Uli Kleemann: "Früher oder später erwisch ich euch alle!" Über Digitalforesnik und ihre Möglichkeite

Рет қаралды 12,289

media.ccc.de

Жыл бұрын

media.ccc.de/v/gpn21-186--frh...
Ereignisse auch Straftaten werden auch in der digitalen
Welt anhand von Spuren aufgeklärt. Wie solche Spuren enteckt und zu
verwertbaren Beweisen werden , welcher Mittel sich Digitalforensiker
bemächtigen und was wir so an digitalen Spuren alles hinterlassen,
das uns ggf. eines Tages "entlarvt" möchte dieser Vortrag mit Hilfe
von Praxisbeispielen erläutern .
Gelöscht ist noch lange nicht für immer gelöscht.
Der Vortragende ist Linux Sysadmin , DevOps Engineer und interessiert sich neben
IT-Security , KI und Kryptografie auf für Methoden zur
Spurenermittlung und Sicherung .
Vorwort:
Wie in der realen so hinterlassen wir auch in der digitalen Welt beusst oder unbewusst jede Menge Spuren anhand derer wir und unser handeln identifiziert werden kann. Wie der klassische Spurensucher nach Abdrücken, Fasern, Blutspuren u.ä. sucht so sucht der Digitalforensiker nach
Timestamps, Logfiles und Metadaten. Aus diesen Spuren versucht er gerichtsverwertbare Beweise zu generieren.
Kam es zu einem Cyberangriff gilt es umgehend zu handeln, denn genau wie bei “analogen” gilt auch bei digitalen Spuren: “Je frischer je besser!”
Agenda:
Alles beginnt mit einer Spur
* Analysieren einer Festplatte
* Suche nach Spuren
* Image first!, Smartmontools second!,dd third!, fsck & ntfsfix fourth!
* Das S.A.P. Prinzip
* Computer Forensik & forensische Datenanalyse
* Hacker, Cracker, Waffenschieber, Pädophile und Terroristen
* Beweise & Beweismittel
* Der Verantwortliche im Sinne von Artikel 4 Nr. 7 DSGVO
* Forensiker mehr als Tastaturhelden?
* Antiforensik was Kriminelle versuchen um Spuren zu verwischen
* Gelöscht heisst nicht nicht mehr vorhanden! Der SLACK Space
* Daten wiederherstellen mit AUTOSPY
* Mobilfunk Forensik Analysieren von Smartphones Auslesen vermeintlich gelöschter Daten
Der Vortrag versucht mit Hilfe von Bildern den Prozess zu illustieren , es wird jedoch keine Praktische Vorführung geben . Zur Veanschaulichung werden einige kurze Videos gezeigt.
Hirzu wäre ein Audio-Setup (3,5 mm Klinke , Lautsprecher ggf Eingang ins Mischpult o.ä. hilfreich)
Quellenverzeichnis:
* [www.conet.de/blog/was-ist-dig...](www.conet.de/blog/was-ist-dig...)
* [www.ontrack.com/de-de/it-fore...](www.ontrack.com/de-de/it-fore...)
* [www.get-in-it.de/magazin/arbe...](www.get-in-it.de/magazin/arbe...)
* [www.itsec.techfak.fau.de/file...](www.itsec.techfak.fau.de/file...)
* [www.computerweekly.com/de/def...](www.computerweekly.com/de/def...)
* [de.wikipedia.org/wiki/IT-Fore...](de.wikipedia.org/wiki/IT-Fore...)
* [www.bsi.bund.de/DE/Themen/Oef...](www.bsi.bund.de/DE/Themen/Oef...)
* [www.mit-sicherheit-anders.de/...](www.mit-sicherheit-anders.de/...)
* [www.syss.de/leistungen/digita...](www.syss.de/leistungen/digita...)
* [www.sva.de/de/solutions/it-se...](www.sva.de/de/solutions/it-se...)
* [computer-forensik.org/](computer-forensik.org/)
* [www.uni-saarland.de/lehrstuhl...](www.uni-saarland.de/lehrstuhl...)
* [master-digitale-forensik.de/](master-digitale-forensik.de/)
* [vkldata.com/Write-Blocker-Ada...](vkldata.com/Write-Blocker-Ada...)
* [tuprints.ulb.tu-darmstadt.de/...](tuprints.ulb.tu-darmstadt.de/...)
* [epub.uni-regensburg.de/35027/...](epub.uni-regensburg.de/35027/...)
* [dfrws.org/](dfrws.org/)
Uli Kleemann
cfp.gulas.ch/gpn21/talk/L9DEUB/
#gpn21 #Security

Пікірлер: 47

@BlackMarluxia Жыл бұрын

Sehr interessanter talk, aber das mit dem "wie erstelle ich Slides für meinen Vortrag" sollte dringend nochmal geübt werden.

