Endlich ist das Thema Computer-Forensik auch in anderen Bereichen des täglichen Lebens angekommen. Die Wochenendausgabe der auflagenstärksten Berliner Abo-Zeitung, die “Berliner Zeitung”, hat ein zweiseitiges(!) Interview mit mir über Computer-Forensik und Wirtschaftskriminalität veröffentlicht. Hier der Link zur Onlineausgabe des Artikels “Analysiere das Unbekannte!” und zum zugehörigen Infokasten.

AccessData, Hersteller der Forensiksoftware FTK, hat den Aktionären der Firma Guidance Software, Hersteller von EnCase, ein Übernahmeangebot von $4.50 pro Aktie unterbreitet. Das Angebot an die Aktionäre von Guidance, welches am 3.11. veröffentlicht wurde, ist eine Reaktion auf die ablehnende Haltung des Guidance Management gegen eine Übernahme. Der Übernahmewunsch war am 6.10. an Guidance herangetragen worden.

http://www.accessdata.com/downloads/media/Acquisition_Press_Release.pdf

Andreas Schuster wurde mit dem Deutschen IT-Sicherheitspreis der Horst Görtz Stiftung 2008 ausgezeichnet. Er teilt sich den dritten Preis mit Prof. Dr. Dieter Bartmann vom Lehrstuhl für Wirtschaftsinformatik II der Universität Regensburg. Schuster hat in seinem Projekt PTFinder und PoolFinder – Identifikation von Prozessen und anderen Objekten des Microsoft Windows-Betriebssystemkerns in Arbeitsspeicherabbildern Tools entwickelt, die ein forensische Analyse dieser Abbilder erleichtern und teilweise sogar erst ermöglichen.

Mit dem Deutschen IT-Sicherheitspreis möchte die Stiftung dazu beitragen, die Position von IT-Sicherheit “Made in Germany” zu festigen und zu fördern. Sie will damit auch einen bescheidenen Beitrag leisten, die Innovationskraft der deutschen Wirtschaft zu stärken.

The Sleuthkit (TSK) und Autopsy liegen nun in neuen Versionen vor.  Während Autopsy 2.20 nur kleinere Bugfixes enthält, wurde Version 3.0 des TSK um viele neue Funktionen sowohl bei den Core Bibliotheken, als auch bei den eigentlichen Tools erweitert.

Wer die Quellen plattformübergreifend übersetzen möchte, kann nun die Compileroption -mingw verwenden, welche für den Bau von Windowsbinaries benötigt wird. Gelöschte Dateien, die zwar eine Meta-Datenstruktur haben, aber kein übergeordnetes Verzeichnis habe und deswegen über das Root-Verzeichnis erreicht werden können, befinden sich nun im Verzeichnis $OrphanFiles. Dieses Verhalten kennen wir ja bereits von anderen kommerziellen Forensikwerkzeugen. File Allocation Table und MBR sind nun als normale Datei über das Root-Verzeichnis einsehbar. Ist der MBR korrupt, wird mit der neuen TSK-Version nun auch seine Kopie verwendet. Die Tools mmcat und mmls wurden um einige Ausgabewerte erweitert.

Alle d*-Tools sind nun in blk* umbenannt worden: dls, dcat etc. heissen nun blkls, blkcat, etc. Hier müssen eventuell eigene Skripte auf die neuen Dateinamen angepasst werden. Dem Tool sorter kann nun mit der Otpion -b die minimale Dateigröße übergeben werden.

Downloadlinks für TSK und Autopsy.

Heute erscheint im Heise-Velag das iX special “Sicher im Netz”. Es enthält sehr viele lesenswerte security-relevante Artikel. Der Clou ist aber die recht umfangreiche DVD mit diversen Toolsammlungen. Ich möchte kurz etwas zum Forensik-Teil der DVD erläutern, auch weil mein Kollege Sebastian Krause (der jetzt auch bei Ernst & Young arbeitet ) diesen Teil zusammengestellt hat.

