Tools zur IT-Forensik
Ordnungsmerkmale
erschienen in: <kes> 2006#2, Seite 66
Rubrik: Management und Wissen
Schlagwort: Computer-Forensik
Schlagwort-2: Tools
Zusammenfassung: Neben vielerlei Organisations- und Grundsatzarbeiten sind zur Computer-Forensik auch die richtigen technischen Werkzeuge gefragt. Dieser Artikel liefert einen Überblick über momentan erhältliche Tools.
Autor: Von Volker Schwaberow, Gelsenkirchen
Seit Normen wie ISO 17799 oder der Sarbanes-Oxley-Act (SOX) Aufklärung und Nachvollziehbarkeit bei Sicherheitsvorfällen verlangen, rückt Computer-Forensik ins Blickfeld von immer mehr Unternehmen – sei es zur Erfüllung solcher regulatorischer Vorgaben oder aufgrund des Wunsches, bestimmten Vorkommnissen auf den Grund zu gehen.
Der Begriff der Forensik leitet sich vom lateinischen "forum" ab, das außer "Marktplatz" auch "Gerichtsort" bedeutet. Da Verfahren und Urteilsverkündungen teilweise noch bis ins Mittelalter auf dem Marktplatz durchgeführt wurden, erhielt alles, was unmittelbar im Zusammenhang mit gerichtlicher Analyse steht, die Bezeichnung "forensisch". Bei der Computer-Forensik geht es somit um die Analyse verdächtiger Vorgänge, die Erfassung und Auswertung digitaler Spuren im Bereich von IT-Systemen – meist mit dem Ziel der Verwertung vor Gericht.
Forensische Toolkits im klassischen Sinne sind Anwendungen, die eine (gerichtsfeste) Erfassung und Auswertung von Datenträgern ermöglichen. Weitere Ansätze zur Forensik im Bereich der IT sind beispielsweise die Code-Forensik, die primär zur Identifizierung und Analyse des Binärcodes von Computerprogrammen dient, und die Netzwerk-Forensik, die als Erweiterung klassischer Intrusion Detection und Intrusion Reaction anzusehen ist.
Die folgenden Kriterien zeichnen forensische Tools aus:
- Protokollierungs-Funktionen sind wesentlich, um die Nachweisbarkeit und Nachvollziehbarkeit zu stützen,
- Backup-Funktionen unterstützen die Sicherung von Datenträgern (inkl. Datenträgerverbund wie RAID, Logical Volume Manager etc.) und dienen gleichzeitig der Gewährleistung der Integrität,
- Suchfunktionen sollten sowohl für Dateien als auch Datei-Inhalte vorliegen.
Bis vor einiger Zeit war der Markt forensischer Toolkits fast ausschließlich in den Händen einiger weniger Hersteller, die primär Produkte für die Zielgruppe der Strafverfolgungsbehörden produziert haben. Mittlerweile gibt es jedoch eine ganze Reihe sehr wirkungsvoller IT-Forensik-Tools für fast alle Zwecke, auch als Open-Source-Software (OSS). Eine Auswahl zeigt die nachfolgende Tabelle, einige Tools werden zudem im Folgenden näher besprochen.
Encase Forensics
Guidance Software aus den USA bieten mit Encase eines der populärsten Tools auf dem Gebiet der Auswertung von Datenträgern an (![[externer Link]](../../images/link.gif)
www.guidancesoftware.com). Diese Popularität erklärt sich primär aus dem Funktionsumfang des Produktes: Von der Akquisition (Backup) bis hin zur Auswertung von Datenträgern lässt die Software inklusive Behandlung von RAID-Partitionen sowie Encrypted File System (EFS) keinen Wunsch offen. Ferner besitzt Encase eine eigene Skriptsprache, mit der sich Aktionen automatisieren lassen.
Das gesamte Produkt ist sehr umfangreich und verlangt auch dem Sachkundigen einiges an Einarbeitungszeit ab. Die aktuelle Encase-Version 5.05 hat allerdings ein vollständig neues User-Interface erhalten, das die Einarbeitung in das Toolkit vereinfacht: Es wirkt im Vergleich zu früheren Versionen farbenfroher, freundlicher und auch leichter zugänglich. Die Oberfläche lässt sich durch bewegliche, abgetrennte Bedienungsbereiche (Panes) auf individuelle Bedürfnisse abstimmen.
