file:///d:/tmp/digfor_midterm.html

Transkript

1 1 von :48 1. UseCases Im Rechtsvollzug: -Entscheidungshilfe für Richter -vom Gesetz vorgeschriebene Gutachten Beispiele -Brandstiftung an der WU -Stalking -Schutz geistigen Eigentums -Gefälschte Kündigung Im Betrieblichen Umfeld: -Lessons Learned, Wissensaufbau: Feststellung eines Tathergangs für zukünftige Prävention -Argumentationshilfe: ob Sachverhalt Tatsache ist oder so eintreten könnte -Klärung der Schuldfrage -Due Dilligence: Sorgfaltspflicht, Sicherheit meiner Systeme -Sicherung meines geistigen Eigentums Beispiele -Diebstahl geistigen Eigentums -Information Leakage -Funktionsprüfung oder Bewertung eines Systems -Unsachgemäße Verwendung von Arbeitsmitteln Aufwand nach Gartner: 2. Steganographie Steganographie: Verstecken von Daten in anderen Daten. In Medien mit hohem Rauschanteil: Bilder, Videos, Tondateien Watermarking, DRM Laserdrucker: Machine Identification Code, extrem kleine gelbe Punkte, identifizieren Drucker und Hersteller. Bilder Manipulation der Daten: -LeastSignificantBit ändern -Manipulation im Frequenzraum (DCT) -Tauschen von Pixeln Stegalyse Gegenmaßnahme zu Steganographie. -Quelle der Datei suchen -statistische Analyse -Frequenzanalyse Zerstören der Information durch: -Transformationen wie Rotation, Strecken, Stauchen Robustheit: Resistenz einer steganographischen Nachricht gegenüber -Manipulation -Fehlern Interessant z.b. für Wasserzeichen. Tools für Stegalyse stegdetect: erkennt gewisse Manipulationen, Wahrscheinlichkeit für Manipulation.

2 vernote Export von :48 stegbreak: führt Dictionary Attack auf Bilder aus. Tools für Steganographie steghide -Tauscht Pixel intelligent, um Nachricht unterzubringen -daher resistent gegen Frequenzanalyse -Versteckt Text in jpg, wav, bmp -speichert Text verschlüsselt c.a. 10% der Größe Nutzbar. jpegx, stegomagic, mp3stego, Steganos, JSteg, JPHide, Outguess, steghide Steganographic File System -plausible deniability -verwendet zufallsgefüllte Dateien, in denen die Daten versteckt werden Probleme: -Birthday Paradoxon: Dateien überschreiben sich gegenseitig -effizienz? -transparent für user? UI? Truecrypt Hidden Container, OTR, Rubberhose. Covert Channels Covert Channel: Versteckte Kommunikation -verhindert, dass Kommunikation entdeckt wird -eventuell auch, dass überhaupt kommuniziert wird Nushu: -erzeugt keinen eigenen Traffic, modifiziert vorhandenen -ISN (by design 32 bit random), SEQ & ACK Winnowing: -Nachricht wird in Pakete zerlegt, jedes bekommt Seriennummer und MAC -Es werden zusätzliche Pakete erstellt mit zufälligen MACs -nur mit geheimem Schlüssel kann man korrekte Pakete erkennen Nachteile -Angreifer kennt alle Nachrichten -Overhead kann signifikant sein 3. Anonymity Anonymität: bedeutet nicht identifizierbar, unbekannt Data Retention: Vorratsdatenspeicherung -Anzahl und Dauer von Telefonverbindungen -IP-Adressen mit Namen -IMSI & IMEI für Mobiltelefone Anonymity Set -Anonymität braucht eine Bezugsgruppe -Je größer, umso besser Formen der Anonymität: -Sender Anonymity -Receiver Anonymity -Anonymous Cash -Unlinkability: für bestimmte Nachrichten -Unobservability: für Kommunikation überhaupt Pseudonymität: griechisch für "fälschlich so genannt" Fingierte Namen = Pseudonyme zb -Spitznamen, Künstlernamen -Matrikelnummer - -Nickname -Kontonummer Anonymität im Internet: Probleme -hochdynamische Protokolle (HTTP), Interaktivität -Maschinelle Adressierungen -Designproblem: Auf welchem Layer ansetzen? Mix Kaskaden -Fixe Kette von Mixen -unterschiedliche Betreiber und Jurisdiktionen Onion Routing: -Nachricht wird mehrmals von Client verschlüsselt -Von Server zu Server geschickt -Jeder Server entschlüsselt seine Schicht -Erster Server sieht Quelle der Nachricht -Letzter Server sieht Inhalt und Ziel der Nachricht Dining Cryptographers

