Computerforensik. Wintersemester 2009/2010

Transkript

1 Wintersemester 2009/2010 Kapitel 1: Einführung

2 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken 2

3 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken 3

4 Forensik bei Strafverfolgungsbehörden 4

5 Zentrale Fragen Wie geht man bei Beschlagnahme vor? Welche Datenträger sind relevant? Datenträger sollen unverändert bleiben. Was macht man bei laufenden IT-Systemen? Untersuchung der Datenträger im Labor (post-mortem): Wie stellt man sicher, dass bei der Untersuchung der Datenträger unverändert bleibt? Wie findet man auf beschlagnahmten Datentägern die Informationen, die Beschuldigte be- oder entlasten? Wie dokumentiert man die Suche, damit diese auch vor Gericht verwendet werden kann? 5

6 Der Klassiker: Kauf von Festplatten 6

7 Zentrale Frage Rechtlicher Aspekt: Darf man das? Dargestelltes Vorgehen ist in Deutschland ggfls. strafbar!!! Gelöschte Daten: 202a StGB (Ausspähen von Daten) (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Nicht gelöschte Daten:??? 7

8 Ermittlungen bei Internet-Kriminalität 8

9 Fallstrick dienstliche -Nutzung 9

10 Viel Arbeit für neugierige Forensiker und... 10

11 ... leichte Arbeit für autorisierte Forensiker 11

12 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken 12

13 Zum Begriff Forensik Etymologie: Forum = Marktplatz (im antiken Rom) Auf Forum fanden Gerichtsverhandlungen statt Ziel: Systematische Aufarbeitung krimineller Handlungen Heute viele Teilgebiete: Rechtsmedizin: Autopsie (Leichenschau) Toxikologie: Lehre von Giftstoffen Ballistik: Untersuchung von Geschossen Serologie: Lehre von Antikörper-Untersuchungen (z.b. Blut)... 13

14 Indiz, Beweis (lt. Wikipedia) Indiz: Unter einem Indiz (von lat.: indicare = anzeigen) versteht man einen Hinweis, der für sich allein oder in einer Gesamtheit mit anderen Indizien den Rückschluss auf das Vorliegen einer Tatsache zulässt. Beweis: Der Beweis bezeichnet die Feststellung eines Sachverhalts als Tatsache in einem Gerichtsverfahren aufgrund richterlicher Überzeugung. Beweisarten nach Zivilprozessordnung: Zeuge, Sachverständige, Urkunde, Augenschein 14

15 Spur (lt. Casey) Spur: Eine Spur im kriminalistischen Sinne sind Gegenstände oder Hinweise in einem Ermittlungsverfahren, die eine Theorie über einen Tathergang bestätigen (Indiz, Beweis) oder widerlegen kann. Arten von Spuren: Materielle: Fingerabdrücke, Schuhabdruck, Haar Immaterielle: Menschliches Verhalten (z.b. Unsicherheit) Zu welcher Art gehören digitale Spuren? Dazu später mehr... 15

16 Erste Bemerkungen zur Gerichtsverwertbarkeit Zentrales Ziel: Ein Richter muss von der Täterschaft überzeugt werden Berühmten Ws der Kriminalistik müssen beantwortet werden: Wer, was, wo, wann, womit, wie, weshalb? Dokumentation: Lückenlos Nach anerkannten Standards (oder Best Practices) Auftreten des Forensikers vor Gericht Nicht zu unterschätzen Man denke an Einen Fall für zwei oder Matlock 16

17 Das Locardsche Prinzip Edmond Locard ( ): Französischer Mediziner und Rechtsanwalt Pionier der Kriminalisitik und Forensik 'Sherlock Holmes von Frankreich' Direktor des weltweit ersten Kriminallabors in Lyon (1912 von Polizei anerkannt) Quelle: Locard's exchange principle: With contact between two items, there will be an exchange. Jeder und alles am Tatort hinterlässt etwas und nimmt etwas mit (physische Spuren). Basis für die Suche nach Spuren (die immer existieren) 17

