Computer-Forensik
Computerstraftaten erkennen, ermitteln, aufklären
6th Edition
Published on 25. March 2014
388 pages
978-3-86491-489-8 (ISBN)
Available for download
Description
Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen.
Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im "Fall der Fälle" als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah,
wo man nach Beweisspuren suchen sollte,
wie man sie erkennen kann,
wie sie zu bewerten sind,
wie sie gerichtsverwendbar gesichert werden.
Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.
In der 6. Auflage wurden Statistiken und Toolbeschreibungen aktualisiert sowie neueste rechtliche Entwicklungen aufgenommen. Hinzugekommen sind neue Ansätze der strukturierten Untersuchung von Hauptspeicherinhalten und die Analyse von Malware.
More details
Other editions
Additional editions
Book
03/2014
6th Edition
dpunkt
€42.90
Available immediately
Person
Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen.
Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete.
Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.
Content
- Cover
- Titel
- Impressum
- Inhaltsverzeichnis
- Einleitung
- Wer sollte dieses Buch lesen?
- Was lernt man in diesem Buch?
- Was lernt man in diesem Buch nicht?
- Wie liest man dieses Buch?
- Kapitel 1
- Kapitel 2
- Kapitel 3
- Kapitel 4
- Kapitel 5
- Kapitel 6
- Kapitel 7
- Kapitel 8
- Kapitel 9
- Kapitel 10
- Was ist neu in der 6. Auflage?
- Was ist neu in der 5. Auflage?
- Was ist neu in der 4. Auflage?
- Was ist neu in der 3. Auflage?
- Was ist neu in der 2. Auflage?
- 1 Bedrohungssituation
- 1.1 Bedrohung und Wahrscheinlichkeit
- 1.2 Risikoverteilung
- 1.3 Motivation der Täter
- 1.4 Innentäter vs. Außentäter
- 1.5 Bestätigung durch die Statistik?
- 1.6 Computerkriminalität
- 2 Ablauf von Angriffen
- 2.1 Typischer Angriffsverlauf
- 2.1.1 Footprinting
- 2.1.2 Port- und Protokollscan
- 2.1.3 Enumeration
- 2.1.4 Exploiting/Penetration
- 2.1.5 Hintertüren einrichten
- 2.1.6 Spuren verwischen
- 2.2 Beispiel eines Angriffs
- 3 Incident Response als Grundlage der Computer-Forensik
- 3.1 Der Incident-Response-Prozess
- 3.2 Organisatorische Vorbereitungen
- 3.3 Zusammensetzung des Response-Teams
- 3.4 Incident Detection: Systemanomalien entdecken
- 3.4.1 Vom Verdacht zum Beweis
- 3.4.2 Netzseitige Hinweise
- 3.4.3 Serverseitige Hinweise
- 3.4.4 Intrusion-Detection-Systeme
- 3.4.5 Externe Hinweise
- 3.5 Incident Detection: Ein Vorfall wird gemeldet
- Meldung des Vorfalls
- Allgemeine Informationen
- Informationen über den Anrufer
- Informationen vom betroffenen System
- Informationen über den Angreifer
- Was wurde bereits unternommen?
- 3.6 Sicherheitsvorfall oder Betriebsstörung?
- 3.7 Wahl der Response-Strategie
- 3.8 Reporting und Manöverkritik
- 4 Einführung in die Computer-Forensik
- 4.1 Ziele einer Ermittlung
- 4.2 Anforderungen an den Ermittlungsprozess
- 4.3 Phasen der Ermittlung
- 4.4 Das S-A-P-Modell
- 4.5 Welche Erkenntnisse kann man gewinnen?
- Wer hatte Zugang?
- Was hat der Angreifer auf dem System gemacht?
- Wann fand der Vorfall statt?
- Welche weiteren Systeme sind noch betroffen?
- Warum ist gerade dieses Netz oder System angegriffen worden?
- Wie konnte der Angreifer Zugriff erlangen?
- Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt?
- Was konnte der Angreifer auf diesem System einsehen?
- Was wurde vom Angreifer zurückgelassen?
- Welche Tools wurden verwendet?
- Wie wurden diese Tools aufgerufen?