3 3 von :48 3 Kryptographen essen nach der Arbeit in einem Lokal, wollen zahlen. Es ist angeblich schon bezahlt. Wer hat bezahlt? Wollen herausfinden, wer gezahlt hat, aber Privatsphäre wahren. Dining Cryptographers Protokoll: Lösung -Jeder wirft mit Nachbarn eine Münze -berechnet XOR der beiden bits -Wenn er bezahlt hat negiert er das Ergebnis -Jeder berechnet XOR aller Ergebnisse Wenn -1: einer der Kryptographen hat gezahlt -0: jemand anderes hat gezahlt Onion Routing vs. Dining Cryptographers Protokoll -Multicast notwendig -Rundenbasiert -2 Kommunikationen notwendig -Bösartiger Sender kann Protokoll stören High Latency Anonymity Services -keine zeitlichen Constraints -ersten Systeme -geeignet für , usenet Low Latency Anonymity Services -Ziel ist möglichst geringe Verzögerung -ermöglichen Interaktivität Probleme -Zeitfaktor nicht benutzbar, um Anonymität zu erhöhen -viele verschiedene Protokolle und Arten von Nutzern -Echtzeitanwendungen noch nicht möglich Firewall von China: Projekt "Goldener Schild" -Zensur und Überwachung Funktionsweise -IP Blockade -DNS Blockade -DNS Redirection -Service Filtering TomSkype -überwacht Nutzer und schickt Messages mit bestimmten Schlagwörtern an zentralen Server weiter. GreenDam: -Filtersoftware für Windows -URL Filter, Text Filter, Bild Filter Angriffe auf Anonymität -Technisch: DDOS, bruteforcing etc. -Kryptographie -Analytisch: --Intersection Attack: globaler, passiver Angreifer --Partition Attack: User glauben lassen, alle bis auf die eigenen TOR-Server sind down -Sozial Traffic Analysis: TOR-The Onion Router -größtes Anonymitätsnetzwerk mit hunderttausenden Usern. -basiert auf Onion Routing 3 zufällige TOR-Server pro Kommunikation: -erster sieht echte IP -letzter sieht möglicherweise Inhalt Tor Directory Server -9 weltweit -trusted Tor Relay Server -von freiwilligen betrieben Tor Bridges -Für IP-basierte Blockaden -Bridge am Anfang jedes Tor-Pfades Bitttorrent & Tor: -schlechte Idee: zuviel Traffic für Tor -kann zu deanonymisierung führen Hidden Services -erlauben Serverdienste, ohne IP bekannt zu geben -rendevouz point = 2 mal Tor JAP-JonDonym Java Anon Proxy -verwendet fixe Mixkaskaden aus 3 Servern 4. NTFS -kein offener Standard -alles in Dateien gespeichert, auch Metainformationen -kein vorgegebenes Layout auf der Festplatte -Grundlage: MFT (Master File Table): Jedes Dir und jede Datei hat mindestens einen Eintrag in MFT MFT Entries

4 4 von :48 -ersten 16 sind reserviert für Filesystem Metadaten -64bit File Reference Address -normalerweise 1k groß ersten 16, die wichtigen -0:$MFT selbst, u.a. Zeitpunkt der Erstellung -1:$MFTMirr: Backup der ersten Einträge -2:$LogFile: Journal Log -6:$Bitmap: Allocation Status von jedem Cluster -8:$BadClus: markiert schadhafte Cluster Jeder MFT Eintrag hat beliebig viele Attribute Wichtige Attribute hat jede Datei -$STANDARD_INFORMATION: Besitzer, Zugriffsrechte, 4 Timestamps (Creation Time, Modified Time, MFT Modified Time, Accessed Time) -$FILE_NAME: Dateiname, ParentDirectory und auch 4 Timestamps redundant $DATA: speichert Daten, mehrere möglich $INDEX_ROOT NTFS Alternate Data Streams: mehrere $DATA Attribute möglich, brauchen aber eindeutige Namen AllocationStrategy: Best fit - kleinster Bereich, in den Datei passt Thumbs.db Vorschaufunktion von Windows Explorer -Kurzansicht Verzeichnisse -Bilder, Videos Es gibt Thumbcache! 5. Slackspace Speicherplatz zwischen Ende der Datei und Ende des allozierten Speicherbereichs. Festplatten müssen mindestens 1 Sektor schreiben (512 byte bzw byte) kann Teile anderer (alter) Dateien beinhalten MBR Slack -Nach MBR 62 Sektoren frei -praktisch unrelevant Volume Slack -Dateisystem ist kleiner als die Festplatte Partition Slack (=Dateisystem Slack) -Letzte(n) Cluster, die nicht Teil des Dateisystems sind -relativ geringe Größe NTFS Hidden Data -Allocation Bit in $BITMAP auf 1 setzen: aber wird als Fehler erkannt von chkdisk Formen von versteckten Dateien in NTFS: -Gefälschte Bad Cluster: $BadClus setzen, cluster ist aber nicht defekt -File Slack: lezter Sektor von Datei wird mit 0en aufgefüllt, Rest von Cluster aber ignoriert -MFT Slack: zb FragFS: versteckt Daten in den MFT Entries bzw MFT Slack -Zusätzliche Cluster: zusätzliche Cluster im MFT zur Datei schreiben -$DATA Attribute Metasploit Tools: -Timestomp: Manipuliert oder löscht MACE Zeitstempel -Slacker: Versteckt Dateien im NTFS Slackspace -SAM Juicer: Dumpt SAM ohne Festplattenzugriff -Transmogrify: Verändert Dateiheader gegen EnCase, zb doc -> jpg FAT Slack: -ähnlich wie NTFS Durch Fragmentation der Dateien: -plausible deniability! -Naiv: Defragmentierter Cluster = Änderung im Nachrichtenbit -Advanced: Offset zwischen Cluster ist Nachricht