18 Das Locardsche Prinzip (Zitat von Locard) Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value. Quelle: en.wikipedia.org 18

19 Rechtsmedizin als Vorbild für IT-Forensik Pathologe: Rechtsmediziner: Facharzt der Pathologie (d.h. der morphologisch fassbaren krankhaften Veränderungen des Körpers) Von Staatsanwaltschaft bestellter Gutachter zur Durchführung einer Autopsie Ziele einer Autopsie: Ermittlung des Todeszeitpunkts Feststellung der Todesursache Identitätsbestimmung 19

20 Inhalt Motivation Forensik allgemein Digitale Forensik Delikte der Computerkriminalität Angreifertypen und deren Absichten Angriffsmethodiken 20

21 = IT-Forensik Ziel der : Gerichtsverwertbare Sicherung digitaler Spuren Zentrale Fragestellungen der : Wo entstehen digitale Spuren? (Beispiele: Nächste Folie) Wie kann man diese finden und erkennen? Wie bewertet man digitale Spuren? Wie sichert man digitale Spuren, damit sie vor Gericht verwertbar sind? Wo arbeiten er? ==> BKA, LKAs, Polizeipräsidien sowie unabhängige Sachverständige 21

22 Wo fallen digitale Spuren an? 22

23 Digitale Spuren Digitale Spur = Digital Evidence Digitale Spuren basieren auf Daten, die in Computersystemen gespeichert sind oder zwischen Computersystemen übertragen wurden Physische Spuren vs. digitale Spuren Physische Spuren: Magnetisierung einer Festplatte Ladezustand von Transistoren im flüchtigen Speicher Elekromagnetische Welle auf Kabel 23

24 Digitale Spuren vs. Physische Spuren Digitale Spuren ergeben sich aus Interpretation der physischen Spuren Digitale Spuren benötigen Tools zur Interpretation Ermittler sieht nur diese Interpretation, nicht aber die physischen Spuren Interpretation erstreckt sich oft über mehrere Interpretationsebenen Jede dieser Ebenen kann zu einer Fehlinterpretation führen Wie kann Ermittler eine Fehlinterpretation erkennen? 24

25 Beispiel für Interpretationsebenen: Text-Datei Interpretation der Textdatei durch bestimmte Zeichencodierung: Digitale Spur Interpretation der Datei als Textdatei Interpretation der Bits als Datei durch Dateisystem Magnetisierung der Festplatte: physische Daten/Spur 25

26 Kollisionen Fragen: Gibt es Bitmuster, die durch unterschiedliche Interpretation auf einer Interpretationsebene eine sinnvolle, unterschiedliche Gesamtinterpretation für den Ermittler ergeben? Falls ja, welche Anforderungen gibt es an die Bitfolgen? Szenario: Pädophiler versteckt strafbares, kinderpornogr. Bild als unverdächtiges Office-Dokument. Antwort: Meines Wissens nicht untersucht... Ähnliche Fragestellung wie in Kryptographie bei der Untersuchung von Hashfunktionen 26

27 Vermeidbare vs. unvermeidbare digitale Spuren Technisch vermeidbare digitale Spuren: Spuren, die bewusst erzeugt werden Beispiele: Log-Dateien, Zeitstempel im Dateisystem, Firewall Technisch unvermeidbare digitale Spuren: Spuren, die (meist) unweigerlich anfallen Beispiele: Mit Mitteln des Betriebssystems gelöschte Dateien Alte Stackframes im Hauptspeicher File Slack (Bits von Dateiinhaltsende bis Speicherende) Oft unvermeidbare Spuren für er interessanter, da nicht so leicht manipulierbar!! 27

