
Bei der Indizierung können die einzubeziehenden Daten manuell eingegeben oder aus
den folgenden Kategorien individuell zusammengestellt werden:
Emails,
Anhänge,
Office- und PDF-Dokumente,
Zip-Dateien,
Bilder,
31
Klartext-Dateien,
Web- und XML-Dateien,
nicht zugewiesene Sektoren,
andere unterstützte Dateitypen und
unbekannten Dateien.
Des Weiteren können alle Dateien mittels SHA1-, SHA256- und MD5-Hashs verifiziert
werden.
Daten-Management
Nach der erfolgreichen Indizierung kann mit der Funktion Search Within Files“ der
”
Index nach einzelen oder zusammengesetzten Suchbegriffen durchsucht werden. Zudem
können Keyword-Listen genutzt und eine Zeitspanne und maximale Trefferanzahl angegeben werden. Sollen alle Dateien aufgelistet werden, muss das Suchfeld leer bleiben.
Die Ergebnisse werden nach den vorher ausgewählten Kategorien gefiltert ausgegeben
und können bspw. nach dem Zeitstempel sortiert werden. Neben dem Dateinamen
zeigt OSForensics einen Ausschnitt des Inhalts an, in dem der Suchtreffer gelb hervorgehoben wird. Zusätzlich zum Zeitstempel der Datei, wird auch die Anzahl der Treffer
innerhalb der Datei angegeben.
Dateien können in einer Datei-, Hex/String- und Textansicht betrachtet und ihre Metadaten, wie Dateipfad, Dateityp, Größe und Zeitstempel eingesehen werden. Neben
der internen Dateibetrachtung, lassen sich alle Dateien auch mit einem externen Programm öffnen.
Eine relevante Datei kann zu dem Fall oder unter Angabe einer Farbe zu den Book”
marks“ hinzugefügt werden. Durch das Auswählen mehrerer Suchtreffer, kann der Ermittler diese Liste als .TXT-, .HTML- oder .CSV-Datei exportieren.
Zu jeder Suche wird ein individueller Zeitstrahl der Treffer erstellt, der als Säulendiagramm in einer Jahres-, Monats-, Tages- und Stundenansicht betrachtet werden kann.
Mit Recent Activity“ wird unter der Auswahl eines Zeitfensters sowohl ein Zeitstrahl
”
als auch eine Dateiliste der letzten Aktivitäten angezeigt.
32
Mit dem Modul Registry Viewer“ durchsucht OSForensics das eingebundene Image
”
nach Registry-Dateien, in denen nach Dateiöffnung einzelne Keys aufgerufen werden
können.
Weiterhin kann der forensische Ermittler u.a. im Browser gespeicherte Zugangsdaten
mit dem Website Passwords“-Modul auslesen.
”
Abschlussbericht
OSForensics kann drei verschiedene Berichtarten als .HTML-Datei generieren: Einen
Fallbericht, einen Fallbericht ohne Javascript und einen Chain of Custody“-Bericht.
”
Der Fallbericht enthält neben dem Fall- und Ermittlernamen exportierte Dateien,
Anhänge, Notizen, E-Mails und die farblich markierten Bookmarks. Der Bericht der
Chain of Custody“ stellt eine Vorlage bereit.
”
Ergebnisse
OSForensics liefert einen Treffer bei der Suche nach der E-Mail-Adresse des Opfers,
wie auf Abbildung 5.2 zu erkennen ist.
Abbildung 5.2: OSForensics: Ergebnis für die Suche nach der Opfer-E-Mail-Adresse
Beim Öffnen der display[1].html im Internet Explorer erscheint eine Kaufbestätigung von Amazon.
Bei der Suche nach dem Titel des gekauften Buches, gelangt der Ermittler zu
der view-upsell[1].html, die den Amazon-Einkaufswagen darstellt (siehe Abbildung 5.3)
Wie Abbildung 5.4 demonstriert, findet der IT-Security-Auditor unter der Kategorie
Bilder“ mehrfach Treffer in den Temporary Internet Files, die mit dem gekauften
”
Artikel übereinstimmen.
Die Abbildung 5.5 zeigt den Zeitstrahl für alle Dateien mit einem Zeitstempel vom
Januar 2013.
33
Abbildung 5.3: OSForensics: Ausschnitt aus dem Einkaufswagen
Quelldatei: Opfersystem:\Users\Sandy\AppData\Local\Microsoft\Windows\
TemporaryInternetFiles\Low\Content.IE5\S6OU8I07\view-upsell[1].html
Die Datei Opfersystem:\users\Sandy\NTUSER.DAT liefert mit dem Registry Viewer“
”
nützliche Informationen zur Browser-Session mit dem Internet Explorer.
Unter dem Key Software\Microsoft\InternetExplorer\TypedURLs befinden sich
alle in die Adresszeile eingegeben URLs. Wie die Abbildung 5.6 zeigt, führten die
letzten drei URL-Eingaben in die Adresszeile des Internet Explorers zu eBay und
Amazon.
Das Website Passwords“-Modul zeigt, auf welchen Webseiten eine Anmeldevorgang
”
vollzogen wurde. Jedoch liefert er, wie Abbildung 5.7 belegt, keine Treffer, da der
Nutzer die Passwörter nicht im Browser gespeichert hat.
Bewertung
Diese Toolsammlung kann eine große Anzahl forensischer Aufgaben im Zuge der Postmortem-Analyse durchführen. Vor allem das Auslesen von Passwörtern und das automatische Erkennen der Registry-Hives stellt eine Bereicherung für die forensische
Analyse dar. Die Suchfunktion von OSForensics liefert nicht immer alle Treffer. Bspw.
findet das Search within Files“-Modul nur einen Treffer der E-Mail-Adresse des Op”
fers im gesamten Image, wobei nach manueller Durchsicht mehrere Übereinstimmungen
gefunden werden. Diese Unzuverlässigkeit erschwert das Finden potentiell relevanter
34
Abbildung 5.4: OSForensics: Bilder des gekauften Artikels im Cache
Abbildung 5.5: OSForensics: Zeitstrahl aller Dateien mit einem Zeitstempel vom Januar 2013
Dateien, die nicht einer Kategorie zugeordnet sind. Die Tabelle 5.2 fasst die Bewertung von OSForensics nach seiner Erfüllung der für diese Bachelorarbeit relevanten
Anforderungen zusammen.
5.3.4 DFF - Digital Forensics Framework
Das Digital Forensics Framework [Arx13] der Firma ArxSys analysiert Laufwerke,
Dateisysteme, Benutzer- und Anwendungsdaten, indem es vor allem nach Metadaten,
gelöschten und versteckten Dateien sucht. DFF wird für die Betriebssysteme Windows
und Linux entwickelt. Für diese Untersuchung wurde die Windows-Installationsdatei
35
Abbildung 5.6: OSForensics: Registry-Einträge
Abschnitt Software\Microsoft\InternetExplorer\TypedURLs
der Version Release with dependencies 1.2.0 genutzt. Der forensische Ermittler hat die
Möglichkeit sowohl mit einer Shell oder einer GUI zu arbeiten.
Wie bereits bei OSForensics wird eine zusätzliche virtuelle Festplatte mit der .VMDKDatei in die virtuelle DFF -Maschine eingebunden. Die Einbindung erfolgt ebenfalls
unabhängig und nicht dauerhaft. Da die Toolsammlung jedoch die virtuelle Festplatte
nicht erfolgreich als Image einlesen kann, wird eine zusätzliche virtuelle Festplatte mit
dem entpackten dd -Image eingebunden. Unterstützte Image-Dateitypen sind neben
den Rohdatentypen, .EWF, wozu auch der EnCase-Dateityp .E01 gehört und .AFF.
Daten-Management
Nach dem Hinzufügen des Images, wird dieses unter Logical Files“ angezeigt. Jedem
”
Ordner und jeder Datei werden Name, Typ, Größe und Attribute zugewiesen.
Auf einzelne Ordner und Dateien können Module ausgeführt werden. Durch Doppelklick auf eine Datei oder einen Ordner wendet DFF das geeignetste Modul an.
Die gleiche Wirkung hat die Option Open“. Unter Relevant module“ schlägt DFF
”
”
Module zur Anwendung vor. Mit Open with“ kann aus den vorhandenen Modulen
”
ausgewählt werden.
Die Option Extract“ stellt eine Exportierungsfunktion bereit.
”
Abbildung 5.7: OSForensics: Auslesen der Browser-Passwörter
36
OSForensics
Tabelle 5.2: Anforderungsanalyse von OSForensics
Anforderungen
Bewertung
Bemerkung
Imageeinbindung
+
.IMG, .DD, .ISO, .BIN, .001, .AFF, .AFD,
.AFM, .VMDK, .E01, .S01
Such-/Filterfunktion
Datenkorrelation
Protokollierung
+
o
Allgemeine Anforderungen
Fall-, Ermittlername, exportierte
Dateien, Anhänge, Notizen, E-Mails,
Bookmarks
Szenariospezifische Anforderungen
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Informationen/Veränderungen zu Grunde
liegender Dienste
DNS/Namensauflösung
TCP/IP Protocol Stack
Veränderung der Konfigurationen
Browser
Komponenten
Veränderter Programmablauf
Browser
Komponenten
o
o
o
-
o
-
Navigation zu Cache-Ordner und
Betrachten der Dateien
gespeicherte Browser-Passwörter
Anzeige der Dateien im Favoriten-Ordner
Betrachten der hosts-Datei
-
Als Betrachter stehen dem Ermittler eine Hexadezimal-, Text-, Web- und Bildansicht
zur Verfügung. Die Hexadezimalansicht beinhaltet einen ASCII-Betrachter und eine
Suchfunktion.
