Charity-Workshop: Digitale Spurensuche nach einem Einbruch (Zusatzkurs)

Donnerstag, 22. März 2012 - 10:30 bis Freitag, 23. März 2012 - 15:00

Aufgrund der hohen Nachfrage werden wir diesen zweiten Termin anbieten. Bitte beachten Sie die Anmeldebedingungen!

Ein Linux Server wurde gehackt. Was kann ein Administrator tun um die Spuren des Angriffs zu rekonstruieren? Dieses Thema wurde schon mehrfach für Forensik Experten verschiedener Dienststellen in Workshops behandelt und wird nun auch Administratoren von Linux Server Netzwerken zugängig gemacht.

Im vorliegenden Fall liegt das kompromittierte System als VMware Image im Suspended Mode vor. Dabei werden folgende Schritte mit den Teilnehmern durchgeführt:

  • Starten des kompromittierten Systems in den Suspend Modus
  • Nutzung einer CD mit statischen Binaries
  • Erstellung eines Memory Abbildes und Übertragung auf eine Auswertestation
  • Sammeln der flüchtigen Daten und Übertragung auf eine Auswertestation
  • Erstellung eines Images im EWF Format
  • Erstellen einer Dateiliste mit Timestamp Informationen
  • Erstellen einer Hashliste zum Vergleich mit dem Originalsystem
  • Mit diff/xxdiff evtentuell infizierte Dateien Suchen
  • Rekonstruktion gelöschter Dateien in einem Linux System
  • Auswertung des Unallocated Spaces der Festplatte
  • Rekonstruktion des Angriffs aus dem Unallocated Space (wget, tar etc.)
  • Internet Spuren suchen und den kompromittierten Diensten zuordnen (E-Mmail, IP's URL's)
  • Auswertung der Netzwerk Verbindungen und deren Dienste
  • Weak Password Detection mit John (offline) und Metasploit (online)
  • Banner Grabbing

Der zweitägige Workshop findet in den Räumlichkeiten der VHS March statt. Die Uhrzeiten wurden so gewählt, dass ein Anreisen am gleichen Tag möglich ist.

Anmeldebedingungen

Benutzen Sie unser Anmeldeformular um auf die Warteliste gesetzt zu werden. Wir nehmen anschließend Kontakt mit Ihnen auf.

  • Kursgebühr: 180,00 EUR
  • Freie Plätze: 1

Hacken für den guten Zweck

Bei der Veranstaltung handelt es sich um eine Veranstaltung von FreiOSS. Die Einnahmen des ersten Kurses fließen zu 100% in das Projekt Linux4Afrika.