Der digitale Columbo – der Täter und die Methoden zur Beweissicherung
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Benjamin Meier.
Bei einer forensischen Untersuchung gilt es, strafbare, rechtswidrige oder sozialschädliche Handlungen aufzuklären. Dabei werden digitale Spuren untersucht, zusammengetragen und ausgewertet, um den Angreifer zu identifizieren.
Dem Täter auf der Spur mit den richtigen Methoden
Die IT-Forensik ist eine methodische Datenanalyse auf Datenträgern sowie in Datennetzwerken und dient zur Aufklärung von Vorfällen. Dabei lässt sich die IT-Forensik einordnen in die Post-mortem-Analyse und in die Live-Forensik.
Die Post-mortem-Analyse wird auch Offline-Analyse genannt. Ein Vorfall wird im Nachgang aufgeklärt. Dabei werden die Datenträger in einem bestimmten Zeitraum analysiert und ausgewertet. Der Kern dieser Analyse ist die Gewinnung von Informationen über gelöschte, geänderte, versteckte oder verschlüsselte Daten. Eine Live-Forensik, auch Online-Forensik oder Live-Response genannt, beginnt mit der Aufklärung während des Vorfalls. Hierbei wird der Fokus auf die Gewinnung und die Untersuchung von flüchtigen Daten gesetzt.
Die Erkenntnis der Daten lassen sich unabhängig von der Aufklärung und des zu untersuchenden Systems in folgende drei Datentypen eingliedern:
- Flüchtige Daten beschreiben Informationen, die beispielsweise beim Herunterfahren verloren gehen. Hierzu gehören bestehende Netzwerkverbindungen, laufende Prozesse und Hauptspeicherinhalte.
- Fragile Daten sind Informationen, die zwar gespeichert sind, sich jedoch bei einem unsachgemässen Zugriff verändern können.
- Temporäre Daten umfassen Informationen, die nur während der Laufzeit der IT-Systeme vorhanden und zugänglich sind.
Post-mortem-Analyse in der Praxis
Dieser Untersuchungsansatz beschäftigt sich mit der Analyse und Auswertung einer 1:1-Kopie eines Datenträgers. Meist handelt sich hierbei um Datenträger von Systemen, die bereits ausgeschaltet worden sind. Es soll vermieden werden, eine Untersuchung des originalen Datenträgers durchzuführen, weil die Gefahr besteht, die vorhandenen Spuren zu zerstören.
Mit der auf Windows basierten Software EnCase können beispielsweise Datenträger mit dem Dateisystem FAT, NTFS, EXT2/2/4, HFSplus oder auch UNIX eingebunden werden. Mit EnCase ist die Erstellung eines RAM-Abbildes ebenfalls möglich. Ist der zu untersuchende Datenträger eingebunden, können folgende Arbeiten durchgeführt werden. Die Aufzählung ist nicht abschliessend:
- Die Suche nach möglichen E-Mail-Postfächern und Archivdateien.
- Das Auslesen und das Wiederherstellen von Konversationen von Instant Messenger.
- Die Analyse und das Extrahieren von abgespeicherten Metadaten in digitalen Bildern.
- Das Identifizieren von Web-Mail-Inhalten aus dem Browser-Cache.
- Eine Auswertung der Verlaufsdatei von Internet Explorer und Mozilla Firefox.
- Die Untersuchung der Registry von windowsbasierten Systemen.
- EnCase unterstützt auch die Suche nach IP-Adressen, Telefonnummern oder Kreditkartennummern.
Live-Forensik/Live-Response in der Praxis
Wird eine Analyse von flüchtigen Daten bei aktiven, nicht heruntergefahrenen, Systemen notwendig, wird dieser Untersuchungsansatz angewendet. Dieser Ansatz wird auch dann verwendet, wenn die Gefahr besteht, dass nach dem Herunterfahren des Systems nicht mehr auf die Komponenten zugegriffen werden kann. Der Zugriff auf ein laufendes System ist dennoch die einzige Möglichkeit aufzuzeigen, ob das System angegriffen wurde oder ob gewisse Auffälligkeiten auf ein Rootkit oder schadhafter Software zu erkennen sind.
Nebst dem Vorteil der Beweissicherung von flüchtigen Daten gibt es auch die Herausforderung, dass der Befund nicht immer zweifelsfrei dargestellt werden kann. Wenn eine Analyse am verdächtigen System durchgeführt wird, kann durch die Handlungen das System verändert oder relevante Informationen können zerstört oder verschleiert werden.
Das Rootkit von heute
Ein Rootkit bezeichnet eine Sammlung von verschiedenen Schadprogrammen, die über eine Sicherheitslücke auf ein System zugreift und sich unbemerkt einnistet. Solche Rootkits können Systemdateien verändern oder die Kontrolle über das System erlangen. Hat es sich ausgebreitet und die entsprechenden Berechtigungen erlangt, versucht das Schadprogramm weiteren Code aus dem Internet nachzuladen oder benutzt das infizierte System als Übermittler von Schadprogramme.
Die Werkzeugkiste eines IT-Forensiker
Das National Institute of Standards and Technology (NIST) ist in den Vereinigten Staaten für Standardisierungsprozesse zuständig. Das NIST stellt zudem einen forensischen Werkzeugkatalog zur Verfügung, damit ein IT-Forensiker nach seinen technischen Bedürfnissen und spezifischen Funktionen ein Werkzeug suchen kann (https://toolcatalog.nist.gov/search/index.php).
Die grösste Herausforderung für ein forensisches Werkzeug ist der Umgang mit einer Verschlüsselung. Die heutigen kryptografischen Verfahren erschweren die Arbeit eines IT-Forensikers. Zwar existieren Werkzeuge, mit denen die Verschlüsselung angegriffen werden kann, dennoch ist es naheliegend, dass ein passender Alleskönner nicht veröffentlicht wird.
Fazit
Die IT-Forensik und ihre Methoden sind in der heutigen Zeit ein wesentlicher Bestandteil der Informatiksicherheit. Auch in einem Unternehmen leistet die IT-Forensik einen sehr wichtigen Beitrag in Bezug auf die Cyber-Security. Um so wichtiger ist auch das Verständnis aller Beteiligten, denn die forensischen Arbeiten fordern ein hohes Mass an Verantwortungsbewusstsein und sind dafür verantwortlich, die Risiken zu minimieren.
Autor: Benjamin Meier
https://download.gsb.bund.de/BSI/ITGSK/IT-Grundschutz-Kataloge_2016_EL15_DE.pdf
https://www.guidancesoftware.com/software?cmpid=nav_r
https://toolcatalog.nist.gov/index.php
https://toolcatalog.nist.gov/search/index.php
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)