KVM-Virtualisierung hilft Ermittlern Beweismittel sichern

Die Verdächtigen dürften sich die Augen gerieben haben, als ihr komplettes Netzwerk aus Servern auf einmal nicht mehr erreichbar war. Deutsche Strafverfolger hatten zugeschlagen und mehr als 50 Rechner, Root-Server und virtuelle Instanzen im Bundesgebiet sowie zahlreiche Maschinen im europäischen Ausland beschlagnahmt.

Mittlerweile stellen derartige Erfolge die fast schon typische Ausbeute einer einzelnen Aktion gegen Internetkriminalität dar. Aber mit Finden, Abschalten und Beschlagnahme ist es für die Beamten noch lange nicht getan, die wirkliche Arbeit der Beweissicherung fängt jetzt erst an.

Jäger und Gejagte

Es geht um Rechner, Server, virtuelle Server, Festplatten, Partitionen, Images und ganze Raid-Verbünde, oft handelt es sich bei den auszuwertenden Servern nur um Xen- oder Vserver-Instanzen, oder ein in flagranti erwischter Straftäter hat gar temporär ein virtuelles Betriebssystem in einer Datei benutzt, das er nach der Straftat durch einfaches Wipen des Image entsorgen wollte. Den Ermittlern stehen in all diesen Fällen die Dateisysteme der beteiligten Rechner für die Auswertung zur Verfügung, in der Regel erstellen sie dafür zunächst Images der beschlagnahmten Server, mounten diese in einem speziellen Linux-Auswertesystem und lassen dann ellenlange Grep- und Find-Befehle laufen.

Immer häufiger nutzen die Ermittler aber auch Virtualisierungsumgebungen, zum Beispiel um die Fallauswertung vor Gericht besser darlegen zu können, indem sie von sichergestellter Hardware Images erstellen und diese vor dem Richter in einer Virtualisierung booten.

VMware zusammen mit Live View ([1], Abbildung 1) ist dabei immer noch die am häufigsten eingesetzte Lösung, wegen des unkomplizierten Handlings tritt allerdings immer häufiger KVM an deren Stelle, vor allem wenn die Anzahl der sichergestellten Systeme zweistellig wird. Dabei gibt in der Regel nicht die Plattform (Windows oder Linux) den Ausschlag, sondern der Umgang mit den Filesystem-Images und virtuellen Instanzen.

Abbildung 1: VMware Live View ist immer noch eines der Standardtools der Forensiker, allerdings läuft ihm KVM gerade den Rang ab.

Wenn wie in dem eingangs beschriebenen Fall mehr als 50 Festplatten von Root-Servern auszuwerten sind, erweist sich die gefällige Mausklick-Oberfläche von VMware als ungeeignet, sie erfordert wahre Klick-Orgien. Auch wenn es nicht an Stabilität und Zuverlässigkeit mangelt, verlangen Massenauswertungen andere Ansätze. Dabei punktet KVM mit seinen einfachen, skriptbaren Kommandos.

Warum KVM?

Auch die Installation gestaltet sich vergleichsweise einfach, die beiden Pakete »kvm« und »libvirt-bin« aus dem Debian-Repository genügen völlig. KVM erweist sich gerade beim Umgang mit unterschiedlichen Plattformen als sehr tolerant, bietet direkten 64-Bit-Support out of the Box für AMD-Prozessoren (AM2-Sockel) und nutzt damit die kompletten 8 GByte Arbeitsspeicher des typischen Debian-Lenny-Auswertesystems der Forensiker.

Die Kernel Virtual Machine glänzt darüber hinaus durch sehr gute Performance, ausgezeichnete Netzwerkunterstützung und die Fähigkeit, USB-Geräte individuell an Gastsysteme durchzureichen. Zahlreiche Systeme automatisiert und gleichzeitig auf einer Maschine zu analysieren gelingt deutlich unkomplizierter als mit anderen Virtualisierungen.

Doch bevor KVM zum Einsatz kommt, muss der Ermittler Images erstellen oder aufbereiten, eine bisweilen langwierige und aufwändige Arbeit. Bei vorgefundenen virtuellen Hosts gestaltet sich das unterschiedlich kompliziert: Xen arbeitet standardmäßig mit Partitions-Images, die sich mit einfachen Kopierbefehlen auf die forensische Auswerteplattform übertragen lassen. Der Admin kann sie zwar ohne Umweg mounten, aber nur ein Xen-Host erweckt die virtuellen Maschinen wieder zum Leben.