Wenn es darum geht, Angriffe auf die Informationssysteme des Unternehmens zu untersuchen, sollte der Administrator am besten einen Koffer voller Tricks haben – Voraussetzung für den Erfolg.

Hunderte von Tools und Applikationen kümmern sich um forensische Vorfallbehandlung, trotzdem gibt es keine einzelne Lösung. Der Spielraum ist einfach zu groß: Ein vollständiges forensisches Incident-Response-Toolkit muss Datenakquisition, Text- und Dateisuche, Internet-Verlaufs-(Historie-) Analyse und proprietäre Analysen für Mail-Dateien und Datenspeicher enthalten. Das ist eine große Bestellung. Trotzdem behaupten viele Anbieter von Incident-Response- und Forensic-Applikationen, dass sie dies lieferten. Um diese Versprechungen zu testen, luden wir zwölf Hersteller zu einem Vergleichstest in unsere Real-World Labs ein.

»AccessData«, »dtSearch«, Guidance Software, Paraben und Technology Pathways schickten uns mehrere Produkte, und wir fügten noch das Opensource-Sleuth-Kit hinzu. Network Associates und New Technologies lehnten die Teilnahme an demTest ab, während »ILook« sagte, dass sie ihre Software ausschließlich an Gesetzeshüter liefere. »EMag Solutions«, Forensic Explorer und Pictuality antworteten einfach nicht auf unsere Einladung.

Jedes der getesteten Werkzeuge erfüllt einige Nachforschungsanforderungen. Guidance Softwares Encase-Produkte beispielsweise sind intuitiv und kümmern sich um viele Aspekte einer forensischen Untersuchung. Aber Encase-Enterprise-Edition ist teuer und nicht gleich gut für jede Organisation geeignet. Hier kommen die anderen Produkte unseres Testfelds ins Spiel: Jedes besitzt seine Stärken, die beim Abschließen des Falls helfen. Allerdings sind die Produkte so unterschiedlich, dass man sie nicht wie Äpfel mit Äpfeln vergleichen kann. Wir verteilten die Produkte also auf drei Untersuchungs-Szenarien beziehungsweise Stufen. Einige Kategorien überlappen einander. Falls Organisationen keine Remote-Akquisition benötigen, sollten die Produkte der Stufe 2 als die primären Werkzeuge für forensische Untersuchungen gewählt werden.

Features: Forensic-Tools

Stufe 1: Netzwerk-fähige Produkte für anfängliche Analysen für die ersten »Ermittler«. Zu diesen Produkten zählen Encase-Enterprise-Edition und Technology Pathways Prodiscover. Diese beiden sind im Stande, in einer Live-Umgebung Drive-Images remote zu akquirieren; ihr Einsatz befreit vom Bedarf an Werkzeugen der Stufe 2.

Stufe 2: primäre Analyse und Drive-Image-Akquisition. Diese Stufe umfasst für gewöhnlich die Akquisition der Festplatte einer verdächtigen Maschine und deren Untersuchung in einer kontrollierten (nicht Live-) Umgebung. Das Accessdata-Forensic-Toolkit, Encase-Forensic-Edition und das Opensource-Sleuth-Kit passen hier hinein. In Umgebungen, die keine Netzwerk-fähige Akquisitionsapplikation erfordern, lässt sich jedes dieser Produkte als primäres Untersuchungswerkzeug einsetzen. Jedes Produkt vermag ein vollständiges Sektor-für-Sektor-Drive-Image jeder zu untersuchenden Festplatte anzufordern. Zusätzliche Detektiv-Funktionalitäten variieren je nach Produkt.

Stufe 3: fein abstimmbares Schlüsselwort-Suchen in Platten- oder Partitionsinhalten, E-Mail-spezifisches Suchen oder Internet-Verlaufsanalyse. Parabens Netanalysis, E-Mail-Examiner und Net-E-Mail-Examiner sowie Dtsearches arbeiten hier. Diese Werkzeuge operieren mit Disk-Images, die mit einer der Applikationen der Stufen 1 oder 2 erzeugt wurden.

Umgebungsfaktoren

Welche Applikation eine Organisation schließlich wählt, richtet sich nach der jeweiligen Umgebung und den zu behandelnden Vorfällen, welche die Organisation erwartet. Eine gute Idee ist, ein primäres Forensic-Tool zu haben und es mit spezialisierten Applikationen zu ergänzen. Beispielsweise schlugen Textsuchen in üblichen Formaten, darunter Powerpoint- und Adobe-PDF-Dateien, mit den Stufe-1-Produkten Encase-Enterprise und Prodiscover fehl. Glücklicherweise ist Prodiscover relativ billig, so dass sich Organisationen mit kleinen Budgets ergänzende Werkzeuge noch leisten können.

