Enviar pesquisa
Carregar
Digital Forensics – die Jagd nach digitalen Spuren
•
0 gostou
•
1,248 visualizações
Digicomp Academy AG
Seguir
Referat am Hacking Day 2014 von Christoph Baumgartner, CEO & Owner der OneConsult GmbH
Leia menos
Leia mais
Internet
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 39
Baixar agora
Baixar para ler offline
Recomendados
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
Digicomp Academy AG
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
NETFOX AG
6 jürg fischer it forensics in virtuellen umgebungen
6 jürg fischer it forensics in virtuellen umgebungen
Digicomp Academy AG
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
Torben Haagh
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-Media
Alexander Volk
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis
Torben Haagh
Computer forensics
Computer forensics
Shreya Singireddy
Recomendados
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
Digicomp Academy AG
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
NETFOX AG
6 jürg fischer it forensics in virtuellen umgebungen
6 jürg fischer it forensics in virtuellen umgebungen
Digicomp Academy AG
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
Torben Haagh
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-Media
Alexander Volk
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis
Torben Haagh
Computer forensics
Computer forensics
Shreya Singireddy
computer forensics
computer forensics
Vaibhav Tapse
Computer forensics toolkit
Computer forensics toolkit
Milap Oza
Firewall configuration
Firewall configuration
Nutan Kumar Panda
computer forensics
computer forensics
samantha jarrett
Introduction to computer forensic
Introduction to computer forensic
Online
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Soumen Debgupta
Computer forensics
Computer forensics
Lalit Garg
Computer +forensics
Computer +forensics
Rahul Baghla
Computer forensics
Computer forensics
Sarwar Hossain Rafsan
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
Computer forensics
Computer forensics
deaneal
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
prashant3535
Digital forensics
Digital forensics
Roberto Ellis
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Somya Johri
Computer forensics ppt
Computer forensics ppt
Nikhil Mashruwala
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Sonali Parab
Android smartphones und sicherheit
Android smartphones und sicherheit
Digicomp Academy AG
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
Incident response
Incident response
Digicomp Academy AG
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
Datensicherheit fuer Dummies
Datensicherheit fuer Dummies
Sven Pruser
Mais conteúdo relacionado
Destaque
computer forensics
computer forensics
Vaibhav Tapse
Computer forensics toolkit
Computer forensics toolkit
Milap Oza
Firewall configuration
Firewall configuration
Nutan Kumar Panda
computer forensics
computer forensics
samantha jarrett
Introduction to computer forensic
Introduction to computer forensic
Online
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Soumen Debgupta
Computer forensics
Computer forensics
Lalit Garg
Computer +forensics
Computer +forensics
Rahul Baghla
Computer forensics
Computer forensics
Sarwar Hossain Rafsan
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
Computer forensics
Computer forensics
deaneal
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
prashant3535
Digital forensics
Digital forensics
Roberto Ellis
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Somya Johri
Computer forensics ppt
Computer forensics ppt
Nikhil Mashruwala
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Sonali Parab
Destaque
(16)
computer forensics
computer forensics
Computer forensics toolkit
Computer forensics toolkit
Firewall configuration
Firewall configuration
computer forensics
computer forensics
Introduction to computer forensic
Introduction to computer forensic
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Computer forensics
Computer forensics
Computer +forensics
Computer +forensics
Computer forensics
Computer forensics
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Computer forensics
Computer forensics
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
Digital forensics
Digital forensics
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Computer forensics ppt
Computer forensics ppt
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Semelhante a Digital Forensics – die Jagd nach digitalen Spuren
Android smartphones und sicherheit
Android smartphones und sicherheit
Digicomp Academy AG
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Digicomp Academy AG
Incident response
Incident response
Digicomp Academy AG
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Digicomp Academy AG
Owasp mobile top 10
Owasp mobile top 10
Digicomp Academy AG
Datensicherheit fuer Dummies
Datensicherheit fuer Dummies
Sven Pruser
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
Marc Oliver Thoma
Vortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation Wartezeit
Werner Hoffmann
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
drjochendeppemsc
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
cynapspro GmbH
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
cynapspro GmbH
Regelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Boris Adryan
Datensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfen
MartinSchaflechner
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Hans Pich
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
go4mobile ag
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Research
Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!
