Der Festplattenforensikfallgenerator

Transkript

1 Der Festplattenforensikfallgenerator Diplomarbeit im integrierten Studiengang Mathematik und Informatik von Christian Moch Erstgutachter: Prof. Dr. Felix Freiling Zweitgutachter: Betreuer: Prof. Dr. Colin Atkinson Prof. Dr. Felix Freiling 25. Februar

2 In der Computerforensik werden digitale Spuren gesichert und systematisch analysiert um mögliche Straftaten nachzuweisen, beziehungsweise diese auszuschliessen. Viele Gebrauchsgegenstände, wie beispielsweise Mobiltelefone, Drucker, Kundenbonuskarten oder elektronische Zugangskontrollen erzeugen solche digitalen Spuren und archivieren diese über einen langen Zeitraum. Durch Auswertung dieser Spuren können gelöschte Daten oder sogar Abläufe im realen Leben rekonstruiert werden, um den Tatverdächtigen zu be- oder entlasten. Die Software Forensig 2 ist ein Werkzeug um forensische Fallbeispiele, in Form von Festplattenabbildern, automatisiert zu erzeugen. Die Fallbeispiele werden über eine Skriptsprache deniert; so kann unter anderem die Grösse, der Inhalt, der zeitliche Ablauf, installierte Software und Benutzerinteraktionen im Abbild mit der Skriptsprache beschrieben werden. Die Skriptsprache kann durch eigene Denitionen, Klassen und Vererbungen erweitert werden. Diese Eigenschaft ermöglicht es wiederholende Abläufe zu automatisieren und die Sprache systematisch weiter zu entwickeln.

3 Inhaltsverzeichnis Abbildungsverzeichnis 6 Tabellenverzeichnis 7 Listings 8 1 Einführung Hintergrund Datenstruktur einer Festplatte Ausbildung Motivation Aufgabenbeschreibung Ergebnisse Aufbau der Arbeit Danksagung Anforderungen und Konzeption Zusammenfassung Anforderung Konzeption Zusammenfassung Entwurf Einleitung Zufallselemente Reproduzierbarkeit Auswahl des Virtualisierers physikalischer Rechner Virtualisierer XEN VMware Qemu Entscheidung Installation des Systems Netzwerkinstallation Installtion mit CD Ubuntu-vm-installer Benutzerinteraktion mit dem System Benuzterinteraktion auf Betriebssystemebene

4 3.6.2 Interaktion mit dem Virtualisierer Erzeugung der Festplattenabbilder Netzwerk Zeitlinie Vollständigkeit der Skriptsprache Weitere verwendete Tools dd mount, umount qemu-img nmap sshpass Python Modulaufbau der Software Hexer Partitioner Commander Converter Disk ExtensionCard Memory System Reporter Generator Zusammenfassung Die Skriptsprache Python Die Skriptsprache Time System Disk Cpu Memory GenericCard Converter Qemu Partitioner Hexer Commander Reporter Generator Ausblick Implementierung Zusammenfassung Genereller Aufbau eines Moduls Time

5 5.4 System Disk DataDisk SystemDisk Cpu, Memory, ExtensionCard Converter Qemu Partitioner Hexer Commander Reporter Generator Verzeichnisstruktur Erweiterungsmöglichkeiten Ausblick Verwendung Zusammenfassung Installationsanleitung Schnelleinstieg Ausführliche Installationsanleitung Benutzung der Software DataDisk-Skripte SystemDisk-Skripte systemdisk3.script Tipps und Tricks Fehlerhafte Skripts Zusammenfassung Ergebnisse Fähigkeiten Einschränkungen verwandte Arbeiten weiterführende Arbeiten Literaturverzeichnis 112 A API 114 B Partitionskennungen 210 C man pages 212 C.1 qemu C.2 ubuntu-vm-builder D Glossar 233 5

6 Abbildungsverzeichnis 1.1 Darstellung einer Partitionstabelle im Hexformat CHS Kodierung in der Partitionstabelle [38] Partitionstabelle mit erweiterten Partitionen [2] Schema einer FAT Dateisystems [2] Ablaufschema der Forensig 2 Software Python dynamische Datentypverwaltung Python Tupeldenition Python Listendenition Python Setdenition Python Wörterbuchdenition Python Sammeltypeneigenschaften Python Beispielskript Hexdump nach crash() Aufruf

7 Tabellenverzeichnis 4.1 reservierte Wörter in Python built-in Funktionen in Python Importieren von Modulen Modul Time() Modul System() Verwaltungsmethoden Modul System() - funktionale Methoden Modul Disk() Modul DataDisk() Modul SystemDisk() Modul Cpu() Modul Memory() Modul GenericCard() Modul NetworkCard() Modul Converter() Modul Qemu() Modul Partitioner() Modul Hexer() Modul Commander() Modul Reporter() Modul Generator() B.1 Partitionskennungen

