Ankündigungen 16. Mai 2007
Transcription
Ankündigungen 16. Mai 2007
Ankündigungen 16. Mai 2007 • Gastvortrag von Katja Könnecke fällt leider aus • Seminaristen aufgepasst: – Terminliste für Vorträge liegt im Sekretariat aus – Seminaristen bekommen noch zusätzlich eine Diskette • Nächster Gastvortrag: – 30.5.: Knut Eckstein (ESA) • Vorlesungsplanung (siehe auch Webseite): – 16.5.: Abschluss Ext2/3, Internetforensik – 23.5.: Tools, rechtliche Rahmenbedingungen – 30.5. und 6.6.: Vorträge Seminararbeiter Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 219 Belegungsstrategien • Belegungsstrategie nachlesbar im Linux-Quellcode – Hier Beispiel aus Fedora Core 2 • Für eine neue Datei wird neuer Platz für den Indexknoten gesucht... – zunächst in derselben Blockgruppe des Elternverzeichnisses – Wenn das voll ist, wird mittels quadratischem Hashing eine andere (quasi-zufällige) Blockgruppe gesucht • Für ein neues Verzeichnis wird eine Blockgruppe gesucht, die bisher wenig benutzt wurde – Im Gruppendeskriptor werden statistische Daten gespeichert • Wieviele freie Indexknoten, wieviele freie Blöcke existieren noch in der Blockgruppe? – Die erste „unterdurchschnittliche“ Blockgruppe wird ausgewählt Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 220 Löschen von Einträgen • Ext3 setzt Dateigröße auf 0 und löscht die Blockverweise – Auch die Verweise in den indirekten Blöcken • Ext2 löscht diese Werte nicht – Macht Dateiwiederherstellung viel einfacher – Zeitstempel werden sogar aktualisiert Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 221 Analyse • Zur Analyse der Metadaten muss man immer den Indexknoten der Datei finden • Durchsuchen aller belegten oder unbelegten Indexknoten: – Belegtstatus mittels Inode Bitmap analysieren – Anschliessend Inode auslesen • Zeitstempel verraten, wann Datei gelöscht wurde • In Ext3 ist Dateiwiederherstellung viel schwerer als in Ext2 – Muss auf Anwendungsebene Daten interpretieren Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 222 Häufiger Trick • Ein Prozess öffnet eine Datei zum Lesen und/oder Schreiben • Der Prozess löscht mittels Systemkommando die Datei – Datei verschwindet aus dem Verzeichnis, existiert aber so lange, bis sie von Prozess geschlossen wird • Im „toten“ Dateisystem wird eine solche Datei in eine Liste im Superblock eingestellt – Kann mittels fsstat (Sleuthkit) analysiert werden Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 223 Dateinamen • Verzeichniseinträge liegen in Datenblöcken von Verzeichnissen – Enthalten Dateiname und Verweis auf Indexknoten • Verzeichniseinträge bilden eine Liste – Angaben jeweils wie lang der Name ist und wo der nächste Eintrag beginnt • Beim Löschen wird der „Next“-Zeiger einfach weitergeschaltet – Dateiname bleibt weiter stehen • Beispiel: [Carrier Abb 14.6] Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 224 Hard Links und Soft Links • Verzeichniseintrag ist ein „Hard Link“ – Direkter Verweis auf den Indexknoten – Es kann mehrere davon auf dieselbe Datei geben • Dieselbe Datei unter mehreren Namen • Wird erst gelöscht, wenn der letzte Hardlink verschwunden ist – „.“ und „..“ sind Hard Links auf das aktuelle und das Elternverzeichnis • Datei kann als Soft Link markiert sein – Dateninhalt enthält Dateinamen, auf den der Soft Link verweist – Nützlich für Verweise in andere Dateisysteme – Nützlich für Verweise auf Verzeichnisse Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 225 Beispiel [Carrier Abb 14.7] Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 226 Belegungsstrategien • Ein neuer Verzeichniseintrag soll angelegt werden • Linux sucht von Beginn des Verzeichnisses nach freiem Platz für den Eintrag • Falls kein Platz gefunden, füge Dateinamen ans Ende des Verzeichnisses an • Verzeichnisse werden standardmäßig nicht defragmentiert Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 227 Analyse • Beginne mit der Suche im Wurzelverzeichnis – Inode 2 • Suche nach gelöschten Dateinamen – Gehe komplettes Verzeichnis durch – Betrachte auch die „Zwischenräume“ zwischen den Dateinamen • Belegungsstrategie für Dateinamen: – Ein Eintrag für einen kurzen Dateinamen wird nach dem Löschen länger vorhanden sein als ein langer Dateiname • fsck kann Verzeichnisse defragmentieren • Man kann in „unbenutzten“ Verzeichniseinträgen auch Daten verstecken Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 