Disk-Forensik/ Rechtliche Rahmenbedingungen/ Mögliche Fehler bei der Beweissicherung

Aus Wikibooks
Zur Navigation springen Zur Suche springen

Wenn man bei der Ermittlung zu einem "frisch gehackten System" kommt, steht man oft vor dem Problem, dass keine Daten verändert werden dürfen, jedoch bestimmte Daten erforderlich sind [vgl. S.73, 3].

  • Die Zeitstempel auf einem kompromittierten System dürfen nicht verändert werden:

Hierbei ist zu beachten, dass jeder ausgeführte Befehl oder das Ansehen der Konfigurationsdateien die Dateizugriffe der Daten verändert. Vermutet man, dass der Angreifer eine Datei modifiziert hat, dann ist es fatal dies zu bearbeiten. Die erste Maßnahme bei einem gehackten System ist die Dokumentation der aktuellen Systemzeit. Somit kann festgestellt werden, welche Daten vor der Ermittlung und welche nach der Ermittlung verändert wurden.

  • Der Einsatz von Tools mit grafischer Oberfläche sollte vermieden werden:

In diesem Fall wird auf Binär- (Bibliotheken) und Konfigurationsdateien zugegriffen. Hierdurch verändert sich wieder der Zeitstempel. Beispiel: Beim Starten von einem Windows 2000 System oder einem Linux mit Gnome-Desktop werden die Zeitstempel von mehr als 1000 Dateien verändert.

  • Laufen Verdächtige Prozesse, dann sollten diese nicht beendet werden:

Um aktive Angreifertools auf einem System zu finden, ist es sinnvoll die laufenden Prozesse des Systems anzusehen. Hin und wieder kommt es vor, dass das Beenden eines verdächtigen Prozesses wichtige Spuren beseitigt. Hat ein Angreifer unter Unix einen Prozess gestartet und dazugehörige Dateien gelöscht. Im Verzeichnis /proc befindet sich aber von allen laufenden Prozessen eine Binärkopie. Wird der Prozess beendet, dann verschwinden auch die Binärkopien.

  • Keine unprotokollierten Kommandos ausführen:

Damit keine Lücken in der Beweiskette entstehen, müssen alle ausgeführten Systembefehle und Kommandos dokumentiert werden. Auch die Ausgaben der ausgeführten Kommandos muss hierbei protokolliert werden.

  • Keine vertrauensunwürdigen Programme bzw. Systemtools verwenden:

Hat ein Angreifer auf dem System Administratorrechte erlangt, dann ist zu vermuten, dass er sich Hintertüren geschafft hat, um zu einem späteren Zeitpunkt erneut auf das System zu kommen. In einem solchen Fall sollte man sich nicht auf die Ausgabe von Systemtools verlassen, sondern eigene "sauberer" Systemkommandos von einer vertrauenswürdigen Quelle einsetzten.

  • Security Patches und Updates nur installieren, wenn das Response-Team dies empfiehlt:

Um herauszufinden, welche Sicherheits- oder Konfigurationslücken ein Angreifer benutzt hat, ist es wichtig kurzeitig die Lücke offen zu lassen. Hier durch kann aber zusätzlicher Schaden entstehen. Zu beachten ist auch, dass ein Administrator nicht einfach die Patches und Updates installiert oder eine Firewallregel aktiviert, damit ihm kein Fehlverhalten nachgewiesen werden kann.

  • Software nur installieren oder deinstallieren, wenn das Response-Team dies genehmigt:

Das installieren und deinstallieren von Software können wichtige Beweise am System zerstört werden. Auch Forensik-Tools sollen nicht erst beim Zwischenfall installiert werden, da dann die erhaltenen Informationen nicht in Erwägung gezogen werden dürfen.

  • Erstellte Protokolle und Dokumentationen sollten nicht auf die zu analysierende Platte gespeichert werden:

Speichern Programme ihre Protokolldatei oder Dokumentation auf dem System, dann können wieder Beweise zerstört werden, wie beispielsweise Daten im File Slack oder im unallokierten Dateisystembereich.

  • Keinen ordnungsgemäßen Shutdown durchführen:

Bei einem ordnungsgemäßen Shutdown werden viele Dateien angefasst und dadurch die Zeitstempel verändert. Wenn ein System so konfiguriert ist, dass der Swapbereich beim Shutdown gelöscht wird, gehen auch hier wertvolle Daten aus dem Hauptspeicher verloren. Wird ein System heruntergefahren und neu gestartet, dann findet sich ein völlig neuer Status der laufenden Umgebung auf dem Dateisystem. Flüchtige Daten lassen sich kaum mehr finden. Hierbei ist zu beachten, dass Status des Systems in jedem Fall verändert wird. Die Empfehlung der Kriminalpolizei ist, den Stecker zu ziehen.