Vmware-Appliance für Forensiker

Rob Lee vom SANS Institute, einem auf IT-Security spezialisierten Schulungshaus, hat die Version 1.2 der „SANS Sift Workstation“ veröffentlicht. Dabei handelt es sich um einen virtuellen Linux-PC für die Vmware-Plattform, der bei forensische Analysen helfen soll:

The SANS SIFT Workstation is a VMware Appliance that is preconfigured with all the necessary tools to perform a forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats.

Als Betriebssystem kommt Fedora zum Einsatz, auf dem folgende Tools zusätzlich installiert wurden:

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

Zum Download der 1,4 GByte großen virtuellen Maschine ist eine Registrierung auf der SANS-Seite notwendig. Praktisch ist das „Cheat-Sheet“ (PDF), das für Forensiker wichtige Kommandozeilenbefehle auf zwei Seiten übersichtlich auflistet.

Ausgepackt benötigt der virtuelle PC dann knapp 5 GByte Platz. Wer den Vmware-Player noch nicht installiert hat, findet ihn hier.

sift-workstation

Username ist „root“, das Passwort lautet „forensics“. Da es sich bewusst um den System-Admin-Account handelt, muss man im nächsten Fenster auf „Continue“ klicken.

sift-workstation2

Und so sieht die Oberfläche der virtuellen Maschine dann aus:

sift-workstation4

Die Vmware-Tools sind bereits vorinstalliert. Die Netzwerkeinstellungen stehen auf „Host-only“, das bedeutet, dass der virtuelle PC nur mit dem Wirts-System über das Netzwerk kommunizieren kann. Wer die SIFT Workstation mit dem Internet verbinden will, muss dazu das Netzwerk-Icon unten rechts im Player anklicken und „Bridged“ auswählen und danach die Netzwerkverbindung innerhalb des virtuellen Systems neu starten.

Wenn man jetzt beispielsweise eine externe Festplatte per USB an den Wirt anschließt, wird sie automatisch innnerhalb der virtuellen Maschine gemountet. Man kann nun mit den mitgelieferten Tools ein dd-Image erstellen oder gleich auf die Suche nach verborgenen Daten gehen. Allerdings fehlt eine tiefergehende Dokumentation, das SANS Institute will mit seinen Schulungen ja schließlich Geld verdienen.

Wenn Forensiker Mist verzapfen

Der eine oder andere Leser hat vermutlich schon von der ehemaligen amerikanischen Lehrerin Julie Amero gehört. Amero soll Schulkindern absichtlich pornografische Bilder gezeigt haben. Der Fall ist ein Paradebeispiel dafür, wie „Sachverständige“ den größten Unsinn vor Gericht behaupten können und damit immer wieder durchkommen.

Wenn sich nicht mehrere Mitarbeiter der Sicherheitsfirma Sunbelt Software freiwillig für Amero eingesetzt und die „Beweise“ geprüft hätten, würde die Frau vermutlich nun jahrzehntelang im Gefängnis verrotten. Immerhin: Vor kurzem ist der Prozess gegen Amero eingestellt worden.

Vergangene Woche hat der Sunbelt-CEO Alex Eckelberry ein von ihm und seinen Kollegen erstelltes Gutachten (PDF) veröffentlicht, das gruselige Einblicke in die Arbeit „professioneller Sachverständiger“ bietet.

Der IT-Verantwortliche der Schule sagte unter anderem aus:

“Anti-virus updates, Inoculate IT was updated I want to say weekly. It would have been updated no later than October 12th [2004], the week before that and probably sometimes towards the middle of the week.”

In Wahrheit hatte Computer Associates, der Anbieter von Inoculate IT, den Support für das Produkt Mitte 2004 eingestellt. Das letzte Signatur-Update war am 30. Juni 2004 verteilt worden.

Weiter wurde er gefragt:

Question: Does spyware and adware generate pornography?
Answer: Not to the best of my knowledge.

Ein schöner IT-Profi ist das, „Pornware“ gibt es schon seit längerem.

Question: Is it possible to be in an endless loop of pornography?
Answer: I’ve never seen that, so I would have to say probably not.

