Post on 08-Apr-2022
Dirk Wetter Dr Wetter IT-Consulting (httpdrwetterde)
Hamburg
Erste Hilfe in Digitaler Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
Agenda
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erkennen + erhaumlrten
IV Beweissicherung
V Vorbeugen ist besser als
335352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Incident Response d CF = bis vor PM-Analyse
Methodik
Handwerkszeug Kommandozeile
Beschraumlnkung aufPC-HardwareLinuxVerwendung von OSS
einfache Problemstellung kein RAID DB ATA-HPADCO -SE keine Tatortsicherung
Um was gehts
435452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Unterscheidet
Live-Forensik
Post-Mortem-Forensik
Wort bdquoForensikldquo bestimmt Arbeitsweise
Digitale Computer-Forensika Begriffe
535552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Forensik allgemeina Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
systematisch
kriminell
identifizieren
analysieren rekonstruieren
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
Agenda
I Einleitung
II Begriffe + Arbeitsweise
III Verdacht erkennen + erhaumlrten
IV Beweissicherung
V Vorbeugen ist besser als
335352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Incident Response d CF = bis vor PM-Analyse
Methodik
Handwerkszeug Kommandozeile
Beschraumlnkung aufPC-HardwareLinuxVerwendung von OSS
einfache Problemstellung kein RAID DB ATA-HPADCO -SE keine Tatortsicherung
Um was gehts
435452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Unterscheidet
Live-Forensik
Post-Mortem-Forensik
Wort bdquoForensikldquo bestimmt Arbeitsweise
Digitale Computer-Forensika Begriffe
535552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Forensik allgemeina Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
systematisch
kriminell
identifizieren
analysieren rekonstruieren
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
335352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Incident Response d CF = bis vor PM-Analyse
Methodik
Handwerkszeug Kommandozeile
Beschraumlnkung aufPC-HardwareLinuxVerwendung von OSS
einfache Problemstellung kein RAID DB ATA-HPADCO -SE keine Tatortsicherung
Um was gehts
435452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Unterscheidet
Live-Forensik
Post-Mortem-Forensik
Wort bdquoForensikldquo bestimmt Arbeitsweise
Digitale Computer-Forensika Begriffe
535552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Forensik allgemeina Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
systematisch
kriminell
identifizieren
analysieren rekonstruieren
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
435452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Unterscheidet
Live-Forensik
Post-Mortem-Forensik
Wort bdquoForensikldquo bestimmt Arbeitsweise
Digitale Computer-Forensika Begriffe
535552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Forensik allgemeina Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
systematisch
kriminell
identifizieren
analysieren rekonstruieren
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
535552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Forensik allgemeina Begriffe
Wikipedia
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo
systematisch
kriminell
identifizieren
analysieren rekonstruieren
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
635652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Es geht um Digitale Beweise
gerichtliche Verwertbarkeit
Zum Zeitpunkt der Entdeckung
kein Wissen uumlber Taumlter bull intern externbull Motivation
Schaden
Schlussfolgerunga Begriffe
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
735752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Jeder und alles am Tatort
nimmt etwas mit und laumlsst
etwas zuruumlck
Locards Austauschprinzipa Begriffe
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
835852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Disclaimer Ich bin kein Anwalt
Freistellungsauftrag -)a Begriffe
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
935952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
sorgfaumlltigFluumlchtiges zuerst sichern
Dann Nicht-Fluumlchtiges
kein Zerstoumlren
sicheres Aufbewahren
Dokumentieren (Wer wann was wo wie)
Umgang mit Beweisenb Arbeitsweise
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
10351052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation Hintergrund
Beweiskette fuumlr Gericht
Strafverfahren
Zivilanspruumlche
Nachvollziehbarkeit fuumlr Nicht-Profis
vier Augen beweisen mehr
Gerichtsfestigkeit
Versetzen in die Rolle des
BeschuldigtenAngeklagten
b Arbeitsweise
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
11351152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Dokumentation technisch
bdquo5 x Wldquo Wer Wann Was Wo Wie
digital date(1) [2x]
script(1) screen(1) log
Pruumlfsummen
nicht digital
Zeit
Unterschrift
Seitennummerierung (Luumlckenlosigkeit)
b Arbeitsweise
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
12351252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Einen PlanStrategie haben (ggf machen)
