Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert.
Wer wissen will, mit welchen Tools professionelle Ermittler in Strafverfolgungsbehörden arbeiten, wird bei der niederländischen Polizei [1] fündig, deren Open Computer Forensics Architecture (OCFA) [2] steht unter der GPL. Die niederländischen Behörden nutzen das modulare Framework für die forensische Analyse von Rechnern, um per Automatisierung die kriminalistischen Ermittlungen zu beschleunigen.
Bei digitaler Kriminalität stehen die Polizisten häufig vor einem Dilemma. Sie haben zu wenig Fachpersonal, um alle digitalen Beweise fachgerecht zu sammeln und zu analysieren. Allerdings werden digitale Beweise auch in den alltäglichen Untersuchungen immer wichtiger - Daten der Handys und der persönlichen Computer verdächtiger Personen sind relevante Indizien und Beweise bei fast jeder Untersuchung.
Um diese Aufgabe zu meistern, teilt die OCFA sie in zwei Fachgebiete: Zunächst extrahieren Mitarbeiter mit Kenntnissen in der digitalen Forensik die Inhalte von Festplatten und anderen Geräten und bereiten die Daten auf. Anschließend durchsuchen und betrachten Ermittler mit einem leicht bedienbaren Webinterface die Daten, sie können sich ganz auf die Spurensuche konzentrieren.
Die Architektur ist primär eine Umgebung, die existierende forensische Werkzeuge und Bibliotheken vereint und für die Beweissammlung nutzt. Ziel der OCFA ist eine modulare, robuste und fehlertolerante Umgebung für die Analyse mehrerer Terabyte Daten in großen forensischen Analysen.
Die Macher von OCFA bezeichnen die Analyse als digitale Waschstraße (Digiwash) und installieren OCFA im Verzeichnis »/usr/local/digiwash«. Sie liefern für OCFA 2.0.2 sogar fertige Pakete für Debian Etch, Ubuntu 5.10 sowie Suse 9.3 und 10.1. In den Tar-Archiven stecken die RPMs oder DEBs von OCFA und etlichen Zusatzpaketen sowie Installationsanleitungen. Diese beschreiben auch, welche Pakete vorab händisch zu installieren sind. Die aktuelle Version 2.1.0 gibt es jedoch nur noch als Source-Paket.
Eine der ersten Hürden bei der forensischen Analyse ist die schiere Menge an Beweismaterial. Es gilt, in Hunderten GByte irrelevanter Daten belastendes Material aufzuspüren. Files und Verzeichnisse zu überspringen, nur weil ihr Name vertraut klingt, wäre aber fahrlässig. Viele forensische Werkzeuge liefern daher eine automatische Analyse und Charakterisierung der gefundenen Dateien.
Digiwash geht einen Schritt weiter. Es bestimmt zunächst den Dateityp der gefundenen Dateien mit »file«. Anschließend analysiert es automatisch bestimmte Dateitypen und spart dem Forensiker damit manuelle Arbeit. Microsoft-Word-Dateien und andere Office-Dokumente indiziert OCFA mit Hilfe von Lucene, den Rohtext extrahiert es mit »antiword«. Für PDF-Dateien verwendet es »pdftotext«, via »mailwash« zieht es Dateien und Metadaten aus E-Mail-Boxen. Sogar an die Informationen in einem PGP-Schlüsselbund (Keyring) haben die Entwickler gedacht und bilden die Key-IDs signierter und verschlüsselter Mails auf den Klarnamen ab. Fotos fasst OCFA zusammen und erzeugt Vorschaubilder.
Gezippte Archive und andere Container zerlegt das Framework automatisch in ihre Bestandteile und führt die gewonnenen Dateien erneut der Analyse zu. So analysiert es rekursiv alle Daten und stellt ihre Informationen dem Ermittler zur Verfügung (Abbildung 1).
Abbildung 1: OCFA analysiert die Flut an Daten automatisch und stellt sie dem Ermittler zur Verfügung. Dabei erzeugt es einen Suchindex für Textdokumente und Thumbnails für Bilder, es zerlegt Archive und sortiert harmlose Files selbstständig aus.
Um bei seiner Analyse die Datenmenge zu reduzieren, kann der Forensiker Hash-Datenbanken bekannter Dateien einbinden. Die enthalten MD5- oder SHA1-Prüfsummen von Files, die der Ermittler in der Analyse ignorieren darf. Zum Beispiel sind alle unveränderten Dateien des Betriebssystems irrelevant. Lediglich Modifikationen durch ein Trojanisches Pferd interessieren den Forensiker.
Solche Datenbanken gibt es beispielsweise vom US-amerikanischen National Institute for Standards and Technology (NIST) kostenlos zum Download [5]. Auch andere Forensikwerkzeuge, etwa Autopsy [6], nutzen diese National Software Reference Library (NSRL). Sie liegt gezippt auf vier CD-Images bereit. Ein Perl-Skript aus dem OCFA-Paket berechnet anhand der ISO-Files eigene Hashsets, die der Admin in das Digiwash-Verzeichnis kopieren muss. Das Umwandeln nimmt einige Zeit in Anspruch.
Umfang: 2 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
