Inhalt. Motivation. Forensik allgemein. Digitale Forensik. Delikte der Computerkriminalität. Angreifertypen und deren Absichten. Angriffsmethodiken

Transkript

1 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken Harald Baier Computerforensik h_da WS 2009/

2 Delikte der Computerkriminalität Delikte im eigentlichen Sinn: Eigene Computer-Straftatbestände im Strafgesetzbuch Beispiele: 202a StGB: Ausspähen von Daten 202b StGB: Abfangen von Daten... Delikte im erweiterten Sinn: Werden mit Hilfe von IT-Systemen begangen Beispiele: Beleidigung in einem Forum Erpressung Verbreitung von Kinderpornographie Harald Baier Computerforensik h_da WS 2009/

3 Delikte der Computerkriminalität lt. StGB 202a: Ausspähen von Daten (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. 202b: Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nicht öffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Harald Baier Computerforensik h_da WS 2009/

4 Delikte der Computerkriminalität lt. StGB 202c: Vorbereitung des Ausspähens und Abfangens von Daten (Hackerparagraph) (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. In Kraft seit und viel diskutiert Beispiel: Anzeige gegen das BSI (Verfahren eingestellt) Stichwort: Dual-Use-Tool Harald Baier Computerforensik h_da WS 2009/

5 Delikte der Computerkriminalität lt. StGB 263a: Computerbetrug (1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. 269: Fälschung beweiserheblicher Tatsachen (1) Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Harald Baier Computerforensik h_da WS 2009/

6 Delikte der Computerkriminalität lt. StGB 270: Täuschung im Rechtsverkehr bei Datenverarbeitung Der Täuschung im Rechtsverkehr steht die fälschliche Beeinflussung einer Datenverarbeitung im Rechtsverkehr gleich. 271, 274, 348: Urkundendelikte 271: Mittelbare Falschbeurkundung 274: Urkundenunterdrückung 348: Falschbeurkundung im Amt 303a: Datenveränderung (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Harald Baier Computerforensik h_da WS 2009/

7 Delikte der Computerkriminalität lt. StGB 303b: Computersabotage (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er 1. eine Tat nach 303a Abs. 1 begeht, 2. Daten ( 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar.... Harald Baier Computerforensik h_da WS 2009/

8 Delikte der Computerkriminalität lt. StGB 303b: Computersabotage... (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. einen Vermögensverlust großen Ausmaßes herbeiführt, 2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, 3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt 202c entsprechend. Harald Baier Computerforensik h_da WS 2009/

9 Polizeiliche Kriminalstatistik 2008 des BKA Jährliche Veröffentlichung der PKS durch BKA Erfassung von Straftaten durch Polizei in Deutschland (Offizielle) Ausgangsstatistik: Erfassungszeitpunkt = Aktenabgabe von Polizei an SA Tatzeitpunkt < Erfassungszeitpunkt Verzögerung in der zeitlichen Darstellung Aussagekraft? Abweichung erfasster zu begangenen Straftaten Hellfeld vs. Dunkelfeld Harald Baier Computerforensik h_da WS 2009/

10 Computerkriminalität in der PKS 2008 Harald Baier Computerforensik h_da WS 2009/

11 Polizeiliche Kriminalstatistik 2008 des BKA (2) Harald Baier Computerforensik h_da WS 2009/

12 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken Harald Baier Computerforensik h_da WS 2009/

13 Absichten der (digitalen) Angreifer Vergleichbar mit klassischer Kriminalität Finanzielle Motivation: Eigene Bereicherung Person: Direkter Profit für Angreifer Institution: Wirtschaftsspionage Finanzieller Schaden für Opfer Soziale Motivation: Anerkennung in einer Gruppe 'gleichgesinnter' Rache Harald Baier Computerforensik h_da WS 2009/

14 Absichten der (digitalen) Angreifer (2) Technische Motivation: Überwindung von Sicherheitsmaßnahmen Aufzeigen von Sicherheitslücken Politische Motivation: Schwächung des politischen Gegners Ggfls. Web-Defacement (Beispiel folgt gleich) Staatliche Motivation: Unterstützung der Spionagetätigkeit Oft auch für Wirtschaftsspionage Harald Baier Computerforensik h_da WS 2009/

15 Web-Defacement während 25C3 (Dez. 2008) Quelle: Harald Baier Computerforensik h_da WS 2009/

16 Fallbeispiel zur Angreifer-Motivation Ermittlung zu Account-Missbrauch im Internet Erfahrungsbericht der Ermittlungskommission INET Eckdaten: Beginn: Herbst 1999 Missbräuchliche Nutzung von Providerzugangskennungen von Provider im Münsterland Mehr als 3600 Tatverdächtige aus gesamtem Bundesgebiet Geschätzter Gesamtschaden: 1.5 Mio Mio. EUR BKA verschickt Fragebogen zu Motiven an lokale Ermittler Harald Baier Computerforensik h_da WS 2009/

