So werden Sie Forensiker
Forensiker untersuchen PCs und Smartphones auf Datenspuren – mit deren Profi-Tools finden Sie selbst heraus, was Ihr PC über Sie preisgibt, wenn er in die falschen Hände gelangt.
Finden Sie versteckte Surf- und Datenspuren auf Ihrem Rechner
Längst sind Computer-Forensiker in der Popkultur angekommen. Egal, ob im Tatort oder bei C.S.I.: Meist lässt ein Nerd mal schnell ein Programm über den beschlagnahmten Rechner laufen, das nach einem optisch opulenten Buchstabenregen à la Matrix in Sekundenschnelle gelöschte Dateien wiederherstellt oder Passwörter knackt. Die Realität von Forensikern sieht mit Kommandozeilenwerkzeugen, stundenlangem Warten und aufwändigen Proptokollen dann doch deutlich nüchterner aus; dafür sind die technischen Hinte rgründe umso spannender.
Keine Veränderungen
Eine erste Regel ist, dass keine Veränderungen vorgenommen werden dürfen. Und das ist gar nicht so einfach, wie es zunächst klingt: Stöpselt man eine NTFS-formatierte USB-SSD an einen Windows-Rechner, führt der im Hintergrund eine Prüfung des Dateisystems durch und schickt mitunter das Performance-steigernde TRIM- Kommando zum Datenträger – welches durch die Blockfreigabe eigentlich zu analysierende Dateien zerstören kann. Werkzeug der Wahl sind also Linux-Systeme, die mit strengen Einstellungen so konfiguriert sind, dass sie Datenträger nicht automatisch einbinden. Eine zweite Regel ist, dass möglichst viele Werkzeuge zur Anwendung kommen sollen, deren Arbeitsweise absolut nachvollziehbar ist. So eignen sich Linux-Systeme zum einen wegen der freien Quellcodes,= und zum anderen wegen der vielen spezialisierten Werkzeuge sehr gut. Der erste Schritt ist dann die Erstellung eines blockweisen Images der kompletten Platte. Platzsparende logische Images, die nur die Dateisystemstruktur und die aktuell referenzierten Dateien enthalten, sind verpönt, da sie zwischenzeitlich gelöschte Dateien und Spuren von vor der letzten Formatierung ignorieren. Das bedeutet, dass das Image zunächst so groß ist, wie der zu untersuchende Datenträger und das Imaging entsprechend lange dauert. Für
eine zwei Terabyte große NAS-Platte kann das Imaging alleine zehn Stunden dauern; die anschließende Erstellung der Prüfsumme über Image und Original ähnlich lange. Stimmen die Prüfsummen überein, werden diese protokolliert und der originale Datenträger wird archiviert.
Suche in Dateien und Schattenkopien
Erste Anlaufstelle für den Forensiker sind natürlich die vorhandenen Dateien. Sie werden gelistet, und, wenn sie relevant erscheinen, auch extrahiert. Bei Verdachtsfällen der Kinderpornografie werden beispielsweise alle Bilddateien kopiert; geht es um Wirtschaftskriminalität Office-Dateien und Datenbanken. Was viele nicht wissen: Dateisysteme wie NTFS beherrschen Versionierung. Windows nutzt dieses Feature für die Schattenkopien, welche vor jedem Update angelegt werden. Häufig kann man gelöschte Dateien Monate nach der Löschung über diese Schattenkopien wiederherstellen – inklusive aller Metadaten wie Zeitstempel und Pfadangaben. Bei der Protokollierung gefundener Dateien muss auch Entlastendes berücksichtigt werden, beispielsweise, ob kompromittierende Daten durch Backdoors oder ähnliches auf den Rechner geschleust wurden. In einem nächsten Schritt steht die Suche nach gelöschten Dateien in vermeintlich unbelegten Blöcken an. Auf normalen Festplatten und USB-Sticks werden Dateien bei der Löschung in der Regel nicht überschrieben, sondern schlicht dereferenziert und eher zufällig in Zukunft einmal überschrieben. Sind die Daten recht zusammenhängend abgelegt, lassen sie sich oft anhand typischer Signaturen am Dateianfang wiederherstellen.