Encase 5.05 unterstützt zudem erstmals virtuelle Maschinen: Die Untersuchung von Image-Files, die von Microsoft VirtualPC/VirtualServer oder VMWare erstellt wurden, ist somit möglich. Zudem kann die Software neben dem ISO-9660-Format auch mit speziellen CD-Formaten umgehen, die man etwa von Programmen wie CloneCD, Nero oder Ahead kennt.
Die Auswertung von Mailbox-Dateien großer Groupware-Anwendungen wie Outlook oder Notes, war schon immer eine Stärke von Encase. Durch die aktuelle Version wird auch ein Recovery gelöschter E-Mails in PST-Dateien unterstützt; wiederhergestellte Mails können im MSG-Format gespeichert oder zur besseren Übersicht und Trennung von Dateiformaten in eine logische Beweisdatei (Evidence-Container) exportiert werden.
Verschlüsselung und Dateitypenschutz müssen mittlerweile als enormes Problem für die IT-Forensik gelten. Der Dateitypenschutz, der vor einigen Jahren überwiegend noch eine recht schwache Barriere darstellte, ist heute nicht selten durch starke kryptographische Verfahren untermauert. Encase bietet hier zwar – aus naheliegenden Gründen – auch kein Allheilmittel, identifiziert aber zumindest Dateitypen wie *.doc, *.xls, *.pgp, *.gpg oder *.pdf, die durch ein starkes Verfahren, etwa per Cryptographic Service Provider, gesichert wurden. Dies ist sehr hilfreich, um diese speziellen Dateien für eine weiter gehende Untersuchung zu isolieren und beispielsweise die Verschlüsselung anschließend per Spezialsoftware "anzugreifen".
Im Bereich Reporting liefert Encase Angaben über Dateien, ihre Attribute und insbesondere "Bewegungsdaten", also Informationen über den letzten Zugriff, die letzte Modifikation und das Erstellungsdatum eines Files. Eine Sicherung relevanter Beweisdaten ist auch direkt auf Read-Only-Datenträgern wie CD-ROM möglich; hierzu wurde eine eigene ASPI-Engine integriert (dieses "Advanced SCSI Peripheral Interface" arbeitet dank ATAPI aber auch mit IDE-Geräten). Falls der entsprechende Brenner von Encase nicht unterstützt wird, lassen sich CDs jedoch auch über externe Software brennen.
![[Screenshot]](images/06-2-066-1-400.jpg)
Encase Forensics kann als De-facto-Standard für digitale Ermittlungen gelten.
X-Ways Forensics
Die deutsche X-Ways Software Technology AG hat mit X-Ways Forensics ebenfalls ein sehr umfangreiches Tool zur forensischen Analyse von Datenträgern im Programm ( www.x-ways.net). Dieses Toolkit ist im Laufe der Jahre aus dem Hex- und Disk-Editor WinHex hervorgegangen. Im Zuge dieses Entwicklungsprozesses ergab sich ein vollständiges forensisches Tool, das sich besonders durch die Unterstützung verschiedener Dateisysteme auszeichnet: neben NTFS und FAT auch verschiedenste Linux File Systems, CDFS und HFS+ auf Apple-Rechnern.
Das Tool arbeitet dabei entweder auf dem Originaldatenträger (mit Software-Schreibschutz) oder einer bereits erstellten Evidence-Datei, also der Sicherung eines Datenträgers in einem speziellen Datenformat oder im Rohformat.
X-Ways Forensics verfügt ferner über eine sehr umfangreiche Logging-Funktion: Alle Aktionen der jeweiligen Untersuchung werden protokolliert und später in einen druckbaren Bericht übernommen. Hier zeigt sich eine besondere Stärke, vielleicht sogar ein Alleinstellungsmerkmal dieser Software: Eine vergleichbar umfangreiche Protokollierung, die zudem revisionssicher ist, existiert nach Erfahrung des Autors in anderen Produkten nicht.