Mit Remote-Funktionalität kann der erste »Detektiv« ein Image des betreffenden Systems erzeugen, ohne den Computer herunterfahren oder transportieren zu müssen. Zwei der getesteten Produkte sind dazu in der Lage: Encase-Enterprise und Prodiscover. Von diesen beiden bietet Encase-Enterprise die aufpoliertere Benutzungsschnittstelle und die von anderen Produkten zu erreichende Funktionalität. Aber die Kosten könnten zu hoch sein: 98500 Dollar für unsere Testausstattung. Prodiscover tut gerade genug, um ein brauchbares Remote-Image-Akquisitions-Tool zu sein. Es verzichtet auf die automatischen Vorfall-Alerts und erweiterten Scripting-Funktionalitäten eines Encase-Enterprise, dafür kostet es mit 2995 Dollar aber auch nur einen Bruchteil des Encase-Enterprise-Preises. Von beiden Produkten wird behauptet, dass sie Images von jedem Windows-Dateisystem sowie von Linux- und Solaris-Dateisystemen remote erzeugen können. Unsere Tests schlossen die Remote-Akquisition von FAT- und NFTS-Windows-Dateisystemen ein.

Falls Netzwerklaufwerk-Voransicht und Image-Akquisition verzichtbar sind, dann sind Encase-Forensic-Edition und Accessdata-Forensic-Toolkit gute anfängliche Image-Analysewerkzeuge. Die Pakete sollten je nach Netzwerkkonfiguration ausgewählt werden: Parabens Network-E-Mail-Examiner beispielsweise ist in Unix-Bereichen wertlos, aber für Exchange-Benutzer notwendig.

Stufe 1: Aus der Ferne

Der erste Ermittler, also die erste Person, die ein von einem Vorfall betroffenes System identifiziert und darauf zugreift, muss sich darüber im Klaren sein, dass Beweise nicht beseitigt werden dürfen. Unter keinen Umständen sollte dieser erste Ermittler Daten auf einem für Beweiszwecke wichtigen System modifizieren, ändern oder gar löschen. An dieser Stelle werden die Netzwerk-fähigen Features der getesteten Produkte wertvoll. Beachten Sie, dass die nachfolgenden Produktbeschreibungen alphabetisch angeordnet sind. Die Features-Tabelle auf Seite 42 zeigt eine Zusammenfassung der Fähigkeiten eines jeden Produkts.

Guidance Software EnCase Enterprise Ed. 4.19

Jede Ermittlung, Untersuchung oder Nachforschung beginnt mit der Entdeckung und Analyse des Vorfalls. Encase-Enterprise-Edition kann beides: Guidance vermarktet ihr Produkt sowohl als Intrusion-Detection-System wie auch als Incident-Response-Tool. Encase-Enterprise überwachte den als gut bekannten Zustand unserer vernetzten Clients und erzeugte automatisch ein Voransichts-Image eines jeden Systems, das seinen Zustand irgendwie verändert hatte. Dies wurde alles durch Hash-Verifikation der auf den Netzwerk-Clients installierten Dateien erledigt. Encase lässt sich außerdem so konfigurieren, dass es verdächtige Dienste oder Programme von Client-Maschinen automatisch entfernt.

Oberflächlich betrachtet ist es sinnvoll, eine Applikation zu haben, die Vorfälle sowohl erkennt als auch darauf reagiert. Wir meinen allerdings, dass Guidance aus dem Produkt besser zwei Angebote – eines für IDS und eines für Incident-Response – machen oder die IDS-Features aus dem Produkt entfernen und dann den Preis reduzieren sollte.

Die Kosten von Encase-Enterprise, so wie wir es getestet haben, enthalten eine Encase-Examiner-Installation, den Secure-Authentication-for-Encase-(SAFE-) Server und eine uneingeschränkte Anzahl installierter Client-Servlets. Für Organisationen, die sich über ihre Forensic-Bedürfnisse noch nicht ganz im Klaren sind, bedeutet das Produkt eine signifikante Investition. Die zusätzliche Funktionalität ist nützlich, aber die Option, Drive-Images remote auch ohne die riesige Preiserhöhung von Guidances Forensic-Edition akquirieren zu können, wäre besser. Trotz der Verwässerung durch die Vermarktung des Produkts als ein IDS ist dies immer noch die nützlichste einzelne Applikation für Ermittler.

Falls Kosten nur eine untergeordnete Rolle spielen, gibt es viel an diesem Produkt zu lieben. Bei jeder Encase-Enterprise-Installation hilft ein dezidierter Guidance-Software-Sales-Ingenieur. Wie angeleitet konfiguriert, sollte das Encase-Client-Servlet auf allen Client-Maschinen im Netzwerk installiert werden. Das ist eine riesige administrative Aufgabe für ein eingerichtetes Netzwerk der Enterprise-Klasse, aber die durch diese Konfiguration gebotene Funktionalität reduziert die durch häufige Nachforschungen verlorene Zeit.

