Spuren im WWW

Transcription

Spuren im WWW

Forensische
Informatik
Vorlesung im Frühjahrssemester 2010
Universität Mannheim
Teil 6: Spuren im Netz
Prof. Dr. Felix Freiling
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
https://pi1.informatik.uni-mannheim.de
Name und Datumwww.uni-mannheim.de
Seite 1
Motivation
• Analyse von Festplatten: dead analysis
– Heute noch der überwiegende Teil der gesammelten Spuren
(mehr als 95%)
– Weit entwickelte Methodik (siehe Kapitel 5 der Vorlesung)
– Einfach zu sichern, geringe Flüchtigkeit
• Herausforderung heute: Sichern von flüchtigeren
Spuren
– Spuren auf dem laufenden System (live response)
– Spuren im Netz
• Problem bei der Tatortsicherung
– Man kann ein Netz nicht anhalten, um eine Kopie
anzufertigen
– Spuren sind verteilt vorhanden
Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de
Seite 2
Spuren im Netz
• Teil der digitalen Forensik, der noch recht schwach
entwickelt ist
• Auch diese Vorlesung setzt einen Schwerpunkt auf
praktisch verwertbare Ansätze
– Sichern von Indizien im Internet
• Sichern und Analyse von Spuren im lokalen Netz ist
für die Vorlesung ein Zukunftsthema
– Server Logs, Firewall und IDS Logs, Accounting
Informationen, Netflow Informationen
• Auch Live Response wird in Zukunft noch ausgebaut
Seite 3
Übersicht: Themen der Vorlesung
1.
2.
3.
4.
5.
6.
7.
8.
9.
Motivation und Überblick
Forensik und digitale Spuren
Forensische Prinzipien und Beweise
Vorgehensmodelle: Incident Response vs.
Computerforensik
Dateisystemanalyse
Internet-Forensik und Live Response
Computerforensische Werkzeuge
Rechtliche Rahmenbedingungen
Zusammenfassung
Seite 4
Quellen
• Dornseif, Vorlesung RWTH 2004, Kapitel
„Internetforensik“
• Casey, Kapitel 15 und 18
• Geschonneck, Kapitel 9
– Insbesondere IP-Backtracing
• Diverse Internet-Seiten
Seite 5
Übersicht
•
•
•
•
Klassifikation und Abgrenzung
Live Response
Spuren im lokalen Netz (kurz)
Spuren im Internet
– Mail
– Zurückverfolgen von IP-Adressen
– Spuren im WWW
• Zusammenfassung
Seite 6
Flüchtigkeit von Daten
• Hierarchie der Flüchtigkeit von Daten im Rechner:
–
–
–
–
–
–
–
–
–
CPU-Register
Arbeitsspeicher
Kommunikationspuffer im Netzadapter
Offene Dateien
Aktive Netzwerkverbindungen
Aktive Prozesse
Log-Dateien
Benutzerdateien
...
Seite 7
Sichern der Daten
• Regel: Daten in Reihenfolge abnehmender
Flüchtigkeit am Tatort sichern
• Probleme:
– Expertise muss vor Ort sein
– Gefahr der Modifikation der Daten
– „Original“ ist nach dem Sichern verschwunden
Seite 8
Wo fallen Spuren an?
• Bereiche zunehmender geographischer Entfernung
vom Tatort
– Rechner, lokales Netz, Internet
– Übergang lokales Netz/Internet oft fliessend
– Probleme bei überlagerten Netzen (VPNs, P2P, etc.)
Seite 9
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail
– Spuren im WWW
• Zusammenfassung
Seite 10
Live Response
• Datensammlung auf dem „lebenden System“
• Ermöglicht Sammlung vieler flüchtiger Daten:
–
–
–
–
–
Aktive Verbindungen
Laufende Prozesse/Dienste
Systemdatum und -uhrzeit
Geladene Kernelmodule
Liste offener Dateien
• Teilweise auch nicht-flüchtige Daten
– Beispiel: Windows Logs sind offline schwer auslesbar
– Vorteil auch bei anderen Daten: Spuren stehen früher zur
Verfügung als bei dead analysis
Seite 11
Probleme bei Live Response
• Aktivitäten verändern das System!
– Ändert Hauptspeicher
– Erzeugt Prozesse
– Legt ggf. temporäre Dateien an
• Alle Aktivitäten müssen gut verstanden sein
– Aktivitäten gut dokumentieren und absichern
– Videoaufzeichnung oder Vier Augen-Prinzip
– Abwägen der Vor- und Nachzeile notwendig
• Angaben des Systems kann nicht vertraut werden