Überzeugend erscheinen auch die Suchoperationen, die eine logische Suche nach verschiedenen Dateitypen, etwa Archive und Bilder, ermöglichen und auch Bilder und Mediatypen finden, die in andere Dokumente (Dateitypen) eingebettet sind. So lassen sich beispielsweise alle Word-Dokumente maskieren, die Bilder enthalten.
Um Funktionen beziehungsweise Vorgehensweisen zu automatisieren, steht dem Anwender auch hier eine eigene Skriptsprache zur Verfügung, was – unter anderem – X-Ways als Produkt für den professionellen Einsatz qualifiziert. Erstaunlich ist dabei die vergleichsweise leichte Zugänglichkeit der Software, wenn man die vielen unterschiedlichen und teilweise sehr mächtigen Funktionen bedenkt.
![[Screenshot]](images/06-2-066-2-400.jpg)
Mit X-Ways Forensics ist auch ein sehr umfangreiches Tool eines deutschen Unternehmens am Markt.
Access Data Forensic Toolkit
Auch das US-Unternehmen AccessData ( www.accessdata.com) bietet ein Toolkit zur Datenträgerauswertung an, das eine breite Unterstützung von Dateisystemtypen mit sich bringt und zudem Evidence-Dateien vom Marktführer Encase verarbeiten kann. Das Access Data Forensic Toolkit wird vornehmlich von Ermittlungsbehörden wie dem amerikanischen FBI genutzt.
Sehr interessant sind hierbei auch die Zusätze Registry-Viewer und Passwort Recovery Toolkit zur Analyse und Aufbereitung der Windows-Registrierung beziehungsweise von verschlüsselten Dateitypen, Partitionen und Containern. Das Passwort Recovery Toolkit ermöglicht den Angriff auf passwortgeschütze Archive ebenso wie Brute-Force-Attacken auf verschlüsselte Container und lässt sich durch die Option Distributed Network Attack auch als verteilte Anwendung im Netzwerk betreiben (eine ähnliche Lösung bietet neuerdings auch das russische Unternehmen Elcomsoft an – s. Tab.).
----------Anfang Textkasten----------
Hardware zur Beweiserhebung
Eines der größten Probleme der IT-Forensik soll hier nicht unerwähnt bleiben: Wenn die vorgestellten Softwareprodukte zur Sicherung von Datenträgern genutzt werden, können sie unter Umständen Änderungen an Quelldatenträgern bewirken. Um dieses Risiko auszuschließen, bieten verschiedene Hersteller so genannte Write-Blocker an. Früher waren diese Geräte recht bescheiden ausgestattet und unterstützten lediglich rudimentäre IDE-Geräte und ältere SCSI-Standards. Mittlerweile gibt es solche Geräte allerdings in stark erweiterten Versionen mit Unterstützung von USB, SATA und weiteren Standards. Damit ist es problemlos möglich, Platten auch ohne Ausbau zu sichern.
Verschiedene Hersteller bedienen diesen Markt – das prominenteste Beispiel ist womöglich wiederum Guidance Software, die als Erweiterung für Encase die Hardwarelösung FastBloc vertreiben: Dieser Write-Blocker wird während der Sicherung zwischen Ermittler-Notebook und zu kopierender Festplatte betrieben und garantiert eine Sicherung ohne Integritätsverlust auf Seiten der Quelle und des Ziels. Mittlerweile existiert mit FastBlocSE auch ein Software-Write-Blocker, der über spezielle Gerätetreiber für eine Auswahl an IDE- und SATA-Controllern exklusiven Zugriff auf angeschlossene Festplatten ermöglichen und Schreibzugriffe unterbinden soll.
