Blick in die großen „Verstecke“ von Cyberkriminellen – Herausforderung für die digitale For - Prof. Dr. Norbert Pohlmann

N. Pohlmann (Institut für Internet-Sicherheit),
D. Schwarzkopf:
„Blick in die großen „Verstecke“ von Cyberkriminellen – Herausforderung für die digitale Forensik“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag,
1/2021

Herausforderung für die digitale Forensik

Die Entwicklung und die Vorteile der öffentlichen Cloud
Durch die enormen Vorteile, die dem Nutzer das Cloud Computing bietet, ist dieser Geschäftszweig der Informationstechnologie der am schnellsten Wachsende. Dem Cloudkunden werden je nach Wunsch verschiedene Servicemodelle gegen Bezahlung zur Verfügung gestellt. Im Kern sind dies die in den drei Ebenen eingeteilte Cloud Computing Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Dadurch, dass die gesamte Infrastruktur, die Plattform oder die Software bereitgestellt wird oder Teile davon, spart der Nutzer erheblich an Kosten bei einem höheren Level an Qualität des Dienstes. Dies sind vor allem die fixen Investitionskosten und -risiken, die wegfallen und zu variablen Kosten werden und nur dem tatsächlichen Bedarf entsprechen. Dazu kommen die weiteren Vorteile der zeitnahen Skalierbarkeit von IT-Leistungen (nach oben und unten), der reduzierte Administrationsaufwand und eine verbesserte Verfügbarkeit der Dienste. Aufgrund dieser Umstände nutzen immer mehr Unternehmen die Möglichkeit, ganz oder teilweise IT-Infrastruktur, Plattformen und Software zu outsourcen oder von Beginn der Unternehmung an von dieser Alternative Gebrauch zu machen.

Die Nachteile der öffentlichen Cloud  
Dadurch, dass immer mehr geschäftskritische Aufgaben und Daten in die Cloud ausgelagert werden und das an einer oder wenigen zentralen Stellen, werden diese immer attraktiver für Angreifer. Generell sind alle möglichen bekannten Angriffsszenarien auf Cloud Service Provider (CSP) denkbar. Durch entsprechende Gegenmaßnahmen wie dem Einsatz von Cloud basierten VPNs und stabilen HTTPS-URLs für Cloud Run-Dienste wird jedoch einer großen Anzahl von Angriffsvektoren ein Riegel vorgeschoben [1]. Somit nutzen die meisten Angreifer die schwächsten Stellen der IT-Infrastruktur. Dazu gehört nach wie vor die Fehlkonfiguration der Cloud Plattform, die Verwendung unsicherer Schnittstellen zwischen Programmen und die Entwendung von Accounts, Services und Datenverkehr.                                                                                                                                                 Durch den Einsatz der Hypervisor-Technologie, welche erst das eigentliche Cloud Computing ermöglicht, entstehen zusätzliche Schwachstellen. Als Single Point of Failure stellt diese Abstraktionsschicht eine besonders kritische Komponente dar. Auch hier sind eine Reihe möglicher Angriffsvektoren denkbar, wie z. B. Seitenkanalangriffe, Privilegien-Eskalation oder der unerlaubte Zugriff auf Speicher. Zurzeit sind zwar kaum bekannte Angriffe öffentlich, dass dies aber theoretisch möglich ist, zeigen die über 130 bekannten Schwachstellen in Hypervisor Software. Diese sind im CVE (Common Vulnerabilities and Exposures) öffentlichen Datenbanken zu finden. Mittels falscher Identitäten oder entwendeter Accounts verschaffen sich Angreifer Zugang zu den Cloud Servern.

Digitale Cloud-Forensik

Warum ist digitale Forensik notwendig?

