Einbruch? Der vergessene Weg. Flüchtigkeitsfalle

Transkript

1 Einbruch? Es ist das Dilemma der digitalen Forensik: Rechner herunterfahren und die Festplatte in Ruhe durchsuchen? Oder am lebenden Objekt forschen und unter Zeitdruck flüchtige Spuren im RAM verfolgen? Besser wäre es, den RAM-Inhalt für spätere Analysen zu konservieren. Der erste Schritt dazu: Rechner aus! Achim Leitner 29 Tatort Serverraum: Der Einbrecher benötigt weder Dietrich noch den Schutz der Nacht. Er kommt und geht übers Internet und sorgt sich nicht um Verhaftung auf frischer Tat. Aber er hinterlässt Spuren! Die zu finden und zu deuten, auch wenn der Angreifer sie verschleiert oder zu löschen versucht, ist in solchen Fällen die dringlichste Aufgabe des Admin und der Strafverfolgungsbehörden. Das Forensik genannte Fachgebiet hält hierfür Tools bereit, die auch bei ganz banalen Problemen helfen, etwa als Undelete-Ersatz bei versehentlich gelöschten Files. Selbst wenn nur ein Serverdienst verrückt spielt, ohne dass ein Saboteur im Spiel war, empfehlen sich forensische Methoden bei der Aufklärung SO Uve-Forensik Forensik muss sich nicht im Labor abspielen, nachdem alles vorbei ist. Manchmal ist es besser, am kontaminierten, aber lebenden Objekt mitzuvollziehen, was gerade passiert. Windows-Analyse Ein BKA-Ausbilder erklärt, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren. OCFA für Reihenuntersuchungen Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert. File-Carving Foremost, Scalpel & Co. erkennen Datenstrukturen und setzen aus dem Puzzle Files zusammen, ohne das Dateisystem zu kennen. Fundgrube Flash Flashspeicher und deren Dateisysteme halten prinzipbedingt besonders viele Chancen bereit, an gelöschte Daten heranzukommen. Der forensischen Vielfalt geschuldet widmet sich diese Linux-Magazin-Ausgabe den wichtigsten Aufgaben, vor denen Admins und Privatanwender stehen. Im Vordergrund stehen die Analyse am lebenden Objekt sowie die Untersuchung von Festplatten-Images. Beide Ansätze haben ihre Vorund Nachteile, zum Beispiel hat bei Image-Analysen der Ertappte keine Chance mehr, seine Spuren zu verwischen. Freilich gehen bei der rabiaten Methode die Inhalte des Hauptspeichers flöten und damit eventuell die einzigen Hinweise auf den Täter. Der vergessene Weg Es gibt einen dritten Weg, der zu Unrecht wenig Beachtung findet: Speicheranalyse per RAM-Dump. Die ist nur in der traditionellen Variante so unsicher wie die anderen. Wer sich erst am Rechner anmelden muss, um»/dev/mem«auszulesen und auf einen Datenträger zu kopieren, läuft Gefahr, dass ihn der Eindringling entdeckt und sich augenblicklich zurückzieht. Oder ein Kernel-Rootkit manipuliert das Mem-Device und gaukelt dem Forensiker ein blütenreines System vor. Einem gehackten System ist nicht zu trauen, auch nicht seinem Kernel. Dennoch implementieren kommerzielle Forensik-Programme eigene Speicheranalyse-Techniken ([1], [2]) und es gibt entsprechende Open-Source-Tools, etwa von Tobias Klein ([3], [4]) oder George M. Garner Jr. [5]. Die sind durchaus sinnvoll, da die meisten Eindringlinge eben doch nicht so versiert vorgehen. Glücklicherweise existieren moderne Wege, um an den Speicherinhalt zu kommen. Einen gibt die Virtualisierung vor: Knackt ein Angreifer ein Gastsystem und schafft es nicht, aus diesem in den Host auszubrechen, dann hat der Admin leichtes Spiel. Aus dem Host heraus kann er in Ruhe den Speicher des Gastsystems sichern. Zum Beispiel bei Xen mit dem simplen Aufruf»xm save VM1 VMl.chk«. Nach Lust und Gespür kann er das System sogar weiterlaufen lassen und mehrere Snapshots anfertigen. Flüchtigkeitsfalle Für nicht virtualisierte Systeme gibt es spezialisierte Hardware-Erweiterungen, die den RAM-Inhalt kopieren [6]. Verblüffenderweise kann man Speicher sogar via Firewire kopieren [7]: Der IEEE Standard schreibt einen DMA-Zugriff vor (Direct Memory Access), infolge dessen ein fremdes Gerät den kompletten Speicher lesen kann, ohne dass das Betriebssystem involviert wäre. Den Knüller lieferten Ende Februar aber Forscher der Princeton University zusam-

2 : I men mit einigen Kollegen. Ihnen gelang es, den RAM-Inhalt selbst nach einem Kaltstart des Rechners noch auszulesen [8]. In ihrem Forschungspapier [9] legen sie detailliert dar, wie sie einen Rechner ausschalten, wieder einschalten, den alten Hauptspeicherinhalt auslesen und daraus kryptographische Schlüssel rekonstruieren. Zwar zielt die Princeton-Gruppe auf Angriffstechniken ab, ihr Ansatz eignet sich aber auch für die Forensik. Für Insider war die Tatsache, dass der Speicherinhalt einen Kaltstart übersteht, nicht überraschend ([1], [11], [12]). Nur genutzt hat dies bisher offenbar kaum jemand. Es ist verblüffend, wie lange die Daten erhalten bleiben. Je nach RAM-Typ überdauern sie einige Sekunden bis mehrere Minuten. Das genügt, um einen Rechner aus- und gleich wieder einzuschalten. Danach darf natürlich kein normales System booten, da dies den Speicher sofort wieder überschreibt. RAM-Dumper für jeden Da die Princeton-Gruppe ihre Tools nicht veröffentlicht, schrieb Robert Wesley McGrew kurzerhand ein eigenes Programm. Msramdump [13] nutzt einen simplen USB-Stick als Bootmedium sowie zur Ablage des RAM-Dump. Um dabei möglichst wenig Speicher zu zerstören, lädt bei McGrew der Bootloader Syslinux keinen Kernel, sondern nur ein knapp 3,5 KByte großes COM32-Executable, das den RAM-Inhalt auf den Stick überträgt (Abbildung 1). Der Quelltext des Tools ist nur gut 2 Zeilen lang. Entsprechend simpel ist die Kopierfunktion, sie beschreibt eine eigene Partition, ohne ein Dateisystem zu nutzen. Mit»dd«sind die Daten später schnell in ein File umkopiert. Da nach dem Wiedereinschalten der RAM seinen Inhalt behält, ist ab diesem Zeitpunkt keine Eile mehr nötig. Es empfiehlt sich, zuerst in die Bios-Einstellungen des Rechners zu gehen und dort den RAM- Test abzuschalten oder, je nach Bios, Quick Boot zu aktivieren. Beim RAM-Test würde das Bios sonst den Speicher überschreiben. Außerdem muss der Rechner vom USB-Device booten. Wer ganz sicher gehen will, dass er jede RAM-Zelle rettet und das Kopierprogramm nichts überschreibt, sollte das Video der Princeton-Forscher [8] als SYSLINUX BB8-82-B3 EBIOS Copyright (C) BB8 H. Peter flnvin MsraMdnp - McGrew Security Ban Dunper - v B.5 Jittp://Hcgrewsecuritj>.coM/projects'Msrandrip/ Robert Uesley McGrew: MesleyOMcgreHsecurity.coM Found MsraMdMp partition at disk 8x88 : partition 2 Partition isn't Marked as used. Using it. Marked partition as used. Uriting section fron BxBBBBBBBB to Bx8BB9FFFF writing section fron 8x to 8x Donet You can turn off the Machine and renove your drive. boot: Abbildung 1: Das Mini-Bootsystem Msramdump kopiert den kompletten RAM-Inhalt auf den USB-Stick. Selbst nach einem Neustart bleiben Daten vom vorherigen System erhalten. (Quelle: [13]) Handlungsvorlage nutzen. Mit einem simplen Luftdruckspray kühlen sie die RAM-Chips und schaffen es so, den Inhalt über viele Minuten bis Stunden zu konservieren (Abbildung 2). Damit bleibt Zeit, die Chips in einen anderen Rechner einzubauen - zusätzlich zum dort schon vorhandenen RAM. Praxistauglicher ist aber der Ansatz mit dem USB-Stick. Zur vollständigen Daten-Akquisition gehört auch, anschließend den Inhalt der Festplatte in ein Daten-Image umzukopieren, um mit RAM- und Disk-Inhalt eine breite Basis für die anschließende Analyse zu besitzen. Spurensuche Je nach Zielsetzung ist beim Untersuchen des RAM-Dump beliebig viel Aufwand nötig. Eine einfache Analyse mit»strings«gibt dem Forensiker vielleicht schon den entscheidenden Hinweis, etwa wenn er den Inhalt einer oder einer IRC- Sitzung findet. Sogar die Carving-Tools, die ein eigener Artikel in diesem Heft vorstellt, helfen hier weiter. Programme, die auch die Struktur des Speichers beachten, sind vor allem für Windows-RAM-Dumps verfügbar, selbst wenn viele unter Linux laufen. Zum Beispiel das PM-Dump-Tool aus Joe Stewarts Truman-Projekt [14], es rekonstruiert aus einem physikalischen Speicherabbild den virtuellen Adressraum. Oder PT-Finder von Andreas Schuster ([15], [16]), der die Prozesstabelle aus einem Dump ermittelt. Auch Harlan Carvey hat für sein Buch Windows Forensic Analysis" RAM- Analysetools geschrieben [17], Chris Betz entwickelte Memparser [18]. Einen Abstraktionsschritt weiter gehen Tools wie das in Python geschriebene Volatility-Framework [19]. Es erkennt nicht nur die Prozesse, sondern auch deren Sockets und Netzverbindungen, die Abbildung 2: Sieht nach einem Defekt aus, ist aber nur ein tiefgekühlter Speicherchip. In diesem Zustand hält er seine Daten minutenlang auch ohne Stromversorgung. (Quelle: [8])

3 I python volatility Volatile Systeas Volatility Fraaeuork»1.1.1 Copyright (C) 27 VolaUle Systeas Copyright (C) 27 Koaoloi. Inc. This Is free softtiare; see the source for copying conditions. There Is NO Marranty: not «yen for (CRCHftKTMILITY or FITNESS FOR A PARTICULAR PURPOSE. usage: volatility cad [cad_opts] Run coaaand cad uith options cad_opts For help on a specific coamnd. run 'volatility cad help* Supported Coaaands: connections detetiae dlllist files ldent aodules pslist sockets strings thrdscan vadinfo vadaalk Exaaple: volatility pslist -f /path/to/ay/flle Print list of open connections Scan for connection objects Get dete/tlse Information for image Print list of loaded alls for each process (VERY verbose) Print list of open files for each process (VERY verbose) Identify laaje properties such as DTB and VN type (aay take a uhlle) Print list of loaded aodules Print list of running processes Scan for EPROCESS objects Print list of open sockets Scan for socket objects Hatch physical offsets to virtual addresses <aay take a «hlle. VERT Scan for ETHREAD objects Ouap the Vad sections to files Ouap the VAD info Halk the vad tree Abbildung 3: Die Tools aus dem Volatility-framework analysieren Wimfows-Speidierabzüge, zum Beispiel zeigen sie Verbindungen, Sockets, Systemzelt, DLLs, geöffnete Files und vieles mehr. gelinkten DLLs und die geöffneten Files (Abbildung 3). Außerdem extrahiert es die geladenen Kernelmodule und kümmert sich um das Mapping von virtuellen zu physikalischen Adressen. Leider versteht auch dieses Tool nur Dumps von Windows-Systemen. Vorteil nicht genutzt Obwohl die Analyse unter Linux deutlich einfacher sein sollte, weil nicht nur die Strukturen vollständig bekannt sind, sondern sich eine Analysesoftware sogar beim Kernelcode bedienen darf, ist entsprechende Software schwer zu finden. Als wohltuende Ausnahme ist die Masters Thesis von Jorge M. Urrea [2] zu nennen, die den RAM-Dump und Swapspace eines Open-Suse-1-Systems analysiert. Im Anhang seiner Arbeit befindet sich auch der Perl-Code, mit dem er seine Analysen durchführte. Auch Mariusz Burdach beschreibt eine Linux-Analyse [21] und veröffentlicht die Idetect-Tools dazu auf seiner Seite [22] zusammen mit Windows-Analysewerkzeugen wie dem Windows Memory Forensic Toolkit (WMFT). In Zukunft könnte Fatkit, das Forensic Analysis Toolkit, die Lücke schließen. Es ist laut Homepage [23] stark modularisiert und analysiert sowohl Windows- als auch Linux-Dumps. Dabei zeigt es die Informationen auf verschiedenen Abstraktionsebenen. Leider ist Fatkit derzeit noch nicht für die Allgemeinheit erhältlich, die Entwickler Aaron Walters und Nick L. Petroni Jr. kündigen aber bereits die Features der ersten Version an. Tools gefragt Neue Techniken, um zuverlässige RAM- Dumps von gekaperten Systemen zu ziehen, machen Speicheranalysen zunehmend interessant. Leider mangelt es noch an freien Werkzeugen, die nach dem Vorbild der Festplattenanalyse dem Forensiker helfen. Bleibt zu hoffen, dass sich die Situation bessert und die wenigen vorhandenen Tools reifen - damit das Schnüffeln in den RAM-Innereien Spaß macht oder wenigstens Erfolg hat. Infos [1] Knttools und Kntlist: [ gmgsystemsinc.com/knttools/] [2] Encase: [ [ 3] Process Dumper: [ research/forensic/pd/] [4] Memory Parser: [ research/forensic/mmp/] [5] Forensic Acquisition Utilities (FAU): [ [6] Brian D. Carrier und Joe Grand, A Hardware-Based Memory Acquisition Procedure for Digital Investigations": [ tribble-preprint.pdf] [7] Becher, Dornseif und Klein, FireWire - all your memory are belong to us": [ ttfirewire-cansecwest] [ 8] Princeton University, Center for Information Technology Policy, RAM-Analyse: [ [9] Halderman, Schoen, Heninger, Clarkson, Paul, Calandrino, Feldman, Appelbaum, Feiten, Lest We Remember - Cold Boot Attacks on Encryption Keys": [ princeton.edu/pub/coldboot.pdf] [1] Dan Farmer und Wietse Venema, Forensic Discovery": Addison-Wesley 25: [ forensic-discovery/chapter8.html] [11] Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory": [ pubs/secure_del.html] [12] Peter N. Biddle, Attack isn't news, and there are mitigations": [ 28/2/22/attack-isnt-news-and-thereare-mitigations/] [13] Msramdmp: [ projects/msramdmp/] [14] Truman - The Reusable Unknown Malware Analysis Net: [ com/research/tools/t ruman.html] [15] Andreas Schuster, PTFinder Version.3. verfügbar": [ 9/ptfinder 3_.html] [16] PTFinder FE: [ project/showfiles.php?groupjd=21596] [17] Windows IR/CF Tools: [ net/projects/windowsir/] [18] Memparser: [ challenge/memparser.shtml] und [ sourceforge.net/projects/memparser] [19] Volatility - Volatile memory artifact extraction utility framework: [ volatilesystems.com/default/volatility] [ 2] Jorge M. Urrea, An Analysis of Linux RAM Forensics", Masters Thesis, Naval Postgraduate School Monterey, California: [ theses/6thesis_urrea.pdf] [21] Mariusz Burdach, Digital forensics of the physical memory": [ seccure.net/pdf/mburdach.digitaljorensics_of_physical_memory.pdf] [22] Idetect: [ [23] 4tphi Research Laboratories, Fatkit - The Forensic Analysis ToolKit": [ Is" 31

4 Am offenen Herzen 32 Forensik muss sich nicht nur in abgeschirmten Laboren abspielen, nachdem alles vorbei ist. Manchmal ist auch am kontaminierten, aber lebenden Objekt mitzuvollziehen, was gerade passiert,nüsmagnus 1 3 Qi) OS do 6 7? #!/bin/s* cd /proc for p in Die Aufgabengebiete eines Computer- Forensikers sind vielfältig, zu seinen häufigsten Aufgaben gehören aber bestimmt Post-Mortem-Analysen von Festplatten. Das liegt nicht zuletzt daran, dass es oft eine ganze Weile dauert, bis Anwender einen Vorfall, etwa einen Einbruch in einen Server, überhaupt entdecken. Wer dann kein geschultes Personal oder keinen Notfallplan hat, der genau festlegt, was in solchen Situationen zu tun ist, wird im besten Fall den Rechner ausschalten und einem Experten übergeben. 1 Listing 1: DIYS-Ersatz für»ps«[-9]* proc=$(cat $p/cmttline) user= $(ls -Id $p cut -d\ echo done "$user $p $proc" -f3) Es gibt jedoch auch Fälle, in denen dies explizit nicht gewünscht ist. Manchmal ist es wichtiger, herauszufinden, wer der freventliche Angreifer ist oder wie er vorgeht, als die Daten selbst zu schützen. Ein solcher Fall könnte bei einer Testinstallation vorliegen, die durch ihre Firewallregeln eigentlich keinen externen Zugriff erlauben soll. In dieser Situation ist die Spezialdisziplin der Live-Forensik gefragt. Sie findet am laufenden System, mitunter zeitgleich zum Angriff statt. Offen oder verdeckt? Es gibt eine Reihe von Fragestellungen der Forensik, die sich letztlich nur aus dem Kontext der Untersuchung heraus beantworten lassen. Dazu gehört die Überlegung, ob eine Ermittlung offen - und damit auch für den Angreifer ersichtlich - geführt werden soll oder ob dieser unter keinen Umständen davon etwas mitbekommen soll [1]. Forensisch untersuchte Computer verhalten sich in einigen Aspekten wie Teilchen der Quantenmechanik: Wer sie anschaut, ändert schon damit ihren Zustand. Ein»ps«-Kommando kann auch der Angreifer sehen, ein»find«über die komplette Festplatte nach verräterischen Dateien überschreibt im Regelfall die wertvollen»atime«-records des Filesystems, die angeben, wann zuletzt ein Benutzer auf eine Datei zugegriffen hat. Aus dieser Erkenntnis folgt, dass sich ein System nicht vollständig ohne Spuren sichern lässt. Ist der Forensiker sich jedoch seiner Aktivitäten bewusst, kann er sie bei seiner Auswertung berücksichtigen. Gelegentlich wiegt also das Interesse, die Vorgänge aufzuklären, schwerer als der Versuch, den Angreifer in Sicherheit zu wiegen. Dazu kommt die Erkenntnis, dass sowieso automatisierte Skripte und Programme die Mehrzahl aller Angriffe ausführen. Einen Angreifer in flagranti mit den Fingern an der Konsole zu erwischen ist eher unwahrscheinlich. Schnelle Spurensicherung am Tatort Am konkreten Tatort steht also zuerst die Frage an, ob Rücksicht auf Beweisbarkeit und minimale Spuren des Forensikers genommen werden soll. Ist dies der Fall, bietet es sich tatsächlich an, das System möglichst umgehend vom Netz zu trennen und mit Low-Level-Tools Abzüge der Festplatten und anderer für die Analyse wichtiger Komponenten (im Wesentlichen des Hauptspeichers) auf externe Sicherungsspeicher anzufertigen. Für einen Low-Level-Dump kann sich»dd«eignen, nützlich sind hinreichend dimensionierte USB-Festplatten oder per Netzwerk ansprechbare Volumes. Einige

5 / * " ' ' ' ' ' - ' " ' ' ' " - " " ' ' Experten raten auch dazu, mit einem simplen»netcat«daten auf ein im selben Netz eingebrachtes Sicherungssystem zu überspielen und dort zu speichern. Bei der weiteren Betrachtung sollen diese Variante und die diversen Auswertungsverfahren und -Werkzeuge jedoch ausgeklammert bleiben. Stattdessen stellt sich die Frage, wie sich möglichst umfangreiche Informationen über das laufende System herausfinden lassen. Den aktuellen Systemzustand erkunden Eine gewisse Systematik ist nützlich, um keine Details zu übersehen [2]. Es ist oft sehr verlockend, einer scheinbar heißen Spur nachzugehen, aber ärgerlich, wenn sich diese hinterher als falsch herausstellt. Wer also eine Liste von Prozessen untersucht, etwa mit dem Befehl ps gauxwww sollte diese Liste auch speichern und komplett bearbeiten. Das Kommando zeigt alle Prozesse und alle Aufrufargumente mit allen Optionen an. Ähnliches lässt sich bereits mit einem kleinen Shellskript bewerkstelligen, das aus»/proc«daten ausliest (siehe Listing 1). Individuelle Erweiterungen lassen sich in solche Skripte schnell und einfach einbauen. Dies ist gerade dann nützlich, wenn etwa dem»ps«-kommando nicht mehr zu trauen ist. Ein guter Sanity-Check besteht darin, das Ergebnis durch ein ähnliches Werkzeug wie das ebenfalls oft installierte»pstree«zu überprüfen. Forensiker bedenken aber außerdem, dass Programme in der Lage sind, ihre Argumentliste»argv[]«per Programm zu ändern (siehe Listing 2). Zum Kern vorstoßen gx Edit ü«w So Cuxuc. Jnaliae»«wies Uolp Biitti a ä O -< UQ & * O Q ghi & U &. Frau* 12 (774 byte«on wir«, 774 bytes captured) Ethernet II, Src: WistronJ^s^ü (:ie:d3:gfcü?$i), Ost: Int«L_2S:»-l3 (QQ:dS:b7:25:i * Internat Protocol, Src: ( ), Ost: fc W ( Ü. « ) Version: 4 Baader length: 2 bytes Differentiated Services Field: x (DSCP x: Default; ECN: x) Total Length: 76 Identification: x2471 (9329) 3 ii ' U v «* * *,,, * > 4» «f m *~. 1 M -M '."..."...sq.. 4 be aa 5 4f f f 6c 6f e..POST / ap/login 5 2* f 31 2e 31 Od Da 55.php HIT P/1.1..U d Oe 74 3a 2 4d 6* 7e 9 Sc wr-agen t: Hozil DO7O 6c612f352e f 6d la/s.o { coapatib 8 Sc 65 3b 2 4b 6f 6e fl5 72 6f 72 2f 33 2e le; Konq ueror/ b24c96a b48544d4c2f 5; Linux ) KHTH_; Rta rtmp/atherxxxmvxat' *9 KB Oft Oft IS 1 j P: 39 D: 17 H; Drops; g]<idc Abbildung 1: Der Netzwerkmonitor Wireshark erlaubt die Überwachung von Netzwerkinterfaces. Das Tool listet jedes Paket in einer Zeile im oberen Fensterdrittel auf, ganz unten sind die Binärdaten zu erkennen. Neben Prozessen sind auch Netzwerkverbindungen sehr interessant. Sie lassen erkennen, von welcher Adresse aus sich der Angreifer auf das untersuchte System verbindet - und wo das Einfallstor ist. Zunächst gilt es erneut, einen Überblick zu gewinnen. Mit»netstat -ip -pan«zeigt Linux - Manipulationen am Kommando oder dem Kernel einmal außer Acht gelassen - alle lokalen IP-Sockets, deren Protokoll (TCP oder UDP) und eventuell einen Kommunikationspartner bei verbundenen Sockets ah (siehe Listing 3). Nach dem Status, der besonders für TCP Übersetzen mit gec -o changecommand changecommand.c Wartet drei Sekunden, ändert dann seine Kommandozeile, wartet erneut drei Sekunden und terminiert. Sie angegebenen Kommandos werden nicht ausgeführt, sie sollen nur den Administrator erschrecken, der das Verbindungen von Bedeutung ist, zeigt das Tool auch die Prozess-ID und den Beginn der Kommandozeile an, sofern Root den Befehl absetzt. Netzwerkzentrale An der Ausgabe lässt sich auch ablesen, wie gut das System gesichert ist: Das im Beispiel gezeigte ist offenbar ein Datenbankserver mit zwei RDBMS- Installationen, eine mit MySQL, eine mit PostgreSQL. Nimmt MySQL am TCP- Port 336 explizit nur Verbindungen auf } int main(int arge, char **argv) 26 { } *arg++ = w; char ao[] = "/bin/rm"; ehar al[] = "-ff"; 33 > Gegen Kernel-Rootkits jedoch ist eine solche einfache Methode zwangsläufig machtlos. Rootkits modifizieren bereits den Kernel so, dass dieser erst gar nicht die Informationen über bestimmte Prozesse im»/proc«-filesystem oder über andere Informationsmechanismen bereitstellt [3]. Andererseits ist es oft erstaunlich, wie unvorsichtig viele Angreifer dabei sind, ihre Spuren zu verschleiern. Einen Versuch ist es allemal wert. 9 ps-kommando ausführt. 1 */ void overwrite(char *arg, char *new) { 13 char w; while (*arg) 16 { 17 if (*new) 18 w = *new++; 19 eise 2 w = x; } char a2[] = "*"; usleep(3); overwrite(argv[], ao); overwrite(argv[l], al); overwrite(argv[2], a2); usleep(3); return ;

