Aufbereitung besonderer Speicherkonfigurationen als analysefähiges Material (RAID ... · 2019. 7....

Hochschule WismarUniversity of Applied SciencesTechnology, Business and DesignFakultät für Ingenieurwissenschaften, Bereich EuI

Projektarbeit

Aufbereitung besonderer Speicherkonfigurationen als analysefähigesMaterial (RAID, LVM, WSS, Verschlüsselung)

Eingereicht am: 6. Juli 2019

von: Melanie WetzigSven LötgeringTom GertenbachStefan Depping

Inhaltsverzeichnis

Inhaltsverzeichnis

1 Vorüberlegungen 41.1 Motivation und Zielstellung . . . . . . . . . . . . . . . . . . . . . . . 41.2 Anforderung an den Ermittlungsprozess . . . . . . . . . . . . . . . . . 41.3 Einordnung in Ermittlungsprozess . . . . . . . . . . . . . . . . . . . . 61.4 Write-Blocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.5 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.5.1 Rohdatenformat (RAW) . . . . . . . . . . . . . . . . . . . . . 71.5.2 Expert Witness Format (EWF) . . . . . . . . . . . . . . . . . 81.5.3 Advanced Forensic Format (AFF) . . . . . . . . . . . . . . . . 81.5.4 Xmount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2 Rechtliche Betrachtung 92.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.2 Private Ermittlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.3 Behördliche Ermittlungen . . . . . . . . . . . . . . . . . . . . . . . . 112.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3 Speichermedien 133.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.2 Magnetspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.2.1 Speicherung auf einer HDD . . . . . . . . . . . . . . . . . . . 143.2.2 Löschen von Daten auf einer HDD . . . . . . . . . . . . . . . 153.2.3 Forensische Relevanz . . . . . . . . . . . . . . . . . . . . . . . 15

3.3 Flash-Speicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.3.1 Speicherung auf einer Solid-State-Drive (SSD) . . . . . . . . . 163.3.2 Löschen von Daten auf einer SSD . . . . . . . . . . . . . . . . 163.3.3 Forensische Relevanz . . . . . . . . . . . . . . . . . . . . . . . 17

3.4 Hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4 Analyse eines Datenträgerverbundes 194.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2 Hardware-RAID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

4.2.1 Schritt 1: Einbinden der Abbilder . . . . . . . . . . . . . . . . 234.2.2 Schritt 2: Öffnen der Abbilder in R-Studio . . . . . . . . . . . 234.2.3 Schritt 3: Modellierung des RAID-Layouts . . . . . . . . . . . 24

4.3 Software Lösungen unter Linux . . . . . . . . . . . . . . . . . . . . . 314.3.1 Software-RAID . . . . . . . . . . . . . . . . . . . . . . . . . . 314.3.2 Logical Volume Manager (LVM) . . . . . . . . . . . . . . . . . 36

2

Inhaltsverzeichnis

4.4 Software Lösungen unter Windows . . . . . . . . . . . . . . . . . . . 404.4.1 Logical Disk Manager (LDM) . . . . . . . . . . . . . . . . . . 404.4.2 Windows Storage Spaces (WSS) . . . . . . . . . . . . . . . . . 40

4.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5 Verschlüsselte Datenträger 465.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.2 Festplattenverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . 465.3 Verschlüsselungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.3.1 Microsoft BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 475.3.2 FileVault 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505.3.3 Linux Unified Key Setup (LUKS)/ dm-crypt . . . . . . . . . . 545.3.4 VeraCrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

5.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

6 Fazit 63

Literaturverzeichnis 65

Abbildungsverzeichnis 69

Abkürzungsverzeichnis 71

Selbstständigkeitserklärung 73

3

Kapitel 1. Vorüberlegungen

1 Vorüberlegungen

1.1 Motivation und Zielstellung

Der Ingenieursstudiengang IT-Forensik legt in seiner technischen Ausrichtungbesonderen Wert auf das Erlangen qualitativ hochwertiger Fähigkeiten zur Analysedigitaler Spuren. Wie diese Spuren aus kriminaltaktischer Sicht zu bewerten sind,ist ebenfalls Teil des Lehrplans. Nun soll diese Projektarbeit die Brücke von derErhebung analoger Spuren, zur Erhebung und Sicherung digitaler Spuren bilden.Hierbei wird einleitend die Einordnung im Ermittlungsprozess beschrieben, anschlie-ßend werden die rechtlichen sowie organisatorischen Grundlagen kurz erläutert. Imtechnischen Schwerpunkt der Projektarbeit steht die Datenerhebung von Massen-datenspeichern. Besonderes Augenmerk wird auf physikalische Speichermethoden,Speicherverbund verteilter Datenträger und Kryptographie gelegt. Die Themenwerden unter dem Gesichtspunkt der Post-Mortem-Analyse durchgeführt, sodasseine Betrachtung von aktiven Systemen nicht Gegenstand dieser Arbeit ist. Auf dieDatenerhebung via Netzwerk wird ebenfalls nicht eingegangen.

1.2 Anforderung an den Ermittlungsprozess

Nach Geschonneck, Computer Forensik [1, S. 66–67] gibt es sechs Grundsätze, die beieiner Datenerhebung und Auswertung permanent berücksichtigt werden sollten

Akzeptanz

Damit die Skepsis gegenüber der gewonnenen Erkenntnisse minimiert wird, soll-ten Methoden, Dateiformate und Softwarelösungen verwendet werden, die in derFachwelt als sicheres forensisches Verfahren anerkannt sind. Erkenntnisse die mitHilfe neuer unkonventioneller Hilfsmittel erlangt wurden, können einfacher in Fra-ge gestellt werden, als Welche die durch anerkannten Methoden herausgearbeitetwurden.

4


Glaubwürdigkeit

Die angewendeten Methoden müssen für Dritte nachvollziehbar sein. Der Ermittlersollte, die Verarbeitungsschritte von Beginn bis zum Abschluss verstehen und erör-tern können. Je komplexer die Werkzeuge werden, desto wichtiger ist das Verständnisder Funktionalität.

Wiederholbarkeit

Jedes Ergebnis und Zwischenergebnis muss, bei gleicher Herangehensweisen unddenselben Bedingungen, reproduzierbar sein.

Integrität

Es ist sicherzustellen, dass die gesammelten Spuren unverändert sind und bleiben.Ist eine Veränderung einer Arbeitskopie notwendig, muss dies begründet und doku-mentiert werden. Das Original darf nicht verändert werden. Dies ist im gesamtenErmittlungsprozess zu gewährleisten.

Kausalität

Die Beweisspuren müssen entsprechend nachvollziehbar aufgearbeitet werden, dassUrsache und Auswirkung direkt voneinander abhängig sind. Indizien müssen alssolche angegeben werden. Vermutungen dürfen nicht als Teil einer Beweiskette fun-gieren.

