Streit um Fehler in Forensiksoftware
Der Hersteller Guidance und dem Sicherheitsdienstleister iSEC streiten sich um die Bedeutung von Fehlern in der Forensiksoftware EnCase. Unter Umständen könnten die Fehler die Integrität einer Untersuchung verletzen.
- Daniel Bachfeld
Schwachstellen oder nicht? Um diese Frage dreht sich derzeit ein Streit auf Bugtraq zwischen dem Hersteller von Forensiksoftware Guidance und dem Sicherheitsdienstleister iSEC. Letzterer will nach eigenen Angaben mehrere Schwachstellen und Sicherheitslücken in der Guidance-Software EnCase 5.0 gefunden haben, die unter anderem zum Absturz der Anwendung führen können. EnCase wird weltweit von Behörden bei Ermittlungen und Computer-Forensik eingesetzt; auch das deutsche BKA nutzt das Produkt.
Auf der kommenden Black-Hat-Konferenz will iSEC Details zu den Problemen veröffentlichen, die nach Meinung des Dienstleisters die Zuverlässigkeit von EnCase erheblich beeinträchtigt. Inbesondere, weil dessen Ergebnisse als wichtige Beweismittel in die Ermittlungsarbeit einfließen können, sei es nicht hinzunehmen, dass es offenbar keine Qualitätskriterien bei der Evaluierung und Auswahl von Software durch Behörden gebe. iSEC hat seinen Vortrag dem Hersteller zuvor zukommen lassen.
Bei den Problemen handelt es sich im Wesentlichen um korrupte Daten von Festplatten, die beim Einlesen mit EnCase zu unvorhergesehenen Abstürzen oder Stillständen der Software führen können. Laut iSEC seien in EnCase keinerlei Funktionen implementiert, die vor Buffer Overflows, Speicherverletzungen und anderen Fehlern schützen würden. Offenbar sei man bei der Entwicklung davon ausgegangen, das es keine gezielten Angriffe auf Forensik-Software geben könne.
Guidance will in den sechs von iSEC genannten Fehlern allerdings keine echten Schwachstellen oder Sicherheitslücken entdecken können. Nach Meinung von Guidance handele es sich um extreme Szenarien, bei denen Anomalien auftreten können. Dies sei kein Hinweis darauf, dass mit der Qualität von EnCase etwas nicht stimme. Die Integrität eines Untersuchungsprozesses bleibe gewahrt. Immerhin gestehen sie ein, dass keine Software "Crash-Proof" sei, also auch EnCase nicht. Zudem bemängelt Guidance, dass die von iSEC erzeugten Daten gezielt manipuliert gewesen sein -- bei Exploits ist aber genau das der Regelfall. Ob Guidance die Fehler nun beseitigen will, schreibt der Hersteller nicht.
Mögliche Sicherheitslücken in Forensiksoftware berühren auch die derzeitige Diskussion um die Online-Duchsuchung in Deutschland, bei der ein ähnliches Tool wie EnCase zum Einsatz kommen könnte. Dabei wird auch die Frage diskutiert wie das BKA den unberechtigten Zugriff von außen verhindern will, um nicht die Sicherheit der Anwender zu gefährden, und ob die Software fehlerfrei arbeitet, um verwertbare Beweismittel zu liefern.
Siehe dazu auch:
- Guidance Software Response to iSEC Report, Kommentar von Guidance
- Re: Guidance Software response to iSEC report on EnCase , Abntwort von iSEC
(dab)