Der Encase-Safe-Server verwaltet den Benutzer- und Gruppenzugriff für jede beginnende oder andauernde Untersuchung. Vor dem Eröffnen eines Falls oder der Kommunikation mit einem der installierten Client-Servlets muss der Benutzer dem Safe-Server über eine 128-Bit-AES-Verbindung Anmeldeinformationen zur Verfügung stellen. Die Authentifizierung basiert auf einem Public-Key-Verschlüsselungssystem, das Public- und Private-Key-Verifizierung zwischen dem Safe-Server und dem Ermittler nutzt.

Benutzerrollen und -privilegien zu konfigurieren, ist nicht schwierig. Wir konnten für den Zugriff auf individuelle Clients oder Bereiche von Client-Adressen Benutzern auf Gruppen oder Rollen basierendee Berechtigungen zuweisen. Für unsere Tests erzeugten wir einen primären Ermittler und einen Assistenten-Benutzer mit weniger Privilegien für den Zugriff auf die Clients in unserem Netzwerk. In dieser Umgebung entdeckte Encase-Enterprise den Keysnatch-Trojaner auf einem unserer Clients und erzeugte automatisch eine Voransicht des infizierten Laufwerks. Wie konfiguriert, konnte unser Assistent auf die Drive-Voransicht zugreifen und den Fund verifizieren, während ausschließlich der primäre Benutzer die Trojaner-Datei löschen konnte. Bei einem echten Vorfall bietet diese Rollenverteilung eine feinere Abstimmung der Verantwortlichkeiten und Reaktionen, was die die Phase der anfänglichen Nachforschung reduzieren hilft.

Durch eine Voransicht des Systems war es uns möglich, eine flüchtige Untersuchung oder Navigation auf dem Remote-Laufwerk durchzuführen, ohne ein vollständiges Disk-Image erzeugen zu müssen – dieses Image wäre wie ein als Netzwerk-Freigabe gemountetes, komplettes Remote-Laufwerk. Alle auf der Remote-Maschine ausgeführten Dienste und Prozesse lassen sich betrachten und einschätzen. Wir entdeckten und entfernten ein auf der Client-Maschine ausgeführtes Trojaner-Servlet, aber Encase-Enterprise kann auch so konfiguriert werden, dass es solche Typen von Dateien automatisch bei Entdeckung entfernt. Die Dokumentation ist vollständig und ausgereift, aber wir wünschten, sie stünde unter dem Hilfe-Menü zur Verfügung – ein bei den meisten Applikationen erwarteter Standard. Abgesehen von der Netzwerkfunktionalität besitzt Encase-Enterprise die gleiche Benutzungsschnittstelle und Feature-Sammlung wie die günstigere Forensic-Edition.

Technology Pathways ProDiscover

Prodiscover ist eine bessere Wahl für kleine und mittelgroße Unternehmen, hauptsächlich weil es nur 2995 Dollar kostet. Dieser Preis umfasst einen Benutzer auf bis zu drei installierten Maschinen und eine uneingeschränkte Anzahl installierter Client-Agenten. Unsere Installation umfasste die Prodiscover-Investigator-Schnittstelle, die wir auf einem Windows-XP-System ausführten. Damit verbanden wir uns zu einem Remote-Client-Agenten auf einer Windows-2000-Professional-Maschine. Wir akquirierten Images von diesem Remote-Laufwerk über ein 100-MBit/s-LAN, das wir ausschließlich für diesen Test nutzten.

Prodiscover kann von einem System remote ein Image in einem proprietären Modus oder im dd-Format erzeugen. Dieses dd-Format lässt sich zu einem späteren Zeitpunkt von jedem Forensic-Tool lesen. Wir nutzen dieses Format die meiste Zeit, um Images zu erzeugen, die von weiteren Nachforschungswerkzeugen gelesen werden könnten. Die Benutzungsschnittstelle von Prodiscovery ist weniger beeindruckend als die von Encase, denn sie tut einfach weniger – nur, was für die anfängliche Analyse eines betroffenen Systems erforderlich ist. Beim Testen auf der Windows-XP-Plattform erfuhren wir zunächst permanent Netzwerk-Timeouts – glücklicherweise fanden wir in den Release-Notes Instruktionen zur Behebung dieses Problems. Der Hersteller sagt, dass ein Update des Produkts (3.5) dieses Problem lösen und signifikant mehr Funktionalität hinzufügen werde. Version 3.5 wurde bei Erscheinen dieses Artikels freigegeben.

