Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 9 Min.

SPURENSICHERUNG: PC-Forensik wie die Profis


PC Magazin - epaper ⋅ Ausgabe 12/2018 vom 02.11.2018

Forensiker untersuchen PCs und Smartphones auf Datenspuren – mit deren Profi-Tools finden Sie selbst heraus, was Ihr PC über Sie preisgibt, wenn er in die falschen Hände gelangt.


Artikelbild für den Artikel "SPURENSICHERUNG: PC-Forensik wie die Profis" aus der Ausgabe 12/2018 von PC Magazin. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Magazin, Ausgabe 12/2018

Längst sind Computer-Forensiker in der Popkultur angekommen. Egal, ob im Tatort oder bei C.S.I.: Meist lässt ein Nerd mal schnell ein Programm über den beschlagnahmten Rechner laufen, das nach einem optisch opulenten Buchstabenregen à la Matrix in Sekundenschnelle gelöschte Dateien wiederherstellt oder Passwörter knackt. Die Realität von Forensikern sieht mit Kommandozeilenwerkzeugen, stundenlangem Warten und aufwändigen ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Magazin. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 12/2018 von GAMING-PC: Mehr Spiele-Power. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
GAMING-PC: Mehr Spiele-Power
Titelbild der Ausgabe 12/2018 von Das Rechenzentrum haben wir durch die geschickte Kombination von Bauteilen effizient gemacht.. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Das Rechenzentrum haben wir durch die geschickte Kombination von Bauteilen effizient gemacht.
Titelbild der Ausgabe 12/2018 von Verbraucher TIPP: DYNAMISCHE PREISE: Gute Zeiten – schlechte Zeiten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Verbraucher TIPP: DYNAMISCHE PREISE: Gute Zeiten – schlechte Zeiten
Titelbild der Ausgabe 12/2018 von MULTICOPTER: 10 coole neue Drohnen: Future LAB. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
MULTICOPTER: 10 coole neue Drohnen: Future LAB
Titelbild der Ausgabe 12/2018 von RECHT: Knipsen verboten?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
RECHT: Knipsen verboten?
Titelbild der Ausgabe 12/2018 von Alles freischalten. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Alles freischalten
Vorheriger Artikel
Alles freischalten
aus dieser Ausgabe
Nächster Artikel Future LAB: INTELLIGENTE FOTOBEARBEITUNG: KI erschafft Top-Fotos
aus dieser Ausgabe

... Proptokollen dann doch deutlich nüchterner aus; dafür sind die technischen Hinte rgründe umso spannender.

Keine Veränderungen

Eine erste Regel ist, dass keine Veränderungen vorgenommen werden dürfen. Und das ist gar nicht so einfach, wie es zunächst klingt: Stöpselt man eine NTFS-formatierte USB-SSD an einen Windows-Rechner, führt der im Hintergrund eine Prüfung des Dateisystems durch und schickt mitunter das Performance-steigernde TRIM-Kommando zum Datenträger – welches durch die Blockfreigabe eigentlich zu analysierende Dateien zerstören kann. Werkzeug der Wahl sind also Linux-Systeme, die mit strengen Einstellungen so konfiguriert sind, dass sie Datenträger nicht automatisch einbinden. Eine zweite Regel ist, dass möglichst viele Werkzeuge zur Anwendung kommen sollen, deren Arbeitsweise absolut nachvollziehbar ist. So eignen sich Linux-Systeme zum einen wegen der freien Quellcodes, = und zum anderen wegen der vielen spezialisierten Werkzeuge sehr gut.
Der erste Schritt ist dann die Erstellung eines blockweisen Images der kompletten Platte. Platzsparende logische Images, die nur die Dateisystemstruktur und die aktuell referenzierten Dateien enthalten, sind verpönt, da sie zwischenzeitlich gelöschte Dateien und Spuren von vor der letzten Formatierung ignorieren. Das bedeutet, dass das Image zunächst so groß ist, wie der zu untersuchende Datenträger und das Imaging entsprechend lange dauert. Für eine zwei Terabyte große NAS-Platte kann das Imaging alleine zehn Stunden dauern; die anschließende Erstellung der Prüfsumme über Image und Original ähnlich lange. Stimmen die Prüfsummen überein, werden diese protokolliert und der originale Datenträger wird archiviert.