Der IT-Security-Auditor wendet auf Empfehlung von DFF das NTFS -Modul auf das
dd Image an. Daraufhin ist die Verzeichnisstruktur des Opfersystems einsehbar. Durch
diese muss der forensische Ermittler sich zu Dateien navigieren, auf die er Module
anwenden möchte.
Ergebnisse und Beurteilung
Während der Analyse wird der Ermittler nur wenig von den Modulen DFFs unterstützt. Die Bedienung ist nutzerunfreundlich und nur selten zielführend. Nach der Anwendung des winreg-Moduls auf die Datei Opfersystem:\users\Sandy\NTUSER.DAT,
kann der forensische Ermittler durch das Registry-Hive navigieren. Jedoch können die
Inhalte der Keys nicht lesbar betrachtet werden. Abbildung 5.8 zeigt dies exemplarisch
für den Key Software\Microsoft\InternetExplorer\TypedURLs.
37
Abbildung 5.8: DFF: Registry-Einträge
Abschnitt Software\Microsoft\InternetExplorer\TypedURLs
Zusätzlich ist bspw. der Content.IE5-Ordner mit den Temporären Internetdaten innerhalb der gegebene Verzeichnisstruktur nicht auffindbar.
Ein weiterer negativer Aspekt bietet die Tatsache, dass bei einem Neustart des Programmes alle zuvor getätigten Schritte zurückgesetzt sind und der forensische Ermittler
wieder bei der Einbindung des Images beginnen muss.
Auch das Ergebnis der Anforderungsanalyse, das in Tabelle 5.3 festgehalten ist, weist
auf die Mängel des Digital Forensics Frameworks hin. Für die Analyse einer BrowserSession ist DFF nach dieser Tooluntersuchung ungeeignet.
5.3.5 Autopsy
Bei Autopsy [Car13a] handelt es sich um eine grafische Erweiterung des Toolkits The
SleuthKit unter der Entwicklng von Brian Carrier. Bis zur Version 2 wurde Autopsy sowohl für Windows als auch für Linux entwickelt. Die Version 3 verschafft der
Toolsammlung ein komplett neues Erscheinungsbild und ist nur noch als WindowsInstallationsdatei erhältlich. Auf der vollständig gepatchten Windows 7 Maschine wird
die Installation der seit dem 08. Januar 2013 veröffentlichten Version 3.0.3 mit der
.MSI-Datei durchgeführt.
Der virtuellen Maschine wird wie bei den zuvor untersuchten Toolsammlungen eine zusätzliche virtuelle Festplatte unabhängig, nicht dauerhaft und mit einer entsprechenden
Zuordnung der .VMDK-Datei des Opfersystemimages hinzugefügt.
38
DFF
Tabelle 5.3: Anforderungsanalyse von DFF
Anforderungen
Bewertung
Bemerkung
Imageeinbindung
+
.IMG, .DD, .AFF, .E01, .S01,
(zusätzlich Laufwerk?)
Datenkorrelation
Protokollierung
o
-
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
liegender Dienste
Browser
Komponenten
Browser
Komponenten
-
-
Case-Management
Zu Beginn der Untersuchung lässt sich ein Fall unter Angabe von Name, Speicherverzeichnis, Fallnummer und Ermittlername erstellen. Neben einer lokalen Festplatte
können Image-Dateien in Rohdatenformaten oder dem Dateiformat .E01 von EnCase
eingebunden werden. Zudem hat der forensische Ermittler die Möglichkeit, mehrere
forensische Duplikationen zu einem Fall hinzuzufügen. Nach der Imageeinbindung in
das Programm, können die Module
Recent Activity,
Hash Lookup,
EXIF Image Parser,
Keyword Search und
Thunderbird Parser auf das Image angewendet werden
Zusätzlich können bei den Modulen erweiterte Einstellungen, wie das Auswählen vorgefertigter oder das Erstellen eigener Keyword-Listen und das Hinzufügen von Hash39
datenbanken, vorgenommen werden. Das Einlesen des Images und das Anwenden der
Module dauert mehrere Stunden.
Daten-Management
Nach dem Anwenden der Module auf das Image werden erste Ergebnisse nach
Dateitypen (Bilder, Video, Audio, Dokumente),
zuletzt benutzten Dateien der letzten sieben Tage,
Kategorien (Lesezeichen, Cookies, Browserverlauf, Downloads, aktuelle Doku-
mente, installierte Programme, hinzugefügte Geräte, Suchmaschinenabfragen,
EXIF Metadaten),
Keyword-Treffern der ausgewählten Listen,
Hashset-Treffern und
E-Mail-Nachrichten sortiert angezeigt.
Zudem ist eine Ordnerstruktur mit Dateileichen und nicht zugeordneten Dateien einsehbar. Des Weiteren kann das Image mit Hilfe von Hashwertdatenbanken und Suchfunktionen analysiert werden. Dabei werden Suchfunktionen mit einfachen oder zusammengesetzten Wörtern, regulären Ausdrücken und Keyword-Listen unterstützt.
Erfolgreiche Suchergebnisse werden unter Keyword Hits“ abgespeichert. Ebenso kann
”
nach Dateien mit dem gleichen MD5-Hash gesucht werden.
Die Detailansicht lässt sich nach den entsprechenden Spalten (z.B. Zeitstempel, URL,
Domain) auf- und absteigend sortieren.
Dateien können intern in einer Hex-, String-, Ergebnis-, Text- und ggf. Medienansicht
betrachtet werden. Ergänzend können sie auch mit einem externen Programm geöffnet
werden, z.B. mit dem Editor bei .TXT-Dateien, mit dem Internet Explorer bei .HTMLDateien und mit dem Eventmananger bei .EVTX-Dateien. Der forensische Ermittler
kann für den Fall relevante Dateien sowohl extrahieren, als auch auch über die Funktion
Bookmark File“ oder Bookmark Result“ unter Angabe eines Kommentars in dem
”
”
Bookmark-Ordner verlinken.
40
Abschlussbericht
Ist der forensische Ermittler am Ende der Fallanalyse angelangt, kann er diesen in
Autopsy schließen und einen Report als .HTML-Datei, Excel-Tabelle oder Body File
generieren. In diesem befinden sich neben der Zusammenfassung der Fall- und Imageinformationen die hinterlegten Bookmarks inkl. Dateiname, Dateipfad und Kommentaren.
Ergebnisse
Autopsy liest alle vom Internet Explorer hinterlegten Lesezeichen, Cookies und den
gesamten Verlauf aus index.dat aus. Darunter befinden sich, wie auf Abbildung 5.9
erkennbar ist, auch entsprechende Einträge einer https-Verbindung zu Amazon.
Abbildung 5.9: Autopsy: Ausschnitt der Auswertung des Verlaufs
Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\Windows\
TemporaryInternetFiles\Low\Content.IE5\index.dat
Zudem gibt es drei Cookies mit der Domain von Amazon, deren Inhalt in Textform
durchgescrollt werden kann. Die Abbildung 5.10 zeigt einen Ausschnitt des Inhalts
eines dieser Cookies.
Bei der Keyword-Suche nach der E-Mail-Adresse des Opfers werden zwei Treffer erzielt.
Ein Treffer liefert die Wiederherstellungsdatei der Browser-Session im Last ActiveOrdner. Nach manueller Durchsicht der Datei findet der forensische Ermittler nicht
nur Informationen zu geöffneten Seiten und getätigten Suchen während der Sitzung,
sondern auch eingebene Zugangsdaten einer fehlgeschlagenen Anmeldung bei Amazon
im Klartext, wie Abbildung 5.11 belegt.
In der Verlauf-.HTML-Datei display[1].html findet Autopsy einen zweiten Treffer zur
E-Mail-Adresse. Beim Öffnen der Datei im Internet Explorer wird die Bestätigungsseite für einen getätigten Einkauf unter der besagten E-Mail-Adresse angezeigt. Einen
Ausschnitt dieser Seite zeigt Abbildung 5.12.
41
Abbildung 5.10: Autopsy: Ausschnitt aus der Cookie-Analyse
Quelldatei: F:\Users\Sandy\AppData\Roaming\Microsoft\Windows\Cookies\Low\
sandy@amazon[2].txt
Abbildung 5.11: Autopsy: Zugangsdaten einer fehlgeschlagenen Anmeldung zu Amazon
Quelldatei: F:\Users\Sandy\AppData\Local\Microsoft\InternetExplorer\Recovery\
LastActive\{B98537CA-58C6-11E2-B784-000C2910B459}.dat
Einige .HTML-Dateien wie continue[1].html lassen sich nicht erfolgreich im Internet
Explorer öffnen. Nach erneuter manueller Durchsicht der besagten Datei trifft der ITSecurity-Auditor auf Informationen zu dem gekauften Artikel, dem Preis, der Lieferund Rechnungsadresse (siehe Abbildung 5.13) und auf die letzten zwei Stellen einer
Kontonummer (siehe Abbildung 5.14).
