Veni, Vidi, VISA

Das Bayerische Landeskriminalamt greift zu fragwürdigen Überwachungsmethoden. An sich war der Behörde gerichtlich nur gestattet, die Telekommunikation eines Beschuldigten zu überwachen. Einen auf den Computer des Betroffenen geschleusten Trojaner nutzten die Beamten aber auch dazu, alle 30 Sekunden einen Screenshot des Browserinhalts abzugreifen. Dies hat das Landgericht Landshut nun für unzulässig erklärt.
[...]
Gegen das Einschleusen eines Trojaners zum Knacken von Skype hatte das Landgericht nichts einzuwenden. Das ist jedoch höchst umstritten.
[...]
Den Zugriff auf die Festplatte des Beschuldigten, also eine Online-Durchsuchung im eigentlichen Sinn, hatte übrigens schon das Amtsgericht ausdrücklich untersagt.

Quelle: law blog

Das ist die sagenumwobene Überwachung des Computers eines Verdächtigen? Also die, die auch bei den pöhsen Terroristen zum Einsatz kommt? Was machen die wenn dort kein Windows eingesetzt wird? Oder überhaupt keine GUI? Oder eine GUI und der Inhalt der Mails wird als Anlage eingefügt? Oder wenn die nicht von daheim aus, sondern vom Internet-Café aus surfen? Zuzutrauen wäre es denen, weil Verbrecher und Terroristen sind klug genug. Also wenn das die Mittel sind die uns gegen die ständig wachsende Terrorgefahr schützen soll.. wir werden alle störben!

Am Montag ist es mal wieder soweit. $KUNDE will das ich auf einem Server der gecrackt wurde, eine forensische Analyse und weil ich mal wieder nicht schlafen kann, schreib ich mal zusammen wie ich bei sowas vorgehe. Also nur den technischen Vorgang und nicht das Melden des Angriffes.

Server vom Netz nehmen!

Es gibt kein "Aber.."! Die Kiste muss sofort vom Netz um den Schaden zu minimieren. Einige Personen (hauptsaechlich solche ohne Ahnung, aber mit was zu Sagen) fangen so gut wie immer an zu diskutieren und verlangen das die Analyse/Saeuberung online vorgenommen wird. In solchen Faellen hilft es ungemein wenn man einen Vordruck hat, auf dem steht das der Unterzeichnende die volle Verantwortung fuer diese Entscheidung uebernimmt.
Mit diesem Vordruck in der einen und einen Kuli in der anderen Hand, fragt man dann in die Runde wer unterschreibt. Spaetestens dann darf man den Server vom Netz nehmen.

Nicht rebooten!

Fuer eine Analyse benoetigt man den aktuellen Zustand und der ist nach einem Reboot nicht gegeben. Ein Reboot sorgt dafuer das manuell gestartete Prozesse nicht mehr laufen. Ich hatte aber auch schonmal einen Fall, in dem der Angreifer in einem Runlevel ein Script angelegt hat, dass die von ihm installierten Programme umbenennt und anschliessend startet.

Daten sichern

Nein. Nicht fuer die naechste Installation, sondern fuer eine Kopie des Systems. Nach Moeglichkeit eine Kopie des gesamten Systems im aktuellen Zustand. Sollte der Speicherplatz nicht ausreichen, ist das Minimum /etc und /var.
Es zahlt sich auch aus wenn man sein Vorgehen aufschreibt; das hat den Vorteil das man genau weiss was man schon gemacht/untersucht hat und was nicht.

Logfiles ueberpruefen

Nicht auf irgendwelche Shellscripte von Freshmeat/Sourceforge verlassen; die erleichtern zwar die Arbeit, aber haben auch den Nachteil das sie manipulierbar sind. Das bekannteste Beispiel ist anti-chkrootkit.pl. Wenn man Tools verwendet, dann solche von denen man weiss das sie sauber sind. Ich habe dazu die notwendigen Programme immer auf CD und einem USB-Stick dabei um sie "mal schnell rueberkopieren" zu koennen.

Informationen beschaffen

Dazu gehoert u. a. eine Liste aller laufenden Prozesse, der verwendeten Ports, alle setuid-Programme, neu installierte Programme (Abgleichen mit einer Liste der zuvor vorhandenen Programme), und und und..
Von den existierenden Programmen kann man sich relativ einfach eine brauchbare Liste mit den notwendigsten Informationen erstellen lassen. Dazu benoetigt man lediglich stat(1) und md5sum(1); mal ein kleines Beispiel:

$ mkdir foobar && cd foobar

$ touch foo bar foobar barfoo

$ for i in ~/foobar/*; do stat "$i" && echo -e md5sum: "`md5sum "$i"`\n"; done > ~/chksum.txt

