Sicherheitsmanagement, Incident- Handling und Computer-Forensik

Sicherheitsmanagement, Incident- Handling und Computer-Forensik Thomas Haeberlen Bundesamt für Sicherheit in der Informationstechnik 3. Bayerischer IT-Rechtstag / 21.10.2004

Agenda Das Bundesamt für Sicherheit in der Informationstechnik Kurzvorstellung Incident Handling / Incident Management Ziele und Vorgehensweise Computer-Forensik Zwei Beispiele Möglichkeiten und Grenzen Thomas Haeberlen 2004-10-21 Folie 2

Das BSI Allgemein Gründung 1991 Sitz: Bonn Aktuell ca. 400 Mitarbeiter (v.a. Naturwissenschaftler, Informatiker, Ingenieure) Zentraler IT-Sicherheitsdienstleister des Bundes Unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft Beratung und Dienstleistungen für Behörden, Wirtschaft, Bürgerinnen und Bürger Ziel: Förderung der IT-Sicherheit Thomas Haeberlen 2004-10-21 Folie 3

Das BSI Wichtige Produkte und Dienstleistungen Information / Publikationen IT-Grundschutzhandbuch Webkurs IT-Grundschutz Leitfaden IT-Sicherheit Diverse Fachpublikationen Praktisch alle Informationen auch auf www.bsi.bund.de und auf der BSI-CD-ROM CD-ROM "Ins Internet mit Sicherheit" und www.bsi-fuer-buerger.de Thomas Haeberlen 2004-10-21 Folie 4

Sicherheitsmanagement, Incident- Handling, Computer-Forensik Sicherheitsmanagement: Systematischer und effektiver Schutz der drei Grundwerte der Informationssicherheit Vertraulichkeit Eine bestimmte Information oder Funktion darf nur den berechtigten Anwendern zugänglich sein. Integrität Eine Information muss korrekt und vollständig sein, eine Funktion muss korrekte Ergebnisse liefern. Verfügbarkeit Der Zugriff auf die Information oder Funktion soll dem berechtigten Anwender jederzeit möglich sein. Thomas Haeberlen 2004-10-21 Folie 5

Sicherheitsmanagement, Incident- Handling, Computer-Forensik Incident-Handling: Maßnahmen zur Erkennung und Verfolgung von Sicherheitsvorfällen, bei denen einer oder mehrere der drei Grundwerte der Informationssicherheit verletzt wird. Computer-Forensik: Sicherung von Daten eines IT- Systems, die für die Untersuchung eines Sicherheitsvorfalles benötigt werden. Allgemein zur Untersuchung im Rahmen des Incident Handling, bis hin zur Verwendung als Beweismaterial für eine eventuelle Strafverfolgung Thomas Haeberlen 2004-10-21 Folie 6

Incident Handling Beispiele Unternehmensweites Auftreten eines zerstörerischen Computervirus Computerwurm (SQL-Slammer, Blaster, Sasser & Co) Hackereinbruch "Datensabotage" Erpressungsversuch, bspw. durch ehemalige Mitarbeiter Denial-of-Service Angriff Klagen wegen Urheberrechtsverletzungen (Filesharing) * Anzeigen oder Ermittlungen wegen Verdachts auf Kinderpornographie * * Randbereich Thomas Haeberlen 2004-10-21 Folie 7

Incident Handling Regel Nr. 1 Don't Panic! Für die Behandlung von Computer-Sicherheitsvorfällen gelten die selben Regeln wie für praktisch alle Notfälle: Ruhe bewahren! Keine überhasteten Aktionen! Vorbereitet sein und wissen, was zu tun ist! Aus Fehlern und Problemen lernen! Thomas Haeberlen 2004-10-21 Folie 8

Incident Handling Vorbereitet sein! Einrichtung eines angemessenen Management-Systems für Sicherheitsvorfälle Ziele: Reaktionsfähigkeit: Sicherheitsprobleme rechtzeitig erkennen Entscheidungsfähigkeit und Handlungsfähigkeit Den Vorfall richtig einschätzen: Handelt es sich wirklich um einen Sicherheitsvorfall oder nur ein lokales Problem? Rechtzeitig die richtigen Maßnahmen ergreifen! Schadensminimierung Lernen für die Zukunft Thomas Haeberlen 2004-10-21 Folie 9

Incident Handling Vorbereitet sein! Wissen: Wie ist der Schutzbedarf der Daten und Systeme? Welche Geschäftsprozesse sind auf die Verfügbarkeit bestimmter Daten eines bestimmten Systems eines Netzes angewiesen? Wie sind die Abhängigkeiten zwischen verschiedenen Systemen? Thomas Haeberlen 2004-10-21 Folie 10