Das bereits von der iX ForensiX-CD aus dem Jahr 2007 bekannte Linux Incident Repsonse Toolkit liegt jetzt in der Version 1.18 vor und wurde durch Enno Ewers wesentlich erweitert. Die Ausgabe des Skriptes erfolt nun auch als Html-Report. Die komplette Gebrauchsanweisung findet sich hier.

Damit u.a. das Windows Forensic Toolchest (WFT) vo nder DVD lauffähig ist, wurde eine angepasste WFT-Konfigurationsdatei verwendet.

Zusätzlich findet sich auf der DVD ein Kapitel der dritten Auflage meines Buches als PDF-Datei.

Weitere Informationen zu den Forensik-Werkzeugen und den von erstellten Programmen und Konfirationen finden sie unter http://computer-forensik.org/tools/ix/ix-special/.

Das gesamte Sonderheft kann inklusive DVD bei Heise direkt bestellt werden.

Ich suche für den Standort Düsseldorf ab sofort weitere Verstärkung für mein Computer-Forensik-Team. Gesucht werden sowohl Mitarbeiter mit Berufserfahrung, als auch ambitionierte Einsteiger mit Forensik-Grundkenntnissen. Interessenten wenden sich für Nachragen bitte direkt an mich via alexander DOT geschonneck AT de DOT ey DOT com oder die Kontaktadresse des Blogs.

Version 2.0 der allseits beliebten und von mir zu vielen Gelegenheiten gelobten Incident Response & Electronic Evidence Collection Linux Live CD Helix ist veröffentlich worden. Wesentlichste Neuerung ist im Gegensatz zu den Vorversionen ist nun,dass Version 2.0 jetzt nicht mehr auf Knoppix, sondern auf Ubuntu 8.04 und einem 2.6.24er Kernel basiert. Die Toolliste wurde natürlich auch ergänzt und aktualisiert. PyFlag ist nicht mehr auf der Helix-CD zu finden, dafür aber viele Tools aus dem Bereich Memory Forensics. Was die neue Helix 2.0 wirklich zu leisten vermag, wird demnächst hier zu lesen sein.

In der Ausgabe 20/2008 der c’t ist eine Rezension der dritten Auflage meines Buches erschienen.

Mich würde interessieren, welches Dateisystem die werte Leserschaft zum Speichern von Datenträgerimages verwendet.

Es gibt ja zum Speichern der Datenträgerkopien verschiedene Möglichkeiten. Die Schwierigkeit dabei ist, den Zugriff von eventuell unterschiedlichen Betriebssystemen zu ermöglichen. Die einen schwören auf NTFS mit Large File Support, die anderen nehmen FAT32 und lassen EnCase und Konsorten das Image splitten, manche Ermittler nehmen lieber Ext2/3 und greifen von Windows mit einem Ext-Treiber zu. Ich bin auf die Antworten und Diskussionen hierzu gespannt.

Die Registry eines Windows-Systems bietet eine Vielzahl von wertvollen Informationen. So auch für die Analyse der an ein Windows-System angeschlossenen USB-Geräte. Zusätzlich zu den relevanten Hardwareinformationen kann man aus der Auswertung der setupapi.log und den User Assist Keys weitere wesentliche Erkenntnisse erlangen.

Screenshot von USBdeview

Die History der an ein Windows-System angeschlossenen USB-Geräte wird in folgendem Registry-Key gespeichert:

