Die Vollstrecker
Kaufen / bestellen
Keylogger
Glossar
-
Keylogger
 |
|
Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten. Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im “Fall der Fälle” als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah: - wo man nach Beweisspuren suchen sollte Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland. Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen. Ergänzende Informationen zu den beschriebenen Tools und Methoden bietet die Website zum Buch www.computer-forensik.org. Zielgruppe:
Inhaltsverzeichnis der neuen Auflage Einleitung Wer sollte dieses Buch lesen? Was lernt man in diesem Buch? Was lernt man in diesem Buch nicht? Wie liest man dieses Buch? Was ist neu in der 2. Auflage? 1 Bedrohungssituation 1.1 Bedrohung und Wahrscheinlichkeit 1.2 Risikoverteilung 1.3 Motivation der Täter 1.4 Innentäter vs. Außentäter 1.5 Bestätigung durch die Statistik? 1.6 Computerkriminalität 2 Ablauf von Angriffen 2.1 Typischer Angriffsverlauf 2.1.1 Footprinting 2.1.2 Port- und Protokollscan 2.1.3 Enumeration 2.1.4 Exploiting/Penetration 2.1.5 Hintertüren einrichten 2.1.6 Spuren verwischen 2.2 Beispiel eines Angriffs 3 Incident Response als Grundlage der Computer-Forensik 3.1 Der Incident-Response-Prozess 3.2 Organisatorische Vorbereitungen 3.3 Zusammensetzung des Response-Teams 3.4 Incident Detection: Systemanomalien entdecken 3.4.1 Netzseitige Hinweise 3.4.2 Serverseitige Hinweise 3.4.3 Intrusion-Detection-Systeme 3.4.4 Externe Hinweise 3.5 Incident Detection: Ein Vorfall wird gemeldet 3.6 Sicherheitsvorfall oder Betriebsstörung? 3.7 Wahl der Response-Strategie 3.8 Reporting und Manöverkritik 4 Einführung in die Computer-Forensik 4.1 Ziele einer Ermittlung 4.2 Phasen der Ermittlung 4.3 Welche Erkenntnisse kann man gewinnen? 4.4 Wie geht man korrekt mit Beweismitteln um? 4.4.1 Juristische Bewertung der Beweissituation 4.4.2 Datenschutz 4.4.3 Welche Daten können erfasst werden? 4.4.4 Durchgeführte Aktionen dokumentieren 4.4.5 Beweise dokumentieren 4.4.6 Mögliche Fehler bei der Beweissammlung 4.5 Flüchtige Daten sichern: Sofort speichern 4.6 Speichermedien sichern: forensische Duplikation 4.6.1 Wann ist eine forensische Duplikation sinnvoll? 4.6.2 Geeignete Verfahren 4.7 Untersuchungsergebnisse zusammenführen 4.8 Häufige Fehler 5 Einführung in die Post-mortem-Analyse 5.1 Analyse des File Slack 5.2 MAC-Time-Analysen 5.3 NTFS-Streams 5.4 Auslagerungsdateien 5.5 Versteckte Dateien 5.6 Dateien oder Fragmente wiederherstellen 5.7 Unbekannte Binärdateien analysieren 5.8 Systemprotokolle 6 Forensik- und Incident-Response-Toolkits im Überblick 6.1 Sichere Untersuchungsumgebung 6.2 F.I.R.E 6.3 Knoppix Security Tools Distribution 6.4 Helix 6.5 EnCase 6.6 dd 6.7 Forensic Acquisition Utilities 6.8 AccessData Forensic Toolkit 6.9 The Coroner’s Toolkit und TCTUtils 6.10 The Sleuth Kit 6.11 Autopsy Forensic Browser 6.12 Eigene Toolkits für Unix und Windows erstellen 6.12.1 F.R.E.D 6.12.2 Incident Response Collection Report (IRCR) 6.12.3 Windows Forensic Toolchest (WFT) 7 Forensische Analyse im Detail 7.1 Forensische Analyse unter Unix 7.1.1 Die flüchtigen Daten speichern 7.1.2 Forensische Duplikation 7.1.3 Manuelle P.m.-Analyse der Images 7.1.4 P.m.-Analyse der Images mit Autopsy 7.1.5 P.m.-Analyse der Images mit F.I.R.E 7.1.6 Dateiwiederherstellung mit unrm und lazarus 7.1.7 Weitere hilfreiche Tools 7.2 Forensische Analyse unter Windows 7.2.1 Die flüchtigen Daten speichern 7.2.2 Forensische Duplikation 7.2.3 Manuelle P.m.-Analyse der Images 7.2.4 P.m.-Analyse der Images mit dem AccessData FTK 7.2.5 P.m.