Spuren und Daten nach Crackversuchen oder Beschlagnahme richtig sichern

Tatort Serverraum: Der Einbrecher benötigt weder Dietrich noch den Schutz der Nacht. Er kommt und geht übers Internet und sorgt sich nicht um Verhaftung auf frischer Tat. Aber er hinterlässt Spuren! Die zu finden und zu deuten, auch wenn der Angreifer sie verschleiert oder zu löschen versucht, ist in solchen Fällen die dringlichste Aufgabe des Admin und der Strafverfolgungsbehörden.

Das Forensik genannte Fachgebiet hält hierfür Tools bereit, die auch bei ganz banalen Problemen helfen, etwa als Undelete-Ersatz bei versehentlich gelöschten Files. Selbst wenn nur ein Serverdienst verrückt spielt, ohne dass ein Saboteur im Spiel war, empfehlen sich forensische Methoden bei der Aufklärung.

Der forensischen Vielfalt geschuldet widmet sich diese Linux-Magazin-Ausgabe den wichtigsten Aufgaben, vor denen Admins und Privatanwender stehen. Im Vordergrund stehen die Analyse am lebenden Objekt sowie die Untersuchung von Festplatten-Images. Beide Ansätze haben ihre Vor- und Nachteile, zum Beispiel hat bei Image-Analysen der Ertappte keine Chance mehr, seine Spuren zu verwischen. Freilich gehen bei der rabiaten Methode die Inhalte des Hauptspeichers flöten und damit eventuell die einzigen Hinweise auf den Täter.

Der vergessene Weg

Es gibt einen dritten Weg, der zu Unrecht wenig Beachtung findet: Speicheranalyse per RAM-Dump. Die ist nur in der traditionellen Variante so unsicher wie die anderen. Wer sich erst am Rechner anmelden muss, um »/dev/mem« auszulesen und auf einen Datenträger zu kopieren, läuft Gefahr, dass ihn der Eindringling entdeckt und sich augenblicklich zurückzieht. Oder ein Kernel-Rootkit manipuliert das Mem-Device und gaukelt dem Forensiker ein blütenreines System vor. Einem gehackten System ist nicht zu trauen, auch nicht seinem Kernel.

Dennoch implementieren kommerzielle Forensik-Programme eigene Speicheranalyse-Techniken ([1], [2]) und es gibt entsprechende Open-Source-Tools, etwa von Tobias Klein ([3], [4]) oder George M. Garner Jr. [5]. Die sind durchaus sinnvoll, da die meisten Eindringlinge eben doch nicht so versiert vorgehen.

Glücklicherweise existieren moderne Wege, um an den Speicherinhalt zu kommen. Einen gibt die Virtualisierung vor: Knackt ein Angreifer ein Gastsystem und schafft es nicht, aus diesem in den Host auszubrechen, dann hat der Admin leichtes Spiel. Aus dem Host heraus kann er in Ruhe den Speicher des Gastsystems sichern. Zum Beispiel bei Xen mit dem simplen Aufruf »xm save VM1 VM1.chk«. Nach Lust und Gespür kann er das System sogar weiterlaufen lassen und mehrere Snapshots anfertigen.

Flüchtigkeitsfalle

Für nicht virtualisierte Systeme gibt es spezialisierte Hardware-Erweiterungen, die den RAM-Inhalt kopieren [6]. Verblüffenderweise kann man Speicher sogar via Firewire kopieren [7]: Der IEEE-1394-Standard schreibt einen DMA-Zugriff vor (Direct Memory Access), infolge dessen ein fremdes Gerät den kompletten Speicher lesen kann, ohne dass das Betriebssystem involviert wäre.

Den Knüller lieferten Ende Februar aber Forscher der Princeton University zusammen mit einigen Kollegen. Ihnen gelang es, den RAM-Inhalt selbst nach einem Kaltstart des Rechners noch auszulesen [8]. In ihrem Forschungspapier [9] legen sie detailliert dar, wie sie einen Rechner ausschalten, wieder einschalten, den alten Hauptspeicherinhalt auslesen und daraus kryptographische Schlüssel rekonstruieren. Zwar zielt die Princeton-Gruppe auf Angriffstechniken ab, ihr Ansatz eignet sich aber auch für die Forensik.

Für Insider war die Tatsache, dass der Speicherinhalt einen Kaltstart übersteht, nicht überraschend ([10], [11], [12]). Nur genutzt hat dies bisher offenbar kaum jemand. Es ist verblüffend, wie lange die Daten erhalten bleiben. Je nach RAM-Typ überdauern sie einige Sekunden bis mehrere Minuten. Das genügt, um einen Rechner aus- und gleich wieder einzuschalten. Danach darf natürlich kein normales System booten, da dies den Speicher sofort wieder überschreibt.