HKEY_LOCAL_MACHINE\System\ControlSet00x\Enum\USBSTOR

Welches Control Set vom System verwendet wird, kann dem Key HKEY_LOCAL_MACHINE\System\Select\Current entnommen werden. Jedes USB-Gerät, dass jemals mit dem System verbunden wurde, hat eine Instanzen ID im darunter liegenden Key USBSTOR. Zum Nachvollziehen der Timeline, zu welchem Zeitpunkt welches USB-Gerät am System angeschlossen war, sollte zuerst der Wert “LastWrite” herangezogen werden. Dieser Wert ist jedem Key in der gesamten Registry zugeordnet und mit dem normalen Registry-Viewer nicht sichtbar. Dieser Wert zeigt an, zu welchem Zeitpunkt der zugehörig Registy-Key zuletzt geschrieben wurde. In unserem Fall ist es wichtig auseinanderzuhalten, dass der Wert anzeigt, wann der Registry-Key zuletzt geschrieben wurde und nicht, wann auf den Datenträger geschrieben wurde oder wann dieser das letzte Mal angeschlossen wurde. Um dies herauszufinden, gibt es mehrere weitere Analyseansätze. Zum einen kann der Key HKEY_LOCAL_MACHINE\SYSTEM\MountDevices\ ausgewertet werden, da dieser anzeigt, auf welchen Laufwerksbuchstaben ein USB-Gerät gemapped war. Zum anderen finden sich sowohl in den User Assist-Keys und den MRU-Keys bzw. -Listen weitere wertvolle Informationen um das Gesamtbild zu erhalten.

Da die wenigsten Leute diese Analysen mühsam per Hand durchführen wollen, gibt es hier eine kurze - nicht vollständige - Übersicht über die verfügbaren Hilfsmittel:

• USBdeview von nirsoft.net (siehe Screenshot) liefert eine sehr ausführliche Übersicht über die USB History (wann erstellt, wann das letzte mal angeschlossen, wo gemapped etc.)
• usbhistory ist ein textbasiertes Tool, welches einen schnellen Überblick über die USB History eines laufenden Systems gibt (siehe Screenshot)
• X-Ways Forensics liefert ebenfalls einen Bericht über angeschlossene USB-Geräte aus einem forensischen Datenträgerimage oder einer Registry-Datei
• Lance Mueller hat auf seiner Webseite ein EnScript veröffentlicht, welches eine Analyse der USB History mit EnCase ermöglicht
• Harlan Carvey hat in seinem Incident Response Script RegRipper ebenfalls ein Plugin, welches die USB History auswerten kann
• Access Data’s FTK enthält einen Regstry Viewer, der in einem Report Auskunft über die angeschlossenen USB-Geräte gibt.

Screenshot von usbhistory

Um aber später die Funktionsweise der Werkzeuge zu verstehen und erklären zu können, sollte jeder Ermittler wissen wo im System die entsprechenden Spuren zu finden sind.

Viele Korrekturen und Verbesserungen in X-Ways Forensics 15.1:

* Möglichkeit, einfache Versuche zu erkennen, Dateien beliebigen
Typs als ausführbare Dateien zu maskieren. Solche Dateien werden
nicht mehr als ausführbare Dateien bestätigt. Nur mit forensischer
Lizenz.

* Ungewöhnliche ausführbare Dateien können nun leichter ausfindig
gemacht werden, da sie speziellen Berichtstabellen zugeordnet
werden, wenn sie unbekannte Segmente oder ein unerwartetes
Dateiende aufweisen. Nur mit forensischer Lizenz.

* Es kann nun besser unterschieden werden zwischen diversen
exe-Dateitypen, incl. Altformate, DLLs, Fonts, VXDs und anderen
Treibern (siehe Typ-Spalte nach Typprüfung). Nur mit forensischer
Lizenz.

* Besondere Unterstützung für ausführbare Dateien bei der Datei-
Header-Signatursuche. Die Dateigröße und der genaue Dateityp
werden erkannt. Die exakte Dateigröße hilft dabei, bekanntermaßen
irrelevante Dateien mit Hilfe von Hash-Datenbanken auszuschließen.

* Größenerkennung für besonders große Zip-Archive bei der Datei-
Header-Signatursuche. Größenerkennung für 7zip-Archive.

* Es ist jetzt möglich, auch übergeordnete und Unterobjekte
einer ausgewählten Datei automatisch einer Berichtstabelle
hinzuzufügen. Nützlich z. B., wenn Sie nicht nur eine bestimmte
E-Mail in einen Bericht aufnehmen möchten, sondern auch deren
Anhänge, oder andersherum, oder nicht nur bestimmte Standbilder
aus Videos, sondern auch das ganz zugehörige Video selbst.
Berichtstabellen-Verknüpfungen können auch von übergeordneten
und Unterobjekten in einem einzigen Schritt entfernt werden.
Nur mit forensischer Lizenz.