Eine Datei sagt nicht viel
Was so gefundene Dateien wert sind, hängt vom Kontext ab. Beispielsweise, ob man im Verlauf von Browser oder Mail-Client Hinweise auf den verwendeten Dateinamen findet. Ohne solcher Hinweise bleibt der Beweiswert fraglich – was dann von Staatsanwälten oder schließlich Richtern beurteilt werden muss. Hat beispielsweise der Buchhalter eines Unternehmens ein Notebook vom Geschäftsführer übernommen und dieses wurde ohne totale Löschung frisch installiert, ist oft mehr als fraglich, wem eine bestimmte Excel-Tabelle zuzuordnen ist, welche für ein Verfahren in einer Wirtschaftsstrafsache relevant ist. Ein Forensiker von Ontrack betonte uns gegegenüber, wie wichtig andere Spuren bestimmter Dateien sind, um beispielsweise auf die Frage eines gegnerischen Anwaltes, ob eine Datei möglicherweise platziert wurde, mit einem klaren Ja (es wurden keine weiteren Spuren) oder mit Sehr unwahrscheinlich (die Datei wurde mehrfach in Office-Anwendungen geöffnet) beantwortet werden muss.
Grenzen der Forensik
Moderne Technik setzt der forensischen Arbeit immer wieder Grenzen. Die zunehmende Verwendung von SSDs hat beispielsweise zur Folge, dass die regelmäßige Performance-Optimierung per TRIM-Befehl gelöschte Dateien nach einer Weile tatsächlich verschwinden lässt; die Suche in unbelegten Blöcken also nur noch Dateien findet, die vor sehr kurzer Zeit gelöscht wurden. Auch werden bei Rechnern mit Trusted Platform Module Passwort-Datenbanken vieler Browser automatisch mit einem per
Login-Passwort entsperrten Schlüssel im TPM verschlüsselt. Via Image kommt man an die Inhalte dieser Dateien nicht heran. Problematisch für Forensiker ist auch Verschlüsselung, egal ob mit Windows Bitlocker, Veracrypt oder Linux Luks. Immer sind die Schlüssel im Header des verschlüsselten Laufwerkes enthalten, dieser ist meist mit einem Passwort verschlüsselt. Im Falle von Bitlocker kommt mitunter das TPM hinzu, das möglicherweise dafür sorgt, dass der Zugriff aufs Laufwerk nur mit dem Notfallschlüssel (oft bei Microsoft hinterlegt!) möglich ist. Um den Laufwerkszugriff alleine mit Passphrase zu versuchen, bieten sich Brute-Force-Attacken an, die nur mit relativ einfachen Passwörtern funktionieren oder Listen von Passwörtern, die Hacker erbeutet haben. Findet sich dort beispielsweise eine der E-Mail-Adressen der Person, deren Computer ausgewertet werden soll, stehen die Chancen recht gut, dass das enthaltene Passwort oder Abwandlungen davon passen. Ein weiterer Angriffsvektor sind Windows-Login-Passwörter, die sich oft sehr gut mit Hilfe von Regenbogentabellen (vorkompilierte Passwortlisten) knacken lassen.
Selbst aktiv werden
Testen Sie einmal bei einem unverschlüsselten Rechner, vorzugsweise einem Notebook mit nicht allzu großer Festplatte, welche Daten Sie extrahieren können. Sie benötigen dafür ein Live-Linux wie CAINE (basierend auf Ubuntu 16.04) oder LessLinux (Linux from Scratch, etwas moder- ner). Beide enthalten viele Forensik-Tools und erfordern es, dass der Anwender explizit bestätigt, wenn er ein Medium schreibbar einbinden möchte. Das Forensik-Linux sollte nach Herstellervorgabe auf einen USB-Stick installiert werden. Als Ziellaufwerk für Images und extrahierte Daten sollte eine schnelle USB-Festplatte mit mehr als dem zweifachen freien Speicherplatz im Verhältnis zur Größe der zu analysierenden Festplatte verwendet werden. Im nächsten Schritt gilt es, die Laufwerke zu ermitteln. In der Regel hat die interne Platte /dev/sda, der beim Boot anwesende USB-Stick /dev/sdb und die zuletzt angestöpselte USB-Festplatte /dev/sdc. Da die folgenden Befehle Root-Rechte benötigen, stellen Sie ein sudo voran (CAINE) oder führen Sie sie in einer Rootshell aus (LessLinux). Zunächst gilt es, Laufwerksgröße und Partitionierung zu ermitteln: parted -s /dev/sda print ... für alle drei Laufwerke liefert alle relevanten Daten für die Zuordnung. Dann können Sie die USB-Festplatte schreibbar einbinden: mkdir /media/sdc1 mount /dev/sdc1 /media/sdc1 Nun entsteht ein blockweises Image: ddrescue /dev/sda /media/sdc1/sda.img Die Verwendung von ddrescue hat den Vorteil, dass auch von beschädigten Festplatten weitgehend problemlos Images erstellt werden können. Das reguläre dd würde bei einem Fehler aussteigen. Im Prinzip können Sie nun alle weiteren Arbeiten an einem anderen PC durchführen. Aus Gründen der einfacheren Arbeit zeigen wir aber noch einige weitere Werkzeuge mit der internen Platte. Das erspart uns, Laufwerkszuordungen an der Image-Datei vornehmen zu müssen. Viel Aufschluss bieten die Schattenkopien. LessLinux bietet hierfür ein via Menü zugängliches Tool, um Schattenkopien als Laufwerk (nur lesbar) einbinden zu können, unter anderen Distributionen müssen Sie sich mit der Kommandozeilensyntax von vshadowmount vertraut machen. Natürlich findet man in den Schattenkopien viele „bekannte“Dateien. Forensiker pflegen daher meist Sammlungen von Scripten, mit denen sich Dubletten anhand identischer Namen und Prüfsummen identifizieren lassen.