Dokumentation

Jeder Schritt im Ablauf der Beweissichtung, Beweiserhebung und der Beweisbewer-tung muss exakt dokumentiert werden.

5


1.3 Einordnung in Ermittlungsprozess

Eine Ermittlung im Zusammenhang mit Computerkriminalität kann mit Hilfe desSecure-Analyse-Present-Modell abgebildet werden. Nach diesem Modell beinhaltetdie Secure-Phase die Sicherung der vorhandenen Spuren. Die Analyse-Phasebeschäftigt sich mit der Auswertung der gesammelten Spuren. Abschließend werdenin der Present-Phase die gewonnenen Erkenntnisse in Form von Beweisen undKausalitätszusammenhängen in einem Gutachten festgehalten.

Die Ausprägung und Form der einzelnen Phasen ist je nach individuellem Fall un-terschiedlich. Ist eine Live-Analyse vorgesehen verschwimmen die Grenzen zwischenSecure- und Analyse-Phase. Hier werden Spuren gesichert, die sogleich ausgewer-tet und interpretiert werden, da sie entweder selbst flüchtig sind oder auf weitereflüchtige Daten verweisen. Sollte eine Straftat nach § 303a Strafgesetzbuch (StGB)- Datenveränderung oder § 303b StGB - Computersabotage gerade geschehen oderist sie vor kurzer Zeit geschehen, ist die Sicherung von flüchtigen Daten ein funda-mentaler Ermittlungsschritt.Auf die Life-Analyse soll hier nicht weiter eingegangen werden. Diese Arbeit kon-zentriert sich auf die Datenerhebung der Secure-Phase für eine Offline-Analyse.

1.4 Write-Blocker

Für eine forensische Datenduplizierung ist es wichtig sicherzustellen, dass wederPersonen noch Anwendungen die Originaldateien verändern. Um eine solche Ver-änderung zu verhindern, müssen alle schreibenden Zugriffe unterbunden werden.Dieses erfolgt durch sogenannte Write-Blocker. Es gibt zwei Varianten von Write-Blockern. Hardware-Writeblocker, welche sicher und kostenintensiver sind sowieSoftware-Writeblocker, welche Schreibbefehle des Treibers abfangen.Bei einem Hardware-Writeblocker handelt es sich, wie der Name bereits vermu-ten lässt, um ein Gerät, welches die Kommunikation zwischen dem Computer unddem zu untersuchendem Medium kontrolliert und überwacht. Alle Zugriffe, egal obLese- oder Schreibzugriffe, werden durch den Hardware-Writeblocker überprüft undabgefangen. Handelt es sich um einen Schreibzugriff, so wird dieser blockiert undsomit nicht an das Speichermedium weitergegeben. Handelt es sich um einen lesen-den Zugriff, so wird dieser an das Speichermedium weitergegeben. Dadurch wird einSchreiben auf dem Speichermedium verhindert und die Daten sind somit weiterhin

6


im Originalzustand vorhanden. Hardware-Writeblocker werden von vielen handels-üblichen Schnittstellen (z. B. SATA, USB) unterstützt.Bei einem Software-Writeblocker muss eine Anpassung des für die Analyse genutz-ten Computers erfolgen. Dieses kann durch unterschiedliche Wege erfolgen. Zumeinen gibt es Programme (z. B. USB Write Blocker for ALL Windows, für Win-dows Betriebssysteme), welche bestimmte Einträge in der Windows-Registry ver-ändern und hierdurch einen Schreibschutz hervorrufen. Diese Anpassung kann manauch entsprechend manuell durchführen, solche Programme vereinfachen diese An-passung jedoch. Zum Zweiten gibt es auch die Möglichkeit, bestimmte Treiber desSystems durch spezielle angepasste Treiber zu ersetzen. Hierdurch wird nicht nurein Schreibschutz gesetzt, sondern aktiv in die Kommunikation zwischen Computerund Speichermedium eingegriffen (z. B. das Tool EnCase, welches diese Möglichkeitunterstützt). Eine dritte Methode ist die Manipulation des BIOS. Im BIOS wird derInterrupt-Befehl INT13h verändert, welcher unter anderem für die Steuerung derSchreibzugriffe auf die Festplatte zuständig ist.

1.5 Software

Neben den verbreiteten großen Softwarelösungen zur Imageerstellung, gibt es eineVielzahl kleiner Open Source Programmen. Beispielsweise das in Linux integriertedd oder weitere Programme wie dcfldd, dc3dd und ewfacquire. Die meisten Pro-gramme zur Erstellung eines Datenträgerimages erfüllen ihre Aufgabe. Eine dieserwichtigen Aufgaben ist es nicht lesbare Sektoren mit einer „0“ zu speichern und zudokumentieren. Differenzierter ist die Wahl des entsprechenden Dateiformats. Alsgeeigneter Standard für forensische Duplikate haben sich Rohdatenformat (RAW)Expert Witness Format (EWF) und Advanced Forensic Format (AFF) behauptet.

1.5.1 Rohdatenformat (RAW)

RAW ist das älteste forensische Dateiformat um gesamte Datenträger in ihrer ganz-heit zu speichern. Es unterstützt keine Komprimierung. Zur Auswertung muss esimmer entpackt sein. Metadaten zugehörig zum Datenträger wie zum Beispiel Has-hwerte müssen in einer weiteren Datei gespeichert werden. Großer Vorteil diesesDateiformats ist, dass es von nahezu jedem forensischen System verarbeitet werdenkann. Die gängigen Dateiendungen sind unter anderem *.raw, *.dd, *.img.

7


1.5.2 Expert Witness Format (EWF)

EWF ist ein proporitäres Dateiformat von der Firma EnCase. Es besitzt effektiveKomprimierungsalgorithmen beim erstellten der Abbilder und beinhaltet, neben deneigentlichen Daten, viele Metainformationen über den Sicherungsprozess. EWF istoffengelegt, sodass Drittanbieter es nutzen können. Aktuell ist die Dateiformatver-sion EnCase6.

1.5.3 Advanced Forensic Format (AFF)

AFF ist ein Open Source Standart, welcher die gleichen Funktionen wie EFW bie-tet. Die mitgelieferten Bibliotheken von AFF besitzen die Funktion, das Duplikatzur laufzeit als RAW-Abbild einzubinden, dadurch wird die kompatibilität erhöht.Darüber hinaus hat es eine bessere Komprimierung [2].