Damit Straftaten verfolgbar sind, wird eine digitale Forensik für die Strafverfolgungsbehörden, aber auch für die Unternehmen dringend benötigt. Es darf unter keinen Umständen zu einem rechtsfreien und nicht nachvollziehbaren Raum kommen. Cyberkriminelle müssen verfolgbar bleiben und zur Rechenschaft gezogen werden, aber wir müssen aus Angriffen lernen, damit wir uns besser schützen können. Beispielsweise Advance Persistent Threads, die einen komplexen, zielgerichteten und effektiven Angriff auf IT-Infrastrukturen durchführen, sollten aufgespürt und verhindert werden. Durch Manipulieren oder Stehlen der Daten können Unternehmen finanziell in Bedrängnis geraten oder deren reale Infrastruktur könnte mit unvorhersehbaren Folgen kollabieren (Elektrizitätswerke, Chemiewerke usw.). Auch die Technologie als solche kann in Verruf geraten. Daher sollten alle Angriffe zeitnah erkannt, umgehend analysiert und ausgewertet werden. Hierbei müssen Kenntnisse gesammelt werden zu den Gründen, Quellen und Auswirkungen des Vorfalls. Schädliche Anwendungen, korrumpierte Dateien und gefährliche Malware müssen postwendend analysiert werden. Dies dient auch der schnellen Wiederherstellung des Normalbetriebs. Ein Schließen der Sicherheitslücken ist umgehend möglich. Mittels maschinellen Lernens können Komponenten, wie das Intrusion-Detection- und das Intrusion-Prevention-System, mit Mustern trainiert werden, damit sie rechtzeitig alarmieren. Ermittelte Angriffsadressen können anhand von Filtern (Paket, Ingress, …) in einer Firewall oder einem Router gesperrt werden, um das Netzwerk nach innen und außen zu schützen. Bei der Netzwerkanalyse werden Anomalien schneller identifiziert. Im Handumdrehen ist das Incident Response Management detailliert informiert und kann eine Bedrohungslage augenblicklich erkennen.

Die klassische digitale Forensik

Daher ist es unentbehrlich, digitale Spuren, die in IT-Systemen gespeichert oder übertragen worden sind, zu sammeln, um den Angreifer, die Angriffsmethode, das Angriffsziel und den Schaden zu identifizieren. Diese Spureninformationen, die auf Daten basieren, können in verschiedenen Abstraktionsebenen vorliegen (Bit, Zeichenkodierung, Datei usw.). Dabei werden zwei fundamentale Analysemethoden, um digitale Spuren zu sichern und auszuwerten, unterschieden [2]. Die Post-Mortem Analyse meint die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Dies sind Daten auf Festplatten oder USB-Sticks, die auch ohne Stromzufuhr noch vorhanden sind. Das andere Verfahren ist die Live-Analyse. Dabei werden flüchtige Daten live oder mithilfe von Forensik- Protokolldatei gespeichert. Zum einen sind dies Daten, die dauerhaft bei Stromzufuhr gespeichert werden können (RAM) und andererseits temporär zu speichernden Daten bei Stromzufuhr, wie beispielsweise Netzwerkdaten. Beide Arten von Spuren sind zudem fragil. Daher muss bei der Sicherung und der Auswertung stets darauf geachtet werden, dass die Spureninformationen nicht verändert, manipuliert oder zerstört werden können. D.h., die Integrität und die Authentizität der gesicherten Daten müssen gewährleistet sein. Damit bestimmte Verfahrensweisen und Kriterien standardisiert werden können, haben sich verschiedene, jedoch ähnliche Vorgehensmodelle entwickelt. Der forensische Prozess nach Casey korreliert hierbei am ehesten mit der Vorgehensweise in der Cloud Forensik. Zu Beginn erfolgt die operative Vorbereitung. Dieser Punkt spielt eine eher untergeordnete Rolle und wird oft weggelassen und in der Beschreibung der Cloud Forensik gar nicht erwähnt. Er verlangt einen Aktionsplan und die Beschaffung der benötigten Werkzeuge, welche zur Sammlung, Sicherung und Analyse der Daten benötigt werden. Dann folgen die Umfrage und Identifikation. Potenzielle Quellen für digitale Beweise müssen an einem Tatort z.B. innerhalb der Organisation festgestellt und gesammelt werden. Als Nächstes folgt die Bewahrung. Relevante Protokolldateien werden gesichert und das IT-System sollte vom Netzwerk isoliert werden. Zuvor müssen die flüchtigen Daten vor dem Abschalten aktiv bewahrt werden. Die Untersuchung und Analyse der gesicherten digitalen Beweise schließen sich daran an. Als letzte Maßnahme erfolgt eine Präsentation, die dem Kontext der Untersuchung gerecht wird.