6 dem konfigurierten Interface mit der IP entgegen, lauscht Postgre- SQL auf jedem Interface nach Verbindungsanfragen (»SYN«-Paketen) für seinen Port Hat ein System nur ein echtes Interface, ist dies weitgehend egal, sind aber in der Umgebung Firewall-Regeln etwa mit»iptables«gesetzt, so kann dies einen Unterschied ergeben 14]. Belastbare Indizien Das»netstat«-Kommando erhält in Listing 3 explizit den Parameter»-n«, um zu verhindern, dass das DNS die IP-Adressen in Namen auflöst. Dies bietet sich an, weil dadurch kein unnötiger und verdächtiger Netzverkehr zum Nameserver entsteht. Wer im Rahmen der Live-Analyse parallel auch das Netzwerk überwacht, weiß diesen Umstand zu schätzen. Im Zweifelsfall lassen sich die IP-Adressen auch später noch in Namen auflösen; es kommt nur selten vor, dass diese Informationen allzu flüchtig sind. Mehr Informationen über die IP-Adressen zeigen die Kommandos»whois«und»traceroute«an. Der erste Befehl fragt eine von mehreren zentral im Internet betriebenen Datenbanken ab, in der Registrierungsdaten des Netzbereichs hinterlegt sind. Diese Angaben haben oft hohe A^sqabe von»netstat«^^^h 1 Proto fiecv-qsend-q Local Address Foreign Address 2 tcp 3 tcp 5 tcp 5 tcp 6 tcp 7 tcp 8 tcp 9 udp 1 # strace -p :336...: : : : : : :143 2 Process 376 attached - interrupt to quit...:*...;*...:* : : : : :143 Glaubwürdigkeit und sind von Angreifern ohne Zusammenarbeit mit Internet-Service-Providern vergleichsweise schwer zu fälschen. Die Verlässlichkeit der Angaben schwankt freilich mit dem Land oder der Region, aus der sie stammen. Weltweite Verstrickungen Nicht zuletzt sollte der Forensiker beachten, dass der Ausgabepunkt einer TCPoder UDP-Verbindung nicht mit dem Standort des Angreifers übereinstimmen muss. Oft nutzen diese nämlich andere gekaperte Systeme als Sprungbrett für ihre Machenschaften. Besondere Vorsicht ist angeraten, wenn die Verbindung von einem System ausgeht, dass netzwerktechnisch nahe dem eigenen System steht. Eine kurze Liste von Zwischenstopps in der Ausgabe von»tcpdump Zieladresse«offenbart dies. Wer ausschließen kann, dass es sich dabei um einen regulären Anwender handelt, hat einen starken Hinweis darauf, dass sich der Angreifer bereits in die Nähe vorgearbeitet hat. Aus demselben Subnetz heraus ist es viel einfacher, etwa Passwörter oder Zugangskennungen abzuhören als aus dem Internet. Kombiniert der Forensiker die gewonnenen Erkenntnisse aus der Prozessanalyse State LISTEN LISTEN LISTEN VERBUNDEN VERBUNDEN VERBUNDEN VERBUNDEN VERBUNDEN PID/Program name 26914/mysqld 26675/postmaster 2298/master 26914/mysqld 26914/mysqld 26914/mysqld 6413/postgres: demo 26675/postmaster 3 select(24, [ ], [], [ ], {37, 288}) = 1 (in [6], left {35, 3O)) 1 aceept(6, {sa_family=afjnet, sin_port=htons(6327), sin_addr=inet_addr(" ")}, [16]) = 5 getpeername(9, {sa_family=af_inet, sin_port=htons(6327), sin_addr=inet_addr("l92.l68.l4.23")}, [16]) - 6 geteuid32() = 13 7 getuid32() = 13 8 open("/etc/hosts", o_rdonly) = 2 9 mmap2(null, 496, PROT.READ PROT_WRITE, MAP_PRIVATE MAP_ANONYMOUS, -1, ) = xb7fdd 1 read(2, " \tlocalhost.localdomain\t"..., 496) = read(2, "", 496) = 12 close(2) = und den Netzverbindungen, stellt sich als Nächstes die Frage, was ein Schadprogramm eigentlich tut. SpurenSUCfie Dient es nur als Sprungbrett für weitere Angriffe? Dann sollte ein unbekannter Prozess einen Eintrag in der Socket-Liste hinterlassen haben. Hört es vielleicht bestimmte Daten im Netzverkehr ab? Dann wäre ein Netzwerkinterface in den Promiscous Mode gegangen. Dies erzeugt im Kernel-Ringbuffer typischerweise einen Audit-Eintrag [5]. Er lässt sich mit dem Aufruf»dmesg«anzeigen: device etho entered promiscuous mode audit( s4:2): dev=etho 7 prom=256 old_prom= auid= device etho left promiscuous mode audit( :3): dev=etho 7 prom= old_prom=256 auid=429729s Was aber tun, wenn offenbar ein Prozess läuft, aber unklar ist, was er tut? Zunächst ist es günstig, das Programm an sich zu sichern. Mittels»ps gauxwww«oder durch einen Blick in»/proc/hd/ cmdline«lässt sich das Executable zumeist lokalisieren. Was aber, wenn der Angreifer ein Werkzeug gestartet und danach sofort wieder gelöscht und auf der Festplatte überschrieben hat? Solange das Programm noch läuft, besteht Hoffnung: Ebenfalls in»/proc/pjd/ exe«hält der Kernel einen virtuellen Symlink auf das Executable vor, selbst wenn der Angreifer es im Dateisystem gelöscht hat. Sichert das Untersuchungsteam diese Datei an einem verlässlichen Ort, sind später genauere Analysen möglich. Stochern im Datenmüll Einfach, aber oft effektiv ist es, sich das Binary selbst einmal näher anzusehen. Der Befehl»strings -a Binärdatei«forscht in Files nach druckbaren Zeichen. Sollte sich das Schadprogramm etwa mit FTPoder Webservern verbinden, die ein Passwort verlangen, gäbe es die Möglichkeit, dass dies als Klartext im Programmcode verborgen ist. Ein Schuss Intuition vom Schlage Sherlock Holmes gehört allerdings dazu, die digitalen Brotkrumen vom Binärmüll zu trennen. Viel Zeit hingegen muss mitbringen, wer mit den Tools der Binutils, etwa die Symboltabellen ausle-

7 36 I c«> > t 1LMMi -1 M< Hadfc» fruafau «I *m*» kh*«r lucpid kuocuro khubd pdfluh gmrim 3 no m x I l B 1 m x W 1 I * q 1 1 Ajuto jj PO«, PPID E> t> I USER i * \m I» cml ttd txt man mum mm iram ran ram mm NOFD J ITYPE unknovin ur*no«unkno«reg REG BEG RES REG RES REG DEVICE * x33 *99 x33 1(93 x33 see « * JNUNK MUMM ^iggiom. JNODE NAI If" /pro It" Ma [h* 1C2M9 m i«o» m* 1294 M rtw 1C2K *H (pn 111^ Abbildung 2: Offene Dateien zeigt»isof«an, hier in der grafischen Variante»glsof«. So findet der Forensiker Hinweise darauf, an welchen Files sich ein Schadprogramm zu schaffen macht oder wo es Daten ablegt. übernehmen und weitere Querverbindungen zutage fördern. Das Kommando arbeitet nicht nur auf einzelnen Dateien, sondern untersucht ganze gemountete Partitionen, wenn es zusätzlich den Parameter»-m Gerät«erhält. Das Pendant zur Kemelschnittstelle ist das Überwachen der Netzwerkinterfaces. Werkzeugkästen wie Wireshark enthalten viele Tools, um Netzverkehr aufzuzeichnen und zu visualisieren (siehe Abbildung 1). So lassen sich einzelne Pakete in einem ansonsten zerstückelten Datenstrom von Wireshark wieder zusammensetzen. Auch so ließe sich eine Passwortübertragung sichtbar machen - der Angreifer wäre mit seinen eigenen Waffen geschlagen [7]. Puzzle mit vielen Teilen sen möchte (das geht mit»nm«) oder gar den Maschinencode disassemblieren will (hier hilft»objdump«etwas weiter). Zumeist ist dieses Verfahren nur den ganz harten Fällen vorbehalten. Wir gehen rein! Für das ultimative Echtzeiterlebnis stehen auch Kommandos bereit, die auf vielen Linux-Systemen installiert sind - oder zumindest sein sollten. Ein laufender Prozess lässt sich einfach beobachten. Root darf nämlich den Systemaufruf»ptraceO«auf jeden Prozess anwenden. Hat er das getan, erhält sein Programm jedes Mal eine Nachricht, wenn der überwachte Prozess einen Systemaufruf tätigt [6]. Das passiert häufig. Mit»strace -p PID«klinkt sich der Forensiker in den Prozess über seine ID ein. In der ersten Zeile in Listing 4 hängt sich»strace«an den Prozess 376. Nach einer Weile geht auf Socket 6 eine Verbindung von mit TCP-Port 6327 ein (Zeile 4). Der Kernel erteilt ihr Deskriptor 9, von dem der Prozess später lesen kann. Der Prozess öffnet die Datei»/etc/hosts«, gibt ihr das Handle 2 (Zeile 8) und liest sie dann aus (Zeilen 1 und 11). So ist recht gut nachzuvollziehen, was ein Prozess tut. Aus den Systemaufrufen lassen sich alle Dateien heraussuchen, die Prozesse geöffnet haben. Weil dies jedoch äußerst mühsam ist, zeigt das Tool»Isof«alle offenen Deskriptoren an [8]. Wegen der Fülle an Informationen ist auch hier eine Filterung angebracht. Die Option»-p PID«präsentiert eine Übersicht der Dateihandies, die der angegebene Prozess geöffnet hat. So lassen sich Dateien, verwendete Shared Libraries, Devices oder sogar Handies auf gemeinsam genutzten Speicher erforschen. Hier zahlt sich das Datei-Paradigma von Unix aus. Mit ihm findet der Forensiker Konfigurationsdateien von Schadcode, zusätzlich genutzte Bibliotheken oder Data-Dumps, in denen diese Programme Passwörter vor dem Hochladen an einen Server horten. Für das Kommandozeilentool gibt es sogar eine bequeme grafische Oberfläche namens»glsof«(abbildung 2). Arbeitet der Forensiker direkt am untersuchten System, ist das Werkzeug eine praktische Alternative, ist er jedoch übers Netz per Xll oder anderen Terminalclients verbunden, erzeugt der Einsatz zu viele verräterische Spuren im Netzwerk-Log. Den umgekehrten Weg geht»fuser«: Wem eine Datei verdächtig vorkommt, der kann damit herausfinden, welcher Prozess darauf zugreift. So zeigt»fuser -v /usr/lib/libcrypto.so..9.8«an: USES PID ACCESS COMMAND /usr/lib/libcrypto.so..9.8: den» 6149 m kded demo 9742 m kio_imap4 Die vorgestellten Werkzeuge zur Dateioder Prozessanalyse können nun wieder Wer sich auf seinem Linux-System auskennt, dem bleibt wenig verborgen. Eine Vielzahl von Systemdiagnose-Werkzeugen lässt sich auch zur Live-Forensik verwenden. Viele Aktivitäten von Angreifern werden so nachvollziehbar. Die Entscheidung, solche Untersuchungen durchzuführen, sollten sicherheitsbewusste Admins aber bereits vorher treffen. Im Eifer des Gefechtes ist der Adrenalinpegel hoch - schlechte Voraussetzung für eine Operation am offenen Herzen. Infos [1] Alexander Geschonneck, Computer- Forensik - Systemeinbrüche erkennen, ermitteln, aufklären": Dpunkt Verlag, 2. Auflage 26 [ 2] Nils Magnus, Forensik: Einbettung in präventive und reaktive Unternehmensprozesse": Gl Tagungsband IT-Incident Management & IT-Forensics, 23 [ 3] Amir Alsbih, Tarnwaffe: Rootkits für den Linux-Kernel 2.6": Linux-Magazin 6/6, S.56 [ 4] Ralf Spenneberg, IPsec und IPtables": Linux-Magazin 8/6, S. 86 [5] Linux Audit: [ [ 6] Uwe Schneider, Strace: Software-Endoskop": Linux-Magazin 9/2, S. 96 [7] Thomas Leichtenstern, Aufgedeckt: Wireshark": LinuxUser 7/7, S. 89 [ 8] Caspar Clemens Mierau, Besserwisser: Lsof": Linux-Magazin 3/7, S. 74

8 Fenster-Kit 38 S Wenn nach der Durchsuchung Beamte eine Festplatte mitnehmen, landet sie bei einem professionellen Forensiker in einer Behörde. Auf den folgenden Seiten erklärt ein Ausbilder, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren. Hans-peterM^,MarkusFeimer Spezialisierte Live-CDs wie Helix [1] oder FCCU [2] haben eine große Auswahl an nützlichen Forensik-Werkzeugen an Bord. Aber auch die herkömmlichen Debian- oder Ubuntu-Distributionen helfen den Ermittlern der Kriminalbehörden dabei, mit freien Forensik-Tools und einer kleinen Portion Shell-Know-how wichtige Informationen aus dem Dateisystem eines Windows-Systems zu sammeln und wiederherzustellen. Image erstellen Bevor es jedoch an die forensische Analyse geht, erstellt der Fahnder zunächst eine Kopie des sichergestellten Datenträgers, entweder in Form einer l:l-kopie oder indem er ein oder mehrere Images erstellt. Dafür stehen ihm unter Linux gleich zwei geeignete Verfahren zur Verfügung, und zwar Raw-Images mit»dd«oder Abbilder im Expert-Witness-Format. EWF ist ein proprietäres, von Guidance Software (Encase, [3J) entwickeltes Format, das auch die kommerzielle Forensic-Software von X-Ways [4] beherrscht. Es ist komprimiert und erzeugt damit deutlich kleinere Images als Raw. Für die Erzeugung von EWF-Images gibt es unter Linux Tools wie Linux Encase (Linen) oder Ewfacquire [5]. Linen ist in der Helix-CD als kostenlose Dreingabe von Guidance Software enthalten, aber das in jeder Distribution mitgelieferte DD reicht unter Linux fast immer aus. Mit dem Unix-Urgestein erstellte Images haben noch den Vorteil, dass sich ein so kopiertes Windows-System problemlos in einer Virtualisierung wie VMware starten lässt, was bei EWF schon wegen der Kompression nicht ohne proprietäre Zusatzsoftware funktioniert. Ein passendes DD-Image erzeugt beispielsweise der Befehl»dd if = /dev/sda of = win_hd.dd bs = 496 conv = noerror, sync«. An der Stelle von»/dev/sda«trägt der Admin die richtige Festplatte ein. Die Blocksize»bs = 496«beschleunigt den Kopiervorgang, da das Speichern eines ganzen Clusters effizienter ist als das eines einzelnen Sektors. Die»conv«-Parameter stellen unter anderem sicher, dass der Kopiervorgang nicht aufgrund von defekten Sektoren abbricht. Ein derartiges Raw-Image lässt sich wie eine normale Festplatte mit dem Befehl»fdisk -lu«analysieren. Dazu muss der Admin lediglich zusätzlich den Namen des Image angeben: # fdisk -lu winjid.dd Disk winjid.dd: MB, bytes 12 heads, 63 sectors/track, cylinders,? total sectors Units = sectors of 1 * 512 = 512 bytes Disk identifier: x84b84b Device Boot Start End 7 Blocks Id System winjld.ddl * HPFS/NTFS In diesem Beispiel enthält das Image also eine Partition, das verwendete Dateisystem ist NTFS. Weitere Informationen liefert das Programm»disktype«aus den Standard-Debian-Repositories: # disktype winjid.dd --- winjid.dd Regular file, size 3.21 GiB 7 ( bytes) DOS/MBR partition map Partition 1: 3.17 GiB ( bytes,? 63276S7 sectors from 63, bootable) Type x7 (HPFS/NTFS) Windows NTLDR boot loader NTFS file system Volume size 3.17 GiB 7 ( bytes, sectors) Auf der Partition ist offensichtlich der Windows-Bootloader installiert. Um jetzt Zugriff auf dieses Dateisystem zu erhalten, muss der Admin es zunächst