Firma (Sicherheitsrichtlinien Notfallkonzept)
technischer Ablaufplan
Handlungsweiseb Arbeitsweise
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
13351352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Notfallkonzept
Organisatorisch (Meldung Handling)
Betrieb + Verfuumlgbarkeit
Umgang mit personenbezogenen Daten +
Betriebsgeheimnissen waumlhrend IR
BSI-Grundschutzhandbuch-kataloge
B 13 B 18 Notfallvorsorge-Konzept Behandlung von
Sicherheitsvorfaumlllen
M 6 Maszlignahmenkatalog
c Prozeduren
Firma CERT
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
14351452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
erstes RK 1990 fuumlr SunOS 411
Rootkit manipuliert
Prozesse
Verzeichnisse Dateien (Binaumlr Libs)
Sockets
Log-Manipulation
Speicher
Meistens Hintertuumlr zur Fernsteuerung
automatisiert
a Verdachtserkennung
Kleine Lehre d Versteckens
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
15351552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
A) haumlufig Kernel-RK
Kernel-Modul
Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien
wenig im Dateisystem zu finden
B) seltener reines User-Level-RK
mehr Spuren
C) Fies in-memory Rootkits (=non-persistent)
a Verdachtserkennung
Artenvielfalt Rootkits
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
16351652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Erkennung nicht trivial
IDS (Host Netzwerk)
Log-Meldungen Tageszeiten fehlende Art
Netzwerkverbindungen (Peers Anzahl)
bdquokomischeldquo Prozesse Dateien
Statusveraumlnderungen (PROMISC
fehlerhaftefehlende Dateien)
a Verdachtserkennung
Anomalien
ausg
ekl
uumlgelt
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
17351752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Mirror Port
bdquoHubbing outldquo
Mithorchen bdquoin der Mitteldquo
Firewall- Routermitschnitt
ettercap (MITM)
Problem
Tageszeit des Netzwerkverkehrs
Verschluumlsselung
b Verdachtserhaumlrtung
Netz minimal invasiv
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
18351852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System invasiv
Ziele bei PM-Analyse
Auffinden geloumlschter Dateien evtl Loumlschdatum
Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime
Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
19351952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Am System Vorsicht
ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog
mount shyo remountnoatime ltdirgt
evtl killall hald
Separation im Netz
Nicht herunterfahren
Vertraue dem System nichtBinaries
Libs
Kernel
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
20352052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
rarr Externe Tools
statisch gelinkt
woherCDDVD (manipuliersicher)
USB-Stick (-Platte)
kopiertes Verzeichnis
falls vorhanden und eingehaumlngt NFS CIFS AFS
hackedmntStaticshyBinarieslinux_x86 0 ldd uptime
not a dynamic executable
hackedmntStaticshyBinarieslinux_x86 1 file uptime
uptime [] statically linked stripped
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
21352152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Womit
Helix
wwwe-fensecomhelix (GPL)
Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik
keine Solaris-Bins mehr (Windows ja)
procget pcat pd
evtl selbst erweitern
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
22352252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Anfang der Suche
schoumln waumlre bash shyshynoprofile shyshynorc
mount ltHelixshyCDgt mnt
PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull
unset LD_LIBRARY_PATH (LD_PRELOAD)
lsof (shyi) shyPn netstat shyatupn
last shyaix who shya ps shyefwly
fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen
ls shyla roothistory (Laumlnge Null Link devnull Anschauen)
ls shyla homehistory ua Benutzer wie wwwshy
ifconfig | grep PROMISC
ls shyulrt ls shylrt
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
23352352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Verdachtserhaumlrtung
Nuumltzlich
binrpm shyVa (nicht auf Helix-CD noatime-Mount)
(debsums shys fuumlr Debian-Dialekte)
beides lokale DB Nur Anhaltspunkte
Log-Dateien im Netz
Proxy
IDS IPS
Firewall Router Switch Netflow
bdquoSeuchengefahrldquo Scan des Intranets (Inter-)
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
24352452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ok Jetzt weiszlig ich Rechner ist kompromittiert
Und nun
CERT involvieren
Daten sichern
a) Fluumlchtige Daten
b) Rechner auszliger Betrieb
c) Forensisches Duplikat
a Vorgehensweise
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
25352552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
ie bdquoDead Acquisitionldquo
Prinzipiell auch moumlglich
Erst forensische Duplikation
Dann auszliger Betrieb
bdquoLive Acquisitionldquo
Bietet sich an bei nicht-gaumlngigen PlattenHBAs
Skepsis wegen Kernel
a Vorgehensweise
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
26352652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Beweissicherung
