© puck, Fotolia.de

Aus einem im Antimafikampf erprobten Land stammt eine Linux-Distribution für Forensiker und sicherheitsbewusste Admins. Caine 2.0 basiert auf Ubuntu 10.04 und zieht mit einer umfangreichen Softwaresammlung, benutzerfreundlichem GUI und schnellem Support ins Feld gegen die IT-Camorra.

2007 griff die IT-Mafia an. Mit dem russischen Hacking-Framework Mpack [1] infizierte sie massenweise Server, vorzugsweise in den Rechenzentren des Mittelmeerlandes. Wenig später schlugen knapp zehn italienische Open-Source-Entwickler zurück und warfen die Forensik-CD Caine ins Rennen. Ihr Name steht für Computer Aided Investigative Environment, also eine Umgebung, die sich als Live-CD zur Erfassung von Images und zur Vor-Ort-Analyse kompromittierter Systeme eignet. Gerade erscheint Version 2.0 ([2], auf der DELUG-DVD).

Tatort Internet

An jedem Tatort hat der ITler, ob Forensiker oder Admin, immer zunächst die Datensicherung vor sich. In der Regel heißt das: forensisch korrekte Images zu schreiben, die notfalls auch vor Gericht Bestand haben.

Dafür hat Caine 2.0 die wichtigsten drei Formate, Raw, EWF [3] und AFF [4], an Bord. Ob er dafür ein GUI oder die Kommandozeile nimmt, entscheidet der Anwender beim Booten (Abbildung 1). Wer schon mal in einer Serverfarm bei Internet Service Providern gearbeitet hat, weiß die Kommandozeile zu schätzen. In deren Räumen mit Tausenden Servern finden sich oft nur wenig Peripheriegeräte wie etwa Maus, Tastatur oder Display. Dort kommt der Ermittler mit der Kommandozeile meist weiter, auch übers Netz.

Abbildung 1: Frisch vom Italiener – die Forensik-CD Caine. Beim Booten wählt der Benutzer zwischen grafischem oder Text-Modus.

Nach dem Booten im Textmodus reicht Caine ein Ubuntu-typisches »sudo su« aus, um Zugriff auf die im sichergestellten Server eingebaute Festplatte zu erhalten und diese zu sichern. Das Root-Passwort lautet »caine«.

Raid-Controller, wie sie ISPs häufig einsetzen, stellen in der Regel kein Hindernis dar, die enthaltenen Treiber ersparen das spätere, mühsame Zusammensetzen des Mirror im Labor. Der recht aktuelle Kernel 2.6.32 findet und unterstützt moderne Controller anstandslos, und alle zum Erzeugen von Images üblichen Hilfen, zum Beispiel »dd«, »dc3dd«, »dcfld«, »aimage« oder »ewfacquire«, sind ebenfalls an Bord.

Wer’s dagegen grafisch mag, nimmt die erste Auswahl aus dem Bootmenü und arbeitet unter X.org mit Guymager [5]. Guy Voncken, einer der beiden bekannten Forensik-Geeks aus Luxemburg, hat das Referenzprogramm zum Image-Erstellen entwickelt (Abbildung 2).

Abbildung 2: Unter X.org Images von sichergestellten Systemen zu ziehen und auszuwerten ist das Metier von Guymager.

Blockdevices

Für die Arbeit an der grafischen Oberfläche stellt Caine automatisch sicher, dass das System alle Medien nur Read-only mountet, sodass keine Schreibzugriffe stattfinden. An der Kommandozeile dagegen muss der Forensiker selbst dafür sorgen. In jedem Fall braucht ein angeschlossenes Blockdevice Schreibzugriff: die externe Festplatte des Forensikers, auf der das Image landet.

Ermittler bevorzugen dort als Dateisystem meist NTFS, um die spätere Auswertung mit proprietärer Software unter Windows durchzuführen. Der NTFS-3g-Treiber hilft da zwar weiter, das Ablegen der Images auf einem NTFS-Dateisystem hat aber einen Pferdefuß: Die Schreibgeschwindigkeit liegt deutlich hinter der von Ext-Dateisystemen, bei den üblicherweise stattlichen Datenmengen ein großer Nachteil. Caine 2.0 kann beides.

Bei Ermittlungen der staatlichen Stellen landen die sichergestellten PCs jetzt in der Asservatenkammer, die Images wandern zu den Auswertestationen. Auf diesen – in der Regel leistungsstarke Multicore-Rechner mit ordentlich RAM – ist die Forensik-Software fest installiert, Zugriffe auf die Festplatten erfolgen dort deutlich schneller.

