Spuren im WWW
Transcription
Spuren im WWW
Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim Teil 6: Spuren im Netz Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 https://pi1.informatik.uni-mannheim.de Name und Datumwww.uni-mannheim.de Seite 1 Motivation • Analyse von Festplatten: dead analysis – Heute noch der überwiegende Teil der gesammelten Spuren (mehr als 95%) – Weit entwickelte Methodik (siehe Kapitel 5 der Vorlesung) – Einfach zu sichern, geringe Flüchtigkeit • Herausforderung heute: Sichern von flüchtigeren Spuren – Spuren auf dem laufenden System (live response) – Spuren im Netz • Problem bei der Tatortsicherung – Man kann ein Netz nicht anhalten, um eine Kopie anzufertigen – Spuren sind verteilt vorhanden Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 2 Spuren im Netz • Teil der digitalen Forensik, der noch recht schwach entwickelt ist • Auch diese Vorlesung setzt einen Schwerpunkt auf praktisch verwertbare Ansätze – Sichern von Indizien im Internet • Sichern und Analyse von Spuren im lokalen Netz ist für die Vorlesung ein Zukunftsthema – Server Logs, Firewall und IDS Logs, Accounting Informationen, Netflow Informationen • Auch Live Response wird in Zukunft noch ausgebaut Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 3 Übersicht: Themen der Vorlesung 1. 2. 3. 4. 5. 6. 7. 8. 9. Motivation und Überblick Forensik und digitale Spuren Forensische Prinzipien und Beweise Vorgehensmodelle: Incident Response vs. Computerforensik Dateisystemanalyse Internet-Forensik und Live Response Computerforensische Werkzeuge Rechtliche Rahmenbedingungen Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 4 Quellen • Dornseif, Vorlesung RWTH 2004, Kapitel „Internetforensik“ • Casey, Kapitel 15 und 18 • Geschonneck, Kapitel 9 – Insbesondere IP-Backtracing • Diverse Internet-Seiten Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 5 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 6 Flüchtigkeit von Daten • Hierarchie der Flüchtigkeit von Daten im Rechner: – – – – – – – – – CPU-Register Arbeitsspeicher Kommunikationspuffer im Netzadapter Offene Dateien Aktive Netzwerkverbindungen Aktive Prozesse Log-Dateien Benutzerdateien ... Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 7 Sichern der Daten • Regel: Daten in Reihenfolge abnehmender Flüchtigkeit am Tatort sichern • Probleme: – Expertise muss vor Ort sein – Gefahr der Modifikation der Daten – „Original“ ist nach dem Sichern verschwunden Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 8 Wo fallen Spuren an? • Bereiche zunehmender geographischer Entfernung vom Tatort – Rechner, lokales Netz, Internet – Übergang lokales Netz/Internet oft fliessend – Probleme bei überlagerten Netzen (VPNs, P2P, etc.) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 9 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 10 Live Response • Datensammlung auf dem „lebenden System“ • Ermöglicht Sammlung vieler flüchtiger Daten: – – – – – Aktive Verbindungen Laufende Prozesse/Dienste Systemdatum und -uhrzeit Geladene Kernelmodule Liste offener Dateien • Teilweise auch nicht-flüchtige Daten – Beispiel: Windows Logs sind offline schwer auslesbar – Vorteil auch bei anderen Daten: Spuren stehen früher zur Verfügung als bei dead analysis Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 11 Probleme bei Live Response • Aktivitäten verändern das System! – Ändert Hauptspeicher – Erzeugt Prozesse – Legt ggf. temporäre Dateien an • Alle Aktivitäten müssen gut verstanden sein – Aktivitäten gut dokumentieren und absichern – Videoaufzeichnung oder Vier Augen-Prinzip – Abwägen der Vor- und Nachzeile notwendig • Angaben des Systems kann nicht vertraut werden – Kernel-Modifikationen, Rootkits, Malware, ... – Manche Rootkits hinterlassen keine Spuren auf der Festplatte – Zuverlässige Rootkit-Erkennung a posteriori möglich • Benötigt aber Schnappschuss des laufenden Systems (schwierig) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 12 Cold Boot Attack / Firewire • RAM verliert Inhalt nicht sofort – Inhalt des Speichers geht also nicht sofort verloren – Inhalt kann länger durch Kühlung konserviert werden – Kann auch benutzt werden, um Schlüssel aus dem Speicher zu extrahieren – Video: http://citp.princeton.edu/memory/ • Firewire ermöglicht direkten Zugriff auf den Speicher – DMA ist Feature von Firewire – Kann sowohl zum Lesen als auch Schreiben benutzt werden – Kann auch benutzt werden, um beispielsweise einen Speicherabzug zu erstellen (z.B. mit Hilfe eines iPods) – Arbeit von Dornseif et al. Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 13 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 14 Quellen • • • • Server Logs Firewall und IDS Logs Anmeldeinformationen Netflow Informationen • Wichtig zur ... – – – – Zuordnung von Aktivitäten zu einem Loginnamen Zuordnung von IP-Adressen zu Rechnern (DHCP, ARP) Bestimmung von (Angriffs-)Zeitpunkten ... Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 15 Zuordnung PC zu Person • Oft erwünscht: Nachweis, dass eine bestimmte Person etwas mit dem Rechner gemacht hat – Beispielsweise E-Mail-Schreiben oder E-Bay-Bieten • Verbindungsdaten (IP-Adresse) weisen auf Rechner hin • Logindaten weisen auf Benutzerkennung hin • Zusätzliche (nicht-digitale) Spuren weisen auf Person hin – Alibi, Zeugenaussagen, Gebäudeüberwachung, etc. Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 16 „Preemptive Forensik” • Sammeln von Spuren ohne konkreten Verdacht im Voraus – Vorratsdatenspeicherung – Sehr dünnes Eis wegen Datenschutz – Aktuell: Klage vor dem Bundesverfassungsgericht • Wichtiger Unterschied: – Kommunikationsdaten: Inhalt einer Verbindung – Verbindungsdaten: End- und Zeitpunkte einer Verbindung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 17 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 18 Mail Spoofing sonic:~ freiling$ telnet localhost 25 Trying ::1... telnet: connect to address ::1: Connection refused Trying 127.0.0.1... telnet: connect to address 127.0.0.1: Connection refused telnet: Unable to connect to remote host sonic:~ freiling$ telnet rumms.uni-mannheim.de 25 Trying 134.155.50.52... Connected to rumms.uni-mannheim.de. Escape character is '^]'. 220 SMTPSERVER ESMTP der UNIVERSITAET MANNHEIM; Tue, 15 May 2007 23:09:57 +0200 (MEST) HELO mail.hotmail.com 250 rumms.uni-mannheim.de Hello sonic.informatik.uni-mannheim.de [134.155.88.225], pleased to meet you MAIL FROM: <bush@whitehouse.gov> 250 2.1.0 <bush@whitehouse.gov>... Sender ok RCPT TO: <freiling@informatik.uni-mannheim.de> 250 2.1.5 <freiling@informatik.uni-mannheim.de>... Recipient ok DATA 354 Enter mail, end with "." on a line by itself Hi Felix, great lecture! George . 250 2.0.0 l4FL9viX022216 Message accepted for delivery quit 221 2.0.0 rumms.uni-mannheim.de closing connection Connection closed by foreign host. sonic:~ freiling$ Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 19 You have mail! Date: Tue, 15 May 2007 23:09:57 +0200 (MEST) From: bush@whitehouse.gov Message-Id: <200705152111.l4FL9viX022216@rumms.unimannheim.de> To: undisclosed-recipients:; X-Virus-Scanned: amavisd-new at staffmail.uni-mannheim.de Status: O Content-Length: 33 Lines: 4 Hi Felix, great lecture! George Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 20 Mail Header From bush@whitehouse.gov Tue May 15 23:11:33 2007 Return-Path: <bush@whitehouse.gov> Received: from murder ([unix socket]) by imap.uni-mannheim.de (Cyrus v2.2.12) with LMTPA; Tue, 15 May 2007 23:11:33 +0200 X-Sieve: CMU Sieve 2.2 Received: from localhost (localhost [127.0.0.1]) by staffmail.uni-mannheim.de (Postfix) with ESMTP id 9BC0B4BEA4 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:33 +0200 (CEST) Received: from staffmail.uni-mannheim.de ([127.0.0.1]) by localhost (mail-v71.rz.uni-mannheim.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 22699-08 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:32 +0200 (CEST) Received: from rumms.uni-mannheim.de (rumms.uni-mannheim.de [134.155.50.52]) by staffmail.uni-mannheim.de (Postfix) with ESMTP id DE3823FC71 for <freiling@staffmail.uni-mannheim.de>; Tue, 15 May 2007 23:11:32 +0200 (CEST) Received: from mail.hotmail.com (sonic.informatik.uni-mannheim.de [134.155.88.225]) by rumms.uni-mannheim.de (8.13.8/8.13.8) with SMTP id l4FL9viX022216 for <freiling@informatik.uni-mannheim.de>; Tue, 15 May 2007 23:11:03 +0200 (MEST) Date: Tue, 15 May 2007 23:09:57 +0200 (MEST) From: bush@whitehouse.gov [...] Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 21 Mail Struktur • Envelope – Wird oft als „Header“ bezeichnet • Eigentliche Mail (mit Header und Body) – – – – From: To: Subject: eigentliche Mail • Für die Zustellung ist nur der Envelope wichtig – Envelope wird bei den meisten Mailern nicht angezeigt • Anzeige der Header in (fast allen) Mailern: – http://www.spamcop.net/fom-serve/cache/19.html Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 22 Lesen des Envelopes • „Return-Path“ ist das, was bei „MAIL FROM:“ angegeben wurde • „Received:“ Zeilen sind Zustellvermerke – – – – Werden durch Mailserver jeweils vorne angefügt Für die Rückverfolgung also von hinten nach vorne lesen Erster Eintrag ist der eigene Mailserver Empfänger in Zeile i ist Sender in Zeile i-1 • Received-Zeilen können auch beliebig gefälscht sein – Spammer fügen oft vor „ihrer“ ersten Received-Zeile eine Reihe von gefälschten Zeilen ein • Wo beginnen die „echten“ Zeilen? – Auf kleine Inkonsistenzen achten – Aber auch Gewohnheiten von großen Mailversendern – Gutes Diplomarbeitsthema Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 23 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 24 Organisation des IP-Adressraums • IP-Adressraum wird von der IANA verwaltet – Internet Assigned Numbers Authority, www.iana.org • Verwaltung mittlerweile delegiert an regionale Registrare • Die wichtigsten sind: – ARIN: American Registry for Internet Numbers – APNIC: Asia Pacific Network Information Center – RIPE NCC: Réseaux IP Européens Network Coordination Center • Verwalten eine verteilte Datenbank über – IP-Adresszuordnungen (DNS) und – Besitzerinformationen (whois) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 25 dig dig - DNS lookup utility SYNOPSIS dig [@server] [-b address] [-c class] [-f filename] [-k filename] [-p port#] [-t type] [-x addr] [-y name:key] [-4] [-6] [name] [type] [class] [queryopt...] dig [-h] dig [global-queryopt...] [query...] DESCRIPTION dig (domain information groper) is a flexible tool for interrogating DNS name servers. It performs DNS lookups and displays the answers that are returned from the name server(s) that were queried. Most DNS administrators use dig to troubleshoot DNS problems because of its flexibility, ease of use and clarity of output. Other lookup tools tend to have less functionality than dig. Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 26 dig $ dig ix.de ;; QUESTION SECTION: ;ix.de. IN A ;; ANSWER SECTION: ix.de. 85466 IN A ;; AUTHORITY SECTION: ix.de. 85466 ix.de. 85466 ix.de. 85466 IN IN IN NS ns.heise.de. NS ns.pop-hannover.de. NS ns2.pop-hannover.net. ;; ADDITIONAL SECTION: ns.pop-hannover.de. 9336IN ns2.pop-hannover.net. 171336 A IN 193.99.144.80 193.98.1.200 A 62.48.67.66 ;; Query time: 2 msec ;; SERVER: 134.155.50.51#53(134.155.50.51) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 27 Beispiel: Reverse DNS Lookup ; <<>> DiG 9.3.2 <<>> @ns.kloth.net 225.88.155.134.in-addr.arpa ANY ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42245 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;225.88.155.134.in-addr.arpa. IN ANY ;; ANSWER SECTION: 225.88.155.134.in-addr.arpa. 172731 IN PTR sonic.informatik.uni-mannheim.de. ;; ;; ;; ;; Query time: 0 msec SERVER: 88.198.39.133#53(88.198.39.133) WHEN: Wed May 16 00:11:05 2007 MSG SIZE rcvd: 91 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 28 