Linux forensik

Forensik mit Linux

Knoppix kann’s: Alle Programme, die ein Forensiker benötigt, liefert Linux bereits mit Bordmitteln: hier Knoppix.

Auch der private Anwender, der sich kein teures Spezialtool leisten will, kann Forensik betreiben: mit Linux. Denn Linux besitzt einige Eigenschaften, die es für Forensiker sehr gut eignet (siehe auch www.computer forensik.org). Das einfache Tool Disk Dump (dd) etwa wurde von US-Sicherheitsbehörden für die Forensik empfohlen (www.cftt. nist.gov). Der Linux-Forensiker verwendet eine Distribution, die er nicht installieren muss, z.B. Knoppix (www.knoppix.de). Er bootet Knoppix mit der Option no swap, sodass keinesfalls Daten auf die Platte geschrieben werden: knoppix no swap

Nach dem Booten darf er die zu untersuchende Festplatte (z.B. /dev/hda) nicht mounten oder auf das Laufwerkssymbol auf dem Desktop klicken. Die USB-Zielplatte hingegen mountet er, z.B.: mount /mnt/sda

Das Image lässt sich aber auch auf ein Netzlaufwerk kopieren. Im nächsten Schritt legt er eine Checksumme der Platte an (Root-Rechte erforderlich, aber nicht mounten): sha1sum /dev/hda > /mnt/sda/checksumme_vor.sha1

Dann erzeugt er mit dem Befehl Disk Dump ein 1:1-Image: dd if=/dev/hda of=/mnt/sda/sicherung.dd

Die externe USB-Platte muss natürlich groß genug sein. Nun legt der Forensiker erneut eine Checksumme an, um beweisen zu können, dass die Festplatte durch das Anlegen der Images nicht geändert wurde. sha1sum /dev/hda > /mnt/sda/checksumme_nach.sha1

Wenn diese beiden Quersummen gleich sind und noch mit der Sicherung übereinstimmen: sha1sum /mnt/sda/sicherung.dd > /mnt/sda/checksumme_image.sha1

kann der Forensiker nachweisen, dass er ein eindeutiges Image besitzt. Wenn noch ein oder zwei Zeugen den Vorgang beobachten, die (ausgedruckten) Checksummen prüfen und das Protokoll sowie Checksummen unterschreiben, so ist das Image als Beweis vor Gericht tauglich – z.B. nach einer Dialer-Attacke. Der Geschädigte kann es der Polizei oder einem Labor übergeben.

Autopsie am PC: Das Tool Autopsy zerlegt ein Festplattenimage in Einzelteile, sucht Text oder legt Zeittafeln an.

Auch für die Analyse bietet Linux Tools, z.B. Autopsy (www.sleuthkit.org/autopsy). Dabei durchsucht der Forensiker nicht die betroffene Platte selbst, sondern das Image. Auf einem Linux-Rechner (nicht das zu untersuchende System) mountet er das mit Disk Dump erzeugte Abbild einer Partition schreibgeschützt z.B.: mount -o loop,ro /root/part1.dd /mnt/sicherung

Schwieriger ist es, das Abbild einer ganzen Platte zu mounten. Dafür ist das Enhanced Loopback Device erforderlich: ftp.hq.nasa. gov/pub/ig/ccd/enhanced_loopback. Siehe Installationshinweise dort.

Autopsy durchsucht Linux- und Windows- Dateisysteme, aber auch gelöscht Bereiche einer Platte oder Weißraum zwischen den Partitionen. Der Forensiker findet damit nicht nur Text, er sucht nach Hash-Werten bekannter Trojaner (eine Liste z.B. www.nsrl.nist.gov) oder erstellt Aktivitäts- Protokolle eines Dateisystems: Wann wurden welche Daten geändert?