Auch für solche Arbeitsrechner lässt sich Caine verwenden, indem es der Admin über ein eigenes Desktop-Icon auf deren Harddisk installiert. Nach erfolgreicher Installation helfen dann die üblichen Forensik-Werkzeuge weiter. In der ersten Reihe findet sich da Sleuthkit [6], auch mit der GUI-Unterstützung von Autopsy [7]. File Carver wie Photorec, Foremost oder Scalpel sind ebenfalls vertreten.

Fast Vollausstattung

Ein Nachteil ist den Autoren des Linux-Magazins in der Liste der vorhandenen Programme jedoch aufgefallen. Die zunehmende Verbreitung von virtuellen Systemen macht geeignete Programme für den Umgang mit EWF- oder AFF-Images notwendig. Zwar befindet sich »mount-ewf« auf der Live-CD, das wesentlich leistungsstärkere Xmount [8] des zweiten Luxemburger Geeks – Gillen Daniel – ist aber nicht installiert.

Nach der Kontaktaufnahme mit den italienischen Entwicklern sagten die jedoch zu, es in die nächste Version (2.5), deren Erscheinungstermin allerdings noch nicht feststeht, zu integrieren. Dabei wird auch Guymager ein Update auf die Version 0.5.7 erhalten. Admins können dann die forensischen Images direkt im EWF- oder AFF-Format mounten und auf Dateiebene auswerten.

Windows-Betriebssysteme benötigen eventuell noch ein wenig Nachhilfe in Form von Opengates [9], das den bekannten initialen Bluescreen beseitigt. Auf der Webseite von Gillen Daniel hat das Tool jüngst übrigens einen kleinen Bruder bekommen: Ein ISO-Image namens Openjobs leistet Starthilfe für virtualisierte Macs [10].

Die Tools auf der Caine-CD bieten auch Hilfestellungen für typische Probleme normaler Admins. Das Programm Ntfsundelete beispielsweise restauriert gelöschte Dateien. Der Befehl in Listing 1 zeigt einen etwas kryptischen, jedoch sehr effizienten Ansatz, der in einem konkreten Fall einen Kollegen vor dem Verlust von 2000 Dateien bewahrte, nachdem er vielleicht etwas voreilig eine USB-Festplatte vom System getrennt hatte.

01 ntfsundelete /dev/sda1 -p 100 | awk '{print $1}' | egrep "^[[:digit:]]" | while read inode; do ntfsundelete -u -i${inode} -d /tmp/recovered/ /dev/sda1 ; done

Das Kommando rekonstruiert alle Dateien einer Partition »/dev/sda1«, die eine Herstellungswahrscheinlichkeit von 100 Prozent haben. Die reanimierten Dateien befinden sich nach erfolgreicher Arbeit im Verzeichnis »/tmp/recovered«.

Auch verloren geglaubte Files lassen sich mit Caine finden. Sleuthkit bringt dazu das Kommando Fls mit:

fls -r /dev/sda1 > /tmp/lost.log

Oder für gelöschte Dateien:

fls -rd /dev/sda1 > /tmp/deleted.log

Der Spürhund liegt seit Juli in Version 3.1.3 vor, kurz vor Redaktionsschluss dieses Heftes haben die Entwickler eine Beta der Version 3.2 veröffentlicht, die neue Werkzeuge zur automatisierten Arbeit bereitstellt. Gut möglich, dass die stabile Version bis zu Caine 2.5 fertig wird.

Fuse, ZFS, NFTS, Sshfs

Auch Fuse [11] gehört zu den wichtigsten Werkzeugen des Forensikers, wenn er auch meist nur indirekt mit diesen Werkzeugen arbeitet. Dazu zählt auch das angesprochene NTFS-3g. Noch ist unklar, wie Oracles ZFS-Dateisystem Einzug in die Welt der Betriebsysteme halten wird. Kernel-basierte Lösungen gibt es derzeit nur für Free BSD und nicht unter Linux. Der Grund dafür liegt in der GPL. In der Caine-CD ist im Userspace ein Fuse-Treiber für ZFS bereits integriert. So lassen sich auch Solaris- und Free-BSD-Maschinen mit ZFS-Dateisystemen analysieren. Der Performance-Verlust dieser Lösung auf Userspace-Ebene ist in der Forensik meist vernachlässigbar.

Leider fehlt ein wichtiger weiterer Fuse-Treiber: »sshfs«. Er spielt beim Erstellen logischer Sicherungen vielfach eine wichtige Rolle, komplette Root-Server aus Serverfarmen lassen sich mit Befehlen wie »sshfs -p Port IP-Adresse:/ /mnt« per SSH mounten und vorab betrachten.Sshfs ist der handlichste Treiber, der immer dann ins Spiel kommt, wenn “Gefahr im Verzug” und somit Eile geboten ist. Den Caine-Entwicklern zufolge wird Sshfs in der nächsten Version ebenfalls enthalten sein.

