Haftungsausschluss: Wir haben keine echte Untersuchung durchgeführt. Dies war ein Teil unserer Universitätsaufgabe, bei der wir die Rolle eines forensischen Ermittlers übernahmen und feststellten, welche Methoden anwendbar waren. Es steht Ihnen frei, Ihre eigenen Erkenntnisse zu gewinnen und den Fall zu lösen. Wir haben versucht, der globalen Methodik zu folgen, um zu zeigen, wie ein grundlegender forensischer Untersuchungsbericht aussehen sollte.

Credits

Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]

Einführung

Die Computertechnologie ist ein wesentlicher Bestandteil des menschlichen Alltags, Die Zahl der Computerkriminalität wie Finanzbetrug, unbefugtes Eindringen, Identitätsdiebstahl und geistiger Diebstahl nimmt rapide zu. Um diesen computerbezogenen Straftaten entgegenzuwirken, spielt die Computerforensik eine sehr wichtige Rolle. „Bei der Computerforensik geht es um die Beschaffung und Analyse digitaler Informationen zur Verwendung als Beweismittel in zivil-, straf- oder verwaltungsrechtlichen Fällen (Nelson, B., et al, 2008)“.

Eine computerforensische Untersuchung untersucht im Allgemeinen die Daten, die von Computerfestplatten oder anderen Speichermedien entnommen werden können, unter Einhaltung von Standardrichtlinien und -verfahren, um festzustellen, ob diese Geräte durch unbefugten Zugriff kompromittiert wurden oder nicht. Computerforensiker arbeiten im Team, um den Vorfall zu untersuchen und die forensische Analyse mit Hilfe verschiedener Methoden (z. B. statisch und dynamisch) und Tools (z. B. ProDiscover oder Encase) durchzuführen, um die Sicherheit des Computernetzwerks in einer Organisation zu gewährleisten. Ein erfolgreicher forensischer Ermittler muss mit den verschiedenen Gesetzen und Vorschriften in Bezug auf Computerkriminalität in seinem Land (z. B. Computer Misuse Act 1990, Vereinigtes Königreich) sowie mit verschiedenen Computerbetriebssystemen (z. B. Windows, Linux) und Netzwerkbetriebssystemen (z. B. Win NT) vertraut sein. Nach Nelson, B., et al. (2008) sind öffentliche Ermittlungen und private oder Unternehmensermittlungen die beiden unterschiedlichen Kategorien, die unter computerforensische Ermittlungen fallen. Öffentliche Ermittlungen werden von Regierungsbehörden durchgeführt, während private Ermittlungen von privaten Computerforensikern durchgeführt werden. Dieser Bericht konzentriert sich auf private Ermittlungen, da sich ein Vorfall bei einem neu gegründeten KMU in Luton ereignet hat.

Dieser Bericht umfasst auch ein Modell für Computeruntersuchungen, Datensammlungen und ihre Arten, die Beschaffung von Beweismaterial, forensische Werkzeuge, böswillige Ermittlungen, rechtliche Aspekte der Computerforensik, und schließlich enthält dieser Bericht auch notwendige Empfehlungen, Gegenmaßnahmen und Richtlinien, um sicherzustellen, dass dieses KMU in eine sichere Netzwerkumgebung versetzt wird.

Fallstudie

Ein neu gegründetes KMU (kleines bis mittleres Unternehmen) mit Sitz in Luton und einem E-Government-Modell hat vor kurzem begonnen, Anomalien in seinen Buchhaltungs- und Produktunterlagen zu bemerken. Bei einer ersten Überprüfung der Systemprotokolldateien wurden eine Reihe von verdächtigen Einträgen und IP-Adressen mit einer großen Menge an Daten festgestellt, die außerhalb der Unternehmensfirewall gesendet wurden. In jüngster Zeit sind auch einige Kundenbeschwerden eingegangen, wonach während der Auftragsabwicklung häufig eine seltsame Meldung angezeigt wird und die Kunden häufig auf eine Zahlungsseite umgeleitet werden, die nicht legitim aussieht.

Das Unternehmen verwendet ein E-Business-Paket für allgemeine Zwecke (OSCommerce) und verfügt über ein kleines Team von sechs IT-Support-Mitarbeitern, die jedoch nicht über das Fachwissen verfügen, um eine umfassende Malware-/Forensik-Untersuchung durchzuführen.

Da der Wettbewerb im High-Tech-Bereich zunimmt, ist das Unternehmen bestrebt, sicherzustellen, dass seine Systeme nicht kompromittiert werden, und es hat einen digitalen forensischen Ermittler eingestellt, um festzustellen, ob bösartige Aktivitäten stattgefunden haben, und um sicherzustellen, dass sich keine Malware in seinen Systemen befindet.

Ihre Aufgabe ist es, den Verdacht des Teams zu untersuchen und ihm Vorschläge zu unterbreiten, wie es etwaige von Malware betroffene Rechner desinfizieren und sicherstellen kann, dass keine anderen Rechner in seinen Räumlichkeiten oder im Netzwerk infiziert wurden. Das Team möchte außerdem, dass Sie eine digitale forensische Untersuchung durchführen, um zu sehen, ob Sie die Ursache der Probleme zurückverfolgen können, und um gegebenenfalls ein Verfahren gegen die Täter vorzubereiten.

Das Unternehmen verwendet Windows Server NT für seine Server. Patches werden vom IT-Support-Team monatlich aufgespielt, aber dem Team ist aufgefallen, dass eine Reihe von Rechnern nicht gepatcht zu sein scheint.

Leistungen

Ihre Leistung in dieser Aufgabe ist ein Bericht mit 5.000 Wörtern, in dem Sie darlegen, wie Sie die folgenden Aufgaben angehen würden:

– Untersuchung von Malware

– Digitale forensische Untersuchung

Sie sollten einen allgemeinen Überblick über die von Ihnen verwendete Methodik geben und begründen, warum die gewählte Methodik relevant ist.

Sie sollten auch den Prozess erörtern, den Sie zur Sammlung von Beweisen verwenden werden, und die relevanten Richtlinien diskutieren, die bei der Sammlung digitaler Beweise befolgt werden müssen.

Im Rahmen Ihres Berichts sollten Sie auch eine kritische Bewertung der vorhandenen Instrumente und Techniken für die digitale Forensik oder Malware-Untersuchungen vornehmen und deren Wirksamkeit beurteilen, wobei Sie Fragen wie die Kohärenz der gewählten Ansätze, die von den forensischen Ermittlern benötigten Fähigkeiten und die mit den vorhandenen Methoden verbundenen Probleme erörtern sollten (insbesondere im Hinblick auf das Fehlen eines einzigen gemeinsamen globalen Ansatzes für die Durchführung solcher Untersuchungen und die Probleme, die sich ergeben können, wenn eine Untersuchung über internationale Grenzen hinweg durchgeführt werden muss).

Association of Chief Police Officers (ACPO)

Diese kriminaltechnische Untersuchung wird gemäß den Richtlinien der Association of Chief Police Officers (ACPO) und deren vier Grundsätzen durchgeführt. Es gibt vier ACPO-Grundsätze, die sich auf computergestützte elektronische Beweismittel beziehen. Diese Grundsätze müssen befolgt werden, wenn eine Person eine forensische Computeruntersuchung durchführt. Die Zusammenfassung dieser Grundsätze lautet wie folgt (ACPO, 2013):

Grundsatz 1: Auf einem Computer oder Speichermedium gespeicherte Daten dürfen nicht verändert werden, da diese Daten später vor Gericht vorgelegt werden können.

