Systemvirtualisierungen in der IT-Forensik Maurizio Tuccillo IWI Institut für Wirtschaftsinformatik Seite 1
Agenda IT-Forensik-Team der HSW Offline-Datenanalyse mittels Forensik-Software Motivation für Online-Datenanalyse Technik der Systemvirtualisierung Demo Fragen und Antworten Seite 2
Forensik-Team der HSW 3 Personen Hauptsächlich in der Ausbildung tätig: CyberCop (4 x 5 Tage) IT-Ermittler (3 x 2 Tage) Forensik für ECI, FI, IS, usw. Individuelle Schulungen von Untersuchungsorganen Anwendung und Entwicklung: Unterstützung von Untersuchungsorganen bei personellen Engpässen Unterstützung von Untersuchungsorganen bei speziellen Fragestellungen Seite 3
Offline-Datenanalyse mittels Forensik-Software (1) Konservieren des Systemzustands durch Datenspiegelung Gewährleisten der Datenintegrität durch geeignete Massnahmen (durch Verwendung eines softwareoder hardwarebasierten Schreibschutzes) Überprüfung der Datenintegrität durch Hashwertvergleich (Initial Acquisition Verify) Durchführung der Datenanalyse ausschliesslich anhand der Datenspiegelung Seite 4
Offline-Datenanalyse mittels Forensik-Software (2) Verwendung von spezialisierter Forensik-Software (z.b. EnCase) zur Bearbeitung des gespiegelten Datenmaterials: Wiederherstellung von gelöschten Daten Aufbereitung des Datenmaterials (Archive öffnen, Verschlüsselungen knacken, usw.) Analyse und Sichtung der Daten Interpretation der gefundenen Spuren Seite 5
Motivation für Online-Datenanalyse (1) Nach dem Motto: Ein System ist mehr als die Summe seiner Einzelteile! Durch die Offline-Datenanalyse werden wesentliche Informationsquellen nicht ausgeschöpft: Wie präsentiert sich der Desktop des sichergestellten Systems? Look&Feel des Systems! Welche Software ist installiert, wie ist diese gepflegt und verwendet worden? Welche Zusatzinformationen lassen sich aus Konfigurationsdateien und der Registrierung gewinnen? Welche Datenbereiche sind verschlüsselt worden und was ist darin zu finden? Gibt es automatisierte Abläufe (Prozeduren)? Seite 6
Motivation für Online-Datenanalyse (2) Bei Serversystemen: Wie präsentiert sich das System nach aussen (z.b. Aufbau einer Website, Inhalt von Datenbanken, usw.) Bei Mehrsystem-Umgebungen: Wie erfolgt die Kommunikation zwischen den einzelnen Komponenten? Welche Daten sind wo abgelegt? Wer hat wie, wann auf welche Daten zugegriffen? Antworten durch Untersuchung am laufenden System eventuell leicht(er) zu finden! Seite 7
Technik der Systemvirtualisierung (1) Verschiedene Techniken und Zwecke: Hardwarevirtualisierungen (von Hardware) Softwarevirtualisierungen (von Hardware) Emulationen (für Betriebssysteme oder Applikationen) Softwarevirtualisierung einer Hardware Läuft unter einem Wirtsbetriebssytem Abstrahiert (virtualisiert) die zur Verfügung stehenden HW- Ressourcen (Prozessorleistung, Hauptspeicher, Schnittstellen) Stellt eine vollwertige HW-Umgebung (z.b. x86- Architektur) zur Verfügung Seite 8
Technik der Systemvirtualisierung (2) Ziel: Inbetriebnahme des sichergestellten Systems ohne Rückgriff auf die Original-Hardware und unter Wahrung der Datenintegrität der Originaldatenträger Zur Verfügung stehende Datenquelle: Datenspiegelung aus Sicherstellung (Evidence- Dateien) Virtualisierung der Original-Hardware durch (frei erhältliche) Software Analyse am laufenden System unter Nutzung der Umgebungsinformationen Seite 9
Technik der Systemvirtualisierung (3) Vorteile der Systemvirtualisierung: Schnelle Inbetriebnahme einer exakten Kopie des Originalsystems Keine Kompromittierung der Datenintegrität Erlaubt Untersuchung am Live-System Erlaubt Aufbau einer Mehrsystemumgebung auf einem einzigen Gerät Kann mit freier Software erzielt werden Seite 10
Technik der Systemvirtualisierung (4) Nachteile der Systemvirtualisierung: Funktioniert nicht für beliebige Systeme Erfordert leistungsfähige Wirtsumgebungen (Ressourcenteilung) HW-spezifische Einstellungen und Treiber der Installation müssen an Wirtsumgebung angepasst werden Seite 11
Technik der Systemvirtualisierung (5) Vorgehen: Emulation der physischen Festplatte ab der Datenspiegelungsdatei mittels Forensik-Software (in unserem Beispiel Modul PDE von EnCase) (Falls nötig) Bereinigung der emulierten Festplatte von HW-spezifischen Einstellungen und Erstellen eines virtuellen Images (in unserem Beispiel mittels VMware Converter) Starten des virtuellen Images in einer Virtualisierungssoftware (in unserem Fall VMware Player) Seite 12
Demo Seite 13
Fragen und Antworten Seite 14