8 Listings 3.1 Beispielcode Zufallselemente Skriptsprache Beispielcode Zufallselemente Zwischencode Zusammenspiel Modul und Skriptsprache Beispielcode Kongurationsdatei Beispielcode zum Einbinden der Kongurationsdatei Beispielcode Logging Möglicher Zustand von self. disk Beispielcode Partitoner Beispielcode Reporter Neue Methode denieren Logging und Kongurationsdatei in Modul einbinden minimale Klasse mit XML Funktionen Verwendung der minimalen Klasse aus der Skriptsprache eingabe.script datadisk1.script datadisk2.script datadisk3.script systemdisk1.script systemdisk2.script systemdisk3.script waitnished.script timeline.script

9 Kapitel 1 Einführung 1.1 Hintergrund Der Begri Forensik stammt aus dem lateinischen Begri forum. Das Forum war im antiken Rom der Marktplatz und gleichzeitig Austragungsort für Gerichtsverhandlungen, dort wurden also Beweise vorgebracht und letzlich das Urteil gefällt. Unter dem Begri Forensik versteht man heute die systematische Analyse und Rekonstruktion krimineller Handlungen. Ein Forensiker sichert alle vorhandenen Spuren und konstruiert daraus mögliche Tathergänge. Durch Kombination der vorhandenen Spuren lassen sich einzelne Tatabläufe bekräftigen oder ausschliessen. Die Sicherung der Spuren und die Kombination zu möglichen Tathergängen muss dabei gerichtsfest sein. Das heisst, die Methoden müssen fundiert und ein Irrtum nahezu ausgeschlossen sein. Eine Spur die vor Gericht verwertbar ist, heisst forensische Spur. [8] Als Beispiel: Ein Fingerabdruck, der an einem Tatort sichergestellt wurde, lässt nicht den Schluss zu, ob die zugehörige Person an der Tat beteiligt war. Er sagt zunächst nur aus, dass die Person zu einem früheren Zeitpunkt am Tatort war. Erst in Kombination mit anderen Spuren wird der Fingerabdruck ein belastendes Beweismittel, beispielsweise wenn der Fingerabdruck im Inneren des aufgebrochenen Tresorraums sichergestellt wurde und die Person keinen Zutritt zu diesem hatte. Aber Spuren können Tatverdächtige auch entlasten, beispielsweise wenn der Tatverdächtige zum Tatzeitpunkt von einer Überwachungskamera an einem anderen Ort gelmt wurde, kommt er als Täter nicht in Frage. Eine der Hauptaufgaben der Forensik ist der Nachweis des Tathergangs und die Zuordnung zu einem Täter. Bei den eben erwähnten Fingerabdrücken kann relativ sicher nachgewiesen werden, dass dieser zu einer Person gehört. Allerdings gibt es Techniken Fingerabdrücke zu fälschen [3], was die Aussage, die Person war am Tatort, verfälschen kann. Falls der Fingerabdruck am Tatort gefälscht wurde, gehört er zwar immer noch zu einer bestimmten Person, diese muss jedoch nicht zwingend am Tatort gewesen sein. Die Forensik muss sich daher mit allen Spuren und allen möglichen Tathergängen befassen und möglichst viele Tatabläufe ausschlieÿen, bis im Idealfall nur noch ein möglicher Täter übrig bleibt. 9

