|
Geleitwort |
7 |
|
|
Danksagung |
11 |
|
|
Inhalt |
13 |
|
|
Einleitung |
17 |
|
|
Wer sollte dieses Buch lesen? |
18 |
|
|
Was lernt man in diesem Buch? |
20 |
|
|
Was lernt man in diesem Buch nicht? |
20 |
|
|
Wie liest man dieses Buch? |
21 |
|
|
Kapitel 1 |
21 |
|
|
Kapitel 2 |
21 |
|
|
Kapitel 3 |
22 |
|
|
Kapitel 4 |
22 |
|
|
Kapitel 5 |
22 |
|
|
Kapitel 6 |
23 |
|
|
Kapitel 7 |
23 |
|
|
Kapitel 8 |
23 |
|
|
Kapitel 9 |
23 |
|
|
1 Bedrohungssituation |
25 |
|
|
1.1 Bedrohung und Wahrscheinlichkeit |
25 |
|
|
1.2 Risikoverteilung |
26 |
|
|
1.3 Motivation der Täter |
30 |
|
|
1.4 Innentäter vs. Außentäter |
35 |
|
|
1.5 Bestätigung durch die Statistik? |
37 |
|
|
1.6 Computerkriminalität |
39 |
|
|
2 Ablauf von Angriffen |
41 |
|
|
2.1 Typischer Angriffsverlauf |
41 |
|
|
2.1.1 Footprinting |
41 |
|
|
2.1.2 Port- und Protokollscan |
42 |
|
|
2.1.3 Enumeration |
42 |
|
|
2.1.4 Exploiting/Penetration |
43 |
|
|
2.1.5 Hintertüren einrichten |
43 |
|
|
2.1.6 Spuren verwischen |
44 |
|
|
2.2 Beispiel eines Angriffs |
44 |
|
|
3 Incident Response als Grundlage der Computer- Forensik |
53 |
|
|
3.1 Der Incident-Response-Prozess |
53 |
|
|
3.2 Organisatorische Vorbereitungen |
54 |
|
|
3.3 Zusammensetzung des Response-Teams |
55 |
|
|
3.4 Incident Detection: Systemanomalien entdecken |
57 |
|
|
3.4.1 Netzseitige Hinweise |
58 |
|
|
3.4.2 Serverseitige Hinweise |
58 |
|
|
3.4.3 Intrusion-Detection-Systeme |
59 |
|
|
3.4.4 Externe Hinweise |
60 |
|
|
3.5 Incident Detection: Ein Vorfall wird gemeldet |
61 |
|
|
3.6 Sicherheitsvorfall oder Betriebsstörung? |
64 |
|
|
3.7 Wahl der Response-Strategie |
68 |
|
|
3.8 Reporting und Manöverkritik |
69 |
|
|
4 Einführung in die Computer- Forensik |
71 |
|
|
4.1 Ziele einer Ermittlung |
71 |
|
|
4.2 Phasen der Ermittlung |
72 |
|
|
4.3 Welche Erkenntnisse kann man gewinnen? |
73 |
|
|
4.4 Wie geht man korrekt mit Beweismitteln um? |
80 |
|
|
4.4.1 Juristische Bewertung der Beweissituation |
81 |
|
|
4.4.2 Datenschutz |
83 |
|
|
4.4.3 Welche Daten können erfasst werden? |
85 |
|
|
4.4.4 Durchgeführte Aktionen dokumentieren |
86 |
|
|
4.4.5 Beweise dokumentieren |
87 |
|
|
4.4.6 Mögliche Fehler bei der Beweissammlung |
89 |
|
|
4.5 Flüchtige Daten sichern: Sofort speichern |
91 |
|
|
4.6 Speichermedien sichern: forensische Duplikation |
94 |
|
|
4.6.1 Wann ist eine forensische Duplikation sinnvoll? |
94 |
|
|
4.6.2 Geeignete Verfahren |
95 |
|
|
4.7 Untersuchungsergebnisse zusammenführen |
96 |
|
|
4.8 Häufige Fehler |
98 |
|
|
5 Einführung in die Post-mortem- Analyse |
101 |
|
|
5.1 Analyse des File Slack |
101 |
|
|
5.2 MAC-Time-Analysen |
104 |
|
|
5.3 NTFS-Streams |
106 |
|
|
5.4 Auslagerungsdateien |
107 |
|
|
5.5 Versteckte Dateien |
108 |
|
|
5.6 Dateien oder Fragmente wiederherstellen |
112 |
