computer-forensik.org

e-Crime Studie 2010 fertig!

Alexander Geschonneck — Wed, 01 Sep 2010 17:55:11 +0000

Wie bereits hier angekündigt, haben wir eine Studie zum Thema Computerkriminalität in der deutschen Wirtschaft erstellt. Es ging uns diesmal darum ein Stimmungsbild der Führungsetagen zu erstellen – also bei Vorständen, Geschäftsführern, Leiter Rechnungswesen etc. und nicht bei sonst in solchen Zusammenhängen befragten IT’lern. Bei der Erstellung des Fragebogens haben uns BKA und das BMI unterstützt. Vielen Dank an dieser Stelle an die beteiligten Kollegen dort.

Die offizielle Pressemitteilung auch die Studie finden sich unter http://kpmg.de/Themen/21481.htm

Veranstaltungshinweis e-Crime 2010

Alexander Geschonneck — Wed, 18 Aug 2010 09:16:28 +0000

In eigener Sache möchte ich gern an dieser Stelle einen kleinen Veranstaltungshinweis zum Thema E-Crime veröffentlichen.Die neueste Studie von KPMG zum Thema e-Crime in der deutschen Wirtschaft 2010 zeigt Folgendes deutlich: Trotz ernsthafter Bemühungen scheint sich die Gefahrenlage für die Unternehmen nicht verbessert zu haben. e-Crime ist weiterhin auf dem Vormarsch. Die Schadenshöhen sind dabei zum Teil beträchtlich. Die Analyse zeigt: Der Grund liegt in der rein technischen Gefahrenbetrachtung. KPMG hat mit Unterstützung des BMI und des BKA bei der Fragebogenerstellung, durch EMNID Führungskräfte befragen lassen, die NICHT aus dem IT-Bereich kommen, um ein Stimmungsbild zu erhalten. Die Ergebnisse sind quasi auch als “Wunschzettel” an die Techniker unter uns zu verstehen.

Ziel der Breakfast-Veranstaltung ist es, den Teilnehmern Struktur, Inhalte und Ergebnisse der Studie vorzustellen. Das Thema elektronische Wirtschaftsspionage wird durch Redner aus dem BfV und dem LfV Bayern mit Praxisbeiträgen beleuchtet werden.

Anmeldedetails für die kostenlose Veranstaltung in Berlin, München und Frankfurt finden sich hier:
http://www.kpmg.de/ecrime.html

neues X-Ways Update mit vielen Windows7 Forensik Features

Alexander Geschonneck — Fri, 06 Aug 2010 10:49:23 +0000

An dieser Stelle berichte ich ja immer über neue Features von X-Ways Forensics. Diesmal möchte ich auf die speziellen Features von X-Ways Forensics 15.7 SR1, die Windows 7 betreffen, hinweisen. Markus Loyen, aus meinem Forensic Technology Team, hat diese kurz zusammengestellt:

Features, die Windows 7 betreffen, sind fett geschrieben:

Support for the exFAT file system. (requires a specialist license or higher)
Ability to interpret dynamic Virtual PC VHD images. (requires a specialist license or higher) Such images can also be edited (in WinHex, not X-Ways Forenscis), but not expanded.
Ability to interpret .e01 evidence files with an internal chunk size of up to 256 KB (previously up to 128 KB). Useful for example for memory dumps created by other software.
Old versions of files that are found as part of the thorough file system data structure search in volume shadow copies are now marked as (SC) in the Attribute column and can be filtered. The old contents of old versions of large files will be correctly represented in a future release. The file system level metadata of old versions and the contents of small files are already usually correctly represented.
Old names/paths of renamed/moved files in NTFS as discovered by the thorough file system data structure search are now by default no longer listed as additional items in the volume snapshot and in the directory browser. Instead, they are mentioned as comments that are attached to the renamed/moved files. This keeps directory browser listings smaller and makes searches quicker than before.
The Simultaneous Search now supports case-insensitive searches generally, not just for English and German letters.
GREP expressions may now contain true Unicode characters, and it is now possible to search in specific code pages when using GREP syntax.
The most important MS Office 2007/2010 and OpenOffice 2/3 document types are now by default decoded for the logical search, and (in conjunction with the recommended data reduction) their main XML files are omitted from the search. That ensures that you get search hits in the documents and not in the XML files, which is more convenient, and that you don’t get them twice unnecessarily. The other XML files, which may contain important metadata, are still searched (provided that you have included the contents of archives in the volume snapshot).
Metadata extraction improved for Windows 7 .lnk files.
Catalogs of JumpList files are now output in Details mode.
Ability to recursively delete directory with subdirectories that cannot be deleted with Windows Explorer or other Windows tools and commands because of illegal characters, via Tools | File Tools | Delete recursively.
Improved behavior when encountering already running instances. A new middle state allows to decide on a case-by-case basis whether to start another instance.
There is now an option to filter by internal ID. Useful for example and very easy to use if you would like to focus on the x files that were added to the volume snapshot last or if you would like to resume a logical search with internal ID y (and filter out files that have already been searched).
Introduced an interface that allows to copy files of a certain category from selected evidence objects to a user-defined output directory for analysis by a certain external program. The external program can then identify relevant files or classify files. The result can imported back into the case and will be shown as report table associations, by which you can filter or create reports. The interface works at the case level and requires a forensic license or X-Ways Investigator.
Through this interface, using the upcoming professional version of the software DoublePics (www.dotnetfabrik.de) and a database of pictures from previous cases as often maintained by law enforcement agencies that have to deal with child pornography cases, it is possible to conveniently and automatically categorize pictures in new cases that are known already, as relevant or irrelevant or “gray area” or whatever. Known pictures can be recognized even if they are stored in a different file format, resized, if the colors or the quality are different or they have been edited, thanks to fuzzy logic and adjustable sensitivity and tolerance.
When using the non-MAPI method to extract e-mails from PST/OST archives, HTML e-mails are now also usually represented in .eml format (except for outgoing/sent messages). Additionally, a clickable link to the attachments is now included in Preview mode (except for outgoing/sent messages, and not guaranteed to work if attachments have non-English names).
Fixed an exception error that could occur when taking a volume snapshot.
Previous limitations for writing sectors in partitioned areas under Windows Vista/7 have been practically removed. In 99% of all cases it is now possible to write sectors in these Windows versions.
Some minor improvements
1. Bugfix
SR-1:
The Sender/Recipient columns were swapped. This was fixed.

neue Umfrage zu Prüfsummen [Update]

Alexander Geschonneck — Sun, 06 Jun 2010 11:05:46 +0000

Da wir nun unsere Hash-Verfahren in unseren Labors umgestellt haben würde ich mich interessieren, welche Prüfsummenverfahren die werte Leserschaft einsetzt. Ist man zu sehr an ein Tool gebunden, hat man keine freie Wahl. Also müssen Zwischenschritte für die einzelnen Bearbeitungsvorgänge her. Zu bedenken sind auch die nicht unerheblichen Zeitverluste. Ich bin also auf die Antworten gespannt.

Update: Meinungen zu diesem Thema gern in den Kommentaren

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

AccessData FTK und MacOS

Alexander Geschonneck — Sun, 06 Jun 2010 10:43:01 +0000

Brian Salmon von AppleExaminer.com hat eine Anleitung zur Analyse von MacOS-Systemen mit HFS/HFS+ Dateisystemen mit AccessDatas FTK 3 veröffentlicht. Er fasst zusammen:

FTK v3 has many features for Macintosh analysis that were not previously available in a single Windows based forensic tool. This allows analysts who are typically examining Windows systems to use the tool and platform that they are familiar with to successfully complete an examination of a Macintosh computer. This is especially important to analysts who do not have access to or the knowledge required to use a Mac to analyze a Mac.

Link

FTK Imager als Kommandozeilenversion

Alexander Geschonneck — Thu, 27 May 2010 08:18:05 +0000

Access Data hat zusätzlich zur Vesion 2.9 seines FTK Imagers, eine Command Line Version für MacOS (10.5 und 10.6), Windos und Linux (Debian, Fedora und Ubuntu) veröffentlicht.Hiermit lassen sich nun wieder sehr gut Imaging-Boot-CD’s erstellen. Wer das AD-Format verwendet, kann die Daten auch gleich verschlüsseln. Ein Geschwindigkeitstest folgt in Kürze auf diesem Blog.