– Kernel-Modifikationen, Rootkits, Malware, ...
– Manche Rootkits hinterlassen keine Spuren auf der Festplatte
– Zuverlässige Rootkit-Erkennung a posteriori möglich
• Benötigt aber Schnappschuss des laufenden Systems (schwierig)
Seite 12
Cold Boot Attack / Firewire
• RAM verliert Inhalt nicht sofort
– Inhalt des Speichers geht also nicht sofort verloren
– Inhalt kann länger durch Kühlung konserviert werden
– Kann auch benutzt werden, um Schlüssel aus dem Speicher
zu extrahieren
– Video: http://citp.princeton.edu/memory/
• Firewire ermöglicht direkten Zugriff auf den Speicher
– DMA ist Feature von Firewire
– Kann sowohl zum Lesen als auch Schreiben benutzt werden
– Kann auch benutzt werden, um beispielsweise einen
Speicherabzug zu erstellen (z.B. mit Hilfe eines iPods)
– Arbeit von Dornseif et al.
Seite 13
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail
– Spuren im WWW
• Zusammenfassung
Seite 14
Quellen
•
•
•
•
Server Logs
Firewall und IDS Logs
Anmeldeinformationen
Netflow Informationen
• Wichtig zur ...
–
–
–
–
Zuordnung von Aktivitäten zu einem Loginnamen
Zuordnung von IP-Adressen zu Rechnern (DHCP, ARP)
Bestimmung von (Angriffs-)Zeitpunkten
...
Seite 15
Zuordnung PC zu Person
• Oft erwünscht: Nachweis, dass eine bestimmte
Person etwas mit dem Rechner gemacht hat
– Beispielsweise E-Mail-Schreiben oder E-Bay-Bieten
• Verbindungsdaten (IP-Adresse) weisen auf Rechner
hin
• Logindaten weisen auf Benutzerkennung hin
• Zusätzliche (nicht-digitale) Spuren weisen auf Person
hin
– Alibi, Zeugenaussagen, Gebäudeüberwachung, etc.
Seite 16
„Preemptive Forensik”
• Sammeln von Spuren ohne konkreten Verdacht im
Voraus
– Vorratsdatenspeicherung
– Sehr dünnes Eis wegen Datenschutz
– Aktuell: Klage vor dem Bundesverfassungsgericht
• Wichtiger Unterschied:
– Kommunikationsdaten: Inhalt einer Verbindung
– Verbindungsdaten: End- und Zeitpunkte einer Verbindung
Seite 17
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail
– Spuren im WWW
• Zusammenfassung
Seite 18
Mail Spoofing
sonic:~ freiling$ telnet localhost 25
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
telnet: connect to address 127.0.0.1: Connection refused
telnet: Unable to connect to remote host
sonic:~ freiling$ telnet rumms.uni-mannheim.de 25
Trying 134.155.50.52...
Connected to rumms.uni-mannheim.de.
Escape character is '^]'.
220 SMTPSERVER ESMTP der UNIVERSITAET MANNHEIM; Tue, 15 May 2007 23:09:57 +0200 (MEST)
HELO mail.hotmail.com
250 rumms.uni-mannheim.de Hello sonic.informatik.uni-mannheim.de [134.155.88.225], pleased to meet you
MAIL FROM: <[email protected]>
250 2.1.0 <[email protected]>... Sender ok
RCPT TO: <[email protected]>
250 2.1.5 <[email protected]>... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
Hi Felix,
great lecture!
George
.
250 2.0.0 l4FL9viX022216 Message accepted for delivery
quit
221 2.0.0 rumms.uni-mannheim.de closing connection
Connection closed by foreign host.
sonic:~ freiling$
Seite 19
You have mail!
Date: Tue, 15 May 2007 23:09:57 +0200 (MEST)
From: [email protected]
Message-Id: <[email protected]>
To: undisclosed-recipients:;
X-Virus-Scanned: amavisd-new at staffmail.uni-mannheim.de
Status: O
Content-Length: 33
Lines: 4
Hi Felix,
great lecture!
George
Seite 20
Mail Header
From [email protected] Tue May 15 23:11:33 2007
Return-Path: <[email protected]>
Received: from murder ([unix socket])
by imap.uni-mannheim.de (Cyrus v2.2.12) with LMTPA;
Tue, 15 May 2007 23:11:33 +0200
X-Sieve: CMU Sieve 2.2
Received: from localhost (localhost [127.0.0.1])
by staffmail.uni-mannheim.de (Postfix) with ESMTP id 9BC0B4BEA4