Die meisten Internet-Nutzer, die damals noch mit dem IE6 unterwegs waren, werden sich an endlose Popup-Schleifen erinnern. Man klickt eines zu und macht damit gleich ein neues Popup auf …

Ein Computer-Forensiker, der den fraglichen PC untersuchte, kam gar nicht auf die Idee nach Schädlingen zu suchen:

Question: Did you examine the hard drive for spy ware, ad ware, viruses or parasites?
Answer: No, I didn’t.

Dieser „Sachverständige“ scheint nicht nur einen bescheidenen Horizont zu haben, sondern auch ein richtiger Web-Profi zu sein:

Question: Are there any specific characteristics that may occur to a web page when you click on specific link?
Answer: Yes. When you click on a link, again, links are Javascripted, you click on a link, it changes color and then you will get sent to that new address, that new page or site.

Was hat Javascript mit Links zu tun? Nix, aber es klingt auf Laien vermutlich beeindruckend.

Der Farbwechsel hat es dem „Sachverständigen“ angetan:

Question: I will take your attention specifically to this, Female Sex Enhancers; anything different about that link as opposed to the other links?
Answer: The color, it’s red.

Das mag bei einer IE6-Standardkonfiguration zutreffen. Die Einstellungen auf dem fraglichen PC sahen jedoch so aus:

Ein besuchter Link wäre also nicht rot, sondern grünlich markiert.

Die Sunbelt-Mitarbeiter haben außerdem den Quelltext der Seite mit dem angeblich geklickten Link untersucht und herausgefunden, dass die rote Schriftfarbe dort festgelegt worden war.

Examining the HTML source of that page, we determined that, in fact, the text “Female sex enhancers” was colored red through the < font color="#FF0000"> tag.< /font>

Das und viele weitere Hinweise auf unprofessionelle Arbeit finden sich in dem Gutachten. Amero hat noch einmal Glück gehabt, aber wie viele andere Opfer von Verfolgungswahn und Inkompetenz gibt es, denen nicht soviel Aufmerksamkeit zuteil wird?

Live-CDs: Liars und Simple

An der School of Information and Computer Science der Australia University entstehen derzeit zwei interessante computer-forensische Live-CDs auf Linux-Basis: Die erste nennt sich Liars (Laptop Inspector and Recovery System) und soll bei der Identifizierung gestohlener und wieder aufgefundener Laptops helfen.

Man bootet das Notebook von der Live-CD und sucht dann automatisiert nach Informationen über den rechtmäßigen Besitzer. Dazu soll Liars unter anderem die Registry prüfen. Mehr als ein PDF habe ich aber nicht zum aktuellen Stand des Projekts gefunden.

Die zweite Live-CD heißt Simple (Simple Image Preview Live Environment) und soll zum Booten eines beschlagnahmten PCs dienen und dort automatisiert Bilder mit nackter Haut entdecken. Laut einem Artikel von Australian IT überlegt sich das Team weitere Anwendungsmöglichkeiten, wie eine automatisierte Suche nach Dokumenten zu Finanzaktivitäten oder Terrorakten.

Zweite Einsatzmöglichkeit für Simple ist laut Australian IT das schnelle Checken verdächtiger Notebooks bei einem Grenzübertritt.

Google Chrome Log Parser

Weiter geht es mit der lockeren Posting-Reihe über Tools, die Computer-Forensiker einsetzen, um Spuren auf PCs zu sammeln und aufzubereiten.

Diesmal stelle ich ein kleines Tool von Mark McKinnon vor, mit dem sich die Log-Dateien, die der neue Browser von Google anlegt, untersuchen lassen. Der Google Chrome Log Parser baut aus den Chrome-Logs einen einfachen HTML-Report.

Google Chrome Log Parser einsetzen

Zuerst muss man das ZIP-Archiv entpacken. Dann doppelt auf die Datei „google_chrome_parser.exe“ klicken, um die Grundkonfiguration zu starten. Nun den Namen des Bearbeiters sowie die zugehörige Organisation und ein Bild auswählen. Diese Daten setzt der Log-Parser dann in die HTML-Berichte.

Nun erfolgt die Erstellung des Reports: In das erste Feld trägt man eine Fallnummer ein, darunter dann den Pfad zu den Log-Dateien von Google Chrome. In der Regel liegen sie unter XP im Verzeichnis „C:Dokumente und EinstellungenBenutzernameLokale EinstellungenAnwendungsdatenGoogleChromeUser DataDefault“. In das dritte Feld kommt der Ordner, in dem der Report gespeichert werden soll. Mit einem Klick auf „Read/Parse Google Chrome Logs“ startet man den Vorgang.

