NSA mit Open-Source: Alle Daten nden
NSA- und Polizei-Forensiker verwenden mächtige Programme zur Analyse beschlagnahmter Computer. Auch unser OpenSource-Tool zeigt, dass ein PC alles über Sie verrät – es sei denn, Sie haben richtig verschlüsselt.
Forensik wie die Pro s mit Linux
I n den Labors der Polizei und Geheimdienste warten stapelweise Festplatten und USB-Sticks auf eine Auswertung von Spuren der Spionage und Verbrechen. Meist geht es bei der Analyse um gelöschte und vorhandene Dateien. In diesem Artikel zeigen wir Ihnen, wie Sie mit Open SourceTools – wie sie auch die Pro s verwenden – am eigenen Rechner Forensik üben. Mit der Arbeit am eigenen PC begeben Sie sich nicht in rechtlich kritische Ge lde der Computerkriminalität: Fremde PCs – auch die von Lebensgefährten oder volljährigen Kindern – sind tabu. Ausnahmen gibt es lediglich im Unternehmenseinsatz, wenn eine Betriebsvereinbarung vorschreibt, dass ein PC ausschließlich für dienstliche Belange benutzt werden darf. Hilfreich sind die so erlernten Kenntnisse auch, wenn ein PC durch Schadsoftware korrumpiert oder von Dritten missbraucht wurde.
Viele Quellen zeichnen ein umfassendes Bild des Besitzers
Wer sich die Mühe macht, einen PC komplett zu untersuchen, erhält ein relativ präzises Bild des Nutzers und von dessen Vorlieben. Quellen für die Analyse nden sich einige: vorhandene, im Dateisystem vom Nutzer abgelegte Dateien, automatisch erstellte Dateien wie im Browsercache, gelöschte Dateien, Datenbanken von Browsern oder Chat-Programmen, aber auch Windows-Jumplists. Die Datenbanken von Mailprogrammen lassen sich oft direkt öffnen, und wer sich die Mühe macht, kann auch die Datenbankformate von Buchhaltungs- und Homebanking-Applikationen in lesbare Formate umwandeln. Die Suche nach Schadsoftware hilft, ein Bild davon zu erhalten, was der Angreifer ausgeheckt hat und ob es sich um einen automatisierten Angriff oder einen manuellen Hack handelt. Eine gewisse Vorbereitung ist sinnvoll, um Schreibzugriffe auf dem zu untersuchenden Medium auszuschließen. Auf der Heft-DVD nden Sie unter Top-Software/ Toolpakete/Selbsttest-Stick Forensik die ISO-Datei LessLinux-201509.iso und die Batchdatei LessLinux-201509.bat, um sich einen USB-Stick mit der Software LessLinux samt Analyseprogrammen zu bauen. Die Installation auf einem USB-Stick (siehe Textkasten übernächste Seite) bringt Vorteile: Das spart etwa beim Start von Programmen Zeit. Außerdem benötigen Sie eine externe Festplatte, die groß genug ist, um vollständige unkomprimierte Images aller zu untersuchenden Festplatten aufzunehmen. Im Idealfall ist diese Festplatte mit dem LinuxDateisystem ext4 formatiert. Steht eine Platte mit NTFS zur Verfügung, ist das auch kein Problem, lediglich die Prozessorlast wird etwas höher sein. Ein rohes Image der Partitionen erzeugen Sie mit: ddrescue /dev/sda /media/disk/sdb1/ sda.img /media/disk/sdb1/sda.log In dem Befehl wird ein Image der Festplatte /dev/sda erstellt und auf der unter / media/disk/sdb1 eingebundenen externen Festplatte als sda.img gespeichert. Daneben entsteht ein Log le sda.log. Die Verwendung des Befehls ddrescue hat zwei Vorteile: Zum einen zeigt die Fortschrittsanzeige die aktuelle Transferrate, zum anderen bringen Lesefehler das Tool nicht aus dem Tritt: Beschädigte Blöcke werden zunächst übersprungen, und später wird einfach noch einmal versucht zu lesen. Die Erstellung des Images kann dauern: Je nach