9 mounten. Die Partition beginnt, wie bei Festplatten üblich, bei Sektor 63. Eine Ausnahme ist Microsofts jüngster Spross Windows Vista, hier liegt er erst bei Sektor 247. Der Mountbefehl erfolgt somit über den passenden Offset: # losetup -o $((63*512)) /dev/loopo 7 win_hcldd # mount -o ro.noatime.noexec /dev/loopo /mnt Jetzt liefert ein Blick nach»/mnt«die Startdateien und das Dateisystem des Windows-Laufwerks. Ein kurzer Blick in die Datei»boot.ini«offenbart einen Windows 2 Server (Listing 1). Forensikers Liebling: Find Die typische Arbeit eines Strafverfolgers ist die Suche nach Dateien mit illegalen oder beweiskräftigen Inhalten auf sichergestellten PCs. In den meisten Fällen rufen die Forensiker dabei ihre Werkzeuge über»-exec«- oder»xarg«-konstrukte des Linux-Befehls Find auf, ein Workaround, der den rekursiven Einsatz praktisch jedes Befehls ermöglicht. Nach dem Image-Erstellen und -Einbinden könnte»find /mnt -type f«eine detaillierte Liste aller Files erstellen. Aber weil dieser Ansatz Dateinamen mit Leerzeichen oder Sonderzeichen nicht berücksichtigt, ist für den Forensiker der Aufruf»find /mnt -type f -printo xargs - ls -al«besser geeignet. Hashwerte leisten gute Dienste, um identische Files zu identifizieren und verfängliche Dateien auf Systemen zu finden. Automatisch erzeugen lassen sie sich zum Beispiel mit»find /mnt -type f -printo xargs - md5sum«, die Hashes können dabei schon on the Fly mit vorhandenem Referenzmaterial verglichen werden. Sinnvoller ist es allerdings, eine Datei zu erstellen, die die Hashwerte aller Dateien beinhaltet (Abbildung 1). Hashes ermitteln Duplikate In den meisten Fällen liegen dem Ermittler ohnehin bereits Hashes von Dateien vor, die er in einem Pool von anderen Hashwerten suchen soll. Eine typische Anwendung dieses Szenarios ist ein Fall, bei dem es eine Datenbank mit bekannten Files gibt, etwa die Suche nach strafbarem pornographischem Material. Auch Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe 3aefalc534d869675e58bl75e4 f6ccf6655d5ae345dof9falaale8af8 a83295e9f4a5595b22bcfo99b226e b5e4Off63dd9137affa55f lc3a3358ae9648a268e63e46e99ee7 3a765fcdd74c2ac8a3d74568bce2afb 36a133a*J5fccca271lf34499cd8 ce72869decec8a6!9621d68e7253b3 973a97bb48b5b39e7567b6f88c36e b5f69bl4db26bc85fba55ed6ed381f8 2515a821e23eafa34aca5858bbad4a d1784b9ad a45ad5c 117f 24e la6cfelb784d>76m27e as41csc385a4339c597ge3b c5dala786aec9a2c369337acded7fe7 a9b59188f256dfaad2127alc7d c7a814d9cl6cle99c fb52 522el4956dS447959dc9e56d b lee3652cd79bcbeeda3deiue4e 6667d7854a3ae7715d22b82761cfe7 73d9a54e33a9dcf23aa48a367bcb4e24 69f2594dafbb d49ecb5f91 4B315f8452a7db59a56aca28541eab92 f59a23e61fc6fld64f7b82cafl3be9b /itnt/winnt/servicepackfiles/1386/rdpdr.sys /imt/winnt/servicepackfiles/i386/rdpwd.sys /mnt/winnt/servicepackfiles/i386/rdpwsx.du /imt/winnt/servicepackfiles/1386/recciver.exe /nnt/vii*it/servicepackfiles/i386/redbook.sys /mnt/wimflyservicepackfiles/isee/ regapi.du /mnt/wimr/servicepackfiles/1386/regedit. exe /mnt/vinnr/servicepackfiles/isas/regedtaz.exe /i«nt/vii*fr/ser»icepackfiles/i366/regsvc.exe /imt/vim«t/servicepackfiles/i386/regsvr32.exe /iiint/viiint/setvicepackfiles/1386/ rend. dll /unt/vinnt/servicepackfü.es/1386/resutils.du /mnt/vinnt/servicep9ckfiles/i366/riched2.dll /mnt/winnt/servicepackfiles/ises/msdxm.ocx /imt/vinnt/servlrepackfi.les/iaes/msdxnilc.du /imt/vinnt/servicepackfiles/iabe/msexch^.du /»nt/wii*(t/servicepackfi'les/i386/msexc\4.ifn. / nt/wlnnt/servicepackfiles/1386/iisg. exe /mnt /WNST/ServicePackFiles/Uas/msgina. dll /mnt/vinnt/servicepackfiles/isatymsgpc.sys /imt/viwrr/servicepackfiles/iaee/msgsvc.dll /nnt/wimjt/servicepackfiles/iaes/nishdc. l^f /«nt/wiwr/servicepackfiles/i386/mshta.exe /unt/vinnt/servlcepackfiles/i386/n\shtml.du I3JJT pjbe<ehlsfen«ter ] W Befehlsfenster Nr. 3 I gjbefehwenster Nr. 4 Abbildung 1: Md5sum hat eindeutige Hashwerte der Dateien eines Windows-Dateisystems erstellt. Die Werte in der ersten Spalte ziehen Ermittler zum Abgleich mit bekannten Daten heran. in Strafverfahren, wenn zum Beispiel eine belastende Excel-Datei auf verschiedenen Rechnern gesucht wird, leistet dieses Vorgehen gute Dienste. Nicht zuletzt lassen sich damit von vornherein auch die auf jedem System vorhandenen Microsoft- DLLs aussortieren. Ob es Übereinstimmungen zwischen dem gesuchten und dem vorhandenen Material gibt, ermittelt später ein simpler»grep«-befehl. Eine Liste der Hashes vorhandener Files speichert der folgende Befehl - um den jeweiligen Dateinamen gekürzt - in die Datei»gross.txt«: # find /mnt -type f -printo xargs -? mdbsurn awk '{print $1}' sort -g? uniq > gross.txt Der»awk«-Befehl übernimmt dabei nur die Hashwerte der ersten Spalte,»sort -g«sortiert sie und»uniq«entfernt dop- 1 2 insgesamt r 1 root» -r 1 root OS -r 1 root 6 -r 1 root 7 -r 1 root 8 dr-x 9 dr-x 1 11 # cat /mnt/boot.ini [operating systems] 16 # is'-i 7Ürt.' ( ' ) 17 (...) Windows-Dateisystem 1 root [boot loader] timeout=3 root root root root root root 1 root root pelte Einträge. Ein Ermittler, der die zu suchenden Hashes in der Datei»klein, txt«gespeichert hat, findet dann mit dem Befehl»grep -fklein.txt gross.txt«die Duplikate und damit auch die entsprechenden Dateien. Suche nach Keywords Forensiker suchen auf den gesicherten Systemen auch nach bestimmten Begriffen. Zunächst ist dafür eine Textdatei mit den gewünschten Suchbegriffen zu erstellen, zum Beispiel»keywords.txt«mit den Begriffen Password beziehungsweise Passwort. Dann sucht # cat winjid.dd strings --color -f keywords.txt egrep -i? die Keywords»password«und»passwort«im gesamten Windows-Image und hebt 1S :5 arcldr.exe :5 arcsetup.exe :59 AUTOEXEC.BAT : S3 boot.ini :59 coiwig.sre « :1» Dokumente und Einstellungen »:14 WINNT default=multi()disk()rdisk()partition(l)\ WINNT multi()disk()rdisk()partition(l)\winnt= 'Microsoft Windows 2 Server" /fastdetect i 39

10 4 3 Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe TPasswordLengthWi/ ß NetValidatePasswordPolicy.?AVAdminPasswordPage@(a.?AVPasswordEditBox<M.?AVSafeModePasswordPage@@ <IxA HRff="_netvorksetup_change_admiJtlstratOT_password. htm">adininistrator<:/a> Snc Sad password d:\srv3rtm\enduser\troubleshoot\tshoot\registrypasswords.cpp im_static_crb>_confirm_ PASSWORD IDH STATIC CRH) PASSWORD IDH~fcüIT CBS) PÄSSWRD2 IDH_H>IT_CRED_ PASSWORD DisablePasswordCaching HNetRemoveCachedPassword UNetCachePassword «NetGetCachedPassw r d Invalid password Invalid password BasPppChangePassword RasSetÖldPassword RasPppChangePassword nar L_PASSWORD_Text = "Kennwort: 1 ; orow.cells(o).innerhtml="<div allgn='right' class='sys-font-body sys-color-body MaxLayouf = 'idrow41'x8r id ='idbr'>" + L_PASSWORD_Text + "&*sp;snbsp;</div>"; 1 lgib.fehl5f«rbt»f [ B«f.hlsf«nst.rNr. 3 WBefthlsfensterNr. A Abbildung 2: Linux-Bordmittel im Einsatz. Cat, Strings und Grep suchen nach Stichwörtern in der Windows- Partition und heben die gefundenen Eintrage farblich hervor. sie in der Ausgabe in roter Farbe hervor, wie in Abbildung 2 zu sehen ist. Besonders spannend ist das Verfahren, wenn für die Schlagwortsuche nicht nur das Dateisystem, sondern auch noch andere Bereiche einer Festplatte dienen, zum Beispiel die Auslagerungs- oder Hibernation- Datei, der nicht allozierte (unallocated) Bereich der Festplatte, Daten im Versatz des Dateisystems (File-Slack) oder die vermeintlich gelöschten Dateien. Gerade die Treffer aus dem Unallocated- Bereich einer Festplatte oder dem File- Slack verlangen häufig eine Wiederherstellung und die Zuordnung zu gelöschten Dateien. Hierbei hilft der dezimale Offset»-td«im Strings-Befehl in»cat winhd_dd strings -td egrep -i -color -f keywords.txt«weiter. 1 # fls n "C: r win_hd.dd > /tmp/body 2 # mactime -a -b /tmp/body Will der Ermittler auch Keywords finden, die im 16-Bit-Unicode abgelegt sind, mit dem die Windows-NT-Betriebssysteme arbeiten, dann muss er bei dem Strings- Befehl einstellen, ob die Suche nach Little oder Big Endian [6] erfolgen soll. Die nötigen Argumente sind in diesem Fall entweder»-eb«oder»-el«. Weitere Details dazu liefert die Strings-Manpage. Wie sich später über eine Inode-Zuordnung eine Datei wiederherstellen lässt, zeigt Listing 3 anhand von Ntfsundelete. Der Spürhund durchstöbert die ganze Festplatte Das Sleuthkit (Spürhund-Kit, [7] und [8]) gehört zu den wichtigsten forensischen Werkzeugen. Es befindet sich im Standard-Debian-Repository und Aptitude installiert es. Im Wesentlichen besteht das Hündchen aus drei Program- 3 Thu Jun :S :4,16656,m..,-/-rvnmrartre,,, , C:/MNlJT/systein32/edmodeiii. dll OS Thu Jun :5 :4,11792,m..,-/-nranntrwx,,, ,C:/WINNT/ServicePaekFiles/i386/ partingr sy 3 7 Thu Jun :S :4,7ä4,m.., -/-rwxrwxmx,,, , cvwinnt/servicepackfiles/isse/ bhp dll 9 Thu Jun :5:4,111764,m..,-/-rxxrwxrwx,,, , C:/WINNT/system32/mfc»2u. dll 11 Thu Jun :S :4,6SS93,m..,-/-rwxrwxrwx,,, ,C:/Prograirnne/utlook Express/ esapi3tl.dll 13 Thu Jun :5 :4,12264,m..,-/-rwxnrerwx,,,8B ,C:/WINNT/system32/idq.dll 1» Thu Jun :5 : 4,166672, m..,-/-rwxrwxrwx,,, ,c: /WIlMT/syste>ii32/qcap. all IS Thu Jun :5 :4,65593,m..,-/-rwxrwxrwx,,, llsss-128-3,c:/winnt/sersystem32/i386/csapi3tl.dll men, die Funktionen eines erweiterte»ls«bieten und meist schon im Namen ihre Funktion verraten: Fls listet Files auf Dateiebene, IIs auf der Basis der Inodes, Dls stellt die eigentlich gelöschten (deleted) Dateien dar. Dazu kommen Verwandte der gängigen Unix-Tools Cat (Icat) und Find (Ifind) sowie Statistik-Werkzeuge wie Istat. Zuerst erstellt Sleuthkit eine Liste aller Dateien mit Zeitinformationen (Listing 2). Wer die Ausgabe in einer übersichtlich gruppierten Ansicht mit einer Zeitleiste der Ereignisse erhalten möchte, ruft»mactime -b /tmp/body«auf. Nun soll das Tool die Schlüsselwörter in den gelöschten Dateien auf der NTFS-Partition aufspüren: # dls /dev/loopo > unallocated # cat unallocated strings egrep -i? --color -f keywords.txt Dls wandelt so den nicht belegten Platz in eine Datei um, die Cat dann über eine Pipe an Strings und Egrep weiterleitet. Der File-Slack Der Begriff File-Slack [9] bezeichnet Daten im Versatz des Dateisystems. Der entsteht, wenn jemand zum Beispiel eine 2 KByte große Datei in einem Dateisystem speichert, das über 4 KByte große Blöcke verfügt. Alle gängigen Windows-Systeme sind hier vergleichsweise unsauber programmiert und schreiben nach der zu speichernden Datei zufällige Daten aus dem RAM in die überzähligen Bytes des betreffenden Blocks. Genau da beginnt das Problem - beziehungsweise die Chance für den Ermittler: Mit Tools wie Dls aus dem Sleuthkit oder Bmap [1] kann der Polizist Daten rekonstruieren, die der Benutzer vielleicht nie bewusst auf seiner Festplatte gespeichert hatte. Manchen Ermittlern soll es so schon gelungen sein, verfängliche E- Mails zu rekonstruieren. Als besonders hilfreiches Werkzeug erweist sich hier Dls mit der Option»-s«: # dls -s /dev/loopo > fileslack # cat fileslack strings egrep -i 5 --color-f keywords.txt So kann der Forensiker auch im File-Slack nach Schlagwörtern suchen. Nach einer

