So wer­den Sie Fo­ren­si­ker

Fo­ren­si­ker un­ter­su­chen PCs und Smart­pho­nes auf Da­ten­spu­ren – mit de­ren Pro­fi-Tools fin­den Sie selbst her­aus, was Ihr PC über Sie preis­gibt, wenn er in die fal­schen Hän­de ge­langt.

PC Magazin - - Inhalt - Mat­ti­as Schlen­ker

Fin­den Sie ver­steck­te Surf- und Da­ten­spu­ren auf Ih­rem Rech­ner

Längst sind Com­pu­ter-Fo­ren­si­ker in der Pop­kul­tur an­ge­kom­men. Egal, ob im Tat­ort oder bei C.S.I.: Meist lässt ein Nerd mal schnell ein Pro­gramm über den be­schlag­nahm­ten Rech­ner lau­fen, das nach ei­nem op­tisch opu­len­ten Buch­sta­ben­re­gen à la Ma­trix in Se­kun­den­schnel­le ge­lösch­te Da­tei­en wie­der­her­stellt oder Pass­wör­ter knackt. Die Rea­li­tät von Fo­ren­si­kern sieht mit Kom­man­do­zei­len­werk­zeu­gen, stun­den­lan­gem War­ten und auf­wän­di­gen Pr­op­to­kol­len dann doch deut­lich nüch­ter­ner aus; da­für sind die tech­ni­schen Hin­te rgrün­de um­so span­nen­der.

Kei­ne Ve­rän­de­run­gen

Ei­ne ers­te Re­gel ist, dass kei­ne Ve­rän­de­run­gen vor­ge­nom­men wer­den dür­fen. Und das ist gar nicht so ein­fach, wie es zu­nächst klingt: Stöp­selt man ei­ne NTFS-for­ma­tier­te USB-SSD an ei­nen Win­dows-Rech­ner, führt der im Hin­ter­grund ei­ne Prü­fung des Da­tei­sys­tems durch und schickt mit­un­ter das Per­for­mance-stei­gern­de TRIM- Kom­man­do zum Da­ten­trä­ger – wel­ches durch die Block­frei­ga­be ei­gent­lich zu ana­ly­sie­ren­de Da­tei­en zer­stö­ren kann. Werk­zeug der Wahl sind al­so Li­nux-Sys­te­me, die mit stren­gen Ein­stel­lun­gen so kon­fi­gu­riert sind, dass sie Da­ten­trä­ger nicht au­to­ma­tisch ein­bin­den. Ei­ne zwei­te Re­gel ist, dass mög­lichst vie­le Werk­zeu­ge zur An­wen­dung kom­men sol­len, de­ren Ar­beits­wei­se ab­so­lut nach­voll­zieh­bar ist. So eig­nen sich Li­nux-Sys­te­me zum ei­nen we­gen der frei­en Qu­ell­codes,= und zum an­de­ren we­gen der vie­len spe­zia­li­sier­ten Werk­zeu­ge sehr gut. Der ers­te Schritt ist dann die Er­stel­lung ei­nes block­wei­sen Images der kom­plet­ten Plat­te. Platz­spa­ren­de lo­gi­sche Images, die nur die Da­tei­sys­tem­struk­tur und die ak­tu­ell re­fe­ren­zier­ten Da­tei­en ent­hal­ten, sind ver­pönt, da sie zwi­schen­zeit­lich ge­lösch­te Da­tei­en und Spu­ren von vor der letz­ten For­ma­tie­rung igno­rie­ren. Das be­deu­tet, dass das Image zu­nächst so groß ist, wie der zu un­ter­su­chen­de Da­ten­trä­ger und das Ima­ging ent­spre­chend lan­ge dau­ert. Für

ei­ne zwei Te­ra­byte große NAS-Plat­te kann das Ima­ging al­lei­ne zehn Stun­den dau­ern; die an­schlie­ßen­de Er­stel­lung der Prüf­sum­me über Image und Ori­gi­nal ähn­lich lan­ge. Stim­men die Prüf­sum­men über­ein, wer­den die­se pro­to­kol­liert und der ori­gi­na­le Da­ten­trä­ger wird ar­chi­viert.