Incident Handling Vorbereitet sein! Technische Maßnahmen auf Netz- oder Rechnerebene vorbereiten, beispielsweise Firewall-Strategie bei "Wurmbefall" für Denial-of-Service Angriffe eventuell alternative Internetanbindung oder Ausweich-Server Intrusion Detection / Intrusion Prevention... Backup! Hat nicht direkt mit Incident Handling zu tun, aber ohne ein funktionierendes Backup ist effizientes Incident Handling praktisch unmöglich! Thomas Haeberlen 2004-10-21 Folie 11

Incident Handling Management Incident Handling in das allgemeine Sicherheitsmanagement integrieren Verantwortlichkeiten und Eskalationsstrategien festlegen Wer muss wann benachrichtigt werden? Rechtzeitige Benachrichtigung der relevanten Stellen, aber auch keine unnötigen Meldungen generieren. Wer darf wichtige Entscheidungen treffen? Wer entscheidet, ob ein Server vom Netz genommen wird? Wer entscheidet, wann ein Incident "abgeschlossen" ist? Wer entscheidet, ob Anzeige erstattet wird? Wer entscheidet über Prioritäten? Wer darf "offizielle" Aussagen (Presse) machen? Thomas Haeberlen 2004-10-21 Folie 12

Incident Handling Was ist wichtig? Prioritäten setzen: Was ist das vorrangige Ziel? Schnellstmögliche Wiederaufnahme des Betriebs? Geht meist auf Kosten der Spurensicherung Lässt eventuell Lücken offen Bestmöglicher Schutz vor einem erneuten Auftreten des Problems? Erfordert genaue Analyse, kostet also Zeit Unbedingte Sicherstellung der Integrität der Daten? Sicherung möglichst vieler Indizien, beispielsweise für eine eventuelle Strafverfolgung? Erfordert viel Zeit und Know-How Abwägung der verschiedenen Ziele Thomas Haeberlen 2004-10-21 Folie 13

Incident Handling Aus Erfahrung lernen Nachbereitung von Sicherheitsvorfällen ist wichtig Vorfälle untersuchen und bewerten Was war die Ursache für den Vorfall? Extern / intern? Technik / Mensch? Fahrlässigkeit / Vorsatz? Welche Schäden sind entstanden? Wichtig zur Beurteilung der Effizienz der Reaktion War die Reaktion auf den Vorfall effektiv / effizient / angemessen? Wie können ähnliche Vorfälle vermieden werden? Gegebenenfalls Prozesse anpassen Thomas Haeberlen 2004-10-21 Folie 14

Incident Handling Prävention Durch Sensibilisierung und Schulung der Benutzer können Sicherheitsvorfälle vermieden werden Sensibilisierung für Gefährdungen Vermeidung gefährlicher Verhaltensweisen Verständnis für notwendige Sicherheitsmaßnahmen Richtiger Einsatz der vorhandenen Sicherheitsmechanismen Merkblätter oder Verfahrensanweisungen für bestimmte Arten von Vorfällen Wichtig: Alle Maßnahmen sind nur im Rahmen eines ganzheitlichen Sicherheitsmanagements wirksam! Thomas Haeberlen 2004-10-21 Folie 15

Incident Handling Informationen Viele Informationen und Methoden zum Incident Handling sind frei verfügbar: IT-Grundschutzhandbuch des BSI CERTs (Computer Emergency Response Teams) / CSIRTs (Computer Security Incident Resonse Teams) Größtenteils in englischer Sprache Kommerzielle Angebote beispielsweise von IT-Sicherheitsberatern Anbietern von Sicherheitssoftware Anbietern von "Managed Security Services" Thomas Haeberlen 2004-10-21 Folie 16

Incident Handling Abgrenzung "Incident Handling" wird derzeit meist noch eher auf der technischen Ebene angesiedelt Incident Response - Incident Handling - Incident Management Alleinige Behandlung auf "Mikro-Niveau" ist nicht sinnvoll Einbindung in umfassendes Sicherheitsmanagement ist notwendig IT-Forensik als Teil der Vorgehensweise bei Incident Response / Incident Handling Eigenständiges "Fachgebiet" der IT-Sicherheit Thomas Haeberlen 2004-10-21 Folie 17

