![[Aufmachergrafik: heller, corporate design]](06-2-060-0.jpg)
Tatort PC Computer-Forensik-Ermittlungen nach dem S-A-P-Modell Tatort PC Computer-Forensik-Ermittlungen nach dem S-A-P-ModellViele Unternehmen mussten sich in der Vergangenheit mit den Folgen von Sicherheitsvorfällen oder klassischen Kriminalitätsdelikten mit Computereinsatz beschäftigen. Wurden solche Ereignisse früher oft unter den Tisch gekehrt, entscheiden sich heutzutage immer mehr Verantwortliche in Unternehmen und Behörden für eine Aufklärung von Vorfällen, um die Täter zu identifizieren und zur Verantwortung zu ziehen. War es vor einigen Jahren nur einigen wenigen Spezialisten vorbehalten, derartige Ermittlungen durchzuführen, so fühlen sich durch die Vielzahl von öffentlich verfügbaren Forensik-Werkzeugen (s. S. 66) und -Methoden mittlerweile viele Sicherheitsbeauftragte berufen, dieses Themenfeld zu bearbeiten.
Mit einer computer-forensischen Ermittlung möchte eine geschädigte Organisation in der Regel die Methode oder die Schwachstelle erkennen, die zum Systemeinbruch oder zum Verstoß gegen interne Regeln geführt hat. Dies ist nicht zuletzt hilfreich, um Schwachstellen zu beheben und Wiederholungstaten zu verhindern. Ein weiterer Faktor ist die Ermittlung des entstandenen Schadens. Dies ist zum einen wichtig für die in vielen Unternehmen geführten Schadensfalldatenbanken, zum anderen aber auch für die Art und Weise der schadensbehebenden Maßnahmen: Wenn ein externer Angreifer beispielsweise mehr als nur die Homepage des WWW-Servers in der DMZ verändert haben könnte, dann ist es mit dem Einspielen eines Backups der HTML-Seiten nicht getan. Ebenso hat es Auswirkungen auf zu ergreifende Maßnahmen, ob ein interner Täter die Passwörter von Kollegen nicht nur geknackt, sondern damit auch Anmeldungen und Datenmanipulationen vorgenommen hat.
In frühen Phasen der Ermittlung ist häufig noch gar nicht klar, ob ein Innentäter am Werke war oder der Angriff von extern kam. Auch dies ist aber eine wichtige Information, um den Schaden richtig einzuschätzen. Zur Identifikation und eventuellen Verfolgung von Tätern muss die Spurensammlung im Rahmen der Ermittlung von Anfang an so erfolgen, dass eine straf- oder zivilrechtliche Verfolgung jederzeit möglich bleibt, auch wenn die Entscheidung hierüber oft erst im späteren Verlauf getroffen wird. Hat man im Vorfeld "unsauber" gearbeitet, ist der Tatverdächtige dann im schlimmsten Falle eventuell nicht mehr juristisch zu belangen.
Es hat zudem durchaus Vorteile, den "Tatort" des Geschehens aufzusuchen, ohne eine allzu konkrete Vorstellung davon zu haben, was man dort finden wird. Eine solche Unvoreingenommenheit bei der Analyse eines Sicherheitsproblems sollte immer angestrebt werden. Die Antwort "derzeit unbekannt" hat in manchen Situationen durchaus ihre Berechtigung und kann gerade am Anfang einer Ermittlung den Blick für nicht-offensichtliche Spuren freihalten. Antworten, die zu schnell und ohne sorgfältige Überprüfung gefunden werden, können echte und wichtigere Beweise eventuell "vergiften". Es kommt auch immer wieder vor, dass ein Angreifer absichtlich falsche Spuren hinterlässt, um Ermittler auf die falsche Fährte zu locken (Trugspuren); diese können zum Beispiel aus falschen IP-Adressen oder Logfile-Einträgen bestehen.
----------Anfang Textkasten----------
Quelle: Fachgruppe Security der Schweizer Informatiker-Gesellschaft (![[externer Link]](../../../../images/link.gif)
www.fgsec.ch)
----------Ende Textkasten----------
Nach dem sogenannten Secure-Analyze-Present-Modell (S-A-P-Modell) kann man den Ermittlungsprozess in drei große Phasen einteilen. In der Secure-Phase werden alle Daten sorgsam erfasst. Hierbei ist darauf zu achten, "Tatort" und Untersuchungsbereich bestmöglich abzusichern. Zu diesem Zeitpunkt ist oft noch nicht klar, ob der Täter eventuell von innen kommt – möchte der Ermittler hier eventuellen Manipulationen vorbeugen, sind entsprechende Vorkehrungen zu treffen. Die Secure-Phase legt den Grundstein dafür, dass die gesammelten Informationen in einer juristischen Würdigung ihre Beweiskraft nicht verlieren. Daher müssen alle Tätigkeiten sorgfältig protokolliert, gesammelte Daten zudem frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von Hash-Verfahren und dem Vier-Augen-Prinzip ist hier ausgiebig Gebrauch zu machen.