Su­che in Da­tei­en und Schat­ten­ko­pi­en

Ers­te An­lauf­stel­le für den Fo­ren­si­ker sind na­tür­lich die vor­han­de­nen Da­tei­en. Sie wer­den ge­lis­tet, und, wenn sie re­le­vant er­schei­nen, auch ex­tra­hiert. Bei Ver­dachts­fäl­len der Kin­der­por­no­gra­fie wer­den bei­spiels­wei­se al­le Bild­da­tei­en ko­piert; geht es um Wirt­schafts­kri­mi­na­li­tät Of­fice-Da­tei­en und Da­ten­ban­ken. Was vie­le nicht wis­sen: Da­tei­sys­te­me wie NTFS be­herr­schen Ver­sio­nie­rung. Win­dows nutzt die­ses Fea­tu­re für die Schat­ten­ko­pi­en, wel­che vor je­dem Up­date an­ge­legt wer­den. Häu­fig kann man ge­lösch­te Da­tei­en Mo­na­te nach der Lö­schung über die­se Schat­ten­ko­pi­en wie­der­her­stel­len – in­klu­si­ve al­ler Me­t­a­da­ten wie Zeits­tem­pel und Pfad­an­ga­ben. Bei der Pro­to­kol­lie­rung ge­fun­de­ner Da­tei­en muss auch Ent­las­ten­des be­rück­sich­tigt wer­den, bei­spiels­wei­se, ob kom­pro­mit­tie­ren­de Da­ten durch Back­doors oder ähn­li­ches auf den Rech­ner ge­schleust wur­den. In ei­nem nächs­ten Schritt steht die Su­che nach ge­lösch­ten Da­tei­en in ver­meint­lich un­be­leg­ten Blö­cken an. Auf nor­ma­len Fest­plat­ten und USB-Sticks wer­den Da­tei­en bei der Lö­schung in der Re­gel nicht über­schrie­ben, son­dern schlicht de­re­fe­ren­ziert und eher zu­fäl­lig in Zu­kunft ein­mal über­schrie­ben. Sind die Da­ten recht zu­sam­men­hän­gend ab­ge­legt, las­sen sie sich oft an­hand ty­pi­scher Si­gna­tu­ren am Da­tei­an­fang wie­der­her­stel­len.

Ei­ne Da­tei sagt nicht viel

Was so ge­fun­de­ne Da­tei­en wert sind, hängt vom Kon­text ab. Bei­spiels­wei­se, ob man im Ver­lauf von Brow­ser oder Mail-Cli­ent Hin­wei­se auf den ver­wen­de­ten Datei­na­men fin­det. Oh­ne sol­cher Hin­wei­se bleibt der Be­weis­wert frag­lich – was dann von Staats­an­wäl­ten oder schließ­lich Rich­tern be­ur­teilt wer­den muss. Hat bei­spiels­wei­se der Buch­hal­ter ei­nes Un­ter­neh­mens ein Note­book vom Ge­schäfts­füh­rer über­nom­men und die­ses wur­de oh­ne to­ta­le Lö­schung frisch in­stal­liert, ist oft mehr als frag­lich, wem ei­ne be­stimm­te Ex­cel-Ta­bel­le zu­zu­ord­nen ist, wel­che für ein Ver­fah­ren in ei­ner Wirt­schafts­straf­sa­che re­le­vant ist. Ein Fo­ren­si­ker von On­track be­ton­te uns ge­ge­gen­über, wie wich­tig an­de­re Spu­ren be­stimm­ter Da­tei­en sind, um bei­spiels­wei­se auf die Fra­ge ei­nes geg­ne­ri­schen An­wal­tes, ob ei­ne Da­tei mög­li­cher­wei­se plat­ziert wur­de, mit ei­nem kla­ren Ja (es wur­den kei­ne wei­te­ren Spu­ren) oder mit Sehr un­wahr­schein­lich (die Da­tei wur­de mehr­fach in Of­fice-An­wen­dun­gen ge­öff­net) be­ant­wor­tet wer­den muss.

