lehrerbibliothek.deDatenschutzerklärung
Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären
Computer-Forensik
Systemeinbrüche erkennen, ermitteln, aufklären




Alexander Geschonneck
dpunkt.verlag
EAN: 9783898642538 (ISBN: 3-89864-253-4)
255 Seiten, paperback, 16 x 24cm, Februar, 2004

EUR 38,00
alle Angaben ohne Gewähr

Umschlagtext
Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.



Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.



Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im "Fall der Fälle" als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:



• wo man nach Beweisspuren suchen sollte,

• wie man sie erkennen kann,

• wie sie zu bewerten sind und

• wie sie gerichtsverwertbar gesichert werden sollten.



Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.



Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org.



-> In der IX Edition erscheinen Titel, die vom dpunkt.verlag gemeinsam mit der Redaktion der Zeitschrift IX ausgewählt und konzipiert werden. Inhaltlicher Schwerpunkt dieser Reihe sind Standardwerke zu professioneller Datenverarbeitung und Internet.



Thema:

• IT-Sicherheit

• Netzwerkadministration



Leser:

• Sicherheitsbeauftragte

• Systemadministratoren

• Sicherheitsberater

• Ermittler

• Gutachter



Website:

• www.computer-forensik.org
Rezension
Als Nachschlagewerk und Leitfaden für jeden Systemadministrator ein MUSS!

"Forensik (von lat. Forum = der Marktplatz, das Forum). Vormals wurden Gerichtsverfahren, Untersuchungen, Urteilsverkündungen, sowie der Strafvollzug öffentlich und meist auf dem Marktplatz durchgeführt. Daher bezeichnet das Attribut forensisch alles was gerichtlichen oder kriminologischen Charakter hat." - http://de.wikipedia.org

Als einer der ersten deutschen Autoren widmet sich Alexander Geschonnek dem Thema der Computer-Forensik, dem Erkennen und Nachvollziehen von Einbrüchen in einzelne Rechner, Netzwerke oder Computersysteme. Das Hauptaugenmerk liegt dabei im Gegensatz zur Funktion eines "Intrusion Detection"-Systems nicht auf der Erkennung von Einbrüchen, sondern auf der Spurensicherung im Nachhinein, um beispielsweise einen unbefugten Zugriff auf ein System u.a. juristisch nachweisen zu können.

Neben Vorgehensweisen zur Beweissicherung und der Vorstellung bestimmter Analysetechniken beschreibt der Autor beispielhaft wie ein Angriff auf ein System aussehen könnte und wie Täter möglicherweise versuchen Spuren zu verwischen. Außerdem stellt er Unix- und Windows-basierte (Standard-)Tools und Toolkits vor, die von professionellen "Ermittlern" zur Spurensicherung eingesetzt werden und mit deren Hilfe wertvolle Informationen ermittelt und rekonstruiert werden können.

Florian Schimandl, lehrerbibliothek.de
Inhaltsverzeichnis
Einleitung

Wer sollte dieses Buch lesen?
Was lernt man in diesem Buch?
Was lernt man in diesem Buch nicht?
Wie liest man dieses Buch?

1 Bedrohungssituation

1.1 Bedrohung und Wahrscheinlichkeit
1.2 Risikoverteilung
1.3 Motivation der Täter
1.4 Innentäter vs. Außentäter
1.5 Bestätigung durch die Statistik?
1.6 Computerkriminalität

2 Ablauf von Angriffen

2.1 Typischer Angriffsverlauf
2.1.1 Footprinting
2.1.2 Port- und Protokollscan
2.1.3 Enumeration
2.1.4 Exploiting/Penetration
2.1.5 Hintertüren einrichten
2.1.6 Spuren verwischen
2.2 Beispiel eines Angriffs

3 Incident Response als Grundlage der Computer-Forensik

3.1 Der Incident-Response-Prozess
3.2 Organisatorische Vorbereitungen
3.3 Zusammensetzung des Response-Teams
3.4 Incident Detection: Systemanomalien entdecken
3.4.1 Netzseitige Hinweise
3.4.2 Serverseitige Hinweise
3.4.3 Intrusion-Detection-Systeme
3.4.4 Externe Hinweise
3.5 Incident Detection: Ein Vorfall wird gemeldet
3.6 Sicherheitsvorfall oder Betriebsstörung?
3.7 Wahl der Response-Strategie
3.8 Reporting und Manöverkritik