1.5.4 Xmount

Xmount ist ein Programm für Linux, dass es dem Anwender ermöglicht, die oben ge-nannten Dateiformate in weitere Dateien zu mounten. So kann ein EWF-Abbild alsRohdatenformat bereitgestellt werden, wodurch sich die Kompatibilität erhöht. Esermöglicht das Erstellen eines Schreibcaches, sodass mit der Kopie gearbeitet werdenkann ohne das Original zu verändern. Beispielsweise wird ein EWF-Bootimage alsvmdk-Datei mit Chache bereitgestellt und im Anschluss mit VMWare genutzt.

8

Kapitel 2. Rechtliche Betrachtung

2 Rechtliche Betrachtung

2.1 Einleitung

Dieses Kapitel soll einen kleinen Überblick über die rechtlichen Normen in Bezugauf Analyse von forensisch erhobenen Daten bzw. der Grundlage für die Erhebungder Daten überhaupt und deren Verwendung bieten.Es gibt grundlegende rechtliche Rahmenbedingungen die für eine forensische Ana-lyse oder allgemein die Erhebung von Daten getroffen und durchgesetzt werdenmüssen [3]:

• die Erhebung

• die Speicherung

• die Verarbeitung und Nutzung

• die Übermittlung

• die Berichtigung, Löschung und Sperrung

• Benachrichtigungs- und Auskunftspflichten

• die Kontrolle

• sowie Haftungs- und Strafvorschriften

Diese grundlegenden rechtlichen Rahmenbedingungen sind in diversen Gesetzen,Verordungen, Richtlinien und Verfahrensvorschriften geregelt. Hierzu zählen Ge-setze und Verordnungen wie Grundgesetz (GG)1, StGB2, Datenschutzgrundverord-nung (DSGVO)3 und Bundesdatenschutzgesetz (BDSG)4, um nur einige zu nennen.

1Es regelt die freiheitlich demokratische Grundordnung.2Es regelt in Deutschland das materielle Strafrecht. Unter anderem sind hier die Voraussetzungenund Rechtsfolgen strafbaren Handelns bestimmt.

3Es regelt die Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter (privateund öffentliche), vereinheitlicht EU-weit

4Es regelt zusammen mit den Landesdatenschutzgesetzen und anderen bereichsspezifischen Re-gelungen den Umgang mit personenbezogenen Daten, welche verarbeitet werden. Die Verarbei-tung kann manuell oder durch Informations- und Kommunikationssysteme erfolgen.

9


Für den Bereich der forensischen Analyse gibt es hauptsächlich zwei Gruppen, welcheErmittlungen durchführen. Das sind zum einen IT-Forensiker, welche im privatenSektor Ermittlungen, als Dienstleistung, durchführen und die staatliche Behörden,welche Ermittlungen aufgrund von Ermittlungsverfahren durchführen. Bei den Er-mittlungen ist die staatliche Behörde an Verfahrensvorschriften, wie die Strafpro-zessordnung (StPO), gebunden. Diese gelten so nicht für die privaten Ermittlungen,dennoch sind ihre Ermittlungshandlungen geregelt. Die Rechtmäßigkeit der Ermitt-lungen ergibt sich aus den allgemeinen Gesetzen [4].

2.2 Private Ermittlungen

Im Zuge von privaten Ermittlungen, aus welchen sich später auch staatliche Ermitt-lung (z. B. nach einer Anzeige) ergeben können, müssen die entsprechenden Beweiseebenfalls beweissicher erhoben werden.Nach § 202a Abs. 1 StGB ist das Ausspähen von Daten strafbar. Hiernach darf derIT-Forensiker ohne Erlaubnis des Verfügungsbefugten5 der Daten, diese nicht be-gutachten.Anhand der beauftragten forensischen Analyse durch einen Arbeitgeber, als Beispiel,kann man sehr gut den schmalen Grad von erlaubten und unerlaubten Analysendurch einen IT-Forensiker kenntlich machen.Bei dienstlichen Daten erfolgt die Erstellung und Speicherung von Daten im Rah-men des Dienstverhältnisses auf Weisung und Veranlassung des Arbeitgebers. Daherist hier auch der Arbeitgeber über die Daten verfügungsbefugt. Somit ist es mög-lich, einen privaten IT-Forensiker mit der Analyse zu beauftragen, ohne dass diesersich nach § 202a Abs. 1 StGB strafbar macht. Es verhält sich etwas anders, wennprivate Daten von der Analyse betroffen sind. Private Daten sind Daten, welchegegen Zugriff Unbefugter besonders gesichert sind. Der Verfügungsberechtigte, indiesem Fall der Mitarbeiter, drückt mit diesen Schutzmaßnahmen aus, den Zugangzu den Daten zu verhindern oder zu erschweren. Zu diesen Schutzmaßnahmen zähltnicht das Kennwort zum Entsperren des Systems (z. B. Windows-Anmeldung). Die-se User-Kennung dient der datenschutzrechtlichen Zugangskontrolle, im Rahmenvon Eingabekontrollen, der Zuordnung bestimmter Vorgänge zu einem Nutzer undnicht zur Sicherung von Daten gegen den Zugriff des Arbeitgebers. Eine Analyse derprivater Daten darf nur mit Erlaubnis des Verfügungsberechtigten erfolgen [4].

5Verfügungsberechtigt = Inhaber der Eigentumsrechte/Verfügungsrechte

10


2.3 Behördliche Ermittlungen

Bei behördlichen Ermittlungen gibt es sehr viele spezifische Gesetze, Verordnungenund Richtlinien, welche berücksichtigt werden müssen.Hierzu zählen zusätzlich zu den allgemeinen Gesetzen auch weitere wie StPO, Lan-despolizeigesetze6, Polizeigesetz (PolG) und Bundeskriminalamtsgesetze (BKAG).Die Erhebung der Daten, also z. B. die Herausgabe des Datenträgers oder die Erstel-lung einer Kopie des Datenträgers, ist grundsätzlich nur mit richterlicher Verfügungoder nach gesetzlichen Richtlinien zur Gefahrenabwehr zulässig.Werden Daten unrechtmäßig erhoben, können diese nicht als Beweismittel herange-zogen werden.Bei einer forensischen Analyse handelt es sich grundsätzlich um eine Durchsuchungeines Datenträgers, um Beweise zu finden oder Sachverhalte zu analysieren und ge-gebenenfalls dadurch auf neue Beweise zu stoßen.Nach § 110 StPO ist eine Durchsuchung von elektronischen Speichermedien ge-rechtfertigt. Die „Sicherung“ der Daten erfolgt im Regelfall durch die freiwilligeHerausgabe des Datenträgers oder durch die Beschlagnahme des Datenträgers gem.§ 98 StPO.Danach kann eine Durchsuchung, nach richterlicher bzw. staatsanwaltschaftlicherAnordnung, erfolgen.Ein weiteres Ermittlungsinstrument ist die Online-Durchsuchung. Hierbei handeltes sich um eine verdeckte Durchsuchung, diese wird ohne Wissen des Betroffenendurchgeführt. Online-Durchsuchungen sind nach § 100b StPO möglich. Allerdingswerden an ihre Anordnung besonders hohe Maßstäbe gesetzt, da hier ein Eingriff indie Grund- und Persönlichkeitsrechte stattfinden [5].