Björn Schießle
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack GmbH
iOS Security
iOS Security
Digicomp Academy AG
Semelhante a Digital Forensics – die Jagd nach digitalen Spuren
(20)
Android smartphones und sicherheit
Android smartphones und sicherheit
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
Incident response
Incident response
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Owasp mobile top 10
Owasp mobile top 10
Datensicherheit fuer Dummies
Datensicherheit fuer Dummies
Sicherheit im Internet - Vortrag Weserkurier Bremen
Sicherheit im Internet - Vortrag Weserkurier Bremen
Vortrag Algorithmus Aufzug Innovation Wartezeit
Vortrag Algorithmus Aufzug Innovation Wartezeit
Zum Stand der dentalen digitalen Abformung
Zum Stand der dentalen digitalen Abformung
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro endpoint data protection 2011 step by-step anleitung device pro und...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Cynapspro Endpoint Data Protection 2011 - Step By Step Anleitung DevicePro un...
Regelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Datensicherheit, tracking & sicheres surfen
Datensicherheit, tracking & sicheres surfen
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Zero Trust - Never Trust, Always Verify
Zero Trust - Never Trust, Always Verify
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
SBA Live Academy - Remote Access – Top Security Challenges, Part 1 - Günther ...
Owncloud - Meine Daten gehören mir!
Owncloud - Meine Daten gehören mir!
Kroll Ontrack Datenverfügbarkeit
Kroll Ontrack Datenverfügbarkeit
iOS Security
iOS Security
Mais de Digicomp Academy AG
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
Was ist design thinking
Was ist design thinking
Digicomp Academy AG
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
General data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
Mais de Digicomp Academy AG
(20)
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Minenfeld IPv6
Minenfeld IPv6
Was ist design thinking
Was ist design thinking
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
General data protection regulation-slides
General data protection regulation-slides
Digital Forensics – die Jagd nach digitalen Spuren
1.
© 2014 OneConsult
GmbH www.oneconsult.com Digital Forensics – Christoph Baumgartner - CEO & Inhaber - OneConsult GmbH Hacking Day 2014 – Datenschutz die Jagd nach digitalen Spuren 11. Juni 2014
2.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 2
3.
© 2014 OneConsult
GmbH www.oneconsult.com Über mich → Christoph Baumgartner → Studium der Wirtschaftsinformatik Universität Zürich (MSc UZH IS) → Seit 1996 Berater in den Bereichen IT Security und Strategie: Spezialgebiete: ◦ Konzeptionelle Security Audits ◦ Sicherheitsrichtlinien und -konzepte ◦ Digital Forensics → Gründer der OneConsult GmbH im Jahr 2003 → Seither CEO und Inhaber → ISECOM Board Member Vorstellung 3
4.
© 2014 OneConsult
GmbH www.oneconsult.com OneConsult GmbH → IT Security Consulting → Kein Verkauf von Hard- und Software → Kunden ◦ Mehr als 200 Unternehmen in der Schweiz, Europa und Übersee (inklusive ein Dutzend der «Fortune Global 500 Corporations») ◦ Kunden gleichmässig auf alle Branchen verteilt (Finanz-, Pharma-, Industrie-Branche sowie öffentliche Verwaltungen (Bund, Kantone und Städte)) → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Weitere Büros in München (Deutschland) und Wien (Österreich) 4 Vorstellung
5.
© 2014 OneConsult
GmbH www.oneconsult.com Dienstleistungsportfolio Vorstellung 5 Training (2 zertifizierte OSSTMM Trainer) Security Consulting Technische Security Audits (12 zertifizierte Penetration Tester / Security Analysten z.B. OPST & OSCP) Konzeptionelle Security Audits (3 zertifizierte ISO/IEC 27001 Lead Auditors) Digitale Forensik (4 köpfiges Team: 2 SANS-zertifizierte GCFE Forensiker) Security Services
6.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 6
7.
