Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim Teil 7: (Kommerzielle) Werkzeuge im Überblick Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 https://pi1.informatik.uni-mannheim.de Name und Datumwww.uni-mannheim.de Seite 1
Ankündigungen 20.5.2010 Vortrag von Bodo Meseke am 21.5.2010 Prüfungstermine Montag 14.6.2010, 10-17 Uhr Montag 12.7.2010, 10-17 Uhr Montag 30.8.2010, 10-17 Uhr Bitte in Liste im Sekretariat PI1 eintragen (liegt ab nächster Woche aus) Aufstockungsmöglichkeit 6 SWS (8 ECTS) für Diplomer Bitte bei mir melden Auch bei Software Reverse Engineering möglich Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 2
Motivation Ermittler werden mit einer stetig steigenden Zahl von Fällen konfrontiert Mit dd und dem Hex-Editor kann man das nicht alles schaffen Selbst die low-level Tools im sleuthkit helfen nur bedingt Forensik-Werkzeuge bieten heute einen hohen Grad an Automatisierung von Standardtätigkeiten Überblick über Tools wichtig, um das jeweils richtige auszuwählen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 3
Quellen Geschonneck, Kapitel 6 Dornseif, Schulungsunterlagen Bundespolizei 2006 Casey, Kapitel 10 und 11 diverse online-quellen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 4
Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 5
Werkzeuge Wichtig: Beweise müssen unverändert sein Zweifelsfrei nachweisbar Es dürfen zu keiner Zeit Zweifel darüber aufkommen, dass die Forensik-Werkzeuge zuverlässig arbeiten Wichtig beim Operieren in ungeschützten Bereichen (z.b. am Tatort): Eigene Werkzeuge absichern (z.b. mit Boot-CDs, statisch übersetzte Binaries) Eigene Arbeitsumgebung absichern (forensische Workstation, verschlüsselte Netzverbindungen) Vernachlässigung der eigenen Sicherheitsmaßnahmen kann unangenehm enden Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 6
Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 7
Generelle Vorsichtsregeln Jedes Werkzeug kann selbst Fehler enthalten! Kritische Sicht auf die eigenen Werkzeuge ist wichtig Tool-Testing muss weiter forciert werden Forschungsaufgabe: Generelle Methoden für die Verwendung von Diversität in der forensischen Informatik entwickeln Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 8
Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 9
http://courses.washington.edu/i498aa/ /slides/nesbitt_uofwpresentation.ppt Kommerzielle Werkzeuge Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 10
Kommerzielle Werkzeuge Der normale Ermittler macht keine aufwändigen händischen Analysen mehr Beschlagnahmte Festplatte an forensische Workstation anschliessen Knopf drücken Warten Gesammelte Daten nach Verwertbarem durchstöbern Hohe Automatisierbarkeit durch Skripting-Funktionen Hohe Kosten (auch für Schulungen) de facto Standards sind EnCase und Forensic Toolkit (FTK) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 11
EnCase www.guidancesoftware.com Umfassender Dienstleister im Bereich digitale Ermittlung Gegründet 1997, HQ in Pasadena, mehr als 100 der Fortune 500 nutzen Software von Guidance Software Produkt EnCase Forensic kann Forensische Images erstellen Viele Dateisysteme analysieren (Windows, Unix, MAC, Solaris, HP UX,...) Unterstützt die Suche in allen Bereichen der Festplatte Bilder, E-Mail, Instant-Message Analyse, Office-Dateien,... Case-Management EnScript Mehrsprachige Version Lizenz relativ teuer, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 12
EnCase Überblick Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 13
www.accessdata.com Forensic Toolkit (FTK) Ursprünglich Password Recovery, heute Electronic Evidence Recovery and Analysis Gegründet 1987, HQ in Lindon, Utah, ca. 60 Beschäftigte Produkt FTK: Imaging und Analyse, ähnlich EnCase Erstellt aufwändige Suchindizes, beschleunigt Schlagwortsuche in großen Datenmengen Läuft wie EnCase nur unter Windows Teure Lizenz, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 14
WinHex http://www.x-ways.net Hersteller X-Ways Software AG in Bünde, Hauptbüro in Köln Einziger deutscher Hersteller von kommerzieller Forensiksoftware WinHex sehr mächtiger Hex-Editor X-Ways-Forensics ist die forensische Variante von WinHex Versteht nahezu jedes Dateisystem Imaging und Stichwortsuche Datenkonvertierung... Kostenlose Testversion zum Download WinHex Lizenz ca. 50 EUR, X-Ways-Forensics ca. 500 EUR jeweils inkl. Updates für 1 Jahr, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 15
http://www.x-ways.net/winhex/scre eenshot-d.html Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 16
Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 17
dd Siehe Erläuterungen in den Übungsmaterialien Auch Erweiterungen beachten Viele erweiterte Versionen des Tools vorhanden dd_rescue dcfldd sdd Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 18
