{"id":3179,"date":"2020-02-06T10:31:41","date_gmt":"2020-02-06T08:31:41","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3179"},"modified":"2020-02-21T13:57:49","modified_gmt":"2020-02-21T11:57:49","slug":"digitale-forensik-vorlesung-im-wirtschaftsinformatik-studiengang","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/it-forensik\/digitale-forensik-vorlesung-im-wirtschaftsinformatik-studiengang\/","title":{"rendered":"„Digitale Forensik“-Vorlesung im Wirtschaftsinformatik-Studiengang"},"content":{"rendered":"\n

Der vor Kurzem durchgef\u00fchrte Hackerangriff auf die Uni Gie\u00dfen hat vielen Menschen vor Augen gef\u00fchrt, dass die Bedrohung durch Angreifer aus dem Internet stetig zunimmt. Um aus solchen Sicherheitsvorf\u00e4llen lernen zu k\u00f6nnen, ben\u00f6tigt es IT-Forensiker, die den 7 W-Fragen der Kriminalistik nachgehen: Wer (T\u00e4ter), was (Straftat), wann (Tatzeitpunkt), wo (Tatort), wie (Tathergang) womit (Werkzeuge) und warum (Motiv). So versuchen sie \u00fcber die vom Angreifer hinterlassenen digitalen Spuren den Sicherheitsvorfall zu rekonstruieren und den T\u00e4ter – im Idealfall – zu \u00fcberf\u00fchren.<\/em><\/p>\n\n\n\n

\n\n\n\n

\u00dcber Hochschulkontakte bot sich mir im Wintersemester 19\/20 die Gelegenheit das Modul „Digitale Forensik“ im Masterstudiengang der Wirtschaftsinformatik an der Technischen Hochschule Mittelhessen (THM) anzubieten. Mit der Sichtweise eines Angreifers auf IT-Systeme, besch\u00e4ftigte es mich als Pentester ohnehin, welche Spuren bei einem Angriff hinterlassen werden und wie diese verschleiert werden k\u00f6nnen. Dahingehend standen f\u00fcr mich folgende Themen auf der Agenda:<\/p>\n\n\n\n

  1. Hacking<\/li>
  2. Antiforensik<\/li>
  3. Gutachtenerstellung<\/li>
  4. Live Forensik<\/li>
  5. Datentr\u00e4geranalyse<\/li>
  6. Anwendungsforensik<\/li>
  7. Erstellung von Schadsoftware<\/li>
  8. Malwareanaylse<\/li>
  9. Reverse Engineering<\/li><\/ol>\n\n\n\n

    Getreu dem Zitat von Sunzi – „Du musst deinen Feind kennen, um ihn besiegen zu k\u00f6nnen“ -, wechselte ich je nach Vorlesungseinheit die Perspektive zwischen den beiden Kontrahenten und lie\u00df die besprochenen Inhalte im nachstehenden Szenario von den Studierenden anwenden:<\/p>\n\n\n\n

    Die Dubius Payment Ltd. ist ein vor Kurzem gegr\u00fcndeter Zahlungsdienstleister, welches Kreditkarteninformationen in seinen Systemen speichert, verarbeitet und weiterleitet. Seit dem 14. November 2019 gegen 16:45 Uhr (Donnerstag) verzeichnet das Produktionssystem Ausf\u00e4lle und ihr Intrusion Detection System meldet in regelm\u00e4\u00dfigen Abst\u00e4nden einen ungew\u00f6hnlich hohen Netzwerkverkehr \u00fcber ihr Payment Gateway. Aus Angst vor einem Hackerangriff haben sie den Studierenden als IT-Forensiker beauftragt, den Fall zu analysieren.<\/p><\/blockquote>\n\n\n\n