© 2014 OneConsult
GmbH www.oneconsult.com Darum geht es bei der Digitalen Forensik → Extraktion und Untersuchung von Daten auf digitalen Geräten, wie Computern, Mobiltelefonen, Druckern, Digitalkameras, Memory Sticks, etc. → Üblicherweise in Verbindung mit einer kriminellen Handlung mit dem Ziel, (gerichtsverwertbare) Beweise zu identifizieren und sicherzustellen → Es sollen Antworten auf folgende Fragen geliefert werden: ◦ Wer tat ◦ Was, ◦ Wann, ◦ Wo, ◦ Und wie (mittels Nutzung welcher Mittel/Schwachstellen)? Einleitung 7
8.
© 2014 OneConsult
GmbH www.oneconsult.com Potentielle Auslöser Beispiele für Vorfälle, die mittels Digitaler Forensik untersucht werden können, sind: → Datendiebstahl → Besitz und Verteilung von digitalen illegalen Inhalten → Malware-Befall → Hacker-Angriffe → Vorsätzliches Löschen von Daten → Industriespionage / Cyber Warfare → Betrug → Mobbing Einleitung 8
9.
© 2014 OneConsult
GmbH www.oneconsult.com Digital Forensics: Typen → Computer Forensics → Network Forensics → Mobile Forensics → Memory Forensics (z.B. für Malware Forensics) Einleitung 9
10.
© 2014 OneConsult
GmbH www.oneconsult.com Digital Forensics: Ansätze → Post-Mortem Analyse ◦ Zu untersuchendes System wurde bereits abgeschaltet: z.B. per Shut Down oder Stecker ziehen ◦ Arbeit an Arbeitskopie => weniger fehleranfällig → Live Response ◦ Arbeit am laufenden System › Systeme, welche nicht über einen längeren Zeitraum nicht zur Verfügung stehen dürfen (z.B. Mailservercluster bei Grosskonzern) › Systeme, deren Abschaltung zu irreversiblem Datenverlust führt (z.B. bei Mobile oder Memory Forensics) ◦ Fehleranfällig, da jede Aktivität (mit hoher Wahrscheinlichkeit) das Untersuchungsobjekt verändert Einleitung 10
11.
© 2014 OneConsult
GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Untersuchung durch Nicht-Strafverfolgungsbehörden (= private Untersuchungen) ◦ Müssen Datenschutzgesetz befolgen: so darf z.B. Untersuchung nicht von IT Abteilung initiiert werden (sondern üblicherweise durch HR in Kombination mit Vorgesetzten und Legal) ◦ Können nur Untersuchungen im eigenen «Hoheitsgebiet» bzw. dem des Auftraggebers (z.B. eigene Gebäude, eigene Infrastruktur, eigene Mitarbeitende) durchführen, nicht bei Dritten (z.B. Provider) Einleitung 11
12.
© 2014 OneConsult
GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Untersuchung durch Strafverfolgungsbehörden (= offizielle Ermittlungen, z.B. durch Polizei, Staatsanwaltschaft und deren Beauftragte): ◦ Werden in vielen Fällen erst aktiv, nachdem Anzeige erstattet wurde ◦ Können im Gegensatz zu privaten Untersuchungen via Gerichtsbeschluss bzw. Rechtshilfegesuch (Ausland) auch auf Daten/Systeme Dritter zugreifen bzw. deren Herausgabe einfordern ◦ Können ohne Einschränkung auf alle relevanten Daten zugreifen Einleitung 12
13.
© 2014 OneConsult
GmbH www.oneconsult.com Rechtliche Aspekte (Auswahl) → Es müssen bestimmte Kriterien bei der forensischen Untersuchung strikt eingehalten werden, damit die Resultate als Beweis vor Gericht voraussichtlich (liegt im Ermessen des Gerichts) anerkannt werden, z.B.: ◦ Integrität der Datenträger ◦ Nachvollziehbarkeit / lückenlose Dokumentation ◦ Vertrauenswürdigkeit der Gutachter / der eingesetzten Tools Einleitung 13
14.
