Forensik und Internetkriminalität

Termin: 12.12.2019
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstr. 75
64295 Darmstadt

Programm

10:00
Begrüßung, Moderation
Claudia Prediger
CAST e.V.
Harald Baier
Hochschule Darmstadt
Andreas Dewald
ERNW Research GmbH
10:10
Konstantin Bayreuther
Polizeipräsidium Südhessen
IoT aus Sicht der Strafverfolgung

IoT (Internet of Things) Geräte sind aus der aktuellen Zeit nicht wegzudenken. Nach der erfolgreichen Etablierung in das private Lebensumfeld (SmartWatches, Fitnesstracker oder intelligente Lautsprecher), nehmen sie Einzug in immer mehr Bereiche des öffentlichen Lebens und der Wirtschaft (z. B. SmartCities oder Industrie 4.0). Strafverfolgungsbehörden stellen smarte Geräte und die damit einhergehende Vernetzung diversester Geräte, Schnittstellen und Netzwerke vor neue Herausforderungen. Auf der einen Seite stehen Aspekte der Sicherheit von IoT-Geräten. Dieser Bereich wird bereits durch breitgefächerte wissenschaftliche Forschung abgedeckt und betrifft aus Strafverfolgungssicht Delikte des Cybercrime. Auf der anderen Seite können Informationen aus smarten Geräten zur „Aufklärung“ von Straftaten dienen. Digital-forensische Untersuchungen von IoT-Geräten selbst, sowie der dazugehörigen vernetzten Informationsquellen, stehen noch am Anfang. Politisch wird die Rolle von IoT-Geräten u. a. mit der aktuellen Diskussion auf der IMK gewürdigt.

10:50 Kaffeepause
11:20
Frank Block
ERNW Research GmbH
Frank Block
Windows Memory Forensics: Detecting (un)intentionally hidden injected Code by examining Page Table Entries

Malware utilizes code injection techniques to either manipulate other processes (e.g. done by banking trojans) or hide its existence. With some exceptions, such as ROP gadgets, the injected code needs to be executable by the CPU (at least at some point in time). In this work, we cover and evaluate hiding techniques that prevent executable pages (containing injected code) from being reported by current detection tools. These techniques can either be implemented by malware in order to hide its injected code (as already observed) or can, in one case, unintentionally be taken care of by the operating system through its paging mechanism. In a second step, we present an approach to reveal such pages despite the mentioned hiding techniques by examining Page Table Entries. We implement our approach in a plugin for the memory forensic framework Rekall, which automatically reports any memory region containing executable pages, and evaluate it against own implementations of different hiding techniques, as well as against real-world malware samples.

12:00
Werner Haas
Cyberus Technology GmbH
Werner Haas
Schreckgespenster und Zombies - Mythos oder reale Gefahr in der virtuellen Welt?

Mit Meltdown und Spectre wurde zum Jahreswechsel 2017/18 eine neue Kategorie von Angriffen auf Computersysteme publik und alle paar Monate werden neue Varianten bekannt. Auf der anderen Seite spielen diese neuen Sicherheitslücken noch keine Rolle bei realen Vorfällen. Im Rahmen des Vortrags wird das allgemeine Grundprinzip vorgestellt und erklärt, welche Herausforderungen sich daraus für die forensische Analyse ergeben. Als eine Art Ausblick wird auch auf Virtualisierungstechnologie eingegangen und vorgestellt, welche Analysemöglichkeiten zum Beispiel Virtual Machine Introspection (VMI) bietet.

12:40 Mittagsbuffet
13:50
Georg Nold
Heise
Andreas Dewald
ERNW Research GmbH
Andreas Dewald
Einbruch in das Heise Netz - vom ersten Kontakt bis zur Austreibung von Emotet

Heise berichtete im Sommer öffentlich über die Emotet-Infektion im eigenen Haus, bei dessen Aufklärung ERNW unterstützte. Sie erfahren aus erster Hand wie sich die Heise-Gruppe der Bedrohung stellt um größeren Schaden abzuwenden und Emotet aus der Infrastruktur zu beseitigen. Der gesamte Verlauf des Angriffs, die forensische Untersuchung, sowie die wichtigsten Ergebnisse und Lessons Learned werden kompakt präsentiert.

