BACHELORARBEIT Anwendung eines Kriterienkatalogs am Beispiel kommerzieller und frei verfügbarer Werkzeuge für die digitale Forensik ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BACHELORARBEIT
Herr
Sandro Martens
Anwendung eines Kriterienkata-
logs am Beispiel kommerzieller
und frei verfügbarer Werkzeuge
für die digitale Forensik
2019
Fakultät Angewandte Computer- und
Biowissenschaften
BACHELORARBEIT
Anwendung eines Kriterienkata-
logs am Beispiel kommerzieller
und frei verfügbarer Werkzeuge
für die digitale Forensik
Autor:
Sandro Martens
Studiengang:
Allgemeine und digitale Forensik
Seminargruppe:
FO15w3-B
Erstprüfer:
Prof. Dr. rer. pol. Dirk Pawlaszczyk
Zweitprüfer:
Dipl.-Inf. Pascal Brückner
Mittweida, August 2019
Bibliografische Angaben Martens, Sandro: Anwendung eines Kriterienkatalogs am Beispiel kommerzieller und frei ver- fügbarer Werkzeuge für die digitale Forensik, 71 Seiten, 25 Abbildungen, 11 Tabellen, Hoch- schule Mittweida, University of Applied Sciences, Fakultät Angewandte Computer- und Biowis- senschaften Bachelorarbeit, 2019 Dieses Werk ist urheberrechtlich geschützt. Satz: LATEX Referat In der Arbeit werden zwei weit verbreitete Computer-Forensik-Tools verglichen und bewertet. X-Ways Forensics und Autopsy wurden als beispielhafte Vertreter der Kategorien „proprietäre Tools“ sowie „freie Tools“ gewählt. Es werden anhand eines Kriterienkatalogs und verschiedener Test-Szenarien die einzelnen Funktionen systematisch evaluiert.
I I. Inhaltsverzeichnis Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II Tabellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Zielstellung der Arbeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Kapitelüberblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2 Grundlagen der IT-Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1 Definition von Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2 Zweck der Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3 Digitale Spuren und das Austauschprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.4 Ablauf einer forensischen Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.5 Arten von Beweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.6 Dokumentation und Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.7 Open Source oder kommerzielle Software? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3 Der Kriterienkatalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.1 Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.2 Anpassungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 3.3 Aufbau eines Kriteriums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.4 Bewertungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.5 Änderungen an den bestehenden Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.5.1 Veränderte Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3.5.2 Neu hinzugefügte Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4 Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 4.1 Methodik. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 4.2 Vorstellung der Werkzeuge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 4.2.1 X-Ways Forensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
I 4.2.2 Autopsy/TSK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 4.3 Bewertungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 4.3.1 X-Ways Forensics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 4.3.2 TSK/Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.4 Interpretation der Ergebnisse und Vergleich mit verwandten Arbeiten . . . . . . . . . . . . . . . . . . . . 51 5 Zusammenfassung und Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 A Beispielberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 A.1 X-Ways Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 A.2 Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
II II. Abbildungsverzeichnis 1.1 Entwicklung der Computerkriminalität [PKS, 2018] S. 180 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Fälle von Cybercrime 2017 [Bundeslagebild, 2017] S. 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 Täter bei Fällen von Cybercrime in Unternehmen [Berg; Maaßen, 2017] S. 6 . . . . . . . . . . 3 2.1 Zusammenhang zwischen Tatort, digitaler Spur und Daten [Labudde; Spranger, 2017] S. 116 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3.1 Schematische Darstellung der Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 4.1 Übersicht der Online-Hilfe von X-Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 4.2 Auswahl der Analysemodule bei X-Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.3 Darstellung der unterschiedlichen Zustände von Dateien und Verzeichnissen bei X- Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.4 Papierkorb im Hacking Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4.5 Darstellung umbenannter Office-Dokumente bei X-Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.6 Ausschnitt einer verdächtigen E-Mail-Konversation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.7 Übersicht über Zeitstempel bei X-Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4.8 Übersicht der Online-Hilfe von Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.9 Auswahl der Analysemodule bei Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.10 Gecarvte Dateien in Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.11 Darstellung von Dateien mit zugehörigen Slackbereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.12 ADS von Web-Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.13 Suchergebnisse einer Suche nach URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 4.14 Der Timeline Editor von Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 A.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 A.2 Protokollauszug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 A.3 Registry-Bericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 A.4 Die einzelnen Reiter des Reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 A.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 A.6 Markierte Ergebnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
III III. Tabellenverzeichnis 3.1 Abstufungen für die Gewichtung von Teilkriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2 Abstufungen für den Erfüllungsgrad einzelner Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 4.1 Beschreibung des Image im Hacking Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 4.2 Beschreibung der Images im Data Leakage Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 4.3 Übersicht aller Bewertungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.3 Übersicht aller Bewertungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 A.1 Operating System Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 A.2 Zuletzt geöffnete Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 A.3 Markierte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 A.4 Angeschlossene USB-Sticks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 A.5 Suchanfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 A.6 Suchanfragen [Fortsetzung] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
IV
IV. Abkürzungsverzeichnis
ADS . . . . . . . . . . . . . . Alternativer Datenstrom, Seite 29
MAC-Zeiten . . . . . . . Modified-, Accessed- und Created/Changed (je nach Kontext) -Zeit, Sei-
te 35
PKS . . . . . . . . . . . . . . . Polizeiliche Kriminalstatistik, Seite 1
RAM . . . . . . . . . . . . . . Random Access Memory, Seite 16
StGB . . . . . . . . . . . . . . Strafgesetzbuch, Seite 1
TSK . . . . . . . . . . . . . . . The Sleuth Kit, Seite 21
TV . . . . . . . . . . . . . . . . Tatverdächtige, Seite 11
1 Einleitung
1.1 Motivation
Durch die ständig fortschreitende Digitalisierung und Globalisierung nimmt die Gefahr
von Hackerangriffen sowohl bei Firmen und Behörden als auch bei Privatpersonen kon-
stant zu. Einerseits werden anhaltend Daten digitalisiert und stehen damit Hackern zur
Verfügung, andererseits sind diese Daten von überall auf der Welt aus über das Internet
zugänglich.
Im folgenden wird ein kurzer Überblick über das Thema Cyberkriminalität in Deutschland
gegeben. Als Grundlage dafür dienen die PKS sowie das Bundeslagebild Cybercrime,
beides herausgegeben vom Bundeskriminalamt.
Computerkriminalität umfasst eine Vielzahl von Straftatbeständen [PKS-Summenschlüssel,
2019], S. 6, so zum Beispiel:
• Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenver-
arbeitung §§ 269, 270 StGB
• Datenveränderung, Computersabotage §§ 303a, 303b StGB
• Ausspähen, Abfangen von Daten einschl. Vorbereitungshandlungen gemäß §§
202a, 202b, 202c StGB
• Computerbetrug nach § 263a StGB (Cybercrime im engeren Sinne):
– Betrügerisches Erlangen von Kfz § 263a StGB
– Weitere Arten des Warenkreditbetruges § 263a StGB
– Computerbetrug mittels rechtswidrig erlangter Zahlungskarten mit PIN § 263a
StGB
Wie die PKS zeigt, nimmt die Computerkriminalität seit 2006 konstant zu, während die
Aufklärungsquote konstant bleibt oder sogar leicht abnimmt. Dies ist in Abbildung 1.1
auf der nächsten Seite12 zu sehen.
