Vorlesung Datensicherheit Sommersemester 2010 Harald Baier Kapitel 4: Einführung in die Computerforensik
Inhalt Motivation und Grundlagen Datenträgerforensik Dateisystemforensik am Beispiel von FAT Harald Baier Datensicherheit h_da SS 10 2
Inhalt Motivation und Grundlagen Datenträgerforensik Dateisystemforensik am Beispiel von FAT Harald Baier Datensicherheit h_da SS 10 3
Datensicherung am Beispiel einer Digitalkamera Wesentliche Prinzipien: Originaldatenträger muss unverändert bleiben. Untersuchung nur an Kopie. Alles muss dokumentiert werden. Nachweis der Unverändertheit eines Datenträgers? Anfertigung einer identischen Kopie? Erste Informationen über den Datenträger... Harald Baier Datensicherheit h_da SS 10 4
Forensik bei Strafverfolgungsbehörden Harald Baier Datensicherheit h_da SS 10 5
Zentrale Fragen Wie geht man bei Beschlagnahme vor? Welche Datenträger sind relevant? Datenträger sollen unverändert bleiben. Was macht man bei laufenden IT-Systemen? Untersuchung der Datenträger im Labor (post-mortem): Wie stellt man sicher, dass bei der Untersuchung der Datenträger unverändert bleibt? Wie findet man auf beschlagnahmten Datentägern die Informationen, die Beschuldigte be- oder entlasten? Wie dokumentiert man die Suche, damit diese auch vor Gericht verwendet werden kann? Harald Baier Datensicherheit h_da SS 10 6
Der Klassiker: Kauf von Festplatten Harald Baier Datensicherheit h_da SS 10 7
Zentrale Frage Rechtlicher Aspekt: Darf man das? Dargestelltes Vorgehen ist in Deutschland ggfls. strafbar!!! Gelöschte Daten: 202a StGB (Ausspähen von Daten) (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Nicht gelöschte Daten:??? Harald Baier Datensicherheit h_da SS 10 8
Ermittlungen bei Internet-Kriminalität Harald Baier Datensicherheit h_da SS 10 9
Zum Begriff Forensik Etymologie: Forum = Marktplatz (im antiken Rom) Auf Forum fanden Gerichtsverhandlungen statt Ziel: Systematische Aufarbeitung krimineller Handlungen Heute viele Teilgebiete:... Rechtsmedizin: Autopsie (Leichenschau) Toxikologie: Lehre von Giftstoffen Ballistik: Untersuchung von Geschossen Serologie: Lehre von Antikörper-Untersuchungen (z.b. Blut) Harald Baier Datensicherheit h_da SS 10 10
Das Locardsche Prinzip Edmond Locard (1877-1966): Französischer Mediziner und Rechtsanwalt Pionier der Kriminalistik und Forensik 'Sherlock Holmes von Frankreich' Direktor des weltweit ersten Kriminallabors in Lyon (1912 von Polizei anerkannt) Quelle: www.computerforensics.co.uk Locard's exchange principle: With contact between two items, there will be an exchange. Jeder und alles am Tatort hinterlässt etwas und nimmt etwas mit (physische Spuren). Basis für die Suche nach Spuren (die immer existieren) Harald Baier Datensicherheit h_da SS 10 11
Das Locardsche Prinzip (Zitat von Locard) Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value. Quelle: en.wikipedia.org Harald Baier Datensicherheit h_da SS 10 12
Computerforensik = IT-Forensik Ziel der Computerforensik: Gerichtsverwertbare Sicherung digitaler Spuren Zentrale Fragestellungen der Computerforensik: Wo entstehen digitale Spuren? Wie kann man diese finden und erkennen? Wie bewertet man digitale Spuren? Wie sichert man digitale Spuren, damit sie vor Gericht verwertbar sind? Wo arbeiten Computerforensiker? ==> BKA, LKAs, Polizeipräsidien sowie unabhängige Sachverständige Harald Baier Datensicherheit h_da SS 10 13
Digitale Spuren Digitale Spur = Digital Evidence Digitale Spuren basieren auf Daten, die in Computersystemen gespeichert sind oder zwischen Computersystemen übertragen wurden Physische Spuren vs. digitale Spuren Physische Spuren: Magnetisierung einer Festplatte Ladezustand von Transistoren im flüchtigen Speicher Elekromagnetische Welle auf Kabel Harald Baier Datensicherheit h_da SS 10 14
Manipulation und Zuordnung digitaler Spuren Grundprobleme der Manipulation: Digitale Spuren können leicht manipuliert werden Beabsichtigt: Durch Straftäter, 'böse' Ermittler Unbeabsichtigt: Durch unerfahrene Ermittler Manipulation ist oft schwer erkennbar (unbeabsichtigte ggfls. vermeidbar durch Arbeit an Kopie) Zuordnung digitaler Spuren zu Personen: Erfordert geeigneten Authentifikationsmechanismus Dateien waren im Home-Verzeichnis der Person mit BitLocker oder EFS verschlüsselt Computer war vom Netzwerk getrennt und physisch nur dieser Person zugänglich Harald Baier Datensicherheit h_da SS 10 15
