Tobias Scheible Cyber Security & IT-Forensik Dozent
1st ITG Workshop on IT Security (ITSec)

Einfluss von HTTP Header auf die forensische Untersuchung

Bestimmte HTTP Header können das Caching auf dem Client beeinflussen. Dieser Umstand muss bei forensischen Untersuchungen berücksichtigt werden. Über dieses Thema habe ich auf dem „1st ITG Workshop on IT Security (ITSec)“ der Eberhard Karls Universität Tübingen einen Vortrag gehalten.

Donnerstag, 02. April 2020
0 Kommentare

Am 2. und 3. April 2020 findet die erste Ausgabe der IT-Sicherheitskonferenz „ITG Workshop on IT Security (ITSec)“ der Eberhard Karls Universität Tübingen statt. Aufgrund der aktuellen Ereignisse wird die Veranstaltung ausschließlich online stattfinden. Ich bin mit meinem Beitrag „Influence of HTTP Header Entries on the Forensic Analysis of Web Browser Artifacts” mit dabei.

Die von den Benutzern generierten Spuren (digitale Beweise) können durch die vom Webserver übermittelten Parameter beeinflusst werden. HTTP Header-Einträge weisen den Webbrowser an, bestimmte Funktionen auszuführen. Dazu gehören z.B. die Kriterien, nach denen Inhalte auf dem Client zwischengespeichert werden sollen. Sind diese Effekte den Ermittlern nicht bekannt, kann dies fälschlicherweise als Manipulation eingestuft werden. Darüber hinaus können neue Spuren durch Header-Einträge erzeugt werden, die noch nicht im Fokus der üblichen Ermittlungsverfahren stehen. In dieser Arbeit wurde mit Hilfe einer Demo-Anwendung untersucht, welche Parameter einen Einfluss auf die forensische Untersuchung von Spuren des Mozilla Firefox Webbrowsers haben.

Zusammenfassung

Die Ergebnisse dieser Arbeit haben gezeigt, dass die übertragenen Header-Einträge des Webservers in die Analyse des Clients einbezogen werden müssen, um eine korrekte Analyse der Spuren durchführen zu können. Dies ermöglicht es, während der forensischen Untersuchung zusätzliche Erkenntnisse zu gewinnen. Da die gefundenen Artefakte nicht automatisch durch die Option, dass die Chronik beim Schließen automatisch gelöscht werden soll, entfernt werden, ist dies für die forensische Analyse besonders interessant. Dies ermöglicht den Nachweis des Zugriffs auf eine Website, auch wenn die Historiendaten von einem Benutzer gezielt gelöscht wurden.

Weitere Arbeiten

Um diesen Bereich systematisch zu untersuchen, sollte eine umfassendere Demo-Anwendung erstellt werden, die alle relevanten Parameter abdeckt. Darüber hinaus sollte die Untersuchung auf Webbrowser anderer Anbieter ausgeweitet werden, um ein umfassenderes Ergebnis zu erhalten. Diese zusätzlichen Einträge könnten auch dazu verwendet werden, Inkonsistenzen in den Daten aufzudecken, um Manipulationen durch Benutzer aufzudecken. Darüber hinaus könnten weitere HTML-Funktionen und gegebenenfalls antiforensische Methoden integriert werden, um eine Testumgebung für die Analyse der Abdeckung forensischer Software zu schaffen.

Präsentation

Der Vortrag „Influence of HTTP Header Entries on the Forensic Analysis of Web Browser Artifacts“ (PDF Download) fand am 02.04.2020 im Rahmen der Konferenz „1st ITG Workshop on IT Security (ITSec)“ der Eberhard Karls Universität Tübingen statt. Das Paper wurde im Programm der Veranstaltung veröffentlicht.

1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)
1st ITG Workshop on IT Security (ITSec)

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.