Netzwerk-Client-Maschinen haben den Prodiscover-Client-Agenten nicht kontinuierlich als Netzwerkdienst laufen. Die anfängliche Nachforschung erfordert also die Prodiscover-Client-CD bei der betroffenen Maschine. Prodiscover kommt zwar mit Batch-Datei-Scripts, mit denen sich der Agent auf eine Zielmaschine pushen lässt, aber dadurch wird der Platteninhalt der fraglichen Maschine verändert. Da der Client-Agent als Dienst auf Windows-Maschinen laufen kann, ist es ratsam, ihn auch auf allen Client-Maschinen laufen zu haben. Wir wünschten, Technology Pathways würde dieses spezifische Szenario klar und deutlich in ihrer Dokumentation beschreiben, da eine Modifizierung eines Ziels während einer Untersuchung aus forensicher Sicht nicht akzeptabel ist. Während unserer Tests hatten wir keine Probleme damit, die Client-Agenten auf allen Netzwerk-Clients stets am Laufen zu halten. Dies erlaubte uns Voransichten der existierenden Clients ohne Modifizierungen.

Die Filter- und Scripting-Funktionen sind nicht so nützlich und robust wie die der Encase-Suite. Ein Image unter Beachtung forensischer Standards remote zu akquirieren, funktionierte allerdings tadellos. Images ließen sich für die Analyse in einer separaten Applikation öffnen. Prodiscover fühlt sich nicht so an, als ob es den gleichen Grad an Qualitätssicherung durchlaufen hätte wie Encase. Beispielsweise sind Fehlermeldungen manchmal nur schlecht geschrieben, und eines der Dialogmenüs enthält Rechtschreibfehler – aber keiner dieser Flüchtigkeitsfehler verhinderte eine vollständige Produktanalyse.

Stufe 2: Die rechte Hand

Sobald Beweise identifiziert sind und die anfängliche Analyse gezeigt hat, dass weitere Nachforschungen notwendig sind, ist es notwendig, den aktuellen Stand der Daten beizubehalten. Wie dies getan werden kann, richtet sich nach dem Typen der Nachforschung und der Verfügbarkeit investigativer Tools und Applikationen. In einer typischen Umgebung – eine Organisation ohne forensische Nachforschungsapplikationen der Enterprise-Klasse – ist der physische Zugriff auf die Festplatte erforderlich, um eine gehashte Bit-Strom-Kopie der Platte, der Partitionen und der Dateien zu erzeugen. Unter keinen Umständen dürfen diese Dateien geändert werden. Dies zu tun würde die Beweise, beispielsweise vor Gericht, unbrauchbar werden lassen.

Sobald eine Bit-Strom-Kopie alle Daten erzeugt ist, ist deren Integrität zu verifizieren. Dies geschieht durch Berechnung eines Hashes der Original-Platte, der Original-Paritionen und der Original-Dateien, der Erzeugung eines duplizierten Images von diesen Daten und einem erneuten Hashing des Images, um zu gewährleisten, dass es dem Original-Hash exakt entspricht. Der Ermittler sollte jedes erzeugte Image duplizieren und auf einem optischen Speichermedium archivieren, um gegen beschädigte oder zerstörte Original-Images gewappnet zu sein.

Die getesteten Produkte sind für primäre Analysen und Drive-Image-Akquisition und die Durchführung von Nachforschungen in kontrollierten Umgebungen geeignet.

AccessData Forensic Toolkit

Zwar ist Encase-Forensic das von Ermittlern am häufigsten eingesetzte Werkzeug, aber Accessdatas Forensic-Toolkit 1.50 ist ein starker Konkurrent. Das Forensic-Toolkit sammelt und sortiert wie Encase-Forensic automatisch gelöschte und teilweise überschriebene Dateien. Die Benutzungsschnittstelle dieses Produkts ist aber besonders für erstmalige Anwender geradliniger und einfacher zu verstehen. Sie enthält außerdem dank der Integration der dtSearch-Text-Retrieval-Search-Engine signifikant leistungsfähigere und effizientere Text-Suchfunktionen. Da diese Search-Engine bereits integriert ist, ist der Kauf eines separaten Text-Suchwerkzeugs überflüssig.

Die Filterung im Forensic-Toolkit ist zwar nicht so anzupassen wie die in Encase-Forensic, aber hinzugefügte View-Filter vereinfachen Dateiansichten. Jedes Mal, wenn wir einem offenen Fall Beweise hinzufügten, erzeugte das Programm zum Schutz der Integrität automatisch einen Hash aus der Datei und indizierte sie für die Suche. Da das Programm diese beiden Schritte simultan ausführt, spart es Zeit. Unser einziger Kritikpunkt ist der Fortschrittsbericht für die anfängliche Hash-Berechnung und Indexerzeugung. Ein großes Disk-Image zu hashen und zu indizieren ist zeitraubend, und das Programm liefert keine Informationen über die verbleibende Zeit oder eine Zeitschätzung. Beim Öffnen eines großen Disk-Images ist das sehr ärgerlich – wenn eine Operation schon einen gesamten Tag oder eine Nacht erfordert, sollte man darüber wenigstens informiert werden. Das Forensic-Toolkit würde auch von leistungsfähigeren, auf Script basierenden Dateiansichten und -akquisitionen profitieren – Encase-Forensic bietet hier ein wenig mehr. Insgesamt nähert sich das Forensic-Toolkit der Funktionalität von Encase-Forensic und verdient es, als primäres investigatives Werkzeug berücksichtigt zu werden.