- In welcher Programmiersprache wurden die Tools geschrieben?
- Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden?
- Welche Events wurden protokolliert?
- Was wird durch die Protokolldaten enthüllt?
- Protokolldaten der Remote-Access-Systeme
- Protokolldaten der Zutrittskontrollsysteme
- Was findet sich auf den Datenträgern?
- Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden?
- Welche Dateien wurden gelöscht?
- Existieren versteckte Dateien?
- Existieren verschlüsselte Dateien?
- Existieren versteckte Partitionen?
- Existieren bekannte Hintertür- oder andere Fernzugriffstools?
- 4.6 Wie geht man korrekt mit Beweismitteln um?
- 4.6.1 Juristische Bewertung der Beweissituation
- 4.6.2 Datenschutz
- 4.6.3 Welche Daten können erfasst werden?
- 4.6.4 Bewertung der Beweisspuren
- 4.6.5 Durchgeführte Aktionen dokumentieren
- 4.6.6 Beweise dokumentieren
- 4.6.7 Mögliche Fehler bei der Beweissammlung
- 4.7 Flüchtige Daten sichern: Sofort speichern
- Aktuelle Uhrzeit
- Cache-Inhalt
- Speicherinhalte
- Status der Netzverbindung
- Status der laufenden Prozesse
- Inhalt der Speichermedien
- Inhalt des Hauptspeichers
- 4.8 Speichermedien sichern: Forensische Duplikation
- 4.8.1 Wann ist eine forensische Duplikation sinnvoll?
- 4.8.2 Geeignete Verfahren
- 4.9 Was sollte alles sichergestellt werden?
- 4.10 Erste Schritte an einem System für die Sicherstellung
- 4.10.1 System läuft nicht (ist ausgeschaltet)
- 4.10.2 System läuft (ist eingeschaltet)
- 4.10.3 Entscheidungsprozesse
- 4.11 Untersuchungsergebnisse zusammenführen
- 4.12 Häufige Fehler
- Kein Incident-Response-Plan in Vorbereitung
- Unterschätzen der Tragweite des Vorfalls
- Keine rechtzeitige Meldung über den Vorfall
- Entscheidungsträger sind nicht oder nur unzureichend informiert
- Keine durchgängige Dokumentation der durchgeführten Aktionen
- Digitale Beweise sind unzureichend vor Veränderung geschützt
- 4.13 Anti-Forensik
- 5 Einführung in die Post-mortem-Analyse
- 5.1 Was kann alles analysiert werden?
- 5.2 Analyse des File Slack
- 5.3 Timeline-Analysen
- 5.4 NTFS-Streams
- 5.5 NTFS TxF
- 5.6 NTFS-Volumen-Schattenkopien
- 5.7 Windows-Registry
- Virtualisierung
- 5.8 Windows UserAssist Keys
- 5.9 Windows Prefetch-Dateien
- 5.10 Auslagerungsdateien
- 5.11 Versteckte Dateien
- Rootkits
- 5.12 Dateien oder Fragmente wiederherstellen
- 5.13 Unbekannte Binärdateien analysieren
- Ein Beispiel für eine umfangreiche Analyse
- 5.14 Systemprotokolle
- 5.15 Analyse von Netzwerkmitschnitten
- 6 Forensik- und Incident-Response-Toolkits im Überblick
- 6.1 Grundsätzliches zum Tooleinsatz
- 6.2 Sichere Untersuchungsumgebung
- 6.3 F.I.R.E.
- 6.4 Knoppix Security Tools Distribution
- 6.5 Helix
- 6.6 ForensiX-CD
- 6.7 C.A.I.N.E. und WinTaylor
- 6.8 DEFT und DEFT-Extra
- 6.9 EnCase
- 6.10 dd
- 6.11 Forensic Acquisition Utilities
- 6.12 AccessData Forensic Toolkit
- 6.13 The Coroner's Toolkit und TCTUtils
- 6.14 The Sleuth Kit
- Zugriff auf Dateisystem-Ebene
- Zugriff auf Dateinamen-Ebene
- Zugriff auf Metadaten-Ebene
- Zugriff auf Dateiebene
- 6.15 Autopsy Forensic Browser
- 6.16 Eigene Toolkits für Unix und Windows erstellen
- 6.16.1 F.R.E.D.
