Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1
Es war einmal...
Tag der Informatik, Universität Erlangen, 25. April 2008 4/21
Tag der Informatik, Universität Erlangen, 25. April 2008 5/21
Tag der Informatik, Universität Erlangen, 25. April 2008 6/21
Tag der Informatik, Universität Erlangen, 25. April 2008 7/21
Tag der Informatik, Universität Erlangen, 25. April 2008 8/21
Analyse der Festplatte Anfertigen einer unveränderten 1:1-Kopie mittels dd Verwendung forensischer Werkzeuge (Sleuthkit, FTK) auf eigener forensischer Workstation Ergebnisse: Bootbare Windows XP Installation, aktueller Stand, Windowsupdate allerdings ausgeschaltet Zahlreiche Systemdateien sind modifiziert Zahlreiche kostenlose Software- und Raubkopien (Corel, Adobe, etc.) installiert Aktuelle Antivirensoftware installiert Zuletzt verwendete IP-Adresse stammt aus dem DSL-Bereich von Deutsche Telekom Als Mailprogramm wurde offenbar Thunderbird mit PGP-Erweiterung verwendet (verschlüsselte E-Mail) Auf dem Rechner befinden sich mehrere verschlüsselte TrueCrypt- Partitionen (verschlüsselte Bereiche der Festplatte) Tag der Informatik, Universität Erlangen, 25. April 2008 9/21
Sicheres Beobachten des Verhaltens Kurze Zeit nach dem Hochfahren sendet emulierter Rechner eine Nachricht (UDP) Zielrechner im DSL-Bereich von Arcor Netzwerkport 80 ist offen (Standard bei Webservern) Netzwerkdiagnose auf emuliertem Rechner zeigt offenen Port aber nicht an Speicheranalyse ergibt: Prozess namens ndss.exe lauscht am Port 80 Datei wird auf emuliertem Rechner selbst nicht angezeigt Dateisystemanalyse findet Date ndss.exe Tag der Informatik, Universität Erlangen, 25. April 2008 10/21
Datei ndss.exe Verbindung zu Port 80: Es meldet sich ein modifizierter ssh-server Erlaubt "sicheres" (verschlüsseltes) Login von Aussen Anmeldung nur mittels starker Kryptographie möglich (Challenge/Response- Protokoll) Ausser initialem Paket bleibt der Rechner ansonsten ruhig Auslegen einer Falle Tag der Informatik, Universität Erlangen, 25. April 2008 11/21
Der Honigtopf Anschluss eines präparierten Rechners (Honeypot) über den heimischen DSL- Anschluss (Telekom) Ausgestattet mit Überwachungsfunktionen Mitschnitt von Prozessinteraktionen (Tastaturanschläge) Protokoll gestarteter Programme Mitschnitt des Netzwerkverkehrs vor der Verschlüsselung Legen ein paar Köder aus Füllen Thunderbird-Mailordner mit einer Reihe sinnloser Mails (erzeugt aus Webseiten, die eine Google Suche nach "Geldwäsche" zurückliefert) Legel einige verschlüsselte TrueCrypt-Partitionen an Warten auf den Angreifer Tag der Informatik, Universität Erlangen, 25. April 2008 12/21
Angreiferverhalten Nach 2 Stunden: Angreifer klopft an Verbindung und Anmeldung von einer Adresse aus dem DSL- Bereich der Telekom Angreifer tippt s 0621\s{0,2}4xxxxx "s" ist ein eingebautes Kommando, vermutlich "Suche" Kommando erzeugt verschlüsselte Datei s8xxxxx.enc im Dateisystem Datei wird auf Angreiferrechner übertragen Verbindung dauert nur wenige Minuten Tag der Informatik, Universität Erlangen, 25. April 2008 13/21
Wer war das? Ein normaler Krimineller? Was war wie üblich? Rootkit-Funktionalität (Verbergen von Aktivitäten) Backdoor Professionelles Vorgehen Was war anders als "normal"? Verschlüsselte Verbindung Starke Authentifizierung Kein Phishing, Spamming, Botherding, Keylogging,... Unprofessionelles Vorgehen (keine Honeypot-Prüfung) Tag der Informatik, Universität Erlangen, 25. April 2008 14/21
Wie kam die Software auf den Rechner? Über das Netz (Ausnutzen von Schwachstellen im System)? Unwahrscheinlich, System hatte zu wenig Angriffsfläche Über "Software-Update" eines Herstellers Unwahrscheinlich, benötigt Kooperation des Herstellers (z.b. Microsoft) Vom Eigentümer selbst (händisch) installiert? Möglich, Anwender hatte offenbar keine Hemmungen, beliebige (auch illegale) Software zu installieren Von Dritten (z.b. dem Angreifer) händisch installiert? Möglich, aber sehr aufwändig Tag der Informatik, Universität Erlangen, 25. April 2008 15/21
Waren wir Zeuge einer Online Durchsuchung?