Write-Blocker in Hardware bietet zudem Logicube an; diese Produkte harmonieren nach Herstellerangaben besonders gut mit den Software-Paketen von AccessData (offizieller Partner). Eine Stärke der Logicube-Systeme ist die Unterstützung einer Vielzahl von Schnittstellen (USB, SATA, IDE, SCSI usw.). Logicube bietet zudem über reine Write-Blocker hinaus auch vollständige Sicherungs-Devices an, die im Zuge eines portablen Forensic-Labs verkauft werden: einem kleinen Koffer mit dem Gerät und verschiedenen Schnittstellenadaptern. Solche Sicherungs-Devices sollen Transferraten von bis zu 4 GB pro Minute ermöglichen ( www.logicube.com).
----------Ende Textkasten----------
Open-Source-Software
Man muss nicht zwangsläufig erst große Geldmengen in Software investieren, um IT-forensische Analysen durchführen zu können: Forensik-Tools gibt es heute in hoher Qualität und einer schwer zu überblickenden Vielzahl auch im Open-Source-Umfeld. Allerdings findet man nur wenige "große" Lösungen, die einen gewissen Stellenwert genießen, sich auch zum professionellen Einsatz eignen oder gar Auswertungen mit kommerziellen Toolkits wie Encase oder X-Ways unterstützen können. Da es mühsam ist, die vielen "kleinen" Tools einzeln zu installieren und zu konfigurieren, gibt es mittlerweile auch einige Live-CDs, die sich zur IT-Forensik eignen, zum Beispiel Helix ( www.e-fense.com/helix/), PenguinSleuth ( www.linux-forensics.com), PHLAK ( www.phlak.org) oder die (nicht mehr ganz aktuelle) Security Tools Distribution (STD) auf Knoppix-Basis ( www.knoppix-std.org).
Mit einer solchen Live-CD muss man zwar nicht länger selbst Tool-Sammlungen zusammenstellen, teilweise können aber besondere Anforderungen den Einsatz eines speziellen Tools aus der Open-Source-Welt verlangen – daher auch hierzu im Folgenden eine kleine Übersicht.
Sleuthkit / Autopsy
Bei Sleuthkit handelt es sich um Kommandozeilen-Tools zur Auswertung von FAT-, Ext2/3-, NTFS- und UFS-Dateisystemen. Die Software eignet sich vornehmlich zur Analyse von Images und ermöglicht eine Suche und Auswertung im Dateisystem ( www.sleuthkit.org). Mit Autopsy steht auch eine grafische Benutzeroberfläche hierfür zur Verfügung, die vornehmlich die Bedienung vereinfacht.
Netcat
Das Allround-Netzwerk-Tool netcat liefert einen generischen Server-/Client-Teil, über den allgemeine Unix-Kommandos "gepiped" werden können. Netcat dient so beispielsweise zur Sicherung von Dateisystemen mittels "dd"-Kommando über das Netzwerk ( http://netcat.sourceforge.net).
Foremost
Foremost ist ein Utility zur Datei-Wiederherstellung, das eine gute Ergänzung zu kommerziellen Tools darstellt. Es kann mit Evidence-Formaten umgehen und bietet ein auch ein Datei-Recovery auf Basis von so genannter Kopf- und Fußdaten, die individuell definiert werden können ( http://foremost.sourceforge.net/). Das Projekt wurde durch die US Air Force unterstützt.
The Coroner's Toolkit
Die wahrscheinlich bekannteste Open-Source-Software zur Analyse von Dateisystemen unter Unix ist The Coroner's Toolkit (TCT). Es ist 1999 entstanden, aber nach wie vor ein aktuelles Utility – allerdings eines, auf das man sich nicht allein verlassen sollte, da es bereits antiforensische Ansätze gegen TCT gibt ( www.porcupine.org).
Forensic Acquisition Utilities
Die bisher aufgelisteten Toolkits werden vornehmlich unter Unix betrieben. Vergleichbare Werkzeuge zur Sicherung von Dateisystemen gibt es aber auch für Windows: Das Forensic-Acquisition-Utilities-(FAU)-Projekt liefert Tools zur lokalen oder netzwerkbasierten Sicherung von Datenträgern, zur Erstellung von Prüfsummen, zum "Dump" von Volume-Informationen, zum sicheren Löschen von Datenträgern und zum Komprimieren von Sicherungen ( http://users.erols.com/gmgarner/forensics/).
