Leitfaden IT-Forensik Notation
Total Page:16
File Type:pdf, Size:1020Kb
Leitfaden „IT-Forensik“ Version 1.0 (September 2010) Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 228 99 9582-0 E-Mail: [email protected] Internet: https://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2010 Inhaltsverzeichnis Einführung ...............................................................................................................8 Was leistet der vorliegende Leitfaden.................................................................9 Strukturierung des Leitfadens.......................................................................10 Begriffsfindung und Einordnung der IT-Forensik in ausgewählte Prozesse der IT-Sicherheit...........................................................................................13 Anforderungen an eine forensische Untersuchung.......................................22 Allgemeine Vorgehensweise bei einer forensischen Untersuchung..................24 Die beweissichere Anfertigung eines Datenträgerabbilds (forensische Duplikation).......................................................................................................26 Die CERT-Taxonomie im Rahmen einer forensischen Untersuchung..............29 Ausgewählte Fragestellungen beim Ablauf eines Vorfalls................................33 Die Bedeutung der Zeit.....................................................................................38 Aspekte des Datenschutzes................................................................................42 Organisatorische Maßnahmen...........................................................................43 Die Bedeutung der strategischen Vorbereitung bei einer forensischen Untersuchung.....................................................................................................44 Planung und Dokumentation der IT-Anlage unter Beachtung der IT-Forensik ......................................................................................................................45 Die Einrichtung und der Betrieb eines zentralen Logservers.......................49 Der Einsatz von Intrusion Detection Systemen in der IT-Forensik..............52 Der „digitale Fahrtenschreiber“ als forensisches Werkzeug .......................55 Anforderungen an die forensische Workstation............................................57 Kurzzusammenfassung des Kapitels.................................................................58 Detaillierte Vorgehensweise in der IT-Forensik....................................................59 Vorgehensmodell des forensischen Prozesses..................................................59 Der abschnittsbasierte Verlauf einer forensischen Untersuchung................60 Klassifikation forensischer Methoden.........................................................65 Die grundlegende Methode „Betriebssystem“ .......................................66 Die grundlegende Methode „Dateisystem“.............................................71 Die grundlegende Methode „Explizite Methoden der Einbruchserkennung“ ..............................................................................76 Die grundlegende Methode „IT-Anwendung“........................................77 Die grundlegende Methode „Skalierung von Beweismitteln“................78 Die grundlegende Methode „Datenbearbeitung und Auswertung“.........79 Forensisch bedeutende Datenarten..............................................................80 Vorgehensweise bei einer forensischen Untersuchung.....................................86 Strategische Vorbereitung.............................................................................87 Symptom.......................................................................................................87 Operationale Vorbereitung............................................................................87 Datensammlung............................................................................................88 Untersuchung................................................................................................90 Datenanalyse.................................................................................................91 Dokumentation.............................................................................................91 Grundlegende Methoden im Detail..................................................................92 2 Leitfaden IT-Forensik Notation.......................................................................................................92 Die grundlegende Methode „Betriebssystem“ ............................................93 Das Betriebssystem MS Windows XP ...................................................93 Sammlung von Hardwaredaten...........................................................94 Sammlung von Rohdateninhalten.......................................................95 Extraktion von Details über Daten ....................................................96 Extraktion der Konfigurationsdaten ..................................................98 Extraktion der Kommunikationsprotokolldaten.................................99 Extraktion von Prozessdaten............................................................101 Extraktion von Sitzungsdaten...........................................................101 Extraktion von Anwenderdaten........................................................103 Zusammenfassung der Methoden- und Werkzeugeinordnung.........107 Die Erweiterung der Methoden durch den Einsatz des Betriebssystems Microsoft Windows Server 2003...........................................................107 Ermittlung von Rohdateninhalten....................................................108 Ermittlung von Konfigurationsdaten................................................109 Ermittlung von Kommunikationsprotokolldaten.............................109 Zusammenfassung der Methoden- und Werkzeugeinordnung.........109 Veränderungen und Neuerungen der integrierten forensischen Methoden von MS Windows Vista im Vergleich zu MS Windows XP...................110 Allgemeine Änderungen durch den Einsatz der neuen Betriebssystemgeneration Windows Vista (einschließlich Windows Server 2008) .....................................................................................111 Ermittlung von Details über Daten ...................................................116 Extraktion der Konfigurationsdaten..................................................117 Extraktion von Sitzungsdaten............................................................118 Extraktion von Anwenderdaten.........................................................121 Zusammenfassung der Methoden- und Werkzeugeinordnung..........121 Veränderungen und Neuerungen der integrierten forensischen Methoden von MS Windows Server 2008 zu MS Windows Server 2003..............122 Extraktion der Konfigurationsdaten .................................................123 Extraktion von Sitzungsdaten............................................................124 Zusammenfassung der Methoden- und Werkzeugeinordnung..........124 Das Linux Betriebssystem....................................................................126 Extraktion von Hardwaredaten.........................................................127 Extraktion von Rohdateninhalten.....................................................127 Extraktion der Konfigurationsdaten.................................................127 Extraktion von Kommunikationsprotokolldaten..............................129 Extraktion von Prozessdaten ...........................................................131 Extraktion von Sitzungsdaten...........................................................132 Zusammenfassung der Methoden- und Werkzeugeinordnung.........132 Die grundlegende Methode „Dateisystem“...............................................133 Das Dateisystem NTFS.........................................................................134 Extraktion von Details über Daten...................................................135 Extraktion von Rohdateninhalten.....................................................141 Das Dateisystem FAT............................................................................145 Extraktion der Details über Daten ...................................................146 Extraktion von Rohdateninhalten.....................................................149 Leitfaden IT-Forensik 3 Die Dateisysteme EXT2, EXT3, EXT4 sowie EXT3-cow...................152 Extraktion von Details über Daten...................................................154 Extraktion von Rohdateninhalten.....................................................158 Die grundlegende Methode „Explizite Methoden der Einbruchserkennung“ ....................................................................................................................163 Intrusion Detection Systeme am Beispiel von Snort............................164 Virenscanner am Beispiel der Komponente AVGuard von Antivir......168 Zusammenfassung der Methoden- und Werkzeugeinordnung..............168 Die grundlegende Methode „IT-Anwendung“...........................................169 Forensisch nutzbare Funktionen des Datenbankmanagementsystems MySQL...................................................................................................170 Der Instant-Messenger Trillian ............................................................174 Der Instant-Messenger Pidgin...............................................................175