for <[email protected]>; Tue, 15 May 2007 23:11:33 +0200 (CEST)
Received: from staffmail.uni-mannheim.de ([127.0.0.1])
by localhost (mail-v71.rz.uni-mannheim.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 22699-08 for <[email protected]>;
Tue, 15 May 2007 23:11:32 +0200 (CEST)
Received: from rumms.uni-mannheim.de (rumms.uni-mannheim.de [134.155.50.52])
by staffmail.uni-mannheim.de (Postfix) with ESMTP id DE3823FC71
for <[email protected]>; Tue, 15 May 2007 23:11:32 +0200 (CEST)
Received: from mail.hotmail.com (sonic.informatik.uni-mannheim.de [134.155.88.225])
by rumms.uni-mannheim.de (8.13.8/8.13.8) with SMTP id l4FL9viX022216
for <[email protected]>; Tue, 15 May 2007 23:11:03 +0200 (MEST)
Date: Tue, 15 May 2007 23:09:57 +0200 (MEST)
From: [email protected]
[...]
Seite 21
Mail Struktur
• Envelope
– Wird oft als „Header“ bezeichnet
• Eigentliche Mail (mit Header und Body)
–
–
–
–
From:
To:
Subject:
eigentliche Mail
• Für die Zustellung ist nur der Envelope wichtig
– Envelope wird bei den meisten Mailern nicht angezeigt
• Anzeige der Header in (fast allen) Mailern:
– http://www.spamcop.net/fom-serve/cache/19.html
Seite 22
Lesen des Envelopes
• „Return-Path“ ist das, was bei „MAIL FROM:“ angegeben wurde
• „Received:“ Zeilen sind Zustellvermerke
–
–
–
–
Werden durch Mailserver jeweils vorne angefügt
Für die Rückverfolgung also von hinten nach vorne lesen
Erster Eintrag ist der eigene Mailserver
Empfänger in Zeile i ist Sender in Zeile i-1
• Received-Zeilen können auch beliebig gefälscht sein
– Spammer fügen oft vor „ihrer“ ersten Received-Zeile eine Reihe
von gefälschten Zeilen ein
• Wo beginnen die „echten“ Zeilen?
– Auf kleine Inkonsistenzen achten
– Aber auch Gewohnheiten von großen Mailversendern
– Gutes Diplomarbeitsthema
Seite 23
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail
– Spuren im WWW
• Zusammenfassung
Seite 24
Organisation des IP-Adressraums
• IP-Adressraum wird von der IANA verwaltet
– Internet Assigned Numbers Authority, www.iana.org
• Verwaltung mittlerweile delegiert an regionale
Registrare
• Die wichtigsten sind:
– ARIN: American Registry for Internet Numbers
– APNIC: Asia Pacific Network Information Center
– RIPE NCC: Réseaux IP Européens Network Coordination
Center
• Verwalten eine verteilte Datenbank über
– IP-Adresszuordnungen (DNS) und
– Besitzerinformationen (whois)
Seite 25
dig
dig - DNS lookup utility
SYNOPSIS
dig [@server] [-b address] [-c class] [-f filename] [-k filename]
[-p port#] [-t type] [-x addr] [-y name:key] [-4] [-6] [name]
[type] [class] [queryopt...]
dig [-h]
dig [global-queryopt...] [query...]
DESCRIPTION
dig (domain information groper) is a flexible tool for interrogating
DNS name servers. It performs DNS lookups and displays the answers that
are returned from the name server(s) that were queried. Most DNS
administrators use dig to troubleshoot DNS problems because of its
flexibility, ease of use and clarity of output. Other lookup tools tend
to have less functionality than dig.
Seite 26
dig
$ dig ix.de
;; QUESTION SECTION:
;ix.de.
IN
A
;; ANSWER SECTION:
ix.de.
85466
IN
A
;; AUTHORITY SECTION:
ix.de.
85466
ix.de.
85466
ix.de.
85466
IN
IN
IN
NS ns.heise.de.
NS ns.pop-hannover.de.
NS ns2.pop-hannover.net.
;; ADDITIONAL SECTION:
ns.pop-hannover.de.
9336IN
ns2.pop-hannover.net. 171336
A
IN
193.99.144.80
193.98.1.200
A
62.48.67.66
;; Query time: 2 msec
;; SERVER: 134.155.50.51#53(134.155.50.51)
Seite 27
Beispiel: Reverse DNS Lookup
; <<>> DiG 9.3.2 <<>> @ns.kloth.net 225.88.155.134.in-addr.arpa ANY
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42245