Beurteilung
Autopsy gibt die Daten eines zu untersuchenden Systems sortiert aus und lässt sie nach
langer Einlesezeit schnell durchsuchen. Die Stichwortsuche ist wie es bereits bei OSForensics der Fall war, stellenweise unzuverlässig und liefert somit lediglich Hinweise
darauf, welche Dateien für den Fall relevant sein könnten. Beispielsweise findet Autopsy
bei der Keyword-Suche zu Internet Explorer“ die Logdatei Internet_Explorer.evtx
”
nicht. Somit müssen potentiell informative Dateien manuell durchsucht werden, um
weitere Informationen erlangen zu können. Zudem muss der Ermittler für eine erfolgreiche Analyse Kenntnisse über mögliche Datenquellen und ihre Pfade haben, um
diese manuell zu suchen und auszuwerten. Besonders hervorzuheben ist der Aspekt,
42
Abbildung 5.12: Autopsy: Ausschnitt aus dem Einkaufswagen
TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\display[1].html
Autopsy
Tabelle 5.4: Anforderungsanalyse von Autopsy
Anforderungen
Bewertung
Bemerkung
+
+
o
.IMG, .DD, .E01, (zusätzlich Laufwerk)
Imageeinbindung
Datenkorrelation
Protokollierung
Fallname, Informationen zu Image,
Bookmarks (inkl. Dateiname, Dateipfad,
Kommentare)
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Informationen/Veränderungen zu
Grunde liegender Dienste
Browser
Komponenten
Browser
Komponenten
+
o
Betrachten der Dateien möglich
+
+
+
o
-
-
43
Abbildung 5.13: Autopsy: Amazon-Lieferadresse
TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\continue[1].html
Abbildung 5.14: Autopsy: In Amazon hinterlegte Kontonummer
TemporaryInternetFiles\Low\Content.IE5\BYO5TPM7\continue[1].html
dass Autopsy in einer Endbewertung eine gute Unterstützung der forensischen Analyse
einer Browser-Session darstellt, wie Tabelle 5.4 zu entnehmen ist.
5.3.6 SIFT - SANS Investigate Forensic Toolkit
Das SANS Investigate Forensic Toolkit [SAN13] der Firma SANS ist eine vorkonfigurierte Toolsammlung diverser Werkzeuge für forensische Untersuchungen. SIFT ist für
Linux entwickelt und kann direkt als VMWare Image, als Live-Distribution oder als
.ISO-Installationsdatei bezogen werden. Auf der virtuellen Linux-Maschine wurde die
.ISO-Datei der aktuellen Version 2.14 zur Installation verwendet.
Einige Tools dieser Sammlung können nur eine virtuelle Festplatte einlesen. Andere
Tools wiederum benötigen eine Image-Datei der Typen Expert Witness Format des
Image-Tools EnCase (.E01), Advanced Forensic Format (.AFF), das zusätzliche Metadaten speichern kann, oder Rohimage-Typen des Image-Tools dd (.DD oder .IMG).
Aus diesem Grund wird der virtuellen SIFT -Maschine jeweils eine virtuelle Festplatte
mit dem entpackten dd Image und der .VMDK-Datei der forensischen Duplikation im
Read-Only-Modus hinzugefügt.
Autopsy Forensic Browser
SIFT stellt zur forensischen Analyse den Autopsy Forensic Browser [Car13a] mit der
Version 2.24 bereit. Dieser ist wie sein Nachfolger aus Kapitel 5.3.5 eine grafische Erweiterung zu The SleuthKit, hat jedoch eine abweichende grafische Oberfläche. Die
44
Analyse erfolgt in einem Browser, wobei Ermittler die forensischen Duplikationen auf
einem Server speichern können. Dadurch kann die Analyse mit mehreren Ermittlern
an entfernten Computern erfolgen. Dabei muss bei der Anlegung des Falls neben den
Angaben zu Fallname, Name des zu untersuchenden Systems, Zeitzone und Zeitabweichung ein Host bestimmt werden. Die Einbindung der forensischen Duplikation
erfolgt nur über eine Image-Datei im Rohdatenformat des Image Tools dd oder im EnCase-Format .E01. Zudem können auch geteilte Images hinzugefügt werden. Weitere
Angaben bzgl.
Typ des Images (Festplatte oder Partition)
Importier-Methode (symbolic link, copy oder move)
Verifizierung des Images mittels MD5-Hash (ignorieren, berechnen oder eigene
Eingabe) und
den zu untersuchenden Partitionen inkl. Dateisystem haben zu erfolgen.
Die aus dem Szenario zu untersuchende Duplikation wird als Partition unter Verlinkung
und mit einer MD5-Hashwertberechnung eingebunden.
Der Autopsy Forensic Browser arbeitet vor allem mit Dateisystemstrukturen. Somit
können Details über die Master File Table (MFT) inklusive ihrer Cluster und Sektoren
aufgerufen werden.
Die Datenträgeranalyse erfolgt in fünf aufeinander folgenden Schritten: Über Fi”
le Analyse“ lässt sich die Ordnerstruktur der forensischen Duplikation aufrufen und
es kann nach Dateinamen und gelöschten Dateien gesucht werden. Die Inhalte der
Suchtreffer können in einer ASCII-, Hex-, und ASCII Strings-Ansicht betrachtet werden. Der forensische Ermittler kann relevante Dateien exportieren und mit Notizen
versehen. Wird eine Notiz hinzugefügt, erstellt der Autopsy Forensic Browser einen
Bericht mit allgemeinen Informationen, wie Dateiname, Hashwerte, Zeitstempel der
Generierung und Ermittler, mit Metadaten (Position in der MFT, Attribute) und mit
dem entsprechenden Inhalt.
Hat der Ermittler diesen Schritt zumindest vorübergehend abgeschlossen, folgt die
Keyword Search“. In diesem Abschnitt kann nach einzelnen und zusammengesetzten
”
Suchbegriffen und regulären Ausdrücken auf Basis der grep-Suchfunktion innerhalb
des Images gesucht werden. Diese Suchfunktion hat Einschränkungen und ist laut
45
[Car13b] somit nicht zuverlässig. Die Suche ist wegen des nicht indizierten Images
besonders zeitaufwendig. Treffer werden nach Clustern mit einer Angabe zum Quellverzeichnis aufgelistet. Ein Cluster kann ebenso wie eine Datei exportiert werden. Auch
das Hinzufügen von Notizen mit automatischer Berichterstellung ist möglich.
Nach diesem Schritt gelangt der Ermittler zu File Type Sortings“. Hier werden die
”
Dateien des zu untersuchenden Systems nach den Kategorien
Archiv,
Audio,
Komprimierung,
Krypto,
Daten,
Disk,
Dokumente,
ausführbare Dateien,
Bilder,
System,
Text,
Unbekannt,
Video und
Extension Mismatches sortiert ausgegeben.
Das Ergebnis lässt sich in Textform ohne Verlinkungen als .HTML-Datei speichern.
Im anschließenden Meta Data Mode“ besteht die Möglichkeit, nach einem konkre”
ten MFT-Eintrag zu suchen oder sich die Allocation-Liste anzeigen zu lassen. Jeder
MFT-Eintrag gibt an, welche Datei ihm zugeordnet ist. Hierbei können ebenfalls die
Inhalte angezeigt, die Datei als Cluster exportiert und eine Notiz mit Berichterzeugung
hinzugefügt werden.
46
Zuletzt kann eine Suche nach Clustern unter Date Unit Mode“ erfolgen. Dabei stehen
”
die gleichen Informationen und Funktionen zur Verfügung wie im Schritt zuvor.
Nach der Analyse kann eine File Activity Timeline“ erstellt werden. Dazu wird eine
”
Datendatei unter Generierung eines MD5-Hashes erzeugt, aus der nach der Auswahl
eines Zeitfensters ein in Monate gegliedert Zeitstrahl erstellt wird. In der AnalysePhase erstellte Notizen können hier eingesehen werden. Zudem hinterlegt der Autopsy
Forensic Browser diesen Zeitstrahl in Tabellenform auf der virtuellen Maschine.
Unter Image Integrity“ werden alle gehashten Daten mit einer Validierungsfunktion
”
angezeigt, während unter Hash Database Manager“ eingebundene Hashdatenbanken
”
eingesehen werden können.
Der Event Sequencer“ listet alle Events inkl. zugehöriger Notizen auf. Ein Event
”
kann mit einem individuellen Zeitstempel versehen und unter Quellenangabe, wie z.B.
Firewall, Log oder Person, hinzugefügt werden.
Der Autopsy Forensic Browser dient in erster Linie der Datenbetrachtung, während es
ihm nicht gelingt, den Ermittler bei der professionellen Suche und forensischen Auswertung v.a. in Bezug auf das gegebene Szenario ausreichend zu unterstützen. Neben
der teils unzuverlässigen Suchfunktion, liegt der Großteil der gegebenen Informationen nur in reiner Textform ohne jegliche Verlinkung oder Bewertung vor. Lediglich die
Verifizierungsunterstützung durch Hashwerte, das Case-Management und die Kategoriezuweisung der Dateitypen stellen eine für den Ermittler Bereicherung dar.
bulk extractor
Der bulk extractor [GAE+ 13], der unter der Leitung von Simson Garfinkel entwickelt
wird, ist ein C++ Konsolenprogramm zum Durchsuchen eines Images, einer Datei oder
eines Dateiverzeichnisses. Der Unterschied zwischen diesem und anderen Forensiktools
ist, dass dieser sich durch seine Schnelligkeit und Gründlichkeit von ihnen abhebt. Der
bulk extractor extrahiert nützliche Informationen, ohne dabei das Dateisystem oder
Dateisystemstrukturen zu analysieren. Dadurch kann er verschiedene Teile des zu untersuchenden Systems parallel verarbeiten. Dabei teilt das Programm den Datenträger
in 16MB Abschnitte ein und verarbeitet parallel pro verfügbaren Prozessorkern einen
davon.