Gren­zen der Fo­ren­sik

Mo­der­ne Tech­nik setzt der fo­ren­si­schen Ar­beit im­mer wie­der Gren­zen. Die zu­neh­men­de Ver­wen­dung von SSDs hat bei­spiels­wei­se zur Fol­ge, dass die re­gel­mä­ßi­ge Per­for­mance-Op­ti­mie­rung per TRIM-Be­fehl ge­lösch­te Da­tei­en nach ei­ner Wei­le tat­säch­lich ver­schwin­den lässt; die Su­che in un­be­leg­ten Blö­cken al­so nur noch Da­tei­en fin­det, die vor sehr kur­zer Zeit ge­löscht wur­den. Auch wer­den bei Rech­nern mit Trusted Plat­form Mo­du­le Pass­wort-Da­ten­ban­ken vie­ler Brow­ser au­to­ma­tisch mit ei­nem per

Log­in-Pass­wort ent­sperr­ten Schlüs­sel im TPM ver­schlüs­selt. Via Image kommt man an die In­hal­te die­ser Da­tei­en nicht her­an. Pro­ble­ma­tisch für Fo­ren­si­ker ist auch Ver­schlüs­se­lung, egal ob mit Win­dows Bit­lo­cker, Ver­ac­rypt oder Li­nux Luks. Im­mer sind die Schlüs­sel im He­a­der des ver­schlüs­sel­ten Lauf­wer­kes ent­hal­ten, die­ser ist meist mit ei­nem Pass­wort ver­schlüs­selt. Im Fal­le von Bit­lo­cker kommt mit­un­ter das TPM hin­zu, das mög­li­cher­wei­se da­für sorgt, dass der Zu­griff aufs Lauf­werk nur mit dem Not­fall­schlüs­sel (oft bei Mi­cro­soft hin­ter­legt!) mög­lich ist. Um den Lauf­werks­zu­griff al­lei­ne mit Pass­phra­se zu ver­su­chen, bie­ten sich Bru­te-Force-Atta­cken an, die nur mit re­la­tiv ein­fa­chen Pass­wör­tern funk­tio­nie­ren oder Lis­ten von Pass­wör­tern, die Ha­cker er­beu­tet ha­ben. Fin­det sich dort bei­spiels­wei­se ei­ne der E-Mail-Adres­sen der Per­son, de­ren Com­pu­ter aus­ge­wer­tet wer­den soll, ste­hen die Chan­cen recht gut, dass das ent­hal­te­ne Pass­wort oder Ab­wand­lun­gen da­von pas­sen. Ein wei­te­rer An­griffs­vek­tor sind Win­dows-Log­in-Pass­wör­ter, die sich oft sehr gut mit Hil­fe von Re­gen­bo­gen­ta­bel­len (vor­kom­pi­lier­te Pass­wort­lis­ten) kna­cken las­sen.