© 2014 OneConsult
GmbH www.oneconsult.com Knackpunkte → Untersuchung kann publik werden (Medien) → Verhältnismässigkeit ◦ Berechtigter Verdacht vs. Rufmord ◦ Gerechtigkeitssinn vs. Image Schäden / (potentielle) Verluste → Erfolgswahrscheinlichkeit → Börsenkotierte Unternehmen sind verpflichtet über Sachverhalte zu informieren, welche einen Einfluss auf den Börsenkurs haben können: aber nur wenn ein Schaden entstanden ist → Es gibt keine Garantie, dass Beweise gefunden werden (nur Spurensuche) Einleitung 14
15.
© 2014 OneConsult
GmbH www.oneconsult.com Knackpunkte → Dilemma Security Incidents ◦ Entscheid ob › Möglichst rasch Normalzustand wiederherstellen › Oder ob man die Beweise sichern möchte für eine forensische Analyse (= dauert dann länger) ◦ Oft nicht oder erst spät erkennbar, ob möglicherweise eine strafbare Handlung vorliegt → Folge: die meisten Fälle enden nicht vor Gericht Einleitung 15
16.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 16
17.
© 2014 OneConsult
GmbH www.oneconsult.com Phasen: Übersicht → Briefing / Vorbereitung → Forensische Daten Akquisition → Datenanalyse → Dokumentation → Optional: Präsentation / Diskussion Formale Projektgliederung 17
18.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung → HR/Legal/Management initialisieren forensische Untersuchung → Ermittler (extern oder intern) werden mit der Untersuchung beauftragt und erhalten die nötigen Informationen → Tools werden ausgewählt und vorbereitet → Auftrag, Ziele, Projektrollen und jegliche Aktivitäten werden lückenlos dokumentiert Formale Projektgliederung 18
19.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung (Details) Diese Phase muss folgende Punkte abdecken → Was passierte bisher? ◦ Fakten ◦ Vermutungen → Was sind die Projektziele? ◦ Ansatz: › So rasch wie möglich zurück zum Normalbetrieb (reine Wiederherstellung => keine forensische Analyse = Projektabbruch) › Kurzanalyse (ohne Option rechtlich gegen Verursacher vorzugehen) › Gründliche Analyse (Wahrung aller rechtlichen Optionen) Formale Projektgliederung 19
20.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 1: Briefing / Vorbereitung (Details) ◦ Projektscope: › Erwartete Resultate und Lieferergebnisse › Welche Fragen sollen beantwortet werden › Systeme in / out of Scope → Anderes ◦ Projektteam ◦ Eskalationspfad ◦ Zeitplanung ◦ Abbruchkriterien ◦ … Formale Projektgliederung 20
21.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 2: Forensische Datenakquisition → Zu untersuchende Systeme und Datenträger sammeln bzw. bestimmen → Bei Post-Mortem Analyse: Forensische Kopien der Datenträger erstellen ◦ Forensische Tools verwenden, um binäre Manipulation der zu untersuchenden Datenträger (= Quelldatenträger) zu verhindern ◦ Kopien erstellen › Mindestens 1 für Archivzwecke und 1 als Arbeitskopie › Optional: 1 für den Auftraggeber, dass der mit den Daten weiterarbeiten kann ◦ Diese Aktivität kann abhängig von Speicherkapazität und nutzbaren Schnittstellen von 1 bis über 24 Stunden dauern! → Jeden Schritt dokumentieren Formale Projektgliederung 21
22.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 3: Datenanalyse → Analyse ◦ Bei Post-Mortem Analyse: Arbeitskopie(n) mit geeigneten Tools analysieren ◦ Bei Live Response: Originalsystem(e) mit geeigneten Tools analysieren ◦ Gemäss Projektauftrag nach Spuren suchen → Jeden Schritt dokumentieren Formale Projektgliederung 22
23.