In der Analyze-Phase werden die Spuren sorgfältig analysiert und die Ergebnisse objektiv bewertet. Jeder gute Ermittler sollte seine Schlüsse kritisch hinterfragen, um Lücken in der Argumentationskette selbstständig und sicher zu identifizieren, bevor dies andere tun. In dieser Phase werden die vorher nur erfassten Daten daraufhin untersucht, ob sich darin Beweisspuren oder Teile hiervon befinden. Dabei lassen sich grob drei Gruppen von Spuren unterscheiden:
Während in den Secure- und Analyze-Phasen Detaillierungsgrad und Methoden oft unabhängig von der konkreten Fragestellung des Sicherheitsvorfalls sind, ist das Vorgehen in der Present-Phase stark davon abhängig, wer in welcher Form von den Ermittlungsergebnissen unterrichtet werden muss: Schlussendlich muss das Ergebnis jemanden überzeugen, der während der Ermittlung nicht anwesend war und vielleicht auch nicht den technischen Sachversand aufbringt, alle Details zu verstehen. Dies bedeutet, dass alle Erkenntnisse schlüssig und nachvollziehbar dokumentiert und dann überzeugend und zielgruppenorientiert präsentiert werden müssen.
Eine der Hauptfragen der Computer-Forensik ist, wie man so viele Daten wie möglich von einem verdächtigen System sammeln kann, ohne dabei selbst Spuren zu zerstören. Aus diesem Grund ist es wichtig zu wissen, welche Typen von Daten überhaupt von Interesse sind. Diese Typen sind unabhängig von der konkreten Fragestellung hinsichtlich ihrer Halbwertszeit und ihres Informationsgehalts zu unterscheiden.
Der empfindlichste Datentyp sind die flüchtigen Daten: sie gehen nach dem Ausschalten des Rechners unwiederbringlich verloren. Dazu gehören unter anderem Informationen über angemeldete Benutzer, durch einzelne Prozesse belegte Hauptspeicherbereiche sowie aktive Netzverbindungen. Die nächste große Datengruppe sind die oft als fragile Daten bezeichneten Informationen: Sie sind zwar auf der Festplatte nach dem Ausschalten eines Systems enthalten, können aber bei unsachgemäßem Umgang leicht zerstört werden. Hierzu gehören unter anderem die so genannten MAC-Zeitstempel oder unbelegte Bereiche des Datenträgers. Ein Ermittler sollte wissen, welche Informationen am schnellsten verloren gehen und dementsprechend die Sicherungsreihenfolge für Daten bestimmen. Diese Reihenfolge ist durch die Halbwertszeit der zu sammelnden Daten bestimmt: zuerst die Daten, die am flüchtigsten sind, dann die weniger flüchtigen.
Aus der Kenntnis der unterschiedlichen Halbwertszeiten der für die Aufklärung eines Sicherheitsvorfalls relevanten Informationen ergeben sich zwei grundlegend unterschiedliche Analyseansätze. Die Analyse eines noch aktiven, nicht ausgeschalteten Systems bietet die Möglichkeit, die meisten relevanten flüchtigen Daten zu sammeln und wird Live-Response genannt. Dieser Ansatz ist sinnvoll, wenn wertvolle flüchtige Daten verloren gehen könnten oder das System aus Verfügbarkeits- oder Abhängigkeitsgründen nicht ausgeschaltet werden darf.
Eine Live-Response ist auch dann hilfreich, wenn die Gefahr besteht, dass man auf den Datenträger des ausgeschalteten Systems nicht mehr zugreifen könnte. Einer der wesentlichen Vorzüge dieser Methode besteht darin, dass man häufig nur hierdurch herausfinden kann, ob das betroffene System wirklich angegriffen wurde, ob und wie eventuell schädlicher Code aktiv ist. Oft hat man nur zur Laufzeit eines Systems überhaupt eine Chance, Auffälligkeiten zu erkennen, die beispielsweise auf ein Rootkit hindeuten: (nur) per Live-Response lässt sich der Prozessspeicher (auch strukturiert) inklusive der gerade auf dem System ablaufenden Ereignisse sichern.
Eines der Hauptprobleme bei der Live-Response ist allerdings, dass die Reihenfolge der Sicherung flüchtiger Daten nicht immer zweifelsfrei festgelegt werden kann, da jede Tätigkeit am verdächtigen System auch selbst das verdächtige System verändert. Möchte man beispielsweise die Liste der gerade laufenden Prozesse sichern, muss man beachten, dass die dafür verwendeten Befehle dann auch in dieser Prozessliste auftauchen. Bei unsachgemäßem Umgang oder Tool-Einsatz besteht zudem die Gefahr, dass Daten zerstört werden oder relevante Informationen verborgen bleiben, weil beispielsweise ein auf dem System installiertes Rootkit sie "schützt".