10 Die Computerforensik beschäftigt sich ausschlieÿlich mit digitalen Spuren. Digitale Spuren sind zunächst erstmal alle Daten die auf einem Computersystem übertragen oder gespeichert worden sind, beispielsweise Daten auf einer Festplatte oder Übertragungen einer Netzwerkkarte. Damit ein Ermittler die Spuren interpretieren kann, müssen diese lesbar gemacht werden. Auf einer Festplatte wird eine Spur durch unterschiedliche magnetisierte Bereiche repräsentiert, mit der ein Ermittler nichts direkt anfangen kann. Erst die Interpretation der Bereiche zu Bits und die Interpretation der Bits zu einer Zeichenkodierung und diese wiederrum zu einem Dateisystem und letzlich zu einer Datei lässt den Forensiker erfahren, welche Information diese Spur beinhaltet. Wie zu sehen ist, sind viele Interpretationen nötig, um aus der physikalischen Spur eine brauchbare Information zu gewinnen. Dabei können in jeder Interpretationsstufe Fehler unterlaufen, es muss also genau geprüft werden, ob die letzlich erhaltene Information korrekt ist. Selbst wenn Interpretationsfehler ausgeschlossen würden, ist es immer noch sehr leicht, die Informationen zu manipulieren. Ein Ermittler kann unabsichtlich die Information oder sogar die physikalische Spur selbst verändern; ebenso kann ein Straftäter diese Manipulation absichtlich herbeiführen. Bei digitalen Spuren ist es oft nicht möglich Manipulationen festzustellen, daher sind die gewonnenen Informationen immer mit einer gewissen Vorsicht zu betrachten [8]. Digitale Spuren sind nie personenbezogen. Dateien sind zwar in aller Regel einem Benutzerkonto zugeordnet, dieses ist aber nur eine digitale Zuordnung zu einer real existierenden Person. Um die reale Person zu identizieren sind weitere Spuren zwingend nötig. Selbst wenn eindeutig geklärt ist, welche reale Person zum Benutzerkonto zugehörig ist, muss die Datei nicht vom Benutzer angelegt worden sein. Es ist denkbar, dass die Person nicht einmal Kenntnis von der Datei hatte. Es gibt vielfältige Möglichkeiten wie die Datei an den Ort gekommen ist, beispielsweise durch ein Botnetz oder einen gezielten Angri durch Ausnutzung einer Sicherheitslücke. Die Tatsache, dass digitale Spuren leicht manipulierbar sind, verschärfen das Zuordnungsproblem weiter. Aber digitale Spuren haben nicht nur Nachteile; ein Vorteil ist zum Beispiel, dass das Original 1:1 dupliziert werden kann. So kann die Ermittlung komplett auf einer Kopie stattnden. Selbst wenn versehentlich Beweismaterial vernichtet wurde, steht das Original nach wie vor zur Verfügung. Ein weiterer positiver Aspekt ist, dass digitale Spuren nur sehr schwer komplett und nachhaltig vernichtet werden können. Selbst gelöschte Dateien können in der Regel wiederhergestellt werden. Die weite Verbreitung digitaler Systeme steigert die Menge an verfügbaren digitalen Spuren enorm, sodass digitale Spuren bei immer mehr Straftaten eine Rolle spielen. [8] Die Straftaten müssen dabei nicht zwingend an einem Computer verübt werden. Digitale Spuren sind in vielen alltäglichen Gegenständen zu nden, beispielsweise Mobiltelefone, auf diesen werden Telefonnummern, Kurznachrichten, Anruisten, s, Videos, Bilder und vieles mehr gespeichert. Einige dieser Spuren können bei Straftaten Hinweise zur Aufklärung geben. Weitere Alltagsgegenstände, die digitale Spuren enthalten können, sind Festplattenreceiver, Drucker, digitale Überwachungskameras, Geldautomaten, digitale Zugangskontrollen und viele weitere. 10

11 Wieviele Informationen mit Hilfe der Computerforensik aus einem Datenträger gewonnen werden können, zeigt die Veröentlichung Reconstructing Peoples Lives: A Case Study in Teaching Forensic Computing, Felix Freiling, Thorsten Holz, Martin Mink deutlich [6]. In dieser Arbeit wird ein gewisses Vorwissen über den Aufbau eines Festplattenabbildes vorrausgesetzt. Um die Arbeit auch ohne dieses Wissen verstehen zu können, werden die folgenden Unterabschnitte den Aufbau eines Festplattenabbildes kurz erläutern. Für einen umfassendenden und detailierten Einblick in die Datenstruktur einer Festplatte empehlt sich ein Blick in das Buch File System Forensic Analysis von Brian Carrier [2] Datenstruktur einer Festplatte Die Informationen der folgenden Abschnitte sind im Wesentlichen aus dem Buch File System Forensic Analysis von Brian Carrier [2] entnommen und geben in kompakter und oberächlicher Form einen Einblick in die Datenstrukturen einer Festplatte. Die Abschnitte sind geeignet um das Wissen aufzufrischen oder kleine Wissenlücken zu schlieÿen. Sie haben nicht den Anspruch einer umfassenden Einführung; dazu sollte die angegebene Literatur studiert werden. Eine Festplatte ist ein Medium auf dem viele Daten gespeichert werden können, die Daten werden physikalisch als unterschiedlich magnetisierte Bereiche dargestellt. Ohne weitere Strukturen würden die Daten relativ schnell unübersichtlich werden und damit nur noch schwer oder gar nicht mehr aundbar sein. Ein erster Schritt die Festplatte zu strukturieren sind sogenannte Partitionen. Diese denieren Bereiche, in denen später Daten abgelegt werden können. Eine Festplatte kann in mehrere unterschiedliche Bereiche unterteilt werden. Die Partitionen sind ein erster Schritt um die Festplatte zu strukturieren, es ist nun klar in welchen Bereichen Daten liegen können und welche Bereiche für abgelegte Daten nicht in Frage kommen. Allerdings ist noch nicht klar wie die Daten auf den Partitionen abgelegt werden sollen. Eine Partition alleine deniert ausschlieÿlich die Datenbereiche, nicht die Struktur dieser Bereiche. Um die Daten innerhalb einer Partition zu strukturieren, wird ein Dateisystem benötigt. Das Dateisystem deniert eine Struktur, mit der Dateien und Ordner angelegt werden können. Das Dateisystem gibt vor, wie die Daten wieder gelöscht, wie Daten verschoben und wo diese Daten innerhalb der Partition abgelegt werden sollen. Das Dateisystem bestimmt, welche Operationen erlaubt sind. Einige Dateisysteme erlauben eine Rechtevergabe, die in Zusammenarbeit mit dem Betriebssystem, den Zugri der verschiedenen Benutzer auf die Datei regelt. Andere Dateisystem besitzen diese Eigenschaften nicht. Das Dateisystem gibt ebenfalls gewisse Grenzen vor, so gibt es in der Regel eine maximale Dateigröÿe oder eine maximale Anzahl an verwaltbaren Dateien. 11

12 Die folgenden Unterabschnitte geben dem Leser einen Einblick in die Struktur einer Partition beziehungsweise eines Dateisystems. Partitionen Es gibt verschiedene Arten Partitionen zu denieren, dieser Abschnitt geht nur auf DOS-Partitionen ein, weitere Partitionierungsarten können der Literatur entnommen werden. Die DOS-Partitionen sind momentan sehr weit verbreitet, sie werden oft DOS- Partition oder PC-based Partitionen genannt und werden von Dos, Windows und Linux verstanden. Dieses Partitionsschema ist schon sehr lange in Benutzung und stöÿt langsam an seine Grenzen. Eine Alternative ist das GUID-Partitionsschema, das in neueren Windowsversion und von Linux unterstüzt wird. Die DOS-Partitionen basieren, historisch bedingt, auf einer Tabelle mit genau vier Einträgen. In diesen vier Einträgen können vier Partitionen deniert werden. Ursprünglich wurde nicht erwartet, dass jemals mehr als vier Partitionen benötigt werden, was sich in Anbetracht der heutigen Datenmengen jedoch als Irrtum herrausstellte. Darauf wurde reagiert und ein spezieller Eintrag deniert, der eine erweiterte Partition darstellt. Das Prinzip der erweiterten Partition ist relativ einfach, in der originalen Tabelle wird der Eintrag als normale Partition geführt, allerdings bendet sich am Anfang der Partition nicht der Beginn eines Datenbereichs, sondern eine weitere Partitionstabelle. Mit diesem Prinzip kann eine verkettete Liste von Partitionen erstellt werden und so die Anzahl der möglichen Partitionen von vier auf beliebig viele gesteigert werden. Eine weitere historische Einschränkung ist die CHS Adressierung, die angibt an welchem Zylinder, Kopf und Sektor die Partition beginnt und endet. Der CHS Eintrag wurde auf 3 Byte begrenzt, was Festplatten mit bis zu 1024 Zylinder, 256 Köpfe und 64 Sektoren erlaubt. Die Zylinder und Köpfe denieren dabei, wo die Sektoren physikalisch zu nden sind. Es sind mit allen Kombinationen also bis zu Sektoren ansteuerbar. Ein Sektor hat normalerweise 512 Byte, was zu einer Gesamtgröÿe von 8 Gigabyte einer Festplatte führt, mehr ist über den CHS-Wert nicht denierbar. Frühere Systeme brauchten zwingend den CHS-Wert, um die Festplatte korrekt ansteuern zu können, heutige Systeme können auf den CHS Wert verzichten und ignorieren diesen normalerweise. Die Information über die Position der Partition wird allein durch den 4 Byte groÿen Startsektor, der fortlaufend über die ganze Festplatte deniert ist, festgelegt. Dieser 4 Byte Wert erlaubt eine Adressierung bis zu 2 Terrabyte, was sehr nahe an der heutigen Kapazität der Festplatten ist. Es wird also schon bald wieder eine Anpassung oder Ablösung des Schemas erfolgen müssen. Am Ende jeder Partitionstabelle muss der Hexwert 0x55AA stehen, ansonsten gilt die Partition als gelöscht. 12