Selbst ak­tiv wer­den

Tes­ten Sie ein­mal bei ei­nem un­ver­schlüs­sel­ten Rech­ner, vor­zugs­wei­se ei­nem Note­book mit nicht all­zu gro­ßer Fest­plat­te, wel­che Da­ten Sie ex­tra­hie­ren kön­nen. Sie be­nö­ti­gen da­für ein Live-Li­nux wie CAINE (ba­sie­rend auf Ubu­ntu 16.04) oder Les­sLi­nux (Li­nux from Scratch, et­was mo­der- ner). Bei­de ent­hal­ten vie­le Fo­ren­sik-Tools und er­for­dern es, dass der An­wen­der ex­pli­zit be­stä­tigt, wenn er ein Me­di­um schreib­bar ein­bin­den möch­te. Das Fo­ren­sik-Li­nux soll­te nach Her­stel­ler­vor­ga­be auf ei­nen USB-Stick in­stal­liert wer­den. Als Zi­el­l­auf­werk für Images und ex­tra­hier­te Da­ten soll­te ei­ne schnel­le USB-Fest­plat­te mit mehr als dem zwei­fa­chen frei­en Spei­cher­platz im Ver­hält­nis zur Grö­ße der zu ana­ly­sie­ren­den Fest­plat­te ver­wen­det wer­den. Im nächs­ten Schritt gilt es, die Lauf­wer­ke zu er­mit­teln. In der Re­gel hat die in­ter­ne Plat­te /dev/sda, der beim Boot an­we­sen­de USB-Stick /dev/sdb und die zu­letzt an­ge­stöp­sel­te USB-Fest­plat­te /dev/sdc. Da die fol­gen­den Be­feh­le Root-Rech­te be­nö­ti­gen, stel­len Sie ein su­do vor­an (CAINE) oder füh­ren Sie sie in ei­ner Roots­hell aus (Les­sLi­nux). Zu­nächst gilt es, Lauf­werks­grö­ße und Par­ti­tio­nie­rung zu er­mit­teln: par­ted -s /dev/sda print ... für al­le drei Lauf­wer­ke lie­fert al­le re­le­van­ten Da­ten für die Zu­ord­nung. Dann kön­nen Sie die USB-Fest­plat­te schreib­bar ein­bin­den: mkdir /me­dia/sdc1 mount /dev/sdc1 /me­dia/sdc1 Nun ent­steht ein block­wei­ses Image: ddres­cue /dev/sda /me­dia/sdc1/sda.img Die Ver­wen­dung von ddres­cue hat den Vor­teil, dass auch von be­schä­dig­ten Fest­plat­ten weit­ge­hend pro­blem­los Images er­stellt wer­den kön­nen. Das re­gu­lä­re dd wür­de bei ei­nem Feh­ler aus­stei­gen. Im Prin­zip kön­nen Sie nun al­le wei­te­ren Ar­bei­ten an ei­nem an­de­ren PC durch­füh­ren. Aus Grün­den der ein­fa­che­ren Ar­beit zei­gen wir aber noch ei­ni­ge wei­te­re Werk­zeu­ge mit der in­ter­nen Plat­te. Das er­spart uns, Lauf­werks­zu­or­dun­gen an der Image-Da­tei vor­neh­men zu müs­sen. Viel Auf­schluss bie­ten die Schat­ten­ko­pi­en. Les­sLi­nux bie­tet hier­für ein via Me­nü zu­gäng­li­ches Tool, um Schat­ten­ko­pi­en als Lauf­werk (nur les­bar) ein­bin­den zu kön­nen, un­ter an­de­ren Dis­tri­bu­tio­nen müs­sen Sie sich mit der Kom­man­do­zei­len­syn­tax von vs­ha­dow­mount ver­traut ma­chen. Na­tür­lich fin­det man in den Schat­ten­ko­pi­en vie­le „be­kann­te“Da­tei­en. Fo­ren­si­ker pfle­gen da­her meist Samm­lun­gen von Scrip­ten, mit de­nen sich Du­blet­ten an­hand iden­ti­scher Na­men und Prüf­sum­men iden­ti­fi­zie­ren las­sen.

Zu­griff auf Mails: li­bpst

Nicht ganz ein­fach ist der Zu­griff auf Mails in Out­look-Post­fä­chern. Mi­cro­soft do­ku­men­tiert das PST-For­mat nur spär­lich. Doch die li­bpst ge­währt den Zu­griff, das be­g­lei-

ten­de Kom­man­do­zei­len­tool read­pst kon­ver­tiert Out­look-Mail­bo­xen in das un­ter Unix ver­brei­te­te Mbox-For­mat in Ein­zel­da­tei­en oder in Thun­der­birds Mbox-Dia­lekt. So ex­tra­hier­te Mail­bo­xen kön­nen leicht mit Scrip­ten durch­sucht wer­den oder be­quem in Thun­der­bird sor­tiert und ge­le­sen wer­den. Les­sLi­nux bringt da­für ei­nen klei­nen As­sis­ten­ten mit: read­pst.

Al­les un­ter ei­ner GUI: Auto­psy

Mit der Kom­man­do­zei­len-Werk­zeu­gSamm­lung Sleuth­kit und dem gra­fi­schen Front­end Auto­psy steht ei­ne Werk­zeu­gsamm­lung zur Ver­fü­gung, wel­che Fo­ren­sik un­ter ei­ner ein­heit­li­chen Ober­flä­che ver­füg­bar macht. Das er­leich­tert die Su­che in Da­ten und Me­t­a­da­ten und schafft Über­blick über Ar­chi­ve, Do­ku­men­te und Da­ten­ban­ken. Auto­psy ver­steht sich da­bei nicht als Er­satz für Script­samm­lun­gen und Kom­man­do­zei­len­tools; wohl aber als sehr gu­te An­lauf­stel­le für ei­nen ers­ten Über­blick und führt ins­be­son­de­re Da­ten sehr ef­fi­zi­ent zu­sam­men, bei­spiels­wei­se die Öff­nungs­his­to­rie von Da­tei­en ( Win­dows Jum­plist) zu­sam­men mit Brow­ser­ver­läu­fen. Und trotz bes­ser wer­den­der Tools, er­klärt uns Fo­ren­sik-Pro­fes­sor Hol­ger Mor­gens­tern von der Hoch­schu­le Alb­stadt-Sig­ma­rin­gen, müs­sen sei­ne Stu­den­ten sich in Da­tei­sys­tem­spe­zi­fi­ka ein­ar­bei­ten und ein­zel­ne Da­tei­en per Hex-Edi­tor fin­den.

