IT-Sachverständigen-Gemeinschaft Virtualisierungstechnologien aus forensischer Sicht in Kempten, 17.01.2013 (Tobias Kronwitter, Gerhard Zischka) 1
Herausforderung: Wissenstransfer IT- Sachverständigen - Gemeinschaft IT- Forensik Zuwachs Wissens- Anforderung Konzentration auf Primäre Aufgabe Kenntnisstand Wissen Dilemma verstärkend Aktive Projektarbeit Dilemma Hauptaufgabe IT Fachwissen Entspricht Kenntnisstand Spezialisten- Wissen? Dilemma vermindernd Partnerschaft Outsourcing Messung der Partner Qualifikation Unterstützung durch einen Spezialisten 10.01.13 Copyright 2013: Tobias Kronwitter, Gerhard Zischka 7
Einleitung Virtualisierungs-Techniken und -Konzepte aus forensischer Sicht Allgemeine Technologie der Virtualisierung in der IT Praxis der virtualisierten Desktops Desktop Virtualisierung Ziele des Workshops Hinweise auf Virtualisierung Daten bzw. Datenstrukturen von Virtualisierungen auf den Desktop Typische Spuren von gängigen Virtualisierungs-Produkten Auswirkungen der Virtualisierung auf die Tätigkeit des Sachverständigen Praktische Vorführung: am Beispiel von VMWARE und VirtualBox Xways: Werkzeug zur forensischer Auswertung von in einer virtualisierten Datenwelt gespeicherten Daten 8
Hypervisor Virtualisierung Hardware Emulation Externe Disks Hardware Virtualisierung H Y P E R V I S O R Dynamisch physikalische Zuordnung Disk Disk Disk Hypervisor Hardware Emulation 21 XEN VMWARE Workstation ----- Virtual Box VMWARE ESX ----- Solaris LDOMs Externe Disks Emulation der Hardware Komponenten Externe Disks Externe Disks
Forensisch relevante Aspekte bei HW Virtualisierung Anwendung Vollständige Virtualisierung, bei welcher Hardware-Ressourcen ("ungefiltert") unter der Kontrolle des Hypervisors den virtuellen Einheiten zur Verfügung gestellt werden. Lokation der Daten Abhängig vom Betriebssystem liegen die Hypervisor-Konfigurationen in ausgewählten Unterverzeichnissen des Host-Betriebssystems. Vorteile Sehr gute Performance, da virtuelle Einheiten unmittelbar auf die physische Hardware zugreifen kann. Virtuelle Einheiten können auf alle Ressourcen mit all deren physikalischen Merkmalen des Hostsystems zugreifen. Nachteile Limitationen des physischen Servers sind auch Limitationen der virtuellen Einheiten. muss Virtualisierungs Technologie (VT) unterstützen Beispiele Server-Virtualisierung mit komplexen Zugriffen auf interne und externe Hardware bei guter Performance, z.b. mehrere virtuelle Mail-, Web-, und Name-Server in einer physikalischen Server-Einheit. 22
Forensisch relevante Aspekte bei HW Emulation Anwendung Vollständige Virtualisierung, bei welcher Hardware-Ressourcen nicht unmittelbar ("gefiltert") durch den Hypervisor an die virtuellen Einheiten verfügbar gemacht werden. Jede virtuelle Einheit "sieht" eine vollständige, aber emulierte Hardware. Lokation der Daten Abhängig vom Betriebssystem, liegen die Hypervisor-Konfigurationen in ausgewählten Unterverzeichnissen des Host-Betriebssystems. Vorteile Dadurch, dass emulierte Hardware den Gästen zur Verfügung gestellt wird, kann "jede" Art von Hardware verfügbar gemacht werden. So kann z.b. auf einem physikalischen, Intel-HW Host eine SPARC oder PowerPC Hardware den Gästen verfügbar gemacht werden. Nachteile Die Hardware-Emulation bedeutet bisweilen erhebliche Performanceverluste. Beispiele z.b. VirtualBox und VMware Workstation, welche beispielsweise Solaris und MAC- OS Betriebssystem virtualisieren können. 23
Unterstützung Durch die Komplexität der Virtualisierung insbesondere im Zusammenhang mit Netzwerk Architekturen und Cloud Systemen ist ein ständiger intensiver Austausch mit Experten absolut notwendig. Der tägliche Umgang in Projekten mit diesen Themen im modernen industriellen Umfeld (Rechenzentren) macht uns zu Experten für: Virtualisierung Cloud Computing Sicherheit in der IT Verschlüsselung Aus diesem Grund bieten wir Ihnen nicht nur Ausbildung und Weiterbildung, sondern auch Unterstützung bei forensischen Auswertungen und Analysen einschließlich der Erstellung von Sachverständigen Gutachten an. 48