$ cat ~/chksum.txt

  File: `/home/dope/foobar/bar'

  Size: 0               Blocks: 0          IO Block: 4096   regular empty file

Device: 803h/2051d      Inode: 10716848    Links: 1

Access: (0600/-rw-------)  Uid: ( 1000/    dope)   Gid: (  100/   users)

Access: 2007-10-14 04:44:54.000000000 +0200

Modify: 2007-10-14 04:44:54.000000000 +0200

Change: 2007-10-14 04:44:54.000000000 +0200

md5sum: d41d8cd98f00b204e9800998ecf8427e  /home/dope/foobar/bar



  File: `/home/dope/foobar/barfoo'

  Size: 0               Blocks: 0          IO Block: 4096   regular empty file

Device: 803h/2051d      Inode: 10716850    Links: 1

Access: (0600/-rw-------)  Uid: ( 1000/    dope)   Gid: (  100/   users)

Access: 2007-10-14 04:44:54.000000000 +0200

Modify: 2007-10-14 04:44:54.000000000 +0200

Change: 2007-10-14 04:44:54.000000000 +0200

md5sum: d41d8cd98f00b204e9800998ecf8427e  /home/dope/foobar/barfoo



  File: `/home/dope/foobar/foo'

  Size: 0               Blocks: 0          IO Block: 4096   regular empty file

Device: 803h/2051d      Inode: 10716847    Links: 1

Access: (0600/-rw-------)  Uid: ( 1000/    dope)   Gid: (  100/   users)

Access: 2007-10-14 04:44:54.000000000 +0200

Modify: 2007-10-14 04:44:54.000000000 +0200

Change: 2007-10-14 04:44:54.000000000 +0200

md5sum: d41d8cd98f00b204e9800998ecf8427e  /home/dope/foobar/foo



...

Informationen aus dieser Liste ueber einzelne Programme muss man anschliessend nicht lange per Hand suchen, sondern kann sie sich mit grep -B8 barfoo$ chksum.txt anzeigen lassen. Hauptsaechlich dient diese Liste aber dazu, um sie spaeter mit einer (nach dem gleichen Prinzip erstellten Liste) abzugleichen. Dazu benoetigt man ein identisches System (gleiche Distribution, gleiche Software, ..); auf diesem System wird ebenfalls eine solche Liste erstellt und dann via diff(1) auf Unterschiede geprueft.
Prinzipiell sind erstmal alle Dateien (Ja. alle Dateien!) gefaehrlich.

Einbruchserkennung

Wie erkennt man auf welchem Weg sich der Cracker Zugriff auf das System beschafft hat? Das ist manchmal trivialer als man denkt. Zum Grossteil sind Cracker irgendwelche Scriptkiddies, die sich Exploits herunterladen und ausfuehren. Zuerst besorgt man sich einen Ueberblick ueber die installierte Software (mit besonderem Augenmerk auf Netzwerkdienste); anschliessend sieht man sich auf den bekannten Seiten (Securityfocus, milw0rm, SecuriTeam, metasploit, ..) um und wird in 80% aller Faelle fuendig. Ein Blick in die Logfiles des Systems sollte auch nicht versaeumt werden (sofern diese nicht durch den Angreifer geloescht/geaendert wurden).
So traurig es auch ist, aber fast immer basieren erfolgreiche Angriffe auf Nachlaessigkeit des Admins. Sei es durch Fehlkonfiguration oder durch fehlende Security-Updates.

Backups

Von einem solchem System werden keine Backups erstellt, damit man sie anschliessend wieder einspielen kann. Auch nicht ausnahmsweise. Selbst schon vorhandene Backups sollte genauestens ueberprueft werden, bevor man diese einspielt. Sobald ein Server kompromittiert wurde, ist die einzig brauchbare Loesung eine Neuinstallation. Und zwar vom kompletten System und von den Originalmedien.

Es gaebe noch etliche Punkte die man beachten muss und auf die ich eingehen koennte, allerdings fuellt dieses Thema ganze Buecher und es gibt keine allgemein gueltige Vorgehensweise die man per copy&paste nutzen kann. Stattdessen verweise ich jetzt einfach mal auf URLs die sich mit diesem Thema befassen:

• Intruder Detection Checklist
• Steps for Recovering from a UNIX or NT System Compromise
• Linux Security Administrator's Guide
• Focus On Linux: Intrusion Detection on Linux
• Intrusion Detection FAQ (SANS)
• FAQ: Network Intrusion Detection Systems
• Intrusion Detection System Training

Es gibt auch etliche Distributionen welche sich als "Forensic environment" bezeichnen, aber ich persoenlich nutze ausschliesslich BackTrack, Arudius, F.I.R.E, NetSecL und/oder Pentoo

http://www.welt.de/[..]/Die_neuen_Tricks_der_Online-Hacker.html

Noch nie wurden so viele gefährliche Mails verschickt wie in diesem Jahr. Mit gefälschten Homepages von Banken und Behörden verschaffen sich Kriminelle Zugang zu Konten ahnungsloser Kunden. WELT ONLINE gibt einen Überblick über die neuesten Tricks.
[...]

