Disk-Forensik/ Richtlinien/ Reihenfolge bzw. Vorgehensweise bei der Untersuchung
Grundlegende Vorgehensweise
BearbeitenUnabhängig von der Vorgehensweise, die beim Sichern forensischer Daten angewendet wird, ist es wichtig, sämtliche Arbeitsschritte transparent und nachvollziehbar zu halten. Die eingesetzten Methoden sollten bereits im Vorfeld erprobt und überprüft worden sein. Ein Fehler während der Sicherstellung von Beweismittel kann zum Verlust derselben führen. Im Zweifelsfall müssen alle Analyseschritte wiederholbar sein und von unabhängigen Experten geprüft werden können. Dazu ist die Führung eines Protokolls zur genauen Dokumentation unerlässlich.
RFC 3227 empfiehlt folgende, grundlegende Vorgehensweise zur forensischen Datensicherung:
- 1. Analyse, wo sich forensisch interessante Daten (Beweismittel) befinden. Es sollte eine Aufstellung aller Systeme durchgeführt werden, die in die Analyse einbezogen werden müssen.
- 2. Feststellung welche Daten wirklich interessant sind und welche Daten u.U. nicht gesichert werden müssen. Durch diese Vorausscheidung soll erreicht werden, dass die Analyse der Beweismittel nicht zu unübersichtlich wird. Generell gilt aber: lieber zu viele Daten, als zu wenige sichern.
- 3. Ermittlung der Sicherungsreihenfolge für jedes System, abhängig von der Halbwertszeit der relevanten Daten (siehe Kapitel: Sicherungsreihenfolge). Es empfiehlt sich diese vor dem Einsatz zu diskutieren und in Protokollform festzuhalten.
- 4. Entfernen aller Zugänge zum System, über die Daten verändert werden könnten. Dies sind vor allem Schnittstellen zum Firmennetzwerk und eventuelle ungesicherte Konsolenzugänge. Unter Umständen kann auch die Stromversorgung eines Systems kritisch für die forenische Analyse sein, sollte sich das System noch im laufenden Zustand befinden.
- 5. Sicherung der Daten nach der festgelegten Sicherungsreihenfolge, unter Verwendung geeigneter Werkzeuge (siehe Kapitel Geeignete Werkzeuge). Die eingesetzten Werkzeuge sollten auf jeden Fall von einem gesicherten Medium stammen und nicht vom betroffenen System selbst.
- 6. Untersuchung der Systemuhren und Festhalten etwaiger Abweichungen.
- 7. Während der konkreten Analyse feststellen, welche Daten eventuell noch interessant sein könnten (siehe Schritt 1 und 2). Oftmals kann erst durch die Untersuchung von Logdateien eines betroffenen Systems darauf geschlossen werden, welche anderen Systeme noch kompromittiert bzw. manipuliert wurden.
- 8. Jeder Schritt muss ausführlich Dokumentiert werden (siehe Kapitel Dokumentation).
- 9. Aufzeichnung, welche Personen in die Analyse involviert sind. Es empfiehlt sich Notizen über die Arbeit der einzelnen Mitarbeiter anzulegen (wer macht was und wo).
Sicherungsreihenfolge
BearbeitenAbhängig von der Halbwertzeit der Speicher, in denen die zu sichernden Informationen abgelegt sind, kann die Reihenfolge der Sicherung bestimmt werden Datei:Computer-memory-pyramid.jpg. Das RFC 3227 schlägt folgende Reihenfolge zur Sicherung von Daten vor:
- 1. Inhalt von Registern und Cache
- 2. Routingtabellen, ARP-Cache, Prozessliste, Netzstatus, Kerneldaten, Hauptspeicherinhalt
- 3. Temporäre Dateisysteme, SWAP-Bereiche, allgemeine temporäre Dateien
- 4. Inhalte von Festplatten
- 5. Relevante Logging- und Monitoringdaten von zentralen Loggingservern
- 6. Physische Konfigurationen und Netzwerktopologien
- 7. Archivierte Medien
Live versus Post-Mortem-Analyse
BearbeitenEs gibt zwei grundlegende Vorgehensweisen für die forensische Analyse von Systemen:
- Analyse am Live-System: Die Analyse findet am Originalsystem statt, das sich im operativen Zustand befindet.
- Post-Mortem-Analyse: Das System wird durch spezielle Werkzeuge gesichert, Images werden erstellt, welche im Anschluss analysiert werden.
Analyse am Live-System
BearbeitenDie Analyse am Live-System findet vor allem dann statt, wenn ein System unternehmenskritische Applikationen anbietet, oder sich ein Angreifer u.U. noch im System befindet. Die Analyseform kommt im Allgemeinen auch dann zum Einsatz, wenn flüchtige Daten (Daten, die bei Ausschalten des Systems verloren gehen) von großem Interesse sind.
Vorteile
Bearbeiten- Prozessspeicher kann gesichert werden.
- Flüchtiger Speicher kann gesichert werden.
- Sämtliche Vorgänge des laufenden Systems können analysiert werden.
Nachteile
Bearbeiten- Die Einhaltung der Sicherungsreihenfolge ist schwierig.
- Flüchtige Daten können verändert werden.
- Eventuell falsche Analysedaten durch beeinträchtigtes System.
Post-Mortem-Analyse
BearbeitenDie Post-Mortem-Analyse kommt zum Einsatz, wenn die flüchtigen Speicher für die Untersuchung irrelevant sind, oder der Vorfall bereits länger zurückliegt und entsprechende Daten z.B. durch einen Reboot (Neustart) bereits verändert wurden.
Vorteile
Bearbeiten- Keine Gefahr der Beschädigung der Daten/Systeme.
- System kann u.U. Betrieb wieder aufnehmen, während die Analyse an den Images erfolgt.
Nachteile
Bearbeiten- Keine Informationen zur Laufzeit des Systems bei eventuellem Angriff.
- Zeitaufwändig
Im Allgemeinen ist es wichtig, sollte ein System ausgeschaltet werden, dass dies mit dem Entfernen des Netzsteckers passiert und nicht durch ein "Herunterfahren". Durch ein Herunterfahren werden Systemdateien und fragile Daten, wie SWAP-Space, verändert, was durch die Unterbrechung der Stromversorgung verhindert werden kann.