Damit Vorfälle im Cyber-Raum wirksam verfolgt werden können, müssen Spuren auf digitalen Geräten gesichert und forensisch analysiert werden. Im Rahmen des Workshops wechselten die Teilnehmer in die Rolle des Angreifers und attackierten ein System, um anschließend in die Rolle des IT-Forensik Ermittlers zu schlüpfen, um die entstandenen Spuren aufzuspüren und zu bewerten. Dazu wurde mit zwei virtualisierten Systemen gearbeitet: ein Opfer-System (Metasploitable3) und ein Angriffs-System (Kali Linux).

Für den Workshop erweiterte ich die beiden virtuellen Maschinen. Auf dem Kali Linux System optimierte ich den unkomplizierten Umgang für ein schnellen Start. Zusätzlich installierte ich noch weitere Tools, die für die forensische Analyse eingesetzt wurden. Das Metasploitable3 System erweiterte ich um eine webbasierte Heizungssteuerung, um das Themengebiet IoT abzudecken. Zusätzlich habe ich noch weiter Dateien mit verschiedenen Spuren vorbereitet, die von den Teilnehmern gefunden und analysiert wurden.

Workshop Handout – IT-Forensik

Damit die Teilnehmer im Anschluss die Themen der IT-Forensik nachvollziehen können, habe ich ein ausführliches Handout erstellt. Im ersten Kapitel werden einige grundlegende Begriffe sowie beispielhaft Vorgehensweisen der IT-Forensik beschrieben. Darüber hinaus werden die verschiedenen Disziplinen der digitalen Forensik erläutert. Im zweiten Kapitel werden das virtuelle Labor und die darin verwendeten Systeme vorgestellt. Bei den Systemen handelt es sich um modifizierte Varianten. Für jedes System gibt es eine kleine Einführung. Im dritten Kapitel wird ein realitätsnahes Angriffsszenario vorgestellt. Hier wird durchgespielt, mit welcher Methode ein Angreifer eine Attacke durchführen könnte, um in ein Netzwerk einzudringen. Im vierten Kapitel wird die Durchführung des ersten Schrittes eines Angriffes dargestellt: das Sammeln von Informationen. Dabei versuchen Angreifer durch Scans möglichst viele Informationen über das Netzwerk bzw. die Systeme zu sammeln. Im fünften Kapitel wird gezeigt, wie verschiedene Dienste, wie der Web- oder FTP-Server, attackiert werden. Im Anschluss werden die entstandenen Einträge in den Logdateien analysiert und so der Angriff und die Sicherheitslücken nachvollzogen. Anschließend werden die Daten aus der Informationsbeschaffung verwendet, um einen Remote-Zugriff (also dem Zugriff aus der Ferne auf einen anderen Rechner) zu erreichen. Im letzten Kapitel werden als Exkurse die einzelnen Schritte beschrieben, um alle Flags des Metasploitable3 Linux-System zu finden.

Nach dem Workshop haben die Teilnehmer somit ein tiefgreifendes Wissen über die häufigsten Schwachstellen in Betriebssystemen auf der Basis von Linux. Darüber hinaus wissen sie, wie derartige Schwachstellen gefunden werden und wie diese von Cyber-Kriminellen ausgenutzt werden können. Zudem haben die Teilnehmer gelernt welche Spuren dabei entstehen und wie diese forensisch ausgewertet werden können um einen Täter zu identifizieren.

Das Seminar „IT-Forensik – Cyber Security Workshop“ fand am 10.10.2020 von 9:30 -bis 17:30 Uhr im Rahmen des Programms des VDI Zollern-Baar an der Hochschule Albstadt-Sigmaringen statt. Wie versprochen gib es hier die Präsentation zur Einführung in die IT-Forensik: