Isn’t business continuity part of security?
Andrea Covello
Ich beschäftige mich seit einigen Jahren mit Computer Forensik. In diversen Gesprächen ist mir aufgefallen, dass man im Allgemeinen ein völlig falsches Bild von dieser Disziplin hat. In diesem Artikel werde ich mich bemühen, weitere Aspekte der Computer Forensik nahe zu bringen. Dies ist meine und die Meinung anderer Fachpersonen. Wie immer werden Sie auch Fachpersonen finden, welche diesen Ansichten wiedersprechen werden.
Sobald ich jemandem von Computer Forensik erzählt habe, kam oft und schnell diese Aussage: Ach ja, das sind doch die vom CSI im Fernsehen. Ehrlich gesagt, habe ich CSI noch nie länger als 5 Minuten gesehen. Aber diese 5 Minuten haben genügt, um sagen zu können, Nein, nicht wie die vom CSI. In der Computer Forensik schaut man nicht auf eine Festplatte und weiss danach, was der Mörder zum Mittagessen hatte.
Ein weiteres falsches Bild, das viele Personen haben, ist die Datenrettung. Ja, Datenrettung ist eine Teildisziplin der Computer Forensik und wir haben und kennen verschiedene Tools, um die versehentlich oder absichtlich gelöschten Daten wieder herzustellen. Diese Fähigkeit sollten Sie aber mehr als Mittel-zum-Zweck ansehen, als die Kernkompetenz eines Forensikers. Damit er die Spuren auswerten kann, benötigt er die Daten, und diese können auch nur noch als Daten-Fragmente existieren und müssen daher wiederhergestellt werden. Wenn Sie einen grossen Datenverlust haben, gibt es aber auch Spezialisten, die sich nur um dieses Problem kümmern.
Wie immer ist es eine Frage des Blickwinkels. Vielleicht zuerst zur Klärung, wo es Computer Forensiker gibt. Einerseits finden Sie Computer Forensik Abteilungen bei der Polizei. Diese Abteilungen sind in der Regel unterstützend tätig für die Kriminalpolizei. Das bedeutet, ein Polizist der Kripo zieht einen Experten für einen Fall hinzu. Der Experte muss dabei Beweismittel aus elektronischen Geräten und Datenträger (Notebook, Mobiltelefon, PDA, eBook, Speichermedien etc.) suchen. Viele der Fälle werden wohl Drogendelikte sein. Hier gilt es die Kontakte, Nachrichten und Anruflogs eines Drogenhändlers auszuwerten und allenfalls auf weitere Personen zu kommen.
Am bekanntesten sind wohl die Fälle von verbotener Pornografie, am präsentesten die Kinderpornografie. Neben der Polizei gibt es Unternehmen, welche sich auf die Computer Forensik spezialisiert haben (es sind wenige in der Schweiz). Diese arbeiten vor allem unterstützend für die Polizeikorps und Staatsanwaltschaften.
Die nächst grössere und eventuell sogar die grössten Computer Forensik Abteilungen finden Sie in den grossen Wirtschaftsprüfungsunternehmen. Während der Fokus bei der Polizei jedoch sehr technisch ist und in der Systemanalyse liegt, ist er hier eine Ebene höher. Auch diese Forensiker können Datenwiederher- und sicherstellen. Ihr Fokus liegt jedoch in der eDiscovery, dabei geht es darum, innerhalb einer Bestimmten Zeit alle relevanten Dokumente zu sammeln und einem Reviewer zur Verfügung zu stellen.
Neben den vorgestellten Typen, finden Sie auch bei Information Security Spezialisten entsprechende Computer Forensiker. Der Vorteil von uns: Wir haben beide Blickwinkel. Wir kennen die Angreiferseite und wir kennen die Ermittlerseite. Wir können Ihnen helfen Einbrüche zu analysieren, Beweismittel sichern und Vorschläge zur Verbesserung der Sicherheit geben.
Haben Sie einen Incident, bei dem Sie vermuten, dass jemand unerlaubt auf Ihre System gelangt war? Haben Sie die Vermutung, dass ein Mitarbeiter, welcher die Firma verlassen wird Ihre Geschäftsgeheimnisse mitnimmt? Erhalten Sie E-Mail Nachrichten von unbekannten Absendern mit drohenden Aussagen?
Das sind alles Beispiele von Vorfällen, in welchen Computer Forensik zum Zug kommen könnten und sollten. Die Aufzählung ist keineswegs Abschliessend, es gibt so viele Bereiche in denen eine forensische Analyse sinnvoll sein könnte.
In der Computer Forensik (egal ob eDiscovery oder klassisch) gibt es grob gesagt drei Phasen, die durchlaufen werden.
Bei der Beweismittelsicherung gibt es verschiedene Aspekte, die berücksichtigt werden sollen. Wenn der Auftraggeber bereits zu Beginn keine gerichtliche Auseinandersetzung anstrebt und die Untersuchung der Prävention dienen soll, kann man sich die aufwändige Arbeit der gerichtlichen Verwertbarkeit sparen. Sollte der Kunde dies zum Startzeitpunkt noch nicht wissen, ist es von Vorteil die gängige Praxis anzuwenden. Somit hat der Kunde auch zum späteren Zeitpunkt noch die Möglichkeit ein Verfahren anzustreben.
Natürlich ist dies von Fall zu Fall unterschiedlich. Grundsätzlich können Sie die Beweismittel in jedem elektronischen Gerät mit Speicher oder auch diversen Speichermedien auffinden. Zum Beispiel:
Wichtig ist, dass man die relevanten Beweise auffinden kann. Interessant ist hier das Amerikanische Recht. Rule 401 besagt, dass ein Beweis relevant ist, sofern er die Tendenz hat, ein Fakt mehr oder weniger glaubwürdig zu sein, als ohne des Beweises.
Diese Daten können sein:
Kurzum: Beweise in der Computer Forensik sind Electronic Stored Information (ESI).
Die Sicherung dieser Beweise wird vorzugsweise durch eine Bitweise Kopie des Original-Speichermediums vorgenommen. Dabei werden zwei Kopien erstellt und der Zugriff auf das Original geschieht über einen Hardware-Schreibschutz. Die erste Kopie gilt als Best Evidence und wird in der Regel archiviert oder allenfalls später zur Kopie für weitere Arbeitsdisks beigezogen. Die zweite Kopie ist eine Arbeitsdisk. Sie wird direkt zur Untersuchung weiterverwendet.
Folgende gilt es zu beachten, damit ein Beweismittel als integer angesehen werden kann:
Ist ein Speichermedium verschlüsselt, kann selbstverständlich versucht werden die Verschlüsselung zu brechen. In der Regel gelingt dies jedoch nicht. Der Schlüssel kann jedoch im Memory zu finden sein. Auf jeden Fall bedingt ein verschlüsseltes Medium die Akquise der logischen Partition d.h. es muss eine Software von einer DVD oder einem USB-Stick geladen werden. Dieser Schritt gilt es gut zu dokumentieren, da das Original System verändert werden muss.
Das gleiche Problem gibt es bei der Akquise von RAM (flüchgiter Speicher). Sie können zwar den RAM-Inhalt mit enormem Aufwand auch nach dem Ausschalten des Systems im Ursprungszustand behalten, jedoch mit einem enorm hohen Aufwand und nur über sehr kurze Zeit.
Diese verschiedenen Akquise Möglichkeiten gibt es
Physical Drive | SATA, IDE, USB-Disk, etc. |
---|---|
Logical Drive | Bei verschlüsselten Disks, RAID, SSD |
Folder | Wählen Sie selber die Dateien, welche in als Original Evidence verwendet werden sollen. Keine gelöschten Dateien und nicht alloziierten Speicherplatz möglich. |
Zur Untersuchung und Analyse von Images kann man verschiedene Tools verwenden. Zwei Tools, EnCase und FTK, sind in der Branche sehr populär, es ist aber keinesfalls ein Muss, diese zu verwenden.
Im Memory können diverse interessante Informationen enthalten sein:
Bei der Memory Analyse muss das Zielsystem noch laufen und man benötigt Zugriff. Es muss dabei ein Tool von einer DVD oder einem USB-Stick geladen werden. Die Daten sollten dabei nicht auf das Zielsystem sondern ins Netzwerk oder auf ein USB-Medium gespeichert werden.
Wie im ersten Teil erläutert, verstehen viele Leute unter der Datenwiederherstellung die eigentliche Aufgabe der Computer Forensik. Tatsächlich kann es von grossem Interesse sein gelöschte Dateien wieder herzustellen. Bekommen Leute mit, dass Sie verdächtigt werden oder sind sie einfach nur vorsichtig, so löschen Sie genau die Dateien, welche interessant sein könnten.
Nicht jede gelöschte Datei kann wieder hergestellt werden. Teilweise sind auch nur noch Dateifragmente vorhanden. Wurde der komplette Zielort auf der Disk bereits überschrieben, so ist diese Datei nicht mehr vorhanden.
Bei der Untersuchung kommt es wiederum auf die eingesetzten Produkte und das Ziel an. Eine Vorgehensweise ist das Eingrenzen des Zeitrahmens und so die Relevanz der Dokumente zu bestimmen. Eine andere ist dies auf eine gewisse Gruppe von Daten einzuschränken (E-Mail, Textdokumente, Bilder, etc.).
Es kann aber auch eine Kombination dieser Punkte sein. Wichtig scheint mir, dass man ein klares Ziel hat. Den Grundsätzlich kann eine forensische Analyse bereits eine Suche im Heuhaufen sein, durch eine offene Fragestellung wird das Spektrum nur erweitert. Wir sind aber in der Lage herauszufinden, welche Dokumente ein Benutzer wann geöffnet hat. In welchen WLAN sich dieses Gerät angemeldet hat. Hiermit lassen sich allenfalls auch Standorte identifizieren. Es ist auch möglich herauszufinden, wann ein USB-Stick angeschlossen wurde. Die Möglichkeiten sind gross und würden den Rahmen dieses Artikels sprengen.
Nun haben Sie einen kurzen, zugegeben oberflächlichen Eindruck der Computer Forensik erhalten. Zumindest ist nun geklärt, dass wir mehr können als nur Daten wiederherzustellen. Diese Disziplin kommt in verschiedenen Fällen zum Einsatz. Gesagt werden kann, je mehr Daten ein Forensiker zum Auswerten hat, desto höher ist die Chance auf einen Erfolg.
Our experts will get in contact with you!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Our experts will get in contact with you!