Digitale Spuren vermeiden, verwischen und falsche Fährten legen
Wie wir nun wissen, ist IT-Forensik ein Teilgebiet der Forensik und nicht spannender oder weniger spannend als andere Bereiche der Forensik. Zu erleben sind Situationen, wo kleine Probleme enorme Auswirkungen zur Folge haben.
Ein Beispiel aus der Berichterstattung mit 45 Tatorten:
IT Forensik als Teilgebiet der Forensik stellt nicht anderes als eine Recherche dar
Wir verwenden Begriffe Computer Forensik, digitale Forensik, mobile Forensik und aus dem Englischen: Computer Forensics, in denen das Ziel ist, verdächtige oder nur relevante Vorgänge aufzuklären und Sicherheitsvorfälle zu untersuchen. Eine Verwendung der erlangten Erkenntnisse vor Gericht ist nicht immer notwendig, wird aber dennoch oft angestrebt und durchgesetzt.
Es geht dabei immer um Klärung der W-Fragen. Was ist Wo und Wie geschehen und Wer hat Wann, Was, Warum gemacht. Dies unterliegt einem Prozess der da heißt, Identifizierung, Sicherstellung, Analyse, Auswertung des Datenmaterials. Also ein geplantes Vorgehen, damit nicht dieses Tupferstäbchen-Problem eintritt.
Herausforderung
Ein IT Forensiker steht vor enormen Herausforderungen, denn die Beweise, die man sicherstellt, dürfen unter keinen Umständen oder so wenig wie möglich verändert werden.
An einem Computer stellt diese Erwartung ein Problem. Im Arbeitsspeicher ändern sich ständig relevante Informationen. So werden allein durch das Einschalten des Rechners vorhandene Beweise vernichtet. Dies können belastende aber auch entlastende Beweise sein, die nicht gefunden und ausgewertet werden können. Das gilt für die gesamte Beweismittelkette. Nicht nur die Sicherstellung, der Ausbau einer Festplatte und die Analyse sind wichtig, es sind die Schritte danach. Wenn man eine Datei entpackt, analysiert und weiteren anderen Analyseschritten unterzieht und hier ein Fehler geschieht und somit die Beweismittelkette unterbrochen wird, kann das Ergebnis dieser Auswertung in eine falsche Richtung laufen. Das führt dazu, dass jemand zu Unrecht beschuldigt oder zu Unrecht entlastet wird. Hinzu kommt, dass alle Aktionen dokumentiert und nachvollziehbar gemacht werden, sodass als IT Forensiker aber auch als Betroffener der Gegenseite jederzeit eine Kontrolle möglich gemacht wird.
Worin liegt jedoch die Schwierigkeit eines IT Forensikers?
Ein Forensiker kann auf Anhieb nicht alles. Und er muss sich bewusst darüber sein, dass die Gegenseite topfit ist in einem Teilgebiet oder mehreren Teilgebieten. Als IT Forensiker ist man als Allrounder einem Spezialisten gegenübergestellt. Das führt dazu, dass man als Forensiker Dinge, welche sehr gut versteckt sind, nicht auf Anhieb findet und demzufolge die Gefahr besteht, nicht gefunden zu werden und somit auch nicht untersucht werden. Geschuldet ist das aber auch durch Zeitdruck und Eile, denn eigentlich benötigt man dafür viel intensive Zeit und Gründlichkeit.Ein korrektes Arbeiten ist unablässig, wichtig und entscheidend. Als IT Forensiker ist man angewiesen auf spezielle IT Forensik Software, welche riesige Datenbestände auswertet. So kommen sehr schnell mehrere Terrabyte Datenbestände zusammen.
Jetzt stellen wir uns vor, man müsse mehrere Computersysteme und deren riesigen Datenbestände händisch auswerten, was so gut wie unmöglich ist. Hier müssen Automatisierungsprogramme unterstützend eingreifen. Wenn diese jedoch nicht korrekt angewendet werden und falsche Ergebnisse liefern, hat man ein ernstzunehmendes Problem. So sollte man auch zwei verschiedene Forensik Programme benutzen um evtl. Fehler im Programm zu erkennen. Auch darf das Auswertesystem nicht mit dem Internet verbunden sein. Das wenn man mit Schad-Code oder Mail-Mare arbeitet diese nicht den Auswerterechner befallen und sich im Internet verbreiten. So müssen schließlich Schlussfolgerungen auf Fakten basieren und keine Spekulationen zulassen, um dann daraus unzulässige Schlüssen zu ziehen.
Der Gegenspieler
Hier kommt Anti Forensik ins Spiel. Was wäre denn die eleganteste Lösung? Man müsse nur die Forensiker aus dem Verkehr ziehen. Keine Forensiker, somit keine Forensik mehr, aber das lässt sich nur sehr schwer realisieren. Jetzt versetzen wir uns einmal in die Lage eines Hackers und dann müssen wir uns auch Gedanken machen, dass mein Computer irgendwann beschlagnahmt wird und dann wäre es zu spät Vorkehrungen zu treffen. Es muss geplant und vorbereitet werden, um keine oder so wenig wie nur möglich Spuren zu hinterlassen. z. B.: der Häcker, der seine Einbruchsspuren verwischen muss oder der Downloader, der die Downloadspuren verwischt, weil man irgendwann illegales heruntergeladen hat. Registry Cleaner und Disk wipe sind bekannt und nicht neu. Was jedoch neu ist, sind Angriffe gegen Werkzeuge der IT Forensik, die dann aktiv werden, wenn der Forensiker mit seinem Tool angeschlagen hat. Es ist fast das gleiche, wie wenn man die Tatwaffe verschwinden lässt, die Fingerabdrücke seines geliebten Nachbarn verteilt oder eine Auswertung zu verwirren, indem man andere Munition am Tatort verstreut. Das geschieht so auch in der IT Forensik. Um eine Auswertung zu verhindern, den Datenträger zu überschreiben, die Registry überschreiben und natürlich auch die Klassiker Steganografie oder die Verschlüsselung des kompletten Datenträgers. Oder man trifft Maßnahmen, die eine Auswertung erheblich verzögern. Man kann Spuren von einer Forensik Software hinterlassen, um dann behaupten zu können, der Auswerter hat meinen Datenträger manipuliert und direkt darauf geschrieben und unbrauchbar gemacht.
Buffet Overflow Techniken können Auswertungen verzögern oder komplett verhindern und letztlich verhindert es die Hashes von Dateien zu verändern. Ein IT Forensiker arbeitet mit Hash Datenbanken und wenn man dann 15000 Bilder hat und es wird nur ein Bit verändert, dann verändert sich auch die Prüfsumme und die automatisierte forensische Untersuchung ist dann vergebens.