47
Die Gründlichkeit des bulk extractors ergibt sich aus der automatischen Erkennung,
Dekomprimierung und rekursiven Wiederverarbeitung der komprimierten Daten verschiedener Komprimierungsalgorithmen. Somit findet er v.a. in den nicht zugewiesenen
Bereichen eines Dateisystems komprimierte Daten, was vielen gängigen forensischen
Tools nicht gelingt [Wik13].
Die Ergebnisse werden in so genannten Feature Files“ gespeichert, die mit automati”
sierten Tools untersucht und weiterverarbeitet werden können. Diese Feature Files“
”
werden in Form von Histogramm-Textdateien erstellt und ordnen die gescannten Daten je nach Textstruktur Kategorien wie potentielle Kreditkartennummern, E-Mail
Adressen, IPv6-Adressen, Telefonnummern und URLs zu.
Auch wenn der Scannprozess durch die parallele Verarbeitung beschleunigt wird, benötigt der bulk extractor mehrere Stunden zum Scannen des vorliegenden dd Images.
DFF - Digital Forensics Framework
Das Digital Forensics Framework 1.2.0 [Arx13] ist eine Toolsammlung zur Durchführung einer forensischen Analyse der Firma ArxSys. Auf seine Funktionen wird in
Kapitel 5.3.4 eingegangen.
Galleta
Bei dem Konsolentool Galleta [McA13a] der Firma McAfee handelt es sich um ein
Analysetool, das speziell zur Verarbeitung von Cookies des Internet Explorers entwickelt wurde. Dabei kann es auf den Plattformen Windows, Mac OS X, Linux und BSD
ausgeführt werden. Die aktuelle Version von Galleta ist die Version 1.0.
Ordnet der forensische Ermittler diesem Tool eine Cookie-Textdatei zu, erstellt Galleta
ein Spreadsheet dieser Datei, wie exemplarisch in Abbildung 5.15 zu sehen ist. Dabei
ist dies eine Bereicherung für den Ermittler, da durch die Überführung der Daten in
eine Tabelle die Übersicht verbessert wird, was der individuellen Verwertbarkeit dient.
Jedoch sollte vor der Nutzung von Galleta bekannt sein, welche Cookies für den Fall
relevant sind. Dies lässt sich häufig anhand des Dateinamens erkennen, da dieser den
Domainnamen der besuchten Webseite enthält.
48
Abbildung 5.15: Galleta: Spreadsheet
Quelldatei: F:\Users\Sandy\AppData\Roaming\Microsoft\Windows\Cookies\Low\
sandy@amazon[2].txt
Pasco
Das Tool Pasco [McA13b] mit der Versionsnummer 1.0, das ebenfalls von McAfee für
die Betriebssysteme Windows, Mac OS X, Linux und BSD entwickelt wird, ist ein
forensisches Analysetool mit dem Fokus auf der Verarbeitung der Internetaktivität
des Internet Explorers anhand der index.dat.
Dazu wird dem Konsolentool eine der index.dat Dateien des Internet Explorers zugeordnet, woraufhin es ein Spreadsheet mit den Inhalten dieser erstellt. Die Abbildung 5.16 zeigt das Spreadsheet des URL-Verlaufs aus dem Szenario dieser Arbeit.
Darauf ist zu sehen, dass in der Type-Spalte zwischen URLs und Weiterleitungen, die
mit REDR“ gekennzeichnet sind, unterschieden wird.
”
Pasco erleichtert dem Ermittler die Rekonstruktion des Browser- oder Cookieverlaufs.
Weiterhin ermöglicht es ihm, die Inhalte nach Belieben zu sortieren und zu filtern oder
anderweitig weiterzuverarbeiten.
PTK Forensics
Das in SIFT integrierte PTK Forensics 2.0 [DFL13] ist ein ComputerforensikFramework der Firma DFLabs. Es bietet als Browseranwendung eine grafische Oberfläche zu den Kommandozeilentools aus TSK, enthält jedoch noch zusätzliche Module.
Mit PTK Forensics können sowohl mehrere Ermittler gleichzeitig den gleichen Fall,
als auch ein Ermittler mehrere Fälle parallel bearbeiten. Dabei werden alle generierten
Berichte und Bookmarks eines Ermittlers gesondert in der Datenbank gespeichert.
49
Abbildung 5.16: Pasco: Spreadsheet
Quelldatei: F:
\Users\Sandy\AppData\Local\TemporaryInternetFiles\Low\Content.IE5\index.dat
Ein neuer Fall wird unter Angabe von Name und Beschreibung angelegt. Diesem können anschließend im Image Management“ forensische Duplikationen und im Investi”
”
gator Management“ Ermittler zugewiesen werden. Zu den lesbaren Image-Dateitypen
gehören neben den von dd, EnCase und Safeback erstellten Images, .AFF und eine 100% Kopie, was einer bitweisen Duplizierung entspricht. Zusätzliche Angaben zu
Name, Zeit der Sicherstellung, Name des Sicherstellers, Staat, Stadt, Adresse, Postleitzahl, Beschreibung, Dateisystem und Zeitzone können erfolgen.
Der Ermittler wählt ein der Importier-Methoden symbolic link“ oder copy“ aus und
”
”
verifiziert anschließend die Integrität mittles MD5 und SHA-1 Hashwerterzeugung.
Das Einbinden des dd -Images ist erfolglos, weswegen keine weitere Analyse mit PTK
Forensics erfolgen kann (siehe Abbildung 5.17).
PyFlag
PyFlag 0.87-pre1 ist ebenfalls ein Webbrowser-basiertes Tool zur forensischen Analyse
und zur Logdatei-Analyse, dessen Entwicklung seit dem 24. Juli 2012 eingestellt ist.
Seine Funktionen basieren zu einem großen Teil auf den Modulen von The SleuthKit.
PyFlag stellt Tools zu Live-Forensik und Post-mortem-Analyse bereit.
Zu Beginn der forensischen Analyse wird mit PyFlag ein Fall angelegt. Diesem kann
50
Abbildung 5.17: PTK: Erfolglose Einbindung des Images
entweder ein Laufwerk oder eine Logdatei zugeordnet werden. Nach der Zuweisung des
zu untersuchenden Systems wird dieses in einer Verzeichnisstruktur angezeigt.
Mit View File Timeline“ wird ein Zeitstrahl aller Dateien aufgelistet. Dieser lässt sich
”
nach Datum auf- und absteigend sortieren und mit der Filterfunktion durchsuchen.
Dabei kann ausgewählt werden, welche Spalte in die Suche mit einbezogen werden
soll. Zudem kann die Tabelle nach den Werten einer Spalte gruppiert werden.
Eine Tabelle lässt sich als .HTML- oder .CSV-Datei speichern.
PyFlag verfügt zudem über eine Browser-Verlauf-Anzeige, die auch den Internet Explorer unterstützt.
Für den Fall relevante Dateien können mit Kommentaren versehen, einer Kategorie
zugeordnet und gesammelt aufgerufen werden. Diese befinden sich auch in dem abschließenden Fallbericht.
TSK - The SleuthKit
Das Toolkit TSK bietet diverse Kommandozeilentools zur Analyse einer Image-Datei.
Die Windows-Version wird in Kapitel ?? vorgestellt und auf seine Funktionen hin
untersucht und bewertet.
Yaru
Mit dem in SIFT integrierten Tool Yaru 1.14 kann der forensische Ermittler nach Hinzufügen eines Registry Hives, durch diesen navigieren. Somit findet
51
Abbildung 5.18: Yaru: Registry-Einträge
Abschnitt Software\Microsoft\Internet_Explorer\TypedURLs
SIFT
Tabelle 5.5: Anforderungsanalyse von SIFT
Anforderungen
Bewertung
Bemerkung
Imageeinbindung
o
+
teilweise .E01, .AFF, .DD, .IMG; teilweise
Laufwerk
Autopsy Forensic Browser, bulk_extractor, TSK,
PyFlag
Datenkorrelation
Protokollierung
o
teilweise ( Autopsy Forensic Browser, PyFlag)
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
liegender Dienste
Browser
Komponenten
Browser
Komponenten
+
o
+
o
-
o
-
Pasco, bulk_extractor, TSK, PyFlag, Yaru
Bilder bei Autopsy Forensic Browser, Navigation
zu Cache-Ordner und Betrachten der Dateien
Galleta
-
der IT-Security-Auditor in dem Hive \users\Sandy\NTUSER.DAT unter Software\
Microsoft\Internet_Explorer\TypedURLs die letzten drei in die Internet Explorer
Adresszeile eingegebenen URLs (siehe Abbildung 5.18)
Beurteilung
SIFT liefert Tools für diverse Analysezwecke, die entweder über den Programmordner
oder die Konsole aufgerufen werden können. Zu dem breiten Spektrum bereitgestellter
Tools gehören auch solche, die die Analyse einer Browser-Session unterstützen. Inwiefern SIFT damit die gestellten Anforderungen erfüllt, ist Tabelle 5.5 zu entnehmen.