Guidance Software EnCase Forensic Edition

Encase-Forensic-Edition wird weitgehend als Gold-Standard für forensische Untersuchungen betrachtet und für den ersten Schritt einer vollständigen Systemanalyse sehr empfohlen.

Die Schnittstelle des Produkts ist nahezu identisch mit der des Enterprise-Pakets – es fehlen aber die Remote-Fähigkeiten und Netzwerkfunktionalitäten. Encase-Forensic führt eine Sektor-für-Sektor-Akquisition der Festplatte durch, um verwaiste oder gelöschte Dateien zu sammeln, die sich noch immer dort befinden. Dazu gehören auch teilweise überschriebene Dateien (selbst gelöschte Dateien können immer noch auf der Platte verfügbar und lesbar sein – lediglich vollständig überschriebene Dateien sind nach heutigen Standards verloren) und schlechte Sektoren. Wegen der überragenden Fähigkeiten des Produkts auf diesem Gebiet empfehlen wir, selbst Images, die mit dem konventionellen Unix-dd-Utility erzeugt wurden, mit Encase-Forensic zu untersuchen, bevor weitere Nachforschungen angestellt werden.

Falls Ermittler Nachforschungen mit nur einem einzigen Werkzeug durchführen müssen, dann könnte Encase-Forensic dieses Werkzeug sein. Die Filterung ist schnell und intuitiv, hat man erst einmal die Auswahlschnittstelle im Griff. Die Default-Filter sind nahezu komplett. Die Applikation zeigt alle grafischen Dateien schnell in einem einfache Galerie-Format, was das Finden nicht autorisierter Images erleichtert.

Die Scripting-Schnittstelle von Encase-Forensic erlaubt den Ermittlern, die Beweissammlung fein abzustimmen – dies ist vielleicht das beste Feature des Produkts. Ein Ermittler, mit dem wir gesprochen haben, sagte, dass er Encase-Forensic bei jeder Untersuchung für wenigstens zehn Minuten einsetze, nur um Zugriff auf die Script-Filterung zu erhalten. In unserer Testumgebung nutzten wir eine Maschine, um Dokumente und Image-Kopien zu sammeln – als ob wir Unternehmensinformationen stehlen würden. Leicht reduzierten wir ein Image, bis wir nur noch die relevanten Dateien übrig hatten. Dazu schalteten wir zunächst die Default-Dateifilter ein und modifizierten anschließend die C-ähnlichen Scripts für jene Filter innerhalb der Script-Editing-Schnittstelle des Produkts. Sobald mit Encase-Forensic Beweise aus einem Image gesammelt sind, ist es bereit für gründlichere Analysen mit anderen Produkten.

Die Hilfe-Dokumentation von Encase-Forensic ist exzellent, aber der wahre Wert liegt in der Benutzergemeinschaft. Wir fanden viele aktive Mailing-Listen und Diskussions-Boards, und die Teilnehmer antworten schnell und gern. Es gibt aber auch ein paar Kritikpunkte: Encase-Forensic hat eine Menge Menüs mit Listen einzelner Wörter, die alphabetisch sortiert werden sollten. Wer sich erstmalig mit der Benutzungsschnittstelle vertraut macht, hat es nicht einfach, bestimmte Funktionen zu finden. Trivial? Ja, aber das trifft auch auf die zur Behebung dieses Ärgernisses notwendige Entwicklungszeit zu. Die Arbeit mit Dateien in der Auswahl-Schnittstelle kann zu Konfusionen führen. Zwar half uns das Tutorial, das wir vom Vetriebsingenieur während der Enterprise-Edition-Installation erhielten, aber zu Encase-Forensic gehört kein persönliches Training. Die Textsuche von Encase-Forensic unterstützt zwar Hunderte von Zeichensätzen, aber wir hätten sie häufiger eingesetzt, wenn sie nur halb so effizient wie spezialisierte Applikationen, beispielsweise dtSearch, wäre. Auch die Internet-Historie-Berichterstellung fällt zurück; das Format ist weder leicht lesbar, noch lassen sich spezifische Daten schnell und akkurat analysieren. Hier gefällt uns Parabens Netanalysis besser. Eine ideale Incident-Response-Implementation mit Encase-Forensic erfordert verschiedene andere forensische Applikationen, um vollständig zu sein.