Grafische Oberfläche

Aber auch ohne Sshfs hat Caine einiges zu bieten, gerade an der grafischen Oberfläche (Abbildung 3). Das benutzerfreundliche Caine-Interface-GUI macht Einsteigern den Anfang leicht, es liegt als Icon direkt auf dem Desktop und ermöglicht auch das Anfertigen detaillierter Berichte.

Abbildung 3: Auf dem Desktop der Caine-CD: Icons zur Installation auf der Festplatte, die Bash Script Tools und das Caine-Interface.

Wieder zurück auf der Kommandozeile finden sich die Bash Script Tools, eine Sammlung von Bash- und Perl-Skripten für den fortgeschrittenen Forensiker (im Verzeichnis »/usr/share/caine/pacchetti/scripts«). Unter der Haube schlummern weitere Schätze: Wie der Bulk Extractor aus der Afflib auch Offiziellen in Afghanistan dabei hilft, aus Windows-Systemen die Spuren von Verdächtigen herauszufiltern, zeigt der Kasten “Caine in Afghanistan”.

Caine in Afghanistan

Linux-Magazin-Autor Hans-Peter Merkel hat die Tauglichkeit von Caine im Rahmen einer Open-Source-Ausbildung für ein afghanisches Ministerium fünf Tage lang in Kabul getestet. Teilnehmer mit minimalen Linux-Kenntnissen sollten dabei Images erstellen und erste forensische Tätigkeiten lernen. Als Übungsobjekte dienten schlanke Acer-Aspire-Netbooks mit doppeltem Keyboardlayout (persisch und amerikanisch). Die Geräte stellte das Skateistan-Projekt [12] zur Verfügung, Linux4Afrika [13] integrierte sie später in eine Terminalserver-basierte Lösung für afghanische Straßenkinder. Zwar scheiterte der Einsatz der Live-CD zunächst am nicht vorhandenen optischen Laufwerk, mit USB-Sticks klappte die Arbeit jedoch problemlos. Alle E-Mail- und IP-Adressen Anschließend erzeugten die Teilnehmer mit Ewfacquire EWF-Images vom vorinstallierten (persischen) Windows XP auf externen Festplatten. Den Wunsch der Kursteilnehmer, mit einem Befehl alle E-Mail- und IP-Adressen auf der Festplatte zu finden, erwies sich zunächst als überraschend anspruchsvolles Thema. Nach der Einführung in den unallocated Space, RAM- oder Fileslack [14] einer Festplatte war schnell klar, dass das Prüfen des Inhalts von Dateien hier nicht reicht, und auch reguläre Ausdrücke zur Ermittlung von E-Mail-Adressen wirkten eher kontraproduktiv. Der Bulk Extractor Das Afflib-Projekt stellt für diese Aufgabe den Bulk Extractor zur Verfügung, der auch auf der Caine-Distribution vorhanden ist. »bulk_extractor /dev/sda1 -o /tmp/bulk« erzeugt ein Verzeichnis »bulk«, in dem – sauber gruppiert – alle gefundenen E-Mail-Adressen, IP-Adressen, URLs und sogar CCNs (mögliche Kreditkartennummern) aufgelistet sind. Abbildung 4 zeigt diesen Durchlauf auf einem frisch installierten Windows 7. Im File «»email_histogramm.txt« findet sich dann folgender Inhalt:: n=48 tj@.tjH.tj n=18 yourname@example.com n=16 SzX@Szh.Sz n=11 Sz@.SzH.SzX.Sz n=10 jemand@example.com n=8 DefaultUser@DefaultDomain.De n=8 anonymous@discussions.microsoft.com n=6 CPS-requests@verisign.com n=6 someone@microsoft.com n=5 Benutzername@domain.com n=4 4M7@T.UK n=3 itfinc@libertynet.org n=3 jemand@microsoft.com n=1 gates@microsoft.com Die Datei zeigt Namen und Anzahl der Vorkommen der auf dem System gefundenen E-Mail-Adressen. Ähnlich wie bei Facebooks umstrittenen Features lässt sich so einiges über die soziale Vernetzung des Besitzers herausfinden. Abbildung 4: Kreditkartennummern, E-Mail-Adressen, IPs und URLs aus Windows-Festplatten auslesen ist die Stärke von Bulk Extractor.

Fazit

Caine 2.0 ist ein kompakter und gelungener Wurf. Auch der Support des Entwicklerteams ist vielversprechend. Auf die Anfragen der Autoren des Linux-Magazins, fehlende Programme einzubinden, reagierten diese immer in weniger als 24 Stunden. Die Möglichkeit, die Live-CD oder die USB-Stick-Version permanent auf einer Festplatte zu installieren, erlaubt es besonders dem Neuling, schnell in den interessanten Bereich der Computerforensik einzusteigen.