Die Aufteilung nach den einzelnen Straftatbeständen 2017 wird in Abbildung 1.2 auf der
nächsten Seite dargestellt3 .
1
TV: Abkürzung für Tatverdächtige
2
Die Lücken 2009, 2014 und 2016 sind auf Veränderungen der Erfassungsmodalitäten zurückzuführen,
durch welche die Zahlen nicht vergleichbar sind.
3
Die Differenz der Gesamtzahlen zu Abbildung 1.1 ergibt sich daraus, dass in der PKS viele Delikte
als Computerbetrug gezählt wurden, welche bei genauerer Recherche kein „Cybercrime im engeren
Sinne“ darstellten.2
Abbildung 1.1: Entwicklung der Computerkriminalität [PKS, 2018] S. 180
Abbildung 1.2: Fälle von Cybercrime 2017 [Bundeslagebild, 2017] S. 7
Laut einer bitkom-Studie entstand 2017 ein Schaden von 55 Milliarden Euro bei deut-
schen Firmen [Berg; Maaßen, 2017]. Der größte Teil der Täter besteht dabei aus aktu-
ellen oder ehemaligen Mitarbeitern, gefolgt von dem unternehmerischen Umfeld (Wett-
bewerber, Kunden, Lieferanten, Dienstleister) und Hobby-Hackern (s. Abbildung 1.3 auf
der nächsten Seite).
Diese Daten zeigen, dass Cyberkriminalität in Deutschland ein ernst zu nehmendes
Problem darstellt.
Die digitale Forensik beschäftigt sich mit der Spurenanalyse von Computersystemen.
Sie ist die Grundlage, um Beweise zu sammeln, welche zur Aufklärung von Straftaten
und anderen Vorfällen benötigt werden. Computerforensische Analysen dienen dabei
einerseits dazu, um Angriffe auf IT-Systemen nachzuweisen und aus Opfersicht zurück-
zuverfolgen und andererseits dazu, um auf Geräten eines möglichen Angreifers getätig-
te Handlungen nachzuvollziehen.3
Abbildung 1.3: Täter bei Fällen von Cybercrime in Unternehmen [Berg; Maaßen, 2017] S. 6
Um diese Analysen durchzuführen, besteht ein dringender Bedarf nach immer leis-
tungsfähigerer Software. Diese Software muss sich immer weiterentwickeln, um neue
Spuren in Betriebssystemen und Anwendungen analysieren zu können und Ermittlern
möglichst viel manuelle Arbeit automatisiert abnehmen zu können.
Die Hersteller beider Tools geben an, speziell für Strafverfolgungsbehörden geeignet
zu sein. Das Sächsische Innenministerium gab 2016 an, sowohl X-Ways als auch „frei
erhältliche Tools und Software [...] z. B. [...] Toolsammlungen wie "Sleuthkit" o. ä.“ zu
verwenden [Klepsch, 2016].
1.2 Zielstellung der Arbeit
In dieser Arbeit sollen die beiden Forensik-Tools X-Ways Forensics (X-Ways) und Au-
topsy in ihrer Leistungsfähigkeit in forensischen Analysen von Bitstream-Images und
RAM-Dumps4 verglichen werden. Basierend auf einem Kriterienkatalog sollen die ver-
schiedenen Aspekte einer forensischen Analyse evaluiert und am Ende in einem über-
sichtlichen Vergleich zusammengefasst werden.
Diese Arbeit soll unter Anderem die Unterschiede zwischen offener und proprietärer
Software zeigen sowie prüfen, in wie man einzelne Tools kombinieren kann, um deren
die Stärken zu nutzen und Schwächen zu umgehen. Die beiden Tools wurde ausge-
wählt, da sie weit verbreitet sind und aufgrund ihrer Lizenzmodelle sehr unterschiedliche
Vertriebsmodelle verwenden.
Diese Evaluation soll kein technisch tiefgründiger Test sein, da dies den Rahmen ei-
ner solchen Arbeit weit übersteigen würde. Stattdessen sollen die aus Anwendersicht
4
Dies sind bitgenaue 1:1-Kopien eines Datenträgers bzw. des Arbeitsspeichers eines Computers4 wichtigsten Funktionen quantitativ in ihrer Wirkungsweise bewertet werden. 1.3 Kapitelüberblick Im folgenden Kapitel 2 werden zunächst einige Grundlagen der IT-Forensik erklärt, auf welchen die späteren Analysen aufbauen. In Kapitel 3 wird der verwendete Kriterienkatalog für den Vergleich vorgestellt sowie das Bewertungssystem erläutert. In Kapitel 4 folgen die Evaluationsergebnisse der einzelnen Tests sowie eine Zusam- menfassung und Vergleich mit verwandten Arbeiten. In Kapitel 5 folgt ein Ausblick über weitere Forschungsmöglichkeiten und ein Fazit.
5
2 Grundlagen der IT-Forensik
In diesem Kapitel werden die Grundlagen computerforensischer Analysen erläutert, wie
sie für die spätere Evaluation benötigt werden.
2.1 Definition von Forensik
Der Begriff Forensik stammt ursprünglich aus dem Lateinischen von dem Begriff Fo-
rum. Das Forum war der Marktplatz, auf welchem sich Gerichtsverhandlungen abspiel-
ten. „Forensik“ beziehungsweise das Adjektiv „forensisch“ bezeichnen also immer einen
Bezug zum Rechtssystem.
„Die Forensik umfasst alle Arbeitsgebiete, die strafrechtlich und zivilrechtlich
relevante Handlungen identifizieren, ausschließen, analysieren und rekon-
struieren.“ [Labudde; Spranger, 2017] S. 5.
Das BSI definiert speziell die IT-Forensik wie folgt:
„IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf
Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter
Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbeson-
dere aus der Sicht des Anlagenbetreibers eines IT-Systems.“ [LF IT-Forensik,
2011] S. 8.
Die Forensik muss dabei abgegrenzt werden von anderen Disziplinen auf diesem Ge-
biet. Die Forensik umfasst keine Maßnahmen, um Angriffe zu erkennen und zu verhin-
dern. Des weiteren gehört die rechtliche Einordnung und die Behebung von Sicherheits-
vorfällen nicht zur Forensik. Computerforensische Untersuchen finden klassischerweise
statt, nachdem ein Sicherheitsvorfall erkannt oder ein Verbrechen angezeigt wurde. Die
Ergebnisse dienen als Grundlage für spätere Beantwortung juristischer Fragen und die
Behebung und Aufarbeitung von Schäden.
2.2 Zweck der Forensik
Laut [LF IT-Forensik, 2011] S. 22 ist das Ziel einer forensischen Analyse, aus gegebenen
Beweismitteln mittels wissenschaftlicher Methoden Schlussfolgerungen zu ziehen. Dies
dient zur Beantwortung der folgenden Fragen:
• Was ist geschehen?