2.4 Zusammenfassung

Es müssen auch bei der forensischen Analyse von Daten die Grundrechte gewahrtwerden. Dieses wird durch vielerlei Gesetze und Verordnungen garantiert. Dadurchist es dem IT-Forensiker nur innerhalb bestimmter Rahmenbedingungen möglichAnalysen vorzunehmen. Grundsätzlich bedarf es der Zustimmung des Verfügungs-berechtigten oder entsprechende richterliche oder staatsanwaltliche Anordnungen,um eine Analyse von Datenträgern durchzuführen.

6Landespolizeigesetze z. B. PolG NW, SOG M-V

11


Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch ver-sehentlicher Verlust nicht möglich ist - dies gilt auch bei der Übertragung, z. B. voneiner Behörde zur Nächsten.Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt wer-den, müssen gelöscht werden.

12

Kapitel 3. Speichermedien

3 Speichermedien

3.1 Einleitung

Warum ist es interessant sich verschiedene Speichermedien/Speichertypen anzu-schauen? Festplatten sind Speichermedien, welche forensisch analysiert werden kön-nen.Sie können wertvolle Informationen liefern, weil ein Löschen von Daten durch denAnwender nicht zwangsläufig ein permanentes und unwiderrufliches Löschen derDaten von der Festplatte zur Folge hat. Daraus ergeben sich aus forensischer Sichteinige Möglichkeiten der Analyse von Datenträgern. Bei einer forensischen Analysemuss man aber ebenfalls auf die Integrität der Daten achten, sodass diese Datenbei der Image-Erstellung oder einer Datensicherung im Originalzustand bleiben undkeine Veränderung erfahren.Da es sich bei einem RAID-System um einen Festplattenverbund (ein oder mehrereDatenplatten) handelt, welche auf verschiedene Weisen zusammenarbeiten, um un-ter anderem eine erhöhte Zugriffsgeschwindigkeit oder eine bessere Verlustsicherheitder Daten zu erreichen wird im Folgenden auf die aktuell wichtigsten Speicherty-pen magnetische Speicher und Flash-Speicher eingegangen, welche hauptsächlich fürFestplattenverbunde verwendet werden. Es sollen in diesem Kapitel die Grundzügeund Besonderheiten der oben genannten Speichertypen kurz herausgearbeitet wer-den.

3.2 Magnetspeicher

Zum einen gibt es Magnetspeicher, wozu auch die Hard Drive Disk (HDD), Dis-ketten oder Magnetbänder gehören. Bei magnetischen Speichern werden Bits durchmagnetische Bereiche mit gegensätzlicher Polarität dargestellt. Sie bestehen aus be-weglichen Teilen, weshalb sie grundsätzlich stoßanfällig sind, was sie für den Einsatzin stationärer Hardware (z. B. RAID-System) prädestiniert. Da Disketten im Laufeder Zeit von anderen Speichermedien, wie CDs oder DVDs und USB-Sticks verdrängtwurden wird in dieser Arbeit nicht weiter auf diese eingegangen. Magnetbänder sind

13


weniger als Festplatte im herkömmlichen Sinne (Nutzung im Computer als Speicherzum Arbeiten) geeignet, werden aber grundsätzlich als Backup-Medium verwendet,da bei Magnetbändern ein Zugriff auf die Daten nur sequenziell möglich ist.Häufiger im Einsatz befindlich sind HDDs. Hierbei handelt es sich um Festplat-ten, welche in einem vakuumverschweißten Gehäuse mit zumeist zwei übereinanderrotierenden Magnetplatten auf einer gemeinsamen, drehbaren Achse untergebrachtsind. Zum Datenzugriff sind zwei übereinander angeordnete Lese- und Schreibköpfezwischen den Platten untergebracht. Anders als bei Magnetbändern ist ein direkterZugriff (nicht sequenziell) auf die Daten möglich, da die einzelnen Festplatten inSpuren und Sektoren unterteilt sind.

3.2.1 Speicherung auf einer HDD

Das Speichern der Daten auf der Festplatte erfolgt durch die Magnetisierung kleins-ter Eisenpartikel. Diese Eisenpartikel sind auf der Oberfläche der Magnetplattenaufgetragen. Eine Festplatte muss, damit die Daten wiedergefunden werden kön-nen, eingeteilt werden. So wird eine Unterteilung von außen nach innen in Spurenvorgenommen, welche man sich als konzentrische Kreise vorstellen kann. Die Spuren-dichte, der Abstand der Spuren, bestimmt die Speichermenge. Zwei untereinanderliegende Spuren heißen Zylinder und besitzen eine Zylinderadresse. Die Spuren wer-den dann wiederum in noch kleinere Abschnitte unterteilt, welche sich Sektoren oderBlock nennen. Sie entsprechen einem Kreisausschnitt. Diese Blöcke sind die kleinsteEinheit einer Festplatte, welche verwendet werden können. Blöcke mit einer Größevon 64 KByte sind keine Seltenheit. Mehrere Blöcke können zu einem Cluster zu-sammengefasst werden (beinhaltet zwischen einem und 128 Sektoren), welches dieSpeicherverwaltung großer Datenmengen erleichtert. Es ist nur möglich, dass Clus-ter von dem Betriebssystem angesprochen werden, nicht jedoch einzelne Sektoren.Wenn man eine Datei speichert, entspricht die Größe dieser Datei aber nicht zwangs-läufig der Größe eines oder mehrerer Cluster. Wenn wir uns vorstellen, dass wir einenCluster aus acht Sektoren haben und die Datei 6,5 Sektoren beschreibt, so bezeich-net man die unbeschriebenen 1,5 Sektoren als File-Slack. Diese File-Slacks spielenfür die forensische Analyse eine wichtige Rolle. Der File-Slack kann Informationenüber gelöschte Dateien, genutze Programme usw. enthalten.

14


3.2.2 Löschen von Daten auf einer HDD

Hauptsächlich gibt es zwei Möglichkeiten wie Daten „gelöscht“ werden. Es ist mög-lich, dass der Index-Eintrag einer Datei gelöscht wird - hier kann man sich ein In-haltsverzeichnis in einem Buch vorstellen welches herausgerissen wird, was zur Folgehat, dass die Daten selbst weiterhin, allerdings unreferenziert, auf der Festplatte zufinden sind (unallocated area; nicht allokierter Bereich). Sie werden dem Anwen-der nicht mehr im Datei-Explorer angezeigt, weshalb dieser von einer „Löschung“ausgeht. Hier wird vom System ein Flag gesetzt, welches die Datei nur als gelöschtkennzeichnet. Andererseits wird eine wirkliche Löschung der Daten nur durch dasÜberschreiben der Datei ermöglicht, je häufiger dieses Überschreiben stattfindet jesicherer ist die vollständige Löschung der Dateien.