Grundsatz 2: Eine Person muss kompetent genug sein, um mit den auf einem Computer oder Speichermedium gespeicherten Originaldaten umzugehen, wenn dies erforderlich ist, und sie muss auch in der Lage sein, den Beweis zu erbringen, der die Relevanz und den Ablauf ihrer Handlungen erklärt.

Grundsatz 3: Ein Prüfpfad oder eine andere Dokumentation aller auf computergestütztes elektronisches Beweismaterial angewandten Prozesse sollte erstellt und aufbewahrt werden. Ein unabhängiger Dritter sollte in der Lage sein, diese Prozesse zu überprüfen und zum gleichen Ergebnis zu kommen.

Grundsatz 4: Eine Person, die für die Untersuchung verantwortlich ist, muss die Gesamtverantwortung dafür tragen, dass das Gesetz und die ACPO-Grundsätze eingehalten werden.

Computeruntersuchungsmodell

Nach Kruse II, W.G., und Heiser, J.G. (2010) besteht eine Computeruntersuchung darin, die Beweise zu identifizieren, diese Beweise zu sichern, sie zu extrahieren, jeden einzelnen Prozess zu dokumentieren und diese Beweise zu validieren und sie zu analysieren, um die Grundursache zu finden und Empfehlungen oder Lösungen bereitzustellen.

„Die Computerforensik ist ein neues Feld, und es gibt weniger Standardisierung und Konsistenz in den Gerichten und der Industrie“ (US-CERT, 2012). Jedes Modell der Computerforensik konzentriert sich auf einen bestimmten Bereich wie die Strafverfolgung oder die Ermittlung elektronischer Beweise. Es gibt kein einziges digitales forensisches Untersuchungsmodell, das sich allgemein durchgesetzt hat. Es wurde jedoch allgemein akzeptiert, dass der Rahmen für ein digitales forensisches Modell flexibel sein muss, damit es jede Art von Vorfällen und neue Technologien unterstützen kann (Adam, R., 2012).

Kent, K., et.al, (2006) entwickelte ein grundlegendes digitales forensisches Untersuchungsmodell namens Four Step Forensics Process (FSFP) mit der Idee von Venter (2006), dass digitale forensische Untersuchungen auch von nicht-technischen Personen durchgeführt werden können. Dieses Modell bietet mehr Flexibilität als alle anderen Modelle, so dass eine Organisation das am besten geeignete Modell auf der Grundlage der aufgetretenen Situationen annehmen kann. Dies sind die Gründe, warum wir dieses Modell für diese Untersuchung gewählt haben. FSFP enthält die folgenden vier grundlegenden Prozesse, wie in der Abbildung dargestellt:

Abbildung 1: FSFP Forensic Investigation Model

Quelle: Kent, K., et.al, (2006)

Die Pfeilmarkierung „Beweise aufbewahren und dokumentieren“ zeigt an, dass wir alle Beweise im Laufe der Untersuchung aufbewahren und dokumentieren müssen, da diese in einigen Fällen dem Gericht als Beweise vorgelegt werden können. In den folgenden Abschnitten werden wir jeden einzelnen Prozess oder jede Phase des FSFP-Untersuchungsmodells erörtern.

Untersuchungsumfang

Der Umfang der forensischen Untersuchungen für diesen Fall ist wie folgt:

  • Ermittlung der böswilligen Aktivitäten im Hinblick auf die 5Ws (Warum, Wann, Wo, Was, Wer).
  • Die Sicherheitslücke in ihrem Netzwerk zu identifizieren.
  • Die Auswirkungen herauszufinden, wenn das Netzwerksystem kompromittiert wurde.
  • Die rechtlichen Verfahren zu identifizieren, falls erforderlich.
  • Die Abhilfemaßnahmen zu liefern, um das System zu härten.

Rechtliche Herausforderungen der Untersuchung

Nach Nelson, B., et al., (2008) sind die rechtlichen Herausforderungen vor Beginn der forensischen Untersuchung folgende:

  • Bestimmen, ob die Unterstützung der Strafverfolgungsbehörden erforderlich ist, und wenn ja, können sie während der Untersuchung zur Unterstützung zur Verfügung stehen, oder wir müssen ihnen den Untersuchungsbericht am Ende der Untersuchung vorlegen.
  • Einholen einer schriftlichen Genehmigung für die Durchführung der forensischen Untersuchung, sofern kein anderes Genehmigungsverfahren für die Reaktion auf Zwischenfälle vorliegt.
  • Besprechung mit den Rechtsberatern, um die potenziellen Probleme zu ermitteln, die bei einer unsachgemäßen Durchführung der Untersuchung auftreten können.
  • Sicherstellen, dass die Vertraulichkeit und der Datenschutz der Kunden berücksichtigt werden.

Anfangsvorbereitung

Es liegt auf der Hand, dass vor Beginn der Untersuchung eine Vorbereitung erforderlich ist, um die Untersuchung effizient durchzuführen. Dies wird als proaktive Maßnahme der Untersuchung betrachtet (Murray, 2012). Die folgenden Schritte müssen in der Vorbereitungsphase unternommen werden:

  • Sammeln aller verfügbaren Informationen aus der Bewertung des Vorfalls, wie z. B. die Schwere des Vorfalls.
  • Ermittlung der Auswirkungen der Untersuchung auf das KMU-Geschäft, z. B. Ausfallzeiten des Netzwerks, Dauer der Wiederherstellung nach dem Vorfall, Einnahmeverluste und Verlust vertraulicher Informationen.
  • Beschaffung von Informationen über die Netzwerke, Netzwerkgeräte wie Router, Switches, Hub usw., Dokumentation der Netzwerktopologie, Computer, Server, Firewall und Netzwerkdiagramm.
  • Identifizierung der externen Speichermedien wie Pen-Drive, Flash-Drive, externe Festplatte, CD, DVD, Speicherkarten und Remote-Computer.
  • Identifizierung der forensischen Tools, die bei dieser Untersuchung verwendet werden können.
  • Aufzeichnung des Live-Netzwerkverkehrs für den Fall, dass die verdächtigen Aktivitäten noch mit ’netmon‘-Tools laufen.
  • Dokumentation aller Aktivitäten während der Untersuchung, die vor Gericht verwendet werden kann, um die Vorgehensweise bei der Untersuchung zu überprüfen.
  • Imaging der Festplatte der Zielgeräte und Hashing mit MD5 für die Datenintegrität.

Erfassung

„Die Erfassungsphase ist die erste Phase dieses Prozesses, in der es darum geht, Daten aus den möglichen Quellen relevanter Daten zu identifizieren, zu kennzeichnen, aufzuzeichnen und zu erfassen und dabei Richtlinien und Verfahren zu befolgen, die die Integrität der Daten wahren“ (CJCSM 6510.01B, 2012). Es gibt zwei verschiedene Arten von Daten, die bei einer computerforensischen Untersuchung gesammelt werden können. Es handelt sich um flüchtige Daten und nicht flüchtige Daten (persistente Daten). Flüchtige Daten sind Daten, die vorhanden sind, wenn das System eingeschaltet ist, und die beim Ausschalten gelöscht werden, z. B. Random Access Memory (RAM), Registrierung und Caches. Nichtflüchtige Daten sind Daten, die auf einem System vorhanden sind, wenn es ein- oder ausgeschaltet ist, z. B. Dokumente auf der Festplatte. Da flüchtige Daten kurzlebig sind, muss ein forensischer Ermittler wissen, wie er sie am besten erfasst. Beweise können lokal oder aus der Ferne gesammelt werden.