@WooShell Жыл бұрын

Graphic design is my passion.. ;-)

@georgh.9814 Жыл бұрын

Dazu kommt noch ein sehr militärischer Präsentations-Stil. :) Aber ansonsten sehr interessant.

@silent6597 Жыл бұрын

Immerhin ein Vortrag mit was zum Angucken dazu anstatt nur trockenes gespräch.

@silent6597 Жыл бұрын

Ums mit den Worten von leyrer zu sagen: Mach doch nen Talk dazu! Gibt auch tolle Software für Präsentationen gerade im IT Bereich - Oder mach nen Vortrag wo die Tricks und Kniffe in Powerpoint zeigst.

@georgh.9814 Жыл бұрын

@@silent6597 Leyrers Worte könnten auch sein: Mach doch einen Talk zu "Konstruktiver Kritik" ;)

@semitangent Жыл бұрын

Ohje, die Slides sind ja wirklich jenseits von gut und böse, dass jemand sich wirklich mit so einer Vollkatastrophe präsentieren möchte, bedenklich. Ich werde den Vortrag sehr gerne teilen, aber eben auch als warnendes Negativbeispiel, wie man es was Folien angeht um Gottes Willen niemals machen sollte.

@drcyb3r Жыл бұрын

Mir sind da einige sehr fehlerhafte Aussagen aufgefallen. Zum Beispiel bei 30:15, dass von SSDs keine Daten wiederhergestellt werden können. Man kann durchaus Daten genau so auslesen wie bei einer Festplatte. Zum Beispiel die Chips abfräsen und mit einem Mikroskop die Speicherzellen betrachten und die Bits manuell aneinanderreihen. So kann man mit Programmen die gesamten Speicherchips auslesen, auch wenn der Controller oder was Anderes defekt ist. Zwischen Sata und mSata ist eigentlich kein Unterschied. Selbe Technik nur andere Bauweise, also woher kommt der Unterschied bei der Komplexität des auslesens? m.2 ist auch keine eigene SSD-Art sondern entweder SATA oder NVMe, die sich aber nur vom Protokoll unterscheiden und die Chips sind sehr ähnlich. Zur Vernichtung der Daten ist Zerkratzen mit die am wenigsten effiziente Methode. Da kann man bis auf das direkt Zerkratzte den Rest auslesen. Fingerabdrücke machen eigentlich beim Auslesen keinen Unterschied, da die Daten ja magnetisch und nicht optisch gespeichert werden. Und die effektivste Methode ist die Platten der HDD in eine stabile Tüte zu packen und mit dem Hammer zu Staub zu zertrümmern. Da liest keiner mehr was aus. So ähnlich machen das ja auch Rechenzentren im Schredder. Die bei 25:01 genannten Tools haben rein gar nichts mit Hardware-basierter Wiederherstellung zu tun sondern dienen dazu, einfach gelöschte Daten und Dateisysteme wiederherzustellen. Bei 32:57 sind es nicht 50 sondern 500GB. Sowas sollte einem Profi auffallen. 38:34 Es macht sehr wohl einen Unterschied. Gerade wenn ein iPhone defekt ist oder absichtlich beschädigt wurde, muss man dort viel mehr Teile tauschen als nur den Speicherchip. Bei Android hat man auf dem Chip direkt das verschlüsselte oder unverschlüsselte Betriebssystem mit allen Daten. Das sind nur wenige große Beispiele. Zwischendurch gibt es immer wieder kleinere Fehler und Aussagen die Falsch sind. Für mich hat der Herr leider nur sehr laienhaftes Wissen von dem Thema und die Folien sind auch wirklich lieblos gemacht und viel zu voll.