13 Abbildung 1.1: Darstellung einer Partitionstabelle im Hexformat Ein Eintrag in der Paritionstabelle deniert das Dateisystem, allerdings bedeutet der Eintrag nicht, dass wirklich das denierte Dateisystem dort vorhanden ist. Es kann durchaus ein anderes Dateisystem oder sogar gar kein Dateisystem auf dieser Partition vorhanden sein. Wie diese Unstimmigkeiten behandelt werden ist Aufgabe des Betriebssystems. Wenn Partitionen gelöscht werden, wird nur der Eintrag aus der Partitionstabelle gelöscht. Die eigentliche Partition, inklusive Dateisystem, ist noch auf der Festplatte vorhanden. In Abbildung 1.1 ist eine Partitionstabelle in seiner Hexadezimaldarstellung zu sehen. Der erste Eintrag beginnt an Stelle 0x1be, der vorletzte Byte Wert der ersten geschwärzten Zeile. Das erste Byte deniert, ob die Partition bootbar ist oder nicht. Der hexadezimale Wert 0x80 bedeutet bootfähig, 0x00 heisst nicht bootbar, andere Werte sind an dieser Stelle nicht deniert. Die 3 folgenden Byte 0x geben den CHS-Wert des Startsektors an. Da der Wert im little Endian Format geschrieben wird, ist der eigentliche CHS-Wert 0x Der CHS-Wert ist speziell kodiert, siehe Abbildung 1.2. Der Wert 0x ist umgerechnet der erste Sektor, auf dem ersten Kopf auf dem nullten Zylinder. Der nächste Eintrag 0x83 deniert das Dateisystem der Partition, 0x83 1 steht dabei für ein Linux Dateisystem. Darauf folgt wieder ein 3 Byte groÿer CHS Wert 0xfe3f1e, da er im little Endian-Format dargestellt wird, ist der eigentliche Wert 0x1e3e. Auf den folgenden 4 Byte wird der Startsektor, relativ zum Beginn der Festplatte beziehungsweise, bei erweiterten Partitionen, zum Beginn der erweiterten Partition deniert. Der eingetragene Wert 0x3f in litte Endian Schreibweise ist 0x f in normaler hexadezimaler Darstellung. Also beginnt die Partition bei Sektor 63. Die letzten 4 Byte des ersten Eintrages 0x in normaler Darstellung, ist die Gröÿe der Partition in Sektoren, in dezimaler Darstellung sind das Sektoren, was ungefähr einer Gröÿe von 240 Megabyte entspricht. Wie in Abbildung 1.1 zu sehen ist, benden sich unmittelbar nach der Partitionstabelle weitere Daten. Nach Denition sollten hier allerdings keine Daten zu nden sein. Solche Daten aufzudecken und zu anlysieren ist Aufgabe der Computerforensik. Abbildung 1.3 zeigt den Aufbau einer Partitionstabelle mit mehrfachen erweiterten Partitionen. 1 siehe auch Tabelle B.1 13

14 Abbildung 1.2: CHS Kodierung in der Partitionstabelle [38] Abbildung 1.3: Partitionstabelle mit erweiterten Partitionen [2] 14

15 Abbildung 1.4: Schema einer FAT Dateisystems [2] Dateisysteme Es gibt viele unterschiedliche Dateisysteme, deren Aufbau ich in dieser Arbeit nicht im einzelnen darstellen werde. Für einen genaueren Einblick in einzelne Dateisysteme sei auch hier auf die Literatur verwiesen. Das Erstellen eines Dateisystems auf einer Partition nennt man formatieren. Beim formatieren wird die grundlegende Struktur des Dateisystems geschrieben. Viele Dateisysteme verwenden für die Zuordnung der Daten intern Baumstrukturen. In diesen Bäumen werden die Positionen der einzelnen Dateien hinterlegt, damit das Dateisystem die geschriebenen Daten später wieder nden kann. Die meisten Dateisysteme löschen eine Datei nur aus dem Baum, nicht aber die Daten auf der entsprechenden Partition. Das heisst, gelöschte Daten sind solange wiederherstellbar, bis der Bereich von einer anderen Datei überschrieben wurde. Selbst wenn ein vorhandenes Dateisystem mit einem anderen Dateisystem formatiert wurde, gibt es gewisse Chancen die alten Daten wiederherzustellen. In vielen Fällen legt das neue Dateisystem nur an einigen Schlüsselstellen die initiale Baumstruktur ab, die restlichen Bereiche bleiben zunächst erhalten. Wenn das neue Dateisystem weitere Daten schreibt, wird jeweils ein weiterer Teil des alten Dateisystems überschrieben. Abbildung 1.4 zeigt die Verwaltungsstruktur eines Fat-Dateisystems. Das Fat-Dateisystem verweist zunächst auf ein root-directory, in dem alle Dateien und Ordner auf der obersten Ebene enthalten sind. Zu jedem Eintrag ist ein Verweis auf einen Cluster, in dem der Eintrag gespeichert wurde. Bei einem Verzeichnis verweist das rootdirectory auf ein weiteres Verzeichnis. Bei einer Datei wird direkt auf den Beginn der Datei verwiesen. 15