* Dateien, die Unterobjekte einer *Datei* sind (d. h. deren
übergeordnetes Objekt kein Verzeichnis ist), werden nun im
Verzeichnis-Browser gesondern mit 3 hellblauen Punkten in der
oberen linken Ecke des Icons gekennzeichnet, um auf diese
Besonderheit hinzuweisen.

* Lange Listen von Dateinamen können nun direkt als Datei-
namensfilter eingesetzt werden. Mehrere Dateinamen oder
Dateinamensmasken werden nicht mehr per Semikolon verkettet,
sondern 1 pro Zeile eingegeben oder aus der Zwischenablage
eingefügt. Nützlich, wenn Sie eine Liste relevanter Dateien
oder Stichwörter haben und schnell herausfinden möchten,
ob Dateien mit solchen Namen vorhanden sind.

* Beim Extrahieren von Miniaturansichten aus JPEGs werden diese
nun als Unterobjekte der jeweiligen JPEG-Datei angezeigt.
Solche Miniaturansichten und andere generisch benannten
eingebetteten Bilder werden nun als virtuelle Dateien
klassifiziert. Nur mit forensischer Lizenz.

* Angehängte externe Dateien werden nun immer als Unterobjekte
des gewählten Objekts hinzugefügt, selbst wenn Sie nur eine
einzige Datei anhängen, es sei denn, Sie halten die Umschalt-
Taste gedrückt. Es ist jetzt auch möglich, externe Dateien an
ein Verzeichnis anzuhängen. Nur mit forensischer Lizenz.

* Möglichkeit, dem Datei-Überblick auch im Datei-Modus einen
gewählten Block als virtuelle Datei hinzuzufügen (Bearbeiten-
Menü). In diesem Fall wird die Datei als Unterobjekt der
Originaldatei angeordnet. Nur mit forensischer Lizenz.

* Die NTFS-System-Datei $UsnJrnl kann nun besonders eingesehen
werden, ein weiteres einzigartiges Feature. Nur mit forensischer
Lizenz.

* Die Untersuchung von $LogFile als Teil der intensiven Datei-
system-Datenstruktur-Suche in NTFS-Dateisystemen ist nun noch
vollständiger. Nur mit forensischer Lizenz.

* Die Interpretation von $LogFile für den Einsehen-Befehl/den
Vorschau-Modus ist nun vollständiger. Sie zeigt jetzt auch das
von der Datei abgedeckte Zeitintervall an (s. ganz unten in der
Darstellung), so daß leicht feststellbar ist, ob relevante
Zeitpunkte überhaupt in der betreffenden $LogFile-Datei enthalten
sind. Es ist jetzt auch leichter, den Löschzeitpunkt einer Datei
herauszufinden oder zumindest einzugrenzen, wenn dieser Vorgang
zeitlich in der abgedeckten Rahmen fällt, indem man nach einer
“Undo: Initialize File Record Segment”-Operation für die betref-
fende Datei sucht oder indem man nach der LSN aus dem Header des
FILE-Records der betreffenden Datei sucht. Der folgende EndPage-
Ausdruck zeigt dann jeweils den Zeitrahmen der Operation an.
Generell verbesserte Darstellung. Nur mit forensischer Lizenz.

* Möglichkeit, FAT32-Dateisysteme auszuwerten, deren Haupt-
Bootsektor defekt ist, sofern der Backup-Bootsektor noch
vorliegt. Möglichkeit, FAT32-Partitionen automatisch bei der
Suche nach verlorenen Partitionen zu finden, auch wenn der
Haupt-Bootksektor defekt ist.

* Umgang mit extrem großen Verzeichnissen in FAT-Dateisystemen.