Flüchtige Daten

Die folgende Abbildung zeigt, wie die flüchtigen Daten erfasst werden. Die forensische Workstation muss sich im selben LAN befinden, in dem sich auch der Zielrechner, in diesem Fall der Windows NT Server, befindet. Die „Cryptcat“-Tools können auf der forensischen Workstation verwendet werden, um den Port des Windows NT-Servers abzuhören. Erstellen Sie das vertrauenswürdige optische Laufwerk des Windows NT-Servers und öffnen Sie die vertrauenswürdige Konsole cmd.exe und verwenden Sie den folgenden Befehl:

cryptcat <ip address> 6543 -k key

Um die Daten auf der forensischen Arbeitsstation zu erfassen, verwenden wir den folgenden Befehl:

cryptcat -l -p 6543 -k key >> <file name>

Abbildung 2: Aufbau der flüchtigen Datensammlung

Quelle: Reino, A., (2012)

Die folgende Tabelle zeigt die Tools der grafischen Benutzeroberfläche und ihre Verwendung und Ergebnisse, die bei der computerforensischen Untersuchung verwendet werden können.

Tabelle 1: Forensische Tools für flüchtige Daten und ihre Verwendung und Ergebnisse

Quelle: Reino, A., (2012)

Wir verwenden auch verschiedene Windows-basierte Tools, um die flüchtigen Daten wie folgt zu erfassen:

HBGray’s FastDump – Erfassung des lokalen physischen Speichers.

HBGray’s F-Response – Erfassung des entfernten physischen Speichers

ipconfig – Erfassung von Details des Subjektsystems.

netusers und qusers – Identifizierung angemeldeter Benutzer

doskey/history – Erfassung der Befehlshistorie

netfile – Identifizierung von Diensten und Treibern

Schließlich ist auch die Erfassung des Inhalts der Zwischenablage bei einer computerforensischen Untersuchung sehr wichtig. Wenn also die Anomalien im KMU noch vorhanden sind, können wir viele wichtige Beweise aus den laufenden Prozessen, der Netzwerkverbindung und den im Speicher gespeicherten Daten abrufen. Es gibt eine Menge Beweise, wenn sich der Rechner im flüchtigen Zustand befindet, und deshalb muss sichergestellt werden, dass die betroffenen Computer nicht heruntergefahren werden, um solche Beweise zu sammeln.

Nichtflüchtige Daten

Wenn die flüchtigen Daten erfasst wurden, werden wir uns die nichtflüchtigen Daten ansehen. Der erste Schritt bei der Erfassung nichtflüchtiger Daten besteht darin, den Inhalt des gesamten Zielsystems zu kopieren. Dies wird auch als „forensisches Imaging“ bezeichnet. Das Imaging hilft dabei, die Originaldaten als Beweismittel zu erhalten, ohne dass es zu Fehlfunktionen oder Datenänderungen kommt, die während der forensischen Untersuchung auftreten. Ein forensisches Imaging wird von forensischen Tools wie EnCase, ProDiscover und FTK erstellt. Ein forensischer Ermittler verwendet einen Schreibblocker, um sich mit dem Zielsystem zu verbinden und den gesamten Inhalt des Ziellaufwerks auf ein anderes Speichergerät zu kopieren, indem er eines dieser forensischen Tools verwendet. Das Klonen von Festplatten ist nichts anderes als die Erstellung eines Duplikats des gesamten Systems. Der Unterschied zwischen dem forensischen Imaging und dem Klonen von Festplatten besteht darin, dass auf das forensische Imaging ohne forensische Werkzeuge nicht zugegriffen werden kann, während das Klonen von Festplatten mit einem Mount-Laufwerk leicht zugänglich ist. Das Klonen von Festplatten enthält nur ein Roh-Image, bei dem jedes Bit kopiert wird und keine weiteren Inhalte hinzugefügt werden. Das forensische Imaging enthält Metadaten, d. h. Hashes und Zeitstempel, und es komprimiert alle leeren Blöcke. Das forensische Imaging wird mit MD5 oder SHA-2 gehasht, um die Integrität der digitalen Beweise zu gewährleisten (Nelson, B., et al., 2008).

Die Datenerfassung kann bei Offline-Untersuchungen und Online-Untersuchungen durchgeführt werden. Die forensische Bildgebung kann bei der Offline-Untersuchung durchgeführt werden. Live-Netzwerkverkehr kann bei der Online-Untersuchung mit den Tools Ethereal oder Wireshark erfasst werden. Firewall-Protokolle, Antivirus-Protokolle und Domänencontroller-Protokolle werden für die Untersuchung im Rahmen der nichtflüchtigen Datenerfassung gesammelt. Wir werden auch die Webserver-Protokolle, Windows-Ereignisprotokolle, Datenbankprotokolle, IDS-Protokolle und Anwendungsprotokolle sammeln. Sobald wir alle digitalen Beweise gesammelt haben, müssen sie in der Chain-of-the-Custody-Log-Dokumentation dokumentiert werden. Die Chain-of-Custody-Protokolldokumentation dient dazu, die Integrität der Beweise von Anfang bis Ende der Untersuchung bis zur Vorlage des Untersuchungsberichts zu wahren (Nelson, B., et al., 2008).

Bevor wir weitere Prozesse durchführen, müssen wir die Festplatte Bit für Bit abbilden, wodurch wir auf den gesamten Datenträger zugreifen und die Originalmedien, einschließlich der gelöschten Dateien, kopieren. Nach dem Abbilden des Datenträgers sollten wir alles mit einem Hash-Wert versehen, um sicherzustellen, dass die Daten authentisch sind und die Integrität der Daten während der gesamten Untersuchung gewahrt bleibt. Die Hash-Werte müssen an mehreren Stellen aufgezeichnet werden, und wir müssen sicherstellen, dass wir vom Zeitpunkt der Datenerfassung bis zum Ende der Untersuchung keine Änderungen an den Daten vornehmen. Die meisten Tools helfen dabei, indem sie auf die Medien in einem schreibgeschützten Zustand zugreifen (SANS, 2010). Die Festplatten des Zielsystems, externe Speichergeräte und die Festplatte des Windows NT Servers müssen für die digitale forensische Untersuchung in diesem Fall erfasst werden.

Untersuchung

Wenn wir alle verfügbaren Beweise gesammelt haben, müssen wir die Untersuchung mit Hilfe verschiedener forensischer Computeruntersuchungstools durchführen. Wir untersuchen auch das Dateisystem, die Windows-Registrierung, das Netzwerk und die Datenbank forensisch, wie folgt:

Untersuchung des Dateisystems

NTFS ist das New Technology File System und NTFS Disk ist eine Datei. MFT ist die Master File Table, die Informationen über alle Dateien und Festplatten enthält, und sie ist auch die erste Datei in NTFS. Die Einträge in der MFT werden auch als Metadaten bezeichnet. Metadaten sind Daten über Daten (Nelson, B., et. al., 2008). Dateien können auf zwei Arten in der MFT gespeichert werden: resident und nicht-resident. Eine Datei, die kleiner als 512 Byte ist, kann in der MFT als residente Datei untergebracht werden, während eine Datei, die größer als 512 Byte ist, außerhalb der MFT als nicht-residente Datei gespeichert werden kann. Wenn eine Datei in Windows NT gelöscht wird, wird die Datei vom Betriebssystem umbenannt und mit einer eindeutigen Identität in den Papierkorb verschoben. Das Betriebssystem speichert Informationen über den ursprünglichen Pfad und den ursprünglichen Dateinamen in der Datei info2. Wenn jedoch eine Datei aus dem Papierkorb gelöscht wird, werden die zugehörigen Cluster als verfügbar für neue Daten markiert. NTFS ist effizienter als FAT, da es den gelöschten Speicherplatz schneller wiederherstellt. NTFS-Datenträger sind ein Datenstrom, was bedeutet, dass sie an eine andere bestehende Datei angehängt werden können. Eine Datenstromdatei kann wie folgt gespeichert werden:

C:echo text_mess > file1.txt:file2.txt

Diese Datei kann mit dem folgenden Befehl abgerufen werden:

C:more < file1.txt:file2.txt

W2K.Stream und Win2K.Team sind Viren, die mit Hilfe eines Datenstroms entwickelt wurden, und sie wurden mit der Absicht entwickelt, den ursprünglichen Datenstrom zu verändern. Als Ermittler müssen wir die Windows-Dateisysteme FAT und NTFS genau kennen (Nelson, B., et. al., 2008).