• Wo ist es passiert?
• Wann ist es passiert?
• Wie ist es passiert?6
Abbildung 2.1: Zusammenhang zwischen Tatort, digitaler Spur und Daten [Labudde; Spranger,
2017] S. 116
Außerdem können folgende Fragen relevant werden:
• Wer hat es getan?
• Was kann gegen eine Wiederholung getan werden?
Dabei müssen grundsätzlich immer sowohl belastende als auch entlastende Beweise
für eine gegebene Hypothese gesammelt werden.
2.3 Digitale Spuren und das Austauschprinzip
In der klassischen Forensik werden physische Spuren wie zum Beispiel Blutspritzer, Fin-
gerabdrücke oder Faserreste betrachtet. Die digitale Forensik dagegen hat sich auf die
Analyse von elektronischen bzw. digitalen Spuren spezialisiert. [Casey, 2011] definiert
digitale Spuren wie folgt:
„Digitale Spuren (digital evidence) sind Spuren, die auf Daten basieren,
welche in Computersystemen gespeichert oder übertragen worden sind.“
Eines der grundlegenden Prinzipien der modernen Forensik ist das Austauschprinzip
von Dr. Edmond Locard. Dieses Austauschprinzip sagt aus, dass bei jeder Interakti-
on zwischen Täter und Tatort der Täter etwas mitnimmt und etwas zurücklässt. Diese
Spuren sind immer vorhanden, sie können nur durch den Verlauf der Zeit oder mensch-
lichen Einfluss unbrauchbar werden oder mangels technischer Ausstattung übersehen
werden.
In der klassischen Forensik können dies zum Beispiel Fingerabdrücke auf einer Schuss-
waffe und Schmauchspuren auf der Hand des Schützen sein. In der digitalen Forensik
beschreibt dieser Austausch von Spuren zum Beispiel Protokolldateien oder Reste von
gelöschten Daten auf einem Datenträger. Abbildung 2.1 zeigt den Zusammenhang zwi-
schen Spuren, Daten und dem Tatort.7
2.4 Ablauf einer forensischen Analyse
Computerforensische Analysen können grundsätzlich in Live- und Post-Mortem-Forensik
unterschieden werden. Diese werden nach dem Zeitpunkt der Untersuchung eingeord-
net. Post-Mortem-Analyse geschieht nach einem Vorfall und findet im Wesentlichen
durch Untersuchung von Datenträgerabbildern auf nicht flüchtige Spuren statt. Live-
Forensik beginnt noch während der Laufzeit des Vorfalls. Hier wird versucht, flüchtige
Daten zu gewinnen und zu untersuchen [LF IT-Forensik, 2011] S. 13.
In dieser Arbeit wird nur die nachträglich Post-mortem-Analsye betrachtet.
Im einfachsten Fall wird eine Ermittlung in drei Phasen unterteilt [Labudde; Spranger,
2017] S. 10:
1. Securephase
Sorgfältige Erfassung aller Daten
2. Analysephase
Sorgfältige Überprüfung und objektive Bewertung der gesicherten Spuren und
Beweise
3. Präsentationsphase
Nachvollziehbare Darlegung des Ermittlungsprozesses
Dieses Modell wird auch als SAP-Modell bezeichnet.
Digitalforensische Analysen unterscheiden sich von klassischen Ermittlungen durch die
Wahl der Werkzeuge und der analysierten Beweismittel. Die allgemeine Vorgehenswei-
se ist identisch und kann direkt übertragen werden.
Die in dieser Arbeit durchgeführten Tests beziehen sich nur auf die Analyse- und Prä-
sentationsphase. Es wird vorausgesetzt, dass die zu analysierenden Images schon ex-
trahiert und in ein zur Weiterverarbeitung geeignetes Format gebracht wurden.
Da die Analysephase sehr technisch sind, ist sie immer ähnlich, egal um was für eine
Ermittlung es sich handelt (polizeilich, militärisch, firmenintern). Bei Präsentationspha-
se dagegen kommt es abhängig vom Kontext auf vollkommen unterschiedliche Schwer-
punkte an. So ist die Fragestellung bei einem Gerichtsprozess, ob ein Verbrechen be-
gangen wurde und die Zielgruppe besteht aus Richtern und Anwälten. Dagegen ist
während einer Firmenermittlung zum Beispiel vor dem Vorstand und dem Betriebsrat
zu klären, ob ein Mitarbeiter entlassen wird [Carrier, 2002] S. 3.
2.5 Arten von Beweisen
Während der Analysephase werden aus gesammelten Daten Beweise gesammelt. Es
existieren drei Hauptgruppen von Beweisen [Carrier, 2002] S. 2:
• Belastende Beweise
Unterstützen eine gegebene Theorie8
• Entlastende Beweise
Wiedersprechen einer gegebenen Theorie
• Manipulationsbeweise
Können keiner Theorie zugeordnet werden, aber zeigen, dass das System mani-
puliert wurde, um Identifikation zu vermeiden
Diese Phase umfasst unter anderem das Analysieren von Dateisystemen, die Wieder-
herstellung gelöschter Daten und die Extraktion von Metadaten. Diese Phase benutzt
eine 1:1-Kopie des Datenträgers und sollte durch Hash-Werte verifiziert werden.
2.6 Dokumentation und Reporting
Um diese verschiedenen Anwendungsfälle abzudecken, ist es wichtig, dass ein Forensik-
Tool die verschiedensten Arten von Daten in Berichten ausgeben kann.
Einer der wichtigsten Grundsätze bei der Beweiswürdigung vor Gericht ist die Nachvoll-
ziehbarkeit der Analysen in einem forensischen Gutachten. Das heißt, sämtliche Vor-
gehensschritte müssen ausführlich dokumentiert werden, so dass ein Richter oder ein
weiterer Gutachter den kompletten Vorgang rekonstruieren können. Aus diesem Grund
muss die Arbeitsweise von Forensik-Software möglichst transparent sein, um die Be-
weiskette nicht zu unterbrechen, sondern vollständig nachvollziehen zu können.
Ein Forensik-Tool sollte daher die Möglichkeit bieten, umfassende Informationen über
die getätigten Analyseschritte auszugeben. Der Ermittler sollte in der Lage sein, über-
sichtlich darzustellen, welche Handlungen vorgenommen wurden und welchen Ursprung
sämtliche Analyseergebnisse haben.
2.7 Open Source oder kommerzielle Software?
Einer der Neben den offensichtlichen finanziellen Interessen gibt es einige weitere Ar-
gumente, welche abgewogen werden müssen, bevor man sich für die Anwendung eines
speziellen Tools entscheidet. Diese sollen nun kurz zusammengefasst werden.
Kommerzielle Software wird unter einem gewinnorientierten Interesse vertrieben. Daher
haben Hersteller wenig Interesse daran, ihre Algorithmen offenzulegen. Open Source
Software dagegen steht für jeden zur Einsicht zur Verfügung. Aus diesem Grund ist sie
deutlich leichter zu validieren.