PDA-Forensik
Eine wachsende Herausforderung für Ermittler im Bereich der IT-Forensik sind Handheld-Systeme beziehungsweise Personal Digital Assistants (PDAs). Diese Geräte weisen vollständig andere Eigenschaften auf, als eine PC-Plattform und lassen sich somit nicht mit Standard-Tools untersuchen. Die Firma Paraben bietet jedoch seit einiger Zeit spezielle Forensik-Tools für PDAs an und unterstützt die Untersuchung von PocketPCs, älteren Windows-CE-Geräten, Palm-Systemen und RIM Blackberry-Geräten ( www.paraben-forensics.com).
Zur Datensicherung von Handhelds auf Basis von PocketPC oder Windows CE wird auch ActiveSync von Microsoft in der Version 3.5 und 4.0 unterstützt. Als Kommunikationsschnittstellen dienen der Software USB oder COM-Ports. Besonderes Augenmerk legt das Paraben-Tool auf die getrennte Sicherung sowohl der Datenbanken als auch der Hauptspeicherinhalte. Für Images von Palm-Geräten kann sogar ein Start im Palm-Emulator durchgeführt werden.
Das Tool besticht durch logische Einteilung der meisten Programmfunktionen und eine leichte Zugänglichkeit. Selbst als ungeübter Anwender gestaltet sich die Sicherung von Daten und ihre Auswertung sehr einfach.
Ausblick
Verbesserungspotenzial ist – wie so oft – in allen Bereichen noch gegeben. Besonders zu kämpfen haben Forensik-Tools naturgemäß mit verschlüsselten Dateisystemen, dem (vorangegangenen) sicheren Löschen per Secure-Wipe-Tools und dem Verstecken durch antiforensische Ansätze (Rootkits, Verbergen im Dateisystemstandard usw.).
Auch die Problematik des "richtigen" Tests solcher Tools ist noch nicht abschließend geklärt. Das US National Institute of Standards and Technology (NIST) hat hierzu eigens eine Computer Forensics Tool Testing Group eingerichtet ( www.cftt.nist.gov). Zum kurzen "Selbsttest" stehen überdies durch ein Sourceforge-Projekt "Digital Forensics Tool Testing Images" zur Verfügung, mit denen man selbst nachspüren kann, was mit dem Tool der Wahl geht oder nicht ( http://dftt.sourceforge.net/).
Nicht zu vernachlässigen ist zudem die Wichtigkeit des organisatorischen Rahmens für forensische Ermittlungen (vgl. S. 60). Hier wäre ein internationaler oder zumindest nationaler Standard wünschenswert, um sich vor Gericht an einer erprobten Leitlinie orientieren zu können. Führt man sich vor Augen, wie stark bereits diverse deutsche Wirtschaftsunternehmen im Bereich der IT-Forensik engagiert sind, so wäre es mehr als bedauerlich, die Standardisierung nur "den anderen" zu überlassen.
Auch eine Zertifizierung von Fachpersonal wäre hilfreich: Mittlerweile bewerben etliche Firmen Dienstleistungen im Bereich der IT-Forensik, es gibt aber mangels festgelegter Kriterien oder Prüfungen keine objektive Vergleichbarkeit der unterschiedlichen Anbieter. Somit obliegt es momentan der Mundpropaganda oder der Wirksamkeit des Auftretens einer Firma, mehr oder weniger Eindruck auf potenzielle Auftraggeber zu machen. Dies ist umso bedenklicher als die IT-Forensik im Lichte der eingangs erwähnten Regulatorien mittlerweile ein unverzichtbares Hilfsmittel zum Risikomanagement geworden ist, bei dem jedoch bisweilen selbst große Konzerne auf externe Dienstleister angewiesen sind.
Volker Schwaberow ist Technologie-Berater und IT-Sicherheitsbeauftragter bei der SBI Ruhr GmbH, einer hundertprozentigen Tochter der Siemens Business Services.
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 66
![[Screenshot]](images/06-2-066-1.jpg)
![[Screenshot]](images/06-2-066-2.jpg)
