Antiforensics

Definition und Begriff

Aus Wikipedia einarbeiten: https://en.wikipedia.org/wiki/Anti-computer_forensics

Rogers verwendet einen eher traditionellen “Tatort”-Ansatz, wenn er Anti-Forensik definiert. “Versuche, das Vorhandensein, die Menge und/oder die Qualität von Beweisen an einem Tatort negativ zu beeinflussen oder die Analyse und Untersuchung von Beweisen zu erschweren oder unmöglich zu machen”[1] Eine der ersten ausführlichen Darstellungen von Anti-Forensik im Phrack Magazine aus dem Jahr 2002 definiert Anti-Forensik als “das Entfernen oder Verstecken von Beweisen in dem Versuch, die Wirksamkeit einer forensischen Untersuchung zu verringern”[2].

¹Thaddeus T. Grugq schon in quellen eingebaut in Phrack http://www.phrack.org/issues/59/6.html#article;

Eine verkürzte Definition gibt Scott Berinato in seinem Artikel mit dem Titel The Rise of Anti-Forensics. “Anti-Forensik ist mehr als eine Technologie. Es ist eine Herangehensweise an kriminelles Hacken, die sich wie folgt zusammenfassen lässt: Mach es ihnen schwer, dich zu finden, und unmöglich, zu beweisen, dass sie dich gefunden haben.”[3] Keiner der beiden Autoren geht darauf ein, dass die Verwendung von Anti-Forensik-Methoden den Schutz der eigenen persönlichen Daten gewährleistet.

einbauen C:\Users\game\l8-game\FS22\WIPRO\Literatur\antiforensics-rogers\AntiForensicsConsensus_DFRWS2006.pdf

Definition von Antiforensik

Hier wird ein sehr weiter Ansatz verwendet, der sich an den Begriff OPSEC anlehnt, wie er in der Hackerszene²Der Begriff Hacker resp. Hackerszene wird wertungsfrei verwendet. Hacking ist nicht per se strafbar oder kriminell. verwendet wird:

Antiforenisk ist jegliche Massnahme, die dazu dient, die eigene Identität und Vorgehensweise zu verschleiern.³Unter Massnahme fallen bereits gewöhnliche resp. alltägliche Verhaltensweisen, die zum Profilen dienen können. Vgl. Grugq, Kap. 2; Vgl.Heinson, S. 68 ff.

Categories ⁴rogers 2005 lockheed

– Data hiding
– Artifact wiping
– Trail obfuscation
– Attacks against the CF process/tools **

Einbauen:

Hassan Kapitel 9
https://hal.inria.fr/hal-01988844/document habe ich in vollversion
https://www.blackhat.com/presentations/bh-usa-09/BLUNDEN/BHUSA09-Blunden-AntiForensics-PAPER.pdf
https://en.wikipedia.org/wiki/Anti-computer_forensics#cite_note-phrack-2
mitre defense evasion

https://en.wikipedia.org/wiki/Anti-computer_forensics

Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen

Synonym benutzte Begriffe: Operations Security (OPSEC⁵In einem breiten Sinne und im Kontext der Hackerszene verstanden. Im Unterschied zu einer reinen Betrachtung aus Sicht der IT-Sicherheit ist unter OPSEC im Kontext der Hackerszene eine … Continue reading)

Overview: Antiforensics

Quick Links

Wikipedia “Antiforensics”

Techniken von Antiforensics

Der Akteur löscht Logdateien und Hacker-Tools , bevor sie sich vom System abmeldet ⁶Bayuk Jennifer, CyberForensics, S. 10..

AUS MOBIL DEVICES KOPIERT:

Folgende Prinzipien sollten eingehalten werden:

Die forensischen Grundsätze gelten bei Log Files uneiengeschränkt;
Mobile Geräte müssen grundsätzlich vor einer forensischen Untersuchung isoliert werden (Abschirmung, um Kommunikation über Mobilfunk, WLAN, Bluetooth etc. zu erreichen). Das kann durch Abschalten erfolgen, wobei dann nur noch eine Offline Untersuchung möglich ist. Je nach Täterschaft ist Vorsicht geboten, da diese Isolationssition als Trigger zur Selbstzerstörung genutzt werden kann, wenn das Geräte im Rahmen einer online Untersuchung längere Zeit nicht kommunizieren kann. Genauso kann ein solcher Mechanismus beim Herunterfahren des Geräts ausgelöst werden. Abhilfe kann unter umständen das Durchtrennen der Stromversorgung sein. ⁷Siehe zu dieser Problematik auch die Domain Antiforensics.