Carrier beschreibt eine mögliche Kompromisslösung [Carrier, 2002]. Er unterteilt Tools
in zwei Rollen: Extraktionstools und Präsentationstools. Extraktionstools verarbeiten
Daten und extrahieren eine Teilmenge davon. Präsentationstools verarbeiten den Out-
put eines Extraktionstools und bringen diese Daten in ein sinnvolles Format. Ein Tool
kann beide oder nur eine der Rollen einnehmen.
Um einerseits wettbewerbsfähig und andererseits transparent zu arbeiten, schlägt er
vor, dass die Codebasis zur Extraktion entweder direkt Open Source gewählt wird oder
zumindest öffentlich dokumentiert wird. Somit kann leicht sichergestellt werden, dass9 sämtliche Daten korrekt extrahiert werden. Algorithmen zur Präsentation könnten dann proprietär bleiben, ohne die Integrität der Daten zu gefährden. Somit könnten sich sogar mehrere Anbieter eine gemeinsame öffentliche Codebasis zur Datenextraktion teilen, auf welche jeweils unterschiedliche Präsentationstools aufsetzen. Eine weitere Möglichkeit, Open Source und Closed Source Tools zu kombinieren, be- steht darin, ein proprietäres Tool mit einem Open Source Tool mit einer bekannten Feh- lerrate anhand eines standardisierten Tests zu vergleichen. Die Ergebnisse des Open Source-Tools dienen dann als Maßstab für die Qualität des proprietären Tools [Man- son et. al, 2007] S. 10. Dieses Vorgehen eignet sich außerdem, um besonders kritische Ergebnisse einer Ermittlung durch mehrere Tools zu validieren, um mögliche Fehler in einem der Tools zu erkennen. Zudem stellt Open Source dadurch eine geeignete Alternative dar, um Schwächen in anderen Programmen auszugleichen. Folglich soll in der Arbeit getestet werden, ob das Open Source Tool Autopsy in seinem Funktionsumfang mit einem kommerziellen Tool wie X-Ways nahekommen oder dieses sogar übertreffen kann.
10
11
3 Der Kriterienkatalog
In diesem Kapitel wird der für die Evaluation der beiden Programme angewendete Kri-
terienkatalog vorgestellt. Die Vorlage des Katalogs stammt aus der Diplomarbeit von
Leonhard Bär [Bär, 2005]. In dieser Arbeit wurde der Kriterienkatalog erarbeitet, um die
beiden Tools EnCase und TSK zu evaluieren. Diese Vorgehensweise soll an aktuellen
Tools wiederholt werden. Aufgrund des Alters des Katalogs wird er überarbeitet und
einige Kriterien hinzugefügt oder an den aktuellen Stand der Technik angepasst.
Der angewandte Kriterienkatalog ist dazu bestimmt, die Eignung eines Programms für
die Computerforensik zu bewerten. Er umfasst etwa dreißig Kriterien, welche möglichst
alle für eine Auswertung relevanten Funktionen umfassen sollen. Der Umfang wurde auf
die Analyse von Bitstream-Images von Festplatten und RAM-Dumps gelegt.
3.1 Struktur
Der Kriterienkatalog ist in einer Baumstruktur aufgebaut. Das Wurzelkriterium ist die
Gesamtbewertung des Werkzeugs. Unter diesem Wurzelkriterium liegen die vier Haupt-
kriterien, nach denen Bär das Werkzeug bewertet. Diese sind:
1. Anwender-Support
Bewertung der Fragen, ob Kontaktmöglichkeiten zum Softwareanbieter bestehen
und wie schnell dieser auf Anfragen reagiert.
2. Bedienung des Werkzeugs
Gesamte Interaktion zwischen Anwender und Software.
3. Protokollierung der Untersuchung
Lückenlose und nachvollziehbare Dokumentation der Untersuchung. Dieses Kri-
terium umfasst teilweise auch die Anforderungen der Präsentationsphase des
SAP-Modells.
4. Analyse
Funktionen, welche tatsächlich mit den Daten arbeiten. Allgemeine Anforderun-
gen wie Dateisystemunterstützung sind dabei höher gewichtet als eher spezielle
Anforderungen wie Browser-Analysen. Dieses Kriterium umfasst die Schritte der
Analysephase des SAP-Modells.
Unter diesen Hauptkriterien sind die Basiskriterien eingeordnet. Das Kriterium 3 ist da-
bei selbst ein Basiskriterium, da es keine weiter Unterkriterien hat. Außer dem Wurzel-12
Abbildung 3.1: Schematische Darstellung der Struktur
kriterium haben alle Kriterien genau ein übergeordnetes Kriterium. Die maximale Tiefe
eines Kriteriums ist zwei. Abbildung 3.1 zeigt die Struktur schematisch auf.
3.2 Anpassungsmöglichkeiten
Diese Struktur hat den Vorteil, dass man den Katalog sehr robust gegenüber Verände-
rungen ist, in dem zum Beispiel neue Kriterien hinzugefügt, vorhandene entfernt oder
die Gewichte verändert werden können. Bär hat an das genutzte Berechnungsverfahren
drei Anforderungen gestellt:
• Aufwand
Die Berechnung sollte nachvollziehbar und für alle Kriterienarten auf gleiche Wei-
se erfolgen, so dass sie insgesamt mit einem vertretbaren Aufwand durchzuführen
ist.
• Ergebnis
Als Ergebnis muss ein sinnvoller und vergleichbarer Wert geliefert werden. Kleine
Änderungen der Bewertung der Kriterien sollen auch nur zu kleinen Änderungen
im Ergebnis führen.
• Robustheit
Auch nach Anwendung der Anpassungsmöglichkeiten sollen die beiden ersten
Punkte noch erfüllt werden [Bär, 2005] S. 19.
Diese Anpassungsmöglichkeiten sind sind hauptsächlich das Hinzufügen neuer Kriteri-
en oder das Entfernen von vorhandenen Kriterien aus dem Katalog.13
3.3 Aufbau eines Kriteriums
Jedes Kriterium des Katalogs besteht aus folgenden Elementen:
• Titel des Kriteriums
• Pfad von der Wurzel zum Kriterium, falls vorhanden mit Angabe der Teilkriterien
mit ihren Gewichten
• Beschreibung des Kriteriums:
– Bei einem Basiskriterium: eine detaillierte Beschreibung und Abgrenzung zu
anderen Basiskriterien
– Bei einem Hauptkriterium: ein Überblick über das Themengebiet und die Ge-
wichtung der Teilkriterien
• Anforderungen an das Werkzeug
• Mögliche Erscheinungsformen des Kriteriums
• Maßstab für die Bewertung dieser Erscheinungsformen.
Jedes Kriterium hat ein Gewicht g von 1 bis 4 und einen Erfüllungsgrad b von 0 bis 4.
Diese werden in den Tabellen 3.1 und 3.2 beschrieben.