Mit My­then auf­räu­men ...

Wer mit den Tools der Fo­ren­si­ker spielt, merkt schnell, wel­che Er­geb­nis­se sich mit ein we­nig Ge­duld fast von selbst er­zie­len las­sen und wo mo­der­ne Ver­schlüs­se­lungs­tech­nik Gren­zen setzt. Die Werk­zeu­ge im Film, wel­che Pass­wör­ter in Se­kun­den kna­cken, las­sen den Fo­ren­si­ker, der mit ei­nem ver­schlüs­sel­ten Da­ten­trä­ger kon­fron­tiert wird, bes­ten­falls laut la­chen. Er selbst muss in un­ver­schlüs­selt zu­gäng­li­chen Da­ten, et­wa ei­ner Fi­re­fox-Log­in­da­ten­bank, nach mög­li­cher­wei­se auch für den ver­schlüs­sel­ten USB-Stick ver­wen­de­ten Pass­wör­tern su­chen. Ech­te De­tek­tiv­ar­beit eben. Auch wird der Fo­ren­si­ker, wel­cher nach dem Er­stel­len ei­nes Images nur bi­nä­re Nul­len sieht, das Image zur Sei­te le­gen und nichts da­mit tun. Die Mär des sie­ben­fa­chen Über­schrei­bens mit Zu­falls­zah­len war ein­mal zu den Zei­ten von Acht-Zoll-Dis­ket­ten an­ge­mes­sen, als beim For­ma­tie­ren auch Spur­in­for­ma­tio­nen ge­schrie­ben wur­den. Heu­te sind wir bei SSDs so weit, dass der rich­ti­ge TRIM-Be­fehl ei­nen kom­plet­ten Da­ten­trä­ger rest­los lö­schen kann. Zu­min­dest hier nä­her­te sich die Wirk­lich­keit in den letz­ten Jah­ren der Fik­ti­on an.

... und ei­ge­ne Leh­ren zie­hen

Wenn Sie mit frei zu­gäng­li­chen Werk­zeu­gen an vie­le Ih­rer Da­ten auf dem Note­book her­an­kom­men, dann kann es ein Dieb genau­so. Oder der US-Grenz­be­am­te, der wäh­rend ei­ner Be­fra­gung Ihr Note­book ei­ne hal­be St­un­de ins Ne­ben­zim­mer mit­nimmt. Für die ge­plan­te Rei­se nach Neu­see­land oder in die USA bie­tet sich da­her das frisch auf­ge­setz­te Note­book mit bes­ten­falls ei­nem Ali­biE-Mail-Ac­count und Brow­ser­ver­lauf an; für Zug­rei­sen hier­zu­lan­de soll­te es we­nigs­tens die Ver­schlüs­se­lung von Da­ten­par­ti­tio­nen und ex­ter­nen Lauf­wer­ken sein. Soll­te wirk­lich der Fall ein­tre­ten, dass Ih­re Da­ten­trä­ger und Ihr Note­book ein­mal (be­rech­tig­ter Wei­se oder nicht) be­schlag­nahmt wer­den, ha­ben Sie noch im­mer die Wahl: Pass­wör­ter her­aus­ge­ben und so die Hard­ware schnel­ler zu­rück­er­hal­ten oder stur blei­ben und Ge­duld ha­ben.

Al­les un­ter ei­ner Ober­flä­che – Pro­gram­me, wie das freie Auto­psy, sor­tie­ren vor und ge­wäh­ren ei­nen Über­blick, sind aber kein Er­satz für Spe­zi­al­werk­zeu­ge.

Schat­ten­ko­pi­en (Vir­tu­al Shadow Snap­shots) er­mög­li­chen Zei­t­rei­sen im Da­tei­sys­tem – wur­den Da­tei­en seit dem letz­ten Win­dows-Up­date ge­löscht?

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.