Selbst entwickelt, am besten noch mit BSK anreichern und klären:

Bei forensischen Ermittlungen ist Verschwiegenheit und besonnenes Vorgehen wichtig. Insbesondere bei unternehmensinternen Ermittlungen muss der Kreis der eingeweihten Personen klein gehalten werden. Im Idealfall kommt ein vollständig externes Team zum Einsatz, das nur mit einer Entscheidungsbefugten Person kommuniziert. Es kann vorkommen, dass das Untersuchungsteam feststellt, dass diese Person selbst involviert ist, worauf die nächsthöhere verantwortliche Person beizuziehen ist (Eskalation bspw. an die Geschäftsführung (CEO) oder an das Verwaltungsratspräsidium). Die Ermittlungsteams sind im Rahmen Ihrer vertraglichen Verpflichtungen nicht einzelnen Organen verpflichtet, sondern der Unternehmung als jurisitische Person selbst.

Data Sources

Nachbauen aus grundzüge

Gewisse Prinzipien der digital-forensischen Beweissicherung haben sich mittlerweile als Stand der Wissenschaft etabliert:

tuccillo fordin: –> angelehnt an RFC

Die Spielregeln – Grundsätze der digitalen Forensik
1. Rechtmässigkeit bei Erhebung der Spur einhalten
2. Verhältnismässigkeit der Massnahmen wahren
3. Authentizität der Spur gewährleisten
4. Integrität der Spurenlage bewahren
5. Vier-Augen-Prinzip anwenden (kritische Phasen)
6. Nachvollziehbarkeit des Vorgehens sicherstellen
7. Bedeutung der Befunde belegen und begründen
– Was bedeutet der Grundsatz?
– Welcher Zweck wird mit dem Grundsatz verfolgt?
– Wer trägt die Verantwortung für dessen Einhaltung?
– Wie wird die Einhaltung sichergestellt?

Digital forensic investigations (DFIs), tätigkeit nach oder manchmal auch während eines Vorgangs⁸Rowlings

aus tuccillo fordin ’01/48

Klassische IT-Forensik: (Lange) nach dem Ereignis
– Nach dem Einleiten einer Untersuchung
– Sicherstellung von Spuren gemäss Grundsätzen

Incident Response: Kurz nach Feststellung oder noch während Ereignis
– Sicherstellung von Spuren gemäss Grundsätzen
– Vermeidung weiterer Schäden

Forensic Readiness: Vor Ereignis
– Präventiv, auf Vorrat, ohne konkreten Auslöser
– Aufzeichnung potentiell relevanter Spuren gemäss Grundsätzen
– Auswertung im Bedarfsfall gemäss Grundsätzen

143bis blog post hier einarbeiten

https://dblp.org/db/journals/ijde/ijde2.html

Chain of Custody, Beweissicherung, Verwertbarkeit anschneiden

Referenzen[+]

Referenzen
↑1	Thaddeus T. Grugq schon in quellen eingebaut in Phrack http://www.phrack.org/issues/59/6.html#article;
↑2	Der Begriff Hacker resp. Hackerszene wird wertungsfrei verwendet. Hacking ist nicht per se strafbar oder kriminell.
↑3	Unter Massnahme fallen bereits gewöhnliche resp. alltägliche Verhaltensweisen, die zum Profilen dienen können. Vgl. Grugq, Kap. 2; Vgl.Heinson, S. 68 ff.
↑4	rogers 2005 lockheed
↑5	In einem breiten Sinne und im Kontext der Hackerszene verstanden. Im Unterschied zu einer reinen Betrachtung aus Sicht der IT-Sicherheit ist unter OPSEC im Kontext der Hackerszene eine Verhaltensweise gemeint, die das eigene Profil resp. den eigenen Fussabdruck im Rahmen von Angriffen möglichst klein hält, um die Identifikation und Rückverfolgung zu vermeiden. Siehe auch OPSEC bei Wikipedia
↑6	Bayuk Jennifer, CyberForensics, S. 10.
↑7	Siehe zu dieser Problematik auch die Domain Antiforensics.
↑8	Rowlings

Weitere Materialien

https://it-forensik.fiw.hs-wismar.de/index.php/Anti-Forensik
Thaddeus T. Grugq, The art of defiling, in: Blackhat Briefings, Black Hat Asia 2005 (Link) (Mirror)