Windows Registry Examination

Nach (Carvey, H., 2005) kann eine Registrierung wie eine Protokolldatei behandelt werden, da sie Daten enthält, die von einem forensischen Ermittler abgerufen werden können. Die zugehörigen Schlüsselwerte werden als „Lastwrite“-Zeit bezeichnet, die als FILETIME gespeichert wird und als letzte Änderungszeit einer Datei gilt. Bei Dateien ist es oft schwierig, ein genaues Datum und eine genaue Uhrzeit der Datei-Änderung zu erhalten, aber der Lastwrite-Wert zeigt, wann die Registrierung zuletzt geändert wurde. Fantastic wird einige bestimmte Schritte (Carvey, H., 2005), die unten aufgeführt sind, um die Windows-Registrierung der Organisation zu analysieren, um sicherzustellen, dass das Problem innerhalb und außerhalb der Organisation bekannt sind und gelöst werden, um den Ruf des Unternehmens zu schützen und zu erhalten.

Windows-Registrierung ist eine Ordnung von Datenbanken in einem Computer von Microsoft in Windows 98, Windows CE, Windows NT und Windows 2000 verwendet, um einen Benutzer oder Benutzer-Anwendung und Hardware-Geräte-Konfiguration, die als Bezugspunkt während der Ausführung eines Programms oder Prozesse (Windows, 2013) verwendet wird, zu speichern. Die allgemeine Struktur der Windows-Registrierung ist in „Hives“ unterteilt, die sind:

  • HKEY_CLASSES_ROOT: stellt sicher, dass benötigte Programme ausgeführt werden.
  • HKEY_CURRENT_USER: enthält allgemeine Informationen eines Benutzers, der aktuell im System angemeldet ist.
  • HKEY_LOCAL_MACHINE: enthält Informationen über Hardware, Laufwerke etc. eines Systems.
  • HKEY_USERS: enthält alle Informationen über Benutzer auf einem bestimmten System.
  • HKEY_CURRENT_CONFIG: speichert Informationen über die aktuelle Konfiguration des Systems.

Die Windows-Registrierung besteht aus flüchtigen und nichtflüchtigen Informationen. Das bedeutet, dass ein Ermittler zumindest mit der Bedeutung und Funktionalität der Hives, Schlüssel, Daten und Werte der Windows-Registrierung vertraut sein muss, bevor er eine forensische Untersuchung eines Computers durchführt, um einen erfolgreichen forensischen Untersuchungsbericht zu erhalten.

Autostart-Speicherort: ist ein Speicherort in der Registrierung, an dem die Anwendungen so eingestellt sind, dass sie ohne Benutzereingabe gestartet werden. Mit dieser Funktionalität kann eine Malware, die Luton SME betrifft, dauerhaft ausgeführt werden, wenn der Rechner ohne direkte Benutzerinteraktion eingeschaltet wird, weil sie bereits so programmiert wurde, dass sie sich selbst startet oder wenn ein Benutzer bestimmte Befehle oder Prozesse ausführt.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option ist ein Windows-Registrierungsschlüssel, in dem ein Angreifer den Schlüssel für die Umleitung einer Anwendungskopie auf ihre trojanische Kopie verwenden kann (Carvey, H., 2005). Luton SME könnte von diesem Angriff betroffen sein: eine Umleitung der Kundenzahlungsseite auf eine unzulässige Seite.

Ein Forensiker kann den Autostart-Speicherort untersuchen, um festzustellen, ob das Luton SME-Problem aus einer Aktion resultiert, die von einem Benutzer, einer Malware oder einem Angreifer auf das Unternehmen durchgeführt wurde. Nach (Carvey, H., 2005) ist der zuverlässigste Weg, auf die Autostart-Speicherorte zuzugreifen, die Verwendung von AutoRuns-Tools von SysInternals.com, die eine Auflistung der Autostart-Speicherorte liefern können.

Benutzeraktivität: Aktionen und Aktivitäten eines Benutzers können in der HKEY_CUREENT_USER-Hive untersucht werden, die aus der HKEY_USERSID-Hive erstellt wird. Die Benutzerinformationen werden auf HKEY_CURRENT_USER abgebildet. Die NTUSER.DAT enthält Informationen über die Registrierungsspezifikationseinstellungen eines Benutzers. Die Untersuchung dieses Hives gibt einem forensischen Ermittler einen guten Anhaltspunkt für die Aktivitäten und Aktionen eines Benutzers.

Most Recent Used (MRU) List: Die MRU-Liste enthält die letzten spezifischen Aktionen, die ein Benutzer durchgeführt hat, und hält die Aktivitäten für künftige Referenzen fest. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU enthält zum Beispiel eine Liste der von einem Benutzer ausgeführten Befehle. Jeder ausgeführte Befehl im Ausführungsfeld fügt dem Hive einen Schlüsselwerteintrag hinzu, wie unten gezeigt:

Abbildung3: Inhalt des Schlüssels ExplorerRunMRU.

Quelle: Carvey, H., (2005)

Ein forensischer Ermittler kann diesen Hive untersuchen, um den Zeitpunkt des letzten Schreibens jedes Befehls aus der MRU-Liste zu ermitteln, wie oben gezeigt. Auf diese Weise kann der Ermittler von SME Luton anhand der Registrierung analysieren, ob es sich um eine Benutzeraktivität, eine Malware-Aktion oder einen Angriff handelt, der das Unternehmen beeinträchtigt.

UserAssist: Nach (Carvey, H., 2005) besteht UserAssist, das unter dem Hives HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist zu finden ist, aus zwei Schlüsseln, die allgemein wie global eindeutige Bezeichner aussehen, die verschlüsselte Aufzeichnungen über jedes Objekt, jede Anwendung usw., auf die ein Benutzer auf dem System zugegriffen hat, enthalten. Wenn ein Ermittler auf den verschlüsselten Datensatz zugegriffen hat, der nicht mehr endgültig ist, könnte dies auf eine Aktion des Benutzers hinweisen, die die Malware durch eine Anwendung oder eine andere Aktivität ausgelöst hat.

USB-Wechselspeicher: Laut Farmer, College und Vermont (2008) werden alle an das System angeschlossenen Geräte in einer Computerregistrierung unter dem folgenden Schlüssel HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR verwaltet. Die folgende Abbildung zeigt ein Beispiel für die Laufwerk-IDs eines USB-Sticks:

Abbildung4: Beispiel für den Inhalt eines USBSTOR-Schlüssels, der die Geräteinstanz-IDs anzeigt.

Quelle: Carvey, H., (2005)

Anhand der Hives des gemounteten Laufwerks erhält ein Ermittler einen Anhaltspunkt, wenn er/sie den in der Registrierung verwalteten Geräte-ID-Inhalt analysiert, um zu erfahren, welches Gerät in der Luton SME-Organisation gemountet wurde. Durch eine anhaltende Untersuchung der einzelnen Wertschlüssel kann ein Ermittler entfernbare USB-Speichergeräte identifizieren und sie dem parentidprefix.

Wireless SSIDs zuordnen: Nach (Carvey, H., 2005) sind die SSIDs der auf einem Computer verwendeten drahtlosen Netzwerke unter HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface zu finden. Wenn man zu den Schlüsselwerten navigiert, enthalten sie Unterschlüssel, die wie global eindeutige Bezeichner aussehen. Wenn man sie öffnet, kann ein Ermittler zu den ActiveSettings navigieren, die jede drahtlose SSID in Form eines binären Datentyps anzeigen. Wenn man mit der rechten Maustaste klickt, um sie zu ändern, werden die SSIDs im Klartext angezeigt. Obwohl die IP-Adresse und andere Netzwerkinformationen unter HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID zu finden sind, kann ein Ermittler diese Informationen verwenden, um einen Benutzer in der KMU-Organisation in Luton einem bestimmten Zeitraum zuzuordnen, wenn die IP-Adresse der Person unter der oben genannten Windows-Registrierung entdeckt wird.

Die Windows-Registrierung kann auch eine wichtige Beweisquelle bei einer forensischen Untersuchung sein, wenn der Ermittler weiß, wo er verfügbare Daten erhalten kann, die der KMU-Organisation in Luton gut vorgelegt werden können. Fantastic hat versucht, einige der grundlegenden Windows-Registrierungsdaten zu analysieren, die die Umleitung seiner Webseite verursacht haben könnten, hat die Benutzeraktivität und alle notwendigen Programme, die ein Benutzer ausgeführt hat, die auf dem Server oder einem der Computer der Organisation verwendeten Geräte verfolgt und auch die IP-Adresse der Benutzer aufgedeckt.

Netzwerkforensische Untersuchung

Das Erfassen, Sammeln und Analysieren der Ereignisse, die im Netzwerk stattfinden, wird als Netzwerkforensik bezeichnet. Manchmal wird sie auch als Paketforensik oder Packet Mining bezeichnet. Das grundlegende Ziel der Netzwerkforensik ist dasselbe, nämlich das Sammeln von Informationen über die Pakete im Netzwerkverkehr, wie z. B. die E-Mails, die Abfragen, das Durchsuchen von Webinhalten usw., und das Speichern dieser Informationen an einer Quelle und die Durchführung weiterer Untersuchungen (WildPackets, 2010).

Die Netzwerkforensik kann auf zwei Hauptarten angewendet werden. Die erste ist sicherheitsbezogen, wobei ein Netzwerk auf verdächtigen Datenverkehr und jegliche Art von Eindringlingen überwacht wird. Es ist möglich, dass der Angreifer alle Protokolldateien eines infizierten Hosts löscht, so dass in dieser Situation die netzwerkbasierten Beweise bei der forensischen Analyse ins Spiel kommen. Die zweite Anwendung der Netzwerkforensik bezieht sich auf die Strafverfolgung, bei der der aufgezeichnete Netzwerkverkehr bearbeitet werden könnte, um die Dateien zu sammeln, die über das Netzwerk übertragen wurden, sowie die Suche nach Schlüsselwörtern und die Analyse der menschlichen Kommunikation, die über E-Mails oder andere ähnliche Sitzungen erfolgt ist. (Hunt, 2012)

Tools und Techniken der Netzwerkforensik

Wir können jede Operation mit einer forensisch einwandfreien bootfähigen DVD/CD-ROM, einem USB-Flash-Laufwerk oder sogar einer Diskette durchführen. Zunächst müssen wir den Speicher dumpen, und das geschieht am besten mit einem USB-Flash-Laufwerk mit ausreichender Größe. Wenn wir flüchtige Daten sammeln wollen, müssen wir auch eine Risikobewertung durchführen, um zu beurteilen, ob es sicher und relevant ist, solche Live-Daten zu sammeln, die bei einer Untersuchung sehr nützlich sein können. Wir sollten während des gesamten Prozesses Forensik-Toolkits verwenden, da dies dazu beiträgt, die Anforderungen einer forensischen Untersuchung zu erfüllen. Diese Tools sollten vertrauenswürdig sein und können sowohl von frei verfügbaren als auch von kommerziellen Tools erworben werden. (7safe, 2013)

Einige sehr wichtige und diskrete Informationen sollten von einem laufenden Rechner mit Hilfe von vertrauenswürdigen Tools gesammelt werden, wie zum Beispiel:

  • Prozessauflistungen.
  • Dienstauflistungen.
  • Systeminformationen.
  • Angemeldete und registrierte Benutzer.
  • Netzwerkverbindungen.
  • Registrierungsinformationen.
  • Binärdump des Speichers.
(7safe, 2013)

Es gibt viele verschiedene Arten von Netzwerkforensik-Tools, jedes mit unterschiedlichen Funktionen. Einige sind nur Paket-Sniffer, andere befassen sich mit Identifizierung, Fingerprinting, Standortbestimmung, Mapping, E-Mail-Kommunikation, Webdiensten usw. In der folgenden Tabelle sind einige der Open-Source-Tools, die für die Netzwerkforensik verwendet werden können, und ihre Funktionen aufgeführt. (Hunt, 2012)

Tool Plattform Webseite Attribute
TCPDumpWindump Unix &Windows www.tcpdump.org F
NetStumbler Windows www.netstumbler.com F
Wireshark Unix & Windows www.wireshark.org F
Sleuth Kit Unix www.sleuthkit.org F R C
Argus Unix www.qosient.com/argus F L
SNORT Windows /Unix www.snort.org F

F: Filter & sammeln; L: Log-Analyse; R: Zusammensetzen des Datenstroms; C: Korrelation der Daten; A: Application Layer view

Tabelle 2: Network Forensic Tools

Quelle: (Hunt, 2012)

Database Forensics Examination

Eine Datenbank ist eine Sammlung von Daten oder Informationen, die in Form von Dateien oder einer Sammlung von Dateien dargestellt wird. Das Abrufen der Daten aus der Datenbank kann mit einer Reihe von Abfragen erfolgen. Datenbankforensik kann definiert werden als die Anwendung von Computeruntersuchungen und Analysetechniken zur Sammlung von Beweisen aus der Datenbank, um sie vor Gericht zu präsentieren. Eine forensische Untersuchung muss für Datenbanken durchgeführt werden, da eine Datenbank sensible Daten enthält, bei denen die Wahrscheinlichkeit eines Sicherheitsverstoßes durch Eindringlinge hoch ist, um an diese persönlichen Informationen zu gelangen.

In der Fallstudie wird erwähnt, dass eine große Menge an Daten aus der Datenbank gesendet wird, so dass die Aufgabe des Fantastic-Teams nun darin besteht, eine forensische Untersuchung der Datenbank mit Hilfe forensischer Werkzeuge durchzuführen. Die Datenbankforensik konzentriert sich auf die Identifizierung, Erhaltung und Analyse von Daten. Laut Khanuja, H.K., und Adane, D.S., (2011) müssen die Benutzer für den Zugriff auf die Datenbank Berechtigungen wie Autorisierung und Authentifizierung von den Datenbankservern erhalten. Sobald die Autorisierung erfolgt ist, kann nur der Benutzer auf die Daten zugreifen und, falls beabsichtigt, kann er/sie die Daten ändern. Wenn wir nun die Audit-Protokolle der Datenbank überprüfen, können wir eine Liste der Benutzer erhalten, die die Berechtigung zum Zugriff auf die Daten erhalten haben. Das Team muss in der Datenbank nach den IP-Adressen suchen, die per Fernzugriff verbunden sind, da die Möglichkeit besteht, dass autorisierte oder unbefugte Benutzer die Daten ändern.

Nach Dave, P., (2013) können wir mit Hilfe der Untersuchung die Operationen der DDL (Data Definition Language), die zur Definition der Datenbankstruktur verwendet wird, und der DML (Data Manipulation Language), die zur Verwaltung der Daten in der Datenbank verwendet wird, zurückverfolgen und feststellen, ob es in der Datenbank vor und nach den Transaktionen passiert ist. Diese Untersuchung kann uns auch dabei helfen, herauszufinden, ob es Datenzeilen gibt, die vom Benutzer absichtlich gelöscht wurden, und ist in der Lage, sie wiederherzustellen, und es hilft uns auch, zu beweisen oder zu widerlegen, dass eine Datensicherheitsverletzung in der Datenbank stattgefunden hat, und es hilft uns bei der Bestimmung des Umfangs des Eindringens in die Datenbank. Das forensische Windows-Tool v1.0.03 wird mit einer angepassten Konfigurationsdatei verwendet, die DMV- (Distributed Management Views) und DBCC-Befehle (Database Consistency Checker) ausführt, um die Daten zu sammeln, die ausreichen, um das Eindringen in die Datenbank zu beweisen oder zu widerlegen (Fowler, K., 2007).

Analyse

Zunächst müssen wir die Beweise analysieren, die wir gesammelt und untersucht haben. Wir werden die Daten daraufhin untersuchen, ob versteckte oder ungewöhnliche Dateien vorhanden sind oder nicht. Dann wird geprüft, ob ein ungewöhnlicher Prozess läuft und ob ungewöhnliche Sockets geöffnet sind. Wir werden auch schauen, ob irgendwelche Anwendungsanfragen ungewöhnlich aufgetreten sind. Dann überprüfen wir das Konto, ob ein ungewöhnliches Konto vorhanden ist oder nicht. Wir werden auch den Patching-Level des Systems ermitteln, ob es aktualisiert wurde oder nicht. Anhand der Ergebnisse dieser Analysen können wir feststellen, ob bösartige Aktivitäten vorliegen oder nicht. Dann werden wir eine weitere Strategie für die forensische Untersuchung entwickeln, wie z. B. eine vollständige Analyse des Speichers, eine vollständige Analyse der Dateisysteme, eine Ereigniskorrelation und eine Zeitlinienanalyse (Nelson, B., et. al., 2008). Laut dieser Fallstudie gibt es bösartige Aktivitäten in ihrem Netzwerksystem, was auch durch unsere erste Analyse bestätigt wurde. Um die Fähigkeiten des bösartigen Codes und sein Ziel zu ermitteln, müssen wir eine Analyse der ausführbaren Malware durchführen. Die Analyse der ausführbaren Malware kann in eine statische Analyse und eine Verhaltensanalyse unterteilt werden.

Malware-Analyse

Nach dem Bericht des Verizon „2012 Data Breach Investigations Report“ haben 99 % der Schwachstellen dazu geführt, dass die Daten innerhalb weniger Tage oder weniger kompromittiert wurden, während die Untersuchung von 85 % mehrere Wochen dauerte. Dies ist eine ernsthafte Herausforderung für die Sicherheitsabteilungen, da die Angreifer viel Zeit haben, um in einer kompromittierten Umgebung zu arbeiten. Mehr „freie Zeit“ führt zu mehr gestohlenen Daten und größerem Schaden. Das liegt vor allem daran, dass die derzeitigen Sicherheitsmaßnahmen nicht für komplexere Bedrohungen ausgelegt sind (2012 Data Breach Investigations Report, Verizon, 2012).

Der Punkt bei der Untersuchung eines Malware-Tatorts: Bestimmte Teile eines Windows-PCs sind auf dem besten Weg, Daten zu enthalten, die mit der Installation und Nutzung von Malware identifiziert werden können. Rechtliche Untersuchungen der ausgetauschten Frameworks umfassten eine Prüfung von Datensatz-Hash-Werten, Signaturverwirrungen, gepackten Dateien, Kollisionsprotokollen, Systemwiederherstellungspunkten und der Auslagerungsdatei. Eine umfassende Untersuchung des Dateisystems und der Ereignisprotokolle kann dazu dienen, Vorgänge zu erkennen, die zu dem Zeitpunkt stattfanden, als die Malware auf dem System aktiviert wurde. Fortgeschrittene Spezialisten können außerdem die Registry auf ungewöhnliche Einträge, z. B. in Autostart-Bereichen, und Änderungen zum Zeitpunkt der Malware-Installation überprüfen. Die Suche nach Schlüsselwörtern kann durchgeführt werden, um Verweise auf Malware und Assoziationen mit anderen ausgehandelten Hosts zu entdecken. Normale Angriffsvektoren werden erkannt, einschließlich E-Mail-Anhänge, Web-Browsing-Verlauf und nicht autorisierte Anmeldungen.

Nach Syngress „Malware Forensics – Investigating and Analyzing Malicious Code, 2003“ sollte eine Untersuchung anhand der folgenden Punkte durchgeführt werden:

  • Suchen Sie nach bekannter Malware
  • Überprüfen Sie installierte Programme
  • Untersuchen Sie Prefetch
  • Untersuchen Sie ausführbare Dateien
  • Überprüfen Sie Auto-Start
  • Geplante Jobs überprüfen
  • Protokolle überprüfen
  • Benutzerkonten überprüfen
  • Dateisystem überprüfen
  • Untersuchung der Registry
  • Wiederherstellungspunkte
  • Schlüsselwortsuche

Bevor wir mit der Malware-Analyse beginnen, müssen wir die Malware-Analyseumgebung wie VMware und Norton Ghost erstellen. VMware ist eine virtuelle Umgebung für die Malware-Analyse und Norton Ghost ist eine spezielle Umgebung für die Malware-Analyse.

Statische Analyse

Die statische Analyse ist die Art der Malware-Analyse, die verwendet wird, um die Analyse durchzuführen, ohne die Malware-Programmierung auszuführen. Die statische Analyse ist im Hinblick auf eine sichere Analyse besser als die dynamische Analyse. Da das Malware-Programm nicht ausgeführt wird, besteht keine Gefahr, dass die Dateien gelöscht oder verändert werden. Es ist immer am besten, die statische Malware-Analyse auf einem anderen Betriebssystem durchzuführen, auf dem die Malware nicht ausgeführt werden oder Auswirkungen haben soll. Denn ein Ermittler kann versehentlich auf das Malware-Programm doppelklicken, um es auszuführen, und es wird das System beeinträchtigen. Es gibt viele Möglichkeiten der statischen Analyse, wie z.B. File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format und Disassembly (Kendall, K., 2007).

Dynamische Analyse

Die dynamische Analyse ist die Art der Malware-Analyse, bei der der Malware-Code läuft und sein Verhalten beobachtet wird. Sie wird auch als Behaviour Malware Analysis bezeichnet. Die dynamische Analyse ist nicht sicher, es sei denn, wir sind bereit, die Malware-Analyseumgebung zu opfern. Wir können die Malware analysieren, indem wir einfach das Verhalten der Malware-Funktionen beobachten. Es gibt viele Tools zur Durchführung der dynamischen Malware-Analyse, aber Process Monitor von SysInternals und Wireshark sind die am häufigsten verwendeten und kostenlosen Tools (Kendall, K., 2007).

Nach Kendall, K., (2007) findet eine einfache statische und dynamische Malware-Analyse in fast allen Malware-Fällen alle Antworten, die von den Malware-Ermittlern für den jeweiligen Malware-Code benötigt werden.