Suche in Dateien und Schattenkopien

Erste Anlaufstelle für den Forensiker sind natürlich die vorhandenen Dateien. Sie werden gelistet, und, wenn sie relevant erscheinen, auch extrahiert. Bei Verdachtsfällen der Kinderpornografie werden beispielsweise alle Bilddateien kopiert; geht es um Wirtschaftskriminalität Office-Dateien und Datenbanken. Was viele nicht wissen: Dateisysteme wie NTFS beherrschen Versionierung. Windows nutzt dieses Feature für die Schattenkopien, welche vor jedem Update angelegt werden. Häufig kann man gelöschte Dateien Monate nach der Löschung über diese Schattenkopien wiederherstellen – inklusive aller Metadaten wie Zeitstempel und Pfadangaben. Bei der Protokollierung gefundener Dateien muss auch Entlastendes berücksichtigt werden, beispielsweise, ob kompromittierende Daten durch Backdoors oder ähnliches auf den Rechner geschleust wurden.
In einem nächsten Schritt steht die Suche nach gelöschten Dateien in vermeintlich unbelegten Blöcken an. Auf normalen Festplatten und USB-Sticks werden Dateien bei der Löschung in der Regel nicht überschrieben, sondern schlicht dereferenziert und eher zufällig in Zukunft einmal überschrieben. Sind die Daten recht zusammenhängend abgelegt, lassen sie sich oft anhand typischer Signaturen am Dateianfang wiederherstellen.

Eine Datei sagt nicht viel

Was so gefundene Dateien wert sind, hängt vom Kontext ab. Beispielsweise, ob man im Verlauf von Browser oder Mail-Client Hinweise auf den verwendeten Dateinamen findet. Ohne solcher Hinweise bleibt der Beweiswert fraglich – was dann von Staatsanwälten oder schließlich Richtern beurteilt werden muss. Hat beispielsweise der Buchhalter eines Unternehmens ein Notebook vom Geschäftsführer übernommen und dieses wurde ohne totale Löschung frisch installiert, ist oft mehr als fraglich, wem eine bestimmte Excel-Tabelle zuzuordnen ist, welche für ein Verfahren in einer Wirtschaftsstrafsache relevant ist.
Ein Forensiker von Ontrack betonte uns gegegenüber, wie wichtig andere Spuren bestimmter Dateien sind, um beispielsweise auf die Frage eines gegnerischen Anwaltes, ob eine Datei möglicherweise platziert wurde, mit einem klaren Ja (es wurden keine weiteren Spuren) oder mit Sehr unwahrscheinlich (die Datei wurde mehrfach in Office-Anwendungen geöffnet) beantwortet werden muss.

Grenzen der Forensik

Moderne Technik setzt der forensischen Arbeit immer wieder Grenzen. Die zunehmende Verwendung von SSDs hat beispielsweise zur Folge, dass die regelmäßige Performance-Optimierung per TRIM-Befehl gelöschte Dateien nach einer Weile tatsächlich verschwinden lässt; die Suche in unbelegten Blöcken also nur noch Dateien findet, die vor sehr kurzer Zeit gelöscht wurden. Auch werden bei Rechnern mit Trusted Platform Module Passwort-Datenbanken vieler Browser automatisch mit einem per Login-Passwort entsperrten Schlüssel im TPM verschlüsselt. Via Image kommt man an die Inhalte dieser Dateien nicht heran. Problematisch für Forensiker ist auch Verschlüsselung, egal ob mit Windows Bitlocker, Veracrypt oder Linux Luks. Immer sind die Schlüssel im Header des verschlüsselten Laufwerkes enthalten, dieser ist meist mit einem Passwort verschlüsselt. Im Falle von Bitlocker kommt mitunter das TPM hinzu, das möglicherweise dafür sorgt, dass der Zugriff aufs Laufwerk nur mit dem Notfallschlüssel (oft bei Microsoft hinterlegt!) möglich ist. Um den Laufwerkszugriff alleine mit Passphrase zu versuchen, bieten sich Brute-Force-Attacken an, die nur mit relativ einfachen Passwörtern funktionieren oder Listen von Passwörtern, die Hacker erbeutet haben. Findet sich dort beispielsweise eine der E-Mail-Adressen der Person, deren Computer ausgewertet werden soll, stehen die Chancen recht gut, dass das enthaltene Passwort oder Abwandlungen davon passen. Ein weiterer Angriffsvektor sind Windows-Login-Passwörter, die sich oft sehr gut mit Hilfe von Regenbogentabellen (vorkompilierte Passwortlisten) knacken lassen.