Trojaner, Keylogger, Phishing und Erpressung. Ich hab mir den Muell jetzt dreimal durchgelesen, aber was daran ist "neu"? Naja.. immerhin sorgen Schlagwoerter wie CCC, Hacker und "die neusten Tricks" fuer Aufmerksamkeit. Bezahlen die Typen von welt.de eigentlich Redakteure von Computer Bild oder ist das Geschwafel Veranlagung?

http://www.welt.de/[..]/So_soll_die_Online-Durchsuchung_funktionieren.html

Die Durchsuchung von PC soll nicht mit einem sogenannten Trojaner durchgeführt werden, sondern mit dem Eindringen in die Wohnung der Verdächtigen. Dabei soll auf deren Computern durch das Bundeskriminalamt (BKA) eine Schnüffelsoftware installiert werden. Das berichtet das Magazin "Chip" unter Berufung auf BKA-Präsident Jörg Ziercke, den IT-Chef der Behörde sowie den nicht genannten Hersteller der Software.

Das Programm heißt demnach „Remote Forensic Software“ (RFS) und ist mit dem Fachbegriff „Trojaner“ wohl falsch beschrieben. Unter Trojaner versteht man einen Virus, der auf dem infizierten PC eine Hintertür für seinen Entwickler öffnet. Bei einem mit Firewall und Anti-Viren-Software geschützten Rechner ist es allerdings äußerst kompliziert, einen solchen Trojaner über das Internet ans Ziel zu bringen. Deswegen müssen die Beamten ihn per Hand auf dem Rechner des Verdächtigen installieren.
Laut Chip sollen am Anfang sogenannte „Umfeld-Analysen“ stehen - der Einsatz von V-Leuten, die sich der Zielperson bereits lange vor einer PC-Durchsuchung widmen. Später dringt ein BKA-Team dann heimlich in die Wohnung des Verdächtigen ein und zieht Kopien von seiner Festplatten. Diese Daten analysiert dann der BKA-Softwareentwickler - und erstellt daraus ein Programm, das perfekt auf die Rechner-Umgebung zugeschnitten ist. Anschließend müssen die Fahnder noch mal in die Wohnung eindringen.
[...]

Ist das ein Studienfach oder ist es Veranlagung so komplett unfaehig und technisch inkompetent zu sein? Zieht Kopien seiner Festplatte. Na hoffentlich erklaert niemand den Terroristen wie man eine Festplatte verschluesselt oder Bombenplaene auf einem USB-Stick sichert. Besonders witzig find ich auch den Satz .. und erstellt daraus ein Programm, das perfekt auf die Rechner-Umgebung zugeschnitten ist. Soso.. auf welche Rechner-Umgebung? Mit grub(8) und den heutigen Preisen fuer Festplatten kann diese Umgebung extremst komplex sein. Wie sorgen die eigentlich dafuer, dass der Terrorist nicht einfach neu installiert? Oder eine neue Festplatte einbaut? Oder was ganz verwegenes.. sich einen neuen Desktop/Laptop kauft? Oder sich eine externe Hardwarefirewall zulegt?

Kann mal bitte irgendwer diese lernresistenten und technischen Komplettdeppen aus dem Genpool der Menschheit entfernen?

From: ZENSIERT@absend.er
To: strcat@gmx.net
Subject: Frage zu deiner seite
Date: Wed, 25 Jul 2007 09:27:20 +0200
X-Mailer: WWW-Mail 6100 (Global Message Exchange)

hallo,
ich habe deine steiite gesehen und entnehme daraus mal das du hacken kannst. naja ich kanns net^^!also nicht richtig! ich wollte dich fragen ob du mir helfen kannst besser zu werden... das wäre voll nett! hab wenn du schon mal antwortest gleich mal eine frage! du kennst doch sicher das programm sub7 oder??? naja das macht mir problleme! ich kann mich zwar mit einen verschickten server und der ip
verbinden aber ich kann nichts aufrufen weil ich immer gleich nach einem passwort gefragt werde ... weißt du welches das ist ... naja danke schon mal vorweg danke

mfg
Green
--
"Feel free" - 10 GB Mailbox, 100 FreeSMS/Monat ...
Jetzt GMX TopMail testen: http://www.gmx.net/de/go/topmail

Unzensiert aus ~/MuttMail/INBOX/new Also heute ist wieder einer dieser Tage, ...