Charity-Workshop am 22.03.-23.03.2012: Digitale Spurensuche nach einem Einbruch. Achtung! Zusatzkurs

Dienstag, 28. Februar 2012 - 10:30 bis Mittwoch, 29. Februar 2012 - 15:00

Aufgrund der hohen Nachfrage bieten wir einen zweiten Workshop-Termin vom 22.03.-23.03.2012 an.

Ein Linux Server wurde gehackt. Was kann ein Administrator tun um die Spuren des Angriffs zu rekonstruieren? Dieses Thema wurde schon mehrfach für Forensik Experten verschiedener Dienststellen in Workshops behandelt und wird nun auch Administratoren von Linux Server Netzwerken zugängig gemacht.

Im vorliegenden Fall liegt das kompromittierte System als VMware Image im Suspended Mode vor. Dabei werden folgende Schritte mit den Teilnehmern durchgeführt:

  • Starten des kompromittierten Systems in den Suspend Modus
  • Nutzung einer CD mit statischen Binaries
  • Erstellung eines Memory Abbildes und Übertragung auf eine Auswertestation
  • Sammeln der flüchtigen Daten und Übertragung auf eine Auswertestation
  • Erstellung eines Images im EWF Format
  • Erstellen einer Dateiliste mit Timestamp Informationen
  • Erstellen einer Hashliste zum Vergleich mit dem Originalsystem
  • Mit diff/xxdiff evtentuell infizierte Dateien Suchen
  • Rekonstruktion gelöschter Dateien in einem Linux System
  • Auswertung des Unallocated Spaces der Festplatte
  • Rekonstruktion des Angriffs aus dem Unallocated Space (wget, tar etc.)
  • Internet Spuren suchen und den kompromittierten Diensten zuordnen (E-Mmail, IP's URL's)
  • Auswertung der Netzwerk Verbindungen und deren Dienste
  • Weak Password Detection mit John (offline) und Metasploit (online)
  • Banner Grabbing

Der zweitägige Workshop findet in den Räumlichkeiten der VHS March statt. Die Uhrzeiten wurden so gewählt, dass ein Anreisen am gleichen Tag möglich ist.

Kursgebühr: 180 EUR

  • Freie Plätze: 0

Zusatzkurs

Aufgrund der hohen Nachfrage bieten wir einen zweiten Kurs vom 22.03.2012 bis 23.03.2012 an. Benutzen Sie unser Anmeldeformular um auf die Warteliste gesetzt zu werden. Wir nehmen Kontakt mit Ihnen auf.

Bei der Veranstaltung handelt es sich um eine Charity-Veranstaltung für FreiOSS. Die Einnahmen des ersten Kurses fließen zu 100% in das Projekt Linux4Afrika, vom Zusatzkurs ein prozentualer Anteil (Palette mit PCs für Kenia).