Anbindung der externen Platte sind Datenraten zwischen 40 MByte/s und 100 MByte/s realistisch. Während das Image einer 128 GByte-SSD mitunter in weniger als einer halben Stunde entsteht, kann das Imaging einer Zwei-Terabyte-Platte fast einen vollen Tag in Anspruch nehmen. Übrigens: Professionelle Forensiker arbeiten üblicherweise mit manipulationssicheren Formaten wie EWF ( Expert Witness Format), diese würden sich mit ewfacquire erzeugen und mit ewfexport konvertieren lassen. Ein mit ddrescue oder dd erzeugtes Image können Sie mit einer Gerätedatei verbinden und wie eine normale Festplatte behandeln. Dazu erzeugen Sie entsprechende Gerätedateien. Die folgenden Befehle dazu erfordern Administratorrechte und sind daher in einem Root-Terminal auszuführen: kpartx -avr sda.img Als Ausgabe erhalten Sie die Namen der Gerätedateien, welche den jeweiligen Partitionen entsprechen. Diese mounten Sie mit: mkdir -p /media/image/loop11p1 mount -o ro /dev/mapper/loop11p1 / media/image/loop11p1 Ist die Arbeit mit dem Image abgeschlossen, lösen Sie die Laufwerkseinbindungen und geben die Gerätedateien wieder frei: umount /media/image/loop11p1 kpartx -d sda.img
Gelöschte Daten finden
Standardprogramm bei der Suche nach gelöschten Dateien ist PhotoRec, welches ursprünglich einmal zur Rettung von Fotos von Speicherkarten entwickelt wurde. Es erkennt viele gängige Dateitypen an typischen Bytesequenzen am Anfang der Datei und stellt so gelöschte Dateien aus unbelegten Blöcken wieder her. Verwenden Sie die modernere, leichter zu bedienende Variante QPhotoRec. Das Tool verwendet die erzeugte Image-Datei direkt als Quelllaufwerk. Wählen Sie als Modus die Suche in freien Speicherbereichen. Da mit vielen Funden zu rechnen ist, sollte der freie Speicherplatz auf dem Zielmedium etwas größer sein als der freie Platz auf dem Quellmedium. Statt der Suche gibt es noch eine weitere Methode. Microsofts Dateisystem NTFS bietet einen Mechanismus namens Schattenkopien ( Virtual Shadow Snapshots , kurz VSS), der es erlaubt, einen Dateisystemzustand einzufrieren. Dabei benötigen die Schattenkopien verhältnismäßig wenig Platz, solange ein großer Teil der referenzierten Dateien nicht geändert wird. Windows legt bei jedem Online-Update solch eine Schattenkopie als Wiederherstellungspunkt an. Meist sind daher drei oder vier VSS-Kopien zugänglich. LessLinux Search and Rescue bringt zum Zugriff auf Schattenkopien die Bibliothek libvshadow mit. Das kleine Tool ndet alle auf dem PC vorhandenen Schattenkopien und bindet diese (nur lesbar) ein. So können Sie gelöschte Dateien an ihrem alten Ort suchen oder einen Virenscanner auf die Suche nach Schadsoftware schicken, die sich mittlerweile selbst gelöscht hat.
Browsercaches und -verläufe durchsuchen
Fast alle gängigen Browser speichern Cache-Inhalte wie Bilder und Webseitenfragmente in den originalen Formaten. Bilder bleiben Bilder. Allerdings werden oft die
Dateiendungen nicht beibehalten, sodass eine Suche nach den Suf xes in vielen Fällen nicht von Erfolg gekrönt ist. Dennoch lohnt sich häu g der Blick in die Cache-Ordner. Um auf den Cache des Internet Explorer zuzugreifen, suchen Sie Ordner mit dem Namen Content.IE5. Diese liegen je nach Art der verwendeten Pro le zumeist unter Documents and Settings/Users/Nutzername/AppData/Local/Microsoft/Windows/ Temporary Internet Files und in deren Unterordner. Ähnlich sieht es bei Firefox und Chrome aus: Im jeweiligen AppData-Ordner nden Sie Unterordner Cache. Während gecachte Elemente nur einen bruchstückhaften Einblick in das Webverhalten eines Computernutzers geben, hält die History weit mehr bereit. LessLinux enthält ein kleines Script, welches Sie mit dem Befehl history-extractor.sh starten. Es sucht die History-Datenbanken von Internet Explorer, Firefox und Chrome und schreibt diese in CSV-Dateien. Sollten die vom Script extrahierten Informationen nicht ausreichen, lesen Sie die Cache-Datenbanken ( index.dat) direkt mit dem Programm msiec nfo aus.
SQLite-Datenbanken entschlüsseln
Chrome und Firefox vewenden, wie viele andere Plattformen, das Datenbankformat SQLite. Für das Format sind zahlreiche Clients erhältlich. So ist es unter anderem möglich, Datenbankdateien direkt in OpenOf ce/ LibreOf ce zu öffnen. Der einfachste Zugriff geht jedoch mit dem Datenbankbrowser DB Browser for SQLite. Das Programm nden Sie unter Weitere Wartungswerkzeuge. Bei Firefox heißt die History-Datenbank places. sqlite. Mit Detektivarbeit entdecken Sie im Ordner AppData weitere SQLite-Dateien. Mit dem Linux-Befehl file dateiname machen Sie Dateien sichtbar.