@FanIBoySpeed Жыл бұрын

Schließe mich an…

@semifavorableuncircle6952 8 ай бұрын

Also mal kurz zum Thema Flashspeicher (SSD/Speicherkarten usw): "Sehen" kann man da auf einem decappten Chip nix. Ist ja kein maskenprogrammierter ROM, gespeichert wird Ladung in einem floating Gate (oder heute auch ganz ohne materielles Gate, einfach im Oxid "gefangene" Elektronen). Die von Außen zu messen ist schon verdammt schwer. Und die Ladung ist sehr klein (weniger als 100 Elektronen) und verschwindet ziemlich schnell von dort wenn man den Chip unschön behandelt (Hitze, Strahlung, Licht) oder mit der Zeit einfach von Selber (Data Retention ohne Strom ein paar wenige Jahre bevor Fehler auftreten). Jetzt ist aber Flash heute "etwas" mehr als nur die Prinzipstrukur. Fängt von oben mal mit mehreren Metalllagen (Verdrahtung) über den Speicherzellen an. die man dazu entfernen müsste. Dann sind die Zellen schon wirklich verdammt klein (unter 100nm ist eine Zelle groß), und es gibt ziemlich viele (nunja, 1TB auf

@silent6597 Жыл бұрын

Ja, die Slides sind vllt nicht die besten geworden, aber hey jemand erzählt was über seinen Job, gibt euch Einblick und mehr. Die GPN (und eigentlich jede andere Konferenz auch) hat zu wenig Speaker, zu wenig einreichungen. Und wir sind ja alle hier um zu lernen, nächstes mal hat er bestimmt eine bessere Präsentation :)

@silent6597 Жыл бұрын

Also um es in konstruktives Feedback umzuwandeln: - Schlichteres Slidedesign, schneeweiß ist völlig ok. Dunkle Farben als Hintergrund vermeiden, gibt beamer wo es dann schlecht zu lesen ist. - Präsentation durchgehen und üben, ja gut, das wird erst nach dem 2..3.. talk besser, das ist aber einfach so. - Speakernotes nutzen! Vor sich aufm Laptop kleines Bild der Slide, dazu die Notizen, ne Uhr und so weiter. Wenn man es geübt hat, kann hier auch eine Funktion genutzt werden die einem mit "+" bzw "-" und dann Sekunden anzeigt wie man im Pensum ist. Q/A zwishendrin verzerrt das, muss aber jeder entscheiden und QA ist normal eh am Ende. - Einhergehend mit vorherigem Punkt: Immer zum Publikum schauen. Selbst wenns genau genommen dann der Laptop ist, aber nicht den Rücken kehren :) Ansonsten find ich den Vortrag klasse, gibt einen interessanten Einblick.

@xtra9996 Жыл бұрын

Erzählt über seinen Job? Laut seiner Webseite ist er LInux Sysadmin und bereitet sich gerade(!) auf die RedHat Zertifizierungen vor. Und wenn er was auf Nachfrage nicht weiß, dann sagt er: no comment. Weil er ja angeblich nichts sagen darf. Je nee, klar. Streng geheim ...

@multimedia2531 Ай бұрын

nein alle Vorträge die er hält sind so chaotisch oberflächlich und teilweise falsch kann man auf seiner hp nachverfolgen.

@SaHaRaSquad Жыл бұрын

Also ich bin ja kein Epileptiker aber der blinkende Pixelbrei am Anfang war echt nicht notwendig, und dass das "gewollt" und kein Bildfehler ist kann der mir nicht einreden.

@AxelWerner Жыл бұрын

Die LETZTE Frage eines der Teilnehmer war sehr gut. Leider ist der Speaker nicht wirklich darauf eingegangen. Denn tatsächlich besteht die Gefahr beim "normalen" anschließen eines Laufwerkes dass das OS oder Apps des Untersuchers ungewollt Daten auf dem zu untersuchenden Laufwerk ändert. DAS würde s.h. HASH Werte oder Zeitstempel verändern, welche womöglich vor Gericht nur sehr schlecht zu verteidigen sind ^-^ . Aus dem Grund werden/wurden oft spezielle READ-ONLY Adapter eingesetzt, welche "intelligent" Schreibvorgänge auf das DUT verhindern/abfangen.

@silent6597 Жыл бұрын

korrekt. ich bin nicht mehr ganz sicher in welchem Gerichtsverfahren das zum Tragen kam, aber das war eines der größen "Drug Kingpin Arrested" Geschichten, wo es dann später auch Stress gab, weil einige der Dateien die als Beweise aufgeführt waren ein "Last Modified" Zeitpunkt teils weit nach der Verhaftung hatten. Glaube aber, in dem fall war das kein Problem direkt durchs anschließen, sondern man hatte den rechner an und ungesperrt gehalten und irgendeine Windows Funktion hatte die Dateien dann immer mal angepackt.

@thomasbauer2489 11 ай бұрын

Hab das Video jetzt noch nicht geguckt. Richtig ist, dass das Aservat nur über sogenannte forensic write blocker angeschlossen und ausgelesen werden darf. Das ist auch entsprechend zu dokumentieren. Es gab dazu auch schon mal ein gut präsentierten Vortrag bei einem CCC-Event.

