Die Forensik-Distribution Caine 2.0 - Seite 3

Grafische Oberfläche

Aber auch ohne Sshfs hat Caine einiges zu bieten, gerade an der grafischen Oberfläche (Abbildung 3). Das benutzerfreundliche Caine-Interface-GUI macht Einsteigern den Anfang leicht, es liegt als Icon direkt auf dem Desktop und ermöglicht auch das Anfertigen detaillierter Berichte.

Abbildung 3: Auf dem Desktop der Caine-CD: Icons zur Installation auf der Festplatte, die Bash Script Tools und das Caine-Interface.

Wieder zurück auf der Kommandozeile finden sich die Bash Script Tools, eine Sammlung von Bash- und Perl-Skripten für den fortgeschrittenen Forensiker (im Verzeichnis »/usr/share/caine/pacchetti/scripts«). Unter der Haube schlummern weitere Schätze: Wie der Bulk Extractor aus der Afflib auch Offiziellen in Afghanistan dabei hilft, aus Windows-Systemen die Spuren von Verdächtigen herauszufiltern, zeigt der Kasten "Caine in Afghanistan".

Caine in Afghanistan
Linux-Magazin-Autor Hans-Peter Merkel hat die Tauglichkeit von Caine im Rahmen einer Open-Source-Ausbildung für ein afghanisches Ministerium fünf Tage lang in Kabul getestet. Teilnehmer mit minimalen Linux-Kenntnissen sollten dabei Images erstellen und erste forensische Tätigkeiten lernen. Als Übungsobjekte dienten schlanke Acer-Aspire-Netbooks mit doppeltem Keyboardlayout (persisch und amerikanisch). Die Geräte stellte das Skateistan-Projekt [12] zur Verfügung, Linux4Afrika [13] integrierte sie später in eine Terminalserver-basierte Lösung für afghanische Straßenkinder. Zwar scheiterte der Einsatz der Live-CD zunächst am nicht vorhandenen optischen Laufwerk, mit USB-Sticks klappte die Arbeit jedoch problemlos. Alle E-Mail- und IP-Adressen Anschließend erzeugten die Teilnehmer mit Ewfacquire EWF-Images vom vorinstallierten (persischen) Windows XP auf externen Festplatten. Den Wunsch der Kursteilnehmer, mit einem Befehl alle E-Mail- und IP-Adressen auf der Festplatte zu finden, erwies sich zunächst als überraschend anspruchsvolles Thema. Nach der Einführung in den unallocated Space, RAM- oder Fileslack [14] einer Festplatte war schnell klar, dass das Prüfen des Inhalts von Dateien hier nicht reicht, und auch reguläre Ausdrücke zur Ermittlung von E-Mail-Adressen wirkten eher kontraproduktiv. Der Bulk Extractor Das Afflib-Projekt stellt für diese Aufgabe den Bulk Extractor zur Verfügung, der auch auf der Caine-Distribution vorhanden ist. »bulk_extractor /dev/sda1 -o /tmp/bulk« erzeugt ein Verzeichnis »bulk«, in dem - sauber gruppiert - alle gefundenen E-Mail-Adressen, IP-Adressen, URLs und sogar CCNs (mögliche Kreditkartennummern) aufgelistet sind. Abbildung 4 zeigt diesen Durchlauf auf einem frisch installierten Windows 7. Im File «»email_histogramm.txt« findet sich dann folgender Inhalt:: n=48 tj@.tjH.tj n=18 yourname@example.com n=16 SzX@Szh.Sz n=11 Sz@.SzH.SzX.Sz n=10 jemand@example.com n=8 DefaultUser@DefaultDomain.De n=8 anonymous@discussions.microsoft.com n=6 CPS-requests@verisign.com n=6 someone@microsoft.com n=5 Benutzername@domain.com n=4 4M7@T.UK n=3 itfinc@libertynet.org n=3 jemand@microsoft.com n=1 gates@microsoft.com Die Datei zeigt Namen und Anzahl der Vorkommen der auf dem System gefundenen E-Mail-Adressen. Ähnlich wie bei Facebooks umstrittenen Features lässt sich so einiges über die soziale Vernetzung des Besitzers herausfinden. Abbildung 4: Kreditkartennummern, E-Mail-Adressen, IPs und URLs aus Windows-Festplatten auslesen ist die Stärke von Bulk Extractor.

Caine in Afghanistan

Linux-Magazin-Autor Hans-Peter Merkel hat die Tauglichkeit von Caine im Rahmen einer Open-Source-Ausbildung für ein afghanisches Ministerium fünf Tage lang in Kabul getestet. Teilnehmer mit minimalen Linux-Kenntnissen sollten dabei Images erstellen und erste forensische Tätigkeiten lernen.

Als Übungsobjekte dienten schlanke Acer-Aspire-Netbooks mit doppeltem Keyboardlayout (persisch und amerikanisch). Die Geräte stellte das Skateistan-Projekt [12] zur Verfügung, Linux4Afrika [13] integrierte sie später in eine Terminalserver-basierte Lösung für afghanische Straßenkinder. Zwar scheiterte der Einsatz der Live-CD zunächst am nicht vorhandenen optischen Laufwerk, mit USB-Sticks klappte die Arbeit jedoch problemlos.