Die Toolsammlung bietet keine Möglichkeit einen Abschlussbericht zu erstellen, in den
alle Protokolle der einzelnen Untersuchungen aufgenommen werden können.
52
5.3.7 Backtrack
Die Linux-Toolsammlung Backtrack [Bac13] der gleichnamigen Firma dient in erster Linie zur Überprüfung der Gesamtsicherheit eines Netzes als auch seiner einzelnen Rechner, liefert aber auch Angrifftools für diesen Bereich. Zusätzlich stellt es
seit der Version 4.0 zunehmend forensische Analysetools bereit. Die seit dem 13. August 2012 aktuelle Version 5.0 R3 wird sowohl als VMWare Image als auch als .ISOInstallationsdatei zum Download angeboten. Die Linux-Distribution wird unter Verwendung der .ISO-Datei auf der virtuellen Maschine installiert.
Einbindung der forensische Duplikation
Die innerhalb von Backtrack eingebundenen Tools benötigen beim Hinzufügen der
forensischen Duplikation in einigen Fällen eine Image-Datei und in anderen eine in die
virtuelle Maschine integriertes Laufwerk. Daher wird auch in die Backtrack-Maschine
zusätzlich zu der virtuellen Festplatte mit der zugewiesenen .VMDK-Datei, eine virtuelle
Festplatte mit dem entpackten dd -Image mit Leserechten eingebunden.
Innerhalb der Backtrack Toolsammlung kann der IT-Security-Auditor zur forensischen
Analyse des Opfersystems auf den Autopsy Forensic Browser [Car13a] mit der Versionsnummer 2.24 zurückgreifen. Dieser wird in Kapitel 5.3.6 vorgestellt und bewertet.
bulk extractor
Mit dem bulk extractor lässt sich ein Image, eine Datei oder ein Dateiverzeichnis indizieren und Daten nach diversen Kategorien sortieren. Eine detaillierter Beschreibung
dieses Tools ist in Kapitel 5.3.6 zu finden.
evtparse
Das Konsolentool evtparse liest Logdateien aus Windows aus. Wie Abbildung 5.19
entommen werden kann, ist es nicht für Windows 7 und somit auch nicht für die
Analyse des Opfersystems geeignet.
53
Abbildung 5.19: evtparse: Betriebssystemvoraussetzung
Abbildung 5.20: grep: Ausschnitt der Treffer zur Suche nach E-Mail-Adresse des Opfers
find
Mit dem Tool find, das zu den Findutils der Firma GNU Operating System gehört,
kann innerhalb einer Verzeichnisstruktur nach Dateien gesucht werden.
Galleta
Galleta 1.0 [McA13a] ist ein Konsolentool der Firma McAfee zur Aufbereitung von
Internet Explorer Cookies. Die Funktionen des Tools werden in Kapitel 5.3.6 erläutert.
grep
Das Tool grep durchsucht eine ausgewählte Datei oder Dateien eines Ordners nach
einem Keyword. Bei Treffern wird standardmäßig neben dem Dateipfad der Inhalt der
Zeile ausgegeben, in der das Keyword gefunden wurde. Ein Beispiel hierfür ist auf
Abbildung 5.20 zu sehen.
Pasco
Pasco 1.0 [McA13b] der Firma McAfee ist ein Tool zur Verlaufsaufbereitung des Internet Explorers. Auf die Funktionen dieses Konsolentools wird in Kapitel 5.3.6 näher
eingegangen.
PTK Forensics
PTK Forensics [DFL13] ist ein Analysetool der Firma DFLabs auf Basis der Toolsammlung TSK. In Kapitel 5.3.6 wird PTK Forensics vorgestellt.
54
TSK - The SleuthKit
Backtrack enthält die Version 4.0.0 von The SleuthKit [Car13c]. In Kapitel ?? wird
diese Toolsammlung mit ihren Funktionen genau betrachtet.
Beurteilung
Backtrack eignet sich aufgrund der großen Anzahl an Monitoringtools vorwiegend zur
Live-Netzwerk-Anaylse. Zusätzlich enthält es ein Sammlung von Angrifftools.
In den erst seit Version 5 vorhandenen Bereich der forensischen Analyse wurden, mit
Blick auf die Analyse einer Browser-Session und der vorhandenen Tools anderer in dieser Arbeit untersuchten Toolsammlungen, die wichtigsten Werkzeuge mit einbezogen.
Zudem ist hervorzuheben, dass neben den Tools mit einer grafischen Oberfläche auch
alle Konsolentools aus dem Programmordner aufrufbar sind. Somit hat der forensische
Ermittler nur eine Anlaufstelle und direkt eine komplette Übersicht über alle Tools.
Wie schon bei SIFT, fehlt auch bei Backtrack die Möglichkeit, Protokolle einzelner
Tools zu einem Abschlussbericht zusammenzufassen.
In der Tabelle 5.6 werden die Funktionen von Backtrack anhand der gestellten Anforderungen bewertet.
5.3.8 CAINE - Computer Aided Investigative Environment
Die Linux-Live-Distribution Computer Aided Investigative Environment [Bas13] von
Nanni Bassetti bietet eine Sammlung von Softwaretools an. Ein Großteil der Tools hat
eine grafische Oberfläche, wodurch die Arbeit des Ermittlers intuitiver und leichter
werden soll. Zudem lässt sich sowohl eine Post-mortem-Analyse als auch eine LiveAnalyse unter Verwendung der Live-CD an einem zu untersuchenden System durchführen. Die aktuelle Version ist die Version 3.0, die als .ISO-Datei am 03. Oktober
2012 veröffentlicht wurde.
Die von CAINE bereitgestellten Tools können teilweise nur Image-Dateien und teilweise nur virtuelle Festplatten als forensische Duplikation einlesen. Somit erfolgt ebenso
55
Backtrack
Tabelle 5.6: Anforderungsanalyse von Backtrack
Anforderungen
Bewertung
Bemerkung
Imageeinbindung
o
+
teilweise .E01, .AFF, .DD, .IMG; teilweise
Laufwerk
Autopsy Forensic Browser, find, grep,
bulk_extractor, TSK
Datenkorrelation
Protokollierung
o
teilweise (Autopsy Forensic Browser)
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Browser
Komponenten
Browser
Komponenten
+
o
+
o
-
o
-
Pasco, bulk_extractor, TSK
Bilder bei Autopsy Forensic Browser,
Betrachten der Dateien
Galleta
-
wie bei den Linux-Distributionen SIFT und Backtrack auch auf der CAINE -Maschine
die Read-Only-Einbindung einer virtuellen Festplatte mit dem entpackten dd -Image,
sowie einer zusätzlichen Festplatte, der die .VMDK-Datei des forensisch duplizierten
Opfersystems zugeordnet ist.
Das CAINE Interface stellt im Zuge der forensischen Analyse den Autopsy Forensic
Browser 2.24 bereit, dessen Funktionen in Kapitel ?? ausführlich beschrieben werden.
Der Autopsy Forensic Browser arbeitet mit dem dd -Image.
FKLook
Das Skript FKLook von Nanni Bassetti durchsucht unter Einbindung einer lokalen
Festplatte Dateien nach einem Keyword. Alle Dateien, die einen Treffer erzielen, werden exportiert. Durchsucht werden lediglich Dateien, die auf der Pfadebene sind. Zu56
dem darf der zu durchsuchende Pfad keine Leerzeichen enthalten, da das Tool dann
nicht erfolgreich ausgeführt werden kann, wie auf Abbildung 5.21 zu erkennen ist.
Abbildung 5.21: FKLook: Fehler bei Leerzeichen in Pfad
FRED - Forensic Registry Editor
Der Forensic Registry Editor der Version 0.1.0beta4 dient zum Öffnen und anschließenden Durchsuchen eines Registry Hives, wozu FRED auf die eingebundene lokale
Festplatte zugreift. Beim Öffnen von \media\platte\Users\Sandy\NTUSER.DAT zeigt
FRED zum Key Software\Microsoft\Internet_Explorer\TypedURLs die letzten
drei ins Adressfeld des Browsers eingegebenen URLs an, die wie Abbildung 5.22 zeigt
zu eBay und Amazon geführt haben.
Abbildung 5.22: FRED: Registry-Einträge
Abschnitt: Software\Microsoft\Internet_Explorer\TypedURLs
Galleta
Über das Linux-Terminal kann der forensische Ermittler das Analysetool Galleta
1.0 [McA13a] der Firma McAfee zur Verarbeitung von Internet Explorer Cookies nutzen. Dieses Tool wird in Kapitel 5.3.6 vorgestellt.