Relevanz eines Kriteriums für die Erfüllung des Hauptkriteriums Gewichtung g
Kriterium ist äußerst wichtig. 4
Kriterium ist sehr wichtig. 3
Kriterium ist wichtig. 2
Kriterium ist weniger wichtig. 1
Tabelle 3.1: Abstufungen für die Gewichtung von Teilkriterien
Erreichter Erfüllungsgrad vergebene Bewertung b
Kriterium wird voll erfüllt. 4
Kriterium wird zum größten Teil erfüllt. 3
Kriterium wird in mittlerem Umfang erfüllt. 2
Kriterium wird kaum erfüllt. 1
Kriterium wird nicht erfüllt. 0
Tabelle 3.2: Abstufungen für den Erfüllungsgrad einzelner Kriterien
3.4 Bewertungsverfahren
Die Bewertung eines Kriteriums ergibt sich aus der Bewertung und den jeweiligen Ge-
wichten der direkt untergeordneten Teilkriterien.14
bH sei die Bewertung eines Hauptkriteriums H mit n Teilkriterien. gi→H entspricht der
Gewichtung der Beziehung des Teilkriteriums i von H und bi dessen Bewertung. Die
Gesamtbewertung von H ist der gewichtete Durchschnitt der Bewertungen der n Teilkri-
terien von H [Bär, 2005] S. 27.
Die Bewertung ergibt sich wie folgt:
n
∑ bi gi→H
i=1
bH = n
∑ gi→H
i=1
Da alle Basiskriterien mit 0 ≤ b ≤ 4 bewertet werden, ergibt sich für die Bewertungen
der Hauptkriterien und des Wurzelkriteriums ebenfalls 0 ≤ b ≤ 4. Da das Gewicht eines
Kriteriums als konstant festgelegt wird, verändert es sich auch nicht durch Hinzufügen
oder Entfernen von Teilkriterien.
3.5 Änderungen an den bestehenden Kriterien
Da Bär bei der Wahl des Berechnungsverfahrens bereits beachtet hatte, dass eventuell
die Notwendigkeit besteht, den Katalog zu verändern, ist es nun gut möglich, den Ka-
talog anzupassen und trotzdem vergleichbare Ergebnisse zu erhalten. In dieser Arbeit
wurde dies für einige Anpassungen genutzt. Die durchgeführten Änderungen werden
im Folgenden genannt und erklärt.
3.5.1 Veränderte Kriterien
Kriterium 4.2.4: Auslagerungsdateien
Um das Kriterium an die Entwicklung der Betriebssysteme seit 2005 anzupassen wur-
den die Anforderungspunkte „Auslagerungsdateien für Windows Versionen 9x, ME und
NT/200/XP“ gestrichen.
Kriterium 4.2.5: Verschlüsselte und komprimierte Daten
Bär beachtet die Analyse von verschlüsselten Daten in der bisherigen Fassung seines
Katalogs nicht, da sie außer mittels Brute Force nicht entschlüsselt werden können. Da-
her wurde dieses Kriterium umbenannt in „Komprimierte Daten“. Da die Erscheinungs-
formen dieses Kriteriums bisher ausschließlich komprimierte Daten beachten, wurden
die verschlüsselten Daten aus dem Titel entfernt und ein eigenes Kriterium dafür erstellt.15
Die Bewertung der Merkmale wurde nicht verändert.
3.5.2 Neu hinzugefügte Kriterien
Kriterium 4.2.7 Verschlüsselte Daten
Beschreibung
Da die Analyse von verschlüsselten Daten bisher effektiv nicht beachtet wurden, wurde
unter 4.2 ein neues Kriterium „verschlüsselte Daten“ hinzugefügt. Verschlüsselte Daten
sind für Ermittlungen relevant, da durch Verschlüsselung Daten vor fremdem Zugriff ge-
schützt werden können. Für einen Ermittler ist es daher relevant, verschlüsselte Daten
zuerst zu finden und nach Möglichkeit zu entschlüsseln und auszuwerten.
Bär beschreibt zwei grundlegende Möglichkeiten, um verschlüsselte Daten zu erken-
nen:
1. Anhand der Dateiendung oder durch durch das Betriebssystem vergebene Merk-
male.
2. Informationen aus anderen Quellen, zum Beispiel der Liste der installierten Pro-
gramme [Bär, 2005] S. 68.
Neben der Auswertung der installierten Programme kann man verschlüsselte Daten
auch auf Byte-Ebene erkennen. Um Kryptoanalyse zu erschweren, basieren Verschlüs-
selungsalgorithmen auf dem Prinzip der Diffusion und Konfusion [Shannon, 1949]. Das
bedeutet, das statistische Redundanzen auf sehr große Datenmengen verteilt werden,
sowie dass jedes Zeichen des Klartextes alle Zeichen des Geheimtextes gleich stark
beeinflusst.
Dies soll erreichen, dass der Geheimtext keinerlei erkennbare Muster mehr enthält,
sondern alle Zeichen exakt gleich oft vorkommen. Diese „Zufälligkeit“ der Zeichen kann
mittels der Entropie quantifiziert werden. Eine hohe Entropie bedeutet, dass die Zeichen
sehr gleichmäßig verteilt sind, während eine geringe Entropie bedeutet, dass sehr we-
nige Zeichen sehr oft wiederholt werden und andere selten oder gar nicht vorkommen.
In der Informatik wird meistens ein Byte als Zeichen genommen, es existiert also ein
8
Alphabet von 2 = 256 verschiedenen Zeichen.
Verschlüsselte Daten haben durch die Eigenschaften der Verschlüsselungsfunktion da-
her eine sehr hohe Entropie. Daher ist eine Entropie-Analyse eine gute Methode, um
verschlüsselte Daten auch ohne zusätzliche Informationen zu erkennen.
Für ein Forensik-Tools ist es daher relevant, verschlüsselte Daten erkennen und nach
Möglichkeit auch innerhalb des Tools entschlüsseln zu können.
Pfad
Kriterium Gewicht
Analyse
– Datenextraktion und -wiederherstellung
— Verschlüsselte Daten 216
Erscheinungsformen:
• A: Verschlüsselte Daten können automatisch zum Beispiel mittels Wörterbuchan-
griff entschlüsselt werden.
• B: Verschlüsselte Daten können manuell im Tool durch Passworteingabe ent-
schlüsselt werden.
• C: Es stehen Mechanismen zur Verfügung, um verschlüsselte Daten zu erkennen
und zu markieren.
• D: Verschlüsselte Daten werden nicht erkannt und können nicht ausgewertet wer-
den.
Maßstab
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
B größtenteils erfüllt 3
C in mittlerem Umfang erfüllt 2
D nicht erfüllt 0
Kriterium 4.7: Analyse von Arbeitsspeicherabbildern
Beschreibung
Neben dem persistentem Speicher in einem PC wie Festplatten oder SSDs ist der Ar-
beitsspeicher die zweite wichtige Quelle von relevanten Informationen in der Computer-
Forensik. Im Gegensatz zum persistenten Speicher lässt sich der RAM nur während des
Live-Betriebs des Systems auslesen. Sobald die Stromversorgung unterbrochen wird,
sind die Daten nach wenigen Minuten verloren.
Dies macht es schwieriger, die Daten vollständig und unverändert aufzunehmen, denn
die Daten unterliegen einer sehr starken Fluktuation. Dafür enthält der RAM möglicher-
weise wertvolle Daten, welche nicht auf der Festplatte zu finden sind.
