Blick in die großen „Verstecke“ von Cyberkriminellen – Herausforderung für die digitale For - Prof. Dr. Norbert Pohlmann
Blick in die großen „Verstecke“ von Cyberkriminellen – Herausforderung für die digitale Forensik | |
N. Pohlmann (Institut für Internet-Sicherheit), Die Entwicklung und die Vorteile der öffentlichen Cloud Die Nachteile der öffentlichen Cloud Warum ist digitale Forensik notwendig? Damit Straftaten verfolgbar sind, wird eine digitale Forensik für die Strafverfolgungsbehörden, aber auch für die Unternehmen dringend benötigt. Es darf unter keinen Umständen zu einem rechtsfreien und nicht nachvollziehbaren Raum kommen. Cyberkriminelle müssen verfolgbar bleiben und zur Rechenschaft gezogen werden, aber wir müssen aus Angriffen lernen, damit wir uns besser schützen können. Beispielsweise Advance Persistent Threads , die einen komplexen, zielgerichteten und effektiven Angriff auf IT-Infrastrukturen durchführen, sollten aufgespürt und verhindert werden. Durch Manipulieren oder Stehlen der Daten können Unternehmen finanziell in Bedrängnis geraten oder deren reale Infrastruktur könnte mit unvorhersehbaren Folgen kollabieren (Elektrizitätswerke, Chemiewerke usw.). Auch die Technologie als solche kann in Verruf geraten. Daher sollten alle Angriffe zeitnah erkannt, umgehend analysiert und ausgewertet werden. Hierbei müssen Kenntnisse gesammelt werden zu den Gründen, Quellen und Auswirkungen des Vorfalls. Schädliche Anwendungen, korrumpierte Dateien und gefährliche Malware müssen postwendend analysiert werden. Dies dient auch der schnellen Wiederherstellung des Normalbetriebs. Ein Schließen der Sicherheitslücken ist umgehend möglich. Mittels maschinellen Lernens können Komponenten, wie das Intrusion-Detection- und das Intrusion-Prevention-System, mit Mustern trainiert werden, damit sie rechtzeitig alarmieren. Ermittelte Angriffsadressen können anhand von Filtern (Paket, Ingress, …) in einer Firewall oder einem Router gesperrt werden, um das Netzwerk nach innen und außen zu schützen. Bei der Netzwerkanalyse werden Anomalien schneller identifiziert. Im Handumdrehen ist das Incident Response Management detailliert informiert und kann eine Bedrohungslage augenblicklich erkennen. Die klassische digitale Forensik Daher ist es unentbehrlich, digitale Spuren, die in IT-Systemen gespeichert oder übertragen worden sind, zu sammeln, um den Angreifer, die Angriffsmethode, das Angriffsziel und den Schaden zu identifizieren. Diese Spureninformationen, die auf Daten basieren, können in verschiedenen Abstraktionsebenen vorliegen (Bit, Zeichenkodierung, Datei usw.). Dabei werden zwei fundamentale Analysemethoden, um digitale Spuren zu sichern und auszuwerten, unterschieden [2]. Die Post-Mortem Analyse meint die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Dies sind Daten auf Festplatten oder USB-Sticks, die auch ohne Stromzufuhr noch vorhanden sind. Das andere Verfahren ist die Live-Analyse. Dabei werden flüchtige Daten live oder mithilfe von Forensik- Protokolldatei gespeichert. Zum einen sind dies Daten, die dauerhaft bei Stromzufuhr gespeichert werden können (RAM) und andererseits temporär zu speichernden Daten bei Stromzufuhr, wie beispielsweise Netzwerkdaten. Beide Arten von Spuren sind zudem fragil. Daher muss bei der Sicherung und der Auswertung stets darauf geachtet werden, dass die Spureninformationen nicht verändert, manipuliert oder zerstört werden können. D.h., die Integrität und die Authentizität der gesicherten Daten müssen gewährleistet sein. Damit bestimmte Verfahrensweisen und Kriterien standardisiert werden können, haben sich verschiedene, jedoch ähnliche Vorgehensmodelle entwickelt. Der forensische Prozess nach Casey korreliert hierbei am ehesten mit der Vorgehensweise in der Cloud Forensik. Zu Beginn erfolgt die operative Vorbereitung. Dieser Punkt spielt eine eher untergeordnete Rolle und wird oft weggelassen und in der Beschreibung der Cloud Forensik gar nicht erwähnt. Er verlangt einen Aktionsplan und die Beschaffung der benötigten Werkzeuge, welche zur Sammlung, Sicherung und Analyse der Daten benötigt werden. Dann folgen die Umfrage und Identifikation. Potenzielle Quellen für digitale Beweise müssen an einem Tatort z.B. innerhalb der Organisation festgestellt und gesammelt werden. Als Nächstes folgt die Bewahrung. Relevante Protokolldateien werden gesichert und das IT-System sollte vom Netzwerk isoliert werden. Zuvor müssen die flüchtigen Daten vor dem Abschalten aktiv bewahrt werden. Die Untersuchung und Analyse der gesicherten digitalen Beweise schließen sich daran an. Als letzte Maßnahme erfolgt eine Präsentation, die dem Kontext der Untersuchung gerecht wird. Die digitale Forensik in geteilten Verantwortungen Die Hauptverantwortung liegt beim Cloud Service Provider Die Problematik beginnt bereits bei der Identifizierung Die Verantwortung einer schlüssigen Cloud Forensik liegt daher hauptsächlich beim Cloudanbieter. Generell sind Angriffe auf die Infrastrukturebene, z.B. der Abstraktionsschicht, ohnehin nur schwer erkennbar. Entsprechende Maschinen, welche kompromittiert wurden, müssen zudem lokalisiert werden. CSPs besitzen meist mehrere Rechenzentren mit Tausenden von Servern, sodass eine Ortung einen erheblichen Zeitaufwand bedeutet bzw. ohne Migrationsverzeichnis diese sogar unmöglich wird. Beim Herunterfahren der VMs geht außerdem das Image verloren. Die Bestimmung der zugrunde liegenden Hardware wird zeitgleich unmöglich. Ein potenzieller Angreifer mit Zugriff auf eine VM kann dadurch seine Spuren verwischen. Liegt die forensische Untersuchung nicht beim CSP, muss die zuständige Stelle (Behörde, Unternehmen …), die ermittelt, ebenfalls erst Zugang zu den Beweismitteln erhalten. Um eine richterliche Anordnung zu erhalten, verstreicht weitere wichtige Zeit. Aufgrund der verteilten Aufbewahrung der Spureninformationen über Ländergrenzen hinweg ist eine Sicherstellung von Beweisen daher ungewiss. Zusammenfassung (Herausforderung für die digitale Forensik) Weitere Informationen zum Thema “Herausforderung für die digitale Forensik”:
kostenlos downloaden | |