... und wenn sie nicht gestorben sind, dann leben Sie bis heute!
Fazit 1: Beweiswert der gewonnen Daten Stammen die heruntergeladenen Daten wirklich vom Rechner eines Verdächtigen? Bei dynamischen IP-Adressen (in DSL-Netzen üblich) stecken wechselnde Rechner hinter derselben Adresse Identifikationsprotokolle können auch gefälscht sein (z.b. durch ein Honeypot) Bei erstmaliger Infiltration weiss man erst dann, wenn man drauf ist, ob man den richtigen Rechner erwischt hat Sind die gewonnenen Daten nicht verfälscht? Rootkit modifiziert Rechner in nicht unerheblicher Weise Modifizierte Software kann Daten in unvorhersehbarer Weise verändern Gewonnene Daten können allerdings hohe "ermittlungstaktische" Relevanz haben Tag der Informatik, Universität Erlangen, 25. April 2008 18/21
Fazit 2: Technische Hürden Ermittlungsbehörden dürfen andere (auch Beschuldigte) nicht gefährden Durch das Rootkit dürfen keine neuen Schwachstellen entstehen, die Dritte ausnutzen könnten Zugang zum Rechner nur Befugten gestatten Alles muss verschlüsselt werden, um private Daten zu schützen Man muss auch den richtigen Rechner "treffen" Geht eigentlich nur bei händischer Installation (durch Benutzer oder Ermittler) Ermittlungssoftware darf auch nicht auffallen Rootkit-Funktionalität ist fragil Ein Windows Update kann Ermittlungssoftware unbrauchbar machen Schwierig zu programmieren Es gibt effektive Schutzmaßnahmen Man kriegt nur die "Dummen" Tag der Informatik, Universität Erlangen, 25. April 2008 19/21
Fazit 3: Vergleich zur offenen Beschlagnahme Was kann man mit Online-Durchsuchung machen, was man vorher nicht konnte? Verdeckter Zugriff auf verschlüsselte E-Mail ("Quellen-TKÜ") Zugriff auf verschlüsselte Dateien und Partitionen Heute immer relevanter Offene Beschlagnahme "warnt" den Verdächtigen Eingriff in die Privatsphäre bei Online-Durchsuchung mindestens so hoch wie bei einer offenen Beschlagnahme Tag der Informatik, Universität Erlangen, 25. April 2008 20/21
Kontakt Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 68131 Mannheim http://pi1.informatik.uni-mannheim.de Tag der Informatik, Universität Erlangen, 25. April 2008 21/21
Zusammenfassung Dieser Vortrag stellt anhand eines erfundenen Beispiels die Vorgehensweise bei einer Online-Durchsuchung vor. Im einzelnen wird besprochen: wie die Software gefunden und sichergestellt wurde (wie schwierig es ist, über das Internet einen Zielrechner genau zu identifizieren und zu infiltrieren ist), wie die Software auf das Zielsystem eingedrungen ist, was die Software genau auf dem Zielsystem gemacht hat und wie sie sich vor dem Entdecken schützt (Stichwort Rootkit), was die Software gemacht hat, was man nicht auch mittels einer offenen Beschlagnahme hätte machen können, wie die Software auf dem System gesammelte Informationen ins Internet kommuniziert (wie manipulierbar und deshalb wenig belastbar diese Informationen sind). Tag der Informatik, Universität Erlangen, 25. April 2008 22/21