nicht uumlberstuumlrzt
Beweishandhabung
It looked insanely complicated and this
was one of the reasons why the snug pla-
stic cover it fitted into had the words
DONT PANIC printed on it in large friendly
letters The other reason was that this de-
vice was in fact that most remarkable of all
books ever to come out of the great pu-
blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy
a Vorgehensweise
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
27352752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Anzahl Kommandos
Ausgaben
Stempel korrektes Datum (Tag+Uhrzeit)
bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)
Tools
Helix-CD (USB)
aumlhnliches bzw eigener Werkzeugkasten
Skepsis
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
28352852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
Vorsicht Helix linuxshyirsh
uumlberfluumlssigerweise nicht-fluumlchtige Daten
atime (remountnoatime killall hald)
besser nicht ganz perfekt
iX 72007 httpcomputer-forensikorgtoolsix
oder httpsoftwaredrwetterdeir
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
29352952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles (Plan)
RAM
Anderes Fluumlchtiges wo Neustart=Verlust
Info + Status
Verschluumlsselte Dateisysteme ()
(ggf Swap)
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
30353052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
USBFirewire (ext Platte -Stick devkcore)
Einfach
Sicher (well)
Zugaumlnglichkeit
Netz
b Fluumlchtige Daten sichern
Wohin
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
31353152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt
hacked~ 0 cat procversion | netcat fws 42
Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser
bull cryptcat (shyk passphrase) (Blowfish)
bull socat sehr maumlchtig x509-Key-Auth sinnvoll
bull [sbd aesshynetcat ncat (Proxy AES )]
b Fluumlchtige Daten sichern
Netz
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
32353252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Wie
date (UhrzeitDatum korrekt)
PATH=mntStaticshy
Binarieslinux_x86usrbinbinsbinusrsbin
HISTFILE=devnull
unset LD_LIBRARY_PATH LD_PRELOAD
Platte df shykT mount shyl pvvglvdisplay mmls
Prozesse ps shyeflwy lsof shyPn top shybn1
Netz ifconfig shya arp shya arp shyn netstat shyatunp
lsof shyi shyPn iptablesshysave
Status uptime dmesg sysctl shyA (evtl who last)
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
33353352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
b Fluumlchtige Daten sichern
Was alles
devkcore (memdump (tct) memget mempeek)
proc
modules cmdline version kallsysmsswaps mount
devices uptime diskstats misc
jeden einzelnen Prozess proc[0shy9] (pd pcat)
geht immer amp spart Platz gzip shyc
ggf Krypto-Dateisysteme sichern
Pruumlfsumme(n) und Datum nicht vergessen
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
34353452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Runterfahren
Fasst Hunderte von Dateien an (atime)
Modifiziert nicht wenige (pid log )
Unvorhersagbar Reallozierung Platz geloumlschter Dateien
Ausschalten
Dateisysteme unsauber (erschwert stellenw Analyse)
Durch Netzstecker nicht bdquoPowerldquo-Knopf
ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)
SYSRQ-[TMP] via Konsole
) Vorsicht wg Reboot ggf geht O statt B
c Rechner auszliger Betrieb
Generelles
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
35353552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
d Forensische Kopie
In-situ (am Objekt)
Ex-situ
Viel Daten = lange Wartezeit
100 GB = 27 h bei 100 Mbits langsame USB-Platte
Platte (=Beweis) ausbauen+mitnehmen
In Ruhe forensisches Duplikat erstellen
Schreiben unter allen Umstaumlnden verhindern
(Profis Write-Blocker)
Original unter Verschluss
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
36353652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Die ganze Platte
Nicht partitionsweise
Luumlcken (absichtlich) unbenutze Bereiche
Beispiel aus dem Leben (mmls)
d Forensische Kopie
Was
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
37353752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 mmls devsdb
DOS Partition Table
Offset Sector 0
Units are in 512shybyte sectors
Slot Start End Length Description
00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)
[]
21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated
22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)
23 shyshyshyshyshy 0213552045 0234441647 0020889603 Unallocated
d Forensische Kopie
Was
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
38353852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fws~ 0 fdisk shyu shyl devsdb
[]
devsdb7 186948468 188956529 1004031 82 Linux swap Solaris
devsdb8 188956593 196780184 3911796 83 Linux
devsdb9 196780248 213552044 8385898+ 8e Linux LVM
Partition table entries are not in disk order
frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd
1+0 records in
1+0 records out
512 bytes (512 B) copied 81855eshy05 s 63 MBs
0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s