-Analyse der Images mit EnCase 7.2.6 P.m.-Analyse der Images mit X-Ways Forensics 7.2.7 Weitere hilfreiche Tools 7.3 Forensische Analyse von PDAs 7.4 Forensische Analyse von Routern 8 Empfehlungen für den Schadensfall 8.1 Logbuch 8.2 Den Einbruch erkennen 8.3 Tätigkeiten nach festgestelltem Einbruch 8.4 Nächste Schritte 9 Backtracing 9.1 IP-Adressen überprüfen 9.1.1 Ursprüngliche Quelle 9.1.2 IP-Adressen, die nicht weiterhelfen 9.1.3 Private Adressen 9.1.4 Weitere IANA-Adressen 9.1.5 Augenscheinlich falsche Adressen 9.2 Spoof Detection 9.2.1 Traceroute Hopcount 9.3 Routen validieren 9.4 Nslookup 9.5 Whois 9.6 E-Mail-Header 10 Einbeziehung der Behörden 10.1 Organisatorische Vorarbeit 10.2 Strafrechtliches Vorgehen 10.2.1 Inanspruchnahme des Verursachers 10.2.2 Möglichkeiten der Anzeigeerstattung 10.2.3 Einflussmöglichkeiten auf das Strafverfahren 10.3 Zivilrechtliches Vorgehen 10.4 Darstellung in der Öffentlichkeit 10.5 Die Beweissituation bei der privaten Ermittlung 10.6 Fazit Anhang Tool-Überblick Literaturempfehlungen Stichwortverzeichnis Produktbeschreibungen Aus der Amazon.de-Redaktion Computer-Forensik ist das Bindeglied zwischen der Incident Response, der Bewältigung der Folgen und Schäden eines Vorfalls oder Angriffs, und einer erfolgreichen Strafverfolgung/eines Schadensersatzes: wie waren/sind die technischen Vorgänge, welche Form von Straftat liegt vor, warum konnte es passieren -- Aufklärung, Feststellung und zukünftige Prävention. Mit Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären definiert und fokussiert Geschonneck die Ziele und die Arbeit eines IT-Forensikers verständlich mit Hintergrund, Praxisanwendung und Beispielen. Laut Geschonneck lautet das Mantra eines Forensikers: "Planen -- Beweise sichern -- Beweise schützen -- Untersuchen -- Bewerten -- Dokumentieren." Wichtig ist dabei ein ganzheitliches Sicherheitsverständnis schon in der Planung, denn während etwa die Incident Response eine möglichst schnelle Wiederherstellung arbeitsfähiger Systeme anstrebt, benötigt die Forensik Zeit, Spuren zu sichern. Das Feld der IT-Sicherheit ist weit und man kann sich ihm aus der Perspektive eines technischen und sozialen Hintergrunds, wie etwa Bruce Schneier in seinem Klassiker Secrets & Lies IT-Sicherheit in einer vernetzten Welt oder speziell auf der technisch, konkreten Ebene wie etwa Jörg Fritsch und Steffen Gundel mit Firewalls im Unternehmenseinsatz Grundlagen, Betrieb und Produkte annähern. Geschonneck wendet sich an Administratoren, Sicherheits- und Systemverantwortliche bis hin zu Strafverfolgern und Ermittlern -- dass betrifft sowohl Unternehmen, aber auch Privatpersonen, die mit der Problematik von Systemeinbrüchen oder Datenspionage/- klau konfrontiert werden. Als Grundlage sollte der Leser über gute Kenntnisse zu Firewalls, Intrusion-Detection-Systeme und Verschlüsselung verfügen. Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären ist das deutsche Standardwerk mit der deutsche Sicht der Gesetzgebung und Rahmenbedingungen zum Wer, Was, Wo, Wann, Womit, Wie und Weshalb. Fundierte Übersicht über mögliche Techniken, Täter und Vorgehensweisen. Theorie, Praxis, Beispiele und Einsicht. Unverzichtbar für den deutschsprachigen Ersteinstieg ins Thema! --Wolfgang Treß IT-Administrator - Ausgabe Dezember 2004 "Alexander Geschonnek, ..., liefert in seinem Buch "Computer-Forensik" einen praktisch nutzbaren Leitfaden, was bei Systemeinbrüchen zu tun ist. ... Selbst wenn man nicht vorhat, auf Kriminellenjagd zu gehen, liefert das Buch interessante Einblicke in das Gebiet der Computerforensik. Der praktische Teil liefert