Sleuth Kit 1.72

Unter der GPL stehen im Sleuth-Kit 1.72 mehrere freie Werkzeuge zur Verfügung, mit denen sich eine anfängliche Analyse der Daten eines verdächtigen Systems durchführen lässt. Das nun von Brian Carrier gepflegte Sleuth-Kit ist eine Sammlung investigativer Befehlszeilen-Werkzeuge, die FAT-, NTFS-, UTF-, EXT2- und EXT3-Dateisysteme analysieren können. Sleuth-Kit läuft ausschließlich unter Unix-Versionen, darunter Linux, BSD, Apple-OS-X und Sun-Solaris. Kenntnisse des Unix-Befehlszeilenbereichs sind also ein Muss.

Viele der im Sleuth-Kit enthaltenen Werkzeuge gleichen ihren gewöhnlichen Unix-Gegenstücken, sind aber modifiziert für die Arbeit außerhalb des logischen Dateisystems. Dazugehören »ffind« und »ifind« für Meta-Suchen über ein vollständiges Drive-Image statt nur im logischen Dateisystem, »dcalc« für die Bestimmung, woher gelöschte oder nicht zugeordnete Dateien stammen, und »dcat« für die Anzeige von Dateistrukturen unabhängig von einem existierenden Dateisystem. Alle diese Utilities lassen uns die gleichen investigativen Funktionen durchführen, die uns die getesteten Windows-Applikationen zur Verfügung stellen. Allerdings schreckte uns die Befehlszeilenschnittstelle zuerst ein bisschen ab. Es gibt ein »Autopsy« genanntes Web-Frontend für das Sleuth-Kit, aber diese Schnittstelle fühlt sich unterentwickelt an, und die Case-Management-Features sind nicht so fortgeschritten, wie die der getesteten kommerziellen Pakete. Beispielsweise schützte uns die Textfeld-Eingabeprüfung nicht davor, in eine Menge von Fehlern zu stürzen. Aber der Preis stimmt, und wer auf Open-Source setzt, ist sicher mit eckigen und kantigen Applikationen unter aktiver Entwicklung gut vertraut.

Nun gut, lassen Sie sich nicht von der Open-Source-Natur dieses Pakets erschrecken. Das Sleuth-Kit wurde eine Zeit lang sogar von professionellen Forensic-Ermittlern genutzt. Trotzt unserer Abneigung gegen Autopsy empfehlen wir Ihnen, sich mit der Sleuth-Kit-Suite vertraut zu machen. Das gilt besonders dann, wenn das zu untersuchende System ein Produktions-Unix/Linux-Server ist, der für die anfängliche Analyse nicht offline geschaltet werden kann. Sind die verschiedenen Tools erst einmal als statisch gelinkte Binaries kompiliert, lassen sie sich direkt von einer CD ausführen und leiten sämtliche Ausgaben an ein Programm um (netcat), das auf einer separaten Maschine die Vorgänge abhört. Natürlich ist dies kein so hübsches Paket wie Prodiscover oder Encase-Enterprise, aber es erledigt seinen Job und sollte gut in Bereiche passen, die über ausreichende Unix/Linux-Erfahrung verfügen.

Wie bei vielen aktiven Open-Source-Projekten kommt man leicht an Ressourcen und Informationen heran, und die Hilfedokumentation hilft tatsächlich. Für das Sleuth-Kit wird sogar ein Newsletter herausgegeben, der nützliche technische Instruktionen enthält.

Stufe 3: Der Kamm fürs Feine

Keine einzelne Applikation arbeitet gut genug, um wirklich jede Ermittlungsaufgabe zu erledigen. Nachdem die anfängliche Analyse mit einem der zuvor beschriebenen forensischen Pakete durchgeführt ist, kann eine vollständige, spezielle Untersuchung beginnen. Dazu gehören typischerweise substanzielleres Schlüsselwort-Suchen durch die Platten- oder Partitionsinhalte, E-Mail-spezifisches Suchen oder Internet-Historie-Analysen. Wenn wir beispielsweise vermuten, dass ein Angestellter illegale Dateien oder unerwünschte Informationen aus dem Internet heruntergeladen hat, ist eine Internet-Historie-Suche ein guter Anfangspunkt. Hat ein Angestellter proprietäres geistiges Eigentum an einen Mitbewerber gesendet, wäre eine Suche durch alle verfügbaren E-Mail-Records und Mailboxen angesagt. Abhängig vom Typen der fraglichen Datei stehen verschiedene Suchwerkzeuge für diesen Job zur Verfügung.