228 Anwendungsdaten • Journal – Typischerweise Inode 8 – Heute gängiges feature – Führt Updates in Form von Transaktionen durch • Journal speichert: – Welche Updates auf Blöcken durchgeführt werden sollen – Ob der Update fertig wurde – Fortlaufende Nummer des Updates • Journal arbeitet auf vollständigen Blöcken – Falls auch nur ein Bit eines Indexknotens aktualisiert werden soll, wird der gesamte Block ins Journal geschrieben • Im Journal kann man zum Beispiel Indexknoten mit korrekten Verweisen finden, bevor sie gelöscht wurden Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 229 Übersicht: Datei Erstellen und Löschen [Carrier, Abb. 14.14] Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 230 Details: Erstellen der Datei • Superblock lesen, Identifiziere Beginn, Ort, Größe der Blockgruppen • Suche über den Indexknoten des Wurzelverzeichnisses den Indexknoten zum Verzeichnis dir1 • Belege Platz im Inhalt von dir1 für den Dateinamen file1.dat • Belege einen Indexknoten für file1.dat in derselben Blockgruppe • Belege Blöcke für file1.dat und verknüpfe die Blöcke mit den Blockverweisen im Indexknoten von file1.dat • Schreibe Daten von file1.dat in diese Blöcke Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 231 Details: Löschen der Datei • Finden des Eintrags file1.dat durch Ablaufen der Verzeichnisse und Verzeichniseinträge • Durch Ändern der „Next“-Zeigers des vorhergehenden Verzeichniseintrages wird der Name file1.dat gelöscht • Falls Verweiszeiger im Indexknoten von file1.dat 0 ist, wird – – – – Inode in Inode Bitmap auf unbelegt gesetzt Datenblöcke werden auf unbelegt gesetzt Verweise auf Blöcke werden ausgenullt (Ext3) Löschzeitpunkt im Inode aktualisiert Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 232 Rückblick • Festplattentechnologie – Boot Prozess, Arten von Festplatten, Standards • Sicherung (Preservation) von Festplattendaten – – – – Allgemeine Methodik und Verlässlichkeit der Tools Lesen des Originals Schreiben der Kopie Integrität der Kopie • Festplattenanalyse – Festplatten und Partitionen • Dateisystemanalyse – FAT, NTFS, Ext2/Ext3 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 233 Zusammenfassung • Der größte Teil an digitalen Spuren fällt heute (noch) auf Festplatten an • Festplattendaten müssen forensisch gesichert und ausgewertet werden • Allgemeine Methodik hilft bei der Vorgehensweise – Wo können welche Daten versteckt sein? – Welche Daten sind essentiell, welche nicht? Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 234 Communications of the ACM, 48(8), 2006 Ausblick • Bisher “dead analysis” • Als nächstes “live analysis” • Live Response und Internetforensik • Fragen? Name und Datumwww.uni-mannheim.de Seite 235 Computerforensik Vorlesung im Frühjahrssemester 2007 Universität Mannheim Teil 6: Spuren im Netz Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 http://pi1.informatik.uni-mannheim.de Name und Datumwww.uni-mannheim.de Seite 1 Motivation • Analyse von Festplatten: dead analysis – Heute noch der überwiegende Teil der gesammelten Spuren (mehr als 95%) – Weit entwickelte Methodik (siehe Kapitel 5 der Vorlesung) – Einfach zu sichern, geringe Flüchtigkeit • Herausforderung heute: Sichern von flüchtigeren Spuren – Spuren auf dem laufenden System (live response) – Spuren im Netz • Problem bei der Tatortsicherung – Man kann ein Netz nicht anhalten, um eine Kopie anzufertigen – Spuren sind verteilt vorhanden Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 2 Spuren im Netz • Teil der digitalen Forensik, der noch recht schwach entwickelt ist • Auch diese Vorlesung setzt einen Schwerpunkt auf praktisch verwertbare Ansätze – Sichern von Indizien im Internet • Sichern und Analyse von Spuren im lokalen Netz ist für die Vorlesung ein Zukunftsthema – Server Logs, Firewall und IDS Logs, Accounting Informationen, Netflow Informationen • Auch Live Response wird in Zukunft noch ausgebaut Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 3 Übersicht: Themen der Vorlesung 1. 2. 3. 4. 5. 6. 7. 8. 