Whois NAME whois -- Internet domain name and network number directory service SYNOPSIS whois [-aAbdgiIlmQrR6] [-c country-code | -h host] [-p port] name ... DESCRIPTION The whois utility looks up records in the databases maintained by several Network Information Centers (NICs). • Liefert – Domaininhaber – Adminstrativer Ansprechpartner – Technischer Ansprechpartner Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 29 Domain: Domain-Ace: Nserver: Nserver: Nserver: Status: Changed: ix.de ix.de ns.heise.de ns.pop-hannover.de ns2.pop-hannover.net connect 2008-09-09T13:40:30+02:00 [Holder] Type: Name: Address: Address: Pcode: City: Country: Changed: ORG Heise Zeitschriften Verlag GmbH & Co. KG Redaktion iX Helstorferstrasse 7 30625 Hannover DE 2007-11-26T15:10:02+01:00 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 30 traceroute traceroute -- print the route packets take to network host SYNOPSIS traceroute [-dFISdnrvx] [-f first_ttl] [-g gateway] [-i iface] [-M first_ttl] [-m max_ttl] [-P proto] [-p port] [-q nqueries] [-s src_addr] [-t tos] [-w waittime] [-z pausemsecs] host [packetsize] DESCRIPTION The Internet is a large and complex aggregation of network hardware, connected together by gateways. Tracking the route one's packets follow (or finding the miscreant gateway that's discarding your packets) can be difficult. Traceroute utilizes the IP protocol `time to live' field and attempts to elicit an ICMP TIME_EXCEEDED response from each gateway along the path to some host. The only mandatory parameter is the destination host name or IP number. The default probe datagram length is 40 bytes, but this may be increased by specifying a packet size (in bytes) after the destination host name. Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 31 traceroute $ traceroute google.de traceroute: Warning: google.de has multiple addresses; using 74.125.77.104 traceroute to google.de (74.125.77.104), 64 hops max, 40 byte packets 1 mannhattan2.rz.uni-mannheim.de (134.155.80.200) 0.762 ms 0.290 ms 0.282 ms 2 Mannheim1.belwue.de (129.143.55.121) 0.815 ms 0.206 ms 0.191 ms 3 Karlsruhe1.belwue.de.in-addr.arpa (129.143.1.173) 1.549 ms 1.201 ms 1.219 ms 4 Frankfurt1.belwue.de (129.143.1.178) 3.690 ms 3.976 ms 3.832 ms 5 de-cix10.net.google.com (80.81.192.108) 5.139 ms 4.781 ms 4.661 ms 6 209.85.255.170 (209.85.255.170) 5.124 ms 209.85.255.172 (209.85.255.172) 5.020 ms 5.019 ms 7 209.85.248.182 (209.85.248.182) 29.971 ms 209.85.250.140 (209.85.250.140) 13.883 ms 12.711 ms 8 209.85.248.79 (209.85.248.79) 14.880 ms 14.420 ms 72.14.233.114 (72.14.233.114) 16.174 ms 9 209.85.255.143 (209.85.255.143) 15.516 ms 72.14.239.197 (72.14.239.197) 15.167 ms 209.85.255.143 (209.85.255.143) 15.760 ms 10 209.85.255.106 (209.85.255.106) 16.098 ms 26.905 ms 209.85.255.102 (209.85.255.102) 26.060 ms 11 ew-in-f104.google.com (74.125.77.104) 15.671 ms 15.555 ms 16.877 ms Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 32 IP Geolocation • Geolocation ordnet einer IP-Adresse ihre geographische Position zu • IP-Adressen haben oft zwar keine feste Zuordnung zu Rechnern, aber immer einen Besitzer • Besitzerinformationen können zur Eingrenzung des Ortes dienen (Stadt, Region, Land) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 33 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 34 Dienste im WWW • • • • DIG: http://www.kloth.net/services/dig-de.php Whois: http://www.denic.de/de/whois/index.jsp traceroute: http://clez.net/net.traceroute Geolocation: – http://www.geoiptool.com – http://maxmind.com – http://hostip.info • Domain-Infos: – http://domaintools.com – http://sitedossier.com – http://www.robtex.com Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 35 Domain Name System • • • • Wiederholung: Domain Name System ist “Wörterbuch” zur Übersetzung von IP-Adressen zu Namen Beispiel: www.heise.de <-> 193.99.144.85 Reverse DNS liefert zu einer gegebenen IP-Adresse die Domain Beispiel: $ host 