Alle E-Mail- und IP-Adressen

Anschließend erzeugten die Teilnehmer mit Ewfacquire EWF-Images vom vorinstallierten (persischen) Windows XP auf externen Festplatten. Den Wunsch der Kursteilnehmer, mit einem Befehl alle E-Mail- und IP-Adressen auf der Festplatte zu finden, erwies sich zunächst als überraschend anspruchsvolles Thema. Nach der Einführung in den unallocated Space, RAM- oder Fileslack [14] einer Festplatte war schnell klar, dass das Prüfen des Inhalts von Dateien hier nicht reicht, und auch reguläre Ausdrücke zur Ermittlung von E-Mail-Adressen wirkten eher kontraproduktiv.

Der Bulk Extractor

Das Afflib-Projekt stellt für diese Aufgabe den Bulk Extractor zur Verfügung, der auch auf der Caine-Distribution vorhanden ist. »bulk_extractor /dev/sda1 -o /tmp/bulk« erzeugt ein Verzeichnis »bulk«, in dem - sauber gruppiert - alle gefundenen E-Mail-Adressen, IP-Adressen, URLs und sogar CCNs (mögliche Kreditkartennummern) aufgelistet sind. Abbildung 4 zeigt diesen Durchlauf auf einem frisch installierten Windows 7. Im File «»email_histogramm.txt« findet sich dann folgender Inhalt::

n=48    tj@.tjH.tj
n=18    yourname@example.com
n=16    SzX@Szh.Sz
n=11    Sz@.SzH.SzX.Sz
n=10    jemand@example.com
n=8     DefaultUser@DefaultDomain.De
n=8     anonymous@discussions.microsoft.com
n=6     CPS-requests@verisign.com
n=6     someone@microsoft.com
n=5     Benutzername@domain.com
n=4     4M7@T.UK
n=3     itfinc@libertynet.org
n=3     jemand@microsoft.com
n=1     gates@microsoft.com

Die Datei zeigt Namen und Anzahl der Vorkommen der auf dem System gefundenen E-Mail-Adressen. Ähnlich wie bei Facebooks umstrittenen Features lässt sich so einiges über die soziale Vernetzung des Besitzers herausfinden.

Abbildung 4: Kreditkartennummern, E-Mail-Adressen, IPs und URLs aus Windows-Festplatten auslesen ist die Stärke von Bulk Extractor.

Fazit

Caine 2.0 ist ein kompakter und gelungener Wurf. Auch der Support des Entwicklerteams ist vielversprechend. Auf die Anfragen der Autoren des Linux-Magazins, fehlende Programme einzubinden, reagierten diese immer in weniger als 24 Stunden. Die Möglichkeit, die Live-CD oder die USB-Stick-Version permanent auf einer Festplatte zu installieren, erlaubt es besonders dem Neuling, schnell in den interessanten Bereich der Computerforensik einzusteigen.

Infos
[1] Russische IT-Mafia greift Italien an: [http://www.itrportal.com/absolutenm/templates/article-security.aspx?articleid=4219&zoneid=18] [2] Caine: [http://www.caine-live.net] [3] Libewf: [http://sourceforge.net/projects/libewf] [4] Hans-Peter Merkel, Markus Feilner, "Von wegen affig": Linux-Magazin 08/09, S. 70, [http://afflib.org] [5] Guymager: [http://guymager.sourceforge.net] [6] Sleuthkit: [http://sleuthkit.org] [7] Autopsy: [http://www.sleuthkit.org/autopsy] [8] Hans-Peter Merkel, Markus Feilner, "Kreuz und quer": Linux-Magazin 10/09, S. 90 [9] Hans-Peter Merkel, Markus Feilner, "Richtig Einbürgern": Linux-Magazin 11/09, S. 70 [10] Openjobs: [https://www.pinguin.lu] [11] Fuse: [http://fuse.sourceforge.net] [12] Skateistan: [http://www.skateistan.org] [13] Linux4afrika: [http://www.linux4afrika.de] [14] Hans-Peter Merkel, Markus Feilner, "Fenster-Kit": Linux-Magazin 06/08, S. 70

Infos

[1] Russische IT-Mafia greift Italien an: [http://www.itrportal.com/absolutenm/templates/article-security.aspx?articleid=4219&zoneid=18]

[2] Caine: [http://www.caine-live.net]

[3] Libewf: [http://sourceforge.net/projects/libewf]

[4] Hans-Peter Merkel, Markus Feilner, "Von wegen affig": Linux-Magazin 08/09, S. 70, [http://afflib.org]

[5] Guymager: [http://guymager.sourceforge.net]

[6] Sleuthkit: [http://sleuthkit.org]

[7] Autopsy: [http://www.sleuthkit.org/autopsy]

[8] Hans-Peter Merkel, Markus Feilner, "Kreuz und quer": Linux-Magazin 10/09, S. 90

[9] Hans-Peter Merkel, Markus Feilner, "Richtig Einbürgern": Linux-Magazin 11/09, S. 70

[10] Openjobs: [https://www.pinguin.lu]

[11] Fuse: [http://fuse.sourceforge.net]