© 2014 OneConsult
GmbH www.oneconsult.com Phase 4: Dokumentation Abzudeckende Punkte → Projektteam → Auftrag → Scope → Findings (inkl. Herleitung) → Timeline (was wann passierte) ◦ Projekttasks ◦ Findings → Ergebnisse / Beurteilung ◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen klar als solche bezeichnen ◦ Nur über Daten(spuren) nicht über Leute schreiben → Optional: Empfehlung → Eingesetzte Tools (inkl. Versionen) → Unterschrift des leitenden Forensikers → Optional: Screenshots (falls sinnvoll) Formale Projektgliederung 23
24.
© 2014 OneConsult
GmbH www.oneconsult.com Optional: Phase 5: Präsentation / Diskussion → Präsentation und Besprechung des Projekts und der Findings ◦ In einer neutralen und objektiven Art ◦ Fakten (keine Annahmen) nennen, keine Partei ergreifen, Meinungen klar als solche bezeichnen ◦ Nur über Daten(spuren) nicht über Leute sprechen → Optional: weitere Schritte besprechen Formale Projektgliederung 24
25.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 25
26.
© 2014 OneConsult
GmbH www.oneconsult.com Tools Tools 26
27.
© 2014 OneConsult
GmbH www.oneconsult.com Hardware → Write Blocker (benötigt Notebook / PC) → Forensic Duplicator (stand alone) → Forensic Workstation ◦ Laufwerke › Schnelle Laufwerke (Zugriffszeiten / Durchsatz) › Ausreichend Speicherplatz › Optimal: Kombination von SSDs und konventionellen Festplatten ◦ Schnelle CPU ◦ Viel RAM ◦ Optional: Datenträgerkopiergeräte Tools 27
28.
© 2014 OneConsult
GmbH www.oneconsult.com Software (Auswahl) → MoonSols DumpIt Werkzeug um den Arbeitsspeicher von Windows Systemen (32 und 64 Bit) zu sichern: http://www.moonsols.com/resources/ → Mandiant’s Memoryze Werkzeug zur Sicherung des Arbeitsspeichers von Windows Systemen (MemoryDD.bat) und für Arbeitsspeicheranalysen: http://www.mandiant.com/resources/download/memoryze/ Tools 28
29.
© 2014 OneConsult
GmbH www.oneconsult.com Software (Auswahl) → LiME Zur Sicherung des Arbeitsspeichers von Linux- und auf Android basierenden Systemen: https://code.google.com/p/lime-forensics/ → FTK Imager (Lite) Zum Sichern des Arbeitsspeichers von Windows Systemen, Erstellen und Betrachten von Festplattenabbildern: http://www.accessdata.com/support/product-downloads Tools 29
30.
© 2014 OneConsult
GmbH www.oneconsult.com Software (Auswahl) → Magnet Encrypted Disk Detector Erkennt mit TrueCrypt, PGP, Safeboot und Bitlocker verschlüsselte Datenträger unter Windows: http://info.magnetforensics.com/encrypted-disk-detector/ → Dcode Zur Decodierung von Zeitstempeln von verschiedenen Systemen, läuft unter Windows: http://www.digital-detective.co.uk/freetools/decode.asp Tools 30
31.
© 2014 OneConsult
GmbH www.oneconsult.com Software (Auswahl) → Volatility Framework Toolbox zur RAM Analyse, nahezu Betriebssystem- unabhängig, da Python-basiert: https://code.google.com/p/volatility/ → Event Log Explorer Zur Analyse von Event Logs unter Windows: http://www.eventlogxp.com/ Tools 31
32.
© 2014 OneConsult
GmbH www.oneconsult.com Software (Auswahl) Die renommiertesten kommerziellen Forensik Tool Suites (weltweit bei Behörden und Firmen im Einsatz): → AccessData Forensic Toolkit (FTK) http://www.accessdata.com/products/digital-forensics/ftk → Guidance Software EnCase Forensic http://www.guidancesoftware.com/ Tools 32
33.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 33
34.
