Open Source im professionellen Einsatz
Linux-Magazin 06/2008

Spuren und Daten nach Crackversuchen oder Beschlagnahme richtig sichern

Einbruch?

Es ist das Dilemma der digitalen Forensik: Rechner herunterfahren und die Festplatte in Ruhe durchsuchen? Oder am lebenden Objekt forschen und unter Zeitdruck flüchtige Spuren im RAM verfolgen? Besser wäre es, den RAM-Inhalt für spätere Analysen zu konservieren. Der erste Schritt dazu: Rechner aus!

670

Inhalt

32 | Live-Forensik

Forensik muss sich nicht im Labor abspielen, nachdem alles vorbei
ist. Manchmal ist es besser, am kontaminierten, aber lebenden
Objekt mitzuvollziehen, was gerade passiert.

38 | Windows-Analyse

Ein BKA-Ausbilder erklärt, wie Beamte mit Hilfe von
Linux-Bordmitteln interessante Details aus sichergestellten
Windows-Festplatten extrahieren.

44 | OCFA für Reihenuntersuchungen

Die niederländische Polizei hat mit der Open Computer
Forensics Architecture einen Werkzeugsatz geschaffen, der
wesentliche Schritte automatisiert.

46 | File-Carving

Foremost, Scalpel & Co. erkennen Datenstrukturen und setzen aus
dem Puzzle Files zusammen, ohne das Dateisystem zu kennen.

50 | Fundgrube Flash

Flashspeicher und deren Dateisysteme halten prinzipbedingt
besonders viele Chancen bereit, an gelöschte Daten
heranzukommen.

Tatort Serverraum: Der Einbrecher benötigt weder Dietrich noch den Schutz der Nacht. Er kommt und geht übers Internet und sorgt sich nicht um Verhaftung auf frischer Tat. Aber er hinterlässt Spuren! Die zu finden und zu deuten, auch wenn der Angreifer sie verschleiert oder zu löschen versucht, ist in solchen Fällen die dringlichste Aufgabe des Admin und der Strafverfolgungsbehörden.

Das Forensik genannte Fachgebiet hält hierfür Tools bereit, die auch bei ganz banalen Problemen helfen, etwa als Undelete-Ersatz bei versehentlich gelöschten Files. Selbst wenn nur ein Serverdienst verrückt spielt, ohne dass ein Saboteur im Spiel war, empfehlen sich forensische Methoden bei der Aufklärung.

Der forensischen Vielfalt geschuldet widmet sich diese Linux-Magazin-Ausgabe den wichtigsten Aufgaben, vor denen Admins und Privatanwender stehen. Im Vordergrund stehen die Analyse am lebenden Objekt sowie die Untersuchung von Festplatten-Images. Beide Ansätze haben ihre Vor- und Nachteile, zum Beispiel hat bei Image-Analysen der Ertappte keine Chance mehr, seine Spuren zu verwischen. Freilich gehen bei der rabiaten Methode die Inhalte des Hauptspeichers flöten und damit eventuell die einzigen Hinweise auf den Täter.

Der vergessene Weg

Es gibt einen dritten Weg, der zu Unrecht wenig Beachtung findet: Speicheranalyse per RAM-Dump. Die ist nur in der traditionellen Variante so unsicher wie die anderen. Wer sich erst am Rechner anmelden muss, um »/dev/mem« auszulesen und auf einen Datenträger zu kopieren, läuft Gefahr, dass ihn der Eindringling entdeckt und sich augenblicklich zurückzieht. Oder ein Kernel-Rootkit manipuliert das Mem-Device und gaukelt dem Forensiker ein blütenreines System vor. Einem gehackten System ist nicht zu trauen, auch nicht seinem Kernel.

Dennoch implementieren kommerzielle Forensik-Programme eigene Speicheranalyse-Techniken ([1], [2]) und es gibt entsprechende Open-Source-Tools, etwa von Tobias Klein ([3], [4]) oder George M. Garner Jr. [5]. Die sind durchaus sinnvoll, da die meisten Eindringlinge eben doch nicht so versiert vorgehen.

Glücklicherweise existieren moderne Wege, um an den Speicherinhalt zu kommen. Einen gibt die Virtualisierung vor: Knackt ein Angreifer ein Gastsystem und schafft es nicht, aus diesem in den Host auszubrechen, dann hat der Admin leichtes Spiel. Aus dem Host heraus kann er in Ruhe den Speicher des Gastsystems sichern. Zum Beispiel bei Xen mit dem simplen Aufruf »xm save VM1 VM1.chk«. Nach Lust und Gespür kann er das System sogar weiterlaufen lassen und mehrere Snapshots anfertigen.

Flüchtigkeitsfalle

Für nicht virtualisierte Systeme gibt es spezialisierte Hardware-Erweiterungen, die den RAM-Inhalt kopieren [6]. Verblüffenderweise kann man Speicher sogar via Firewire kopieren [7]: Der IEEE-1394-Standard schreibt einen DMA-Zugriff vor (Direct Memory Access), infolge dessen ein fremdes Gerät den kompletten Speicher lesen kann, ohne dass das Betriebssystem involviert wäre.

Den Knüller lieferten Ende Februar aber Forscher der Princeton University zusammen mit einigen Kollegen. Ihnen gelang es, den RAM-Inhalt selbst nach einem Kaltstart des Rechners noch auszulesen [8]. In ihrem Forschungspapier [9] legen sie detailliert dar, wie sie einen Rechner ausschalten, wieder einschalten, den alten Hauptspeicherinhalt auslesen und daraus kryptographische Schlüssel rekonstruieren. Zwar zielt die Princeton-Gruppe auf Angriffstechniken ab, ihr Ansatz eignet sich aber auch für die Forensik.

Für Insider war die Tatsache, dass der Speicherinhalt einen Kaltstart übersteht, nicht überraschend ([10], [11], [12]). Nur genutzt hat dies bisher offenbar kaum jemand. Es ist verblüffend, wie lange die Daten erhalten bleiben. Je nach RAM-Typ überdauern sie einige Sekunden bis mehrere Minuten. Das genügt, um einen Rechner aus- und gleich wieder einzuschalten. Danach darf natürlich kein normales System booten, da dies den Speicher sofort wieder überschreibt.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • DEFT Linux 7.2 mit Autopsy 3 Beta und USB 3

    Das Digital Evidence & Forensic Toolkit (DEFT), eine Live-Distribution mit Forensik-Tools, ist in Version 7.2 verfügbar.

  • Volatility 2.3

    Spurensuche im RAM, das ist die Domäne von Volatility. Das Forensiker-Werkzeug hilft Admins dabei, zu analysieren, was auf einem System schiefgelaufen ist. Für Rückschlüsse auf Malware, laufende oder gar kompromittierte Dienste reicht ihm meist ein Abbild des Arbeitsspeichers.

  • FCCU-Forensik-CD generalüberholt

    Die FCCU GNU/Linux Forensic Bootable CD ist in Version 12.0 erschienen, die umfassende Neuerungen mitbringt. Unter anderem basiert die Live-CD nun nicht mehr auf Knoppix sondern auf Debian Live.

  • Werkzeuge fürs Image

    Wer wie Forensiker mit Images von ganzen Platten auf seinem Rechner hantiert, schätzt Formate, die die Datenmenge reduzieren, und Werkzeuge, die die Verarbeitung beschleunigen.

  • Analyse am Fließband

    Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.