9. Motivation und Überblick Forensik und digitale Spuren Forensische Prinzipien und Beweise Vorgehensmodelle: Incident Response vs. Computerforensik Dateisystemanalyse Internet-Forensik und Live Response Computerforensische Werkzeuge Rechtliche Rahmenbedingungen Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 4 Quellen • Dornseif, Vorlesung RWTH 2004, Kapitel „Internetforensik“ • Casey, Kapitel 15 und 18 • Geschonneck, Kapitel 9 – Insbesondere IP-Backtracing • Diverse Internet-Seiten Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 5 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 6 Flüchtigkeit von Daten • Hierarchie der Flüchtigkeit von Daten im Rechner: – – – – – – – – – CPU-Register Arbeitsspeicher Kommunikationspuffer im Netzadapter Offene Dateien Aktive Netzwerkverbindungen Aktive Prozesse Log-Dateien Benutzerdateien ... Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 7 Sichern der Daten • Regel: Daten in Reihenfolge abnehmender Flüchtigkeit am Tatort sichern • Probleme: – Expertise muss vor Ort sein – Gefahr der Modifikation der Daten – „Original“ ist nach dem Sichern verschwunden Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 8 Wo fallen Spuren an? • Bereiche zunehmender geographischer Entfernung vom Tatort – Rechner, lokales Netz, Internet – Übergang lokales Netz/Internet oft fliessend – Probleme bei überlagerten Netzen (VPNs, P2P, etc.) Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 9 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 10 Live Response • Datensammlung auf dem „lebenden System“ • Ermöglicht Sammlung vieler flüchtiger Daten: – – – – – Aktive Verbindungen Laufende Prozesse Systemdatum und -uhrzeit Geladene Kernelmodule Liste offener Dateien • Teilweise auch nicht-flüchtige Daten – Beispiel: Windows Logs sind offline schwer auslesbar – Vorteil auch bei anderen Daten: Spuren stehen früher zur Verfügung als bei dead analysis Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 11 Probleme bei Live Response • Aktivitäten verändern das System! – Ändert Hauptspeicher – Erzeugt Prozesse – Legt ggf. temporäre Dateien an • Alle Aktivitäten müssen gut verstanden sein – Aktivitäten gut dokumentieren und absichern – Videoaufzeichnung oder Vier Augen-Prinzip – Abwägen der Vor- und Nachzeile notwendig • Angaben des Systems kann nicht vertraut werden – Kernel-Modifikationen, Root Kits – Manche Root Kits hinterlassen keine Spuren auf der Festplatte – 100%ige Root Kit-Erkennung a posteriori möglich • Benötigt aber Schnappschuss des laufenden Systems Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 12 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 13 Quellen • • • • Server Logs Firewall und IDS Logs Anmeldeinformationen Netflow Informationen • Wichtig zur ... – – – – Zuordnung von Aktivitäten zu einem Loginnamen Zuordnung von IP-Adressen zu Rechnern (DHCP, ARP) Bestimmung von (Angriffs-)Zeitpunkten ... Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 14 Zuordnung PC zu Person • Oft erwünscht: Nachweis, dass eine bestimmte Person etwas mit dem Rechner gemacht hat – Beispielsweise E-Mail-Schreiben oder E-Bay-Bieten • Verbindungsdaten (IP-Adresse) weisen auf Rechner hin • Logindaten weisen auf Benutzerkennung hin • Zusätzliche (nicht-digitale) Spuren weisen auf Person hin – Alibi, Zeugenaussagen, Gebäudeüberwachung, etc. Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 15 „Preemptive Forensik“ • Sammeln von Spuren ohne konkreten Verdacht im Voraus – Vorratsdatenspeicherung – Sehr dünnes Eis wegen Datenschutz • Wichtiger Unterschied: – Kommunikationsdaten: Inhalt einer Verbindung – Verbindungsdaten: End- und Zeitpunkte einer Verbindung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 16 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 17 Mail Spoofing sonic:~ freiling$ telnet localhost 25 Trying ::1... telnet: connect to address ::1: Connection refused Trying 127.0.0.1... telnet: connect to address 127.0.0.1: Connection refused telnet: Unable to connect to remote host sonic:~ freiling$ telnet rumms.uni-mannheim.de 25 Trying 134.155.50.52... Connected to rumms.uni-mannheim.de. Escape character is '^]'. 220 SMTPSERVER ESMTP der UNIVERSITAET MANNHEIM; Tue, 15 May 2007 23:09:57 +0200 (MEST) HELO mail.hotmail.com 250 rumms.uni-mannheim.de Hello sonic.informatik.uni-mannheim.de [134.155.88.225], pleased to meet you MAIL FROM: <bush@whitehouse.gov> 250 2.1.0 <bush@whitehouse.gov>... Sender ok RCPT TO: <freiling@informatik.uni-mannheim.de> 250 2.1.5 <freiling@informatik.uni-mannheim.de>... Recipient ok DATA 354 Enter mail, end with "." on a line by itself Hi Felix, great lecture! George . 