DtSearch Desktop 6.4

Beim Durchkämmen großer Mengen von Daten führt Dtsearch 6.4 mit der Unterstützung von mehr als 250 Dateitypen den Markt an. Große Dateisammlungen durchsucht das Produkt schnell, sobald erst einmal ein Dokumentenindex erzeugt ist. Bei Dtserach ist ein Index eine Datenbank, die den Ort eines jeden Worts in einer Sammlung von Dokumenten verzeichnet – und den korrespondierenden Ort eines jeden Worts insgesamt. Resultate zeigt das Programm hervorgehoben mit ihren exakten Orten an. Die Resultate lassen sich außerdem für die Berichterstellung in einem von Excel lesbaren Format exportieren.

Die Indizierung macht die Suche durch mehrere Gigabyte Daten extrem schnell, aber die anfängliche Erzeugung eines Dokumenten-Index‘ kann zeitraubend sein – abhängig von der Datenmenge kann es durchaus mehrere Tage dauern. Zwar erhöht die Dokumenten-Indizierung die Geschwindigkeit und Effizienz jeder Suche, aber sie ist nicht notwendig, damit Dtserach funktioniert. Bei einer forensischen Untersuchung ist die Erzeugung eines Index‘ jedoch typisch, denn das zu durchsuchende Image wird sich nicht ändern, und damit gibt es keinen Bedarf für nicht indiziertes Suchen. Dtsearch findet Text in nahezu jedem Dateitypen, darunter Adobe-PDF und komprimierte Dateien. Die einzige Applikation im Test, die Dtsearch integriert, war Accessdatas Forensic-Toolkit. Ist dieses Toolkit nicht Ihre Incident-Response-Applikation, dann ist Dtsearch-Desktop eine Notwendigkeit.

Paraben NetAnalysis 1.34

Ein anfängliches Profil einer generellen Computer-Aktivität zu entwickeln, kann zunächst sehr entmutigend sein, aber die Internet-Historie ist ein exzellenter Anfangspunkt. Parabens Netanalysis extrahiert Historie-Dateien aus einem Drive-Image, das mit einem der zuvor erwähnten Akquisitions- und Analyse-Produkte erzeugt wurde. Und gefiel dieses Tool. Es durchsuchte unser komplettes Image, nicht nur das logische Dateisystem, so dass sich selbst gelöschte Dateien aufgreifen ließen, sofern sie nicht überschrieben waren. Das ist sehr wichtig, weil das Löschen des Browser-Caches oft der erste Schritt eines Täters ist.

Der Historien-Extractor von Netanalysis sammelt sämtliche verfügbare Internet-Historie-Dateien und listet sie mit Zugriffszeiten und -daten auf. Das Produkt kann auch einfach die Internet-Hosts, auf die zugegriffen wurde, in einem separaten Fenster zeigen – die Auswahl eines Hosts zeigt dann alle damit verknüpften URLs. Mehrere eingebaute Filter zeigen automatisch potenziell illegale Aktivitäten, darunter Zugriffe auf Porno- und File-Trading-Sites. Die Filter können außerdem alle durchgeführten Internet-Suchen auflisten. Das macht es einfach, neben einer spezifischen Bestimmung jeder einzelnen im Browser geladenen Seite, ein generelles Internet-Nutzungsprofil erstellen.

Netanalysis speichert gesammelte Historie-Dateien in einer SQL-Datenbank und stellt einen außergewöhnlich einfach zu bedienenden SQL-Abfrage-Assistenten für erweiterte Datenbanksuchen zur Verfügung. Es lassen sich Berichte über alle Historie-, gefilterte oder markierte Dateien in verschiedenen Formaten exportieren. Mehrere eingebaute Berichtsformate berichten nur über Internet-Historie-bezogenen Beweise eines Falls. Das einzige Problem, worauf wir stießen, war der Export gefilterter Daten zu RTF – wir mussten die Applikation neu starten, um den Export korrekt durchzuführen. Trotzdem empfehlen wir Netanalysis wärmstens für jede Untersuchung der Internet-Historie.

Paraben E-Mail Examiner 4.01 und Network E-Mail Examiner 1.61

Diese zwei Produkte von Paraben glänzen beim Durchsuchen von E-Mail-Dateiformaten. E-Mail-Examiner sammelt und zeigt die meisten üblichen Mailbox-Typen. Die Dateien lassen sich dann ohne das normalerweise zu ihnen gehörende E-Mail-Programm anzeigen. Wir betrachteten beispielsweise eine Sammlung vom Microsoft-Office-Mailboxen – vollständig formatiert und intakt – ohne Microsoft-Outlook zu gebrauchen. Dieses Feature ist nützlich, besonders dann, wenn man es bei einem einzelnen Fall mit unterschiedlichen Formaten zu tun hat.

