Computer-Forensik mit Open-Source-Tools

Inhaltsverzeichnis

Wie reagiert man am besten auf einen Sicherheitsvorfall im Computerbereich? Diese Frage stellen sich in letzter Zeit immer mehr Firmen, Organisationen und auch Privatpersonen. Ist auch nur im Entferntesten damit zu rechnen, dass der Vorfall in einem Rechtsstreit oder in einer Strafverfolgung eine Rolle spielen könnte, muss besonders überlegt gehandelt werden, um die Beweislage nicht zu verschlechtern. Leider werden dabei oft aus Unwissenheit, in guter Absicht oder auch in Panik viele Fehler gemacht, die eventuelle Spuren der kriminellen Aktionen unwiederbringlich vernichten oder ihre Verwendung in einem Gerichtsprozess verhindern.

Mit dieser Art der Beweismittelsicherung beschäftigt sich die so genannte Computer-Forensik. Analog zu anderen Bereichen der Kriminalistik gilt es auch hier, möglichst viele relevante Beweise zu sammeln, zu analysieren, zu rekonstruieren und diese dann neutral, nachvollziehbar und gerichtstauglich darzustellen.

Keine Hexerei

Viele sehen in der Computer-Forensik eine moderne Form der schwarzen Magie, die vermeintlich vernichtete Daten wieder rekonstruiert oder entschlüsselt. Informationen, von denen man gar nicht wusste, dass sie existieren, kommen plötzlich zum Vorschein und selbst gebrauchte Kopierer geben geheime Dokumente preis. Doch so erstaunlich manche Ergebnisse auch aussehen mögen - auch der beste Forensiker kann keine Daten herbeizaubern, die physikalisch nicht mehr vorhanden sind. Und noch eine kleine Warnung vorweg: Computer-Forensik erfordert einiges an Systemkenntnis und man sollte schon ganz genau wissen, was man tut. Ein paar vertauschte Parameter und schon werden einige der hier vorgestellten Werkzeuge schnell zu Anti-Forensik-Tools. Nicht zuletzt müssen bei einer Analyse natürlich immer auch Datenschutzaspekte und Persönlichkeitsrechte berücksichtigt werden.

Neben den Geheimdiensten und Strafverfolgungsbehörden, die normalerweise ihre eigene Forensik betreiben, haben vor allem Datenrettungsunternehmen die Computer-Forensik für sich entdeckt und lassen sich dabei nicht so gerne in die Karten schauen. Auf dem internationalen Markt gibt es einige renommierte kommerzielle Hard- und/oder Softwarepakete wie Encase, SafeBack oder SMART, die oft auch im Bereich der Strafverfolgung zum Einsatz kommen.

Daneben existieren aber auch eine Vielzahl von Open-Source-Tools, die sich entweder im Computer-Forensik-Bereich einsetzen lassen oder sogar speziell dafür entwickelt wurden. Gerade was die Verwendung im Gerichtsumfeld anbetrifft, haben Open-Source-Anwendungen klare Vorteile. Beweisketten müssen in rechtsstaatlichen Verfahren neutral und jederzeit von Dritten überprüfbar dargestellt werden. Beim Einsatz von Tools mit offen zugänglichem Quellcode ist dies auf jeder Ebene möglich, bei Closed-Source-Anwendungen kann man dagegen nur auf den guten Ruf des Herstellers vertrauen oder Black-Box-Tests durchführen, was aber kaum die letzte Sicherheit geben dürfte. Offene Quellcodes bieten Forensikern zudem einen nicht zu unterschätzenden Lerneffekt und erleichtern eine schnelle Reaktion auf neue Anforderungen durch individuelle, vom Experten selbst durchführbare Anpassungen der Werkzeuge.

Dr. Tux

Schon ein ganz normales Linux hat Werkzeuge an Bord, die Imaging, Authentifizierung, Löschen und Durchsuchen von diversen Speichermedien erlauben. Die Eigenschaft von Linux, alles einschließlich Hardware als Datei zu behandeln, bietet im forensischen Umfeld ad hoc sehr weit reichende Kontroll- und Einsatzmöglichkeiten. Das reicht von Zugriffsbeschränkungen, der Replikation über Plattformgrenzen hinweg bis hin zu der Art, wie das Betriebssystem mit den betreffenden Medien interagiert. Der letzte Aspekt ist besonders wichtig, da in der Computer-Forensik wie in der übrigen Kriminologie als oberstes Gebot gilt, dass Beweise nicht verändert werden dürfen. Normalerweise sind zum Beispiel bei der Untersuchung von Festplatten spezielle Hard- oder Software-Write-Blocker nötig - unter Linux reicht ein einfaches Mounten im Read-only-Modus.

Linux unterstützt schon von Haus aus eine sehr große Zahl von Dateisystemen. Der Einsatz von Loopback Devices, das Um- und Weiterleiten von Standard Input und Output sowie die Möglichkeit, Prozesse und Kommandos zu überwachen und zu protokollieren, sind weitere Pluspunkte.

Da die nach einem Sicherheitsvorfall zu untersuchenden Systeme sowie deren Betriebssysteme in der Regel nicht mehr vertrauenswürdig sind - Systemkomponenten könnten ausgetauscht oder manipuliert worden sein -, sollten diese nicht für eine forensische Untersuchung benutzt werden. Linux kann auch in diesem Bereich glänzen, da es relativ einfach möglich ist, bootfähige Medien mit integrierten, statisch gelinkten Tool-Sets zu erstellen. Das Knoppix auf der Heft-CD in c't 4/04 ist ein idealer Ausgangspunkt zur Sicherung von Beweismitteln, da man damit den Festplatteninhalt kopieren kann, ohne das betroffene System zu verändern.