Mailboxen aufdröseln
Eine der wichtigsten Quellen von Informationen sind E-Mail-Postfächer. Die Metadaten sind nicht nur für Geheimdienste und Polizei von großer Bedeutung. Noch mehr Wert haben die Inhalte. Outlook verwendet für seine Mailboxen das sehr sperrig zu handhabende Format PST. Glücklicherweise existiert mit readpst ein kleines Kommandozeilenwerkzeug, welches eine PSTDatenbank in das unter Unix gebräuchliche Mbox- Format konvertiert. So kann ein Datenretter beispielsweise gerettete PST-Dateien seinem Kunden per IMAP-Server bereitstellen. Doch auch Mozilla Thunderbird verwendet standardmäßig das Mbox-Format. Da Thunderbird ein paar zusätzliche Dateien und eine bestimmte Ordnerstruktur benötigt, bereitet das von LessLinux mitgebrachte Script pstimporter.sh gefundene Outlook-Mailboxen für Thunderbird auf. Achten Sie vor dessen Verwendung darauf, dass genügend Platz da ist: IMAP-Caches sind oft mehrere Gigabyte groß. Wird LessLinux von DVD gestartet, liegt das Thunderbird-Pro l im RAM, wo der Platz schnell begrenzt ist. Installieren Sie daher LessLinux auf einen USB-Stick mit mindestens 16 GByte Größe, bevor Sie dieses Feature verwenden. Der Zugriff auf Thunderbird-Pro le ist übrigens noch einfacher: Es genügt, die pro le. ini im Thunderbird-Ordner unterhalb von AppData zu nden. Wenn man in die pro - les.ini reinschaut, steht dort ein Ordner mit
einem Namen wie xyz12qrg54.default. Diesen kopieren Sie in das .thunderbird- Verzeichnis des LessLinux und passen in der Lesslinux pro les.ini den Pfadnamen an. Nun können Sie unmittelbar auf die E-Mails des zu untersuchenden Systems zugreifen.
Jumplists: Windows’ Dateihistorie
Seit Version 7 bietet Windows ein praktisches Feature, um auf bislang verwendete Dateien erneut zuzugreifen. Diese Jump- lists ( Zuletzt verwendet) werden in zwei Ausprägungen geführt. Zum einen in nutzerspezi schen systemweiten und in programmspezi schen Jumplists, welche jedes Programm individuell p egt. In der Regel sind die Jumplists, welche alle Aktionen eines Nutzers erfassen, die interessanteren. Lediglich wenn es darum geht, Aktionen in einem bestimmten Programm nachzuvollziehen, sind programmspezi sche relevant. Um auf Jumplists zuzugreifen, suchen Sie die Ordner AutomaticDestinations und CustomDestinations innerhalb des zu untersuchenden Nutzerpro ls. Zum Auslesen der referenzierten Dateien verwenden Sie das Perl-Script jl.pl, welches wie das von ihm verwendete Perl-Modul im Ordner /usr/share/lesslinux/drivetools liegt. Wie für viele andere Aufgaben bringt LessLinux auch für das Auslesen von Jumplists ein komfortables Wrapper-Script mit:
Fazit
Ist es nicht erschreckend, wie viel ein unverschlüsselter Computer preisgibt, wenn er in die falschen Hände fällt? Gerade bei der Verwendung von Notebooks im Außeneinsatz sollten Sie daher gesunde Vorsicht walten lassen. Und wenn eine alte Festplatte weggegeben werden soll, ist es ein guter Rat, sie wenigstens einmal komplett mit Zufallsdaten zu überschreiben. Verschlüsselungsmethoden mit hinterlegtem Zweitschlüssel – bei Verwendung eines Live-Accounts bietet Windows 8.1 und höher generell an, einen Wiederherstellungsschlüssel anzulegen – mögen hinsichtlich geheimdienstlicher Arbeit nicht der Weisheit letzter Schluss sein, zur Absicherung der eigenen Daten gegen Diebstahl sind sie jedoch ein brauchbares Mittel. Alles in allem hat dieser Artikel kaum mehr als an der Ober äche kratzen können – wer tiefer forschen möchte und weiter reichende Suchen in Datenbanken und Binärdateien plant, sollte einen Blick ins forensicswiki.org werfen – viele der dort beschriebenen Tools nden Sie in LessLinux. tr