Ein anderer Untersuchungsansatz wird oft Post-Mortem-Analyse genannt, da er sich mit der Auswertung von Datenträgern bereits ausgeschalteter Systeme beschäftigt. Hierbei darf eine Analyse sinnvollerweise nur an einer forensischen Kopie des Datenträgers eines kompromittierten Systems durchgeführt werden. Eine forensische Kopie ist eine bitweise 1:1-Kopie, die als Image-Datei vorliegt. Eine Post-Mortem-Analyse führt man vor allem dann durch, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon sehr lange zurückliegt.
Die Vorteile der Post-Mortem-Analyse an einer forensischen Datenträgerkopie liegen darin, dass flüchtige Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess und Tool-Einsatz in Ruhe planbar sind, da keine Informationen (mehr) verloren gehen können. Allerdings liegen hier auch die Nachteile: Es lassen sich nur wenige Aussagen zur (zurückliegenden) Laufzeit treffen und wesentliche Spuren können so verborgen bleiben. Während die Post-Mortem-Analyse in den vergangenen Jahren zum Standardrepertoire der Ermittler gehörte, ist hier ein Umdenken zu beobachten, das sich der aktuellen Bedrohungssituation anpasst.
Sind für das Verständnis und die Aufklärung des Vorfalls die flüchtigen Daten von Interesse, sollten sie vor dem Abschalten des verdächtigen Systems behutsam gesichert werden. Ist dies sorgfältig und fachmännisch geschehen, kann das System vom Stromnetz entfernt werden. Ein normaler Shutdown ist dabei möglichst zu vermeiden, da hierdurch sehr viele fragile Daten unwiederbringlich zerstört würden.
Zur letztendlichen Entscheidung über den einzuschlagenden Weg muss der Ermittler auch wissen, wie kritisch die betroffenen Systeme sind und welche Wichtigkeit die gestohlenen oder beschädigten Daten haben. Ein weiterer Anhaltspunkt für die Ermittlungstiefe ergibt sich daraus, wen man als Täter vermutet: Spürt man einem mutmaßlichen Innentäter nach, der vielleicht schon über einen längeren Zeitraum aktiv ist und Zugriff auf viele kritische Systeme hatte oder wenn man es mit einem erfahrenen Angreifer zu tun hat, dann werden weit reichende Ermittlungstätigkeiten nicht vermeidbar sein. Dies kann dann oft einen größeren Personal- und Ressourceneinsatz bedeuten.
----------Anfang Textkasten----------
Der "Werkzeugsatz" eines Ermittlers sollte die im Folgenden aufgeführten Funktionen umsetzen können (Liste aus [3]). Der Ermittler sollte alle seine Werkzeuge genau kennen und vorher getestet haben!
----------Ende Textkasten----------
Die Computer-Forensik ist noch ein verhältnismäßig junges Themengebiet. Regelmäßig werden die Verfahren und Methoden verfeinert und die verwendeten Tools verbessert. Gleichermaßen gibt es aber auch immer noch Themen, die Ermittlern bei ihrer täglichen Arbeit Kopfzerbrechen bereiten. Die Mehrzahl der gerade laufenden Forschungsarbeiten beschäftigt sich beispielsweise mit Möglichkeiten, den Verlust von flüchtigen Daten einzuschränken und hier sinnvolle Werkzeuge zur Verfügung zu stellen. Eine weitere Herausforderung ist auf der Seite der geschädigten Unternehmen und Behörden zu sehen: Immerhin steigt das Bewusstein bereits zusehends, eine erfolgreiche computer-forensische Ermittlung durch geeignete organisatorische Vorbereitungen zu ermöglichen.
Mit den heutzutage zur Verfügung stehenden Speichermedien und -größen wachsen zudem auch die Anforderungen an die Ausstattung von Forensik-Labors. Grob über den Daumen gepeilt benötigt ein Ermittler für die Analyse eines Festplatten-Images ungefähr den drei- bis vierfachen Platz des Originaldatenträgers, um Daten zu extrahieren, Suchindizes zu erstellen oder Sicherheitskopien anzufertigen. Bei der durchschnittlichen Dauer, die eine Ermittlung benötigt, um zu einer juristischen Würdigung zu kommen, sind hierfür leistungsfähige Speichersysteme zu betreiben. Sind in einem Fall mehrere Systeme zu analysieren, dann sind Logistik und Technik schnell stark gefordert.
Eine weitere Hürde muss der Ermittler selbst nehmen: Er muss sich mit den Systemen auskennen, die er analysieren soll. Computer-Forensik ist oft Anomalie-Erkennung und dazu muss man auch das Normale erkennen. Möchte man einen Angriff durch spezielle Angriffswerkzeuge analysieren, so sollte der Ermittler auch wissen, welche Werkzeuge im Umlauf sind und wie Angreifer diese verwenden. Alles in allem bleibt die Computer-Forensik sowohl aufgrund ihrer Bedeutung als auch ihrer Komplexität somit ein Thema, dem man sich möglichst gut vorbereitet und nicht "nur nebenbei" stellen sollte.
Alexander Geschonneck ist leitender Sicherheitsberater bei der HiSolutions AG in Berlin.
www.computer-forensik.org
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 60
| 