5 5 von :48 6. Applied IT Forensics Due Dilligence: Sorgfaltspflicht: Sind meine Systeme sicher? Oft gesetzlich gefordert oder von Kunden gewünscht. ISMS, Information Security Management System: gewährleistet Nachvollziehbarkeit. Durch Corporate Governance Vorgaben entstehen neue Verantwortungen. Unternehmen erkennen den Wertverlust durch IT-Zwischenfälle. -Verantwortung in IT-Security -Incident Response: Reaktion auf Security Zwischenfälle. Forensische Untersuchung, mehrere Phasen: -Vorermittlung: Klärung des Sachverhalts -Zugrifferlangung, Datenanalyse -Aufbereitung: Darstellung der Schlussfolgerungen -Begleitende Dokumentation: Chain of Custody Chain of Custody: Überwachungskette, damit die Authentizität der Beweislage sichergestellt ist. Forensische Vorgehensweise laut NIST Special Publication und Empfehlungen der Information Security Community (SANS-Vorgehensmodell)

6 6 von :48 Verschiedene Analysemethoden: hängt stark von der Fragestellung ab Zeitlinienanalyse (Timeline Analysis): Ziel ist das Rekonstruieren zeitlicher Abläufe. z.b. aufgrund von Dateisystemeigenschaften. MAC-Times von Dateien Modified Time, Access Time, Change/Create Time Nachvollziehen z.b. von Infizierungszeitpunkt mit Virus.

7 vernote Export von :48 Analyse des Netzwerkverkehrs: Oft erster Hinweis auf ungewollte Aktivität. Versteckte Prozesse auf infizierten Systemen können so gefunden werden (verursachen dennoch sichtbaren Network-Traffic). Herkunft des Verkehrs kann gefunden werden. Stichwortsuche: Auffinden bestimmter Schlagwörter. Dirty Wordlist: gesuchte Schlagwörter. z.b. "moviez", oder bestimmter Port oder bestimmte IP. Durchsucht werden können: -Dateien -nicht allokierte Bereiche -SWAP-Files, Auslagerungsdateien -Arbeitsspeicher Möglicher Hinweis für weitere Befragung sowie dass sich weiterer Zeitaufwand hier lohnen kann. Datenwiederherstellung: Rekonstruktion gelöschter Daten. Trivialer Fall: Daten wurden lediglich als gelöscht markiert und noch nicht überschrieben. Durch Dateisystem-Effekte können Daten bestehen bleiben auch wenn gewiped. Wipen: Datei durch (mehrfaches) Überschreiben löschen. File Carving: Viele Dateitypen starten und enden mit eindeutiger Struktur. Es gibt Tools, die den gesamten Datenträger nach solcher Struktur durchsuchen und so gelöschte Dateien finden können. Medienanalyse: Analyse von Benutzer- und Programmdaten. z.b. protokollierter Internetverkehr. Desktop-Search-Programme -Postfächer Analyse der zuletzt getätigten Befehle ->Registry Windows UserAssist key: contains information about the exe files and links that you open frequently. prefetch-dateien: Wann wurde ein Programm zum ersten Mal ausgeführt? spooler-dateien: beinhalten den Inhalt des Ausdrucks. Autocomplete Recovery. Thumbs.db etc...