Zugriff auf Mails: libpst
Nicht ganz einfach ist der Zugriff auf Mails in Outlook-Postfächern. Microsoft dokumentiert das PST-Format nur spärlich. Doch die libpst gewährt den Zugriff, das beglei-
tende Kommandozeilentool readpst konvertiert Outlook-Mailboxen in das unter Unix verbreitete Mbox-Format in Einzeldateien oder in Thunderbirds Mbox-Dialekt. So extrahierte Mailboxen können leicht mit Scripten durchsucht werden oder bequem in Thunderbird sortiert und gelesen werden. LessLinux bringt dafür einen kleinen Assistenten mit: readpst.
Alles unter einer GUI: Autopsy
Mit der Kommandozeilen-WerkzeugSammlung Sleuthkit und dem grafischen Frontend Autopsy steht eine Werkzeugsammlung zur Verfügung, welche Forensik unter einer einheitlichen Oberfläche verfügbar macht. Das erleichtert die Suche in Daten und Metadaten und schafft Überblick über Archive, Dokumente und Datenbanken. Autopsy versteht sich dabei nicht als Ersatz für Scriptsammlungen und Kommandozeilentools; wohl aber als sehr gute Anlaufstelle für einen ersten Überblick und führt insbesondere Daten sehr effizient zusammen, beispielsweise die Öffnungshistorie von Dateien ( Windows Jumplist) zusammen mit Browserverläufen. Und trotz besser werdender Tools, erklärt uns Forensik-Professor Holger Morgenstern von der Hochschule Albstadt-Sigmaringen, müssen seine Studenten sich in Dateisystemspezifika einarbeiten und einzelne Dateien per Hex-Editor finden.
Mit Mythen aufräumen ...
Wer mit den Tools der Forensiker spielt, merkt schnell, welche Ergebnisse sich mit ein wenig Geduld fast von selbst erzielen lassen und wo moderne Verschlüsselungstechnik Grenzen setzt. Die Werkzeuge im Film, welche Passwörter in Sekunden knacken, lassen den Forensiker, der mit einem verschlüsselten Datenträger konfrontiert wird, bestenfalls laut lachen. Er selbst muss in unverschlüsselt zugänglichen Daten, etwa einer Firefox-Logindatenbank, nach möglicherweise auch für den verschlüsselten USB-Stick verwendeten Passwörtern suchen. Echte Detektivarbeit eben. Auch wird der Forensiker, welcher nach dem Erstellen eines Images nur binäre Nullen sieht, das Image zur Seite legen und nichts damit tun. Die Mär des siebenfachen Überschreibens mit Zufallszahlen war einmal zu den Zeiten von Acht-Zoll-Disketten angemessen, als beim Formatieren auch Spurinformationen geschrieben wurden. Heute sind wir bei SSDs so weit, dass der richtige TRIM-Befehl einen kompletten Datenträger restlos löschen kann. Zumindest hier näherte sich die Wirklichkeit in den letzten Jahren der Fiktion an.
... und eigene Lehren ziehen
Wenn Sie mit frei zugänglichen Werkzeugen an viele Ihrer Daten auf dem Notebook herankommen, dann kann es ein Dieb genauso. Oder der US-Grenzbeamte, der während einer Befragung Ihr Notebook eine halbe Stunde ins Nebenzimmer mitnimmt. Für die geplante Reise nach Neuseeland oder in die USA bietet sich daher das frisch aufgesetzte Notebook mit bestenfalls einem AlibiE-Mail-Account und Browserverlauf an; für Zugreisen hierzulande sollte es wenigstens die Verschlüsselung von Datenpartitionen und externen Laufwerken sein. Sollte wirklich der Fall eintreten, dass Ihre Datenträger und Ihr Notebook einmal (berechtigter Weise oder nicht) beschlagnahmt werden, haben Sie noch immer die Wahl: Passwörter herausgeben und so die Hardware schneller zurückerhalten oder stur bleiben und Geduld haben.