16 Festplattenabbild Wie bereits erwähnt, können digitale Spuren 1:1 kopiert werden. Dadurch kann das Original, in diesem Fall die Festplatte, geschont und die Analyse auf einer Kopie durchgeführt werden. Das Festplattenabbild ist die Repräsentation einer Festplatte als Datei. Es werden alle Informationen wie Partitionstabelle und Dateisystem originalgetreu kopiert. Die Analyse dieser Datei kommt damit zum gleichen Ergebniss wie eine Analyse des Originals. In der Praxis wird daher die Analyse nur auf der Kopie durchgeführt. Damit ist es ausgeschlossen, dass Fehler während der Analyse das Beweismittel vernichten, da das Original jederzeit wieder kopiert werden kann. Ein Nachteil von Festplattenabbildern besteht darin, dass einige Eigenschaften wie, Hardwareverschlüsselung oder Host Protected Area (HPA) nicht auf dem Abbild nachvollziehbar sind. 1.2 Ausbildung Die Ausbildung an deutschen Hochschulen in der Computerforensik umfasst immer die praktische durchgeführte Analyse einer Festplatte, USB-Sticks oder Diskette. Der Datenträger wird dem Studenten zur Analyse physikalisch ausgehändigt; die Anweisungen für die Analyse varieren dabei sehr stark. Die FH Ingolstadt [13] gibt jedem Studenten einen 1GB USB Stick zur Analyse. Der Dozent präpariert dabei einen USB-Stick mit diversen Dateisystemen. Zwischen den Dateisystem wird bewusst eine Lücke gelassen um später dort Daten zu verstecken. Auf die Dateisysteme werden verschiedene Nutzdaten, wie Vorlesungsskripte, Bilder und ordner kopiert. Anschliessend verändert der Dozent zufällig die Inhalte. Es werden Dateien gelöscht, manipuliert oder versteckt. Der einzelne präparierte USB- Stick wird danach vervielfältigt und jeder Student erhält eine Kopie zur Analyse. Aus der Aufgabenstellung wissen die Studenten zum Teil welche Daten sie nden müssen, allerdings werden auch Daten versteckt, die nicht durch einfaches Abarbeiten der Aufgaben gefunden werden können. In früheren Kursen an der FH Ingolstadt wurden gebrauchte Festplatten zur Analyse genutzt. Da dort, aus forensischer Sichtweise, nur uninteressante Inhalte zu nden waren, wurde diese Praxis mittlerweile eingestellt. An der Universität Mannheim [9] wurden für jeden Studenten individuelle Disketten zur Analyse bereitgestellt. Die Disketten wurden jeweils mit einem unterschiedlichen Dateisystem formatiert und danach manuell einige Dateien kopiert, gelöscht oder manipuliert. Die Disketten wurden, wie in Ingolstadt, physikalisch ausgehändigt; als Hinweis zur Analyse wurde lediglich das Dateisystem bekanntgegeben. Die Aufgabe der Studenten war, eine vollständige Analyse der Diskette; erst während der Analyse wurde dem Studenten klar, was von ihm genau erwartet wurde. In einem Beispiel waren einige Daten auf dem Dateisystem vorhanden, andere waren gelöscht, konnten 16

17 aber wiederhergestellt werden. In einer wiederhergestellten Datei befand sich ein Passwort, das zufällig für das passwortgeschützte ZIP-Archiv gültig war. Wenn das ZIP-Archiv entpackt wurde, kam eine Textdatei mit dem Inhalt 'Well done Image 5 solved' zum Vorschein. Als weitere Übungsaufgabe erhalten Studenten in Mannheim eine gebrauchte Festplatte, die meist über ein Onlineauktionshaus gekauft wurde. Die genaue Herkunft der Festplatte und die Inhalte sind dem Dozenten nicht bekannt. Zusätzlich verteilte die Universität Mannheim ein VMware Image eines angegrienen Systems. Das Image wurde im Rahmen des Honeynet Project angegrien und kompromitiert. Es handelte sich also um einen real durchgeführten Angri auf ein Honeypot System. Die Aufgabe der Studenten bestand darin, herauszunden, welche Dateien verändert wurden, welche verdächtigen Prozesse laufen und ob bestehende Netzwerkverbindungen existieren. Die FH Oenburg [14] präpariert einen USB-Stick, ähnlich wie die FH Ingolstadt. Die Aufgabenbeschreibung umfasst die ersten Schritte der Analyse - Kopieren des Inhaltes in ein originalgetreues Abbild, Bestimmen der Grösse des Abbilds, Einhängen in das lokale Dateisystem. Nach den weiteren Hinweisen, ist eine Wiederherstellung der Dateien nicht möglich und es wird auf eine Diskrepanz zwischen Partitionsgrösse des Dateisystems und Dateigrösse des Abbildes hingewiesen. Der Student soll zunächst nur den Bereich ausserhalb des Dateisystems analysieren. Auch wenn teilweise gebrauchte Festplatten eingesetzt werden, ist allen Ausbildungskonzepten das manuelle Erstellen eines Falles gemeinsam. Je nach Aufwand, die der Dozent in die Erstellung legt, ist das ein zeitaufwändiger Prozess. Wenn, wie in Mannheim, ein individueller Fall pro Student erstellt wird, summiert sich der Aufwand und ist sehr schnell nicht mehr umsetzbar. 1.3 Motivation In der computerforensischen Ausbildung ist die Analyse einer Festplatte einer der zentralen Punkte. Festplatten sind sehr weit verbreitet und enthalten eine Vielzahl forensisch verwertbarer Spuren und Informationen. Durch systematische Analyse einer Festplatte können diese Spuren zur Aufklärung einer Straftat beitragen. In der Praxis ist die Analyse einer Festplatte zu Ausbildungszwecken allerdings problematisch. Eine manuelle Erstellung eines entsprechenden Abbildes ist sehr zeitaufwändig und damit in gröÿerer Anzahl nicht realisierbar. Individuelle Abbilder pro Student fallen daher recht klein aus oder jeder Student bekommt aus Zeitgründen ein identisches Abbild. Eine Alternative ist der Kauf und die Analyse gebrauchter Festplatten, die über diverse Onlineauktionshäuser kostengünstig zu erwerben sind. Allerdings ist hier die Qualität der Festplatte für den Dozenten nur durch eine eigene, ebenfalls zeitaufwändige Analyse zu beurteilen. Da der Zeitaufwand nicht zu vertreten ist, muss die Festplatte ungeprüft den angehenden forensischen Ermittlern ausgehändigt werden. 17