Computer-Forensik Spuren- oder Beweissicherung Computer-Forensik: Sicherung von Daten eines IT- Systems, die für die Untersuchung eines Sicherheitsvorfalles benötigt werden. Analog zum "normalen Leben" Sicherung von Spuren und Beweismaterial am "Tatort" am / beim "Opfer" manchmal auch Ermittlung von "Kontext-Informationen" Im Rahmen des Incident Handling, oder auch zur Fehlersuche oder Datenrettung nach Systemausfällen Thomas Haeberlen 2004-10-21 Folie 18

Computer Forensik Regel Nr. 1 Finger weg! Für die Computer-Forensik gelten die selben Regeln wie für echte Forensik und Spurensicherung: Nichts anfassen! Jede Aktion kann Informationen zerstören! Untersuchungen müssen von Fachleuten durchgeführt werden! Thomas Haeberlen 2004-10-21 Folie 19

Computer-Forensik Beispiel Incident Response (1) Daten auf dem Webserver wurden verändert. Hackereinbruch oder Versehen? Überprüfung der Logfiles von Webserver und Betriebssystem auf "ungewöhnliche Vorkommnisse" Überprüfung des Webservers "von außen" auf ungewöhnliche offene Ports (Portscan) Am Gateway des Netzes Überprüfung, ob verdächtige Verbindungen vom oder zum Webserver gemacht wurden oder gar noch bestehen. Klären, ob die Änderungen nicht doch auf einem "internen Versehen" beruhen (Anwendungs-Logs o.ä.) Thomas Haeberlen 2004-10-21 Folie 20

Computer-Forensik Beispiel Incident Response (2) Überprüfung auf dem System auf Anzeichen eines Einbruchs verdächtige Dateien ungewöhnliche Prozesse offene Ports und die Prozesse, die sie geöffnet haben Manipulationen an Systemprogrammen und an der Systemkonfiguration (Beispiel Windows Registry) Thomas Haeberlen 2004-10-21 Folie 21

Computer-Forensik Beispiel "Informationsleck" (1) Ein vertrauliches internes Dokument wurde der Presse zugespielt. Der Verdacht fällt auf Mitarbeiter X. Dieser streitet alle Vorwürfe ab und behauptet, das Dokument nie gesehen zu haben. Möglichkeiten: Überprüfung von Zugriffsprotokollen und Mailserver- Logfiles Untersuchung des Rechners von Mitarbeiter X, bspw. Stichwortsuche nach Dateiinhalt Outlook-Journal, Gesendete Objekte, etc. Sonstige "eher offensichtliche" Quellen für Spuren Thomas Haeberlen 2004-10-21 Folie 22

Computer-Forensik Beispiel "Informationsleck" (2) Weitergehende Möglichkeiten: beispielsweise Suche nach gelöschten Outlook-Objekten versteckten Dateien "Hidden" Attribut Dateien in "alternate data streams" des NTFS-Dateisystems gelöschten Dateien Beim Löschen werden die Daten meist nicht wirklich vernichtet Spuren in der Auslagerungsdatei / Swapbereich Entschlüsseln von EFS-verschlüsselten Ordnern / Dateien via Recovery Agent Thomas Haeberlen 2004-10-21 Folie 23

Computer-Forensik "Live" vs. "Post mortem" "Live" Analyse (meist im Rahmen der Incident Response) Gewisse flüchtige Informationen sind nur so zu erfassen Problem: Durch die Analyse werden eventuell Daten verändert (bspw. Zeitstempel, Speicherinhalte o.ä.) Problem: Der Angreifer kann Verdacht schöpfen und eventuell Spuren verwischen Problem: Gefahr von Fehlern durch Zeitdruck "Post Mortem" Analyse Kein Zeitdruck Bei richtigem Vorgehen kein Risiko der Datenveränderung Problem: Nicht mehr alle Daten verfügbar Thomas Haeberlen 2004-10-21 Folie 24

Computer-Forensik "Live" vs. "Post mortem" Entscheidung für "Live" vs. "Post Mortem" im Rahmen der Incident Response: Sofort Stecker ziehen oder erst noch Spuren sichern? Abwägung zwischen verschiedenen Aspekten Schadensbegrenzung Sammlung von Daten Zeit bis zur Wiederaufnahme des Normalbetriebs Entsprechend der vorab gesetzten Prioritäten "Augenmaß" ist erforderlich Thomas Haeberlen 2004-10-21 Folie 25

Computer-Forensik Vieles ist möglich... Die technischen Möglichkeiten im Bereich Computer- Forensik sind heute sehr gut: Umfassende Protokollierungsmöglichkeiten bei Betriebssystemen und (Server-) Programmen Dateisysteme speichern teilweise umfangreiche Verwaltungsinformationen, beispielsweise Besitzer und verschiedene Berechtigungen Zeit des letzten lesenden Zugriffs Zeit des letzten Schreibzugriffs Aber: Diese Informationen können gefälscht werden Thomas Haeberlen 2004-10-21 Folie 26