3.2.3 Forensische Relevanz

Sofern die Sektoren nicht überschrieben wurden, besteht die Möglichkeit die Da-ten, auch wenn diese nicht mehr referenziert sind, wiederherzustellen. Erst mit demÜberschreiben der Sektoren, mit neuen Daten, gehen die Daten in diesen Sektorenverloren.

3.3 Flash-Speicher

Ein weiteres Speichermedium ist der Flash-Speicher. Ein Flash-Speicher ist auf derBasis der Electrically Earsable Programmable Read-Only Memory (EEPROM)-Technologie entwickelt. Es handelt sich hierbei um eine elektrische Speichermethode,welche nichtflüchtig ist, weshalb die Daten auch bei stromlosen Zustand weiterbestehen bleiben. Das Speichern auf diese Weise hat einen schnellen Lese- undSchreibzugriff zur Folge, weshalb ein Flash-Speicher schneller als ein magnetischerSpeicher ist, da hier keine zusätzlichen mechanischen Teile zum Lesen oderSchreiben der Daten verwendet werden muss. Ein Nachteil der Flash-Speicher isthingegen die begrenzte Lebensdauer. Diese begrenzte Lebensdauer wird durch dievorhandene Oxidationsschicht verursacht, welche zum dauerhaften Speichern derDaten benötigt wird. Bei schreibendem Zugriff gelangen Elektroden durch dieseOxidationsschicht, wobei diese jedes Mal etwas mehr beschädigt wird.

15


3.3.1 Speicherung auf einer SSD

Flash-Speicher ist blockweise organisiert. Typischerweise hat ein Speicherblock 128bis 512 kByte. Die Blöcke sind üblicherweise zwischen 128 kByte und 512 kBytegroß. Selbst wenn es nur um ein paar Bit geht, welche gespeichert werden müs-sen, so muss der ganze Block neu geschrieben werden. Der Controller ist für dieSteuerung der Speicher- und Lesezugriffe zuständig. Er kontrolliert, welche Blö-cke bzw. dessen Speicherzellen angesprochen werden. Hier versucht der Controllerentsprechend ein Balancing (Wear-Leveling) zwischen häufiger und weniger häufiggenutzen Speicherzellen zu bewahren, sodass weniger häufig genutzte Speicherzellenvorrangig angesprochen werden. Das erhält die Lebensdauer, da bei jedem Schreib-zugriff die Sperrschicht und damit die Lebensdauer der Speicherzellen immer weiterverringert wird. Aus diesem Grund versucht das Wear-Leveling mithilfe von ver-schiedenen Verfahren und Methoden die Lebensdauer der Speicherzellen zu verlän-gern, indem der Controller die Schreibzugriffe auf die verschiedenen Speicherblöckegleichmäßig verteilt. Es gibt ein Problem, welches beim statischen Wear-Levelingauftritt und die Zusammenarbeit mit dem Mechanismus des Betriebssystem betrifft.Wenn Dateien gelöscht (z. B. eine Datei wird im Datei-Explorer gelöscht) werden,bekommt der Flash-Controller, dieses erstmal nicht mit. Die Dateien werden erstvorerst nicht von dem Controller, auf der Festplatte selbst, gelöscht. Das Betriebs-system hat jedoch für sich die Kennzeichnung (Flag), dass der Platz anderweitiggenutzt werden kann. Jetzt kann es beim statischen Wear-Leveling passieren, dassder Controller, mit viel Aufwand, anfängt die Dateien zu verschieben (aufgrund desSpeicherzellen-Managements). Das würde hier aber keinen Sinn ergeben, da die Da-teien vom Anwender nicht mehr benötigt werden und grundsätzlich als gelöscht zuwerten wären.

3.3.2 Löschen von Daten auf einer SSD

Hierbei hilft der TRIM-Befehl, mit welchem das Betriebssystem dem Flash-Controller mitteilt, welche Speicherbereiche nicht mehr gebraucht werden. Da Datengrundsätzlich nicht endgültig gelöscht, sondern zum Löschen markiert werden, wirdeine zusätzliche Garbage-Collection benötigt. Der TRIM-Befehl ruft die Garbage-Collection auf und entfernt die als gelöscht markierten Daten auch physikalisch.Physikalisch heißt, die Zellen werden entladen und die Informationen endgültig ent-fernt. Der TRIM-Befehl ist nicht Bestandteil des Betriebssystems.

16


3.3.3 Forensische Relevanz

Bei einer SSD ist, sofern der TRIM-Befehl und die Garbage-Collection aktiviertsind, eine Herstellung bzw. Auslesen von gelöschten Daten sehr schwierig. Als ge-löscht markierte Daten und dessen Speicherzellen werden durch den TRIM-Befehl(inklusive Garbage-Collection) nicht nur aus dem „Verzeichnis “ gelöscht und damitdie Referenz zu den Daten, sondern es werden die Speicherzellen entleert, wodurchdie Information permanent gelöscht wird. Es gibt aber auch die Möglichkeit denTRIM-Befehl zu deaktivieren, das hat zur Folge, dass die Daten nur im „Verzeich-nis“ gelöscht werden, also nur die Referenzen. Erst wenn die Zellen mit neuen Datenbeschrieben werden, werden diese vorher geleert und können erst in diesem geleertenZustand neu beschrieben werden. Also ist es erst ab diesem Zeitpunkt nicht mehrmöglich, die als gelöscht markierten Daten auszulesen.

3.4 Hybride

Ein weiterer Ansatz ist der Einsatz von sogenannten Solid State Hybrid Drive(SSHD), also Hybridfestplatten, bei denen der Flash-Speicher nur als Schreibpufferzur Steigerung der Performance fungiert. Der Einsatz dieser Festplatten würde demNutzer eine höhere Schreibgeschwindigkeit und einen geringeren Stromverbrauchbringen und durch die Speicherung der Daten auf einem Magnetspeicher dennochdie Vorteile einer HDD gepaart mit der Schnelligkeit einer SSD [6].