E-Mail-Examiner kann alle gefundenen Dateien unabhängig vom Format gemeinsam anzeigen. Sie lassen sich auch alle mit einander im einzelnen Standard-EML-Format exportieren. Während wir die Microsoft-Outlook-Mailboxen geöffnet hatten, konnten wir Sammlungen von Eudora- und Netscape-Mailboxen im selben Viewer gleichzeitig korrekt öffnen und uns anzeigen lassen. Das Programm extrahiert auf Wunsch alle Adressen aus einer kompletten Mailbox und zeigt Mail-Header für die weitere Untersuchung individuell in einer separaten Registerkarte. Ansichtsfilter lassen sich innerhalb der Applikation modifizieren. Alle Mailbox-Formate können auch zu HTML oder in ein generisches Mail-Format exportiert werden, beispielsweise für die Berichterstellung. Dabei wird der MD5-Hash als Dateiname benutzt. MD5-Hashes sind exzellente Dateinamen, sollten Beweise vor Gericht benötigt werden, denn sie lassen ein unerfahrenes Publikum verstehen, dass es sich bei jeder E-Mail um ein separates Stück handelt, selbst wenn sich mehrere E-Mails eine gemeinsame Betreffzeile teilen.

Die Exportfähigkeiten von E-Mail-Examiner sind die Stärke des Programms. Mehrere Formate in einen einzelnen, akzeptierten Standard exportieren zu können, ist für die Suche in mehrere Gigabyte Mail wertvoll. Ein noch leistungsfähigeres Suchwerkzeug könnte dann, falls notwendig, diese Dateien indizieren.

Während unserer Tests stießen wir auf nur wenige Probleme. Die Lesezeichen-Funktion könnte aber ein wenig besser entworfen sein. Das Setzen eines Lesezeichens für eine E-Mail-Nachricht öffnet unmittelbar die Lesezeichen-Ansichtsseite. Das ist störend und unterbricht unnötig den Arbeitsfluss.

Parabens Network-E-Mail-Examiner gleicht dem E-Mail-Examiner nicht so sehr, wie man glauben möchte. Network-E-Mail-Examiner liest lediglich Microsoft-Exchange- und Lotus-Notes-Mail-Speicherformate. Hier wird es absolut notwendig, auf die Original-Mail-Software verzichten zu können. Microsoft-Exchange einzurichten, nur um die dazu gehörenden EDB-Dateien zu durchsuchen und anzuzeigen, bereitet mehr Mühe, als sich die meisten Untersuchungen leisten können.

Info

So testete Network Computing

Alle Produkte wurden getestet in einem separaten 100-MBit/s-Netzwerk mit einer 2,8-GHz-Windows-XP-Maschine mit 1,25 GByte Arbeitsspeicher, einer 1,4-GHz-

Windows-2000-Professional-Maschine mit 350 MByte Arbeitsspeicher und einer 1,4-GHz-Fedora-Linux-Maschine mit 350 MByte Arbeitsspeicher. Die Drive-Images der Windows-2000-Maschine wurden über die XP-Maschine mit den getesteten Netzwerk-fähigen Applikationen akquiriert und dann mit allen Produkten im Test weiter analysiert. Das Encase-Enterprise-Produkt testeten wir separat in einem Lab-Subnetz mit zwei Dual-2,4-GHz-Windows-2000-Server-Systemen mit 2 GByte Arbeitsspeicher, die mithilfe eines Guidance-Software-Vertriebsingenieurs konfiguriert wurden.

Ein Ermittler, mit dem wir gesprochen haben, sagte, dass er dieses Feature schätze, denn er könne sich die Zeit zum Einrichten der zugehörigen Applikationen weder nehmen, noch könne er davon ausgehen, die dazu notwendige Hardware vorzufinden. Wir hatten Gelegenheit, einen vollständigen Lotus-Notes-Mail-Speicher zu laden und ihn uns anzusehen. Er war korrekt formatiert, so, als hätten wir die Lotus-Applikation benutzt. Für unsere Tests filterten wir alle Nachrichten, so dass wir aus den insgesamt ungefähr 2000 Nachrichten ausschließlich die Nachrichten erhielten, die den Namen unseres fiktiven Verdächtigen im Absender- oder Empfänger-Feld enthielten.

Wegen der Schwierigkeiten, Lotus-Notes- und Microsoft-Exchange-Dateien außerhalb ihrer proprietären Umgebungen zu analysieren, ist erneut die Export-Funktionalität sehr wertvoll. Network-E-Mail-Examiner kann komplette Mail-Speicher in verschiedenen Formaten exportieren, darunter das Standard-EML-Format. Die Lesezeichen-Funktion arbeitet hier ohne störende Nebenwirkung, aber die Hilfedokumentation war knapp und wenig nützlich. Glücklicherweise sind das Layout und die Anzeige der Applikation geradlinig und leicht verständlich. Beide Produkte enthalten Basis-Suchfunktionalität, aber ihre Exportfunktionen werden typischerweise in Verbindung mit separaten Suchapplikation, beispielsweise Dtserach, genutzt. [ nwc, dj ]