Folie 1

Transcription

Folie 1
Digitale Forensik
Schulung Bundespolizeiakademie
März 2009
Teil 11+12: Datenträgersicherung
(inklusive Übung)
Dipl-Inform Markus Engelberth
Dipl-Inform Christian Gorecki
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
Dr. Kay Schumann
Universität Bonn
Institut für Strafrecht
Name und Datumwww.uni-mannheim.de
Seite
Motivation
• Durchspielen des Sicherungsprozesses
• Normalerweise machen das die Tools (fast)
automatisch
• Trotzdem wichtig zu wissen, wie das geht
• Übung: Sicherung eines Datenträgers mit dd
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Übersicht
• Verwendung von dd
• Integritätssicherung
• Verwendung von BackTrack
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Sicherung mittels dd
• dd (disk dump) ist ein einfaches und flexibles
Werkzeug zum Sichern von Festplatten
– Kommandozeilenorientiert, viele Optionen
– Ursprünglich aus der Unix-Welt, aber auch WindowsVersionen verfügbar
• dd kopiert Datenblöcke von einer Datei in die andere
– dd kümmert sich nicht um die Daten, die kopiert werden
– dd kennt keine Dateisysteme, nur Dateien
– In Unix ist alles eine Datei
– Standard-Blockgröße ist 512 Byte, sollte jedoch immer
explizit angegeben werden (nicht auf Standardverhalten
verlassen)
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Beispiel
• Parameter:
– Quelle (input file): if=...
• Falls keine Quelle angegeben, wird Standardeingabe verwendet
– Ziel (output file): of=...
• Falls kein Ziel angegeben, wird Standardausgabe verwendet
– Blockgröße (block size): bs=...
• Beispiel:
– dd if=file1.dat of=file2.dat bs=512
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Quellen
• In Linux gibt es für jedes Speichermedium und jede
Partition eine Gerätedatei in /dev
– Beispiel: ATA Master auf erstem Kanal ist /dev/hda
• In Windows benutzt man die Notation \\.\
– Beispiel: \\.\PhysicalDrive0
• Blocksize kann beliebig sein (Anzahl von Bytes)
–
–
–
–
Von 1 bis 1 GB, Platte liest aber immer einen Block
Parameter zu klein: Vergeudet Zeit beim Lesen
Parameter zu groß: Dauert lange, bis interne Puffer voll sind
Für schnelles Kopieren Werte zwischen 2K und 8K gut
[Carrier, p. 61]
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Ziele
• Ziel kann entweder eine neue Datei oder ein
Laufwerk sein
• Beispiele:
– dd if=/dev/hda of=/mnt/hda.dd bs=2k
– dd if=/dev/hda of=/dev/hdb bs=2k
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Standardausgabe
• Wenn kein Ziel angegeben wird, dann wird die
Standardausgabe verwendet
– Verwenden weiterer Tools zur Analyse möglich
• Beispiele:
– MD5-Summen: md5sum
– Lesbare Zeichenfolgen extrahieren: strings
– Daten über das Netzwerk schicken: ssh, netcat, cryptcat
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Netcat
• Netcat und Cryptcat sind Werkzeuge zum
(verschlüsselten) Senden von Daten über das Netz
• Beispiel: forensische Workstation mit IP 10.0.0.1
• Einen Port aufmachen, eingehende Daten in eine
Datei schreiben
– nc -l -p 7000 > disk.dd
• Auf dem untersuchten Rechner von CD Booten und
Ausgabe von dd über das Netz schicken
– dd if=/dev/hda bs=2k | nc -w 3 10.0.0.1 7000
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Hash-Summen
• md5sum
– Berechnet MD5 einer Datei
• md5deep: http://md5deep.sourceforge.net/
– Berechnet MD5 eines Verzeichnisbaums
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Verwendung (Quelle: Dornseif)
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Alternativen zu dd
• dd ist sehr mächtig, hat aber auch Nachteile:
–
–
–
–
–
Überschreibt Ausgabedatei
Keine erneuten Leseversuche bei Lesefehlern
Keine Fortschrittsanzeige
Keine Netzwerkfähigkeit
Zu viele Features
• Alternativen:
– dd_rescue: http://www.garloff.de/kurt/linux/ddrescue/
• Kann mehrere Leseversuche unternehmen
• Kann „rückwärts“ lesen
• Fortschrittsindikator
– sdd: ftp://ftp.berlios.de/pub/sdd/README
• Deutlich schneller als dd, hilfreichere Ausgaben
– dcfldd: http://dcfldd.sourceforge.net/
• Hashing eingebaut
– pcopy: http://www.lysator.liu.se/~pen/pcopy/
• Peter‘s Disk-to-Disk Copying Tool
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Übersicht
• Verwendung von dd
• Integritätssicherung
• Verwendung von BackTrack
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Sichere Arbeitsumgebung
• Ideal: abgesicherte forensische Workstation mit
– viel Plattenplatz,
– vielen Laufwerken/Schnittstellen,
– und allen Tools, die man gerne hat.