Computer-Forensik Vieles ist möglich... Überwachungs- und Analysemöglichkeiten Inhalt des Arbeitsspeichers laufender Prozesse Geöffnete Dateien und Netzwerkports Benutzereingaben Aber: Auch solche Informationen können gefälscht werden Überwachung eines Systems von außen Offene Ports Übertragene Daten von Netzwerkverbindungen Thomas Haeberlen 2004-10-21 Folie 27

Computer-Forensik Vieles ist möglich... Wiederherstellung gelöschter Daten ist erstaunlich oft möglich Daten sind auch nach dem "Löschen" noch so lange vorhanden, bis neue Daten an die selbe Stelle auf der Festplatte geschrieben werden. Dies geschieht oft erst nach relativ langer Zeit! Selbst überschriebene Daten können eventuell noch wiederhergestellt werden. Thomas Haeberlen 2004-10-21 Folie 28

Computer-Forensik Grenzen Ein erfahrener Einbrecher kann beispielsweise Dateien und Prozesse verstecken Informationen fälschen Stichwort Rootkit "Rettungsversuche" verfälschen fast zwangsläufig Informationen (Speicherinhalte, Zeitstempel usw.) können dazu führen, dass Daten endgültig überschrieben werden Nicht alles, was möglich ist, ist auch erlaubt. Thomas Haeberlen 2004-10-21 Folie 29

Computer-Forensik Die andere Seite Wiederherstellung gelöschter Daten ist erstaunlich oft möglich: Selbst nach dem Formatieren eines Datenträgers können die Daten noch wieder hergestellt werden Viele Anwender sind viel zu sorglos mit ihren Daten Austausch mobiler Speichermedien (USB-Sticks, Speicherkarten etc.) "Entsorgung" oder Weitergabe von Festplatten Auf diese Weise können sensible Daten in die Hände Unbefugter gelangen Thomas Haeberlen 2004-10-21 Folie 30

Computer-Forensik Die andere Seite Studie von Forschern des MIT: Simson L. Garfinkel und Abhi Shelat "Rememberance of data passed - A Study on Disk Sanitization Practices" IEEE Journal on Security and Privacy, 2003 http://www.computer.org/security 158 gebrauchte Festplatten von Gebraucht-Händlern, ebay etc. Behandlung mit Datenrettungs-Tools Erschreckende Ergebnisse Thomas Haeberlen 2004-10-21 Folie 31

Computer-Forensik Die andere Seite Garfinkel/Shelat: Ergebnisse von 158 Platten 129 Platten waren funktionsfähig, davon waren nur 12 Platten (9%) korrekt "gesäubert", aber 83 Platten (64%) enthielten intakte DOS/Windows Dateisysteme Alle funktionsfähigen Platten wurden untersucht Wiederhergestellte Dateien enthielten u.a. Unternehmensinterne Memos mit "Personalsachen" Briefe E-Mails Eine große Anzahl von Kreditkartennummern Thomas Haeberlen 2004-10-21 Folie 32

Computer-Forensik Die andere Seite Datenträger mit sensitiven Daten nicht "ungesäubert" weitergeben, Achtung bei Garantieaustausch defekter Geräte Überschreiben mit entsprechenden Tools schützt gegen Wiederherstellung mit normalen Methoden Nur Formatieren ist nicht ausreichend Hochsensitive Daten möglichst verschlüsseln! Besonders bei Notebooks unverzichtbar Auch bei stationären Rechnern empfehlenswert (Schutz bei Diebstahl) Thomas Haeberlen 2004-10-21 Folie 33

Zusammenfassung Incident Handling / Incident Management Ruhe bewahren Vorbereitet sein Prioritäten setzen Sicherheitsmanagement für Effizienz und Effektivität Computer-Forensik Recht weit gehende Möglichkeiten Nicht alles, was geht, ist auch erlaubt Abwägung zwischen Spurensicherung und Gegenmaßnahmen Untersuchungen den Fachleuten überlassen Thomas Haeberlen 2004-10-21 Folie 34

Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Thomas Haeberlen Godesberger Allee 185-189 53175 Bonn Tel: +49 (0)1888-9582-129 Fax: +49 (0)1888-9582-90129 thomas.haeberlen@bsi.bund.de www.bsi.bund.de www.bsi-fuer-buerger.de Thomas Haeberlen 2004-10-21 Folie 35