28C3 - Version 2.3.5

28th Chaos Communication Congress
Behind Enemy Lines

Speakers
Martin Wundram
Schedule
Day Day 4 - 2011-12-30
Room Saal 2
Start time 12:45
Duration 00:30
Info
ID 4828
Event type Lecture
Track Hacking
Language used for presentation German
Feedback

Antiforensik

Einführung in das Thema Antiforensik am Beispiel eines neuen Angriffsvektors

Antiforensik ist ein noch eher neues Thema und bekommt zunehmend mehr Bedeutung. IT-Forensik als Mittel zur Aufklärung von Sachverhalten kann vor Gericht aber auch in internen Ermittlungen maßgeblich für Freisprüche oder Schuldsprüche sorgen. Daher ist es besonders schlimm, wenn die dazu verwendeten Programme nicht korrekt arbeiten und sogar mit präparierten antiforensischen Aktionen angegriffen werden können. Der Vortrag zeigt eine bisher unbekannte und dennoch technisch einfache Sicherheitslücke in mindestens einer weltweit verwendeten Forensik-Suite und wie diese ausgenutzt werden kann: Hinzufügen von Ermittlungsergebnissen, Löschen/Verändern von Ermittlungsergebnissen, Infektion des Auswertesystems mit Malware.

Antiforensik ist ein noch eher neues Thema und bekommt mehr Bedeutung in dem Maße, wie IT-Forensik an Bedeutung gewinnt. IT-Forensik als Mittel zur Aufklärung von Sachverhalten kann vor Gericht aber auch in internen Ermittlungen maßgeblich für Freisprüche oder Schuldsprüche sorgen. Die Anforderungen an die Korrektheit der verwendeten Programme und der eigenen Arbeitsweise sind daher besonders hoch. Personen, die eine IT-forensische Auswertung ihrer Computer und IT-Systeme befürchten, verwenden Maßnahmen der Antiforensik, um zukünftige Ermittlungen zu sabotieren oder wenigstens zu erschweren.

Antiforensik kann z.B. bedeuten, Spuren wie Zeitstempel zu vernichten, damit eine spätere Auswertung nicht mehr möglich ist. Besonders schwerwiegend sind Aktionen, wenn sie die Auswertesysteme eines IT-Forensikers so angreifen, dass unbemerkt Ermittlungsergebnisse manipuliert werden. Der Vortrag soll eine Sicherheitslücke in einer weltweit verwendeten Forensik-Suite zeigen und diese ausnutzen, um nachträglich Informationen in forensische Berichte einzufügen, Informationen zu entfernen und den Auswerte-PC unbemerkt mit Malware zu infizieren. Der dazu nötige Angriff ist technisch sogar sehr einfach. Zwei Forensik-Suites aus dem US-Markt müssen noch auf Lücken untersucht werden.

Der Vortrag soll die neu gefundene Lücke in den beiden Programmen vorstellen und ausnutzen und vorab kurz in das Thema Antiforensik einführen, inkl. kurzer Vorstellung des aktuellen Stand der Technik. Falls auch die US-Programme anfällig sind, sollen die entsprechenden Funde vorgestellt werden.