genug Informationen, um als Anreiz für die Vertiefung zu dienen." -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels. wirtschaftsinformatik.de, 09.12.2005 "Das Buch ist leicht lesbar, enthält die entsprechende Information in ausreichender Tiefe und führt sachgerecht in die Problematik ein. ... Insgesamt ein nicht wegzudenkendes Werk zur verantwortungsvollen Netzwerkadministration und einem eben solchen Sicherheitsmanagement." -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels. Kurzbeschreibung Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten. Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im "Fall der Fälle" als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah: - wo man nach Beweisspuren suchen sollte - wie man sie erkennen kann - wie sie zu bewerten sind - wie sie gerichtsverwertbar gesichert werden sollten Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland. Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen. Klappentext Fast jede Organisation wurde bereits mit den Folgen eines Systemeinbruchs konfrontiert, und auch Privatpersonen, die ihren PC mit dem Internet verbinden, können jederzeit Opfer eines Angriffs werden. Die wenigsten sind aber darauf vorbereitet. Will man Sicherheitsprobleme lösen oder ermitteln, ob noch andere Systeme der eigenen Umgebung Ziel eines Angriffs geworden sind, ist es sinnvoll, forensische Untersuchungen durchzuführen. Der Begriff Computer-Forensik oder auch Digitale Forensik hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik (forensisch: gerichtlich oder auch kriminaltechnisch) ist die Digitale Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Hierbei geht es u.a. darum herauszufinden, wie erfolgreich ein Angreifer wirklich war, welchen Weg er genommen hat und welche Systemlücken zu diesem Einbruch bzw. der Straftat geführt haben könnten. Dieses Buch soll nicht nur dem technisch versierten Administrator einen ersten Überblick geben, welche Maßnahmen sinnvoll sind und welche Werkzeuge und Methoden zur Verfügung stehen. Der Leser wird einiges über die Grundlagen und Hintergründe bei der Erkennung und Analyse von Systemeinbrüchen lernen. Weiterhin erfährt man in diesem Buch Wissenswertes über die Zusammenarbeit mit den Ermittlungsbehörden. Dieses Buch zeigt, - wo man nach Beweisspuren suchen sollte, - wie man sie erkennen kann, - wie sie zu bewerten sind und - wie sie gerichtsverwertbar gesichert werden sollten. Ein gesondertes Kapitel befasst sich praxisnah mit der Stellung des privaten Ermittlers im Verlauf der Ermittlung eines Systemeinbruchs und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung der Tatverdächtigen durch die geschädigte Organisation. -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels. Über den Autor Alexander Geschonneck ist leitender Sicherheitsberater bei der HiSolutions AG in Berlin. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Autor zahlreicher Publikationen zur Informationssicherheit und Computer-Forensik. Seine Arbeitsgebiete sind u.a. Beratung im Umfeld der Informationssicherheit, Aufbau und Coaching von IT-Sicherheitsmanagementteams, Risiko- und Sicherheitsanalysen, Notfallplanung, Penetrationstests sowie Sicherheitsvorfallsbehandlung. Über das Produkt Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten. Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwirtung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im 'Fall der Fälle' als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge zur Verfügung stehen und wie man sie effizient einsetzt. |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||