Zu diesen Daten gehören zum Beispiel [Labudde; Spranger, 2017] S. 118f:
• aktuell geöffnete und noch nicht gespeicherte Dokumente
• alle laufenden Prozesse17 • Passwörter von Anwendungsprogrammen • Schlüssel für Datenverschlüsselung • Informationen über Netzwerkverbindungen Somit können kürzliche Änderungen am System festgestellt sowie aktuelle Vorgänge und damit mögliche Angreifer noch während der Arbeit beobachtet werden. Es existieren eine Vielzahl von Werkzeugen und Verfahren, um RAM-Abbilder von ei- nem System zu bekommen. Diese sollen hier allerdings nicht einzeln betrachtet wer- den. Für ein Forensik-Tool ist es daher relevant, ob es spezielle Analysemethoden für RAM- Abbilder bereitstellt. Dies ist wichtig, da der RAM eine eigene Dateistruktur hat, die keinem Standard-Dateisystem entspricht. Pfad Kriterium Gewicht Analyse – Analyse von Arbeitsspeicherabbildern 1 Anforderungen: • RAM-Dumps von Windows-Systemen können untersucht werden • RAM-Dumps von Linux-Systemen können untersucht werden • RAM-Dumps von Mac-Systemen können untersucht werden. Erscheinungsformen: • A: Drei Punkte werden erfüllt • B: zwei Punkte werden erfüllt • C: ein Punkt wird erfüllt • D: keiner der Punkte wird erfüllt Maßstab
18
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
B größtenteils erfüllt 3
C in mittlerem Umfang erfüllt 2
D nicht erfüllt 019
4 Evaluation
4.1 Methodik
Theoretisch ist der Kriterienkatalog darauf ausgelegt, die Tools ohne größere Einarbei-
tung zu bewerten. Bär beschreibt, dass man neben dem Handbuch und anderen Quel-
len im Optimalfall selbst mit dem Programm arbeiten sollte, um sich mit allen relevanten
Funktionen vertraut zu machen. Außerdem sollte man mit jemandem zusammenarbei-
ten, der regelmäßig mit dem Programm arbeitet, da so die Bewertung durch einfache
Befragung extrem verkürzt werden kann.
Um sich bei der Bewertung der Kriterien nicht nur auf das Handbuch zu verlassen, wur-
den beide Tools für diese Arbeit auch praktisch eingesetzt und getestet. Dabei sollte
versucht werden, möglichst einen realistischen und vielseitigen Forensik-Workflow ab-
zubilden. Um dies zu erreichen wurde mit mehreren Beispiel-Fällen aus dem Internet
gearbeitet. Diese stammen aus dem Forensic Reference Data Sets (CFReDS) Project
vom National Institute of Standards and Technology der USA5 . Ziel dieses Projektes ist
es, standardisierte Datensätze bereit zu stellen, mit welchen zum Beispiel verschiedene
Tools verglichen werden oder Ermittler trainiert werden können. Speziell wurde mit dem
Hacking Case6 und dem Data Leakage Case7 gearbeitet.
Der Hacking Case ist ein Szenario, in welchem eine verdächtige Person festgenommen
und ein Laptop beschlagnahmt wurde. Aufgabe ist es, anhand des Images der Laptop-
Festplatte zu beweisen, dass der Verdächtige ein gesuchter Hacker ist und seine letzten
Aktionen nachzuvollziehen. Tabelle 4.1 zeigt die Details des gegebenen Images.
Image Informationen
Typ Virtuelles System
Größe 4,9 GB
Laptop Dateisystem NTFS
Betriebssystem Windows XP
Dateiformat .E01
Tabelle 4.1: Beschreibung des Image im Hacking Case
Der Data Leakage Case ist ein Szenario, in welchem ein Mitarbeiter einer Technologie-
firma geheime Daten über verschiedene Wege aus dem Intranet der Firma geschmug-
gelt hatte. Gegeben waren ein Image eines PCs, von zwei USB-Sticks sowie von einer
CD-R. Aufgabe ist es, die Kommunikation des Mitarbeiters mit einem externen Kon-
takt zu rekonstruieren und nachzuweisen, welche Daten auf welchem Weg gesendet
5
NIST, cftt@nist.gov: The CFReDS Project. URL: www.cfreds.nist.gov/, zuletzt aufgerufen am
25.07.2019
6
URL: www.cfreds.nist.gov/Hacking_Case.html, zuletzt aufgerufen am 28.07.2019
7
URL: www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html, zuletzt aufgerufen am
28.07.201920
Image Informationen
Typ Virtuelles System
Größe 20 GB
PC Dateisystem NTFS
Betriebssystem Windows 7 Ultimate SP1
Dateiformat .dd
Typ USB-Stick
Größe 4 GB
Removable Media #1(RM#1)
Dateisystem exFAT
Dateiformat .E01
Typ USB-Stick
Größe 4 GB
Removable Media #2(RM#2)
Dateisystem FAT 32
Dateiformat .dd
Typ CD-R
Größe 700 MB
Removable Media #3(RM#3)
Dateisystem UDF
Dateiformat .E01
Tabelle 4.2: Beschreibung der Images im Data Leakage Case
oder transportiert wurden. Zusätzlich kommt hinzu, dass der Mitarbeiter einige Anti-
Forensik-Maßnahmen durchgeführt hat, um die Tat zu verschleiern. Tabelle 4.2 zeigt
die Beschreibung der gegebenen Images. Die komplette Beschreibung des Szenarios
ist in [NIST, 2018] zu finden.
In beiden Fällen muss eine große Bandbreite von Fragen beantwortet werden, welche
unter anderem folgende Themen behandeln:
• Windows-Forensik
Benutzerdaten, installierte und ausgeführte Programme, Eventlogs
• Webbrowser
Internetsuchen, getätigte Uploads und Downloads, Cache
• E-Mail-Analysen
Finden und Auswerten von Mail-Datenbanken
• Wiederherstellung gelöschter Daten
Carving, Windows-Papierkorb
• Erzeugung von Zeitlinien aus Metadaten
Die Antworten standen alle zur Verfügung, so dass die Korrektheit der Analyseergebnis-
se immer überprüft werden konnte. Anhand dieser Images konnten viele Kriterien des
Katalogs in einer realistisch gestalteten Simulation nachgestellt und getestet werden.
Durch die Ausbildung im Studium war im Umgang mit X-Ways schon ein Grundwis-
sen zu den verschiedenen Funktionen und Fähigkeiten des Programms vorhanden. Zu
Autopsy war kein Wissen vorhanden.21
4.2 Vorstellung der Werkzeuge
Im Folgenden werden die beiden getesteten Forensik-Tools mit ihrem Anspruch und
ihren beworbenen Fähigkeiten kurz vorgestellt, um sie besser einordnen zu können.
