Open Source im professionellen Einsatz
Linux-Magazin 06/2008

Forensikwerkzeuge der niederländischen Polizei

Analyse am Fließband

Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert.

632

Wer wissen will, mit welchen Tools professionelle Ermittler in Strafverfolgungsbehörden arbeiten, wird bei der niederländischen Polizei [1] fündig, deren Open Computer Forensics Architecture (OCFA) [2] steht unter der GPL. Die niederländischen Behörden nutzen das modulare Framework für die forensische Analyse von Rechnern, um per Automatisierung die kriminalistischen Ermittlungen zu beschleunigen.

Bei digitaler Kriminalität stehen die Polizisten häufig vor einem Dilemma. Sie haben zu wenig Fachpersonal, um alle digitalen Beweise fachgerecht zu sammeln und zu analysieren. Allerdings werden digitale Beweise auch in den alltäglichen Untersuchungen immer wichtiger - Daten der Handys und der persönlichen Computer verdächtiger Personen sind relevante Indizien und Beweise bei fast jeder Untersuchung.

Um diese Aufgabe zu meistern, teilt die OCFA sie in zwei Fachgebiete: Zunächst extrahieren Mitarbeiter mit Kenntnissen in der digitalen Forensik die Inhalte von Festplatten und anderen Geräten und bereiten die Daten auf. Anschließend durchsuchen und betrachten Ermittler mit einem leicht bedienbaren Webinterface die Daten, sie können sich ganz auf die Spurensuche konzentrieren.

Die Architektur ist primär eine Umgebung, die existierende forensische Werkzeuge und Bibliotheken vereint und für die Beweissammlung nutzt. Ziel der OCFA ist eine modulare, robuste und fehlertolerante Umgebung für die Analyse mehrerer Terabyte Daten in großen forensischen Analysen.

Rekursive Waschstraße

Die Macher von OCFA bezeichnen die Analyse als digitale Waschstraße (Digiwash) und installieren OCFA im Verzeichnis »/usr/local/digiwash«. Sie liefern für OCFA 2.0.2 sogar fertige Pakete für Debian Etch, Ubuntu 5.10 sowie Suse 9.3 und 10.1. In den Tar-Archiven stecken die RPMs oder DEBs von OCFA und etlichen Zusatzpaketen sowie Installationsanleitungen. Diese beschreiben auch, welche Pakete vorab händisch zu installieren sind. Die aktuelle Version 2.1.0 gibt es jedoch nur noch als Source-Paket.

Eine der ersten Hürden bei der forensischen Analyse ist die schiere Menge an Beweismaterial. Es gilt, in Hunderten GByte irrelevanter Daten belastendes Material aufzuspüren. Files und Verzeichnisse zu überspringen, nur weil ihr Name vertraut klingt, wäre aber fahrlässig. Viele forensische Werkzeuge liefern daher eine automatische Analyse und Charakterisierung der gefundenen Dateien.

Digiwash geht einen Schritt weiter. Es bestimmt zunächst den Dateityp der gefundenen Dateien mit »file«. Anschließend analysiert es automatisch bestimmte Dateitypen und spart dem Forensiker damit manuelle Arbeit. Microsoft-Word-Dateien und andere Office-Dokumente indiziert OCFA mit Hilfe von Lucene, den Rohtext extrahiert es mit »antiword«. Für PDF-Dateien verwendet es »pdftotext«, via »mailwash« zieht es Dateien und Metadaten aus E-Mail-Boxen. Sogar an die Informationen in einem PGP-Schlüsselbund (Keyring) haben die Entwickler gedacht und bilden die Key-IDs signierter und verschlüsselter Mails auf den Klarnamen ab. Fotos fasst OCFA zusammen und erzeugt Vorschaubilder.

Gezippte Archive und andere Container zerlegt das Framework automatisch in ihre Bestandteile und führt die gewonnenen Dateien erneut der Analyse zu. So analysiert es rekursiv alle Daten und stellt ihre Informationen dem Ermittler zur Verfügung (Abbildung 1).

Abbildung 1: OCFA analysiert die Flut an Daten automatisch und stellt sie dem Ermittler zur Verfügung. Dabei erzeugt es einen Suchindex für Textdokumente und Thumbnails für Bilder, es zerlegt Archive und sortiert harmlose Files selbstständig aus.

Nützliche Fingerabdrücke

Um bei seiner Analyse die Datenmenge zu reduzieren, kann der Forensiker Hash-Datenbanken bekannter Dateien einbinden. Die enthalten MD5- oder SHA1-Prüfsummen von Files, die der Ermittler in der Analyse ignorieren darf. Zum Beispiel sind alle unveränderten Dateien des Betriebssystems irrelevant. Lediglich Modifikationen durch ein Trojanisches Pferd interessieren den Forensiker.

Solche Datenbanken gibt es beispielsweise vom US-amerikanischen National Institute for Standards and Technology (NIST) kostenlos zum Download [5]. Auch andere Forensikwerkzeuge, etwa Autopsy [6], nutzen diese National Software Reference Library (NSRL). Sie liegt gezippt auf vier CD-Images bereit. Ein Perl-Skript aus dem OCFA-Paket berechnet anhand der ISO-Files eigene Hashsets, die der Admin in das Digiwash-Verzeichnis kopieren muss. Das Umwandeln nimmt einige Zeit in Anspruch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Selbst geschnitzt

    Moderne Dateisysteme löschen Metadaten gründlich und erschweren das forensische Wiederherstellen von Files. Statt die Datenblöcke manuell wieder zusammenzupuzzeln, erkennen Werkzeuge wie Foremost und Scalpel typische Datenstrukturen und schnitzen Dateien aus einem Festplatten-Image.

  • Einbruch?

    Es ist das Dilemma der digitalen Forensik: Rechner herunterfahren und die Festplatte in Ruhe durchsuchen? Oder am lebenden Objekt forschen und unter Zeitdruck flüchtige Spuren im RAM verfolgen? Besser wäre es, den RAM-Inhalt für spätere Analysen zu konservieren. Der erste Schritt dazu: Rechner aus!

  • Fenster-Kit

    Wenn nach der Durchsuchung Beamte eine Festplatte mitnehmen, landet sie bei einem professionellen Forensiker in einer Behörde. Auf den folgenden Seiten erklärt ein Ausbilder, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren.

  • Bücher

    Im ersten Buch dürfen Open-Source-Tools zeigen, was sie für die forensische Analyse taugen. Der zweite Titel vermittelt Programmierern den Umstieg auf den neuen Sprachstandard C++11.

  • Sichergestellt

    Auch bei der Strafverfolgung spielen virtuelle Systeme eine immer größere Rolle. Wie Ermittler mit KVM vermeintlich unlesbare Images von beschlagnahmten Servern auswerten, zeigt dieser Artikel.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.