Computer-Forensik: Analyse von Angriffen

Netzwerk-Analyse

Netzwerkkomponenten wie Switches, Firewalls und Router sind für die Spurensicherung ebenfalls wichtig und werden in die Analyse mit einbezogen. Diese sind vor allem dann von vorrangigem Interesse, wenn es sich um die Analyse eines noch anhaltenden Angriffs handelt. Durch Auswertung der Netzwerkprotokolle und Logfiles wird versucht, verdächtige Datenpakete zu identifizieren und deren Herkunft oder Ziel zu ermitteln. Dabei ist die Nutzlast des Datenpakets auf mögliche Manipulationen zu untersuchen. Zeitgleich lässt sich feststellen, ob der Angreifer im lokalen oder in einem externen Netzwerk zu finden ist.

Beim TCP/IP-Protokoll ist es teilweise gewollt (NAT), aber auch durch fehlende Sicherheitsmaßnahmen oder Implementierungsfehler für Angreifer möglich, die Quelle des IP-Paketes zu fälschen und damit zu verschleiern. Bei einem Backtracking verdächtiger Pakete ergibt sich dabei möglicherweise nur, dass es sich bei diesen tatsächlich um externe Ziele handelt. Deren wahre Identität ist auf Grund unzähliger zwischengeschalteter Hops nicht aufzudecken.

Eine derzeit sehr häufig angewandte Form dieser Verschleierungstaktik ist das Adress-Spoofing bei Viren- oder SPAM-E-Mails. Hierbei suchen spezielle Robot-Programme Webseiten systematisch nach E-Mail-Adressen ab und bauen diese als Absender und/oder Empfänger in die E-Mails ein. Dies sorgt dafür, dass Nachforschungsversuche oder Beschwerden (auch automatisiere Rückmeldungen von Virenschutz-Programmen) der Empänger an den vollkommen unbeteiligten E-Mail-Inhaber gehen.

Die Unsicherheit wird nach Erhalt einer solchen Rückmeldung beim E-Mail-Besitzer natürlich umso größer, wenn er sich angeblich selbst die E-Mail geschickt hat oder diese von einem Bekannten oder Geschäftspartner kommt. Der Verdacht liegt dann nahe, dass dieser tatsächlich einen aktiven Virus auf seinem System hat, der vom Benutzer unbemerkt Daten und Viren versendet.