Selbst gemacht: Gelöschte Daten wiederherstellen

Zuerst entsteht eine Image-Datei, auf der Sie dann – nur lesend – nach Dateien suchen, die nicht in der Master File Table referenziert sind. Sortiert wird per Script.

1. Image erstellen
Binden Sie eine externe Festplatte (NTFS- oder ext4-formatiert) schreibbar ein, und ermitteln Sie mit dem Befehl lsblk den Namen der internen Festplatte. Anschließend erstellen Sie das Image. Die Zieldatei liegt auf der externen Platte: ddrescue /dev/sda /media/sdb1/sda.img

2. Photorec starten
Starten Sie das Programm qphotorec. Wählen Sie im Dropdown-Menü Add a raw disk image… und dann das neu erstellte Image. Anschließend wählen Sie die zu durchsuchenden Partitionen und schließlich einen Ordner für wiederhergestellte Daten. Da nur gelöschte Daten wiederhergestellt werden sollen, setzen Sie das Häkchen Free: Scan unallocated space only.

3. Daten sortieren
Sie können nun das Script photorec-sorter.sh unter Angabe des Ordners mit den wiederhergestellten Daten aufrufen. Es sortiert Fotos, Office-Dokumente und Audio-Dateien nach Metadaten wie Aufnamedatum. Das zugrundeliegende Ruby-Script können Sie anpassen.

Qphotorec ist eine komfortable GUI-Version von Photorec zur Datenbergung.


Wenn etwa Fotos nach Aufnahmeort sortiert werden sollen, passen Sie das Script an.


Was ist erlaubt?

§ 202c StGB ist seit zehn Jahren Anlass für Kontroversen, da er breit ausgelegt werden kann.

Hackerparagraph verunsichert
§ 202c stellt den Besitz und die Verbreitung von Werkzeugen unter Strafe, deren Zweck es ist, Daten und Passwörter auszuspähen. Bei den hier vorgestellten Werkzeugen bestimmt – wie bei einem Messer – letztlich der Anwender den Zweck. Absolut unkritisch ist demnach die Untersuchung der eigenen EDV auf Sicherheitslücken und ähnliches, denn davon sind ja keine fremden Daten betroffen. Wer im Auftrag von Freunden deren Netze oder Computer prüft, sollte die verwendeten Tools und die durchgeführten Schritte dokumentieren.

Datenbergung auf unverschlüsselten Festplatten

Schematischer Aufbau der Datenablage auf einer Festplatte mit konventionellen Dateisystemen wie NTFS, FAT oder ext3/4: Eine Dateizuordnungstabelle am Anfang des Datenträgers enthält Verweise auf die Startadresse von Dateien. Gelöschte Dateien werden zunächst nur dereferenziert (rot), sind also anhand ihrer Signatur wiederherstellbar, bis sie überschrieben oder per SATA-Trim (nur SSD) freigegeben werden.


Was geht am Smartphone?

Moderne Smartphones verschlüsseln die gespeicherten Daten; hier müssen Forensiker tüfteln.

Sicherheitslücken öffnen Türen
Früher genügte es, die eMMC auszulöten und mit einem speziellen Adapter auszulesen. Diese Zeiten sind längst vorbei. Das Auslesen von Smartphones funktioniert fast ausschließlich über den Lightning- oder USB-Port; und auch hierfür muss eine ausnutzbare Lücke vorhanden sein, was den Anteil so auslesbarer Smartphones deutlich einschränkt. Ein Forensiker von Ontrack erklärte uns, dass solche Lücken oft bei Software-Updates geschlossen werden und man daher im Regelfall zunächst versuche, an Backups zu gelangen, wie sie beispielsweise mit ITunes erstellt werden können oder bei Android in der Cloud gespeichert werden.

Hoher Preis, große Versprechen: Tools wieMSAB XRY nutzen Sicherheitslücken aus.