@cypherdelic Жыл бұрын

Jetzt weiß ich warum das Verbrechen so blüht...

@Sonnia-dh8mr Жыл бұрын

veracrypt regelt.

@thomasbauer2489 11 ай бұрын

Sicheres löschen eines rein magnetischen Datenträgers: Das Erhitzen herkömmlicher (nicht-magneto-optischer) Festplatten über die Curie-Temperatur hinaus gewährleistet eine vollständige Löschung der auf der Plattenoberfläche durch Remanenz gespeicherten Daten. Quelle: Wikipedia

@EFXVoila Жыл бұрын

Danke fürs Teilen 👍

@pflasterstrips7254 Жыл бұрын

zu der SSD-Frage: das ganze Speicherzellen-Management findet in der Platte statt. Für das OS ist so eine SSD ja auch nur ein SATA device nur mit 0RPM, also auch dd kommt da erstmal nicht rein, aber mit extra Software oder Hardware die direkt auf die SSD zugreift hätte man da schon eher chancen.

@piranha1337 Жыл бұрын

Das OS redet mit dem SSD-Controller. Wenn du eine Extra Hardware hast die du direkt an der SSD anschließt hast du auch nur den SSD-Controller vor dir. Du kannst nicht direkt auf die SSD-Chips zugreifen und auslesen. Wenn du das machst hast du nur Datensalat. Der SSD Controller ist essentiell.

@thomasbauer2489 11 ай бұрын

Nur der SSD-Controller kennt die Zuordnung der physikalischen Blöcke zu den logischen. Grund: Verschleissmanagement der Speicherzellen (Wear Leveling). Du müsstest also bei direktem Zugriff auf den physikalischen Speicher die Zuordnung kennen oder ermitteln um aus dem Bit-Salat die logische Struktur der Daten zurückzugewinnen. Überlicherweise werden die Daten auf SSDs heute auch noch Hardware verschlüsselt. Da wirds ganz übel für die forensische Extraktion.

@insu_na Жыл бұрын

Wenn ihr eine Festplatte mit kompromittierenden Daten habt, vertraut nicht darauf, dass ein Fingerabdruck auf dem Platter oder ein paar Krätzerlein mit dem Schraubenzieher eure Daten unwiederbringlich vernichten. Schraubt die Festplatte auf, zertrümmert die Platter und den Cache Chip, dann alles in einen sauerstoffreichen Grill für 2 Stunden legen und danach die Einzelteile umweltgerecht bei mehreren verschiedenen Wertstoffhöfen entsorgen. Als allererstes natürlich die Festplatte mehrfach überschreiben einmal mit 0en, einmal mit 1en, einmal mit Zufallsdaten und dann nochmal mit 0en. Das ist natürlich 11/10 paranoid, aber wenn ihr wirklich sicher gehen wollt, macht das so. Edit: Hintergrund ist hier, dass der Herr Kleemann für Strafverfolgungsbehörden arbeitet. Er hat ein gehobenes Interesse daran potenziellen Kriminellen den Eindruck zu vermitteln, dass ihre unzulänglichen Sicherheitsmaßnahmen doch völlig ausreichen würden. Macht schließlich seinen Job einfacher. Dazu wäre aber noch ein weiterer Punkt ganz wichtig: Seid keine Kriminellen. Immer legal zu handeln wird zwar auch nicht vor der Drangsalierung durch Strafverfolgungsbehörden schützen, aber dann habt ihr's immerhin nicht verdient.

@abuhamza2771 Жыл бұрын

Also am besten alles: mehrfach überschreiben, verschlüsseln, überschreiben, formatieren, überschreiben mit Katzenfotos, zerkratzen, zerstören, überreste zusammen mit dem Thermit in die Mikrowelle bei 10 Minuten und die Wohnung dann anschließend in einem Fluss oder See versenken.

@insu_na Жыл бұрын

@@abuhamza2771 Idealerweise in einem Vulkan versenken, aber ein See tut's zur Not auch, ja

@Amphibax Жыл бұрын

Oder einfach paar hundert km weg fahren und dort in nen tiefen See werfen die Chancen das teil wieder zu finden gehen gegen 0

@kfftfuftur 10 ай бұрын

@@Amphibax Nicht wenn das GPS im Auto und dein Smartphone die Reise aufzeichnen und abspeichern.