• Falls nicht zur Verfügung, sind Live CDs eine gute
Wahl
– Kann man immer dabei haben
– Sollte immer eine aktuelle Version sein
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Live/Boot CDs
• Forensic and Incident Response Environment (F.I.R.E.)
– Als ISO-Image erhältlich, inkl. Sleuthkit, Autopsy, Incident
Response Tools, Virusscanner, Pentestsoftware
– Basiert auf Red Hat
– Hybrid-CD: auch lauffähige Windows-Tools enthalten
– http://sourceforge.net/projects/biatchux
• Knoppix Security Tools Distribution (STD)
– Gute Hardware-Erkennung, viele Security- und Forensiktools
– http://s-t-d.org/
• Incident Response & Forensics Live CD (Helix)
– http://www.e-fense.com/helix/
– Knoppix-basiert, Hybrid-CD
– Enthält alle gängigen Forensik-Tools
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Helix früher…
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Helix heute…
Quelle: http://www.e-fense.com/h3-enterprise.php
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Helix heute…
Quelle: http://www.e-fense.com/h3-enterprise.php
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Sleuthkit
• www.sleuthkit.org
• Sammlung von quelloffenen Kommandozeilentools
von Brian Carrier
– Zur Geschichte: http://www.sleuthkit.org/informer/sleuthkitinformer-1.html#design
• Ursprünglich eine Erweiterung des TCT (Coroners
Toolkit)
– Erlaubt auch Analyse von FAT und NTFS
– Für Experten mit Hintergrundwissen über Dateisysteme
• Jetzt auch Merchandise erhältlich
• Für Unix/Linux bzw. cygwin
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Sleuthkit Übersicht
• mmls: Ausgabe der Partitionstabelle eines Laufwerks
• fsstat: Dateisystemlayout anzeigen
• ffind: findet (auch gelöschte) Dateinamen, die auf eine
Metadatenstruktur (z.B. Inode) zeigen
• fls: listet alle Dateinamen im Verzeichnis (auch gelöschte)
• icat: wie bei TCT
• ifind: findet Metadaten mit gewünschten Eigenschaften
• ils: listet Metadatenstrukturen und ihre Inhalte
• istat: Übersicht über Metadateneintrag
• dcat: Extrahiert Inhalt eines Datenblocks
• dls: Informationen über Datenblöcke, kann auch alle unbelegten
Datenblöcke extrahieren
• dstat: Übersicht über Datenblock
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Autopsy
• HTML-basiertes grafisches Frontend zum Sleuthkit
• Open Source, geschrieben in Perl und C, auch von
Brian Carrier
– Mittlerweile starke Konkurrenz zu kommerziellen Produkten
• Features:
–
–
–
–
–
–
–
Case Management
Suchen nach Schlüsselwörtern auf der ganzen Platte
Prüfsummen-Datenbank
Dateitypanalyse (Befehl file)
Timeline-Analyse (Befehl mactimes)
Datenexport in verschiedene Formate
Unterstützung für das Anfertigen von Berichten (z.B. HistoryDatei, Notizmöglichkeit)
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Quelle: http://www.sleuthkit.org/autopsy/images/timeline1.gif
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Data Carver etc.
• Analysieren unbelegte Datenblöcke nach typischen
Mustern
– Dateiheader, -footer, interne Datenstrukturen
• Foremost
– Ursprünglich von der US Air Force entwickelt, jetzt frei
– http://foremost.sourceforge.net/
– Kann dd/Encase/XYZ-Images durchsuchen oder direkt die
Platte
• Gute und aktuelle Übersicht über weitere Tools auf
Alexander Geschonnecks Webseite zum Buch
– http://computer-forensik.org/tools/
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Verwendung von BackTrack
• BackTrack stellt die zuvor betrachteten Werkzeuge /
Programme bereit
• Wir haben BackTrack bereits ausprobiert
• Linux Exkurs
• Forensik mit BackTrack
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Zusammenfassung
• Verwendung von dd
• Integritätssicherung
• Verwendung von BackTrack
• Jetzt Übung...
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Erste Übung (leicht)
• Sie bekommen eine Diskette
• Fertigen Sie ein lokales dd-Image der Diskette an
• Prüfen Sie die Integrität des Images
• Sichern Sie anschliessend das Image über das Netz
mittels netcat
• Prüfen Sie wieder die Integrität
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Erste Übung (für Fortgeschrittene)
• Analysieren Sie die erstellten Images
–
–
–
–
Die notwenidgen Werkzeuge haben wir besprochen
Auf dem Image sind verschlüsselte Daten versteckt
Finden Sie diese Daten
Entschlüsseln Sie die Daten
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Communications of the ACM, 48(8), 2006
Ausblick
• Partitionen,
Dateisysteme
• Analyse weiterer
Images
• Fragen?
Name und Datumwww.uni-mannheim.de
Seite