Wie man die Blockchain-Technologie zur Sicherung forensischer Beweise einsetzt

research

SEC Consult beobachtet seit einiger Zeit die Entwicklung und die Einsatzmöglichkeiten der Blockchain-Technologien. Diese Technologien könnten auch in einzelnen Bereichen des Security-Consultings eingesetzt werden. Im Rahmen eines Forschungsprojekts wurden mögliche Szenarien für die Beweissicherung nach Cyber-Angriffen näher betrachtet.

Blockchain Technology Security Forensic Evidence header image - SEC Consult

Warum Blockchain in der Forensik?

Das SEC Consult SEC Defence-Team nutzt zur Analyse von Cyber Incidents diverse Forensik-Tools. Bei immer mehr Analysen stellt sich die Herausforderung, dass die Ergebnisse auch vor Gericht als Beweismittel eingesetzt werden können. Ein wichtiger Bestandteil dieser Tätigkeiten ist das sichere Kopieren von Daten-Images auch forensic imaging genannt. Forensic Imaging wird mittels so genannter write blocker durchgeführt. Es gibt verschiedenste Arten von write blockern die wiederum verschiedenste Typen von Speichermedien wie zB. SATA, SAS, IDE USB, Memory-Karten und andere unterstützen.

Der Prozess selber passiert mittels so genannter imaging software. Diese Software liest das source image durch den write blocker auf ein Ziel-Gerät. Gleichzeitig errechnet diese Software einen digitalen Fingerabdruck, typischerweise mittels einer anerkannten hash signature. Der digitale Fingerabdruck kann auf beliebigen Datenträgern in beliebigen Formaten gespeichert werden und ist damit theoretisch veränderbar. Das heißt, Images könnten im Nachhinein manipuliert werden und der abgespeicherte Fingerabdruck gegen einen neuen ausgetauscht werden.

Blockchain Technology Security Forensic Evidence Hammer image - SEC Consult

Proof Of Existence

Blockchain Technology Security Forensic Evidence Code image - SEC Consult

Um nun einen Datensatzes als Beweismittel vor Gericht verwertbar zu machen, ist es notwendig zu beweisen, dass diese Daten zu einem bestimmten Zeitpunkt in einer bestimmten Form vorgelegen sind und seitdem nicht verändert wurden. Das ist nicht nur deshalb wichtig, um mutwillige Verfälschungen von Beweismitteln zu verhindern. Um einen Cyber Incident zu analysieren und aufklären zu können, müssen die Datensätze entsprechend bearbeitet werden. Das heißt es muss der Stand der zu untersuchenden Daten VOR der Bearbeitung durch die Forensik-Tools festgehalten werden.

Mittels Notarisierung (ein anderer Begriff dafür ist Proof of Existence) kann genau das sichergestellt werden: Beim Erstellen einer Notarisierung wird ein eindeutiger Fingerabdruck (der sog. Hashwert) des Files berechnet und gemeinsam mit einem Zeitstempel in einer Blockchain unveränderbar protokolliert. Wenn später verifiziert werden soll, dass das betreffende Dokument zum behaupteten Zeitpunkt bereits existiert hat bzw. nicht verändert wurde, werden die Daten aus der Blockchain abgerufen und mit den vorliegenden Informationen verglichen.

ForensicForever – ein Prototype

Blockchain Technology Security Forensic Evidence Fingerprint image - SEC Consult

Im Zuge des SEC Consult-Forschungsprojekts wurde nun der Prototyp des Tools ForensicForever entwickelt, der die Blockchain-basierte Notarisierung von Daten, die im Rahmen von forensischen Analysen als Eingabedaten verwendet werden, ermöglicht. Auch beliebige andere Dateien, die während der Aufarbeitung eines Cyber Incidents entstehen (z.B. Reports im PDF-Format), können mittels ForensicForever in der Blockchain protokolliert werden. Wenn die notwendige hash signature bereits vorliegt, kann diese direkt übernommen werden.

Es ist aber ebenso möglich eine solche Signatur im Zuge der Notarisierung mit Hilfe des Tools zu generieren. Nach der erfolgreichen Erstellung einer Notarisierung kann ein Zertifikat in PDF-Form generiert werden, welches die Informationen zusammenfasst. Das Zertifikat ist als menschenlesbare Darstellung zu sehen und kann den Verifikationsprozess komfortabler gestalten.

Die Ergebnisse nach den ersten Test mit dem Prototypen sind vielversprechend, weshalb SEC Consult auch auf diesem Gebiet die Forschungsarbeit weiter vorantreiben wird.

 

Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern?