Ausgabe Juni 2008

Titelthema: Einbruch? - Spuren und Daten nach Crackversuchen oder Beschlagnahme richtig sichern

Probeabo

Leider nicht mehr lieferbar.

Listings

Es ist das Dilemma der digitalen Forensik: Rechner herunterfahren und die Festplatte in Ruhe durchsuchen? Oder am lebenden Objekt forschen und unter Zeitdruck flüchtige Spuren im RAM verfolgen? Besser wäre es, den RAM-Inhalt für spätere Analysen zu konservieren. Der erste Schritt dazu: Rechner aus!

Für Normaluser funktionieren viele Befehle nur, wenn ihnen Set-UID administrative Privilegien verleiht. Doch das ist riskant - ein Bug und etwas Pech genügen, schon ist der User Root. Klug gesetzte Posix Capabilities statt S-Bits beschränken die Zusatzrechte dagegen auf das Nötigste.

Das Mac-Utility Spotlight führt selbst hartgesottene Apple-Fanboys von der Maus wieder zurück zur Tastatur. Ein kurzes Perl-Skript implementiert das praktische Utility für den Linux-Desktop nach.

Im Bereich der 3D-Grafik genießt freie Software einen guten Ruf. Neben Blender gibt es weitere hochwertige Projekte: Makehuman erstellt realistische Menschen-Bilder in 3D, und Art of Illusion hilft mit einer intuitiven Benutzeroberfläche beim Einstieg in die Welt der Animationsfilme.

Wer Samba-Promi ist oder auch nur an den Code gewordenen Ergebnissen der neuen Microsoft-Dokumentation interessiert war, blieb Mitte April eigentlich nur der Weg nach Göttingen. Auf der Samba XP herrschte dann auch die entsprechende Dichte an Entwicklern, Projektleitern und CIFS-Neuigkeiten.

Forensik muss sich nicht nur in abgeschirmten Laboren abspielen, nachdem alles vorbei ist. Manchmal ist auch am kontaminierten, aber lebenden Objekt mitzuvollziehen, was gerade passiert.

Red Hats Desktop-Team bekräftigte gerade in einem Blog-Eintrag, Privatanwender seien auch künftig keine lukrativen Kunden. Der Markt für Privat-PCs leide an der Dominanz eines großen Anbieters, was den Aufbau eines funktionierenden Geschäfts verhindere. Auch das obere Management des Mitbewerbers Novell äußert sich stets in gleicher Weise. Der naheliegende Grund ist, dass das auf Subscriptions fußende Erlösmodell mit Endkunden nicht funktioniert. Anders als mittelgroße und große Firmen, denen geprüfte (Sicherheits-)Patches für ihre Linux-Systeme jährliche Zahlungen wert sind, erwarten Privatanwender und kleine Firmen, dass ihnen der Betriebssystemhersteller (Microsoft, Apple, ein Linux-Distributor) Aktualisierungen kostenlos anbietet.

Wenn nach der Durchsuchung Beamte eine Festplatte mitnehmen, landet sie bei einem professionellen Forensiker in einer Behörde. Auf den folgenden Seiten erklärt ein Ausbilder, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren.

Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert.

Moderne Dateisysteme löschen Metadaten gründlich und erschweren das forensische Wiederherstellen von Files. Statt die Datenblöcke manuell wieder zusammenzupuzzeln, erkennen Werkzeuge wie Foremost und Scalpel typische Datenstrukturen und schnitzen Dateien aus einem Festplatten-Image.