Auf digitaler Spurensuche
Fazit und Toolübersicht
Die relativ junge Disziplin der IT-Forensik hilft nicht nur dabei, digitale Spuren von internen und externen Angreifern zu sichern. Sie kann auch als Teil der Incident Response und des Riskmanagement wichtige Dienste zu einer Erhöhung der Cyber-Sicherheit in Unternehmen leisten.
Einige wichtige Tools für die IT-Forensik
Für die korrekte Durchführung digitaler forensischer Untersuchungen gibt es eine Reihe von Software-Tools, die sowohl kommerziell als auch quelloffen zur Verfügung stehen. In vielen Fällen handelt es sich dabei um ganze Werkzeugkisten oder Tool-Sammlungen. Einen guten und aktuellen Überblick gibt die Tool-Liste von Alexander Geschonneck unter www.computer-forensik.org/tools/ (vgl. auch Kasten «Ressourcen zur IT-Forensik»).
Wir haben eine Handvoll der gebräuchlichsten Werkzeuge und Tool-Sammlungen zusammengestellt -- ohne den geringsten Anspruch von Vollständigkeit:
- Caine-Live-CD und -USB: Caine (Computer Aided INvestigative Environment) kann auf einen bootfähigen Datenträger gespitzt werden. Die Toolsammlung mit italienischen Wurzeln verwendet als Betriebssystem-Basis die GNU/Linux-Distribution Ubuntu. Zu den Hauptmerkmalen gehört eine anwenderfreundliche Benutzeroberfläche, die mit einer grossen Anzahl von Forensik- und Incident-Response-Werkzeugen gekoppelt ist. Die Umgebung wird laufend angepasst und erhält Updates. Ein schönes Feature ist zudem ein halbautomatischer Report-Generator. Infos: www.caine-live.net
- Sift (Sans Investigative Forensic Toolkit) ist eine IT-Forensik-Tool-Sammlung, die entweder als VMware-Appliance gestartet, oder auf der GNU/Linux-Distribution Ubuntu 16.04 ausgeführt werden kann. Die Werkzeugkiste wird unter anderem in den vom Sans-Institute angebotenen Kursen zur Incidence Response und IT-Forensik verwendet. Sist unterstützt hauptsächlich für forensische Untersuchungen verwendete Beweismittelformate (Evidence Format) wie das Expert Witness Format (E01), Advanced Forensic Format (AFF) und RAW (dd). Infos: digital-forensics.sans.org
- Sleuth Kit und Autopsy: Beim Sleuth Kit handelt es sich um eine Sammlung von forensischer Software, das über die Kommandozeile gesteuert wird. Mit dieser lässt sich hauptsächlich die Verwendung der Systeme analysieren. Es lassen sich aber auch Abbilder von Datenträgern untersuchen. Mit Autopsy erhält der IT-Forensiker ein Programm mit grafischer Benutzeroberfläche, mit dem Festplatten und auch Smartphones untersucht werden können. Infos: www.sleuthkit.org
- Volatility Framework: Dieses Rahmenwerk dient der Analyse von flüchtigen Speichern. Es untersucht beispielsweise die Runtime-Prozesse und den Systemstatus anhand der Daten, die es im RAM findet. Das Framework wurde an der Black Hat entwickelt und wird mittlerweile weltweit von Strafverfolgungsbehörden verwendet. Infos: www.volatilityfoundation.org
- X-Ways Forensics: Dabei handelt es sich um eine integrierte kommerzielle Arbeitsumgebung für IT-Forensiker, die laut Herstellerangaben nicht so ressourcenhungrig ist wie vergleichbare Tools. Das Werkzeug ist anwenderfreundlich, mobil und läuft von einem USB-Stick aus in jedem Windows-System ohne vorherige Installation. Infos: www.x-ways.net
- FTK Imager: Dieser ist einerseits Teil der kompletten FTK (Forensics Toolkit) von AccessData, andererseits kann das Werkzeug als Stand-alone gratis heruntergeladen werden. Es dient der Erstellung von Images und sollte in keiner gepflegten Tool-sammlung fehlen.Infos: accessdata.com
- Plaso (ehemals log2timeline): Das Tool dient dem Extrahieren von Timestamps von verschiedenen Files und zur Aggregierung dieser zu einer Timeline. Infos: github.com/log2timeline/plaso/wiki