* Das Kopieren von Dateien aus einem Image auf eigene Laufwerke
oder in einen Container funktioniert intern nun leicht anders.
Diese Operationen können den Inhalt von ausgewählten Verzeichnissen
nun auch in einer bereits rekursiven Ansicht berücksichtigen,
und wenn man diese Möglichkeit nutzt, wird automatisch sicher-
gestellt, daß zugleich direkt und indirekt ausgewählte Dateien
nicht mehrfach kopiert werden. Auch wenn dieselbe Datei in einer
Suchtrefferliste mehrfach aufgelistet ist, weil sie mehrere
Suchtreffer enthält, und mehrfach ausgewählt ist, wird sie nur
noch einmal kopiert, was sehr komfortabel ist. Eine weitere
Folge ist, daß Sie die Meldung “Diese Operation kann in einer
bereits rekursiven Ansicht nicht in ausgewählte Verzeichnisse
verzweigen.” nicht mehr sehen werden. Ein weiterer Vorteil ist,
daß es nun 3 statt 2 Optionen für das Wiederherstellen des
Originalpfads in dem Ausgabe-Ordner bzw. Datei-Container gibt:
vollständiger Pfad, kein Pfad oder teilweiser Pfad (basierend
auf dem gegenwärtig erkundeten Verzeichnis, nicht vom Asservat-
Überblick aus verfügbar).

* Der Befehl Wiederherstellen/Kopieren erlaubt es nun optional,
Dateien mit überlangen Pfaden auszugeben (mehr als 260, bis 510
Zeichen, für Ausgabepfad + Originalpfad + Originaldateiname).
Beachten Sie, daß Sie solche Dateien anschließend mit gewöhnlichen
Tools wie dem Windows-Explorer nicht weiterverarbeiten können
(weder ansehen noch kopieren noch löschen). Diese Option ist
nützlich, wenn Sie auf diese Dateien mit Tools zugreifen, die
überlange Pfade unterstützen. Ansonsten können Sie die Pfadlänge
wie zuvor auf 260 Zeichen beschränken und Berichtstabellen-
Verknüpfungen für ausgelassene Dateien erhalten. Nur mit foren-
sischer Lizenz.

* Eine neue Option namens “empfehlenswerte Datenreduktion” für
die logische Suche und die Indexierung spart Zeit, indem sie
den logischen Teil bestimmter Dateien automatisch ausschließt:
Dateiarchive wie ZIP und RAR, deren Inhalte bereits in den
Datei-Überblick aufgenommen wurden, sowie PST- und DBX-E-Mail-
Archive, deren E-Mails und Datei-Anhänge bereits extrahiert
wurden. Letzteres ist besonders für die Indexierung hilfreich,
weil Base64-Code den Index sonst extrem aufbläht und den
Indexierungsvorgang stark verlangsamt.

* Es gibt nun einen “NICHT”-Operator im Attributfilter, der
es erlaubt, alternative Datenströme, Symlinks, Dateien mit
unbekanntem Inhalt usw. usf. herauszufiltern, wenn Sie solche
Dateien *nicht* sehen möchten.

* Es gibt nun eine Fortschrittsanzeige für die Hash-Berechnung
beim Erzeugen von Hash-Sets.

* Das Klonen von Datenträgern wird nun in Log-Dateien mit
jeweils eindeutigem Namen protokolliert, der auf der Startzeit
basiert.

* Möglichkeit, ausgewählte Dateien im Datei-Überblick so auf
den Urzustand zurückzuversetzen, daß die diversen Optionen in
der Funktion “Datei-Überblick erweitern” auf sie erneut
zugreifen würden, auch wenn dies schon vorher passiert ist.
Diese Funktion ist über Strg+Entf anwendbar. Sie räumt nicht
hinter den ausgewählten Dateien auf, d. h. löscht z. B. nicht
etwaige bereits extrahierte Unterobjekte aus dem Datei-Überblick,
aber das ist ja manuell anderweitig möglich.

* Der Anwendungsbereich einer Suche, die vom Falldatenfenster
aus ausgeführt wurde, war nicht konsistent. Dies wurde behoben.

* Die italienische Übersetzung wurde aktualisiert.

* Eine Fehler im neuen Indexierungsalgorithmus von v15.0
wurden behoben.

* Diverse kleinere Verbesserungen.