Das Tool öffnet den Report anschließend direkt im Browser.

Die Links führen zu den einzelnen Berichten. Zwei Beispiele:

Dem File Slack auf der Spur

Mit dem File Slack habe ich mich bereits vor ein paar Tagen beschäftigt. Dabei handelt es sich um Daten, die unsichtbar auf der Festplatte schlummern und die möglicherweise ohne Wissen des Benutzers sensible Informationen enthalten.

Kurz noch einmal der Hintergrund: Festplatten sind in Sektoren und Cluster aufgeteilt. Cluster sind dabei die kleinste Einheit, die Windows adressieren kann. Eine typische Cluster-Größe ist 4096 Byte. Eine Datei belegt immer mindestens einen Cluster, auch wenn sie beispielsweise nur 10 Byte groß ist. Größere Dateien belegen mehrere Cluster.

Der restliche Platz des letzten Clusters, den eine Datei belegt, wird File Slack genannt. Zum Auffüllen des File Slacks verwendet Windows zufällige Daten, die entweder aus dem RAM oder von der Festplatte stammen. Dabei kann es sich um nutzlosen Datenmüll handeln oder um sensible Informationen wie besuchte Webseiten oder gar Passwörter.

Mit professionellen Programmen wie beispielsweise Encase lässt sich der File Slack bequem untersuchen.

Es gibt aber auch kostenlose Möglichkeiten, den File Slack auf der eigenen Festplatte unter die Lupe zu nehmen. Der Disk Investigator 1.4 von Kevin Solway ist Freeware und läuft direkt unter Windows.

Mit dem Disk Investigator kann man seine Festplatte Byte für Byte, Sektor für Sektor oder Cluster für Cluster betrachten. Ähnlich wie Encase färbt das Tool den File Slack dabei sogar rot ein.

File Slack untersuchen

Zuerst muss man den Disk Investigator herunterladen und installieren. Anschließend starten und oben links auf „Directories“ klicken.

Nun schauen wir uns zuerst mal die Größe des File Slacks einer beliebigen Datei an. Dazu klicken wir im Disk Investigator mit der rechten Maustaste auf die Datei und wählen „Properties“ aus.

Hinter „Größe“ und „Größe auf Datenträger“ sieht man zwei Werte in Klammern. Der erste ist die tatsächliche Größe der Datei, der zweite ist der belegte Platz auf der Festplatte. Die Differenz ist der File Slack. Im Beispiel ist der File Slack also 2888 Byte groß (2.727.936 – 2.725.048 = 2888).

Aber wie schaut der Inhalt des File Slack nun aus? Dazu klickt man wieder mit der rechten Maustaste auf die Datei und wählt diesmal „View raw file contents“ aus.

Hier haben wir den Anfang der Datei, den der Disk Investigator im Text-Modus darstellt. Der File Slack befindet sich jedoch am Ende der Datei. Zuerst wählen wir oben links „Hex“ aus, da das Tool den File Slack nur bei diesem Format auch wirklich rot färbt (und auch das nicht immer zuverlässig). Anschließend ziehen wir den Regler unten von „Start of file“ zu „End of file“ und scrollen dann im Hauptfenster etwas nach unten bis in den roten File-Slack-Bereich.

Wie man sieht, stehen rechts lesbare Inhalte, die nichts mit der Originaldatei zu tun haben. Meist findet man aber nur Müll oder gelegentlich auch nur Nullen.

Mit einem kostenlosen Tool wie dem Disk Investigator ist es ein reines Glücksspiel eine Datei samt einem File Slack zu finden, der etwas Verwertbares enthält. Außerdem braucht man viel Geduld, da das Tool etwas verbugt zu sein scheint. So bleibt der Regler mal dauerhaft rechts, wenn man mehrere Dateien hintereinander betrachtet, mal springt er jedes Mal sofort wieder zum Anfang der Datei.

Der Disk Investigator eignet sich, um verborgene Daten im File Slack aufzuspüren. Eine Überprüfung von mehreren Tausend Dateien ist damit jedoch nicht sinnvoll möglich.