Selbst aktiv werden

Testen Sie einmal bei einem unverschlüsselten Rechner, vorzugsweise einem Notebook mit nicht allzu großer Festplatte, welche Daten Sie extrahieren können. Sie benötigen dafür ein Live-Linux wie CAINE (basierend auf Ubuntu 16.04) oder Less-Linux (Linux from Scratch, etwas moderner). Beide enthalten viele Forensik-Tools und erfordern es, dass der Anwender explizit bestätigt, wenn er ein Medium schreibbar einbinden möchte. Das Forensik-Linux sollte nach Herstellervorgabe auf einen USB-Stick installiert werden. Als Ziellaufwerk für Images und extrahierte Daten sollte eine schnelle USB-Festplatte mit mehr als dem zweifachen freien Speicherplatz im Verhältnis zur Größe der zu analysierenden Festplatte verwendet werden.
Im nächsten Schritt gilt es, die Laufwerke… für alle drei Laufwerke liefert alle relevanten Daten für die Zuordnung. Dann können Sie die USB-Festplatte schreibbar einbinden: zu ermitteln. In der Regel hat die interne Platte /dev/sda, der beim Boot anwesende USB-Stick /dev/sdb und die zuletzt angestöpselte USB-Festplatte /dev/sdc. Da die folgenden Befehle Root-Rechte benötigen, stellen Sie ein sudo voran (CAINE) oder führen Sie sie in einer Rootshell aus (Less-Linux). Zunächst gilt es, Laufwerksgröße und Partitionierung zu ermitteln:
parted -s /dev/sda print
…für alle drei Laufwerke liefert alle relevanten Daten für die Zuordnung. Dann können Sie die USB-Festplatte schreibbar einbinden:
mkdir /media/sdc1
mount /dev/sdc1 /media/sdc1
Nun entsteht ein blockweises Image:
ddrescue /dev/sda /media/sdc1/sda.img
Die Verwendung von ddrescue hat den Vorteil, dass auch von beschädigten Festplatten weitgehend problemlos Images erstellt werden können. Das reguläre dd würde bei einem Fehler aussteigen. Im Prinzip können Sie nun alle weiteren Arbeiten an einem anderen PC durchführen. Aus Gründen der einfacheren Arbeit zeigen wir aber noch einige weitere Werkzeuge mit der internen Platte. Das erspart uns, Laufwerkszuordungen an der Image-Datei vornehmen zu müssen. Viel Aufschluss bieten die Schattenkopien. LessLinux bietet hierfür ein via Menü zugängliches Tool, um Schattenkopien als Laufwerk (nur lesbar) einbinden zu können, unter anderen Distributionen müssen Sie sich mit der Kommandozeilensyntax von vshadowmount vertraut machen. Natürlich findet man in den Schattenkopien viele „bekannte“ Dateien. Forensiker pflegen daher meist Sammlungen von Scripten, mit denen sich Dubletten anhand identischer Namen und Prüfsummen identifizieren lassen.

Zugriff auf Mails: libpst

Nicht ganz einfach ist der Zugriff auf Mails in Outlook-Postfächern. Microsoft dokumentiert das PST-Format nur spärlich. Doch die libpst gewährt den Zugriff, das beglei-tende Kommandozeilentool readpst konvertiert Outlook-Mailboxen in das unter Unix verbreitete Mbox-Format in Einzeldateien oder in Thunderbirds Mbox-Dialekt. So extrahierte Mailboxen können leicht mit Scripten durchsucht werden oder bequem in Thunderbird sortiert und gelesen werden. LessLinux bringt dafür einen kleinen Assistenten mit: readpst.

Alles unter einer Oberfläche – Programme, wie das freieAutopsy , sortieren vor und gewähren einen Überblick, sind aber kein Ersatz für Spezialwerkzeuge.


Schattenkopien (Virtual Shadow Snapshots) ermöglichen Zeitreisen im Dateisystem – wurden Dateien seit dem letzten Windows-Update gelöscht?


