Post Mortem Analysen mit OpenSource Software

Forensische Analysen mit freien OpenSource Programmen sind seit Dan Farmers und Wietse Venemas ersten und einzigen Forensik-Kurs und der darauf folgenden Veröffentlichung des Coroner’s Toolkits [1] im Jahr 1999 kein unbekannter Faktor mehr. Allerdings mussten sich die OpenSource-Lösung von jeher den Vorwurf gefallen lassen, im Gegensatz zu ihrer kommerziellen Konkurrenz umständlich bedienbar und nur für Freunde der Kommandozeile anwendbar zu sein. Mit Brian Carriers Autopsy [2]/Sleuth Kit [3] Programmkombination soll diese Lücke geschlossen werden. Dieser Beitrag befasst sich mit dem professionellen Einsatz dieser Programme bei forensischen Laboranalysen und den neuen Möglichkeiten, die mit der grafischen Oberfläche Autopsy verbunden sind. 1 Einsatz von OpenSource Software in der Vergangenheit Nachdem Systemadministratoren jahrelang mit Hilfe von Systemtools und selbstgeschriebenen Programmen Einbrüche in Computersysteme analysiert hatten, stellten Dan Farmer und Wietse Venema im August 1999 zum ersten Mal ein einheitliches Toolset zur Analyse von kompromittierten Systemen vor. Dieses Toolset wurde unter dem Namen „The Coroner’s Toolkit“ (TCT) bekannt. Das TCT stellt dem forensischen Experten Programme zur Beweissicherung und zur späteren Laboranalyse zur Verfügung. Im Lauf der folgende Jahre wurde das TCT zu einem Quasi-Standard, wenn für eine forensische Analyse OpenSource Software herangezogen wurde. Das Coroner’s Toolkit wurde nach-und-nach durch Zusatzprogramme erweitert. Brian Carrier implementierte seine „tctutils“ [4], eine Reihe von Zusatzprogrammen die das TCT um die Möglichkeit ergänzte, Analysen auch auf Dateinamen-Ebene durchzuführen. Ebenso erschuf Carrier mit „Autopsy“ ein webbasiertes Frontend für die Kommandozeilen-Programme. Etwa zeitgleich portierte Knut Eckstein des TCT für HP-UX 10.20 und 11.00 [5]. Bei der Analyse mehrerer kompromittierter Systeme erwies sich TCT dahingehend als problematisch, dass pro analysiertem Betriebssystem eine eigene Version des TCT auf dem identischen Betriebssystem benötigt wurde. Carrier kombinierte TCT und tctutils mit einigen neuen Features und stellte damit „The @stake Sleuth Kit“ (TASK) zur Verfügung. TASK erlaubt dem forensischen Experten die plattformunabhängig Analyse