18 Die forensischen Berichte zu diesen Festplatten können nicht auf Vollständigkeit beziehungsweise Korrektheit überprüft werden. Die Inhalte sind, aus forensischer Sicht, zumeist uninteressant. Obwohl die Inhalte viele Informationen über den ehemaligen Besitzer enthalten und unter anderem sensible private Informationen preisgeben, handelt es sich meistens um forensische Standardfälle. Das Niveau der Ausbildung muss aber über Standardfälle hinausgehen, um die Qualität der Ausbildung zu gewährleisten. Ein andere Aspekt, der gegen gebrauchte Festplatten spricht, kommt von rechtlicher Seite hinzu. Es ist rechtlich kritisch zu beurteilen, wem die Daten auf gebrauchten Festplatten gehören, insbesonders wenn diese oensichtlich gelöscht wurden. Die Bachelorarbeit von Marion Liegl Datenschutz in computerforensischen Veranstaltungen [20] befasst sich ausführlich mit diesem Thema. Sie kommt zum Schluss, dass ohne Information des Verkäufers über den Verwendungszweck, keine forensische Analyse stattnden sollte. Da aus rechtlichen Gründen gebrauchte Festplatten ausfallen, muss der Dozent auf manuell erstellte Fälle zurückgreifen. Ein anzustrebendes Ziel sind dabei unterschiedliche Fälle pro Student. Damit wird ein Abschreiben der Berichte untereinander verhindert und jeder Student muss die Analyse an seinem Abbild selbst durchführen. Wenn die Fälle ähnlich gelagert sind, kann ein wünschenswerter Informationsaustausch unter den Studenten stattnden, ohne den Lerneekt negativ zu beeinussen. Wie bereits erwähnt, ist die manuelle Erstellung individueller Abbilder sehr zeitaufwändig und kaum durchführbar, solange dieser Prozess nicht automatisiert ist. Wenn dem Dozenten die Möglichkeit gegeben wird, eigene Abbilder auf einfachem Wege zu erstellen, ist das Zeitproblem auf die Erstellung der Denition reduziert. Damit wäre der Prozess zeitlich überschaubar und damit realisierbar. Eine hohe Qualität der Ausbildung wäre nun direkt vom Dozenten abhängig und nicht mehr so stark durch die Vorbereitunszeit begrenzt. Die Qualität und vor allem die Nachvollziehbarkeit der forensischen Ausbildung steigt dadurch vermutlich messbar an. Hier setzt diese Arbeit an. Es soll ein System erstellt werden, welches eine automatisierte Erstellung forensischer Fallbeispiele erlaubt. Welche Aufgaben das System erfüllen sollte, wird im nächsten Abschnitt beschrieben. 1.4 Aufgabenbeschreibung Wie aus der Motivation ersichtlich ist, befasst sich diese Arbeit mit einer Software, die auf einfachem Wege forensische Fallbeispiele erzeugen soll. Als Eingabe dient eine Skriptsprache, die zunächst in ein lauähiges Programm gewandelt wird, welches anschlieÿend das Abbild generiert. Es ist also ein Forensic Image Generator Generator (Forensig 2 ). Der Anwender soll die Möglichkeit haben, diverse Systemzustände über die Skriptsprache zu denieren. Dabei kann man diese grob in folgende Kategorien einordnen: 18