The Coroners`s Toolkit (TCT) www.porcupine.org/forensics/tct.html Autoren: Dan Farmer und Wietse Venema Erstmals veröffentlicht 2000 Erste freie Forensiksoftware Unterstützt die Analyse von Unix-Dateisystemen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 19
TCT Übersicht mactimes: Zeitstempel von Dateien zeigen und sortieren ils: Anzeigen aller nicht-allokierten Indexknoten icat: Anzeigen des Inhalts von Dateien nach Indexknotennummer unrm: Kopiert unbelegte Datenblöcke lazarus: Strukturen in gelöschten Dateien finden file: Dateityp anzeigen pcat: Prozessspeicher kopieren grave-robber: Viele Daten automatisiert sammeln Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 20
www.sleuthkit.org Sleuthkit Sammlung von quelloffenen Kommandozeilentools von Brian Carrier Zur Geschichte: http://www.sleuthkit.org/informer/sleuthkitinformer-1.html#design Ursprünglich eine Erweiterung des TCT Erlaubt auch Analyse von FAT und NTFS Für Experten mit Hintergrundwissen über Dateisysteme Für Unix/Linux bzw. cygwin Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 21
Sleuthkit Übersicht mmls: Ausgabe der Partitionstabelle eines Laufwerks fsstat: Dateisystemlayout anzeigen ffind: findet (auch gelöschte) Dateinamen, die auf eine Metadatenstruktur (z.b. Inode) zeigen fls: listet alle Dateinamen im Verzeichnis (auch gelöschte) icat: wie bei TCT ifind: findet Metadaten mit gewünschten Eigenschaften ils: listet Metadatenstrukturen und ihre Inhalte istat: Übersicht über Metadateneintrag dcat: Extrahiert Inhalt eines Datenblocks dls: Informationen über Datenblöcke, kann auch alle unbelegten Datenblöcke extrahieren dstat: Übersicht über Datenblock Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 22
Autopsy HTML-basiertes grafisches Frontend zum Sleuthkit Open Source, geschrieben in Perl und C, auch von Brian Carrier Features: Case Management Suchen nach Schlüsselwörtern auf der ganzen Platte Prüfsummen-Datenbank Dateitypanalyse (Befehl file) Timeline-Analyse (Befehl mactimes) Unterstützung für das Anfertigen von Berichten (z.b. History- Datei, Notizmöglichkeit) Modernere Alternative http://ptk.dflabs.com/ Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 23
http://www.sleuthkit.org/autopsy/images/timeline1.gif Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 24
Boot CDs Incident Response & Forensics Live CD (Helix) http://www.e-fense.com/ Knoppix-basiert, Hybrid-CD Enthält alle gängigen Forensik-Tools Mittlerweile kommerziell: $ 239 Backtrack LiveCD auf Basis von Ubuntu Frei verfügbar: http://www.backtrack-linux.org/ Vollständige Übersicht: http://www.forensicswiki.org/wiki/tools#forensics_live_cds Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 25
Data Carver etc. Analysieren unbelegte Datenblöcke nach typischen Mustern Dateiheader, -footer, interne Datenstrukturen Foremost Ursprünglich von der US Air Force entwickelt, jetzt frei http://foremost.sourceforge.net/ Kann dd/encase/xyz-images durchsuchen oder direkt die Platte Gute und aktuelle Übersicht über weitere Tools auf Alexander Geschonnecks Webseite zum Buch http://computer-forensik.org/tools/ Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 26
Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 27
Es gibt viele Werkzeuge Nachteil: Standards vs. Vielfalt Man muss ggf. jedes Werkzeug einzeln vor Gericht legitimieren Austausch/Vergleichbarkeit von Daten zwischen Werkzeugen wird erschwert Vorteil: Jeder Benutzer kann die Werkzeuge benutzen, die ihm am besten passen Analysen unterschiedlicher Werkzeuge vergleichen und dadurch validieren Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 28
Programmierbarkeit Viele Werkzeuge decken mit ihren Funktionen Standardfälle ab Suche nach Bildern, Suche nach Schlüsselwörtern in Texten, etc. Dies gilt vor allem für kommerzielle Tools One click report, angenehm für den Kunden Hoher Automatisierungsgrad bei steigenden Fallzahlen notwendig Fälle außerhalb des Standards bekommen nicht die notwendige Aufmerksamkeit Neue/ungewöhnliche Dateisysteme, proprietäre Applikationen, etc. Tools müssen für diese Fälle erweiterbar/programmierbar sein Erfordert Programmierkenntnisse bei den Benutzern Beispiel: Unix-Tools, bzw. EnScript Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 29
Forschungsaufgaben (Weiter-)Entwicklung von Tools wird eine Hauptaufgabe von forensischen Informatikern bleiben Kenntnisse über existierende Tools austauschen Dafür ideal geeignet: offene Forschung Bedarf an neuen Tools vor allem im Bereich Netzwerkanalyse, Live-Analyse Vorsicht bei Live-Analyse: Alles auf dem System ändert das System ps überschreibt Teile des Speichers Die Shell überschreibt die Shell History Zugriffszeiten ändern sich Elektronische Sprengfallen Am Ende muss man immer wissen, was unter der Haube abläuft Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 30
Communications of the ACM, 48(8), 2006 Ausblick Rechtliche Rahmenbedingungen Fragen? Name und Datumwww.uni-mannheim.de Seite 31