4.2.1 X-Ways Forensics
X-Ways Forensics ist eine Forensik-Software, die von der deutschen Firma X-Ways Soft-
ware Technology AG entwickelt wird. Es ist eine Umgebung für computerforensische
Analysen von EDV. Es wird damit beworben, sehr effizient zu bedienen zu sein und
deutlich weniger Ressourcen als Produkte der Konkurrenz zu benötigen, und ebenfalls
deutlich preisgünstiger zu sein. Mit 2.069C für eine dauerhafte Lizenz mit einem Jahr
Updates8 ist X-Ways damit auch günstig im Vergleich zu anderen kommerziellen Tools
(Encase Forensic 8: $3,683.859 , Forensic Toolkit: $5,182.1510 ). Laut eigener Aussage
ist X-Ways der führende europäische und einzige in Deutschland beheimatete Hersteller
von Computerforensik-Software.
X-Ways Forensics hat sich aus dem Hex-Editor WinHex entwickelt. Aus diesem Grund
beinhaltet X-Ways von Beginn an sehr tiefgreifende Möglichkeiten, um Daten auf Bytee-
bene einzusehen und zu manipulieren. In der aktuellen Version besteht auch die Mög-
lichkeit, Live-Festplatten einzubinden und RAM zu analysieren und zu bearbeiten.
Während der Erstellung der Arbeit wurde mit X-Ways Version 19.6 gearbeitet.
4.2.2 Autopsy/TSK
Das TSK ist eine Sammlung von Kommandozeilen-Tools und einer C-Bibliothek zur Ana-
lyse von Festplattenimages. Es wird von Brian Carrier entwickelt und unter Apache 2.0-
und ähnlichen Open Source-Lizenzen veröffentlicht. Autopsy ist ein GUI-basiertes Pro-
gramm für computerforensische Auswertungen von Festplatten und Android-Smartphones.
Obwohl Autopsy zu großen Teilen die Tools des TSK im Hintergrund ausführt, enthält
es eine Vielzahl zusätzlicher Features, wie zum Beispiel der Timeline Editor und die
Möglichkeit, Android-Smartphones zu analysieren. Autopsy ist ausdrücklich für Strafver-
folgungsbehörden, militärische Anwendungen, Firmenermittlungen und Forschung und
Lehre gedacht. Außerdem wird es als Erweiterung zu anderen Tools und Möglichkeit,
Ergebnisse von anderen Tools zu validieren, genannt.
Kommerzieller Support wird durch die Firma Basis Technology, bei welcher Carrier CTO
und Vizepräsident ist, bereitgestellt. Dies entspricht genau dem in Kapitel 2.7 beschrie-
benen Geschäftsmodell.
Während der Erstellung der Arbeit wurde mit Autopsy Version 4.11.0 gearbeitet.
8
X-Ways Software Technology AG: Bestellung von Neulizenzen, Abruf von Angeboten. URL: www.x-
ways.net/order-d.html, zuletzt aufgerufen am 25.07.2019
9
Digital Intelligence: EnCase Forensic V8 + 1 Year Subscription. URL:
www.digitalintelligence.com/store/products/s5300, zuletzt aufgerufen am 25.07.2019
10
Digital Intelligence: Forensic Toolkit + 1 Year Subscription. URL:
www.digitalintelligence.com/store/products/s7250, zuletzt aufgerufen am 25.07.201922
4.3 Bewertungen
Im Folgenden werden die Bewertungen der Tools gezeigt. Diese Bewertungen wurden
durch Aussagen der Hilfefunktionen und Handbücher der Tools sowie, falls möglich,
durch deren praktische Anwendung an einem der Test Cases erstellt. Bei der Evaluation
wurde mit den Kriterien 1 – 3 begonnen. Damit konnte ein umfassender Überblick über
mögliche Quellen zur Bewertung des Kriterium 4 erlangt werden. Eventuelle Fehler sind
bei der Bewertung und Auswertung nicht ausgeschlossen.
4.3.1 X-Ways Forensics
Kriterium 1: Anwendersupport
Da beim Anwendersupport keine komplette Bewertung möglich war, wird das Kriterium
nicht mit in die Berechnung des Gesamtergebnisses mit einbezogen. Die einzelnen
Ergebnisse werden dennoch genannt.
Kriterium Gewicht Bewertung
Anwendersupport
– Dienstzugang 2 2
– Reaktionsverhalten 3 –
Kriterium 1.1: Dienstzugang
Die Kontaktaufnahme ist über ein Kontaktformular, E-Mail11 und ein nicht öffentliches
Forum12 möglich. Zugang zum Forum erhält man mit Erwerb der X-Ways-Lizenz.
Für Großkunden existiert ein Treueprogramm, mit welchem bestimmte zusätzliche Vor-
teile wie Rabatte, Schulungsunterlagen sowie ein E-Mail-Kontakt mit höherer Priorität
gewährt werden13 .
Eine Hotline wird nicht angeboten.
Ausprägung Kriterium wird Punkte
B größtenteils erfüllt 3
Kriterium 1.2: Reaktionsverhalten
Das Reaktionsverhalten wird nicht bewertet.
Als Nicht-Inhaber der Lizenz war es nicht möglich, auf das Forum zuzugreifen. Auch
Herr Pawlaszczyk hatte noch keinen Kontakt mit dem Support, welchen man bewerten
11
X-Ways Software Technology AG: Unternehmensportrait. URL: www.x-ways.de/, zuletzt aufgerufen am
25.07.2019
12
X-Ways Software Technology AG: X-Ways User Forum. URL: www.winhex.net/, zuletzt aufgerufen am
25.07.2019
13
X-Ways Software Technology AG: X-Ways Treueprogramm. URL: www.x-ways.net/corporate/gold-
d.html, zuletzt aufgerufen am 25.07.201923
könnte.
Kriterium 2: Bedienung des Werkzeugs
Kriterium Gewicht Bewertung
Bedienung des Werkzeugs 3,52
– Robustheit 3 4
– Dokumentation 4 3,42
– Automatisierung 3 3
– Projektverwaltung 1 4
Kriterium 2.1: Robustheit
X-Ways führt eine Datenbank, in welcher zu allen Daten die schon durchgeführten Ana-
lyseschritte gespeichert werden. Daher kann im Falle eines Fehler oder Absturzes die
Analyse genau an dieser Stelle fortgesetzt werden. Die kritische Datei wird protokol-
liert. Das Zeitintervall, in welchem gespeichert wird, kann eingestellt werden. Im Falle
von zum Beispiel einer Minute Speicherintervall sind die Verluste minimal. Daher wird
die Bewertung A vergeben, auch wenn das Programm erst nach einem Neustart wieder
benutzt werden kann.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 2.2: Dokumentation
Kriterium Gewicht Bewertung
Bedienung des Werkzeugs
– Dokumentation 3,42
— Funktionsbeschreibung 4 4
— Tutorials 1 4
— Online-Hilfe 2 2
Kriterium 2.2.1: Funktionsbeschreibung
Es steht ein Handbuch [Fleischmann, 2019] zum Download bereit sowie ein umfang-
reiche integrierte Online-Hilfe, in welchen alle Funktionen von X-Ways erklärt sind. In
beiden Fällen sind die Kapitel übersichtlich sortiert, zum Beispiel nach forensischen
Features, Menü-Optionen etc.