57
Abbildung 5.23: GrokEVT: Fehler bei grokevt-builddb
Abbildung 5.24: log2timeline: Fehler bei Programmausführung
GrokEVT
GrokEVT ist eine Skriptsammlung zum Lesen von Windows Logdateien. Nach dem
Mount-Prozess der Festplatte mit der .VMDK-Datei muss GrokEVT konfiguriert werden. Dazu wird unter \usr\local\etc\grokevt\systems ein Ordner mit dem Namen
des Opfersystems angelegt, in dem Konfigurationsdateien erstellt werden. Diese geben
den Pfad zu dem Laufwerk, dem System Root und der System Registry der zu untersuchenden forensischen Duplikation an. Anschließend wird mit grokevt-builddb der
Speicherpfad angelegt. Während dieses Prozesses kommt es wie auf Abbildung 5.23 zu
erkennen ist, zu einem Fehler, da das Modul pyregfi fehlt.
log2timeline
Bei dem Konsolentool log2timeline handelt es sich um ein Werkzeug zur Zeitstrahlerstellung. Dazu muss auf den direkten Speicherpfad des Windows Log-Ordners oder
einer konkreten Logdatei verwiesen werden. Bei der Ausführung des Aufrufs kommt
es zu einer Fehlermeldung, da es zu einem Problem beim Laden der Input-Module
kommt. Abbildung 5.24 demonstriert dies.
NBTempo
NBTempo ist ein GUI Bash-Skript zur Erstellung von Zeitstrahlen des Entwicklers
Nanni Bassetti, das sowohl eine Image-Datei als auch eine Festplatte untersuchen kann.
Die aktuelle Version hat die Versionsnummer 1.1.
58
Abbildung 5.25: NBTempo: Ausschnitt aus der Report-Tabelle
Zu Beginn wählt der Ermittler ein forensisches Duplikat als Image-Datei oder Laufwerk
aus. Nach Angabe des Zielverzeichnisses, der Zeitzone, der Zeitverzögerung der Daten
auf dem Opfersystem und der zu untersuchenden Zeitspanne, liefert NBTempo sehr
zügig Ergebnisse. Dabei werden die Dateien data.txt, times.txt und report.csv
erstellt.
Die Datei data.txt erstellt eine Übersicht über das Imageverzeichnis, die ausgewählte
Zeitspanne, Zeitzone und Zeitverzögerung. In times.txt werden die Ergebnisse im
Rohformat und daher für viele weiterverarbeitende Tools lesbar gesichert, während das
Spreadsheet report.csv den Zeitstrahl tabellarisch und mit Spaltenbenennung auf die
Bedürfnisse des Ermittlers bezogen darstellt. Dieser Zeitstrahl kann anschließend von
dem Ermittler sortiert, gefiltert und weiterverarbeitet werden.
NBTempo unterstützt den forensischen Ermittler bei der Rekonstruktion des Computerverlaufs. So kann der IT-Security-Auditor dem Verlauf entnehmen, welche Dateien
parallel zur Browser-Session angelegt oder ausgeführt wurden, wie auf Abbildung 5.25
ausschnittsweise dargestellt ist. Diese Dateien können Hinweise auf weitere Datenquellen liefern.
Pasco
Das von McAfee entwickelte Analysetool Pasco 1.0 [McA13b] dient zur Weiterverarbeitung von index.dat Dateien des Internet Explorers. Seine Funktion wird in Kapitel 5.3.6 beschrieben.
59
Abbildung 5.26: RegLookup: Fehlermeldung beim Öffnen des Hives
Quelldatei: \media\platte\Users\Sandy\NTUSER.DAT
RegLookup
Mit dem Kommandozeilentool RegLookup 0.10.0 werden Windows Registry-Dateien
analysiert. Das Öffnen des Registry Hives \media\platte\Users\Sandy\NTUSER.DAT
ist nicht erfolgreich. Abbildung 5.26 zeigt die Fehlermeldung, dass das Hive nicht geöffnet werden kann.
TSK - The SleuthKit
Zu den in CAINE zugänglichen Tools gehört auch die Toolsammlung The SleuthKit [Car13c] der Version 4.0.0. Dieses Konsolentoolkit arbeitet nur mit einer ImageDatei und wird in Kapitel ?? detailliert untersucht.
Beurteilung
CAINE bietet eine Sammlung diverser Kommandozeilen- und GUI-Tools. Es gibt zunächst drei Anlaufpunkte, um auf die Tools zuzugreifen. Einige Tools lassen sich nur
über die Kommandozeile öffnen, andere befinden sich nur im Programm-Ordner und
die wichtigsten Tools werden zudem im CAINE Interface bereitgestellt. Es gibt kein
zentrales Casemanagement, zu dem alle Ergebnisse hinzugefügt werden können. Jedoch kann der forensische Ermittler über das Interface manuell einen Abschlussbericht
erstellen. Dabei stehen ihm die Optionen RTF“, HTML“ und Persönlicher Bericht“
”
”
”
zur Verfügung. Beim Starten des CAINE Interfaces kann nicht aus vorhandenen Fällen einer ausgewählt werden. Der Ermittler muss bei jedem Neustart den Fall- und
Ermittlernamen erneut eingeben. Eine zusammenfassende Bewertung kann der Tabelle 5.7 entnommen werden.
5.3.9 Paladin
Die forensische Toolsuite Paladin [Sum13] wird von der Firma Sumuri entwickelt. Dabei handelt es sich um eine Linux-Distribution, die primär für eine forensisch einwand60
CAINE
Tabelle 5.7: Anforderungsanalyse von CAINE
Anforderungen
Bewertung
Bemerkung
Imageeinbindung
o
Datenkorrelation
Protokollierung
+
o
teilweise .E01, .AFF, .DD, .IMG;
teilweise Laufwerk
Autopsy Forensic Browser, TSK
teilweise (Autopsy Forensic Browser)
Browser-Artefakte
Darstellung
Verlauf
Cache
+
o
HTTPS/SSL
Passwörter
Cookies
Favoriten
+
o
Formulardaten
Downloads
liegender Dienste
Browser
Komponenten
Browser
Komponenten
-
o
-
Pasco, FRED, NBTempo, TSK
Bilder bei Autopsy Forensic Browser,
Betrachten der Dateien möglich
Galleta
Anzeige der Dateien im FavoritenOrdner
-
freie Image-Erzeugung entwickelt wurde, die aber laut eigenen Angaben auch Tools
wie Autopsy und DFF bereitstellt. Die aktuelle Version trägt die Versionsnummer 3.0.
Auf der virtuellen Maschine von Paladin ist eine zusätzliche virtuelle Festplatte unabhängig und nicht dauerhaft eingebunden, was dem Read-Only-Modus gleichkommt.
Dieser Festplatte ist die .VMDK-Datei des Images des Opfersystems zugewiesen.
Paladin versagt bei der forensischen Untersuchung im entscheidenden Moment, da
aufgrund der fehlenden Möglichkeit ein Zielverzeichnis auszuwählen das FestplattenImage nicht eingebunden werden kann. Dies verdeutlicht Abbildung 5.27.
Beurteilung
Da wegen der Probleme beim Einbinden des Images Paladin nicht zur Analyse der
forensischen Duplikation verwendet werden kann, ist es auch nicht möglich dieses Tool
61
Abbildung 5.27: Paladin: Problem bei Imageinbindung
auf die Erfüllung der Anforderungen hin zu untersuchen und zu bewerten. Lediglich
die fehlende Lesbarkeit von Image-Dateien ist in Tabelle 5.8 vermerkt.
5.3.10 TSK - The SleuthKit
The SleuthKit [Car13c] ist eine forensische Werkzeugsammlung des Entwicklers Brian Carrier. Die Nutzung von TSK beschränkt sich auf Kommandozeilentools. TSK
wird für Windows- und Linux-Betriebssysteme entwickelt. Die aktuelle und auf der
virtuellen Maschine installierte Version vom 13. November 2012 ist die WindowsInstallationsdatei der Version 4.0.1.
Da TSK nur Image-Dateien bei der forensischen Analyse unterstützt, wird dieser
Windows-Maschine das entpackte dd -Image durch eine zusätzlich eingebundene virtuelle Festplatte hinzugefügt.
TSK unterstützt zur Einbindung der forensischen Duplikation eine Image-Datei im
62
Paladin
Tabelle 5.8: Anforderungsanalyse von Paladin
Anforderungen
Bewertung
Imageeinbindung
Datenkorrelation
Protokollierung
k.A.
k.A.
k.A.
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Informationen/Veränderungen zu Grunde liegender Dienste
Browser
Komponenten
Browser
Komponenten
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
Rohdatenformat .DD oder .IMG,
Advanced Forensic Format (.AFF, .AFD, .AFM und .AFFLIB) und
im Expert Witness Format des Tools EnCase (.E01).
Daten-Management
The SleuthKit enthält Werkzeuge zur Analyse von Dateisystemen, Partitionen, Images
und Disks. Die Partion-Tools unterstützen nicht die Analyse von Windows-Systemen,
während die Funktionen der Disk-Tools für das Szenario nicht relevant sind. Daher
werden hier nur Dateisystem- und Image-Tools betrachtet.
Mithilfe der Tools tsk gettimes und fls -m lässt sich ein Zeitstrahl der Dateien der
forensischen Duplikation im Rohformat als Body File“ erstellen. Diese Datei entspricht
”
der times.txt des Tools NBTempo. Die Body File“ kann mit dem mactime-Tool
”
in eine übersichtliche Tabelle mit Spaltenbezeichnungen übertragen werden, welche
wiederum mit der Datei report.csv von NBTempo übereinstimmt.