250 2.0.0 l4FL9viX022216 Message accepted for delivery quit 221 2.0.0 rumms.uni-mannheim.de closing connection Connection closed by foreign host. sonic:~ freiling$ Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 18 You have mail! Date: Tue, 15 May 2007 23:09:57 +0200 (MEST) From: bush@whitehouse.gov Message-Id: <200705152111.l4FL9viX022216@rumms.unimannheim.de> To: undisclosed-recipients:; X-Virus-Scanned: amavisd-new at staffmail.uni-mannheim.de Status: O Content-Length: 33 Lines: 4 Hi Felix, great lecture! George Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 19 Mail Header From bush@whitehouse.gov Tue May 15 23:11:33 2007 Return-Path: <bush@whitehouse.gov> Received: from murder ([unix socket]) by imap.uni-mannheim.de (Cyrus v2.2.12) with LMTPA; Tue, 15 May 2007 23:11:33 +0200 X-Sieve: CMU Sieve 2.2 Received: from localhost (localhost [127.0.0.1]) by staffmail.uni-mannheim.de (Postfix) with ESMTP id 9BC0B4BEA4 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:33 +0200 (CEST) Received: from staffmail.uni-mannheim.de ([127.0.0.1]) by localhost (mail-v71.rz.uni-mannheim.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 22699-08 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:32 +0200 (CEST) Received: from rumms.uni-mannheim.de (rumms.uni-mannheim.de [134.155.50.52]) by staffmail.uni-mannheim.de (Postfix) with ESMTP id DE3823FC71 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:32 +0200 (CEST) Received: from mail.hotmail.com (sonic.informatik.uni-mannheim.de [134.155.88.225]) by rumms.uni-mannheim.de (8.13.8/8.13.8) with SMTP id l4FL9viX022216 for <freiling@informatik.uni-mannheim.de>; Tue, 15 May 2007 23:11:03 +0200 (MEST) Date: Tue, 15 May 2007 23:09:57 +0200 (MEST) From: bush@whitehouse.gov [...] Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 20 Mail Struktur • Envelope – Wird oft als „Header“ bezeichnet • Eigentliche Mail (mit Header und Body) – – – – From: To: Subject: eigentliche Mail • Für die Zustellung ist nur der Envelope wichtig – Envelope wird bei den meisten Mailern nicht angezeigt • Anzeige der Header in (fast allen) Mailern: – http://www.spamcop.net/fom-serve/cache/19.html Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 21 Lesen des Envelopes • „Return-Path“ ist das, was bei „MAIL FROM:“ angegeben wurde • „Received:“ Zeilen sind Zustellvermerke – – – – Werden durch Mailserver jeweils vorne angefügt Für die Rückverfolgung also von hinten nach vorne lesen Erster Eintrag ist der eigene Mailserver Empfänger in Zeile i ist Sender in Zeile i-1 • Received-Zeilen können auch beliebig gefälscht sein – Spammer fügen oft vor „ihrer“ ersten Received-Zeile eine Reihe von gefälschten Zeilen ein • Wo beginnen die „echten“ Zeilen? – Auf kleine Inkonsistenzen achten – Aber auch Gewohnheiten von großen Mailversendern – Gutes Diplomarbeitsthema Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 22 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 23 Organisation des IP-Adressraums • IP-Adressraum wird von der IANA verwaltet – Internet Assigned Numbers Authority, www.iana.org • Verwaltung mittlerweile delegiert an regionale Registrare • Die wichtigsten sind: – ARIN: American Registry for Internet Numbers – APNIC: Asia Pacific Network Information Center – RIPE NCC: Réseaux IP Européens Network Coordination Center • Verwalten eine verteilte Datenbank über – IP-Adresszuordnungen (DNS) und – Besitzerinformationen (whois) Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 24 dig dig - DNS lookup utility SYNOPSIS dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-p port#] [-t type] [-x addr] [-y name:key] [-4] [-6] [name] [type] [class] [queryopt...] dig [-h] dig [global-queryopt...] [query...] DESCRIPTION dig (domain information groper) is a flexible tool for interrogating DNS name servers. It performs DNS lookups and displays the answers that are returned from the name server(s) that were queried. Most DNS administrators use dig to troubleshoot DNS problems because of its flexibility, ease of use and clarity of output. Other lookup tools tend to have less functionality than dig. Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 25 Beispiel: Reverse DNS Lookup ; <<>> DiG 9.3.2 <<>> @ns.kloth.net 225.88.155.134.in-addr.arpa ANY ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42245 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;225.88.155.134.in-addr.arpa. IN ANY ;; ANSWER SECTION: 225.88.155.134.in-addr.arpa. 172731 IN PTR sonic.informatik.uni-mannheim.de. ;; Query time: 0 msec ;; SERVER: 88.198.39.133#53(88.198.39.133) ;; WHEN: Wed May 16 00:11:05 2007 ;; MSG SIZE rcvd: 91 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 26 Whois NAME whois -- Internet domain name and network number directory service SYNOPSIS whois [-aAbdgiIlmQrR6] [-c country-code | -h host] [-p port] name ... DESCRIPTION The whois utility looks up records in the databases maintained by several Network Information Centers (NICs). ... Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 27 Whois-Abfrage • Liefert – Domaininhaber – Adminstrativer Ansprechpartner – Technischer Ansprechpartner Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 28 traceroute traceroute -- print the route packets take to network host SYNOPSIS traceroute [-dFISdnrvx] [-f first_ttl] [-g gateway] [-i iface] [-M first_ttl] [-m max_ttl] [-P proto] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [-z pausemsecs] host [packetsize] DESCRIPTION The Internet is a large and complex aggregation of network hardware, connected together by gateways. Tracking the route one's packets follow (or finding the miscreant gateway that's discarding your packets) can be difficult. Traceroute utilizes the IP protocol `time to live' field and attempts to elicit an ICMP TIME_EXCEEDED response from each gateway along the path to some host. The only mandatory parameter is the destination host name or IP number. The default probe datagram length is 40 bytes, but this may be increased by specifying a packet size (in bytes) after the destination host name. Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 29 IP Geolocation • Geolocation ordnet einer IP-Adresse ihre geographische Position zu • IP-Adressen haben oft zwar keine feste Zuordnung zu Rechnern, aber immer einen Besitzer • Besitzerinformationen können zur Eingrenzung des Ortes dienen (Universität, Region, Land) Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 30 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 31 Dienste im WWW • • • • DIG: http://www.kloth.net/services/dig-de.php Whois: http://www.denic.de/de/whois/index.jsp traceroute: http://clez.net/net.traceroute Geolocation: http://www.geoiptool.com/ Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 32 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 33 Google • Durch spezielle Modifikatoren kann man die Google-Suche verfeinern – filetype:abc • Suche einschränken auf Dateien mit Endung abc – site:foo.com • Suche beschränken auf Domain foo.com – intext:foo • Klassische google-Suche: foo irgendwo im Text der Seite – intitle:foo • Seiten, die foo im Titel haben – inurl:foo • Seiten, die foo in der URL haben – link:www.foo.com • Seiten, die auf www.foo.com verlinken – cache:www.foo.com/bar.html • Seite im google cache • Siehe: http://www.google.com/help/operators.html Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 34 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 35 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 36 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 37 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 38 archive.org • Internet-Archiv • Non-profit Organisation in den USA • Ziel: Aufbewahren regelmäßiger Schnappschüsse des Internet für die Nachwelt • Wayback Machine: Zugang zum Schnappschussarchiv • http://www.archive.org • Im Gegensatz zum Google Cache ist archive.org persistent, dafür aber langsamer Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 39 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 40 Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 41 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail und News – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 42 Zusammenfassung • Sammlung flüchtiger Spuren ist besonders schwierig • Insbesondere Spuren im Netz sind sehr vielfältig – Thema bei weitem nicht vollständig behandelt • Noch viel Arbeit für die Wissenschaft: – Klassifikation von Spuren im Netz – Standardvorgehen zur Sicherung von Spuren – Methoden der Suche und Korrelation • Im Internet liegen viele Schätze verborgen Vorlesung Computerforensik, Frühjahrssemester 2007, Universität Mannheim, http://pi1.informatik.uni-mannheim.de Seite 43 Communications of the ACM, 48(8), 2006 Ausblick • Kurzüberblick über (kommerzielle) Werkzeuge • Rechtliche Rahmenbedingungen Name und Datumwww.uni-mannheim.de Seite 44