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;225.88.155.134.in-addr.arpa. IN ANY
;; ANSWER SECTION: 225.88.155.134.in-addr.arpa. 172731 IN PTR
sonic.informatik.uni-mannheim.de.
;;
;;
;;
;;
Query time: 0 msec
SERVER: 88.198.39.133#53(88.198.39.133)
WHEN: Wed May 16 00:11:05 2007
MSG SIZE rcvd: 91
Seite 28
Whois
NAME
whois -- Internet domain name and network number directory service
SYNOPSIS
whois [-aAbdgiIlmQrR6] [-c country-code | -h host] [-p port] name ...
DESCRIPTION
The whois utility looks up records in the databases maintained
by several Network Information Centers (NICs).
• Liefert
– Domaininhaber
– Adminstrativer Ansprechpartner
– Technischer Ansprechpartner
Seite 29
Domain:
Domain-Ace:
Nserver:
Nserver:
Nserver:
Status:
Changed:
ix.de
ix.de
ns.heise.de
ns.pop-hannover.de
ns2.pop-hannover.net
connect
2008-09-09T13:40:30+02:00
[Holder]
Type:
Name:
Address:
Address:
Pcode:
City:
Country:
Changed:
ORG
Heise Zeitschriften Verlag GmbH & Co. KG
Redaktion iX
Helstorferstrasse 7
30625
Hannover
DE
2007-11-26T15:10:02+01:00
Seite 30
traceroute
traceroute -- print the route packets take to network host
SYNOPSIS
traceroute [-dFISdnrvx] [-f first_ttl] [-g gateway] [-i iface]
[-M first_ttl] [-m max_ttl] [-P proto] [-p port] [-q nqueries]
[-s src_addr] [-t tos] [-w waittime] [-z pausemsecs] host
[packetsize]
DESCRIPTION
The Internet is a large and complex aggregation of network hardware, connected together by gateways. Tracking the route one's packets follow (or
finding the miscreant gateway that's discarding your packets) can be difficult. Traceroute utilizes the IP protocol `time to live' field and
attempts to elicit an ICMP TIME_EXCEEDED response from each gateway along
the path to some host.
The only mandatory parameter is the destination host name or IP number.
The default probe datagram length is 40 bytes, but this may be increased
by specifying a packet size (in bytes) after the destination host name.
Seite 31
traceroute
$ traceroute google.de
traceroute: Warning: google.de has multiple addresses; using 74.125.77.104
traceroute to google.de (74.125.77.104), 64 hops max, 40 byte packets
1 mannhattan2.rz.uni-mannheim.de (134.155.80.200) 0.762 ms 0.290 ms 0.282 ms
2 Mannheim1.belwue.de (129.143.55.121) 0.815 ms 0.206 ms 0.191 ms
3 Karlsruhe1.belwue.de.in-addr.arpa (129.143.1.173) 1.549 ms 1.201 ms 1.219 ms
4 Frankfurt1.belwue.de (129.143.1.178) 3.690 ms 3.976 ms 3.832 ms
5 de-cix10.net.google.com (80.81.192.108) 5.139 ms 4.781 ms 4.661 ms
6 209.85.255.170 (209.85.255.170) 5.124 ms 209.85.255.172 (209.85.255.172) 5.020 ms
5.019 ms
7 209.85.248.182 (209.85.248.182) 29.971 ms 209.85.250.140 (209.85.250.140) 13.883 ms
12.711 ms
8 209.85.248.79 (209.85.248.79) 14.880 ms 14.420 ms 72.14.233.114 (72.14.233.114)
16.174 ms
9 209.85.255.143 (209.85.255.143) 15.516 ms 72.14.239.197 (72.14.239.197) 15.167 ms
209.85.255.143 (209.85.255.143) 15.760 ms
10 209.85.255.106 (209.85.255.106) 16.098 ms 26.905 ms 209.85.255.102 (209.85.255.102)
26.060 ms
11 ew-in-f104.google.com (74.125.77.104) 15.671 ms 15.555 ms 16.877 ms
Seite 32
IP Geolocation
• Geolocation ordnet einer IP-Adresse ihre
geographische Position zu
• IP-Adressen haben oft zwar keine feste Zuordnung zu
Rechnern, aber immer einen Besitzer
• Besitzerinformationen können zur Eingrenzung des
Ortes dienen (Stadt, Region, Land)
Seite 33
Seite 34
Dienste im WWW
•
•
•
•
DIG: http://www.kloth.net/services/dig-de.php
Whois: http://www.denic.de/de/whois/index.jsp
traceroute: http://clez.net/net.traceroute
Geolocation:
– http://www.geoiptool.com
– http://maxmind.com
– http://hostip.info
• Domain-Infos:
– http://domaintools.com
– http://sitedossier.com
– http://www.robtex.com
Seite 35
Domain Name System
•
•
•
•
Wiederholung: Domain Name System ist
“Wörterbuch” zur Übersetzung von IP-Adressen zu
Namen
Beispiel: www.heise.de <-> 193.99.144.85
Reverse DNS liefert zu einer gegebenen IP-Adresse
die Domain
Beispiel: $ host 193.99.144.85
85.144.99.193.in-addr.arpa domain name pointer www.heise.de.
•
Oft ist aber auch interessant zu wissen, welche
anderen Domains zu einer gegebenen IP-Adresse
gehören
Seite 36
Passive DNS-Replikation
•
•
•
Passive DNS-Replikation: Aufzeichnen aller
Zuordnung von Domain zu IP-Adressen
Ermöglicht Auffinden weiterer Informationen zu
gegebener IP-Adresse oder Domain
Interface:
http://www.bfk.de/bfk_dnslogger_de.html
Seite 37
Beispiel
Seite 38
traceroute
Seite 39
Seite 40
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail
– Spuren im WWW
• Zusammenfassung
Seite 41
Google
•
Durch spezielle Modifikatoren kann man die Google-Suche verfeinern
– filetype:abc
• Suche einschränken auf Dateien mit Endung abc
– site:foo.com
• Suche beschränken auf Domain foo.com
– intext:foo
• Klassische google-Suche: foo irgendwo im Text der Seite
– intitle:foo
• Seiten, die foo im Titel haben
– inurl:foo
• Seiten, die foo in der URL haben
– link:www.foo.com
• Seiten, die auf www.foo.com verlinken
– cache:www.foo.com/bar.html
• Seite im google cache
•
Siehe: http://www.google.com/help/operators.html
Seite 42
Seite 43
Seite 44
Seite 45
Seite 46
archive.org
• „Internet-Archiv”
• Non-profit Organisation in den USA
• Ziel: Aufbewahren regelmäßiger Schnappschüsse des
Internet für die Nachwelt
• Wayback Machine: Zugang zum Schnappschussarchiv
• http://www.archive.org
• Im Gegensatz zum Google Cache ist archive.org
persistent, dafür aber langsamer
Seite 47
Seite 48
Seite 49
“People Search”
•
•
•
Suchmaschine zum Finden von Informationen zu
Person
–
http://www.123people.de/
–
http://www.yasni.de
–
http://pipl.com/
–
http://www.spock.com/
Indiziert Informationen von Webseiten, Social
Networks, Telefonbücher, Fotos, ...
Kann sehr detaillierte Informationen zu einer
Person liefern
Seite 50
Beispiel
Seite 51
Beispiel
Seite 52
Analyse von Browsern
•
Logdaten des Browsers enthalten häufig
interessante Informationen
–
–
–
•
Wann wurde welche Seite besucht?
Rekonstruktion des zeitlichen Verlaufs
Einwirkung von Außen? Malware
Beispiel: Fall Julie Amero
Vertretungslehrerin wird angezeigt weil während der
Unterrichtsstunde pornographische Bilder auf dem PC
im Klassenzimmer angezeigt werden
–
Schuldfrage unklar, war es Julie Amero, ein Schüler
oder Pop-Ups?
–
URLs eingetippt, geklickt oder automatisch
aufgerufen?
http://www.sunbelt-software.com/ihs/alex/julieamerosummary.pdf
–
Seite 53
Übersicht
•
•
•
•
Live Response
Spuren im Internet
– Mail und News
– Spuren im WWW
• Zusammenfassung
Seite 54
Zusammenfassung
• Sammlung flüchtiger Spuren ist besonders schwierig
• Insbesondere Spuren im Netz sind sehr vielfältig
– Thema bei weitem nicht vollständig behandelt
• Noch viel Arbeit für die Wissenschaft:
– Klassifikation von Spuren im Netz
– Standardvorgehen zur Sicherung von Spuren
– Methoden der Suche und Korrelation
• Im Internet liegen viele Schätze verborgen
Seite 55
Communications of the ACM, 48(8), 2006
Ausblick
• Noch offen
• Gibt es konkrete
Wünsche?
Name und Datumwww.uni-mannheim.de
Seite 56

Spuren im WWW

Transcription

Similar documents

Ankündigungen 16. Mai 2007

Übersicht

Folie 1

umsatzverkürzung mittels elektronischer kassensysteme

PDF Version

Rekord und Premiere

Der Bundestrojaner - Fakultät für Mathematik und Informatik