@malaclypse4059 Жыл бұрын

32:30ff also zuerst mal das Filesystem mounten um sich einen ueberblick zu schaffen und DANACH die Kopie erstellen? Sehr unterhaltsamer Talk und inspirierende Slides

@Sonnia-dh8mr Жыл бұрын

ich hatte mal eine alte nicht mehr funktionable festpaltte. aufgeschraubt und magnetscheibe zerbrochen. förmlich zersplittert.

@piranha1337 Жыл бұрын

Das sind dann in der Regel Notebook-HDDS. Bei normaler Desktop-HDDs sind die Scheiben aus Metall und du kannst mit einem Hammer lustige Verformungen herbeiführen.

@xx-ds6jr 9 ай бұрын

die Simme kenn ich von Fritz.. Et spricht ihrn Sicherheitsbeauftragten Herrn Mangold...

@wchen2340 2 ай бұрын

ganz nette übersicht. aber zuviel ungenaue darstellungen bzw schlampig recherchiert. und dieses KI-gequatsche nervt mega. mit diese ganzen datenbanken ("beast", etc) wird doch ganz "normale" datascience gemacht, soweit ich es nachlesen konnte. daten rein, rulesets und korrellationen. hinten kommt die heuristikenwurst raus. das ist auch völlig ok so imo. und die folien. naja. wenn das nochmal überarbeitet würde, ist das nen toller vortrag. :-)

@Adler983 8 ай бұрын

Hilfe! Bitte die Begriffe Beweis und Indiz lernen und dann wieder darüber reden.

@Pazifikas 7 ай бұрын

Der Vortrag zumindest stellenweise(!) so lieblos und durcheinander wie die Folien. Hat mich nicht überzeugt.

@pjschu3297 Жыл бұрын

unireife Präsenation - well crafted - obschon schon eeeeetwas trocken ;)

@daim202 5 ай бұрын

kinda interesting…. aber furchtbare slides bro

@matthiaskatze1932 4 ай бұрын

Sehr oberflächlicher Talk. Das ist alles Allgemeinwissen, wenn man sich etwas mit Computern befasst hat.

@BULLIBULBUL Жыл бұрын

"Alexa", es (!) als "Sie" zu bezeichnen.. naja.. vielleicht bin ich da ja nur etwas kleinlig/forensisch.. sorry.. 🤗

@silent6597 Жыл бұрын

Alexa ist halt ein weiblicher vorname, wenn ich von dem Spährohr rede verwende ich sowohl es als auch sie, weil ja. Weiblicher Vorname und/oder Maschine. In jedem fall spyware

@BULLIBULBUL Жыл бұрын

@@silent6597 das ist auch nur so, weil es die gesellschafft so geprägt hat. bei namen sollte man sich von vorstellungen wie männlich und weiblich trennen.. es sind bezeichnungen, unerheblich vom geschlecht und alexa ist wie siri geschlechtslos. beste beispiele um das mal zu verinnerlichen..

@BULLIBULBUL Жыл бұрын

was mir mit diesem beitrag bewiesen wurde, möchte ich nicht weiter in worte fassen! ich bin kein mensch der gerne andere beleidigt, selbst wenn es sich um organisationen handelt! ABER MAL ERNSTHAFT, "Netzwerkforensik".. WARUM SOLLTE ES NICHT DIE PUTZFRAU SEIN?! omfg.. wer würde den grössten vorteil, bei minimalem aufwand daraus ziehen können? jemand der nur mal kurz ein schaut, vielleicht?! eventuell jemand, der mal den einen tag etwas früher kommt und keine "stempelkarte" braucht um überall zugang zu bekommen?! wäre bei mir nr. 1.. aber hey, ich verhöne die polizei auch gerne mal per email! rein investigativ ist es lächerlich, was dort gemacht wird! ich hätte ein verbrechen begangen, woraufhin mir eine anzeige zugestellt wird, mit den standort daten von meiner wohnung! hat das mal wer gelesen bevor es verschickt wurde?! polizei? = peinlich! mit zu viel inkompetenz, die offen zur schau gestellt wird und was sich versteht, immer recht hat!! 😂 nichts davon ist neu! und am ende entscheidet das budget über den weiteren ermittlungsverlauf! vielen dank auch, liebe polizei! kommerz kostet eben und die wahrheit wird in die warteschleife gelegt.. ich bitte meine emotionalität zu entschuldigen.. aber ich habe nur eine erfahrung mit den behörden gemacht: "wir haben recht, du weisst nichts! werd noch frech! keine fragen erlaubt!" 0-8-15.. jedes beschissene mal!