11 pascom Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe ni B Files D.. FR. FR. FR. 14% % % % % % % % % % % % % % % % % % % % % «lth potentially recoverable content: 46 am; ^ Befehlsfenster msihnd.dll 5688 msiinst.exe msimain.sdb msimsg.dll msisip.dll sdbapiu.dll InstMsiO instmsi.msi 8337 msi.cat msi.dll 1119 msi.inf msiexec.exe msllind.dll msimain.sdb msimsg.dll msisip.dll sdbapiu.dll CIM.REC.BAK 12 JtÜnMgmt.CFG.BAK 12 $WinMgmt.CFG.BAK 259 spupdsvc.inf ff Befehlsfenste Nr. 3 J Befehlsfenster Nr. 4 Id EJ i IS DA IST EIN ANRUF FÜR SIE. DIE ZUKUNFT IST DRAN! MobyDick verbindet die Features modernster Telefonie mit den Vorteilen von Voice over IP. Abbildung 3: Ntfsundelete zeigt die gelöschten, aber wiederherstellbaren Dateien. In der ersten Sparte steht die für die Recovery notwendige Inode-Nummer im Dateisystem innerhalb der Imagedatei. Studie der Universität Linz [11] sind moderne Linux-Filesysteme übrigens nicht von diesem Problem betroffen, sie schreiben Nullen in die überschüssigen Bytes, wie sie»/dev/zero«liefert. Gelöschte Dateien, History und Windows-Registry Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe [system\controlset2\services\{51f3e9e7-e431-4b38-8f61-6e931f37blh Mit»ntfsundelete«aus dem Paket»ntfsprogs«kann jeder Linux-Admin gelöschte Dateien auf NTFS-Partitionen wiederherstellen. Bevor er»ntfsundelete«jedoch aufrufen kann, muss das Device»/dev/ loopo«wieder freigegeben sein, meist mit»umount /mnt«. Ohne weitere Optionen gibt»ntfsundelete /dev/loopo«nur eine Liste aller wiederherstellbaren Dateien aus (Abbildung 3). Das Beispiel in Listing 3 stellt die Datei»msiinst.exe«auf Inode wieder her. Aber auch auf der Festplatte vorgefundene Dateien verraten dem Ermittler oft mehr über den Benutzer, als diesem lieb [system\controlseto2\services\{51f3e9e7-e431-4b38-8f61-6e931fo37bl}\parameters] [systera\controlset2\services\{51f3e9e7-e431-4b38-8f61-6de931f37bl}\parameters\tcplp] EnableDHCP"=dword: 1 IPAddress"=hex(7>:3,2e,3,2e, 3,2e, 3,, 'SubnetMaslC=tiex(7):3,2e,3,2e,3,2e,3,, DefaultGateway - =tiex(7) : DhcpIPAddress^' DhcpSubnetMaslf=" " DhcpServer"=" " Lease" =dw> rd: OOOOaScO LeaseObtainedTime"=dword: 4752c36c Tl"=dW>rd:475317CC T2"=dword: LeaseTermlnatesTime"=dword:47536c2c DhcpDefaultGateway'=hex(7) :31,39,32,2e,31,36,38,2e,3,2e,31,, DhcpSubnetMaSkOpf =hex(7) :32,35,35,2e,32,35,35,2e,32,35,35,2e,3,, [system\mounteddevices] \\??\\Volume{59686d2- ac8-lldc-8c45-86d f} > =hex:5c,,3f,,3f,,5c,\,46,,44,,43,, 23,,47,,45,,4e,,45,,52,,49,,43,,5f,, \ 46,,4C,,4f,,5,,5.,59,,5f,,44,,52,,49,,56,,45,,23, \,35,,26,,31,, 33,,35,,35,,38,,63,,62,,61,,26,,3,, \ 26,,3,,23,,7b,,35,,33,,66,,35,,36,,33,,3,,64,,2d, \,62,,36,,62,, 66,,2d,,31,,31,,64,,3,,2d,,39,,34,,\ 66,,32,,2d,,3,,3,,61,,3,,63,,39,,31,,65,,66,,62, \,38,,62,,7d, "\\??\\Volume{59686d21-ac8-lldc-8c45-86d f}"=hex:5c,,3f,,3f,,5c,\,49,,44,,45,, 23,,43,,64,,52,,6f,,6d,,43,,4f,,4d,, \ 35]1 jjf Befehlsfenster H Befehlsfenster Nr. 4 r Abbildung 4: Dumphive stellt die Windows-Registry im Klartext dar. Suchwerkzeuge wie Grep helfen dann wichtige Einstellungen zu rekonstruieren. Typische Beispiele sind der Passwort-Hash oder IP-Daten. DAS BESTE AUF DEN PUNKT GEBRACHT. B Unschlagbare Kostenersparnis B Einfache und günstige Erweiterbarkeit B Integrierter CTI-Server B Individuell konfigurierbar B Asterisk-basierend B Umfangreiche Überwachungs- und Auswertungsmöglichkeiten B Anlagen-Verhalten individuell anpassbar B Transparente Einbindung von Niederlassungen, Home-Offices und Mobiltelefonen B Fax to Funktionalität B Voic system Vom Steuerbüro bis zum Call-Center. MobyDick ist in den Basisvarianten S, M und XL erhältlich - passgenau für jedes Anforderungsspektrum. Mehr Informationen finden Sie unter PASCOM Netzwerktechnik GmbH&Co. KG Bergerstraße Deggendorf Tel

12 42 ist. Sowohl Microsofts Internet Explorer als auch Firefox speichern ihre History im Filesystem. Zum Analysieren dieser Informationen müssen die Ermittler zwei Programme installieren: Pasco [12] für den Internet Explorer Mork.pl [13] für Mozilla Firefox Listing 4 zeigt den Ablauf einer typischen Analyse: Der Internet Explorer speichert seine Informationen profilbezogen in Dateien mit dem Namen»index, dat«. Mit einem Find-Befehl ermittelt der Forensiker alle abgerufenen Seiten. Auch Mozilla verrät Details Das gleiche Spiel für den Firefox, der die Daten in»history.dat«speichert. Die erste Spalte enthält dabei die Datum- und Zeitinformation noch im Unix-Timestamp- 1 # ntfsundelete -u /dev/loopo 2 Inode Flags %&ge Date Size Filename ) msiinst.exe 5 undeleted 'msiinst.exe' successfully. 6 file msiinst.exe 7 msiinst.exe: MS-DOS executable PE for MS Windows (DLL) (GUI) Intel bit 1 # mount -o ro,noatiine,noeiee /dev/ioopö /mnt 2 # find /mnt -iname "indei.dat" -exec pasco '(}' ';' Format. Der dritte Befehlsaufruf in Listing 4 konvertiert sie in ein für Menschen angenehmeres Format. Auch die Registry eines Windows-Systems lässt sich mit Dumphive [14] benutzerfreundlich aufbereiten (Abbildung 4). Das Kommando»dumphive /mnt/ WINNT/system32/config/system system, txt«speichert sie in einer separaten Textdatei, in der die Fahnder mit den Unix- Text-Tools bequem nach Einträgen suchen können. Windows-Passwörter kennenlernen Der bloße Zugriff auf das System allein ist bereits interessant, aber die Kennwörter der Benutzer zu kennen, öffnet den Ermittlern meist noch weitere Türen, da die meisten User ihre Lieblingspasswörter bei vielen Webseiten und Diensten verwenden. Nicht zuletzt ermöglichen sie es dem Forensiker, sich am virtualisierten Imagesystem unter VMware anzumelden und diverse Systemprotokolle und Dateien gesondert unter die Lupe zu nehmen. Neben Brute-Force-Angriffen und Tools wie John the Ripper, die Wortlisten oder 3 TYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY HTTP HEADBRS 1 URL 6/7/26 21:35:34 12/2/ :14:28 favicon[l].ieo NGOSCTFI HTTP/1.1 2 OK Content-Type: image/x-icon 6 Content-Length: 146 -U:administrator 7 SEDH /2/27 12:11:32 12/2/27 12:11:32 9 URL Visited: Administratoren«?://mm.google.de 12/2/27 12:14:28 1 URL Visited: Administratorflhttp:// 12/2/27 14:33:54 12/2/ :33:54 12 # find /mnt -iname "history.dat" -exec mork.pl '{('';' S Iinux4afrika. de/index. php? id= 1S4*L=1 http: //www. Iinux4afrika.de/index.php?id=6 L=l # find /mnt -iname "history.dat" -exec mork.pl '{}' '; awk ' {print strftime("*f,%r",*l),$2,t3}' ll:» : : (...) Rainbow Tables verwenden, stehen dem Linux-Admin viele weitere Werkzeuge wie Bkhive, Samdump2 und Ophcrack [15] zur Verfügung. Mit ihnen lokale Passwörter aus einer SAM-Datei, wie sie Windows-NT-basierte Systeme verwenden, zu extrahieren, ist nicht schwer, auch weil sich die Tools kombinieren lassen. So erkennt John the Ripper automatisch, wenn Admins ihn mit SAM-Daten eines Windows-Systems füttern. Hilfreich ist da die Microsoftspezifische Aufteilung der Passwörter. Zwar können die Windows-Credentials 14 Zeichen lang sein, das System zerlegt sie aber in zwei Strings ä sieben Zeichen. Das erweist sich ungewollt als ein hilfreiches Entgegenkommen des Herstellers für den Ermittler, der damit weniger Rechenleistung benötigt. Schon bei Vista: Sicherere Passwörter Ab Windows Vista hat MS das korrigiert und die anfälligen Lanmanager-Hashes standardmäßig durch NT-Hashes ersetzt. XP-Admins können das manuell einrichten, hier muss der Linux-Ermittler mit»dumphive«in der Registry nachsehen, ob der Eintrag»HKEY_LOCAL_MACHI- NE/SYSTEM/CurrentControlSet/Control/ Lsa«auf»1«gesetzt ist. Dann helfen nur der Griff in den Geldbeutel und der Erwerb einer 8,5 GByte großen Dual-Layer- DVD mit kostenpflichtigen LM- oder NT- Rainbow-Tables für je 24 Dollar. Wie die anderen genannten Tools ist auch Ophcrack in den Debian-Repositories enthalten. Für die Arbeit setzt es Rainbow Tables und die Hashes der Windows-Maschine voraus. Nach der erfolgreichen Installation kann der Ermittler bequem mit einem GUI arbeiten und das Passwort eines gewünschten Users per Doppelklick entschlüsseln (Abbildung 5). Domänencontroller Bei einem an einen Domänencontroller angebundenen Windows-System ist allerdings eine andere Vorgehensweise erforderlich, denn hier sind die Credentials nicht auf dem Client gespeichert. Allerdings reicht es häufig aus, mit einem Netzwerk-Sniffer während eines Anmeldevorgangs mitzuschneiden, die

