Open Source im professionellen Einsatz

Problematische Systeme in eine virtuelle Umgebung überführen

Richtig einbürgern

Hans-Peter Merkel , Markus Feilner

Wenn der alte Linux-Server mit seinem Raid-Verbund oder die betagte Windows-Kiste in ein neues, virtuelles Heim umziehen, sind gute Ideen und Software wie Opengates die besten Umzugshelfer. Der Artikel beschreibt zwei Beispiele aus einem aktuellen Gerichtsverfahren.

Schöner Mist. Die alte Pizzaschachtel tut\'s nicht mehr. Wer jetzt noch Zugriff auf die Daten im Raid-Verbund braucht, muss tricksen. Das Gleiche gilt für den Admin, der seinen Windows-Rechner in eine Virtualisierung einbauen will. Forensiker in Ermittlungsbehörden stehen noch viel häufiger vor solchen Problemen und haben dafür interessante Lösungen entwickelt. Zwar gehört es zu ihrer täglichen Arbeit, ein beliebiges Linux-System zu virtualisieren [1], doch mehrere Festplatten wieder passend zusammenzuführen erweist sich oft als viel schwieriger.

Ungeliebtes Blau

In der Microsoft-Welt lauern andere Hürden. Das beginnt schon mit dem berüchtigten Blue Screen of Death direkt nach dem Booten wegen falscher IDE-Treiber und geht über die verfallene Systemregistrierung beim Hersteller bis zur Anmeldung am System mit dem richtigen Passwort. Bis ein arbeitsfähiger Desktop erscheint, ist einiges an Vorarbeit notwendig. Der Forensiker Gillen Daniel hat dafür mit Opengates [2] ein Tool entwickelt, das auch dem Windows-Admin gute Dienste leistet.

Laufendes Verfahren

Beide Maschinen im folgenden Beispiel stammen aus einem Ermittlungsverfahren: Fahnder hatten einen Linux-Server sichergestellt, auf dem ein Software-Raid werkelte, gemanagt von einem Flash-Modul auf dem IDE-Steckplatz. Der dazu passende Client ging unter Windows XP auf Kundenfang für die zentrale MySQL-Datenbank auf dem Root-Server beim Provider. Um die beiden Maschinen auszuwerten, ohne die Daten darauf zu verändern, musste eine Virtualisierung herhalten.

Dafür eignet sich am besten ein leistungsfähiger Linux-Rechner wie ihn der Kasten "Der ideale Gastgeber" beschreibt. Auf dem Server, einer handelsüblichen Pizzabox, wie sie Internet Service Provider massenhaft einsetzen, fanden die Ermittler drei Festplatten (Listing 1). Dabei fiel ihnen vor allem die winzige IDE-Disk mit einer Kapazität von nur 2 GByte auf. Erst der Blick unter die Haube lüftete das Geheimnis (Abbildung 1).

F Abbildung 1: Ein gerade mal 2 GByte großes Transcend-Flash-Modul steckt auf dem IDE-Port und beinhaltet das Betriebssystem. Auch die Konfiguration des Raid-Verbunds findet sich hier.

Der ideale Gastgeber
Die Clientsoftware live im Einsatz zu zeigen erweist sich vor Gericht oft als deutlich wirkungsvoller als die besten Screenshots. Deshalb richten die meisten Ermittler einen speziellen Auswerte-PC ein. Er besitzt typischerweise eine AMD64-Quadcore-CPU mit 8 GByte RAM und läuft als Linux-Virtualisierungshost. Vergleichbare Windows-Hosts mit 32 Bit unterstützen lediglich 3,2 GByte Arbeitsspeicher, stabile 64-Bit-Systeme sind derzeit rar. Als Host-OS kommt das bewährte 64-Bit-Debian Squeeze mit KVM zum Einsatz. Alternativ könnten auch Qemu oder Virtualbox dienen.

Der ideale Gastgeber

Die Clientsoftware live im Einsatz zu zeigen erweist sich vor Gericht oft als deutlich wirkungsvoller als die besten Screenshots. Deshalb richten die meisten Ermittler einen speziellen Auswerte-PC ein. Er besitzt typischerweise eine AMD64-Quadcore-CPU mit 8 GByte RAM und läuft als Linux-Virtualisierungshost.

Vergleichbare Windows-Hosts mit 32 Bit unterstützen lediglich 3,2 GByte Arbeitsspeicher, stabile 64-Bit-Systeme sind derzeit rar. Als Host-OS kommt das bewährte 64-Bit-Debian Squeeze mit KVM zum Einsatz. Alternativ könnten auch Qemu oder Virtualbox dienen.