Download.

AccessData FTK Imager v2.9 CLI (May 20 2010)

Copyright 2006-2010 AccessData Corp., 384 South 400 West, Lindon, UT 84042

All rights reserved.

Usage:  ftkimager source [dest_file] [options]

source can specify a block device, a supported image file, or `-' for stdin

if dest_file is specified, proper extension for image type will be appended

if dest_file is `-' or not specified, raw data will be written to stdout

Options:

--help        : display this information

--list-drives : show detected physical drives

--verify      : hash/verify the destination image,

or the source image if no destination is specified

--print-info  : print information about a drive or image and then exit

--quiet       : do not show create/verify progress information

--no-sha1     : do not compute SHA1 hash during acquire or verify

(The following options are valid only when dest_file is specified):

--s01         : create a SMART ew-compressed image

--e01         : create an E01 format image

--frag x{K|M|G|T} : create image fragments at most x {K|M|G|T} in size

also accepts kB, MB, GB, and TB for powers of 10 instead of 2

--compress C  : set compression level to C (0=none, 1=fast, ..., 9=best)

e01/smart metadata (use quote marks when X contains spaces):

--case-number X

--evidence-number X

--description X

--examiner X

--notes X

AD Encryption Options:

--inpass P      : decrypt source file using password P

--incert C [P]  : decrypt source file using certificate C with password P

--outpass P     : encrypt dest file using password P

--outcert C [P] : encrypt dest file using certificate C with password P

Zugriff auf verschlüsselte iPhones 3GS

Alexander Geschonneck — Wed, 26 May 2010 21:22:30 +0000

Sollte man in die Verlegenheit kommen, ein iPhone 3GS forensisch analysieren zu wollen und die PIN gerade nicht verfügbar ist, gibt es – bedingt durch einen Herstellerfehler – derzeit eine einfache Möglichkeit:Normalerweise ist der Inhalt des iPhone 3GS mit AES256 verschlüsselt; Zugriff auf die Daten gibt es nur von dem System, welches bereits für eine Synchronisation verwendet wurde. Ansonsten muss man den Passcode kennen, um auf die Daten zugreifen zu können.Verwendet man aber ein Linux-System (im Test kam Ubuntu 10.4. zum Einsatz) ist ein Zugriff auf einige Bereiche der vermeintlich verschlüsselten Daten, wie z.B. gespeicherte Fotos und Sprachmemos möglich. Hierfür ist das iPhone lediglich im ausgeschalteten Zustand via USB mit dem Ubuntu-System zu verbinden und dann zu booten. Von Linux lässt sich das iPhone dann einfach mounten.

via

systematische Auswertung größerer Datenmengen

Alexander Geschonneck — Sat, 22 May 2010 12:50:16 +0000

Eigentlich schreibe ich ja nicht öffentlich über Projekte, aber wenn der Mandant es selbst veröffentlicht. Bei genauerem Lesen finden sich Hinweise auf unsere mobile Analyseplattform für unstrukturierte Daten, die wir auch in unserem Forensic Data Center zentral betreiben, um große Datenmenge zu analysieren.

Bundeslagebild IuK-Kriminalität 2009

Alexander Geschonneck — Sun, 16 May 2010 00:41:49 +0000

Das BKA hat das aktuelle Bundeslagebild zur IuK-Kriminalität 2009 veröffentlicht. Hierbei handelt es sich um eine Zusammenfassung der relevanten Deliktsbereiche der Computerkriminalität im engeren Sinne sowie weiteren Kriminalitätsphänomenen wie dem Diebstahl von Digitalen Identitäten (beinhaltet Phishing, Carding, Account Takeover, Bot-Netze, etc.). Das Ganze ist Teil der normalen Polizeilichen Kriminalitätsstatistik (PKS). Wie leider auch bei der PKShandelt es sich hierbei systembedingt nur um die bekanntgewordenen (also zur Anzeige gebrachten) UND an das BKA gemeldeten Fallzahlen. Das Dunkelfeld ist hierbei immer noch sehr groß. Die im Bundeslagebild festgestellten Steigerungen um mehr als 30% zum Vorjahr sind also nur die Spitze des Eisbergs.

