Technik

Grundlagen

Eine korrekte Begutachtung besteht aus dem Zusammenspiel IT-forensischer Prozesse, geeigneten Technologien und einer umfassenden Dokumentation. Abhängig von der konkreten Fragestellung an den Sachverständigen und den technischen Rahmenbedingungen ergeben sich die notwendigen Schritte, um eine Beweisverkettung („Chain of Custody“) ableiten zu können. Jede Untersuchung hat ihre prozessuale, technische und auch menschliche Einmaligkeit und verlangt ein korrektes, aber auch der jeweiligen Situation angemessenes Vorgehen. Es gibt zwei wesentliche Quellen für digitale Beweise auf einem Computer:

  • permanent gespeicherte Daten, üblicherweise auf der eingebauten Festplatte
  • flüchtige Daten im Arbeitsspeicher (RAM)

Dateien auf Festplatten sind nach einem Neustart des Rechners (oder des Smartphones) noch vorhanden und permanent auf dem Datenträger gespeichert. Die Auswertung von Festplatten, USB Sticks und Speicherkarten ist seit Jahrzehnten etablierter Standard in der digitalen Forensik.

Die Daten im Arbeitsspeicher sind allerdings mit dem Ausschalten des Gerätes verloren und werden daher als volatile oder flüchtige Daten bezeichnet. Die volatilen Daten eines PC enthalten wichtige Informationen für einen Ermittler, da einige für die Aufklärung des Vorfalls notwendigen Informationen nur im RAM und nicht auf der Festplatte zu finden sind. Es gibt zum Beispiel Rootkits, deren Aktivitäten sich allein im RAM eines Computers nachweisen lassen.

Daher sollte auf keinen Fall ein PC oder Server voreilig ausgeschaltet werden! 

Welche volatilen Daten befinden sich im RAM?

Solange das Windows Betriebssystem aktiv ist, findet man beispielsweise diese Daten im RAM:

  • Name und Pfade von laufenden Programmen, Diensten und Prozessen
  • Netzwerkverbindungen zu anderen Computern im Internet
  • Informationen über zuletzt genutzte Dateien
  • angemeldete Benutzer auf der jeweiligen Hardware
  • der Inhalt der Zwischenablage

Die Analyse eines kompletten Memory Dumps liefert außerdem Informationen wie:

  • Passwörter und Kerberos Tickets zur Authentisierung am Windows PC oder seiner Domain
  • Schlüssel für TrueCrypt, Bitlocker und andere Software zur Festplattenverschlüsselung
  • die vollständige Windows Systemregistrierung („Registry“)

Die gesammelten volatilen Daten eines Betriebssystems (dies gilt für Windows ebenso wie für Unix)  reichen in aller Regel aus, um eine Aussage treffen zu können, ob Viren oder Hacker auf dem Computer aktiv sind. Das Gesamtbild aus volatilen Daten, Memory Dump und auf den Festplatten gespeicherten Daten kann die Fragen zum wer, wie und wann beantworten.

Besprechen Sie das Herunterfahren von Client- oder Serverbetriebssystemen, die Trennung vom Netzwerk und andere Aktionen mit ihrem IT-Forensik Experten oder dem Incident Response Team. Unüberlegte und überstürzte Handlungen können zur Vernichtung von Beweisen führen, erschweren die Ermittlungsarbeit und schränken die Verwertbarkeit von Beweisen vor Gericht ein!

RAM

Bis vor einigen Jahren noch galt die (US-amerikanische) Devise des „Pull the Plug!“ als erste Reaktion zur Beweissicherung in der digitalen Forensik. Und noch heute spukt vereinzelt in den Köpfen von Administratoren das sofortige Ziehen des Stromsteckers als Erstmaßnahme herum. Heute ist jedoch klar, das mit diesem Schritt ein sehr wertvoller Teil der vorhandenen Beweise vernichtet wird. Die fachlich korrekte und gerichtsverwertbare Sicherung der volatilen Daten eines  PC  gehört zu meinen ersten technischen Tätigkeiten vor Ort. Die Sicherung des gesamten Inhaltes des RAM als Memory Dump und seine Auswertung gehört zu meinen Schlüsselqualifikationen in der IT-Forensik.


Verwendung zertifizierter Software und Hardware

Für die Suche nach digitalen Beweisen und ihre anschließende Auswertung kommt sowohl IT-Forensik Software führender Hersteller wie Mandiant, X-Ways und AccessData, als auch Open Source Software wie Volatility oder das Sleuth Kit zur Anwendung. Je nach Aufgabenstellung und technischer Herausforderung greife ich auf eine Vielzahl unterschiedlicher Software, Hardware und technischen Dokumentationen zurück. Für die Erstellung der exakten Duplikate von Festplatten, USB Sticks und Speicherkarten nutze ich Write Blocker der Unternehmen CRU Wiebetech und Addonics. Diese Geräte erlauben ausschließlich einen lesenden Zugriff auf die jeweiligen Datenträger und können keine Veränderungen durch Schreibvorgänge bewirken. Somit bleibt die Integrität von Beweismitteln in jedem Fall gewährleistet. Die genutzten Write Blocker sind selbstverständlich für die Verwendung als Beweismittel vor Gericht geeignet, anerkannt und zertifiziert.