3.5 Zusammenfassung

Grundsätzlich ist es möglich von Festplatten die Daten, auch wenn diese vermeintlichvom Anwender oder System gelöscht wurden, wiederherzustellen. Bei einer HDD istdie Wiederherstellung möglich, bis die entsprechenden Blöcke überschrieben werden.Hier gilt, je häufiger das Überschreiben stattgefunden hat, je wahrscheinlicher istdie Vernichtung der Daten auf der Festplatte.Bei der SSD gibt es zwei Möglichkeiten. Zum ist der TRIM-Befehl und die Garbage-Collection aktiv und wird vom entsprechenden Betriebssystem angesprochen, dannist die Wahrscheinlichkeit, dass die Daten wiederhergestellt werden können sehrgering, da hier die Speicherzellen auch physikalisch geleert werden. Wenn hingegender TRIM-Befehl nicht aktiv genutzt wird, so verhalten sich die Möglichkeiten der

17


Wiederherstellung ähnlich die der HDD. Es ist hier ebenfalls möglich, die Datenauch wenn vermeintlich vom Anwender gelöscht wiederherzustellen.

18

Kapitel 4. Analyse eines Datenträgerverbundes

4 Analyse eines Datenträgerverbundes

4.1 Einleitung

Bei einer Redundant Array of Independent Disks (RAID)-Konfiguration handelt essich um den Verbund mehrerer physikalischer Festplatten oder Partitionen zu einerlogischen Festplatte oder Partition.Derartige RAID-Verbunde finden sich häufig auf den Computern eines Beschuldig-ten.RAID-Verbunde werden von diesen eingerichtet um eines von zwei Ziele zu errei-chen: Die Verfügbarkeit von Daten gegen Ausfälle zu erhöhen oder die Zugriffsge-schwindigkeit auf die Daten zu verbessern. Hierbei ist es auch möglich beide Zielezu kombinieren. Die Erhöhung der Zugriffsgeschwindigkeit wird erreicht, indem dieDaten zu gleichen Teilen auf mehreren Festplatten verteilt werden. Hier sprichtman vom „Striping“ (dt.: „Streifen“). Eine mögliche Konfiguration (RAID-0) ist inBild 4.1 dargestellt. Die Erhöhung der Verfügbarkeit erreicht man durch das Spie-geln (en.: „Mirroring“, mögliche Konfiguration RAID-1) oder durch Berechnung vonParitäten von zwei oder mehreren „Streifen“ (mögliche Konfiguration: RAID-5, Sie-he Bild 4.2). Beide oben genannte Ziele können erreicht werden, indem z. B. eineRAID-Konfiguration gewählt wird, die beides kombiniert (z. B. RAID-10, Siehe Bild4.3). Neben den vorgenannten gängigen RAID-Layouts, existieren einige weitere teils

Bild 4.1: Schematische Darstellung einer RAID-0 Konfiguration mit zwei Datenträgern,Quelle: Wikipedia [7]

19


Bild 4.2: Schematische Darstellung einer RAID-1 und einer RAID-5 Konfiguration mitzwei bzw. vier Datenträgern, Quelle: Wikipedia [7]

Bild 4.3: Schematische Darstellung einer RAID-10 Konfiguration mit vier Datenträgern,Quelle: Wikipedia [7]

exotisch anmutende Layouts, bei denen die Systemadministratoren im Einzelfall be-sonders hohe Anforderungen festgelegt haben.Ein RAID 51 (Siehe Bild 4.4) wäre etwa die Spiegelung zweier RAID5 Verbunde.Bei dieser Konfiguration wäre der Ausfall von drei der mindestens sechs Festplattenmöglich, ohne dass die Verfügbarkeit der Daten eingeschränkt wäre. Die verfügbareKapazität wäre bei sechs Platten identischer Größe jedoch auf nur 33% begrenzt.Eine weniger exotische Konfiguration, die dennoch mehrere Ausfälle kompensierenkann bildet das RAID-6. Bei diesem RAID-Layout wird beim Einsatz von vier odermehr Platten der Ausfall von zwei Platten kompensiert, ohne dass die Verfügbarkeitder Daten beeinträchtigt wird. Bei einem RAID-6 mit vier Festplatten stünden also

Bild 4.4: Schematische Darstellung einer RAID-51 Konfiguration mit sechs Datenträgern,Quelle: Wikipedia [7]

20


Bild 4.5: Schematische Darstellung einer RAID-6 Konfiguration mit fünf Datenträgern,Quelle: Wikipedia [7]

mindestens 50% der Kapazität der Festplatten zur Verfügung. RAID-Systeme lassensich hinsichtlich ihrer Implementierung im System unterscheiden.Einerseits existierenHardware-RAID Systeme. Bei derartigen Systemen kümmertsich ein eigener Controller, dass die Daten im Sinne des RAID-Layouts korrekt aufden physikalischen Festplatten verteilt werden. Gegenüber dem Computersystemerscheinen die Vielzahl physikalischer Festplatten jedoch als eine einzige logischePlatte, die auch als solche dann vom Betriebssystem behandelt werden.Neben dem Hardware-RAID System existieren auch Software-RAID Lösungen.Diese werden also vom Betriebssystem bzw. von Diensten und Prozessen desComputer-Systems verwaltet und letztlich ebenfalls als eine logische Platte bereit-gestellt.Eine Misch-Lösung beider Implementierungen stellen s. g. „Host-RAID“ Systemedar, die in der untersten Preisspanne kommerzieller Lösungen anzusiedeln sind. Siewerden im Linux-Jargon oft als „Fake-RAIDs“ [8] bezeichnet, da sie letzten Endes,wie beim Software-RAID, ebenfalls die Ressourcen des Computers beanspruchen.Hierbei sind sie jedoch ebenfalls an den Controller der Hardware gebunden. Siekombinieren somit streng genommen die Nachteile beider o. g. Lösungen.Sie finden sich heute auf diversen Mainboards vorinstalliert, so dass sie weiterhin einegewisse Relevanz haben, sich jedoch im Vorgehen nicht sonderlich von Hardware-RAID Systemen unterscheiden.In den beiden folgenden Kapiteln wird anhand eines konkreten Beispiels das Vorge-hen bei der forensischen Analyse von Festplatten eines Software-RAID und bei derAnalyse eines Hardware-RAID Systems beschrieben.