193.99.144.85 85.144.99.193.in-addr.arpa domain name pointer www.heise.de. • Oft ist aber auch interessant zu wissen, welche anderen Domains zu einer gegebenen IP-Adresse gehören Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 36 Passive DNS-Replikation • • • Passive DNS-Replikation: Aufzeichnen aller Zuordnung von Domain zu IP-Adressen Ermöglicht Auffinden weiterer Informationen zu gegebener IP-Adresse oder Domain Interface: http://www.bfk.de/bfk_dnslogger_de.html Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 37 Beispiel Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 38 traceroute Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 39 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 40 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 41 Google • Durch spezielle Modifikatoren kann man die Google-Suche verfeinern – filetype:abc • Suche einschränken auf Dateien mit Endung abc – site:foo.com • Suche beschränken auf Domain foo.com – intext:foo • Klassische google-Suche: foo irgendwo im Text der Seite – intitle:foo • Seiten, die foo im Titel haben – inurl:foo • Seiten, die foo in der URL haben – link:www.foo.com • Seiten, die auf www.foo.com verlinken – cache:www.foo.com/bar.html • Seite im google cache • Siehe: http://www.google.com/help/operators.html Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 42 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 43 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 44 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 45 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 46 archive.org • „Internet-Archiv” • Non-profit Organisation in den USA • Ziel: Aufbewahren regelmäßiger Schnappschüsse des Internet für die Nachwelt • Wayback Machine: Zugang zum Schnappschussarchiv • http://www.archive.org • Im Gegensatz zum Google Cache ist archive.org persistent, dafür aber langsamer Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 47 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 48 Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 49 “People Search” • • • Suchmaschine zum Finden von Informationen zu Person – http://www.123people.de/ – http://www.yasni.de – http://pipl.com/ – http://www.spock.com/ Indiziert Informationen von Webseiten, Social Networks, Telefonbücher, Fotos, ... Kann sehr detaillierte Informationen zu einer Person liefern Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 50 Beispiel Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 51 Beispiel Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 52 Analyse von Browsern • Logdaten des Browsers enthalten häufig interessante Informationen – – – • Wann wurde welche Seite besucht? Rekonstruktion des zeitlichen Verlaufs Einwirkung von Außen? Malware Beispiel: Fall Julie Amero Vertretungslehrerin wird angezeigt weil während der Unterrichtsstunde pornographische Bilder auf dem PC im Klassenzimmer angezeigt werden – Schuldfrage unklar, war es Julie Amero, ein Schüler oder Pop-Ups? – URLs eingetippt, geklickt oder automatisch aufgerufen? http://www.sunbelt-software.com/ihs/alex/julieamerosummary.pdf – Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 53 Übersicht • • • • Klassifikation und Abgrenzung Live Response Spuren im lokalen Netz (kurz) Spuren im Internet – Mail und News – Zurückverfolgen von IP-Adressen – Spuren im WWW • Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 54 Zusammenfassung • Sammlung flüchtiger Spuren ist besonders schwierig • Insbesondere Spuren im Netz sind sehr vielfältig – Thema bei weitem nicht vollständig behandelt • Noch viel Arbeit für die Wissenschaft: – Klassifikation von Spuren im Netz – Standardvorgehen zur Sicherung von Spuren – Methoden der Suche und Korrelation • Im Internet liegen viele Schätze verborgen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 55 Communications of the ACM, 48(8), 2006 Ausblick • Noch offen • Gibt es konkrete Wünsche? Name und Datumwww.uni-mannheim.de Seite 56