- 6.16.2 Incident Response Collection Report (IRCR)
- 6.16.3 Windows Forensic Toolchest (WFT)
- 6.16.4 Live View
- 7 Forensische Analyse im Detail
- 7.1 Forensische Analyse unter Unix
- 7.1.1 Die flüchtigen Daten speichern
- Ein Beispiel für das Sichern flüchtiger Daten
- 7.1.2 Forensische Duplikation
- Die verdächtige Platte an ein eigenes Analysesystem anschließen
- 7.1.3 Manuelle P.m.-Analyse der Images
- Timeline-Analyse mit dem Sleuth Kit
- Analyse von gelöschten Dateien mit dem Sleuth Kit
- Suche mit Bordmitteln
- 7.1.4 P.m.-Analyse der Images mit Autopsy
- 7.1.5 Dateiwiederherstellung mit unrm und lazarus
- 7.1.6 Weitere hilfreiche Tools
- 7.2 Forensische Analyse unter Windows
- 7.2.1 Die flüchtigen Daten speichern
- 7.2.2 Analyse des Hauptspeichers
- 7.2.3 Analyse des Hauptspeichers mit Volatility
- 7.2.4 Forensische Duplikation
- Images mit den Forensic Acquisition Utilities erstellen
- Images mit dem AccessData FTK Imager erstellen
- Images mit EnCase erstellen
- 7.2.5 Manuelle P.m.-Analyse der Images
- 7.2.6 P.m.-Analyse der Images mit dem AccessData FTK
- 7.2.7 P.m.-Analyse der Images mit EnCase
- 7.2.8 P.m.-Analyse der Images mit X-Ways Forensics
- 7.2.9 Weitere hilfreiche Tools
- 7.3 Forensische Analyse von mobilen Geräten
- 7.3.1 Was ist von Interesse bei mobilen Geräten?
- 7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse?
- 7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten
- 7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick
- 7.4 Forensische Analyse von Routern
- 8 Empfehlungen für den Schadensfall
- 8.1 Logbuch
- 8.2 Den Einbruch erkennen
- Review der IDS-Logs
- Review der Firewall-Logs
- Review der System-Logs
- Review der SU-Logdatei
- Review der Telefondaten
- 8.3 Tätigkeiten nach festgestelltem Einbruch
- Verfahren Sie nach Ihren festgelegten Incident-Response-Abläufen
- Entscheidung über die nächsten Schritte
- Schutz der verdächtigen Systeme
- Identifizieren Sie, wo die Angreifer überall waren
- 8.4 Nächste Schritte
- 9 Backtracing
- 9.1 IP-Adressen überprüfen
- 9.1.1 Ursprüngliche Quelle
- 9.1.2 IP-Adressen, die nicht weiterhelfen
- 9.1.3 Private Adressen
- 9.1.4 Weitere IANA-Adressen
- 9.1.5 Augenscheinlich falsche Adressen
- 9.2 Spoof Detection
- 9.2.1 Traceroute Hopcount
- Default-Werte der Initial TTL
- Probleme mit Traceroute Hopcounting
- 9.3 Routen validieren
- Ein Spoof-Beispiel
- 9.4 Nslookup
- 9.5 Whois
- 9.6 E-Mail-Header
- 10 Einbeziehung der Behörden
- 10.1 Organisatorische Vorarbeit
- 10.2 Strafrechtliches Vorgehen
- 10.2.1 Inanspruchnahme des Verursachers
- 10.2.2 Möglichkeiten der Anzeigeerstattung
- Das Tatortprinzip
- 10.2.3 Einflussmöglichkeiten auf das Strafverfahren
- 10.3 Zivilrechtliches Vorgehen
- 10.4 Darstellung in der Öffentlichkeit
- 10.5 Die Beweissituation bei der privaten Ermittlung
- Beweissituation im Sachbeweis
- Beweissituation im Personalbeweis
- 10.6 Fazit
- Anhang
- A Tool-Überblick
- B C.A.I.N.E.-Tools
- C DEFT-Tools
- Literaturempfehlungen
- Index
- Sonderzeichen