Alles unter einer GUI: Autopsy

Mit der Kommandozeilen-Werkzeug-Sammlung Sleuthkit und dem grafischen Frontend Autopsy steht eine Werkzeugsammlung zur Verfügung, welche Forensik unter einer einheitlichen Oberfläche verfügbar macht. Das erleichtert die Suche in Daten und Metadaten und schafft Überblick über Archive, Dokumente und Datenbanken. Autopsy versteht sich dabei nicht als Ersatz für Scriptsammlungen und Kommandozeilentools; wohl aber als sehr gute Anlaufstelle für einen ersten Überblick und führt insbesondere Daten sehr effizient zusammen, beispielsweise die Öffnungshistorie von Dateien (Windows Jumplist) zusammen mit Browserverläufen.
Und trotz besser werdender Tools, erklärt uns Forensik-Professor Holger Morgenstern von der Hochschule Albstadt-Sigmaringen, müssen seine Studenten sich in Dateisystemspezifika einarbeiten und einzelne Dateien per Hex-Editor finden.

Mit Mythen aufräumen…

Wer mit den Tools der Forensiker spielt, merkt schnell, welche Ergebnisse sich mit ein wenig Geduld fast von selbst erzielen lassen und wo moderne Verschlüsselungstechnik Grenzen setzt. Die Werkzeuge im Film, welche Passwörter in Sekunden knacken, lassen den Forensiker, der mit einem verschlüsselten Datenträger konfrontiert wird, bestenfalls laut lachen. Er selbst muss in unverschlüsselt zugänglichen Daten, etwa einer Firefox-Logindatenbank, nach möglicherweise auch für den verschlüsselten USB-Stick verwendeten Passwörtern suchen. Echte Detektivarbeit eben. Auch wird der Forensiker, welcher nach dem Erstellen eines Images nur binäre Nullen sieht, das Image zur Seite legen und nichts damit tun. Die Mär des siebenfachen Überschreibens mit Zufallszahlen war einmal zu den Zeiten von Acht-Zoll-Disketten angemessen, als beim Formatieren auch Spurinformationen geschrieben wurden. Heute sind wir bei SSDs so weit, dass der richtige TRIM-Befehl einen kompletten Datenträger restlos löschen kann. Zumindest hier näherte sich die Wirklichkeit in den letzten Jahren der Fiktion an.

…und eigene Lehren ziehen

Wenn Sie mit frei zugänglichen Werkzeugen an viele Ihrer Daten auf dem Notebook herankommen, dann kann es ein Dieb genauso. Oder der US-Grenzbeamte, der während einer Befragung Ihr Notebook eine halbe Stunde ins Nebenzimmer mitnimmt. Für die geplante Reise nach Neuseeland oder in die USA bietet sich daher das frisch aufgesetzte Notebook mit bestenfalls einem Alibi-E-Mail-Account und Browserverlauf an; für Zugreisen hierzulande sollte es wenigstens die Verschlüsselung von Datenpartitionen und externen Laufwerken sein. Sollte wirklich der Fall eintreten, dass Ihre Datenträger und Ihr Notebook einmal (berechtigter Weise oder nicht) beschlagnahmt werden, haben Sie noch immer die Wahl: Passwörter herausgeben und so die Hardware schneller zurückerhalten oder stur bleiben und Geduld haben.

Tools für die Forensik

Für forensische Untersuchungen kommen häufig aktiv entwickelte Open-Source-Programme zum Einsatz. Hier unsere Tipps:

CAINE
Ubuntu basierte Distribution mit vielen Forensik-Toolswww.caine-live.net

LessLinux Search and Rescue
Rettungs- und Notfall-Linux, welches ebenfalls Forensik-Werkzeuge mitbringtblog.lesslinux.org

PhotoRec/Qphotorec
Carver für Dateiwiederherstellung anhand typischer Signaturen, unterstützt hunderte Dateitypen (auf Heft-DVD)

Sleuthkit
Analysescripte und -bibliothek für Festplattenimages, unterstützt Metadatenauswertungwww.sleuthkit.org

Autopsy
Grafisches Frontend zu Sleuthkit, welches die detaillierte Auswertung und Aufbereitung akquirierter Daten unterstützt

John the Ripper
Brute-Force-Passwort-Werkzeug für Windows-Passwörter (und andere, bspw. FTP oder Linux), das mit Wortlisten arbeitetwww.openwall.com/john

FRED
Forensischer Registry Editor, der die Analyse der Windows-Registry erlaubtwww.pinguin.lu/fred