|
|
5.7 Unbekannte Binärdateien analysieren |
113 |
|
|
5.8 Systemprotokolle |
122 |
|
|
6 Forensik- und Incident- Response- Toolkits im Überblick |
127 |
|
|
6.1 Sichere Untersuchungsumgebung |
127 |
|
|
6.2 F.I.R.E. |
129 |
|
|
6.3 Knoppix Security Tools Distribution |
133 |
|
|
6.4 EnCase |
133 |
|
|
6.5 dd |
135 |
|
|
6.6 Forensic Acquisition Utilities |
138 |
|
|
6.7 AccessData’s Forensic Tool Kit |
139 |
|
|
6.8 The Coroner's Toolkit und TCTUtils |
141 |
|
|
6.9 The Sleuth Kit |
141 |
|
|
6.10 Autopsy Forensic Browser |
148 |
|
|
6.11 Eigene Toolkits für Unix und Windows erstellen |
152 |
|
|
6.11.1 F.R.E.D. |
152 |
|
|
6.11.2 Incident Response Collection Report (IRCR) |
153 |
|
|
7 Forensische Analyse im Detail |
157 |
|
|
7.1 Forensische Analyse unter Unix |
157 |
|
|
7.1.1 Die flüchtigen Daten speichern |
157 |
|
|
7.1.2 Forensische Duplikation |
163 |
|
|
7.1.3 Manuelle P.m.-Analyse der Images |
167 |
|
|
7.1.4 P.m.-Analyse der Images mit Autopsy |
174 |
|
|
7.1.5 P.m.-Analyse der Images mit F.I.R.E. |
181 |
|
|
7.1.6 Dateiwiederherstellung mit unrm und lazarus |
184 |
|
|
7.1.7 Weitere hilfreiche Tools |
185 |
|
|
7.2 Forensische Analyse unter Windows |
189 |
|
|
7.2.1 Die flüchtigen Daten speichern |
189 |
|
|
7.2.2 Forensische Duplikation |
191 |
|
|
7.2.3 Manuelle P.m.-Analyse der Images |
195 |
|
|
7.2.4 P.m.-Analyse der Images mit AccessData’s FTK |
196 |
|
|
7.2.5 P.m.-Analyse der Images mit EnCase |
199 |
|
|
7.2.6 Weitere hilfreiche Tools |
202 |
|
|
7.3 Forensische Analyse von PDAs |
216 |
|
|
7.4 Forensische Analyse von Routern |
220 |
|
|
8 Empfehlungen für den Schadensfall |
225 |
|
|
8.1 Logbuch |
225 |
|
|
8.2 Den Einbruch erkennen |
226 |
|
|
8.3 Tätigkeiten nach festgestelltem Einbruch |
228 |
|
|
8.4 Nächste Schritte |
231 |
|
|
9 Backtracing |
233 |
|
|
9.1 IP-Adressen überprüfen |
233 |
|
|
9.1.1 Ursprüngliche Quelle |
233 |
|
|
9.1.2 IP-Adressen, die nicht weiterhelfen |
234 |
|
|
9.1.3 Private Adressen |
234 |
|
|
9.1.4 Weitere IANA-Adressen |
235 |
|
|
9.1.5 Augenscheinlich falsche Adressen |
235 |
|
|
9.2 Spoof Detection |
236 |
|
|
9.2.1 Traceroute Hopcount |
236 |
|
|
9.3 Routen validieren |
239 |
|
|
9.4 Nslookup |
243 |
|
|
9.5 Whois |
245 |
|
|
9.6 E-Mail-Header |
247 |
|
|
10 Einbeziehung der Behörden |
251 |
|
|
10.1 Organisatorische Vorarbeit |
251 |
|
|
10.2 Strafrechtliches Vorgehen |
253 |
|
|
10.2.1 Inanspruchnahme des Verursachers |
253 |
|
|
10.2.2 Möglichkeiten der Anzeigeerstattung |
253 |
|
|
10.2.3 Einflussmöglichkeiten auf das Strafverfahren |
256 |
|
|
10.3 Zivilrechtliches Vorgehen |
256 |
|
|
10.4 Darstellung in der Öffentlichkeit |
258 |
|
|
10.5 Die Beweissituation bei der privaten Ermittlung |
259 |
|
|
10.6 Fazit |
262 |
|
|
Anhang Tool- Überblick |
263 |
|
|
Index |
267 |
|