Delikte der Computerkriminalität Delikte im eigentlichen Sinn: Eigene Computer-Straftatbestände im Strafgesetzbuch Beispiele: 202a StGB: Ausspähen von Daten 202b StGB: Abfangen von Daten... Delikte im erweiterten Sinn: Werden mit Hilfe von IT-Systemen begangen Beispiele: Beleidigung in einem Forum Erpressung Verbreitung von Kinderpornographie Harald Baier Datensicherheit h_da SS 10 16
Inhalt Motivation und Grundlagen Datenträgerforensik Dateisystemforensik am Beispiel von FAT Harald Baier Datensicherheit h_da SS 10 17
Einführendes: Beispiel Festplatte Warum sind Festplatten interessant für Forensik? Zwei gängige Typen: Hard disc drives (HDD): Rotierende Scheiben mit magnetisierbarer Oberfläche Großteil heutiger Festplatten Solid state drives (SSD): Halbleiter-basierte Speichermedien Flash-Speicher: persistent für Festplatten Daten können außerhalb von Dateisystemen versteckt werden: Zwischen Partitionen, in HPA, in DCO Diese Datenträgerbereiche müssen untersucht werden Harald Baier Datensicherheit h_da SS 10 18
Logischer Aufbau einer magnetischen HDD Übereinander liegende Scheiben Eigene Lese-/Schreibköpfe: Heads Oft Ober- und Unterseite magnetisiert Low-Level-Formatierung: Konzentrische kreisförmige Spuren Unterteilt in Blöcke (typ. 512 Byte) Zylinder besteht aus Spuren gleicher Radien auf allen Scheiben Quelle: en.wikipedia.org Sektor besteht aus allen Blöcken zwischen festen Winkeln Harald Baier Datensicherheit h_da SS 10 19
Adressierung von Daten Über Adressierung von Blöcken: Kleinste adressierbare Einheit einer Festplatte Typische Größe: 512 Byte Festplatte ist 3-dimensional 3 geometrische Angaben (vgl. Zylinderkoordinaten) Radius = Zylinder ( = C für cylinder) nummeriert ab 0 Höhe = Kopf ( = H für head) nummeriert ab 0 Winkel = Sektor ( = S für sector) nummeriert ab 1 Führt zur CHS-Adressierung: Block eindeutig adressiert Allerdings veraltet (siehe folgende Folie) Abgelöst durch LBA (Logical Block Address) Harald Baier Datensicherheit h_da SS 10 20
Layout eines Datenträgers Erster Block enthält den Master Boot Record (MBR) Enthält Boot Code zum Starten Informationen über Unterteilung des Datenträgers in Partitionen: Partitionstabelle Partitionstabelle enthält sehr wichtige Informationen für den Forensiker Typische Gründe für Partitionierung des Datenträgers: Installation mehrerer Betriebssysteme 'nebeneinander' Beschränkung der Auswirkung eines defekten Blocks Maximalgröße eines Dateisystems ist kleiner als der physische Datenträger Harald Baier Datensicherheit h_da SS 10 21
Ansicht eines Datenträgers und versteckte Daten Nicht-allozierte Bereiche zwischen Partitionen können zum Verstecken von Daten genutzt werden Ansicht mittels des Tools mmls: Gibt grundsätzliche Informationen über Datenträger Sehen Sie Bereiche zum Verstecken von Daten? Ansicht des Datenträgers als Hexdump mittels xxd: Partitionstabelle befindet sich bei den Bytes 446 509 Vorsicht: Start der Nummerierung bei 0 Jeder Eintrag der Partitionstabelle belegt 16 Byte Schreiben einer Datei in nicht-allozierten Bereich mittels dd Harald Baier Datensicherheit h_da SS 10 22
Integritätssicherung 'Saubere' Tools verwenden: Dead Acquisition Dateisicherung ohne das Betriebssystem des betroffenen IT-Systems Hardware darf benutzt werden Typischerweise Nutzen eigener CD/DVD/USB-Stick Berechnung von kryptographischen Hashwerten vor Sicherung: Heute mindestens SHA-1 oder RIPEMD-160 verwenden Hashwerte in handgeschriebenes Logbuch (geringe Gefahr der Manipulation) Harald Baier Datensicherheit h_da SS 10 23
Sichern, aber wohin und in welchem Format? Typischerweise Image: Kopie in Datei (und ggfls. über Netzwerk übertragen und remote speichern) Kopie auf CD-ROM Image über das Netzwerk: IT-System von 'sauberem' Medium booten Datenträger vertraulich, authentisch und integritätsgeschützt über das Netz kopieren Beispiele: dd + ssh Formate: Raw-Image (1-zu-1-Kopie) vs. Embedded-Image (inkl. Zeitstempel, Hashwerten,...) Harald Baier Datensicherheit h_da SS 10 24