Zum Vergleich: Wir (KPMG Forensik) haben gerade zusammen mit TNS Emnid eine Umfrage zum gleichen Thema (Stichwort: KPMG eCrime Studie 2010) in der deutschen Wirtschaft durchgeführt. Die Ergebnisse sind noch nicht alle ausgewertet, aber die Zahlen, die mir bereits vorliegen sprechen Bände, was das mangelnde Anzeigeverhalten und die Gründe dafür betrifft. Wir haben übrigens auch ganz interessante Aussagen zu den tatsächlichen Schadenshöhen in der deutschen Wirtschaft erhalten. Mehr dazu später in diesem Blog.

Das Fazit des BKA ist erwartungsgemäß: Das Gefährdungs- und Schadenspotential der IuK-Kriminalität ist unverändert hoch. Neben der Ausspähung von Zugangsdaten im Bereich des Onlinebanking werden weiterhin auch andere Teile von Online-Identitäten ausgespäht und illegal eingesetzt.

Interessant ist, dass es die Tätergruppen durch ihre Schnelligkeit und ihren technologischen Fortschritt immer wieder schaffen, Angriffe durchzuführen; durch entsprechende Gegenmaßnahmen es für die Finanzagenten aber zumindest in Deutschland immer schwerer wird, die Gewinne abzuschöpfen.

Download des Bundeslagebildes IuK Kriminalität 2009

Digitale Kopierer, schon wieder

Alexander Geschonneck — Thu, 22 Apr 2010 13:24:47 +0000

Mich erstaunt ja immer wieder, mit welcher regelmäßigen Überrraschung das Thema Digitale Kopierer und Multifunktionsdrucker im Zusammenhang mit Datenspuren aufgegriffen wird. Zuletzt gesehen bei Heise – getriggert durch eine CBS-Meldung. Faierweise schreiben die Kollegen aus Hannover ja auch, dass es eigentlich ein alter Hut ist, insofern sehe ich deren Artikel als weitere Sensibilisierungsmaßnahme.

Das Grundproblem ist, dass diese Geräte zum (Zwischen-)speichern der gescannten Dokumeten diese als Image-Datei in unterschiedlichsten Formaten auf eine interne Festplatte schreiben. Man kann entweder die vom Hersteller mitgelieferten Schnittstellen bemühen, um diese Dateien über das Netz auszulesen oder eine klassische Dateisystemanalyse durchführen. Zunehmend setzen die Hersteller auf Standard-Dateissysteme, die das aufwändige Programmieren von zusätzlichen Treibern überflüssig machen.

Aus Informationssicherheitssicht sollte man auch im Hinterkopf behalten, dass bei den klassischen Service- und Leasingverträgen solche Geräte inkl. der darin enthaltenen Festplatten natürlich das Haus verlassen. Höchstwahrscheinlich in der administrativen Hoheit der Verwaltung liegend, die vielleicht nicht ausreichend für die IT-Sicherheit sensibilisiert ist. Hierzu sei auch auf den Baustein “B.306 Drucker, Kopierer und Multifunktionsgeräte” der IT-Grundschutzkatzaloge verweisen.

Richter darf Arbeit mit dem Computer ablehnen

Alexander Geschonneck — Thu, 22 Apr 2010 11:29:11 +0000

Ich beschäftige mich in diesem Blog ja im weiteren Sinne auch mit Themen des Computereinsatzes in Gerichtsverfahren. Aus diesem Bereich nun eine Meldung, die möglichweise einige Erfahrungen bei der Würdigung computer-forensischer Erkenntnisse bei Gericht in einem anderen Lichte erscheinen lassen.Wie die FAZ berichtet, hat sich ein Richter das Recht erstritten, weiter auf Papier zu arbeiten, Servicekräfte müssen ihm sämtliche Akten ausdrucken, bevor er sie bearbeitet. Selbst auf den Druckbefehl zu klicken, hält er für unzumutbar. Der Dienstgerichtshof für Richter am zuständigen Oberlandesgericht gab ihm bei seiner Klage recht, nachdem bereits zwei Vorinstanzen mit gleichem Ergbnis urteilten.