4 Einführung in die Computer-Forensik

4.1 Ziele einer Ermittlung
4.2 Phasen der Ermittlung
4.3 Welche Erkenntnisse kann man gewinnen?
4.4 Wie geht man korrekt mit Beweismitteln um?
4.4.1 Juristische Bewertung der Beweissituation
4.4.2 Datenschutz
4.4.3 Welche Daten können erfasst werden?
4.4.4 Durchgeführte Aktionen dokumentieren
4.4.5 Beweise dokumentieren
4.4.6 Mögliche Fehler bei der Beweissammlung
4.5 Flüchtige Daten sichern: Sofort speichern
4.6 Speichermedien sichern: forensische Duplikation
4.6.1 Wann ist eine forensische Duplikation sinnvoll?
4.6.2 Geeignete Verfahren
4.7 Untersuchungsergebnisse zusammenführen
4.8 Häufige Fehler

5 Einführung in die Post-mortem-Analyse

5.1 Analyse des File Slack
5.2 MAC-Time-Analysen
5.3 NTFS-Streams
5.4 Auslagerungsdateien
5.5 Versteckte Dateien
5.6 Dateien oder Fragmente wiederherstellen
5.7 Unbekannte Binär-Dateien analysieren
5.8 Systemprotokolle

6 Forensik- und Incident-Response-Toolkits im Überblick

6.1 Sichere Untersuchungsumgebung
6.2 F.I.R.E.
6.3 Knoppix Security Tools Distribution
6.4 EnCase
6.5 dd
6.6 Forensic Acquisition Utilities
6.7 AccessData's Forensic Tool Kit
6.8 The Coroner's Toolkit und TCTUtils
6.9 The Sleuth Kit
6.10 Autopsy Forensic Browser
6.11 Eigene Toolkits für Unix und Windows erstellen
6.11.1 F.R.E.D.
6.11.2 Incident Response Collection Report (IRCR)

7 Forensische Analyse im Detail

7.1 Forensische Analyse unter Unix
7.1.1 Die flüchtigen Daten speichern
7.1.2 Forensische Duplikation
7.1.3 Manuelle P.m.-Analyse der Images
7.1.4 P.m.-Analyse der Images mit Autopsy
7.1.5 P.m.-Analyse der Images mit F.I.R.E.
7.1.6 Dateiwiederherstellung mit unrm und lazarus
7.1.7 Weitere hilfreiche Tools
7.2 Forensische Analyse unter Windows
7.2.1 Die flüchtigen Daten speichern
7.2.2 Forensische Duplikation
7.2.3 Manuelle P.m.-Analyse der Images
7.2.4 P.m.-Analyse der Images mit AccessData's FTK
7.2.5 P.m.-Analyse der Images mit EnCase
7.2.6 Weitere hilfreiche Tools
7.3 Forensische Analyse von PDAs
7.4 Forensische Analyse von Routern

8 Empfehlungen für den Schadensfall

8.1 Logbuch
8.2 Den Einbruch erkennen
8.3 Tätigkeiten nach festgestelltem Einbruch
8.4 Nächste Schritte

9 Backtracing

9.1 IP-Adressen überprüfen
9.1.1 Ursprüngliche Quelle
9.1.2 IP-Adressen, die nicht weiterhelfen
9.1.3 Private Adressen
9.1.4 Weitere IANA-Adressen
9.1.5 Augenscheinlich falsche Adressen
9.2 Spoof Detection
9.2.1 Traceroute Hopcount
9.3 Routen validieren
9.4 Nslookup
9.5 Whois
9.6 E-Mail-Header

10 Einbeziehung der Behörden

10.1 Organisatorische Vorarbeit
10.2 Strafrechtliches Vorgehen
10.2.1 Inanspruchnahme des Verursachers
10.2.2 Möglichkeiten der Anzeigeerstattung
10.2.3 Einflussmöglichkeiten auf das Strafverfahren
10.3 Zivilrechtliches Vorgehen
10.4 Darstellung in der Öffentlichkeit
10.5 Die Beweissituation bei der privaten Ermittlung
10.6 Fazit

Anhang Tool-Überblick

Index