Die digitale Forensik in geteilten Verantwortungen
Nicht nur die Verantwortung der Sicherheit liegt im geteilten Modell Cloud Computing je nach Service Modell teilweise beim Cloud Provider und partiell beim Kunden, sondern auch die Kontrolle über die IT-Infrastruktur. Beim Software as a Service Modell hat der Kunde keine Möglichkeit, den forensischen Prozess zu unterstützen. Die Kontrolle der Hardware, des Betriebssystems, der Anwendung und der Daten liegt im vollen Umfang beim CSP. Bei Plattform as a Service gibt der Cloud Provider lediglich die Kontrolle über die Anwendung und teilweise über die Daten ab. Es besteht oftmals die Möglichkeit, die eigenen Daten zu verschlüsseln. Dies erschwert die Reaktionszeit eines forensischen Teams erheblich bzw. macht eine Analyse ohne Entschlüsselung bestimmter Daten unmöglich. Dieses Problem besteht auch beim Modell Infrastructure as a Service. Allerdings hat der Kunde die Kontrolle über das Betriebssystem und die Anwendung. Das gibt ihm die Möglichkeit, eigene Snapshots seiner VM zu erstellen, um mögliche forensische Spuren zu sichern.

Die Hauptverantwortung liegt beim Cloud Service Provider

Die Problematik beginnt bereits bei der Identifizierung

Die Verantwortung einer schlüssigen Cloud Forensik liegt daher hauptsächlich beim Cloudanbieter. Generell sind Angriffe auf die Infrastrukturebene, z.B. der Abstraktionsschicht, ohnehin nur schwer erkennbar. Entsprechende Maschinen, welche kompromittiert wurden, müssen zudem lokalisiert werden. CSPs besitzen meist mehrere Rechenzentren mit Tausenden von Servern, sodass eine Ortung einen erheblichen Zeitaufwand bedeutet bzw. ohne Migrationsverzeichnis diese sogar unmöglich wird. Beim Herunterfahren der VMs geht außerdem das Image verloren. Die Bestimmung der zugrunde liegenden Hardware wird zeitgleich unmöglich. Ein potenzieller Angreifer mit Zugriff auf eine VM kann dadurch seine Spuren verwischen. Liegt die forensische Untersuchung nicht beim CSP, muss die zuständige Stelle (Behörde, Unternehmen …), die ermittelt, ebenfalls erst Zugang zu den Beweismitteln erhalten. Um eine richterliche Anordnung zu erhalten, verstreicht weitere wichtige Zeit. Aufgrund der verteilten Aufbewahrung der Spureninformationen über Ländergrenzen hinweg ist eine Sicherstellung von Beweisen daher ungewiss.

…

Zusammenfassung (Herausforderung für die digitale Forensik)
Das Sichern bzw. Wiederherstellen und Aufbewahren der persistenten Spuren auf physischen und virtuellen Festplatten ist dabei essenziell. Schnittstellen müssen geschaffen werden, um einen Fernzugriff zu ermöglichen. Hinzu kommt ein Monitoring und Aufzeichnen der flüchtigen Daten sowie die Möglichkeit, über Kontaktpunkte eine Live-Analyse während eines Angriffs vorzunehmen, um dabei zusätzlich wichtige Informationen zu sammeln. Ein Remote Zugriff auf die IT-Infrastruktur zum Hashen der Festplatten, damit Integrität und Authentizität gewahrt wird, ist weiterhin zwingend notwendig. Die Synchronisation der Zeitstempel sollte sobald wie möglich umgesetzt werden. Das Network Time Protokoll steht dafür bereits zur Verfügung. Das Sammeln der Spuren, die Untersuchung und die Aufbewahrung der Beweise müssen Experten durchführen. Werkzeuge, die den forensischen Prozess erleichtern und zur Umsetzung benötigt werden, weiterhin ein Aufspüren von Sicherheitsvorfällen ermöglichen, sollten schnellstmöglich entwickelt werden. Dabei stehen das Sammeln der enormen Datenmengen und das Selektieren der forensisch wichtigen Spuren im Vordergrund. Beim Bündeln der Informationen dürfen keine Verletzungen des Datenschutzes geschehen. Allein mit der Umsetzung dieser Kriterien baut sich eine lückenlose Beweismittelkette auf.

Weitere Informationen zum Thema “Herausforderung für die digitale Forensik”:

Artikel: 
“Sicheres IT-Auditing einer Cloud – Konzept zum sicheren IT-Auditing in unsicheren Umgebungen zur Erlangung von Vertrauen”

“Cloud unter (eigener) Kontrolle: Trusted Cloud Enklave – Vertrauen durch Sicherheit”

“Vertrauen – ein elementarer Aspekt der digitalen Zukunft”

Informationen über das Lehrbuch: 
„Cyber-Sicherheit“