Sein Argument ist u.a., dass es für ihn unzumutbar sei, bestimmte Dokumente am Bildschirm zu lesen und er damit ein höheres Haftunsgrisiko bei seiner Arbeit sieht, dass ihm dabei Fehler unterlaufen könnten. Im übrigen auch, wenn die Zuverfügungstellung zuverlässig und der Vertrauenswürdigkeit der IT hoch ist. Soweit durchaus nachvollziehbar. Aber ausdrucken müsste das Dokument dann aber eine Servicekraft und nicht er. Aus dieser Argumentation ergibt sich sicherlicher die Erklärung für die gelegentlich erlebte richterliche Skepsis gegenüber der einen oder anderen gutacherlichen Stellungnahme aus dem Bereich der Computer Forensik. Zum Glück treffe ich aber immer wieder auf aufgeschlossene Richter, die moderne Hilfsmittel als selbstverständlich ansehen und daraus folgend mit der Hand am Arm Pragmatismus bei Ihrer Arbeit walten lassen.

Es ging dem Richter übrigens um einen unzulässigen Eingriff in die im Grundgesetz manifestierte richterliche Unabhängigkeit.

Interview Deutschlandfunk

Alexander Geschonneck — Fri, 16 Apr 2010 11:37:00 +0000

Heute Abend gibt es um 19:15 im Deutschlandfunk ein längeres Feature über das Thema Datenforensik.

FTD: Beitrag zu Daten- und Laptop-Diebstahl

Alexander Geschonneck — Wed, 24 Mar 2010 19:46:59 +0000

In der Financial Times Deutschland ist ein Artikel zum Thema Daten- und Laptop-Diebstahl erschienen. Neben einem Wortzitat von mir wird auch über unsere Data Loss Studie berichtet.

http://www.ftd.de/it-medien/computer-technik/:verschluesselungstechnik-warum-firmenlaptops-so-wertvoll-sind/50092500.html

BSI IT-Grundschutz: Behandlung von Sicherheitsvorfällen

Alexander Geschonneck — Wed, 24 Mar 2010 19:32:37 +0000

In der 11. Ergänzungslieferung der IT-Grundschutzkataloge des BSI ist der überarbeitete Baustein B 1.08 “Behandlung von Sicherheitsvorfällen” veröffentlicht worden. Ich möchte das Augenmerk der Leser aufdie nun neuen Maßnahmen zur Computer Forensik und zum ITIL Incident Management hinweisen. Anregungen zum Baustein gern an mich.

https://www.bsi.bund.de/grundschutz/kataloge/baust/b01/b01008.html

Auskunftsmöglichkeiten für Strafverfolgungsbehörden

Alexander Geschonneck — Wed, 03 Mar 2010 17:22:58 +0000

Unter diesem recht sperrigen Beitragstitel verbirgt sich ein Hinweis auf eine Übersicht zu verschiedenen Formularen und Anleitungen diverser Online-Diensteanbieter, damit ein Ermittler die richtigen Stellen im Unternehmen für Auskunftsersuchen findet. In der Regel werden diese Anfragen bei größeren Anbietern durch ein sog. Law Enforcement Relationship Management System abgewickelt. Es ist ebenfalls in den Unterlagen zu den einzelnen Anbietern enthalten, welche Informationen die Ermittlungsbehörden beim Anbieter bekommen können und nach welchem Prozedere diese dann genau herausgegeben werden.
Da es sich hier fast ausschließlich um amerikanische Firmen handelt, ist dies für europäische Leser auf jeden Fall interessant. Zu finden sind die Anleitungen u.a. für folgende Firmen: Microsoft, Paypal, MySpace , Facebook, Yahoo, AOL, Skype , ATT, Nextel, Sprint, Voicestream, Verizon, 3GPP etc.

via SANS (original von cryptome .org)