© 2014 OneConsult
GmbH www.oneconsult.com Beispiele Praxisbeispiele 34 Start System aktiv? Ja Memory Dump mit FTK Imager erstellen Festplatte verschlüsselt oder RAID? Nein Stromzufuhr unter- brechen (Stecker ziehen und bei Notebooks zusätzlich Akku entfernen) Festplatte entfernen Festplatte lesbar? Spezialist beiziehen Nein Vergleich der Hash- Werte der Kopie(n) mit Original Sind die ermittelten Hash- Werte gleich? Verschlüsselt / RAID Im laufenden Betrieb mit FTK Imager (logisch oder physisch) Sicherungs- und Arbeitskopie erstellen Mit FTK Imager Arbeitskopie einbinden Erstellen einer Timeline mit Hilfe von log2timeline Auffälligkeiten Virenscanner? Genauere Analyse mit Virenscannern notwendig, (Timeline als Hilfe, Zeit vor und nach Infektion ist entscheidend) «Windows Prefetch» Dateien analysieren auf Arbeitskopie Genauere Analyse von «App Data» auf Arbeitskopie Analyse der Registrydaten auf Arbeitskopie Logfile Analyse (OS und AV) auf Arbeitskopie Analyse von Outlook Client auf Arbeitskopie Analyse der Webaktivität auf Arbeitskopie Ende Überprüfen ob Festplatte verschlüsselt ist (Tool:jadsoftware encrypted disk detector) Dokumentieren der Systemzeit und angemeldeter Benutzer Arbeitskopie der Festplatte erstellen (Tools: Write-Blocker oder Disk Duplicator) Verifikation Festplatte (Tool: FTK Imager, Write Blocker) Nein Ja Nein (ohne Verschlüsselung) Nein (mit Verschlüsselung) Arbeitskopie auf die Forensikwork-station kopieren Die Timelinemuss als generelles Hilfsmittel angeschaut werden und kann bei jedem Einzelschritt nach der Erstellung als Informationsquelle hinzugezogen werden. http://computer-forensics.sans.org/blog/2011/12/07/digital-forensic-sifting-super-timeline-analysis-and-creation Zu verwendendeBefehlsabfolge: # mount_ewf.py image.E01 /mnt/ewf # cd /mnt/ewf # log2timeline-sift -z Europe/Zurich -i IMAGE -win7 * use«log2timeline -z list» to all timelines. For CH use Europe/Zurich * Output is written to /cases/timeline-output-folder # l2t_process -b log2timelineoutputfile.txt 01-01-2014..12-31-2014 > output.csv Tool-Empfehlung: Prefetch Parser von TZWorks https://tzworks.net/prototype_page.php?proto_id=1 Überprüfen von %systemroot§system32config und NTUser.dat. Jeweils imBenutzerprofil zu finden BewährteTools für diesen Task: RegRipper oder Access Data Registry viewer Windows Eventlogs (%systemroot%system32winevtLogs) Antivirus Logs, produkteabhängig User Event logs BewährteTools zur Eruierung der Quelle: Mandiant WebHistorian oder NirsoftTools Bewährtes Tool: Kernel OST Viewer Auffällige eMails gefunden bei der Outlookanalyse? Überprüfung auf Mailserver ob auch andere Empfänger vom selben Absender eMails erhalten haben Überprüfen und validieren der Proxy Log-Dateien auf malwarespezifischen Datenverkehr Überprüfen und validieren der Firewall Log-Dateien auf malwarespezifischen Datenverkehr Auffällige Logeinträge auf Proxy, Firewall oder Emailserver? Quelle (eMailadresse oder Website) falls möglich sperren (Blacklisting) Umgebung des Vorfalls ausreichend dokumentieren Es wird empfohlen Fotos der Umgebung zu erstellen Weitere Punktedokumentieren: * laufende Prozesse auf System * offene Netzwerkverbindungen * geöffnete Dateien * ARP Caches und Routingtabellen * Zeit und Datum des Systems * Hardwarespezifikation (Model, SN) An diesem Punkt gilt es zu über- prüfen, ob die Festplatte lesbar ist. D.h: prüfen auf exotisches oder korruptes Dateisystem