Auf der Website wird außerdem der kostenpflichtige „X-Ways Forensics Practitioner’s
Guide“ von Brett Shavers und Eric Zimmerman [Shavers; Zimmerman, 2013] gelistet,
welcher allerdings während der Arbeit nicht vorlag.24
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 2.2.2: Tutorials
Ted Smith stellt Video-Tutorials auf Youtube14 sowie auf seinem Blog15 zur Verfügung.
In der Online-Hilfe von X-Ways werden einige Grundkonzepte kurz vorgestellt und er-
klärt.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 2.2.3: Online-Hilfe
Wie im Kriterium 2.2.1: Funktionsbeschreibung beschrieben dient die Hilfe auch als
Funktionsbeschreibung. X-Ways bietet in vielen Fenstern automatische Verlinkungen
zum entsprechenden Kapitel in der Online-Hilfe. Abbildung 4.1 auf der nächsten Seite
zeigt das Inhaltsverzeichnis der Online-Hilfe von X-Ways.
Hilfe zu Oberflächenelementen oder aufgabenorientierte Hilfe wird nicht angeboten.
Ausprägung Kriterium wird Punkte
C in mittlerem Umfang erfüllt 2
Kriterium 2.3: Automatisierung
Es besteht die Möglichkeit, Erweiterungen (X-Tensions) über eine API auszuführen.
Analysen können problemlos nacheinander ausgeführt werden, ohne Zwischenergeb-
nisse zu verlieren. Gegenseitige Abhängigkeiten werden automatisch aufgelöst. So wer-
den alle sinnvollen Operationen automatisch auf eine Datei angewendet, wenn sie aus-
gewählt sind. Dies kann auch mehrmals hintereinander geschehen. So wird zum Bei-
spiel ein als .dll getarntes Office-Dokument zuerst als solches erkannt, anschließend
werden in dieses Dokument eingebettete Bilder extrahiert und auf Hautfarben getestet
und der Text indiziert.
Makros werden nicht angeboten.
Ausprägung Kriterium wird Punkte
B größtenteils erfüllt 3
14
Youtube-Kanal von Ted Smith. URL: www.youtube.com/user/tedsmith28/videos, zuletzt aufgerufen am
25.07.2019
15
Ted Smith: ’X-Ways Forensics’ Video Clips. URL: www.xwaysclips.co.uk, zuletzt aufgerufen am
25.07.201925
Abbildung 4.1: Übersicht der Online-Hilfe von X-Ways
Kriterium 2.4: Projektverwaltung
X-Ways verwaltet automatisch alle anfallenden Daten. Es muss nur der Speicherort der
zu analysierenden Images angegeben werden. Daten aus einem Fall werden als „Ca-
se“ zusammengefasst und gespeichert. Es können mehrere Images parallel verarbeitet
werden. Die Ergebnisse der Analysen werden als Liste ausgegeben. Ermittler können
Kommentare und Tags zu einzelnen Dateien setzen.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 3: Protokollierung der Untersuchung
Beim Export kann ausgewählt werden, welche Ereignisse zu sehen sein sollen. Die-
se Auswahl erfolgt nach vorher gesetzten Tags bei den Dateien. Zu jedem Ergebnis
beziehungsweise jeder Datei werden verschiedene Metadaten gespeichert. Über al-
le Analyseschritte wird ein automatisches Protokoll geführt. Dieses Protokoll kann mit
Screenshots aller Pop-Up-Fenster in Berichte eingefügt werden.
Im Anhang A.1 auf Seite 58 befinden sich einige Ausschnitte aus einem Bericht von
X-Ways. Abbildung A.1 auf Seite 58 zeigt die Zusammenfassung des Falls mit den Me-
tadaten der einzelnen Images. Abbildung A.2 auf Seite 59 zeigt einen Auszug aus dem26
Abbildung 4.2: Auswahl der Analysemodule bei X-Ways
Ermittlungsprotokoll mit einigen Screenshots. Abbildung A.3 auf Seite 60 zeigt einen
Auszug aus einem Registry-Bericht mit einigen Daten über die Betriebssysteminstalla-
tion.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 4: Analyse
Die automatische Analyse von Images erfolgt bei X-Ways über die Funktion DATEI -
ÜBERBLICK ERWEITERN . Diese kann auf alle Asservate oder nur auf eine Partition oder
ein einzelnes Verzeichnis angewendet werden. Abbildung 4.2 zeigt die Optionen der
Datei-Überblick-Erweiterung.
Kriterium Gewicht Bewertung
Datenanalyse 3,55
– Rohdatenanalyse 4 4
– Datenextraktion und -wiederherstellung 4 3,57
– Suchverfahren 3 2,75
– Prüfsummen 3 4
– Internetbenutzung 1 3,33
– Metadaten 2 4
– Arbeitsspeicher-Analysen 1 227
Kriterium 4.1: Rohdaten-Analyse
Kriterium Gewicht Bewertung
Analyse
– Rohdaten-Analyse 4
— Image-Erkennung 1 4
— Dateisystemunterstützung 4 4
Kriterium 4.1.1 Image-Erkennung
X-Ways unterstützt Rohformat, E01, ISO-CD-Images und virtuelle Maschinen (VHD,
VDMK etc.).
Getestet wurden .dd und .E01-Images.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 4.1.2: Dateisystem-Unterstützung
X-Ways unterstützt FAT 12/16/32, exFAT, TFAT, NTFS, Ext, Next3®, CDFS/ISO9660/Joliet,
UDF, HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, viele Varianten von UFS1 und
UFS2 und viele Datenstrukturen von APFS.
Während des Testens wurde mit NTFS, FAT 32, exFAT und UDF gearbeitet.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4
Kriterium 4.2: Datenextraktion und Wiederherstellung
Kriterium Gewicht Bewertung
Analyse
– Datenextraktion und -wiederherstellung 3,57
— Gelöschte Daten 4 4
— Nicht zugeordnete Bereiche 4 4
— Slack-Bereiche 4 3
— Auslagerungsdateien und Swap-Partitionen 2 2
— Komprimierte Daten 2 4
— Alternate Data Streams 1 4
— Verschlüsselte Daten 2 428
Abbildung 4.3: Darstellung der unterschiedlichen Zustände von Dateien und Verzeichnissen bei
X-Ways
Abbildung 4.4: Papierkorb im Hacking Case
Kriterium 4.2.1: Gelöschte Daten
Gelöschte Dateien, welche noch im Dateisystem vorhanden sind, werden automatisch
beim Dateiüberblick erweitern rekonstruiert und im Dateiüberblick angezeigt. X-Ways
kann unterscheiden, ob Daten unverändert sind oder verändert oder überschrieben wur-
den.
Abbildung 4.3 zeigt die Darstellung der verschiedenen Zustände eines Verzeichnis-
ses oder einer Datei. In Abbildung 4.4 werden gelöschte Dateien im Papierkorb eines
Windows-Rechner dargestellt. Damit kann gezeigt werden, dass der Verdächtige im
Hacking Case versucht hat, seine Hacking-Aktivitäten durch Löschen der Programme
(NetStumbler, WinPcap, Ethereal) zu verbergen.
Ausprägung Kriterium wird Punkte
A voll erfüllt 4Sie können auch lesen