Ergebnisse

Nach unserer Untersuchung fassen wir unsere Ergebnisse wie folgt zusammen:

  • Es wurde festgestellt, dass der Angreifer anhaltenden Fernzugriff auf die Computer des Unternehmens hatte.
  • Die forensische Analyse ergab, dass die Systeme kompromittiert worden waren.
  • Betriebssystem-Patches waren auf einigen Systemen nicht installiert.
  • Verdächtige Malware wurde im kompromittierten System gefunden.
  • Die Identifizierung dieser Malware und ihre Funktionalität &Ziel der Malware führte uns zu dem Schluss, dass es sich um „Spamming“-Malware handelt.
  • Es wurde festgestellt, dass die Angreifer mit Hilfe der Schadsoftware Zugang zu den Systemen des Kunden hatten, indem sie einen entsprechenden Website-Link für ein Zahlungs-Gateway einfügten.

Abhilfemaßnahmen

Es wurden oben die häufigsten Wege betrachtet, auf denen Schadsoftware in das Netzwerk gelangt. Daraus lassen sich zwei wichtige Schlussfolgerungen ziehen:

  • Die meisten der beschriebenen Methoden haben etwas mit dem menschlichen Faktor zu tun, daher werden die Ausbildung der Mitarbeiter und regelmäßige Sicherheitsschulungen die Sicherheit des Netzes verbessern;
  • Häufige Fälle von Hacking legitimer Websites führen zu der Tatsache, dass selbst ein kompetenter Benutzer seinen Computer infizieren kann. Daher stehen die klassischen Schutzmaßnahmen im Vordergrund: Antivirensoftware, die rechtzeitige Installation der letzten Updates und die Überwachung des Internetverkehrs.

Nach Shiner, D.L.D., und Cross, M., (2002), gibt es wichtige Gegenmaßnahmen zum Schutz vor Malware:

  • Authentifizierung und Passwortschutz
  • Antivirensoftware
  • Firewalls (Hardware oder Software)
  • DMZ (demilitarisierte Zone)
  • IDS (Intrusion Detection System)
  • Paketfilter
  • Router und Switches
  • Proxy-Server
  • VPN (Virtual Private Networks)
  • Logging und Audit
  • Zugangskontrollzeit
  • Eigene Software/Hardware ist nicht öffentlich verfügbar

In unserem Fall, sind die folgenden am nützlichsten:

  • Firewall
  • Logging und Audit

Firewall überprüft alle Webseiten, die auf den Computer des Benutzers gelangen. Jede Webseite wird abgefangen und von der Firewall auf bösartigen Code analysiert. Wenn eine vom Benutzer aufgerufene Webseite bösartigen Code enthält, wird der Zugriff darauf blockiert. Gleichzeitig wird eine Meldung angezeigt, dass die angeforderte Seite infiziert ist. Enthält die Webseite keinen bösartigen Code, steht sie dem Benutzer sofort wieder zur Verfügung.

Unter Protokollierung versteht man das Sammeln und Speichern von Informationen über Ereignisse, die im Informationssystem auftreten. Zum Beispiel, wer und wann versucht hat, sich in das System einzuloggen und wie dieser Versuch endete, wer und welche Informationsressourcen benutzt wurden, was und wer Informationsressourcen verändert hat, und viele andere.

Audit ist eine Analyse der gesammelten Daten, die zeitnah, fast in Echtzeit, durchgeführt wird (Shiner, D.L.D., und Cross, M., 2002). Die Implementierung von Protokollierung und Audit hat folgende Hauptziele:

  • Rechenschaftspflicht von Benutzern und Administratoren;
  • Möglichkeit zur Rekonstruktion von Ereignissen;
  • Aufdeckungsversuche von Verletzungen der Informationssicherheit;
  • Bereitstellung von Informationen zur Identifizierung und Analyse von Problemen.

Sicherheitsrichtlinien

Die umfassendsten Kriterien für die Bewertung von Sicherheitsmechanismen auf Organisationsebene werden in der internationalen Norm ISO 17799 vorgestellt: Code of Practice for Information Security Management, die im Jahr 2000 verabschiedet wurde. ISO 17799 ist die internationale Version der britischen Norm BS 7799. ISO 17799 enthält praktische Regeln für das Informationssicherheitsmanagement und kann als Kriterium für die Bewertung der Sicherheitsmechanismen auf organisatorischer Ebene, einschließlich administrativer, verfahrenstechnischer und physischer Sicherheitsmaßnahmen, verwendet werden (ISO/IEC 17799:2005).

Praktische Regeln sind in die folgenden Abschnitte unterteilt:

  • Sicherheitspolitik;
  • Organisation der Informationssicherheit;
  • Vermögensverwaltung;
  • Sicherheit der Humanressourcen;
  • physische und Umweltsicherheit;
  • Kommunikations- und Betriebsverwaltung;
  • Zugangskontrolle;
  • Beschaffung, Entwicklung und Wartung von Informationssystemen;
  • Management von Informationssicherheitsvorfällen;
  • Business Continuity Management;
  • Compliance.

Diese Abschnitte beschreiben die Sicherheitsmechanismen auf organisatorischer Ebene, die derzeit in staatlichen und kommerziellen Organisationen weltweit implementiert sind (ISO1799, 2005).

Nach der Betrachtung der oben genannten Notwendigkeit einer Kombination von Geschäftsanforderungen für das Internet ergeben sich mehrere Fragen. Welche Soft- und Hardware und welche organisatorischen Maßnahmen müssen implementiert werden, um die Anforderungen der Organisation zu erfüllen? Wie hoch ist das Risiko? Welche ethischen Standards sollten für die Organisation gelten, wenn sie ihre Aufgaben mit Hilfe des Internets erfüllt? Wer sollte dafür verantwortlich sein? Die Grundlage der Antworten auf diese Fragen ist eine konzeptionelle Sicherheitspolitik für die Organisation (Swanson, M., 2001).

Der nächste Abschnitt enthält Fragmente hypothetischer Sicherheitspolitiken für sichere Arbeit im Internet. Diese Fragmente wurden auf der Grundlage der Analyse der wichtigsten Arten von Sicherheitsausrüstungen entworfen.

Die Sicherheitspolitik kann in zwei Kategorien unterteilt werden: die technische Politik, die mit Hilfe von Hardware und Software umgesetzt wird, und die administrative Politik, die von den Personen durchgeführt wird, die das System benutzen und den Personen, die es verwalten (Swanson, M., 2001).

Gemeinsame Sicherheitspolitik für eine Organisation:

  1. Jedes Informationssystem muss eine Sicherheitspolitik haben
  2. Die Sicherheitspolitik muss von der Leitung der Organisation genehmigt werden
  3. Die Sicherheitspolitik sollte alle Mitarbeiter in einfacher und verständlicher Form erreichen
  4. Die Sicherheitspolitik sollte beinhalten:
  • Definition der Informationssicherheit, ihre Hauptziele und ihr Umfang sowie ihre Bedeutung als Mechanismus, die kollektive Nutzung der Informationen
  • die Position der Leitung zu den Zwecken und Grundsätzen der Informationssicherheit
  • die Identifizierung allgemeiner und spezifischer Verantwortlichkeiten für die Gewährleistung der Informationssicherheit
  • Links zu Dokumenten im Zusammenhang mit der Sicherheitspolitik, wie z. B. detaillierte Sicherheitsrichtlinien oder Regeln für Benutzer
  1. Die Sicherheitspolitik muss bestimmte Anforderungen erfüllen:
  • der nationalen und internationalen Gesetzgebung entsprechen
  • Bestimmungen zur Schulung des Personals in Sicherheitsfragen enthalten
  • Anweisungen zur Erkennung und Verhinderung von Schadsoftware enthalten
  • die Folgen von Verstößen gegen die Sicherheitspolitik festlegen
  • Berücksichtigung der Anforderungen an die Geschäftskontinuität
  1. Es muss eine Person bestimmt werden, die für das Verfahren zur Überprüfung und Aktualisierung der Bestimmungen der Sicherheitspolitik verantwortlich ist
  2. Die Überarbeitung der Sicherheitspolitik muss in folgenden Fällen durchgeführt werden:
  • Änderungen in der organisatorischen Infrastruktur der Organisation
  • Änderungen in der technischen Infrastruktur der Organisation
  1. Zur regelmäßigen Überprüfung der Sicherheitspolitik gehören die folgenden Merkmale:
  • Kosten und Auswirkungen von Gegenmaßnahmen auf die Leistung der Organisation (ISO/IEC 17799:2005)