    In ihrer praktischen Arbeit stellten die Studierenden \u00fcber das Sammeln und der Analyse von digitalen Spuren auf dem Livesystem fest, dass ein Mitarbeiter des Unternehmens in regelm\u00e4\u00dfigen Zeitabst\u00e4nden Kreditkartendaten aus der Datenbank abzieht. Wie in der Realit\u00e4t \u00fcblich, blieb es nicht bei dieser Schlussfolgerung, sondern die Studierenden mussten nun \u00fcber eine anschlie\u00dfende Datentr\u00e4geranalyse des Arbeitscomputers vom Tatverd\u00e4chtigen die Zweifelsfrage kl\u00e4ren, ob der Nutzer das Opfer eines Hackerangriffs geworden ist oder tats\u00e4chlich die Schuld am Datendiebstahl tr\u00e4gt. Ihre Ergebnisse hielten sie in Form eines Gutachtens fest.<\/p>\n\n\n\n

    Nat\u00fcrlich lief im ersten Durchlauf nicht alles reibungslos. So hatte ich beispielsweise mit dem Aufbau meines geplanten Labors zu k\u00e4mpfen: Damit die Studierenden lernen ihr eigenes Toolkit auf einem kompromittierten System zu verwenden, sollte das Linuxprogramm „\/usr\/bin\/ls“ mit folgendem „Schadcode“ auf dem Livesystem ersetzt werden:<\/p>\n\n\n\n

    #include <iostream><\/code><\/p>\n\n\n\n

    #include <cstdlib><\/code><\/p>\n\n\n\n

    using namespace std;<\/code><\/p>\n\n\n\n

    int main() {<\/code><\/p>\n\n\n\n

    cout << \"I've got ya! ;)\" << endl;<\/code><\/p>\n\n\n\n

    system(\"sleep 1\");<\/code><\/p>\n\n\n\n

    system(\"sudo reboot\");<\/code><\/p>\n\n\n\n

    return 0;<\/code><\/p>\n\n\n\n

    }<\/code><\/p>\n\n\n\n

    Da \u201cls\u201d jedoch auch von Init-Skripten aufgerufen wird, f\u00fchrte die Schadsoftware im Falle eines Neustarts zu einer Endlosschleife. Die Verwendung eines Aliases in Linux lieferte hier Abhilfe. Umso erfreulicher ist die positive Resonanz der Studierenden, welche sich in den Anmerkungen der Lehrveranstaltungsevaluation abzeichnet (s. Evaluationsergebnis<\/a>). <\/p>\n\n\n\n

    \u201cEs ist das spannendste Modul im gesamten Wirtschaftinformatik Studium, es fesselt und macht viel Spa\u00df anzuwenden\/zu lernen“<\/p>Student\/in<\/cite><\/blockquote>\n\n\n\n

    So hat beispielsweise der vorige Kommentar mit dazu beigetragen, dass ich mir als Ziel genommen habe, einen neuen Online-Kurs f\u00fcr die binsec academy zu entwerfen: Das \u201cDigital Forensics Training\u201d, welches zuk\u00fcnftig Teilnehmer als Binsec Academy Certified Digital Forensic Professional (BACDFP) zertifizieren soll.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Der vor Kurzem durchgef\u00fchrte Hackerangriff auf die Uni Gie\u00dfen hat vielen Menschen vor Augen gef\u00fchrt, dass die Bedrohung durch Angreifer aus dem Internet stetig zunimmt. Um aus solchen Sicherheitsvorf\u00e4llen lernen zu k\u00f6nnen, ben\u00f6tigt es IT-Forensiker, die den 7 W-Fragen der Kriminalistik nachgehen: Wer (T\u00e4ter), was (Straftat), wann (Tatzeitpunkt), wo (Tatort), wie (Tathergang) womit (Werkzeuge) und … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[230],"tags":[232],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-dsauer","4":"post-3179","6":"format-standard","7":"category-it-forensik","8":"post_tag-bacdfp"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3179"}],"version-history":[{"count":10,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3179\/revisions"}],"predecessor-version":[{"id":3212,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3179\/revisions\/3212"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}