13 a a a * Load... Delete Tables.. Launch ID USERNAME/LMHASH LMpassvKll LMpasswcB NTpasswd 5 Administrator 51 Gast 1 Hilfeassistent 16 testl 17 test2 18 test3 19 test4 11 testsz(ue) 111 test5 /EMPTY/ /EMPTY/ AS2C4S DF9TPIZ VCWYWW1 P 341BPFC ASQ128V BNLOP9D a a a G Save As Help Exit About 6OTMBSZ VY X324ASQ DDX /EMPTY/ /EMPTY/ as2c4s df9tpiz VCWYWWlP 341bPfCvy asq128vx324asq bnlop9dddx Table set: LM «Iphanum I Tables in use: 4 to 4: 7% Passwords:8/91 Time elapsed: /, relevanten Datenpakete zu identifizieren, sie in eine Datei zu sichern und dann den Dump an Ophcrack zu verfüttern. Allerdings ist das schon deutlich aufwändiger und setzt den Live-Zugriff auf das Netz vor Ort voraus. Vergleichsweise einfach Die Kombinationsmöglichkeiten der Tools sind schier unbegrenzt und mit ein paar extra Paketen steht dem Ermittler die Windows-Welt offen. Wem das nicht reicht, der sollte einen Blick auf die Free Forensic Tools von Foundstone [16] werfen. Mit diesen Werkzeugen lassen sich dann Cookies, lange gelöschte Einträge aus dem Windows-Mülleimer und vieles mehr wiederherstellen. Dem erfahrenen Linuxer erscheinen die Shell-Methoden sicherlich einfach, doch ist es nicht unbedingt jedermanns Sache, mit den teilweise komplexen Kommandozeilen-Befehlen umzugehen. Die Einar- \'<r -4 Abbildung 5: Per Doppelklick die Passwörter der Windows- User herausfinden ist dank Ophcrack ganz einfach. Eine automatisierte live-co gibt's davon auch. beitungszeit liegt für Linux-Neulinge auch deshalb mit den Open-Source- Tools wohl noch deutlich höher als bei den teuren kommerziellen Produkten. Unübertroffen in puncto Usability ist allerdings die vollautomatisierte Ophcrack-Live-CD, die dem Benutzer die lästigen Shell-Befehle abnimmt und kurz nach dem Booten die Windows-Passwörter der lokalen Benutzer anzeigt. Im Test mit einem XP-System (SP2) benötigte die CD nur ganze 28 Sekunden, um die bis zu 14 Zeichen langen Credentials der fünf Benutzer-Accounts zu ermitteln (Abbildung 5). Das Live-Linux beinhaltet Der Autor Hans-Peter Merkel ist mit dem Schwerpunkt Datenforensik seit vielen Jahren in der Open- Source-Community aktiv. Er bildet auch Mitarbeiter von Strafverfolgungsbehörden in Deutschland und Tansania aus und engagiert sich als Gründer und Vorsitzender bei Freioss und Linux4afrika. (zum Glück) auf der CD jedoch nur die Tabellen für alphanumerische Passwörter ohne Sonderzeichen. Wer noch mehr will, braucht die kommerziellen Rainbow Tables, (mfe) Infos [I] Helix: [ [2] FCCU: [ [3] Guidance Software, Hersteller von EWF, Encase und Linen: [ [4] X-Ways: [ [ 5] Ewfacquire: [ uitwisselplatform.nl/projects/libewf] [6] Endianness: [ [7] Sleuthkit: [ [8] Ralf Spenneberg, Detektiv-Arbeit": Linux Magazin 9/3, S. 6 [9] Wikipedia zu File-Slack: [ [1] Bmap: [ org/linux/security/bmap tar.gz] [II] File-Slack-Analyse unter Linux: [ [12] Pasco-Download: [ pasco_2455_1.tar.gz?modtime=183715zs big_mirror=] [13] Mork.pl: [ [14] Dumphive: [ guadalinex-toro/pool/main/d/dumphive/ dumphive_..3-1j386.deb] [15] Ophcrack und Ophcrack Live-CD: [ [16] Foundstone Forensic Tools: [ resources-free-tools.asp] 1 l 43 Der Asterisk Tag 28 bietet interessante Vorträge, Case-Studies und Workshops rund um das Thema Asterisk und VoIP. Wer sich noch nie mit Asterisk beschäftigt hat, kann am Wochenende vor dem Asterisk Tag in Berlin eine Asterisk Anfänger Schulung absolvieren /27. Mai 28 - Berlin - oo Auszug aus der Speaker-Liste: Mark Spencer - Digium Kevin P. Fleming - Digium Olle E. Johansson - Edvina Jay Philipps - Adhearsion Randy Resnick aka Randulo - voip users conference Phil Zimmermann - philzimmermann.com

14 Analyse am Fließband 44 Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert. Raifspennebwg Wer wissen will, mit welchen Tools professionelle Ermittler in Strafverfolgungsbehörden arbeiten, wird bei der niederländischen Polizei [1] fündig, deren Open Computer Forensics Architecture (OCFA) [2] steht unter der GPL. Die niederländischen Behörden nutzen das modulare Framework für die forensische Analyse von Rechnern, um per Automatisierung die kriminalistischen Ermittlungen zu beschleunigen. Bei digitaler Kriminalität stehen die Polizisten häufig vor einem Dilemma. Sie haben zu wenig Fachpersonal, um alle digitalen Beweise fachgerecht zu sammeln und zu analysieren. Allerdings werden digitale Beweise auch in den alltäglichen Untersuchungen immer wichtiger - Daten der Handys und der persönlichen Computer verdächtiger Personen sind relevante Indizien und Beweise bei fast jeder Untersuchung. Um diese Aufgabe zu meistern, teilt die OCFA sie in zwei Fachgebiete: Zunächst extrahieren Mitarbeiter mit Kenntnissen in der digitalen Forensik die Inhalte von Festplatten und anderen Geräten und bereiten die Daten auf. Anschließend durchsuchen und betrachten Ermittler mit einem leicht bedienbaren Webinterface die Daten, sie können sich ganz auf die Spurensuche konzentrieren. Die Architektur ist primär eine Umgebung, die existierende forensische Werkzeuge und Bibliotheken vereint und für die Beweissammlung nutzt. Ziel der OCFA ist eine modulare, robuste und fehlertolerante Umgebung für die Analyse mehrerer Terabyte Daten in großen forensischen Analysen. Rekursive Waschstraße Die Macher von OCFA bezeichnen die Analyse als digitale Waschstraße (Digiwash) und installieren OCFA im Verzeichnis»/usr/local/digiwash«. Sie liefern für OCFA 2..2 sogar fertige Pakete für Debian Etch, Ubuntu 5.1 sowie Suse 9.3 und 1.1. In den Tar-Archiven stecken die RPMs oder DEBs von OCFA und etlichen Zusatzpaketen sowie Installationsanleitungen. Diese beschreiben auch, welche Pakete vorab händisch zu installieren sind. Die aktuelle Version 2.1. gibt es jedoch nur noch als Source-Paket. Eine der ersten Hürden bei der forensischen Analyse ist die schiere Menge an Beweismaterial. Es gilt, in Hunderten GByte irrelevanter Daten belastendes Material aufzuspüren. Files und Verzeichnisse zu überspringen, nur weil ihr Name vertraut klingt, wäre aber fahrlässig. Viele forensische Werkzeuge liefern daher eine automatische Analyse und Charakterisierung der gefundenen Dateien. Digiwash geht einen Schritt weiter. Es bestimmt zunächst den Dateityp der gefundenen Dateien mit»file«. Anschließend analysiert es automatisch bestimmte Dateitypen und spart dem Forensiker damit manuelle Arbeit. Microsoft-Word-Dateien und andere Office-Dokumente indiziert OCFA mit Hilfe von Lucene, den Rohtext extrahiert es mit»antiword«. Für PDF- Dateien verwendet es»pdftotext«, via»mailwash«zieht es Dateien und Metadaten aus -Boxen. Sogar an die Informationen in einem PGP-Schlüsselbund (Keyring) haben die Entwickler gedacht und bilden die Key-IDs signierter und verschlüsselter Mails auf den Klarnamen ab. Fotos fasst OCFA zusammen und erzeugt Vorschaubilder. Gezippte Archive und andere Container zerlegt das Framework automatisch in ihre Bestandteile und führt die gewonnenen Dateien erneut der Analyse zu. So analysiert es rekursiv alle Daten und stellt ihre Informationen dem Ermittler zur Verfügung (Abbildung 1). Nützliche Fingerabdrücke Um bei seiner Analyse die Datenmenge zu reduzieren, kann der Forensiker Hash- Datenbanken bekannter Dateien einbinden. Die enthalten MD5- oder SHAl-Prüfsummen von Files, die der Ermittler in der Analyse ignorieren darf. Zum Beispiel sind alle unveränderten Dateien des Betriebssystems irrelevant. Lediglich Modi-

15 i Abbildung 1: OCFA Dateien k- analysiert die Flut an Archiv Daten automatisch und stellt sie dem Ermittler unbekannt zur Verfügung. Dabei Office-Dokument erzeugt es einen Suchindex für Textdoku- 45 Ermittler für MMer.es zerlegt Archive und sortiert harmlose Files selbstständig aus. Abbildung 2: Der Router ruft für die jeweiligen Dateiformate passende Module auf und führt die gewonnenen Daten wieder der Analyse zu. 3. ra 1 fikationen durch ein Trojanisches Pferd interessieren den Forensiker. Solche Datenbanken gibt es beispielsweise vom US-amerikanischen National Institute for Standards and Technology (NIST) kostenlos zum Download [5]. Auch andere Forensikwerkzeuge, etwa Autopsy [6], nutzen diese National Software Reference Library (NSRL). Sie liegt gezippt auf vier CD-Images bereit. Ein Perl-Skript aus dem OCFA-Paket berechnet anhand der ISO-Files eigene Hashsets, die der Admin in das Digiwash-Verzeichnis kopieren muss. Das Umwandeln nimmt einige Zeit in Anspruch. Architektur Zentraler Bestandteil der Architektur ist der so genannte Router. Er übernimmt die rekursive Verarbeitung der Daten, die er mit Hilfe externer Software analysiert und die dabei gewonnenen neuen Dateien wieder der Analyse zuführt. Abbildung 2 zeigt schematisch seine Funktion. Für die Kommunikation der einzelnen Module untereinander gibt es ein Anycast-Relay. Es koordiniert die Nachrichtenübermittlung und sorgt unter anderem für Load Balancing. Damit ist es möglich, in einer verteilten Umgebung mehrere Instanzen eines Moduls auf mehreren Computern zu betreiben - OCFA kümmert sich also ums Clustering. Das OCFA-Framework nutzt auf Wunsch weitere externe Softwarepakete. Mit einem Patch ist es möglich, sowohl Sleuthkit [3] als auch Scalpel [4] einzubinden. Diese Tools analysieren viele Dateisysteme und bringen gelöschte Dateien wieder zum Vorschein. Gemischte Oberfläche Die Daten stellt der Forensiker über Befehle auf der Kommandozeile zur Verfügung. Er benötigt dazu Root-Privilegien, da er beim Anlegen eines neuen Falls auch den Apache-Webserver neu starten muss. Jeder Fall ist aus Sicht des Webservers ein»virtualhost«. Der Ermittler greift dann über Apache auf die extrahierten Daten zu (Abbildung 3). Die Oberfläche gibt auch zu erkennen, ob die Extraktion der Daten vollendet ist: Das Web-GUI zeigt die aktuellen Queues mit ihrem jeweiligen Status. So automatisiert OCFA sogar die Kommunikation zwischen dem Ermittler und dem Forensiker. Für ihren internen Gebrauch hat die niederländische Polizei ein Windows-Programm entwickelt, das unter dem Namen Washbrush auch Outlook- und Outlook- Express-Postfächer analysiert und die Ergebnisse wieder Digiwash zur Verfügung stellt. Dieses Programm ist aktuell aber nur den niederländischen Strafverfolgungsbehörden vorbehalten. Außerdem arbeiten die Niederländer an weiteren OCFA-Modulen und einem moderneren Frontend. Diese Software soll aber nicht mehr unter der GPL stehen, sondern nur per NDA (Non-Disclosure Agreement) verfügbar sein. Die Masse macht's Die aufwändige und zeitraubende Installation von OCFA lohnt nur in Umgebungen, die häufig forensische Analysen benötigen und von der Arbeitsteilung in Forensiker und Ermittler profitieren. Auch lassen die frei verfügbaren OCFA- Oberflächen den Komfort anderer forensischer Werkzeuge vermissen, (fjl) m Infos [1] Homepage der niederländischen Polizei: [ [2] OCFA: [ [ 3] Ralf Spenneberg, Sleuthkit, der Werkzeugkasten für die digitale Forensik": Linux-Magazin 9/3, S. 6 und [ [4] Scalpel: [ digitalforensicssolutions.com/scalpei/] [ 5] NIST NSRL: [ [ 6] Ralf Spenneberg, Autopsy und Sleuthkit, der Werkzeugkasten für die digitale Forensik - Teil 2": Linux-Magazin 1/3, S. 58 und [ + & *j> ö LQLhewe«. ocfajoj/ ^Getting Started EjLat»«H.sdlines Open Computer Architecture 2. jdon«browsg r.hß tree - Paratr-üS"? M» t ' i " ial "- a view. Current nueueus jrj! yg-j o -! 4 Abbildung 3: Die Web-basterte grafische Oberfläche für den Zugriff durch den Ermittler versprüht antiquierten Charme. Sie bietet nicht viele Möglichkeiten, arbeitet aber flott. Der Autor Ralf Spenneberg arbeitet als freier Unix/Linux- Trainer, Berater und Autor. Er veröffentlichte bereits mehrere Bücher zu den Themen Intrusion Detection, Firewalling, virtuelle private Netzwerke. Vor Kurzem ist sein neues Buch SELinux & AppArmor" erschienen.