Berichterstattung

Ein forensischer Bericht hebt die Beweise vor Gericht hervor und hilft auch bei der Sammlung weiterer Beweise und kann bei Gerichtsverhandlungen verwendet werden. Der Bericht muss den Umfang der Untersuchung enthalten. Ein computerforensischer Ermittler muss die verschiedenen Arten der computerforensischen Berichterstattung kennen: formeller Bericht, schriftlicher Bericht, mündlicher Bericht und Untersuchungsplan. Ein formeller Bericht enthält die Fakten der Untersuchungsergebnisse. Ein schriftlicher Bericht ist wie eine Erklärung oder eine eidesstattliche Erklärung, die unter Eid abgegeben werden kann, so dass er klar, präzise und detailliert sein muss. Ein mündlicher Bericht ist weniger strukturiert und ist ein vorläufiger Bericht, der auf die noch nicht behandelten Untersuchungsbereiche eingeht. Ein Untersuchungsplan ist ein strukturiertes Dokument, das dem Ermittler hilft, die zu erwartenden Fragen zu verstehen, wenn er/sie die Beweise begründet. Ein Untersuchungsplan hilft auch dem Anwalt, die Begriffe und Funktionen zu verstehen, die bei der computerforensischen Untersuchung verwendet wurden (Nelson, B., et al., 2008). Im Allgemeinen enthält ein computerforensischer Bericht die folgenden Funktionen:

  • Zweck des Berichts
  • Autor des Berichts
  • Zusammenfassung des Vorfalls
  • Beweise
  • Analyse
  • Schlussfolgerungen
  • Unterstützende Dokumente

Es gibt viele forensische Werkzeuge, um den forensischen Untersuchungsbericht zu erstellen, wie ProDiscover, FTK und EnCase (Nelson, B., et al., 2008).

Schlussfolgerungen

Dieser Bericht beschreibt, wie die forensische Untersuchung von Computern und die Untersuchung von Malware mit verschiedenen Methoden und unter Verwendung verschiedener Tools durchgeführt werden kann. Dieser Bericht enthält auch die vier wichtigsten Verfahren der ACPO und der Sicherheitspolitik IS017799, die in jeder Organisation umgesetzt werden müssen, um die Sicherheitsnetzwerkarchitektur zu verbessern. Er analysiert auch das Modell der ersten vier Schritte der forensischen Untersuchung und erklärt, warum wir dieses Modell für die Durchführung der forensischen Untersuchung in diesem Fall gewählt haben. Er enthält auch wichtige Vorbereitungsschritte vor Beginn der Untersuchung. Dann enthält der Bericht einen Analyseteil, in dem wir die Daten, die wir mit verschiedenen Methoden gesammelt haben, analysiert haben, um die Ergebnisse zu erhalten. Dieser Bericht enthält auch Empfehlungen zur Vermeidung von Sicherheitsverletzungen in der Zukunft.

Die digitale forensische Untersuchung ist ein anspruchsvoller Prozess, da sich jeder Vorfall von anderen unterscheidet. Ein computerforensischer Ermittler muss über ausreichende technische und rechtliche Kompetenzen verfügen, um die Untersuchung durchführen zu können. Da die von einem computerforensischen Ermittler gelieferten Beweise ein wichtiger Teil des Falls sein können, muss der Untersuchungsbericht präzise und detailliert sein.

  • 7safe, (2013) „Good Practice Guide for Computer-Based Electronic Evidence“, Available at: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Zugriff am 12. Januar 2014.
  • ACPO (2013), „Good Practice Guide for Computer-Based Electronic Evidence“, V4.0
  • Adams, R., (2012), „Evidence and Digital Forensics“, Australian Security Magazine, Verfügbar unter http://www.australiansecuritymagazine.com.au/, Zugriff am 31. Dezember 2013.
  • Aquilina, M.J., (2003), „Malware Forensics, Investigating and Analyzing Malicious Code“, Syngress,
  • Carvey, H., (2005), „Windows Forensics and Incident Recovery“, Boston: Pearson Education Inc.
  • Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010,http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
  • CJCSM 6510.01B, 2012, „Cyber Incident Handling Program“, Chairman of the Joint Chiefs of Staff Manual, J6.
  • Dave, P., (2013), „SQL – Eine Karriere in der Datenbankforensik!“, Verfügbar unter http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, Zugriff am 2. Januar 2014.
  • Fowler, K., (2007), „Forensic Analysis of a SQL Server 2005 Database Server“, Verfügbar unter https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, Zugriff am 2. Januar 2014.
  • Han, D.R., (2012), „SME Cyber security and the Three Little Pigs“, ISACA journal, Vol 6, verfügbar unter www.isaca.org/journal, abgerufen am 05. Januar 2014
  • Hunt, R., (2012), „New Developments In Network Forensics – Tools and Techniques“, New Zealand, IEEE, S. 377 – 381.
  • ISO/IEC 17799:2005, (2005), „Information technology – Security techniques – Code of practice for information security management“, Verfügbar unter http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, Zugriff am 10. Januar 2014.
  • ISO1799, (2005), „ISO 17799 Information and Resource Portal“, Available at http://17799.denialinfo.com/ , Accessed on 10th January 2014.
  • Kendall, K,(2007), „Practical Malware Analysis“, Mandiant Intelligent Information Security, Available at http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Accessed on 10th January 2014.
  • Kent, K, and Grance, T., (2006), „Guide to Integrating Forensic Techniques into Incident Response“, Available at: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, abgerufen am 13. Januar 2014.
  • Kent, K., et.al., (2006). „Guide to Integrating Forensic Techniques into Incident Response“, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
  • Khanuja, H.K., and Adane, D.S., (2011), „Database Security Threats and Challenges in Database Forensic: A Survey“, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
  • Kruse II, W.G., and Heiser, J.G. (2010), „Computer Forensics: Incident Response Essentials“, 14th edn, Indianapolis: Pearson Education
  • Microsoft, (2013), „Windows Registry Information for Advanced Users“ Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
  • Nelson, B., et. al., (2008), „Guide to Computer Forensics and Investigations“, 3rd edn, Massachusetts: Course Technology.
  • Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
  • Reino, A. (2012), „Forensics of a Windows System“, Roche.
  • SANS, (2010), „Integrating Forensic Investigation Methodology into eDiscovery“, Available at: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, abgerufen am 13. Januar 2014.
  • Shiner, D.L.D., und Cross, M., (2002), “ Scene of the Cybercrime“, 2nd edn, Syncress: Burlington.
  • Swanson, M., (2001), „NIST Security Self-Assessment Guide for Information Technology Systems“, Verfügbar unter http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Zugriff am 9. Januar 2014.
  • US-CERT, (2012), „Computer Forensics“, Verfügbar unter http://www.us-cert.gov/reading-room/forensics.pdf, Zugriff am 30. Dezember 2013.
  • Venter, J. P., (2006), „Process Flows for Cyber Forensics Training and Operations“, Verfügbar unter http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, Zugriff am 30. Dezember 2013.
  • Wong, L.W.,(2006) „Forensic Analysis of the Windows Registry“ Verfügbar unter http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf, Zugriff am 10. Januar 2014

Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.