63
Das Modul Fsstat gibt Informationen zu dem Dateisystem aus, mit Bezug auf das
Layout, die Größen und Labels. Auffällig ist hierbei, dass das Windows 7 Opfersystem
als Windows XP Betriebssystem erkannt wird (siehe Abbildung 5.28).
Abbildung 5.28: TSK: Ausschnitt aus fsstat
Details über den Dateitypen und die Größe eines Images lassen sich mit dem Tool
imgstat ausgeben. Je nach Image können noch weitere Angaben erfolgen.
Der für diese Arbeit relevante Funktionsumfang der Windows-Version von TSK entspricht nahezu dem der in die Toolsammlungen SIFT, Backtrack und CAINE integrierten Linux-Version. Der einzige Unterschied ist, dass die Linux-Version ein zusätzliches
Tool namens sorter enthält.
Bei diesem handelt es sich um ein Perl-Skript, welches ein Dateisystem den Dateitypen entsprechend Kategorien zuweist. Das Ergebnis entspricht dem der DateitypSortierfunktion nach Kategorien des Autopsy Forensic Browsers.
64
TSK
Tabelle 5.9: Anforderungsanalyse von The SleuthKit
Anforderungen
Bewertung
Bemerkung
+
+
-
.DD, .IMG, .AFF, .AFD, .AFM, .AFFLIB, .E01
fls, sorter (nur Linux)
Imageeinbindung
Datenkorrelation
Protokollierung
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Browser
Komponenten
Browser
Komponenten
+
o
-
tsk_gettimes, mactime, sorter (nur Linux)
-
Beurteilung
Das Durchführen einer kompletten forensischen Analyse mit Konsolentools ist ermüdend und erschwert vor allem einem Konsolen unerfahrenen Ermittler die Analyse.
Zudem unterstützt die Standardinstallation von The SleuthKit nur geringfügig die
Analyse einer Browser-Session. Der Grad an Unterstützung wird in der Tabelle 5.9
festgehalten. Funktionen wie Berichterstellung, Suche nach Keywords und RegistryAnalyse, benötigen eine Nachinstallation des TSK Frameworks.
5.3.11 Zusammenfassung
Viele der in diesem Kapitel untersuchten Tools bauen auf den Werkzeuge von The
SleuthKit auf. Die vorhandene GUI dieser erleichert und beschleunigt die Analyse. Zudem gleichen sich innerhalb der großen Toolsammlungen SIFT, Backtrack und CAINE
eine große Anzahl an Tools, wie bspw. Pasco, Galleta und der Autopsy Forensic Browser.
Backtrack grenzt sich lediglich durch seinen Fokus auf Netz-Analysen und Angrifftools von SIFT und CAINE ab. Der Unterschied zwischen den letzten beiden, ist die
grafische Aufbereitung der Toolbereitstellung. Während die Aufteilung der einzelnen
65
66
Browser-Artefakte
Darstellung
Verlauf
Cache
HTTPS/SSL
Passwörter
Cookies
Favoriten
Formulardaten
Downloads
Informationen/Veränderungen zu Grunde liegender Dienste
Browser
Komponenten
Browser
Komponenten
Imageeinbindung
Datenkorrelation
Protokollierung
Anforderung/Toolkit
-
o
-
+
o
-
DFF
o
o
o
-
+
+
o
OSForensics
-
-
o
-
+
o
+
+
+
+
+
o
Autopsy
-
-
o
-
+
o
+
o
-
o
+
o
SIFT
-
-
o
-
+
o
+
o
-
o
+
o
Backtrack
-
-
o
-
+
o
+
o
-
o
+
o
CAINE
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A.
k.A
k.A.
k.A.
k.A.
Paladin
-
-
-
+
o
-
+
+
-
TSK
Tabelle 5.10: Zusammenfassung der Anforderungsanalyse der Toolkits OSForensics, DFF,
Autopsy, SIFT, Backtrack, CAINE, Paladin und TSK
Tools innerhalb des Interfaces von CAINE sich an forensischen Vorgehensmodellen
orientiert, fehlt bei SIFT eine Form der Strukturierung. Aus diesem Grund bedarf es
einiger Einarbeitungszeit, bis der Ermittler mit der Toolsammlung vertraut ist und
sich einen Überblick über die bereitgestellten Funktionen aneignen kann.
Die Ähnlichkeit der vorhandenen Tools wird auch bei dem Vergleich der einzelnen
Anforderungsanalysen der Toolsammlungen in Tabelle 5.10 deutlich. Jedoch unterstützt keine der genannten Toolkits eine Korrelation der Protokolle einzelner Tools im
Rahmen des Case-Managements.
Autopsy ist in der Gesamtbewertung das geeignetste Tool zur Rekonstruktion browserbasierter Tatbestände. Die untersuchten Toolkits weisen Defizite bei der Überprüfung
von Konfigurationen oder Programmabläufen auf. Auch in den Bereichen HTTPS/SSL,
TCP/IP Protocol Stack und DNS/Namensauflösung liefern die Toolsammlungen keine
verwertbaren Ergebnisse.
67
68
6 Ausblick
Zu einer umfangreichen Analyse und Rekonstruktion browserbasierter Tatbestände
ist eine alleinige Betrachtung des Opfersystems in einer Post-mortem-Analyse nicht
ausreichend. Auf der einen Seite können zusätzliche Datenquellen, wie diverse beteiligte Netzkomponenten und Server, die mit entsprechenden Monitoringtools ausgestattet sind, für die Untersuchung relevante Daten liefern. Auf der anderen Seite
wird der Großteil der Daten, die bei einer Netzverbindung entstehen, nur flüchtig auf
den einbezogenen Computersystemen gespeichert. Aus diesem Grund spielt auch die
Live-Analyse in diesem Zusammenhang eine bedeutsame Rolle. Weiterhin weist der
aktuelle Stand der Wissenschaft und Technik im Bereich der Browser-Session-Analyse
einige Defizite auf. Die vorhandenen forensischen Tools dienen in erster Linie der Datenbetrachtung und Hash-Verifizierung einzelner Datenquellen und stellen Filter- und
Suchfunktionen bereit. Aus den gegebenen Daten alle wichtigen Informationen herauszulesen und diese entsprechend weiterzuverarbeiten, ist ein entscheidender Schritt in
der forensischen Analyse. Dieser wird jedoch nur unzureichend von den erhältlichen
Tools und Toolsammlungen unterstützt. Somit ist in Zukunft eine Weiterentwicklung
der Tools hin zur Korrelation von Daten verschiedener Quellen notwendig. Im Idealfall
sollte es dem forensischen Ermittler möglich sein, eine Browser-Session im Gesamtbild
Schritt für Schritt nachzuvollziehen.
69
6 Ausblick
70
[Arx13] ArxSys.
Digital Forensics Framework.
2013.
http://www.
digital-forensic.org/, zuletzt besucht am 25.01.2013.
[Bac13] Backtrack. Backtrack. 2013. http://www.backtrack-linux.org/, zuletzt
besucht am 25.01.2013.
[Bar12] J. Barbara. Windows 7 Registry Forensics: Part 4. 2012. http://www.
dfinews.com/article/windows-7-registry-forensics-part-4, zuletzt
[Bas13] Nanni Bassetti. Computer Aided Investigative Environment. 2013. http:
//www.caine-live.net/, zuletzt besucht am 25.01.2013.
[Bun11a] Bundesamt für Sicherheit in der Informationstechnik.
Forensik“.
2011.
Leitfaden
IT”
https://www.bsi.bund.de/SharedDocs/Downloads/
DE/BSI/Internetsicherheit/Leitfaden_ITForensik_pdf.pdf?__blob=
publicationFile, zuletzt besucht am 20.01.2013.
[Bun11b] Bundeskriminalamt.
Cybercrime Bundeslagebild 2011.
2011.
http:
//www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/
JahresberichteUndLagebilder/Cybercrime/cybercrime2011,
templateId=raw,property=publicationFile.pdf/cybercrime2011.pdf,
zuletzt besucht am 20.01.2013.
[Car13a] Brian Carrier. Autopsy. 2013. http://www.sleuthkit.org/autopsy/, zuletzt besucht am 25.01.2013.
[Car13b] Brian Carrier. Grep Search Limitations. 2013. http://www.sleuthkit.
org/autopsy/help/grep_lim.html, zuletzt besucht am 25.01.2013.
[Car13c] Brian Carrier.
The SleuthKit.
2013.
http://www.sleuthkit.org/
sleuthkit/, zuletzt besucht am 25.01.2013.
71
[Cas11] E. Casey. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press. Academic Press, 2011. ISBN
9780123742681.
[DFL13] DFLabs. PTK Forensics. 2013. http://ptk.dflabs.com/, zuletzt besucht
am 27.01.2013.
[Eck11] C. Eckert. IT-Sicherheit: Konzepte - Verfahren - Protokolle. Oldenbourg
Wissenschaftsverlag, 2011. ISBN 9783486706871.
[For13] Forensic Control.
Free computer forensic tools.
2013.
http://
forensiccontrol.com/resources/free-software/, zuletzt besucht am
24.01.2013.
[GAE+ 13] S. L. Garfinkel, B. Allen, A. Eubanks, Garcia II L.E. and M. Shick.
bulk extractor. 2013. https://github.com/simsong/bulk_extractor, zuletzt besucht am 27.01.2013.
