ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

Weitere Toolkits

Neben OSForensics, Autopsy und CAINE wurden in unserem Test noch folgende Toolsammlungen analysiert:

Digital Forensics Framework (DFF) der Firma ArxSys bietet eine Windows- und Linux-Distribution zur Analyse von Laufwerken, Dateisystemen, Benutzer- und Anwendungsdaten. Zudem stellt es eine Suchfunktion nach Metadaten sowie gelöschten und versteckten Daten bereit. Die untersuchte Version war »Windows Release with dependencies 1.2.0« . Die aktuelle Version trägt die Versionsnummer 1.3.0.

TSK: Diese Kommandozeilen-Toolsammlung wird von Brian Carrier sowohl für Windows als auch für Linux entwickelt. Untersucht wurde die Windows Version 4.0.1., die durch die aktuelle Version 4.1.0 abgelöst wird.

Paladin, die Linux-Toolsammlung der Firma Sumuri, dient primär der Image-Erzeugung. Bei der untersuchten Version 3.0 ließ sich das Image nicht erfolgreich einbinden. Die aktuelle Version ist Version 4.0. SANS Investigate Forensics Toolkit (SIFT) in der aktuellen Version 2.14 und Backtrack in der aktuellen Version 5.0 R3 wurden zusätzlich untersucht. Backtrack wird mittlerweile durch Kali Linux abgelöst und dient primär der Überprüfung der Gesamtsicherheit eines Netzes.

Fazit

Autopsy ist in der Gesamtbewertung das beste Tool zur Rekonstruktion Browser-basierter Tatbestände. Viele Tools der untersuchten Toolsammlungen bauen auf TSK auf und erweitern es durch eine grafische Oberfläche. Bewertet man die Toolsammlungen danach, wie sie die Anforderungen erfüllen (Tabelle 2), kann man für komplett erfüllte Anforderungen ein "+", für teilweise erfüllte ein "o" und für nicht erfüllte Anforderungen ein "--" vergeben. Hier wird ersichtlich, dass die Überprüfung von Konfigurationen, Programmabläufe und die Bereiche HTTPS/SSL und DNS noch Defizite aufweisen. Keine der Toolsammlungen lieferte hier verwertbare Ergebnisse.

Anforderungen/Toolkit

OSForensics

DFF

Autopsy

SIFT

Backtrack

CAINE

Paladin

TSK

Allgemeine Anforderungen

Image-Einbindung

+

+

+

o

o

o

+

Such-/Filterfunktion

+

o

+

+

+

+

k.A.

+

Kombination verschiedener Datenquellen

k.A.

Protokollierung

o

o

o

o

o

k.A.

Szenario-spezifische Anforderungen

Browser-Artefakte

Darstellung

k.A.

Verlauf

+

+

+

+

k.A.

+

Cache

o

o

o

o

o

k.A.

HTTPS/SSL

k.A.

Passwörter

o

k.A.

Cookies

+

+

+

+

k.A.

Favoriten

o

+

o

o

o

k.A.

o

Formulardaten

k.A.

Downloads

+

k.A.

Information/Veränderungen zugrundeliegender Dienste

DNS/Namensauflösung

o

o

o

o

o

k.A.

TCP/IP Protocol Stack

k.A.

Veränderung der Konfiguration

Browser

k.A.

Komponenten

k.A.

Veränderter Programmablauf

Browser

k.A.

Komponenten

k.A.

Die Toolsammlungen boten primär Funktionen zur Datenbetrachtung, Hash-Verifizierung einzelner Datenquellen, Suche und zum Filtern. In Zukunft ist eine Weiterentwicklung hin zur Kombination von Daten verschiedener Quellen nötig. Im Idealfall sollte eine gesamte Browser-Sitzung schrittweise nachvollziehbar sein. Zudem müssen für eine umfangreiche Analyse zusätzliche Datenquellen, wie beteiligte Netzkomponenten und Server mit Monitoring-Tools hinzugezogen werden.

Auch die zusätzliche Durchführung einer Live-Forensik zur Untersuchung flüchtiger Daten wäre gewinnbringend. Für einen detaillierteren Einblick ist die diesem Beitrag zugrunde liegende wissenschaftliche Arbeit unter [10] einsehbar.

Infos

  1. Bundesamt für Sicherheit in der Informationstechnik. Leitfaden "IT-Forensik", 2011: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/Leitfaden_IT-Forensik_pdf.pdf?__blob=publicationFile
  2. Forensic Control. Free computer forensic tools: http://forensiccontrol.com/resources/free-software/
  3. PassMark OSForensics: http://www.osforensics.com
  4. Autopsy: http://www.sleuthkit.org/autopsy
  5. Computer Aided Investigative Environment: http://www.caine-live.net,
  6. Brian Carrier. Grep Search Limitations: http://www.sleuthkit.org/autopsy/help/grep_lim.html
  7. Galleta: http://www.mcafee.com/us/downloads/free-tools/galleta.aspx
  8. Pasco: http://www.mcafee.com/us/downloads/free-tools/pasco.aspx
  9. TSK: http://www.sleuthkit.org/sleuthkit.
  10. Sandy-Dorothea Hein: Analyse forensischer Toolsammlungen zur Rekonstruktion browserbasierter Tatbestände, 2013: https://www.unibw.de/inf3/forschung/dreo/publikationen/ba-und-ma/2013_hein_browser-forensik.pdf
comments powered by Disqus
Mehr zum Thema

Forensische Analyse mit Autopsy

Die Analyse von Computersystemen nach einem Totalausfall, etwa nach einem Angriff mit Schadsoftware, ist die Aufgabe von Forensikspezialisten. Diese können mit entsprechenden Werkzeugen Logdaten, die Webhistorie oder Bilddaten rekonstruieren und sogenannte Indicators of Compromise aufspüren. In diesem Security-Tipp stellen wir Ihnen das Sleuthkit-Werkzeug Autopsy vor und zeigen, wie Sie damit forensische Analysen durchführen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021