16 Selbst geschnitzt 46 Moderne Dateisysteme löschen Metadaten gründlich und erschweren das forensische Wiederherstellen von Files. Statt die Datenblöcke manuell wieder zusammenzupuzzeln, erkennen Werkzeuge wie Foremost und Scalpel typische Datenstrukturen und schnitzen Dateien aus einem Festplatten-Image. Raifspenneberg Egal ob ein Einbrecher die Protokolle seines Angriffs löscht, ein versehentlich abgesetztes»rm -rf«die digitale Bildersammlung vernichtet oder ein Pädophiler vor dem Zugriff der Polizei einschlägige Fotos vernichtet: Gelöschte Dateien zu rekonstruieren ist oft wichtig. Früher konnten Forensiker und Datenretter diese Files gut zurückholen, da die Dateisysteme nur den Eintrag im Verzeichnis löschten. Die Meta-Informationen, die den Ort der Datenblöcke auf der Festplatte beschreiben, blieben erhalten und TCT (The Coroners Toolkit, [1]), Sleuthkit [2] & Co. nutzten sie, um die Dateien und den Großteil ihres Namens wiederherzustellen. Heute löschen viele Dateisysteme alle Meta-Informationen [3], nur noch die Datenblöcke bleiben erhalten. Diese Puzzlestücke korrekt zusammenzufügen heißt File-Carving - der Forensiker schnitzt (to carve) die rohen Daten von der Platte und rekonstruiert daraus die Files. Dies wird umso schwerer, je stärker das Dateisystem fragmentiert ist und viele Fehler produziert. Etliche Open- Source-Werkzeuge automatisieren das Carving: Allen voran Foremost [4] und dessen Abkömmling Scalpel [5], aber auch Photorec [6] und Ftimes [7]. Photorec beherrscht Carving jedoch nicht für beliebige Daten, und Ftimes ist so kompliziert zu bedienen, dass es sich für die meisten Anwender nicht lohnt. Foremost und Scalpel ist das verwendete Dateisystem egal. Sie erwarten nur, dass die Datenblöcke der aufzufindenden Dateien sequenziell im untersuchten Image liegen. Die Tools finden Bilder in»dd«- Dumps ebenso wie in einem Abzug des Arbeitsspeichers oder einer Swapdatei. Carving identifiziert und rekonstruiert sogar Files in korrupten Dateisystemen, im Slack-Space (Versatz), ja selbst nachdem ein anderes Betriebssystem mit einem neuen Dateisystem auf der Festplatte in- stalliert wurde - solange die gewünschten Datenblöcke erhalten blieben. Wunder vollbringen die Werkzeuge allerdings nicht. Von physisch zerstörten Festplatten gelingt ihnen keine Wiederherstellung. Auch überschriebene Datenblöcke entziehen sich dem Carving - für sicheres Löschen gibt es unter Linux zum Beispiel die Befehle»shred«und»wipe«. File-Carving Da sich Carver nicht auf das Dateisystem stützen, brauchen sie andere Informationsquellen, um herauszufinden, wo eine Datei beginnt und wo sie endet. Glücklicherweise besitzen viele Dateitypen einen bekannten Aufbau. Besonders der Beginn (Header) und das Ende (Footer) der Files eines Typs sind wichtig. Diese Kenntnisse nutzt auch der Linux-Befehl»file«, wenn er den Typ von Dateien bestimmt. File-Carver durchsuchen die komplette Festplatte beziehungsweise das komplette Image nach ihnen bekannten Headern und Footern. Die Blöcke dazwischen schnitzen sie raus und legen sie als neues File ab. Leider hat nicht jeder Dateityp einen eindeutigen Footer. Bei denen kann der Carver das Ende nur erraten: Ein File endet spätestens vor dem nächsten Header. Zwischen dem realen Ende der erkannten Dateien und dem nächsten Header können jedoch größere Mengen nicht erkannter Daten liegen. Um keine Unmenge Datenmüll zu sammeln, erlauben es die Carving-Programme, eine maximale Dateigröße zu definieren. Leider sind die Header und Footer häufig sehr kurz, was zu vielen Falscherkennungen führt. Eine angenehme Ausnahme sind Bildformate. So beginnt jede Jpeg- Datei mit der Bytefolge xffd8, meist

17 XI a Unix Archlve/Debian package IX) accdb Access Data Base X) ace ACE archive X) ab HflC Address Book X].if Audio Interchange File Foraat 1X3 all Cubase Song file:.all ASF. NNA. NW: Advanced Streaalng Foraat used for Audio/Video in au Sun/NeXT audio data [KI bkf MS Backup file [X] blend blender [X] bap IM> bltaap image [X] bi2 bzip2 coapressed data [XI cab Microsoft Cabinet archive [X] caa Casio OV Digital Caaera laage Next >ress s to disable all file faallues. k to 3 «the settings 47 Return to Bain aenu Abbildung 1: File-Carver ignorieren das Dateisystem und schnitzen die Bilder direkt aus den Datenblöcken. Bei fragmentierten Files liefern sie zwar fehlerhafte Fotos, die Reste genügen aber oft, um das Motiv zu erkennen. Abbildung 2: Photorec erkennt und rekonstruiert viel mehr Dateitypen, als sein Name vermuten lisst. Dank seines Text-Interface ist das Konsolentool recht gut bedienbar. Es setzt voraus, dass Reste des Dateisystems vorhanden sind. folgt noch OxFFEOOOlO. File-Carver erkennen daher Jpeg-Bilder sehr gut. Wurden jedoch einige Blöcke bereits überschrieben oder ist die Datei fragmentiert, dann stellen die Tools bestenfalls Teile wieder her (Abbildung 1). Foremost und Scalpel Inspiriert durch das Programm Carvthis - vom Defense Computer Forensic Lab bereits 1999 erarbeitet, aber nicht öffentlich zur Verfügung gestellt - entwickelten Jesse Kornblum und Kirs Kendall vom United States Air Force Office of Special Investigations im März 21 Foremost. Dieses Programm unterstützt den Computer-Forensiker bei der Analyse und Wiederherstellung gelöschter Dateien in einem Dateisystem. Inzwischen ist das Programm Open Source und Nick Mikus pflegt die Quellen. Er hat das Programm Foremost-Builtins Mm JFIF-, Exif- und Raw-Formate IPfgl Graphic Interchange Format J f : Portable Network Graphics «I f f ; Windows-Bitmap-Dateien Executables H J H Windows-PE.-DLLund-EXE Video und avf ' mpg wmv mov Audio Audio Video Interleaved Erkennung aller Mpeg-Dateien, die mit OxOOOOOIBA beginnen Windows Media Video; teils auch WMA (Windows Media Audio) Ouicktime Movie im Rahmen seines Masters-Studiums wesentlich vorangebracht. Golden G. Richard III entwickelte auf Basis von Foremost.69 sein eigenes Programm namens Scalpel. Es galt lange Zeit als fortgeschrittenes Werkzeug. Einige Quellen behaupten sogar, dass selbst die Foremost-Entwickler Scalpel empfehlen [8]. In Wahrheit werden beide Projekte aktiv entwickelt. Während Scalpel im Jahr 25 seinem Vorläufer Foremost weit überlegen war und Images fast um den Faktor 1 schneller analysierte, hat Foremost in jüngerer Zeit dank Nick Mikus wieder aufgeholt und seinen Sprössling teils sogar überholt. Der Forensiker kann bei beiden Programmen per Konfigurationsdatei genau einstellen, welche Dateien er sucht. Hierzu definiert er die Header und Footer (Listing 1). Die erste Spalte bezeichnet den Dateityp und dient zugleich als Namens- Format pdf ole doc htm Arrhiijf HHUMJ zip rar cpp Kommentar Portable Document Format Object Linking and Embedding; zum Beispiel PowerPoint, Word, Excel, Access und Starwriter Lediglich Word-Dateien Hyper Text Markup Language (Webseiten) Zip, Jar, MS Office 27, Open Office 2. (gezippte XML-Dokumente) Roshal Archive C-Ouellcode; erkennt häufig falsche Dateien erweiterung für die gefundenen Files. Bei Dateien, in denen die Groß- oder Kleinschreibung der Header und Footer relevant ist, folgt in der zweiten Spalte ein»y«, bei anderen steht hier»n«. Dahinter stehen die maximale Dateigröße sowie die Bytefolgen des Headers und - so vorhanden - des Footers. Die Zeichenfolge»\x«leitet dabei ein Byte in Hexadezimaldarstellung ein; möglich ist»\s«für ein Leerzeichen,»?«steht als Wildcard für ein beliebiges Zeichen. Eventuell stehen am Ende noch Optionen. Flotte Fahnder Aufgrund seiner Herkunft verwendet Scalpel die gleiche Konfigurationsdatei wie Foremost, intern arbeiten die Tools jedoch verschieden. Das äußert sich auch in einem kleinen Test: Während Scalpel 1.6 für ein etwa 5 MByte großes Test- Image mit mehreren Jpeg-Bildem, HTMLund Office-Dokumenten 13 Sekunden benötigt, analysiert Foremost dasselbe Dateisystem auf demselben Rechner in unter 3 Sekunden. Beide finden im Wesentlichen die gleichen Dateien, es zeigen sich aber - auch in der täglichen Praxis - einige Unterschiede in der Datei-Erkennung. Daher sollte der Forensiker immer beide Programme einsetzen. Konfiguration 1 gif y 155 \x47\x49\x46\x38\x37\x61 \xoo\x3b 2 gif y 1S5 \XU7\M9\X116\X38\X39\X61 \xoo\xoo\x3b 3 jpg y 2 \xff\xd8\xff\xe\x\xl \xff\xd9 4 jpg y 2 \xff\xd8\xff\xel\zff\xd9 5 jpg y 2 \xff\xd8 \xff\xd9

18 Seit Version.9.1 verwendet Foremost neue Verfahren, um Zip-, Jpeg-, Officeund andere Formate zu erkennen. Diese sind direkt in Foremost implementiert, die Erkennung erfolgt also nicht mehr über die Header und Footer aus der Konfigurationsdatei. Die neue Erkennungsfunktion aktiviert Foremost, wenn es die Kommandozeilenoption»-t«gefolgt von den gewünschten Dateitypen erhält: foremost -T -t jpg,gif,pdf -i Image-Datei Die Namen der möglichen Formate stehen in Tabelle 1. Wer alle Builtins gleichzeitig aktivieren will, setzt»-t all«. Im obigen Kommando sorgt zudem die Option»-T«dafür, dass Foremost die gefundenen Dateien in ein Verzeichnis schreibt, dessen Name einen Zeitstempel enthält. Das erleichtert die Organisation der forensischen Analyse, da jeder neue Lauf seine Resultate in ein neues Directory legt. Platzbedarf Da Carver aufgrund der False Positives sehr viele Daten aufspüren, sollte ausreichend Platz im Ziel-Dateisystem vorhanden sein. Dabei müsste die Kopieraktion gar nicht sein, denn die Daten stehen im ursprünglichen Image sowieso zur Verfügung. Genau das machen sich virtuelle Filesysteme zu nutzen, etwa Carv-FS [9]. Basierend auf Fuse (File System in Userspace) nimmt Carv-FS vom Carving-Tool nur eine Tabelle entgegen, die beschreibt, an welcher Stelle welche Datei liegt. Carv-FS stammt aus dem OCFA-Projekt der niederländischen Polizei (siehe Artikel in diesem Heft), da gerade bei großen Reihenuntersuchungen forensischen Materials enorme Datenmengen anfallen. Für überschaubare Analysen ist das Herauskopieren aber praktikabler. Ein typischer Foremost-Lauf ohne Builtins ist in Listing 2 dargestellt. Das Image für dieses Beispiel stammt von der Challenge des Digital Forensic Research Workshop (DFRWS, [1]). Der DFRWS hat diesen Wettbewerb 26 veranstaltet, um File- Carver zu testen und deren Entwicklung zu fördern. Nach Ende des Wettbewerbs veröffentlichten die Veranstalter eine Liste der enthaltenen Dateien. Photorec Ist das Dateisystem nicht komplett zerstört, leisten Tools bessere Dienste, die das Filesystem mit auswerten. In diese Kategorie zählt Photorec [6]. Christophe Grenier entwickelte das Programm, um Fotos von nicht mehr einwandfrei lesbaren Flashspeichern zu retten. Daher stammt auch der Name. Das Programm funktioniert auch bei einer zerstörten Partitionstabelle, da es versucht die Partitionen selbst zu erkennen. Hat Photorec ein Dateisystem erkannt, extrahiert es sehr viele Dateitypen. Der Name des Tools führt in die Irre, da es zum Beispiel auch EXE- oder Zip-Dateien wiederherstellt. Insgesamt unterstützt Photorec mehr als 18 Dateitypen. Die Bedienung erfolgt über ein praktisches Textmenü (Abbildung 2), das die Gefahr von Bedienfehlern minimiert. Leider arbeitet Photorec bisher nicht mit Speicherabbildern oder Swapdateien. Gedächtnisstütze File-Carver unterstützen den Forensiker bei der Analyse von Dateisystemen und der Extraktion gelöschter Dateien. Foremost und Scalpel ignorieren dabei das Dateisystem und stellen sogar Daten aus Speicherabbildern und Swapdateien wieder her. Sie gehen dabei erstaunlich flott zu Werke. Ist das Dateisystem noch erhalten, leistet auch Photorec wertvolle Dienste, (fjl) Infos [1] The Coroners Toolkit: [ porcupine.org/forensics/tct.html] [2] Sleuthkit: [ [3] Ralf Spenneberg, Detektiv-Arbeit": Linux-Magazin 9/3, S. 6 [4] Foremost: [ [5] Scalpel: [ digitalforensicssolutions.com/scalpel/] [6] Photorec: [ wiki/photorec] [7] Rimes: [ [ 8] Foremost im Forensic-Wiki: [ forensicswiki.org/wiki/foremost] [9] OCFA, Carve Path Zero-storage Library and Filesystem: [ [1] DFRWS Carving Challenge: [ 1 Foremost version by Jesse Kornblum, Kris Kendall, and Nick Hikus 2 Audit File 3 1 Foremost started at Sat Feb 9 18:36:29 28 OS Invocation:./foremost -v -T -i../dfrws-26-challenge.raw 6 Output directory: /linux-magazin/foremost/foremost-1.5.3/output_sat_ 7 8 Processing:.. /dfrws-26-challenge. raw File:../dfrws-26-challenge.raw 11 Start: Sat Feb 9 18:36: Length: 47 MB (» bytes) 13 1«Num Name (bs»512) Size File Offset Comment 15 Feb_9_18_36_29_28 Configuration file: /linux-magazin/foremost/foremost-l.s.s/foremost. conf 16 : 3868.jpg 28 KB 198( : 8285.jpg 594 KB : jpg 199 KB S FILES EXTRACTED 3 3: f.-.j 2: 21: 22: 23: 24: *i Finish: 31 jpg: = htm: = 5 33 ole: = 2 34 zip: = 3 35 png: = jpg 4515.zip 7982.png 3312.png png 35*31. png Sat Feb 9 18:36: MB 27» KB 6 KB 69 KB 19 KB 72 KB Foremost finished at Sat Feb 9 18:36: S (148 I 18) (1S2 X 36) (879 X»99) (114 X 54)

19 Flashback 5 Aus Sicht des Forensikers bieten Flashspeicher und deren Dateisysteme aufgrund ihres Funktionsprinzips noch einmal mehr Chancen, um an Daten zu kommen, als gewöhnliche Festplatten. Das bedeutet auch: Nutzer solcher Speicher sollten bei deren Weitergabe vorsichtig sein. jsmengeuan weinen Asus macht es mit dem EEE-PC [1] vor: Den Notebooks ohne rotierende Festplatte gehört die Zukunft. Solid State Disks (SSD) brauchen weniger Strom als herkömmliche Platten, zeichnen sich durch kürze Zugriffszeiten aus und sind gegen Erschütterungen weitgehend unempfindlich. Als Flashkarten bei Digitalkameras, USB-Sticks für den PC und als Massenspeicher in Embedded-Devices sind die billig herzustellenden Chips schon länger Usus. Zu den neuen Einsatzfeldern zählen Hybrid-Festplatten und USB-Sticks als Pagingdevice für Windows Vista. Gegen den Einsatz der praktischen Speicher gibt es auch wenig einzuwenden. Der Anwender muss sich nur klar darüber sein oder werden, dass sowohl die innere Organisation der Flashchips als auch die Besonderheiten der für Flash geeigneten Dateisysteme aus Datenschutzgründen problematisch sind. Die Gründe dafür erläutert dieser Artikel. In puncto Produzieren von Datenrückständen kann man alle Dateisysteme in zwei Gruppen unterteilen: Klassische Dateisysteme arbeiten in-place. Wenn sie alte Daten mit neuen überschreiben, liegen die neuen Daten hinterher an derselben Position, wie die alten vorher. In diese Gruppe fallen fast alle für Festplatten designten Dateisysteme wie Ext 2 bis 4, XFS, Reiser, JFS et cetera. Das andere Konzept besteht darin, neue Daten grundsätzlich an einen neuen Ort zu schreiben und die alten Daten als ungültig zu deklarieren, aber unangetastet zu lassen. Dieses als Copy on Write (COW) bekannte Verfahren haben erstmals Sprite LFS [2] eingesetzt, ebenso Netapps WAFL [3] und die neuen Dateisysteme ZFS [4] und Btrfs [5]. Flash- Dateisysteme sind prinzipbedingt alle COW-Dateisysteme. Um Daten einigermaßen sicher zu vernichten, genügt es bei In-place-Dateisystemen in der Theorie, eine bestehende Datei mit neuen Daten zu überschreiben. In der Praxis sollte man trotzdem eine gewisse Vorsicht walten lassen, denn setzt das Nutzprogramm die neue Dateigröße kleiner an als die neue, bleiben am alten Dateiende Daten unreferenziert auf dem Medium zurück. Problem Nummer zwei: Viele Programme und Bibliotheken überschreiben Dateien, indem sie zunächst die Größe auf null setzen und das Dateisystem damit veranlassen allen belegten Speicherplatz freizugeben. Erst danach schreiben sie die Datei dann neu, wodurch das Dateisystem neuen Speicherplatz zuteilen muss. Hierbei ist nicht sichergestellt, dass die neuen Daten am selben Ort liegen wie die alten - die alten Daten sind potenziell wiederherstellbar, abhängig von der Zuteilung des Dateisystems. COW-Systeme können nicht löschen Bei COW-Dateisystemen bleiben beim Überschreiben einer Datei die alten Daten auf dem Medium stets unangetastet. Sicheres Löschen einer Datei ist damit prinzipiell unmöglich, wenn das Dateisystem dies nicht explizit unterstützt. Als Abhilfe kann es genügen, mehr Daten zu schreiben, als freier Platz verfügbar ist. Wenn das Dateisystem freien Platz im Round-Robin-Verfahren zuteilt, sollte so alles einmal überschrieben sein. Leider gibt es genug Beispiele, in denen dieses Vorgehen zwar die meisten, aber nicht alle Daten überschreibt. Besonders vorsichtige Nutzer löschen daher meistens das komplette Gerät, beispielsweise mit DD, legen ein frisches Dateisystem an und spielen ein Backup ein. Beim

20 52 Ausliefern von neuen Systemen ist die Verfahrensweise durchaus verbreitet. Übrigens: Wenn es gilt, Metadaten wie Dateinamen oder -berechtigungen zu überschreiben, verhalten sich auch Inplace-Dateisysteme ähnlich wie COW- Dateisysteme und schreiben geänderte Daten an andere Stellen. Hardware-bedingte Datenrückstände Die meisten Flashmedien zeichnen sich dadurch aus, dass sie ihre Eigenschaften (siehe Kasten Flash-Technik") - so gut es geht - vor dem Betriebssystem verstecken. Bei praktisch allen an Endnutzer verkauften Medien simuliert ein interner Hostadapter ein ATA-Festplatteninterface. Damit kann das Betriebssystem beliebige Sektoren von nur 512 Byte Länge schreiben, obwohl der Flashchip Blöcke von 16 bis 256 KByte besitzt, die eine Logik vor dem Beschreiben löschen muss. Zwischen Löschen und Wiederbeschreiben klafft ein Zeitfenster, in dem der Block keine gültigen Daten enthält. Dies ist der Grund, warum alle Dateisysteme für rohes Flash dem COW-Prinzip folgen. Flash-Technik Flash-EEPROMs sind Bausteine mit nicht-flüchtigem Inhalt, sie behalten die Daten auch ohne Spannungsversorgung. Wegen der kleinen Chips und günstiger Herstellung kommen meist NAND- Flashbausteine zur Auslieferung, die stets eine bestimmte Anzahl Flashtransistoren (so genannte Floating Gates) in Serie schalten. Weil selektive Schreiboperationen immer nur vom logischen Zustand Falsch zum Zustand Wahr möglich sind, muss eine Logik vor jedem Schreibvorgang einen Löschzyklus einschieben. Löschen nur en bloc Im Gegensatz zu gewöhnlichem EEPROM-Speicher lässt sich beim Flash-EEPROM ein Wort, die kleinste adressierbare Speichereinheit (8 bis 64 Bit), nicht einzeln löschen, sondern nur blockweise. Ein Block ist meist ein Viertel, Achtel, Sechzehntel und so weiter der Gesamtspeicherkapazität eines Chips. Diese EEPROM-Blöcke (auch Erase Block genannt) sind deutlich größer als die Blöcke, mit denen herkömmliche Filesysteme arbeiten. Zudem ist die Anzahl der Löschzyklen (Endurance) begrenzt. Die Hersteller garantieren für jeden einzelnen Block nur 1 bis eine Million Zyklen. Grund für die Abnutzung: In den Floating Gates durchtunneln bei jedem Löschzyklus Das Gleiche gilt auch für den FTL (Flash Translation Layer), der das Bindeglied zwischen rohem Flash und einem Blockdevice-Interface bildet. Das Erase-Block- Management als Teil des FTL schreibt neue Daten stets in freie Blöcke und gibt die Blöcke mit alten Daten später frei. Dabei versucht es die Löschvorgänge im Chip zu verteilen, da Flash nur begrenzt viele Erase-Zyklen verträgt. Wie dies genau passiert, geben die Flashspeicher- Produzenten (beispielsweise Toshiba und Samsung) nur im Rahmen von Patentveröffentlichungen, zum Beispiel [6], oder gar nicht bekannt. Grundsätzlich gibt es jedoch zwei Möglichkeiten. Am einfachsten ist es, immer komplette Blöcke zu schreiben. Dabei verwaltet der Chip einen kleinen Pool von freien Blöcken, in die er neue Daten schreibt. Sobald sie geschrieben sind, kann er die alten Blöcke löschen und damit in den Pool freigeben. Üblicherweise geschieht das Löschen rasch nach dem Schreiben, sodass alte Daten nur in Ausnahmesituationen wie Stromverlust oder Hardwarefehlem erhalten bleiben. Alternativ verwaltet die Speicherlogik kleinere Einheiten. Wird ein Teilblock die Elektronen die Oxidschicht des Transistors (Fowler-Nordheim-Tunneleffekt). Die für diesen quantenmechanischen Effekt erforderliche hohe Spannungen beschädigt bei jedem Löschvorgang ein wenig die Oxidschicht, die das Floating Gate umgibt (Abbildung 1). Ist die Degeneration so weit fortgeschritten, dass die im Transistor gefangenen Elektronen entweichen, geht das dort gespeicherte Bit verloren und die Zelle ist defekt. Die Hersteller der Flashgeräte versuchen diesem schleichenden Effekt entgegenzuwirken, indem sie Reservezellen und ein Defektmanagement einbauen, das kaputte Blöcke wegmappt. Source Central Sate Floating Gate /ftmteckicht Abbildung 1: Die Oxidschicht um das Floating Gate hindert die Elektronen daran, abzufließen. Durch die Löschvorgänge degeneriert Jedes Mal die schützende Oxidschicht. überschrieben, bleiben andere Daten in diesem Block weiterhin gültig. Folglich kann sich der Pool freier Blöcke schnell erschöpfen - üblicherweise sind nur etwa 3 Prozent des Speicherplatzes dafür reserviert. Tritt der Fall ein, muss ein Garbage-Collection-Algorithmus alle gültigen Fragmente umkopieren und so wieder komplette Blöcke freigeben. Zwischen Schreiben und Garbage Collection kann durchaus einige Zeit liegen - Zeit, in der aus Betriebssystem-Sicht Daten nicht mehr vorhanden sind, die der Flashspeicher aber in Wahrheit in sich trägt. Recovery schwierig An solche liegen gebliebenen Daten zu kommen ist wegen der Geheimniskrämerei der Chipproduzenten in der Praxis aber nicht ganz leicht. Wahrscheinlich ließe sich eine Mehrheit der Speichergeräte durch undokumentierte Speziarbefehle in einen Raw-Modus schalten, der das Defekt-, Block-Rotations- und Erase- Block-Management umgeht. Forensiker ohne (wirtschaftlich) guten Draht zum Hersteller werden zu den Informationen vermutlich nie kommen. Für die zweite Möglichkeit, rohe Daten aus dem Medium auszulesen, benötigt ein Forensiker - oder der neue Besitzer des Wechselmediums - einen Lötkolben und ein Lesegerät für Flashchips. Auch hier bedarf es der Specs des Chipproduzenten. Egal ob versierter Bastler oder Insider: Beide müssen das Glück haben, dass tatsächlich genau die gesuchten Daten noch auf dem Medium liegen. Infos [1] Jan Rahm, Asus Eee 71 im Test": Linux- Magazin 1/8, S. 98 [ 2] Mendel Rosenblum and John K. Ousterhout, The design and implementation of a logstructured file system": ACM Transactions on Computer Systems, 1(1):26-52,1992 [ 3] Netapps WAFL: [ wiki/write_anywhere_file_layout] [4] ZFS: [ zfs/whatis/] [5] Btrfs: [ [ 6] US-Patent No , Erase block management" von Micron Technology: [ fulltext.html]