Am 2. und 3. April 2020 findet die erste Ausgabe der IT-Sicherheitskonferenz „ITG Workshop on IT Security (ITSec)“ der Eberhard Karls Universität Tübingen statt. Aufgrund der aktuellen Ereignisse wird die Veranstaltung ausschließlich online stattfinden. Ich bin mit meinem Beitrag „Influence of HTTP Header Entries on the Forensic Analysis of Web Browser Artifacts” mit dabei.
Die von den Benutzern generierten Spuren (digitale Beweise) können durch die vom Webserver übermittelten Parameter beeinflusst werden. HTTP Header-Einträge weisen den Webbrowser an, bestimmte Funktionen auszuführen. Dazu gehören z.B. die Kriterien, nach denen Inhalte auf dem Client zwischengespeichert werden sollen. Sind diese Effekte den Ermittlern nicht bekannt, kann dies fälschlicherweise als Manipulation eingestuft werden. Darüber hinaus können neue Spuren durch Header-Einträge erzeugt werden, die noch nicht im Fokus der üblichen Ermittlungsverfahren stehen. In dieser Arbeit wurde mit Hilfe einer Demo-Anwendung untersucht, welche Parameter einen Einfluss auf die forensische Untersuchung von Spuren des Mozilla Firefox Webbrowsers haben.
Die Ergebnisse dieser Arbeit haben gezeigt, dass die übertragenen Header-Einträge des Webservers in die Analyse des Clients einbezogen werden müssen, um eine korrekte Analyse der Spuren durchführen zu können. Dies ermöglicht es, während der forensischen Untersuchung zusätzliche Erkenntnisse zu gewinnen. Da die gefundenen Artefakte nicht automatisch durch die Option, dass die Chronik beim Schließen automatisch gelöscht werden soll, entfernt werden, ist dies für die forensische Analyse besonders interessant. Dies ermöglicht den Nachweis des Zugriffs auf eine Website, auch wenn die Historiendaten von einem Benutzer gezielt gelöscht wurden.
Um diesen Bereich systematisch zu untersuchen, sollte eine umfassendere Demo-Anwendung erstellt werden, die alle relevanten Parameter abdeckt. Darüber hinaus sollte die Untersuchung auf Webbrowser anderer Anbieter ausgeweitet werden, um ein umfassenderes Ergebnis zu erhalten. Diese zusätzlichen Einträge könnten auch dazu verwendet werden, Inkonsistenzen in den Daten aufzudecken, um Manipulationen durch Benutzer aufzudecken. Darüber hinaus könnten weitere HTML-Funktionen und gegebenenfalls antiforensische Methoden integriert werden, um eine Testumgebung für die Analyse der Abdeckung forensischer Software zu schaffen.
Der Vortrag „Influence of HTTP Header Entries on the Forensic Analysis of Web Browser Artifacts“ (PDF Download) fand am 02.04.2020 im Rahmen der Konferenz „1st ITG Workshop on IT Security (ITSec)“ der Eberhard Karls Universität Tübingen statt. Das Paper wurde im Programm der Veranstaltung veröffentlicht.