10:00 | |
Begrüßung, Moderation
|
|
Claudia Prediger
CAST e.V.
Harald Baier
Hochschule Darmstadt
Andreas Dewald
ERNW Research GmbH
|
|
10:10 | |
Konstantin Bayreuther
Polizeipräsidium Südhessen
|
IoT aus Sicht der Strafverfolgung
IoT (Internet of Things) Geräte sind aus der aktuellen Zeit nicht wegzudenken. Nach der erfolgreichen Etablierung in das private Lebensumfeld (SmartWatches, Fitnesstracker oder intelligente Lautsprecher), nehmen sie Einzug in immer mehr Bereiche des öffentlichen Lebens und der Wirtschaft (z. B. SmartCities oder Industrie 4.0). Strafverfolgungsbehörden stellen smarte Geräte und die damit einhergehende Vernetzung diversester Geräte, Schnittstellen und Netzwerke vor neue Herausforderungen. Auf der einen Seite stehen Aspekte der Sicherheit von IoT-Geräten. Dieser Bereich wird bereits durch breitgefächerte wissenschaftliche Forschung abgedeckt und betrifft aus Strafverfolgungssicht Delikte des Cybercrime. Auf der anderen Seite können Informationen aus smarten Geräten zur „Aufklärung“ von Straftaten dienen. Digital-forensische Untersuchungen von IoT-Geräten selbst, sowie der dazugehörigen vernetzten Informationsquellen, stehen noch am Anfang. Politisch wird die Rolle von IoT-Geräten u. a. mit der aktuellen Diskussion auf der IMK gewürdigt.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
10:50 | Kaffeepause |
11:20 | |
Frank Block
ERNW Research GmbH
|
Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries
Malware utilizes code injection techniques to either manipulate other processes (e.g. done by banking trojans) or hide its existence. With some exceptions, such as ROP gadgets, the injected code needs to be executable by the CPU (at least at some point in time). In this work, we cover and evaluate hiding techniques that prevent executable pages (containing injected code) from being reported by current detection tools. These techniques can either be implemented by malware in order to hide its injected code (as already observed) or can, in one case, unintentionally be taken care of by the operating system through its paging mechanism. In a second step, we present an approach to reveal such pages despite the mentioned hiding techniques by examining Page Table Entries. We implement our approach in a plugin for the memory forensic framework Rekall, which automatically reports any memory region containing executable pages, and evaluate it against own implementations of different hiding techniques, as well as against real-world malware samples.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
12:00 | |
Werner Haas
Cyberus Technology GmbH
|
Schreckgespenster und Zombies - Mythos oder reale Gefahr in der virtuellen Welt?
Mit Meltdown und Spectre wurde zum Jahreswechsel 2017/18 eine neue Kategorie von Angriffen auf Computersysteme publik und alle paar Monate werden neue Varianten bekannt. Auf der anderen Seite spielen diese neuen Sicherheitslücken noch keine Rolle bei realen Vorfällen. Im Rahmen des Vortrags wird das allgemeine Grundprinzip vorgestellt und erklärt, welche Herausforderungen sich daraus für die forensische Analyse ergeben. Als eine Art Ausblick wird auch auf Virtualisierungstechnologie eingegangen und vorgestellt, welche Analysemöglichkeiten zum Beispiel Virtual Machine Introspection (VMI) bietet.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
12:40 | Mittagsbuffet |
13:50 | |
Georg Nold
Heise
Andreas Dewald
ERNW Research GmbH
|
Einbruch in das Heise Netz - vom ersten Kontakt bis zur Austreibung von Emotet
Heise berichtete im Sommer öffentlich über die Emotet-Infektion im eigenen Haus, bei dessen Aufklärung ERNW unterstützte. Sie erfahren aus erster Hand wie sich die Heise-Gruppe der Bedrohung stellt um größeren Schaden abzuwenden und Emotet aus der Infrastruktur zu beseitigen. Der gesamte Verlauf des Angriffs, die forensische Untersuchung, sowie die wichtigsten Ergebnisse und Lessons Learned werden kompakt präsentiert.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
14:30 | |
Harald Baier
Hochschule Darmstadt
|
Zur Wiederherstellung gelöschter Daten in SQLite-Datenbanken
Heutige (mobile) Anwendungen wie WhatsApp oder Skype nutzen SQLite Datenbankdateien zur Speicherung ihrer Daten. Aus IT-forensischer Sicht ist es daher wichtig, alle relevanten In- formationen aus einer SQLite Datei extrahieren zu können. In diesem Vortrag betrachten wir Spuren in einer SQLite Datei, die zu gelöschten Datenbankeinträgen gehören. Ein strukturier- ter Ansatz wird vorgestellt, in dem zunächst das Löschverhalten von SQLite in Abhängigkeit von unterschiedlichen Datenbankkonfigurationen betrachtet wird (insbesondere für löschrele- vante Pragmas). Anschließend gehen wir auf ein Konzept zum Parsen und Wiederherstellen gelöschter Records ein. Unser Konzept ist als Proof of Concept Implementierung bring2lite verfügbar. Eine Evaluation auf Basis eines verbreiteten SQLite Datensatzes wird diskutiert.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
15:10 | Kaffeepause |
15:40 | |
Alexander Jäger
FIRST
|
Internationale Zusammenarbeit als must have um erfolgreich Kriminalität zu bekämpfen
Cyberkriminalität ist ein internationales Problem, welches die internationale Zusammenarbeit als elementaren Baustein zur Bekämpfung braucht. Verschiedene vorhandene Institutionen werden aufgeführt und am Beispiel FIRST erläutert, wie diese zu der Bekämpfung beitragen und mit einem „Call for Action“ schließen.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
16:20 | |
Patrick Mullan
FAU Erlangen-Nürnberg
|
Forensische Quellidentifikation: JPEG Header in Smartphone-Fotos
Das Feststellen der Quelle eines Bildes, d.h., von welcher Marke, welchem Modell oder gar Gerät das Bild aufgenommen wurde, ist ein klassisches Problem in der Multimediaforensik. Dateiheader können hierauf erste Hinweise liefern. Header sind schnell ausgelesen und ge- parst, weshalb sie von besonderem Interesse sind, etwa beim Durchsichtigen großer Daten- mengen. In diesem Vortrag zeigen wir Untersuchungsergebnisse auf Headern von Bildern, die mit Smartphones, insbesondere Apple-Geräten, aufgenommen wurden. Smartphones sind fle- xibler als traditionelle Kameras, da regelmäßig Softwareaktualiserungen aufgespielt werden und Nutzer aus einer Vielzahl an Apps wählen können, um Bilder aufzunehmen. Es wird ver- deutlicht, dass diese Softwaredynamik die Headerkonfigurationen beeinflussen. Wir nutzen diese Erkenntnis um mit Hilfe von maschinellem Lernen Headerkonfigurationen zu charakte- risieren und diese mit den jeweiligen Softwareeinstellungen zu assoziieren. |
Wenn Sie noch Fragen haben, wenden Sie sich bitte an:
Harald Baier
Hochschule Darmstadt
E-Mail: harald.baier@h-da.de
Simone Zimmermann
CAST e.V.
Tel.: +49 6151 869-230
E-Mail: simone.zimmermanncast-forum.de
hot topic "EU DORA" | 24.10.2024 |
Cybersicherheit für den Mittelstand | 21.11.2024 |
Forensik / Internetkriminalität | 28.11.2024 |
ID:SMART Workshop 2025 | 19.-20.02.2025 |