19 Anlegen von Partitionen und Dateisystemen Normale Benutzeraktionen, Dateioperationen, Software installieren usw. Besondere Benutzeraktionen, Dateien verschlüsseln, verstecken Simulation von Einbrüchen auf das System Die Zeit, zu der die Aktivitäten ausgeführt werden, soll über die Skriptsprache kongurierbar sein. Als Ausgabe der Skriptsprache erhält der Dozent das Festplattenabbild und soweit er es in der Skriptsprache angefordert hat, einen Bericht über den Zustand des Systems zu einem bestimmten Zeitpunkt innerhalb des Skriptablaufs. Damit der Dozent nicht für jeden neuen Fall ein neues Skript erstellen muss, sollen gewisse Zufallselemente erlaubt sein, um aus einem Skript viele Abbilder erstellen zu können. Um dem Dozenten möglichst viele Freiheiten zu lassen, kann das Skript zu vorher denierten Zeitpunkten unterbrochen werden und der Dozent kann manuell Veränderungen am laufenden System vornehmen. Die Skriptsprache soll weitestgehend vollständig deniert sein, unabhängig ob alle Denitionen tatsächlich umgesetzt werden können. 1.5 Ergebnisse Die im Rahmen dieser Diplomarbeit erstellte Software Forensig 2 ist ein Werkzeug, mit dem automatisiert Festplattenabbilder erstellt werden können. Die Software in der aktuellen Version ist als proof-of-concept zu verstehen. Die grundlegenden Funktionen sind implementiert, allerdings ist die Skriptsprache für einen komfortablen Betrieb noch ausbaubedürftig. Die Eingabe der Software ist ein Skript das auf Python aufbaut; es stützt sich auf die Forensig 2 API Anhang A. Um es dem Anwender zu ersparen, in jedem Skript zunächst die Forensig 2 Umgebung zu initialisieren, wird das Skript in der ersten Stufe in ein lauähiges Pythonprogramm umgeschrieben. Dieses Pythonprogramm enthält die Forensig 2 Umgebung und das vorgegebene Skript. Bei Ausführung dieses Programmes wird das Abbild gemäÿ den Anweisungen im Skript erstellt. Mit der Skriptsprache ist es möglich, ein komplettes System zu simulieren. Das System enthält einzelne Objekte wie Speicher, Netzwerkkarten, Festplatten usw.; es ist also an einem realen Rechneraufbau nachempfunden. Die Festplattenobjekte werden in Systemfestplatte (SystemDisk) und Datenfestplatte (DataDisk) unterschieden. Auf einer Systemfestplatte kann ein Betriebssystem installiert werden. In der jetzigen Version ist die Auswahl der Betriebssysteme auf 3 Ubuntu Varianten beschränkt. Das System kann, wenn alle nötigen Objekte wie Hauptspeicher, Netzwerkkarte und Systemfestplatte vorhanden sind, gebootet werden. Das System wird dabei virtualisiert und übernimmt soweit wie möglich die Angaben aus den Hardwareobjekten. Auf dem laufenden System können Prozesse gestartet werden, die Ausgabe der Prozesse sind über die Skriptsprache auslesbar. Dadurch können die meisten Konsolenanwendungen unter Linux gesteuert und damit eine Vielzahl von 19

20 forensischen Spuren hinterlegt werden. Die Systemfestplatte führt Datenmanipulationen - wie Kopieroperationen - direkt über das Betriebssystem aus. Im Gegensatz dazu werden Datenmanipulationen auf einer Datenfestplatte, unter Verwendung des Systems auf dem Forensig 2 installiert ist (Hostsystem), durchgeführt. Die Datenfestplatte ermöglicht andere Operationen als eine Systemfestplatte; vor allem hinsichtlich der Partitionierung hat der Anwender auf einer Datenfestplatte mehr Möglichkeiten. Es können beliebig viele Partitionen erstellt und mit diversen Dateisystemen formatiert werden. Das Verstecken von Daten innerhalb der Partitionstabelle, sowie das Löschen einzelner Partitionstabellen ist über die Skriptsprache möglich. Die Zeitlinie startet in jedem Skript zunächst zu Beginn der Unixepoche ( ) und läuft konstant. Eine Sekunde in realer Zeit enspricht einer Sekunde innerhalb der Zeitlinie. Die Zeitlinie kann durch Skriptbefehle jederzeit auf eine neue Zeit festgesetzt werden, allerdings kann der Fluss der Zeit nie gestoppt werden. Sobald die neue Zeit gesetzt wurde, läuft die Zeit ab dem neuen Zeitpunkt real weiter. 1.6 Aufbau der Arbeit Diese Arbeit befasst sich zunächst mit den Anforderungen und der Konzeption der geplanten Software. Dabei wird erläutert, was das Programm im Einzelnen leisten soll und welchem Schema die Umsetzung folgen sollte. Im darauf folgendem Kapitel werde ich auf die Entwurfsphase des Programmes eingehen. Dabei erläutere ich die Techniken und Programme die Verwendung nden könnten. Welche Alternative in Forensig 2 Einzug erhalten hat, wird im Einzelnen begründet. Im vierten Kapitel gehe ich auf die Skriptsprache selbst ein. Ich werde dabei darstellen, welche Module die Anforderungen implementieren und wie diese Module kooperieren. Das darauf folgende Kapitel geht im Detail auf die Implementierung der einzelnen Module ein. Das vorletzte Kapitel ist sehr praxisorientiert. Es beschreibt die Verwendung der Skriptsprache, beginnend von der Installation, über die Nutzung des zweistugen Generators, bis hin zur Programmierung in der Skriptsprache. Dabei werden einige Beispielskripte, mit unterschiedlicher Komplexität genauer analysiert. Im abschliessenden Kapitel werde ich die Arbeit nochmals Revue passieren lassen. Dabei gehe ich auf verwandte Arbeiten ein und zeige auf, wie diese Arbeit fortgeführt werden könnte. Die einzelnen Kapitel sind jeweils von einer kurzen Zusammenfassung des aktullen Kapitels und einem Ausblick auf das nächste Kapitel umrahmt. 20