17 BKA-Fragebogen zum Motiv der Tatverdächtigen (TV) Quelle: BKA Harald Baier Computerforensik h_da WS 2009/

18 BKA-Fragebogen zum Motiv: Ergebnisse Quelle: BKA Harald Baier Computerforensik h_da WS 2009/

19 Angriffsursprung Weltweite Vernetzung und dauerhaft laufende IT-Systeme: Angriffe von überall Angriffe zu jeder Zeit Bei Netzwerken von Institutionen: Angriff aus dem eigenen Netz: Interner Angriff Angriff 'von außen': Externer Angriff Harald Baier Computerforensik h_da WS 2009/

20 Angriffsursprung: Beispiel Web-basierte Angriffe Quelle: Symantec Internet Threat Report 2008 Typischerweise kompromittierte Server für Drive-by Download Angriff Ziel sind vertrauenswürdige, viel-frequentierte Server Harald Baier Computerforensik h_da WS 2009/

21 Angreifertypen Wichtiges Charakteristikum für Schutzmaßnahmen: Stärke des Angreifers Innen- vs. Außentäter: Zahlenverhältnis unklar Schutzmaßnahmen gegen beide Gruppen Innentäter: Person mit weiterführenden Kenntnissen über IT-Struktur führt Angriff durch. (Ehemalige) Mitarbeiter (IT-)Dienstleister Lieferant, Kunde,... Harald Baier Computerforensik h_da WS 2009/

22 Angreifertypen (2) Hacker: Versierter Angreifer zur Aufdeckung von Schwachstellen ohne finanzielles Eigeninteresse Cracker: Versierter Angreifer zur Aufdeckung von Schwachstellen mit finanziellem Eigeninteresse Skript-Kiddie: Unversierter Angreifer, der Exploits Dritter verwendet Sonstige: Geheimdienste Strafverfolgung Industriespionage durch Konkurrenten Harald Baier Computerforensik h_da WS 2009/

23 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken Harald Baier Computerforensik h_da WS 2009/

24 Erläuterungen Motivation: Forensiker sollte für verschiedene Angriffsszenarien typischen Ablauf kennen. Ziel: Einfachere Analyse und Bewertung der Spuren Konflikt: Erfahrung vs. Unvoreingenommenheit Fallbeispiel: Netz-basierter Systemeinbruch von außen Typischerweise in 6 Phasen untergliedert Phasen 1 bis 3 in Deutschland nicht strafbar (straflose Vorbereitungshandlungen) Harald Baier Computerforensik h_da WS 2009/

25 Phase 1: Footprinting Vorstufe eines Angriffs Ziel: Angreifer legt IP-Bereich seines Angriffs fest Gezielter vs. ungezielter Angriff: IP-Bereich einer Institution IP-Bereich eines Providers Hilfsmittel: DNS-Abfragen oder Suche im Whois ping (= ICMP Typ 8): Zielsystem erreichbar? traceroute (= ICMP Typ 30): Netzroute? Harald Baier Computerforensik h_da WS 2009/

26 Phase 2: Port- und Protokollscan Bekannt: Erreichbare Zielsysteme Ziel: Angreifer weiß, welche Ports auf den Zielsystemen offen sind und mit welchen Protokollen sie angesprochen werden. Hilfsmittel: nmap für Portscan Ergebnis der Phase 2: Für jedes Zielsystem Erreichbare TCP- und UDP-Ports Beantwortete ICMP-Requests Ggfls. weitere IP-basierte Protokolle Harald Baier Computerforensik h_da WS 2009/

27 Phase 3: Enumeration Bekannt: Erreichbare Zielsysteme und deren Dienste Ziel: Angreifer kennt die Server-Software und -Version Patchlevel Evtl. sogar Betriebssystem Hilfsmittel: Bannergrabbing und OS-Fingerprinting nessus für Port- und Protokollscan Aber auch Stellenausschreibungen, öffentliche Support- Foren, Projektreferenzen,... Harald Baier Computerforensik h_da WS 2009/

28 Phase 4: Einbruch Bekannt: Details über erreichbare Zielsysteme und deren Dienste Ziel: Angreifer kann unberechtigt auf System über eine gefundene Schwachstelle zugreifen Direkt als root Als nicht-privilegierter User Hilfsmittel: Schwachstelle in Anwendung Buffer-Overflow Anwendung akzeptiert unzulässige Eingaben Default-Passwort für Dienst unverändert Harald Baier Computerforensik h_da WS 2009/

29 Phase 5: Informationen sammeln Ziele: Angreifer kann unberechtigt über einen regulären Anmeldeprozess auf System zugreifen: Backdoor Informationen sammeln (auf lokalem Datenträger oder Eingaben/Netzwerkverkehr) Hilfsmittel: Neue Nutzer in Login-Dateien schreiben Versteckte Server-Prozesse Installation von trojanisierten Anwendungen oder Rootkits: Keylogger, Netzwerksniffer,... Rootkits (z.b. Linux Root Kit V mit trojanisierten Befehlen netstat, du, ps, ifconfig,...) Harald Baier Computerforensik h_da WS 2009/

30 Phase 6: Leise abtauchen Ziele: Spuren des Angriffs werden nicht gefunden Angreifer 'bleibt' auf System Angreifer verlässt System Hilfsmittel: Log-Dateien manipulieren Umleitung von System-Calls Ggfls. Wiederherstellung des Systems Harald Baier Computerforensik h_da WS 2009/