28 Manipulation und Zuordnung digitaler Spuren Grundprobleme der Manipulation: Digitale Spuren können leicht manipuliert werden Beabsichtigt: Durch Straftäter, 'böse' Ermittler Unbeabsichtigt: Durch unerfahrene Ermittler Manipulation ist oft schwer erkennbar (unbeabsichtigte ggfls. vermeidbar durch Arbeit an Kopie) Zuordnung digitaler Spuren zu Personen: Erfordert geeigneten Authentifikationsmechanismus Dateien waren im Home-Verzeichnis der Person mit BitLocker oder EFS verschlüsselt Computer war physisch nur dieser Person zugänglich 28

29 Forensische Vorteile digitaler Spuren Exaktes Duplizieren eines Originaldatenträgers: Originaler Datenträger wird physisch geschont und kann dauerhaft weggeschlossen bleiben Übereinstimmung kann später nachgewiesen werden Spätere Manipulationen an Kopie wird erkannt Digitale Spuren sind schwer zu vernichten: Gelöschte Dateien einer Festplatte sind meist für lange Zeit später rekonstruierbar Praktisch kaum möglich, alle digitalen Spuren einer Computerstraftat zu beseitigen Oft kann man durch aktuellen Zustand auf vergangenen Zustand schließen (Beispiel folgt gleich...) 29

30 Blick in die Vergangenheit Modellierung eines IT-Systems als Endlichen Automaten: Endliche, nicht-leere Menge von Zuständen: Zustandsraum S Anfangszustand s aus S Zustandsübergangsfunktionen Beispiel: boolean b = false; boolean a = random(); b = a; a = false; Wie sieht Automat aus? 30

31 Forensische Nachteile digitaler Spuren Riesige Datenmengen: Zentrales Problem: Zustandsmenge S sehr, sehr groß Identifikation von forensisch irrelevanten Daten (z.b. Systemdateien, nicht strafbare Bilder,...) Richtige Interpretation der forensisch relevanten Daten Sicherung digitaler Spuren im 'Erstkontakt' erfordert viel Kenntnis, Erfahrung und Vorsicht Beispiele: Sicherung flüchtiger Daten (z.b. vorgefundenes RAM) Keine Änderung von Datei- oder Verzeichnisattributen (beispielsweise durch den Linux-Befehl ls) 31

32 Größe der Zustandsmenge Beispiel Hauptspeicher: Heute gängige Größe: 2 GByte Wie groß ist der Zustandsraum S (also S )? Bemerkung: Großteil der Zustände ist nicht sinnvoll interpretierbar (d.h. 'Zustandsmüll') 32

33 Übertragung von Locards Prinzip auf digitale Spuren Locards Austauschprinzip stammt vom Anfang des 20. Jahrhunderts: Analoge Welt Zentrale Frage: Gilt es auch für digitale Spuren? D.h.: Gibt es ein digitales Austauschprinzip? Beh.: System (analog/digital) hinreichend komplex, dann kommt es zu einem Austausch Folgerung (bei Richtigkeit der Behauptung): Digitales Austauschprinzip: In jedem hinreichend komplexen digitalen System hinterlässt Datenverarbeitung notwendigerweise digitale Spuren. 33

34 Forensische Informatik Anwendung wissenschaftlicher Methoden der Informatik zur gerichtsfesten Sicherung und Verwertung digitaler Beweismittel Unterschied zu? Hintergrund: Forensische Ergebnisse greifen tief in Grundrechte des Beschuldigten ein (z.b. Freiheitsentzug) Forensiker darf sich nicht irren und muss objektiv korrekte Methoden verwenden... 34

35 Inhalte der Forensischen Informatik Im engeren Sinne werden nur unvermeidbare digitale Spuren untersucht Beweismittelsicherung: Sicherung der physischen Spuren Integrität muss gewährleistet sein Beweismitteluntersuchung: Klassisch: Festplatten, USB-Sticks, DVDs Moderner: Speicherkarten, Mobiltelefone Aktuell: Hauptspeicher, Netzwerke 35