14:30
Harald Baier
Hochschule Darmstadt
Harald Baier
Zur Wiederherstellung gelöschter Daten in SQLite-Datenbanken

Heutige (mobile) Anwendungen wie WhatsApp oder Skype nutzen SQLite Datenbankdateien zur Speicherung ihrer Daten. Aus IT-forensischer Sicht ist es daher wichtig, alle relevanten In- formationen aus einer SQLite Datei extrahieren zu können. In diesem Vortrag betrachten wir Spuren in einer SQLite Datei, die zu gelöschten Datenbankeinträgen gehören. Ein strukturier- ter Ansatz wird vorgestellt, in dem zunächst das Löschverhalten von SQLite in Abhängigkeit von unterschiedlichen Datenbankkonfigurationen betrachtet wird (insbesondere für löschrele- vante Pragmas). Anschließend gehen wir auf ein Konzept zum Parsen und Wiederherstellen gelöschter Records ein. Unser Konzept ist als Proof of Concept Implementierung bring2lite verfügbar. Eine Evaluation auf Basis eines verbreiteten SQLite Datensatzes wird diskutiert.

15:10 Kaffeepause
15:40
Alexander Jäger
FIRST
Alexander Jäger
Internationale Zusammenarbeit als must have um erfolgreich Kriminalität zu bekämpfen

Cyberkriminalität ist ein internationales Problem, welches die internationale Zusammenarbeit als elementaren Baustein zur Bekämpfung braucht. Verschiedene vorhandene Institutionen werden aufgeführt und am Beispiel FIRST erläutert, wie diese zu der Bekämpfung beitragen und mit einem „Call for Action“ schließen.

16:20
Patrick Mullan
FAU Erlangen-Nürnberg
Patrick Mullan
Forensische Quellidentifikation: JPEG Header in Smartphone-Fotos

Das Feststellen der Quelle eines Bildes, d.h., von welcher Marke, welchem Modell oder gar Gerät das Bild aufgenommen wurde, ist ein klassisches Problem in der Multimediaforensik. Dateiheader können hierauf erste Hinweise liefern. Header sind schnell ausgelesen und ge- parst, weshalb sie von besonderem Interesse sind, etwa beim Durchsichtigen großer Daten- mengen. In diesem Vortrag zeigen wir Untersuchungsergebnisse auf Headern von Bildern, die mit Smartphones, insbesondere Apple-Geräten, aufgenommen wurden. Smartphones sind fle- xibler als traditionelle Kameras, da regelmäßig Softwareaktualiserungen aufgespielt werden und Nutzer aus einer Vielzahl an Apps wählen können, um Bilder aufzunehmen. Es wird ver- deutlicht, dass diese Softwaredynamik die Headerkonfigurationen beeinflussen. Wir nutzen diese Erkenntnis um mit Hilfe von maschinellem Lernen Headerkonfigurationen zu charakte- risieren und diese mit den jeweiligen Softwareeinstellungen zu assoziieren.

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Harald Baier
Hochschule Darmstadt
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Reiseplanung

Start


CAST e.V.
Rheinstraße 75
64295 Darmstadt

Kommende CAST Veranstaltungen

Hands-on: PKI in a nutshell 15.01.2020
eIDAS 2.0? Elektronische Vertrauensdienste auf dem Prüfstand 16.01.2020
hot topic: Security Operation Center und Advanced Persistent Threats 27.02.2020
Usable Security and Awareness 05.03.2020
Recht und IT-Sicherheit 12.03.2020
Automotive Security 23.04.2020
Quantentechnologie und Quantencomputer- resistente Sicherheit 14.05.2020
Mobile+Embedded Security 28.05.2020
Cloud Security 18.06.2020
19th International Conference of the Biometrics Special Interest Group (BIOSIG 2020) 16.-18.09.2020
hot topic 22.10.2020
CAST-Förderpreis IT-Sicherheit 26.11.2020
Forensik / Internetkriminalität 10.12.2020

Registrierung für die Volksverschlüsselung

Zusammen mit dem CAST e.V. bietet das Fraunhofer SIT im Rahmen der CAST-Workshops die Möglichkeit der Vor-Ort-Registrierung an. Möchten Sie diese Gelegenheit wahrnehmen, so bringen Sie hierfür bitte ein gültiges Ausweisdokument mit und tragen Vorname(n) und Nachname aus Ihrem Ausweis, sowie Ihre E-Mail-Adresse, für die Sie ein Zertifikat der Volksverschlüsselung beantragen möchten, in das Formuar ein. Sie können das Registrierungsformular auch vorab ausfüllen und zur Veranstaltung mitbringen.

Weitere Informationen finden Sie unter volksverschluesselung.de.