* Die Protokollierungsoption für den Befehl Wiederhstellen/
Kopieren verlangsamt das Kopieren besonders vieler Dateien
nicht mehr. (seit v15.0 SR-3)

* Gelegentliche Nichtverfügbarkeit des Druckbefehls im
Kontextmenü korrigiert. (seit v15.0 SR-3)

* Ein Ausnahmefehler wurde behoben, der beim Ausführen einer
Datei-Header-Signatursuche bei aktiver Darstellung einer
Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)

* Ein beim Beenden einer Suche verkleinertes Hauptfenster
stellt kein Problem mehr dar. (seit v15.0 SR-3)

* Ein Ausnahmefehler wurden behoben, der beim Sichern eines
aus Image-Dateien wiederhergestellten RAIDs in ein Image
auftreten konnte. (seit v15.0 SR-3)

* Ein Fehler im Verzeichnis-Browser wurde behoben, der nach
dem Erweitern des Datei-Überblicks oder nach der Rückkehr
aus einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)

* Intelligente Größenerkennung beim Carven von .tar-Archiven.
(seit v15.0 SR-4)

* Ein Fehler wurde behoben, der die Interpretation eines
e01-Evidence-Files mit vielen Segmenten unterbrechen konnte.
(seit v15.0 SR-4)

* Dateien, die Ausnahmefehler oder Abstürze während der
massenweisen Metadaten-Extraktion hervorrufen, werden dem
Benutzer vom Programm nun besonders zur Kenntnis gebracht,
so daß sie leicht identifiziert, unterdrückt und/oder an
uns weitergeleitet werden können. (seit v15.0 SR-5)

* Eine Instabilität bei der Extraktion von Metadaten aus
Cookies des Internet Explorer wurde behoben. (seit v15.0 SR-7)

* Ein Ausnahmefehler wurde behoben, der beim Klick auf eine
Position im Positions-Manager auftreten konnte. (seit v15.0 SR-5)

* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von
großen AOL-PFC-Dateien auftreten konnte. (seit v15.0 SR-7)

AccessDatas FTK wird nun im Bundle mit Silentrunner vertrieben. Zu FTK muss ich ja nix mehr sagen, aber vielleicht zu Silentrunner. Dieses Stück Softwarewurde ursprünglich von der Firma Raytheon entwickelt, dann an CA verkauft und dort in den Namen “Network Forensics” umgetauft. Dann habe ich das Tool aus den Augen verloren. Nun gut, jetzt ist es wieder aufgetaucht. Ich habe Silentrunner sehr gern für die Analyse und grafische Aufbereitung von Massenprotokolldaten verwendet. Man kann damit z.B. Firewall- und IDS-Protokolldaten korrelieren, um Ausreisser oder Anomalien zu erkennen. Neben Pattern- und Inhaltsanalyse, können aufgezeichnete Angriffe (über den Sensor oder einen Logimport) wieder abgespielt werden. Die Kombination von FTK und Silentrunner ist sicherlich ein Schritt in die richtige Richtung, da jeder Anwendungszweck sein Spezialwerkzeug benötigt. Ob der tägliche Einsatz auch praktisch ist, wird sich zeigen.

Screenshot von Silentrunner

Wie hier bereits angekündigt, ist in der iX 08/2008 ein Artikel über den Einsatz von F-Response erschienen.

Mit F-Response ist es einfach möglich, über das Netz auf Festplatten von verdächtigen Systemen zuzugreifen, um dann mit seinen Forensik-Tools wie gewohnt weiter arbeiten zu können.

Ich habe der Zeitschrift “connect” ein Interview zum Thema TrueCrypt im Rahmen von computer-forensischen Ermittlungen gegeben. Die Onlineversion findet sich hier.

Wie bereits hier angekündigt, habe ich zum nächst möglichen Zeitpunkt Stellen in meinem Computer-Forensik Team in Düsseldorf, Frankfurt und natürlich Berlin zu besetzen. Es handelt sich konkret um

Senior Consultants (m/w) Forensic Technology & Discovery Services

und

Consultants (m/w) Forensic Technology & Discovery Services

Es ist sowohl für erfahrene Spezialisten als auch für Neueinsteiger etwas dabei.
Fragen zu den Stellen beantworten ich oder die netten Kollegen von der Personalabteilung jederzeit gern.