[Ges11] A. Geschonneck.
Computer-Forensik.
dpunkt-Verlag, 2011.
ISBN
9783898647748.
[Goo13] Google. Google Analytics. 2013. http://www.google.com/analytics/,
zuletzt besucht am 29.01.2013.
[Heb12] R. Hebestreit. Analyse von IT-Forensikansätzen anhand eines konkreten Angriffsszenarios. Masterarbeit, Universität der Bundeswehr München, 2012.
[HKD11] M. Hildebrandt, S. Kiltz and J. Dittmann. A Common Scheme for Evaluation of Forensic Software. In 2011 Sixth International Conference on IT
Security Incident Management and IT Forensics. 2011.
[Kol13] Prof. Dr. T. Kollmann. Gabler Wirtschaftslexikon, Stichwort Plug-in. Gabler
Verlag, 2013.
http://wirtschaftslexikon.gabler.de/Archiv/76201/
plug-in-v5.html, zuletzt besucht am 21.01.2013.
[McA13a] McAfee.
Galleta.
2013.
http://www.mcafee.com/us/downloads/
free-tools/galleta.aspx, zuletzt besucht am 27.01.2013.
[McA13b] McAfee.
Pasco.
2013.
http://www.mcafee.com/us/downloads/
free-tools/pasco.aspx, zuletzt besucht am 27.01.2013.
[Moh03] G.M. Mohay. Computer and Intrusion Forensics. Artech House Computer
Security Series. Artech House, 2003. ISBN 9781580533690.
72
[Nir11] NirSoft. IE PassView v1.26 - Recover lost passwords stored by Internet
Explorer. 2011. http://www.nirsoft.net/utils/internet_explorer_
password.html, zuletzt besucht am 20.01.2013.
[Nir13] NirSoft. Password Storage Locations For Popular Windows Applications.
2013.
http://www.nirsoft.net/articles/saved_password_location.
html, zuletzt besucht am 20.01.2013.
[Pas13] PassMark. OSForensics. 2013. http://www.osforensics.com/, zuletzt
[SAN13] SANS.
SANS Investigative Forensic Toolkit.
2013.
http://
computer-forensics.sans.org/community/downloads/, zuletzt besucht
am 25.01.2013.
[Sie13] Dr. M. Siepermann. Gabler Wirtschaftslexikon, Stichwort Add-On. Gabler
Verlag, 2013.
http://wirtschaftslexikon.gabler.de/Archiv/76200/
add-on-v5.html, zuletzt besucht am 21.01.2013.
[SK11] M.G. Solomon and D. Kim. Fundamentals of Communications and Networking. Jones & Bartlett Learning, 2011. ISBN 9781449649173.
[Sof04] Guidance Software. EnCase Legal Journal, 2004.
[Sum13] Sumuri.
Paladin.
2013.
http://www.sumuri.com, zuletzt besucht am
25.01.2013.
[Sup13] Microsoft Support. Zurücksetzen von Internetprotokoll (TCP/IP) in Windows XP. 2013. http://support.microsoft.com/kb/299357/de, zuletzt
[Wik13] Forensics Wiki. Bulk extractor. 2013. http://www.forensicswiki.org/
wiki/Bulk_extractor, zuletzt besucht am 29.01.2013.
[Win13] Windows-Hilfe und Support. Wie wirken sich Browser-Add-Ons auf meinen
Computer aus?, 2013.
73
74
1.1
Cybercrime im engeren Sinne 2007 - 2011 [Bun11b] . . . . . . . . . . .
1
1.2
Schäden 2007 - 2011 [Bun11b] . . . . . . . . . . . . . . . . . . . . . . .
2
2.1
Phasen des S-A-P Modells . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.2
Abschnitte des forensischen Prozesses . . . . . . . . . . . . . . . . . . .
9
3.1
Gesamtüberblick Teil 1 . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.2
Gesamtüberblick Teil 2 . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
3.3
Technische Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
5.1
Forensische Workstation . . . . . . . . . . . . . . . . . . . . . . . . . .
29
5.2
OSForensics: Ergebnis für die Suche nach der Opfer-E-Mail-Adresse . .
33
5.3
OSForensics: Ausschnitt aus dem Einkaufswagen . . . . . . . . . . . . .
34
5.4
OSForensics: Bilder des gekauften Artikels im Cache . . . . . . . . . . .
35
5.5
OSForensics: Zeitstrahl aller Dateien mit einem Zeitstempel vom Januar
2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
5.6
OSForensics: Registry-Einträge . . . . . . . . . . . . . . . . . . . . . .
36
5.7
OSForensics: Auslesen der Browser-Passwörter . . . . . . . . . . . . . .
36
5.8
DFF: Registry-Einträge . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
5.9
Autopsy: Ausschnitt der Auswertung des Verlaufs . . . . . . . . . . . .
41
5.10 Autopsy: Ausschnitt aus der Cookie-Analyse . . . . . . . . . . . . . . .
42
5.11 Autopsy: Zugangsdaten einer fehlgeschlagenen Anmeldung zu Amazon
42
5.12 Autopsy: Ausschnitt aus dem Einkaufswagen . . . . . . . . . . . . . . .
43
5.13 Autopsy: Amazon-Lieferadresse . . . . . . . . . . . . . . . . . . . . . .
44
5.14 Autopsy: In Amazon hinterlegte Kontonummer . . . . . . . . . . . . .
44
5.15 Galleta: Spreadsheet . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
5.16 Pasco: Spreadsheet . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
5.17 PTK: Erfolglose Einbindung des Images . . . . . . . . . . . . . . . . .
51
5.18 Yaru: Registry-Einträge . . . . . . . . . . . . . . . . . . . . . . . . . .
52
5.19 evtparse: Betriebssystemvoraussetzung . . . . . . . . . . . . . . . . . .
54
75
76
5.20 grep: Ausschnitt der Treffer zur Suche nach E-Mail-Adresse des Opfers
54
5.21 FKLook: Fehler bei Leerzeichen in Pfad . . . . . . . . . . . . . . . . . .
57
5.22 FRED: Registry-Einträge . . . . . . . . . . . . . . . . . . . . . . . . . .
57
5.23 GrokEVT: Fehler bei grokevt-builddb . . . . . . . . . . . . . . . . . . .
58
5.24 log2timeline: Fehler bei Programmausführung . . . . . . . . . . . . . .
58
5.25 NBTempo: Ausschnitt aus der Report-Tabelle . . . . . . . . . . . . . .
59
5.26 RegLookup: Fehlermeldung beim Öffnen des Hives . . . . . . . . . . . .
60
5.27 Paladin: Problem bei Imageinbindung . . . . . . . . . . . . . . . . . . .
62
5.28 TSK: Ausschnitt aus fsstat . . . . . . . . . . . . . . . . . . . . . . . . .
64
Tabellenverzeichnis
5.1
Popularität von Toolsammlungen im Jahr 2012 . . . . . . . . . . . . .
30
5.2
Anforderungsanalyse von OSForensics . . . . . . . . . . . . . . . . . . .
37
5.3
Anforderungsanalyse von DFF . . . . . . . . . . . . . . . . . . . . . . .
39
5.4
Anforderungsanalyse von Autopsy . . . . . . . . . . . . . . . . . . . . .
43
5.5
Anforderungsanalyse von SIFT . . . . . . . . . . . . . . . . . . . . . .
52
5.6
Anforderungsanalyse von Backtrack . . . . . . . . . . . . . . . . . . . .
56
5.7
Anforderungsanalyse von CAINE . . . . . . . . . . . . . . . . . . . . .
61
5.8
Anforderungsanalyse von Paladin . . . . . . . . . . . . . . . . . . . . .
63
5.9
Anforderungsanalyse von The SleuthKit . . . . . . . . . . . . . . . . .
65
5.10 Zusammenfassung der Anforderungsanalyse der Toolkits OSForensics,
DFF, Autopsy, SIFT, Backtrack, CAINE, Paladin und TSK . . . . . .
66
77
Tabellenverzeichnis
78
Glossar
ABaMaPO
Allgemeine Prüfungsordnung für die universitären Bachelor- und MasterStudiengänge der Universität der Bundeswehr München
AFF
Advanced Forensic Format
BKA
Bundeskriminalamt
BSD
Berkeley Software Distribution
BSI
Bundesamt für Sicherheit in der Informationstechnik
CAINE
Computer Aided Investigative Environment
DFF
Digital Forensics Framework
DNS
Domain Name System
GUI
Graphical User Interface
GUID
Globally Unique Identifier
HTTP
HyperText Transfer Protocol
HTTPS
HyperText Transfer Protocol Secure
IP
Internet Protocol
MD5
Message-Digest Algorithm 5
MFT
Master File Table
SHA
Secure Hash Algorithm
SIFT
SANS Investigate Forensic Toolkit
SSL
Secure Sockets Layer
TCP
Transmission Control Protocol
TSK
The SleuthKit
URL
Uniform Resource Locator
79
Glossar
80

Analyse forensischer Toolsammlungen zur Rekonstruktion

Transcription

Similar documents

Pflichtenheft VOIP Security

Folien als PDF-Datei

Wie sind Trojaner aufgebaut?

E-Mail: Homepage: www.klausbroscheit.de

PDF-Version - freiesMagazin

SIEM Dashboards - Complex Data Visualized