Neben OSForensics, Autopsy und CAINE wurden in unserem Test noch folgende Toolsammlungen analysiert:
Digital Forensics Framework (DFF) der Firma ArxSys bietet eine Windows- und Linux-Distribution zur Analyse von Laufwerken, Dateisystemen, Benutzer- und Anwendungsdaten. Zudem stellt es eine Suchfunktion nach Metadaten sowie gelöschten und versteckten Daten bereit. Die untersuchte Version war
»Windows Release with dependencies 1.2.0
«
. Die aktuelle Version trägt die Versionsnummer 1.3.0.
TSK: Diese Kommandozeilen-Toolsammlung wird von Brian Carrier sowohl für Windows als auch für Linux entwickelt. Untersucht wurde die Windows Version 4.0.1., die durch die aktuelle Version 4.1.0 abgelöst wird.
Paladin, die Linux-Toolsammlung der Firma Sumuri, dient primär der Image-Erzeugung. Bei der untersuchten Version 3.0 ließ sich das Image nicht erfolgreich einbinden. Die aktuelle Version ist Version 4.0. SANS Investigate Forensics Toolkit (SIFT) in der aktuellen Version 2.14 und Backtrack in der aktuellen Version 5.0 R3 wurden zusätzlich untersucht. Backtrack wird mittlerweile durch Kali Linux abgelöst und dient primär der Überprüfung der Gesamtsicherheit eines Netzes.
Autopsy ist in der Gesamtbewertung das beste Tool zur Rekonstruktion Browser-basierter Tatbestände. Viele Tools der untersuchten Toolsammlungen bauen auf TSK auf und erweitern es durch eine grafische Oberfläche. Bewertet man die Toolsammlungen danach, wie sie die Anforderungen erfüllen ( Tabelle 2 ), kann man für komplett erfüllte Anforderungen ein "+", für teilweise erfüllte ein "o" und für nicht erfüllte Anforderungen ein "--" vergeben. Hier wird ersichtlich, dass die Überprüfung von Konfigurationen, Programmabläufe und die Bereiche HTTPS/SSL und DNS noch Defizite aufweisen. Keine der Toolsammlungen lieferte hier verwertbare Ergebnisse.
Anforderungen/Toolkit |
OSForensics |
DFF |
Autopsy |
SIFT |
Backtrack |
CAINE |
Paladin |
TSK |
---|---|---|---|---|---|---|---|---|
Allgemeine Anforderungen |
||||||||
Image-Einbindung |
+ |
+ |
+ |
o |
o |
o |
– |
+ |
Such-/Filterfunktion |
+ |
o |
+ |
+ |
+ |
+ |
k.A. |
+ |
Kombination verschiedener Datenquellen |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Protokollierung |
o |
– |
o |
o |
o |
o |
k.A. |
– |
Szenario-spezifische Anforderungen |
||||||||
Browser-Artefakte |
||||||||
Darstellung |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Verlauf |
– |
– |
+ |
+ |
+ |
+ |
k.A. |
+ |
Cache |
o |
– |
o |
o |
o |
o |
k.A. |
– |
HTTPS/SSL |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Passwörter |
o |
– |
– |
– |
– |
– |
k.A. |
– |
Cookies |
– |
– |
+ |
+ |
+ |
+ |
k.A. |
– |
Favoriten |
o |
– |
+ |
o |
o |
o |
k.A. |
o |
Formulardaten |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Downloads |
– |
– |
+ |
– |
– |
– |
k.A. |
– |
Information/Veränderungen zugrundeliegender Dienste |
||||||||
DNS/Namensauflösung |
o |
– |
o |
o |
o |
o |
k.A. |
– |
TCP/IP Protocol Stack |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Veränderung der Konfiguration |
||||||||
Browser |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Komponenten |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Veränderter Programmablauf |
||||||||
Browser |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Komponenten |
– |
– |
– |
– |
– |
– |
k.A. |
– |
Die Toolsammlungen boten primär Funktionen zur Datenbetrachtung, Hash-Verifizierung einzelner Datenquellen, Suche und zum Filtern. In Zukunft ist eine Weiterentwicklung hin zur Kombination von Daten verschiedener Quellen nötig. Im Idealfall sollte eine gesamte Browser-Sitzung schrittweise nachvollziehbar sein. Zudem müssen für eine umfangreiche Analyse zusätzliche Datenquellen, wie beteiligte Netzkomponenten und Server mit Monitoring-Tools hinzugezogen werden.
Auch die zusätzliche Durchführung einer Live-Forensik zur Untersuchung flüchtiger Daten wäre gewinnbringend. Für einen detaillierteren Einblick ist die diesem Beitrag zugrunde liegende wissenschaftliche Arbeit unter [10] einsehbar.
Infos