etc. Falls dieDaten lokal auf dem Forensikcomputer vorhanden sind, wird die genauere Analyse weniger Zeit in Anspruch nehmen aufgrund der verbesserten Systemleistung Anmerkung: Im laufenden Betrieb des Gerätes sind die Schlüssel noch im Speicher vorhanden, weshalb auf die sonst in verschlüsselter Form vorliegenden Daten auf der Festplatte zugegriffen werden kann. Erfahrungswerte (Beispiele): Bitlocker logische Partition kopieren PGP physische Partition kopieren Ja Anmerkung: Die Sicherungskopie (falls Originaldatenträger unverschlüsselt , dann den Originaldatenträger) versiegelt in einem Behälter oder einem Safe (aufden nur ein sehr eingeschränkter Personenkreis Zugriffhat) lagern, zur Verwendung für allfällige spätere juristische Aktivitäten (Beweismittel im rechtlichen Sinn) Antivirus (AV) Scanner starten gegen Arbeitskopie BewährteQuellen: Virustotal.com Malwr.com Applikationslogs analysieren betreffend ungewöhnlichen Einträgen Es wird empfohlen ein anderes Antivirus Produkt, als das bereits verwendete Standardprodukt zu verwenden Ja Ja Ja Ergebnisse dokumentieren JeglicheAktivitätenderindieforensischeUntersuchunginvolviertenPersonendetailliertdokumentieren(wer,was,wann,wieundwarum) Ja Sicherungskopie bzw. unverschlüsselter Originaldatenträger Strafverfolgung Arbeits- kopie > 75% Speicherkapazität Forensikwork- station? Nein Ja Nein Nein Nein Übergabe an CERT Team Prozess: Malware Forensics © OneConsult GmbH, 07.03.2014, V1.1
35.
© 2014 OneConsult
GmbH www.oneconsult.com Beispiele → Finanzunternehmen: Rufschädigung → Industriekonzern 1: Informationsvorsprung → Industriekonzern 2: Industriespionage → Medienunternehmen 1: Hacker-Attacke → Medienunternehmen 2: Hacker-Attacke → Energiekonzern: Mobbing → Detailhandelskonzern: Malware-Attacke Praxisbeispiele 35
36.
© 2014 OneConsult
GmbH www.oneconsult.com Agenda → Vorstellung → Einleitung → Projektgliederung → Tools → Praxisbeispiele → Do’s & Don’ts Agenda 36
37.
© 2014 OneConsult
GmbH www.oneconsult.com Do’s & Dont’s 1. Unrecht nicht mit Unrecht bekämpfen: sich immer an die Gesetze halten. Bei Unsicherheit: Rechtsdienst/-anwalt konsultieren 2. Den Personenkreis so klein wie möglich halten, welcher über die Untersuchung informiert ist 3. Analyse nicht an Originaldatenträgern durchführen (Ausnahme: Live Response) 4. Sämtliche Schritte und Aktivitäten lückenlos dokumentieren (Nachvollziehbarkeit) 5. Trennung der betroffenen Systeme (zu untersuchende Systeme und Systeme, welche für die Untersuchung benötigt werden) von den anderen Systemen im Netzwerk ((W)LAN/WAN) ̶ idealerweise dedizierter Raum (Forensic Lab) ohne Netzwerkverbindung Do’s and Don’ts 37
38.
© 2014 OneConsult
GmbH www.oneconsult.com Do’s & Dont’s 6. Falls möglich nur bekannte Forensik Tools einsetzen 7. Genau wissen, was und wie (Vorgehen und Tools) gemacht wird: falls nicht, interne oder externe Spezialisten beiziehen 8. Nur Fakten zählen ̶ keine Vermutungen als Fakten «verkaufen» 9. Argumentationskette muss schlüssig und komplett sein 10. Beurteilung ob gegen Gesetze oder organisationsinterne Weisungen verstossen wurde, ist nicht Aufgabe des mit der forensischen Analyse betrauten Personals Do’s and Don’ts 38
39.
© 2014 OneConsult
GmbH www.oneconsult.com © 2014 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit, Fragen? Christoph Baumgartner MSc UZH IS, OPST CEO & Owner christoph.baumgartner@oneconsult.com +41 79 256 25 25
Baixar agora