:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kali Linux Workshop, Teil 4 IT-Forensik mit Kali Linux
In vierten Teil unserer Workshop-Serie zu Kali Linux geht es um die forensischen Werkzeuge, die Teil der Pentesting-Distribution sind. Mit diesen Tools lassen sich Daten retten, Images erzeugen, Dateien aufspüren oder auch PDFs auf Malware untersuchen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Für IT-Forensiker gibt es nur wenige Geheimnisse. Computer und Dateien enthalten nicht nur die offensichtlichen Informationen, sondern jede Menge Metadaten. Diese lassen sich auslesen und für zahlreiche Anwendungsfälle nutzen. So ist es Beispielsweise möglich, vermeintlich gelöschte Daten wiederherzustellen oder sie von einem eigentlich defekten Laufwerk zu kopieren. Andererseits kann man damit auch nach Informationen schnüffeln, die einen nichts angehen. Wie immer in der IT-Sicherheit haben die Tools mehrere Anwendungsfälle, positive wie negative.
Achtung: Eine forensische Untersuchung kann gegen geltendes Recht verstoßen, etwa wenn das Ziel nicht weiß, dass diese Untersuchung durchgeführt wird oder dagegen ist. In diesem Beitrag gehen wir davon aus, dass alle Personen mit der Forensik einverstanden sind. Besondere Vorsicht gilt, wenn die forensischen Daten im Rahmen einer strafrechtlichen Untersuchung erhoben werden. Hier müssen etwa Images besondere Anforderungen erfüllen. Das BSI hat einen sehr guten Leitfaden zu diesem Thema. Der Einfachheit halber setzen wir in diesem Beitrag daher einen Schwerpunkt auf die Rettung eigener Daten sowie praktische Tools für Administratoren. Sobald es um die Daten Dritter geht, sollte man sich rechtliche Beratung und mindestens eine schriftliche Beauftragung einholen.
:quality(80)/images.vogel.de/vogelonline/bdb/1341800/1341815/original.jpg "Kali Linux: Die Distribution ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. (Offensive Security)")
Kali Linux Workshop, Teil 1
Kali Linux installieren und Hacking-Lab aufsetzen
:quality(80)/images.vogel.de/vogelonline/bdb/1359300/1359357/original.jpg "Kali Linux bringt alles mit, um Netzwerke auf Herz und Nieren abzuklopfen. (Offensive Security)")
Kali Linux Workshop, Teil 2
Informationen sammeln mit Kali Linux
Guymager
In der Forensik arbeitet man normalerweise nicht mit den „echten“ Daten, sondern untersucht Abbilder, sogenannte Images. Diese lassen sich mit zahlreichen Tools erstellen, auf der Kommandozeile etwa dc3dd. Wer lieber eine grafische Oberfläche vorzieht, findet in Guymager das passende Tool. Über den Menüpunkt “Rescan” lassen sich die angeschlossenen Speicher einlesen. Ein Rechtsklick gibt anschließend die Option für das Erstellen eines Images oder ob das Gerät geklont werden soll. Der Unterschied ist, dass beim Klonen keine Image-Abbild erstellt wird, es lohnt sich etwa um Daten von einem Datenträger zum anderen zu kopieren - etwa beim Umzug von einer Festplatte auf eine andere. Ein Image ist ein digitales Abbild, das anschließend wie eine Festplatte behandelt werden kann.
Foremost
Das Programm nutzt Header-Informationen, um nach verlorenen Daten zu suchen. So lassen sich beispielsweise Bilder oder Dokumente auf einer Festplatte oder einer Image-Datei aufspüren. Die jeweils zu suchenden Daten lassen sich wahlweise über Schalter in der Kommandozeile oder eine Konfigurationsdatei definieren. Das Programm benötigt allerdings seine Zeit.
Hashdeep
Hash-Werte sind essentiell um die Integrität von Daten auf unterschiedlichen Systemen sicherzustellen. Nur wenn zwei Werte übereinstimmen, wurde die Datei bei der Übertragung nicht verändert. Hashdeep kann diese Daten für ganze Verzeichnisse rekursiv berechnen. Die Daten werden wahlweise direkt im Terminal ausgegeben oder in einer Datei gespeichert.
DDrescue
Defekte Festplatten oder USB-Sticks mit wichtigen Dokumenten darauf - das ist ein Fall für DDrescue. Das Programm kopiert Informationen blockweise und achtet dabei nicht, ob die gespeicherten Daten auch lesbar sind. Kann ein Block nicht übertragen werden, überspringt DDrescue diesen und kopiert den nächsten. Nach Abschluss des Kopiervorgangs lassen sich die übertragenen Daten mit klassischen Tools auslesen. Es kann dabei sein, dass etwa Bilder oder Dokumente zumindest noch teilweise vorhanden sind.
Scrounge-ntfs
Scrounge-ntfs ähnelt DDrescue, ist aber auf das Windows-Dateisystem optimiert. Es liest jeden Block des angegebenen Datenträgers und baut das Dateisystem auf einer anderen Partition oder einem Verzeichnis wieder auf. Damit lassen sich neben kaputten Informationen potentiell auch gelöschte Dateien wiederherstellen. Scrounge-ntfs benötigt Anfang und Ende der jeweiligen Partition. Diese Informationen gibt der Parameter -l gefolgt vom /dev/-Verzeichnis des eingehängten Datenträgers preis.
Pdf-parser
Dieses Programm ist eine Ausnahme zum Thema Datenrettung und -Wiederherstellung. Pdf-parser untersucht PDF-Dateien auf ihre Inhalte, ohne diese dabei zu rendern. Das ist etwa dann wichtig, wenn in der Datei eine potentielle Malware steckt. Typischerweise senden etwa Kriminelle solche Dokumente in Spear-Phishing-Attacken mit, getarnt als Angebot, Rechnung oder Lebenslauf. Pdf-parser macht es möglich, diese Dokumente zu untersuchen, ohne dass die Inhalte gelesen werden. Eine perfekte Beispieldatei kommt von Didier Stevens. Er hat die EICAR-Datei, eine harmlose Testdatei für Viren-Programme, in ein PDF eingebaut. In pdf-parser ist das sehr gut zu sehen, die Datei taucht gleich zu Beginn unter “EmbeddedFiles” auf. Pdf-parser ist ein praktisches Werkzeug, mit dem Admins schnell sehen können, was in einer potentiell gefährlichen Datei steckt.
Fazit
IT-Forensik ist ein faszinierendes Thema in das man schnell versinken kann. Es macht Spaß, sich durch die Eingeweide eines IT-Systems zu graben und dort nach versteckten Daten zu suchen. Gleichzeitig kann das Wissen um die richtigen Tools und Vorgehensweisen wichtige Dateien retten, etwa bei defekten Speichermedien. Die angesprochenen Tools kratzen nur an der Oberfläche dessen, wozu die Werkzeuge in Kali fähig sind. Andere Bereiche, etwa die Analyse von Speicherabbildern können weitere wertvolle Informationen enthüllen, allerdings begibt man sich damit in eine dunkelgraue rechtliche Zone.
:quality(80)/images.vogel.de/vogelonline/bdb/1374900/1374959/original.jpg "Mit Kali Linux lassen sich potentielle Lücken in Servern schnell aufspüren. (Offensive Security)")
Kali Linux Workshop, Teil 3
Schwachstellenanalyse mit Kali Linux
(ID:45221742)
:quality(80)/images.vogel.de/vogelonline/bdb/1930700/1930780/original.jpg "Hacker infiltrierten mit einer neuen Angriffstechnik Ende 2021 Regierungssysteme in Westasien. (Thaut Images - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")