0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc
0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st
0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun
0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ
[]
d Forensische Kopie
Was
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
39353952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Frisches Dateisystem auf Sicherungsplatte
Einhaumlngen (hier mnt)
d=mntmmls_hdX_`date +FT`
mmls devhdX gt$d $sum $d gt $d$sum
$sum devhdX gtmnthdX$sum
$dd if=devhdX gtmnthdXimg
$sum mnthdXimg (sollte gleich sein)
$sum md5sum sha1 sha1deep sha256deep
d Forensische Kopie
Kopie der ganzen Platte
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
40354052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
$dd (disk dump)
Standard Blockgroumlszlige 512 Bytes ist zu langsam
bdquoStandard-ddldquo (fileutils) conv=noerror
sdd (Schily) bdquoverbessertes ddldquo schneller
dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)
dcfldd
shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus
Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support
d Forensische Kopie
Schweizer Forensik-Messer II
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
41354152
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
dcflddhost~|0 dcfldd if=devurandom of=devnull
count=768 hash=sha256
256 blocks (8Mb) written
512 blocks (16Mb) written
768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy
d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55
768+0 records in
768+0 records out
host~|0
d Forensische Kopie
Mein Favorit (YMMV)
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
42354252
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Eigene bdquoImagerldquo (uvm)
EnCase (prop Format)
X-Ways Forensics
Forensic Tool Kit
alles Windows-Programme (auch ext3 reiserfs)
(Linux PM-Tools
The Sleuth Kit (TSK)
The Coroners Tool Kit (TCT tctutils)
)
d Forensische Kopie
andere Werkzeuge
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
43354352
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Nun
1 Original-Beweis sicherstellen
2 Post-Mortem-Analyse von der Kopie
Zeitgleichdanach
Rechner neu aufsetzen
Neue Passwoumlrter
Konsequenzen aus PM schlieszligen
d Forensische Kopie
Weiteres
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
44354452
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
Patch-Policy
Firma
Admin
Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp
aptshyget shyshydryshyrun upgrade 2gtamp1
SuseSLES zypper patches | grep | Needed
RedHatFedora yum update (update shyu RHEL2-4)
Nicht 4200 Hosts zur selben Zeit -)
Nachsicht
Patches
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
45354552
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
KISSAutomatisieren (Installationen Maintenance Checks )
Wenig bdquoselbstgeb(r)autesldquo
Zeitsynchronisation (alle OS) NTP
Zentrales System-Logging (alle OS)
Hackers worst enemy
syslog-ng (Server+Client) MARK messages TCP
Bastion-Host fuumlr Logs (Backups)
HandwerkszeugNachsicht
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
46354652
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
zentrales Host-IDS (file integrity)
AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)
Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso
libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow
modprobeconfsshsyslogshyng
Tipps zur Verhuumltung
bdquoPeter amp der Wolfldquo-Effekt False Positives
Nachsicht
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
47354752
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
fuumlr exponierte RechnerDienste
Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )
Applikationsebene
XSS CSRF Session Riding Race Cond File Inclusion
zB Suhosin Quellcode-Audit-Werkzeuge
CONFIG_MODULES=n
HaumlrtenNachsicht
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
48354852
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
beagle und Freunde
Alle Infos (inkl der Benutzer) auf dem Silbertablett
atime
Index servicesNachsicht
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
49354952
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwforensicswikiorg
wwwforinsectdeforensicsforensics-toolshtml
wwwsleuthkitorg wikisleuthkitorg
wwwporcupineorgforensics
(TCT Wietse Venema)
Famous last words
Infos Webseiten
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007
50355052
115
905
Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting
I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als
wwwdfrwsorg (Forensik-Konferenz)
forensicssecurityfocuscom
(evtl incidents+log-analysis)
bdquoComputer-Forensikldquo dpunkt
der Standard bdquoForensik Discoveryldquo per Download
wwwporcupineorgforensicsforensic-discovery
vielversprechend 2008 (wwwlobde)
Famous last words
Infos Lesestoff
Danke fuumlr die Aufmerksamkeit Fragen
Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde
Sicherheitsanalysen Digitale Forensik
Secure Linux Administration Conference 2 Berlin 6-7122007