Weiterer Beitrag zum Thema:
Der große Unbekannte: Der File Slack

Zeitstempel unter Windows

Windows speichert für jede Datei prinzipiell drei verschiedene Zugriffszeiten:

  • Die Modification Time, die besagt, wann eine Datei das letzte Mal geändert und abgespeichert wurde.
  • Die (Last) Access Time, die besagt, wann eine Datei das letzte Mal geöffnet und betrachtet wurde.
  • Die Creation Time, die besagt, wann eine Datei erstellt wurde.

Alles zusammen ist ein dreifacher Zeitstempel für jede Datei, den man auch MAC-Time (Modification, Access, Creation) nennt.

Jemand, der einen PC oder einen Server professionell unter die Lupe nimmt, interessiert sich besonders für die Last Access Time, da man damit beispielsweise belegen kann, dass eine einmal heruntergeladene Datei zu einem späteren Zeitpunkt noch einmal geöffnet wurde oder eben nicht.

Ob ein Windows-Rechner den Last-Access-Time-Stempel jedoch überhaupt aktualisiert, hängt vom Registry-Schlüssel NtfsDisableLastAccessUpdate ab, der sich unter HKLMSYSTEMCurrentControlSetControlFileSystem findet. Steht der Wert auf 0 oder ist der Schlüssel nicht vorhanden, aktualisiert Windows den Zeitstempel automatisch. Steht er dagegen auf 1, vermerkt Windows keine weiteren Zugriffszeiten bei denen keine Schreibzugriffe erfolgen.

Unter Vista hat Microsoft den Wert von NtfsDisableLastAccessUpdate selbst auf 1 gesetzt, wahrscheinlich, um das nicht gerade als Turbo bekannte System durch die zusätzlichen Schreibzugriffe nicht noch weiter zu belasten. Unter XP (und eventuell Windows 2000) ist der Registry-Schlüssel normalerweise nicht vorhanden, lässt sich aber nachträglich leicht an der richtigen Stelle im Registry-Editor per Rechtsklick und Auswahl von „Neu, DWORD-Wert“ erstellen und per Doppelklick auf 1 setzen. Anschließend den PC neustarten, um die Änderung zu aktivieren.

Dadurch blockiert man einerseits zusätzliche Datenspuren und beschleunigt gleichzeitig noch das eigene System.

Der große Unbekannte: Der File Slack

Quizfrage: Was bitte ist der File Slack? Ich hab’s bislang nicht gewusst. Um zu verstehen, was der File Slack ist, muss man sich zuerst mit Festplatten und mit Windows beschäftigen. Festplatten werden in Sektoren aufgeteilt, mehrere Sektoren sind dann wiederum ein Cluster. Je nach Dateisystem sind die Cluster größer oder kleiner. FAT kann mit nicht so vielen Clustern umgehen, NTFS dagegen mit mehr. Soweit so gut, das dürfte weitgehend bekannt sein.

Ein Cluster ist die kleinste Größe, die Windows adressieren kann. Bei einer Cluster-Größe von beispielsweise 4096 Byte belegt also auch eine nur wenige Byte große Datei einen kompletten Cluster. So sieht das zum Beispiel aus:

Jetzt kommen wir zum File Slack. Was macht Windows eigentlich mit dem restlichen Platz in einem Cluster? Es belegt ihn einfach mit zufälligen Datenfragmenten. Aber wo stammen die her? Jetzt kommt der Hammer: Die Daten, mit denen Windows den restlichen Platz in einem Cluster füllt, kommen entweder direkt aus dem RAM oder von der Festplatte. Man nennt dies den RAM Slack beziehungsweise den Drive Slack. Beide zusammen sind der File Slack.

Der RAM Slack füllt den letzten benötigten Sektor auf, während der Drive Slack den Rest des Clusters auffüllt. Mit geeigneten Tools lassen sich diese bruchstückhaften Inhalte zusammenfassen und auswerten. Es ist dabei durchaus möglich, dass im File Slack — ohne Wissen des Benutzers — Teile von E-Mails, besuchten Webseiten oder auch komplette Passwörter enthalten sind. Das ist also der File Slack.

Quelle: Computer-Forensik von Alexander Geschonneck, Dpunkt-Verlag