Beweise sammeln, während der Angreifer noch aktiv ist

Die Aufgabengebiete eines Computer-Forensikers sind vielfältig, zu seinen häufigsten Aufgaben gehören aber bestimmt Post-Mortem-Analysen von Festplatten. Das liegt nicht zuletzt daran, dass es oft eine ganze Weile dauert, bis Anwender einen Vorfall, etwa einen Einbruch in einen Server, überhaupt entdecken. Wer dann kein geschultes Personal oder keinen Notfallplan hat, der genau festlegt, was in solchen Situationen zu tun ist, wird im besten Fall den Rechner ausschalten und einem Experten übergeben.

Es gibt jedoch auch Fälle, in denen dies explizit nicht gewünscht ist. Manchmal ist es wichtiger, herauszufinden, wer der freventliche Angreifer ist oder wie er vorgeht, als die Daten selbst zu schützen. Ein solcher Fall könnte bei einer Testinstallation vorliegen, die durch ihre Firewallregeln eigentlich keinen externen Zugriff erlauben soll. In dieser Situation ist die Spezialdisziplin der Live-Forensik gefragt. Sie findet am laufenden System, mitunter zeitgleich zum Angriff statt.

Offen oder verdeckt?

Es gibt eine Reihe von Fragestellungen der Forensik, die sich letztlich nur aus dem Kontext der Untersuchung heraus beantworten lassen. Dazu gehört die Überlegung, ob eine Ermittlung offen - und damit auch für den Angreifer ersichtlich - geführt werden soll oder ob dieser unter keinen Umständen davon etwas mitbekommen soll [1].

Forensisch untersuchte Computer verhalten sich in einigen Aspekten wie Teilchen der Quantenmechanik: Wer sie anschaut, ändert schon damit ihren Zustand. Ein »ps«-Kommando kann auch der Angreifer sehen, ein »find« über die komplette Festplatte nach verräterischen Dateien überschreibt im Regelfall die wertvollen »atime«-Records des Filesystems, die angeben, wann zuletzt ein Benutzer auf eine Datei zugegriffen hat. Aus dieser Erkenntnis folgt, dass sich ein System nicht vollständig ohne Spuren sichern lässt. Ist der Forensiker sich jedoch seiner Aktivitäten bewusst, kann er sie bei seiner Auswertung berücksichtigen.

Gelegentlich wiegt also das Interesse, die Vorgänge aufzuklären, schwerer als der Versuch, den Angreifer in Sicherheit zu wiegen. Dazu kommt die Erkenntnis, dass sowieso automatisierte Skripte und Programme die Mehrzahl aller Angriffe ausführen. Einen Angreifer in flagranti mit den Fingern an der Konsole zu erwischen ist eher unwahrscheinlich.

Schnelle Spurensicherung am Tatort

Am konkreten Tatort steht also zuerst die Frage an, ob Rücksicht auf Beweisbarkeit und minimale Spuren des Forensikers genommen werden soll. Ist dies der Fall, bietet es sich tatsächlich an, das System möglichst umgehend vom Netz zu trennen und mit Low-Level-Tools Abzüge der Festplatten und anderer für die Analyse wichtiger Komponenten (im Wesentlichen des Hauptspeichers) auf externe Sicherungsspeicher anzufertigen.

Für einen Low-Level-Dump kann sich »dd« eignen, nützlich sind hinreichend dimensionierte USB-Festplatten oder per Netzwerk ansprechbare Volumes. Einige Experten raten auch dazu, mit einem simplen »netcat« Daten auf ein im selben Netz eingebrachtes Sicherungssystem zu überspielen und dort zu speichern.

Bei der weiteren Betrachtung sollen diese Variante und die diversen Auswertungsverfahren und -werkzeuge jedoch ausgeklammert bleiben. Stattdessen stellt sich die Frage, wie sich möglichst umfangreiche Informationen über das laufende System herausfinden lassen.