4.2 Hardware-RAID

Hardware-RAIDs sind Software-RAIDs in Punkto Flexibilität und bei der Leistungzur Wiederherstellung („rebuild“) von Daten i. d. R. im Nachteil. Zum Einsatz

21


kommen sie i. d. R. noch dort, wo es um möglichst hohe Schreib-Leistung, bei zeit-gleich möglichst geringem Ressourcen-Bedarf des Betriebssystems ankommt. Dieswird durch verschiedene Strategien erreicht, wie dem asynchronen Schreiben vonParitätsinformationen, einer dedizierter Central Processing Unit (CPU) und einem(ggf. durch eine Batterie gepufferten) Schreibcache.Die o. g. Faktoren führen dazu, dass verschiedene Algorithmen den verschiedenenRAID-Controllern zugrunde liegen.Zugleich setzen solche Hardware-RAIDs im Gegensatz zu Software-RAIDs häufig aufproprietäre geschlossene Standards zur Speicherung der Meta-Informationen. Selbstinnerhalb derselben Hersteller ist eine Kompatibilität der Controller nicht immersichergestellt.Idealerweise sollte daher das Auslesen von Datenträgern mit demselben Controllerstattfinden, mit dem die Daten auch auf die Platten geschrieben wurden.Dies ist in der Praxis aber nicht immer ohne weiteres möglich (etwa bei Ausfall desControllers) oder bedarf zumindest einer größeren Vorbereitung (etwa beim Zugriffauf größere Storage Rack Server).Daher besteht der Wunsch, möglichst ohne die originären Hardware-Controller Da-tenträger zumindest auslesen zu können, so dass die installierten Dateisysteme fürden Forensiker zugänglich werden.Tatsächlich existieren Software-Produkte, die sich genau dieser Herausforderungstellen. Darunter X-Ways, R-Studio, dmde oder dmraid. Die Kosten für die Produkteschwanken von rund 1.000 EUR pro Lizenz für X-Ways oder R-Studio (commerciallicense) bis hin zu kostenlosen Lösung mit dmraid.Für diese Arbeit wurde ein RAID Controller JMB394 von JMicron [9] genutzt, deru.a. das RAID-Level 0, 1, 5 und 10 unterstützte, das hier zum Einsatz kam. DieserController war im Produkt „Sharkoon 5-Bay RAID Station“ installiert. Betriebenwurden drei Festplatten im RAID 5. Dieses Verbund wurde via USB 3.0 an einemWindows PC installiert und mit einer NTFS Partition über 1 GB formatiert. DiePlatten des RAIDs wurden einzeln forensisch erfasst und sollen analysiert werden.Für die Analyse wurden die Produkte X-Ways und dmraid im Vorhinein ausge-schlossen. Das erstgenannte Produkt stand aus Kostengründen nicht zur Verfügung.Das Tool dmraid ist zwar in vielen Linux-Distributionen enthalten, die sich aufforensische Analyse spezialisiert haben und stand somit auch grundsätzlich zur Ver-fügung. Ein Blick in die man-pages offenbarte aber, dass - je nach Version - der o.g. RAID-Controller zwar verfügbar war, jedoch nicht das gewählte RAID-Level 5unterstützte.Die Produkte X-Ways, R-Studio und dmde werben damit ein RAID anhand der

22


Bild 4.6: Imagedatei öffnen in R-Studio

vorliegenden Festplatten auf Basis von heuristischen Algorithmen identifizieren undauslesen zu können.Bei dmde gelang dies zwar nicht, es ist aber nicht auszuschließen, dass hier einAnwender-Fehler vorlag. Die Benutzeranleitungen und Sekundar-Quellen erwiesensich hier leider nicht als hilfreich.Für die folgenden Schritte wurde R-Studio [10] eingesetzt. Dieses Tool ist zwar mit899 USD für eine „commercial use“ Lizenz, auch eines der teureren, jedoch stehteine kostenlose Variante zur Verfügung, die es erlaubt Daten bis 250 KB online zurekonstruieren. Das Erstellen eines logischen Abbildes des Dateisystems auf Basisder logischen Abbilder des rekonstruierten RAID-Verbundes war ebenfalls uneinge-schränkt möglich.Im Folgenden wird davon ausgegangen, dass der Forensiker am betroffenen Com-puter drei Festplatten vorfindet, zu denen er jeweils ein Abbild erstellen konnte,welche jeweils für die weitere Analyse genutzt werden können. Die Abbilder liegenim EnCase6 Format vor.

4.2.1 Schritt 1: Einbinden der Abbilder

Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen und dessenInhalt im Dateisystem des Forensikers gemountet.

1 > xmount --in ewf hdd1.E01 /mnt/ disk12 > xmount --in ewf hdd2.E01 /mnt/ disk23 > xmount --in ewf hdd3.E01 /mnt/ disk34 > ls -rR /mnt/disk*5 /mnt/ disk3 :6 hdd3.info hdd3.dd7

8 /mnt/ disk2 :9 hdd2.info hdd2.dd

10

11 /mnt/ disk1 :12 hdd1.info hdd1.dd

4.2.2 Schritt 2: Öffnen der Abbilder in R-Studio

Zunächst müssen die Abbilder in R-Studio über den Button „Image öffnen“ eingele-sen werden (Siehe Bild 4.6). Der Dialog „Imagedatei öffnen“, der nun gestartet wird,

23


Bild 4.7: R-Studio: Imagedatei öffnen

erwartet zunächst Dateitypen, mit denen hier nicht gearbeitet wurde. R-Studioerwartet hier allen voran, die eigenen proprietären Image-Dateitypen *.rdr (SieheBild 4.7). Das stellt jedoch kein Problem dar, da alternativ auch die weitausverbreiterten DD-Dateien ausgewählt werden können, nachdem im Auswahlmenü„Dateien des Typs“ die Suchmaske „Alle Dateien ( * )“ ausgewählt wurde (SieheBild 4.8).

4.2.3 Schritt 3: Modellierung des RAID-Layouts

Nun kann R-Studio seine Stärke ausspielen, indem es den Anwender unterstützt,das korrekte RAID-Layout zu ermitteln. Zunächst wählt der Anwender im Menü„Virtuelles RAID erstellen“ den etwas unglücklich beschrifteten Untermenüpunkt„Virtuellen Block erstellenRAID& Automatisch Erkennen“ (Siehe Bild 4.9).In der Baum-Darstellung der „Geräte-Ansicht“ erscheint nun ein neuer Zweig „Virtu-elle Volumesets und RAIDs“. Hier wählt der Anwender den ersten Unterknoten aus.Bei der hier dynamisch vergebenen ebenfalls unglücklichen Beschriftung herrschtVerwechslungsgefahr. An der Stelle, wo in der folgenden Abbildung „Virtual BlockRAID 1“ zu lesen ist, bildet die Ziffer eine Sequenz, die nichts mit dem RAID-Levelzu tun hat, das zu diesem Zeitpunkt noch ermittelt werden muss (Siehe Bild 4.10).Auf der rechten Seite wird nun ein Bereich „Parent“ angeboten, über den nun dieTeile des RAID-Verbundes zusammengestellt und die Konfiguration bestimmt wer-den kann (Siehe Bild 4.11). Hierzu wählt der Anwender den offensichtlichen Button

24


Bild 4.8: Button Image öffnen in R-Studio

Bild 4.9: Virtuellen Block erstellen in R-Studio

Bild 4.10: Die Geräte-Ansicht von R-Studio

25


Bild 4.11: R-Studio: Der Bereich parent

Bild 4.12: R-Studio: RAID-Parameter

„Automatische Erkennung“ aus. Der folgende Dialog erscheint und bietet nach einergewissen Analyse-Zeit dem Anwender valide RAID-Layouts aus, die der Anwenderauswählen und mit dem Button „Anwenden“ bestätigen muss (Siehe Bild 4.12).Hierbei kann es dazu kommen, dass mehrere mögliche Layouts kompatibel sind undangewandt werden können. Letztlich obliegt es dann dem Anwender, das korrek-te Layout zu wählen. Hierbei hilft es, dass R-Studio mit wenigen Klicks und ohnespürbare zusätzliche Ladezeit das Layout wechseln kann, um Alternativen durchzu-probieren.Ferner unterstützen hierbei die Funktionen RAID-Konsistenz prüfen (Siehe Bild4.13) oder der Menüpunkt Scannen (Siehe Bild 4.14).Über die Funktion RAID-Konsistenz prüfen, wird ermittelt, ob die Blöcke konsis-tent sind - also ob Spiegelungen tatsächlich identisch und ob Paritäten tatsächlichkorrekt errechnet werden.

26


Bild 4.13: R-Studio: RAID-Konsistenz

Bild 4.14: R-Studio: Menüpunkt scannen...

27


Bild 4.15: R-Studio: Darstellung der RAID-Konsistenz

Bild 4.16: R-Studio: Parameter für die Scannen-Funktion

Abbildung 4.15 stellt eine positiv verlaufende Konsistenz-Prüfung dar. Grüne Mar-kierungen sind hierbei korrekt errechnete Blöcke und weiße Blöcke sind leer bzw.mit Nullen belegt, so dass diese Bereiche weiß hinterlegt werden. Bei der Funktion„Scannen“ ermittelt R-Studio valide Blöcke, die auf ein bestimmtes Dateisystemoder einen bestimmten Dateitypen hinweisen. Dieser Prozess kann sehr zeitaufwän-dig sein, daher lohnt es sich zu überlegen, ob Dateisysteme ausgeschlossen werdenkönnen und ob man wirklich nach allen Dateitypen suchen möchte oder vielleichtnur nach speziellen - z. B. Office Dokumenten oder Bildern.In Abbildung 4.16 wurden Dateisysteme vorausgewählt, die bei einem Windows-PCüblich wären. Über den Button „Bekannte Dateitypen“ lassen sich einzelne Dateity-pen oder -Gruppen an- und abwählen (Siehe Bild 4.17). Da die Laufzeiten tatsächlich

28


Bild 4.17: R-Studio: Dateitypen beim Scannen auswählen

Bild 4.18: R-Studio: Übersicht des Fortschritts beim Scannen

erheblich sein können, lohnt es sich - für die Identifikation des RAID Layouts - auchden zu analysierenden Bereich einzuschränken und bei der Scanansicht „Einfach(nur Scanfortschritt; schneller.)“ auszuwählen. (Siehe Bild 4.18) Nach einem solchenScan stehen dem Anwender bereits Möglichkeiten zur Verfügung durch die logischeStruktur des Dateisystems zu navigieren und Dateien jeweils wiederherzustellen bzw.einzusehen.Nachdem der Anwender jenes RAID-Layout ausgewählt hat, das ein konsistentesRAID liefert, valide Dateisysteme erkennt und keine - oder möglichst wenige - kor-rupte einzelnen Dateien ermittelt, wird der Anwender diesen Zustand exportierenwollen. Dies ermöglicht ihm die physikalische Abstraktionsebene des RAID-Systemszu entfernen und dessen logische Abbildung zu erzeugen (Siehe Bild 4.19). Hierzuöffnet der Anwender das Menü zum Eintrag „Virtual Block RAID 1“ und wählt denMenü-Eintrag „Image erstellen. . . “ aus.Im folgenden Dialog bietet R-Studio erneut primär das eigene proprietäre Image-Format an.

29


Bild 4.19: R-Studio: Image erstellen

Bild 4.20: R-Studio: Byte-Für-Byte Image erstellen

Neben der Tatsache, dass dieses den Anwender an das R-Studio Produkt-Portfoliobindet, erlaubt das Format im Vergleich zu EnCase6 ein nur schwaches Kompressi-onsverhältnis. Es bietet auch ansonsten wenige Zusatzfeatures, die uns - die Autoren- dazu verleiten würden, dieses Format dennoch zu empfehlen.Für eine Aufbewahrung und/oder forensische Weiterverarbeitung empfehlen wirdaher viel mehr den Umweg über ein Byte-für-Byte-Image, dass im Anschlussmit einem geeigneten Tool platzsparend komprimiert und weiterverarbeitet wer-den kann (Siehe Bild 4.20). Womöglich hilfreich kann jedoch noch sein, die „Scan-Informationen“ im entsprechenden Reiter zu speichern (Siehe Bild 4.21).

30


Bild 4.21: R-Studio: Scan Informationen speichern

4.3 Software Lösungen unter Linux

4.3.1 Software-RAID

In diesem Kapitel geht es um eine Software RAID Konfiguration, bei der wir da-von ausgehen, dass sie auf Basis des weit verbreiteten Multiple Disk (MD) vorliegt.MDADM ist das entsprechende Administrationstool [11].Die möglichen Konfigurationsmöglichkeiten können vielseitig sein, denn es ist mög-lich mit MDADM verschiedenste RAID Layouts zu definieren und miteinander zuverschachteln. Es können sowohl einzelne Dateien, ganze RAID-Verbunde, Partitio-nen und auch ganze Festplatten mit einander verbunden werden.Die beiden letztgenannten Optionen sind jedoch die häufigsten Anwendungsfälleund daher bereits Grund genug, dass ein Forensiker zunächst ein Abbild sämtlicherPlatten erstellen sollte.Im Folgenden wird davon ausgegangen, dass der Forensiker am betroffenen Compu-ter fünf Festplatten vorfindet, zu denen er jeweils ein Image erstellen konnte, dasjeweils nun für die weitere Analyse genutzt werden kann.Die Abbilder liegen im EnCase6 Format vor. Das gewählte Analyse-System verfügtüber die SleuthKit Software-Sammlung.

Schritt 1: Einbinden der Abbilder

Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen und dessenInhalt im Dateisystem des Forensikers gemountet.Hierbei ist es wichtig, den Parameter --cache zu verwenden, um eine s. g. Over-lay Datei anzulegen. Eine derartige Datei erlaubt es dem System bei der späteren

31


Einbindung der Datenträger Schreibbefehle entgegen zu nehmen. Jedoch werden dieSchreibbefehle nicht im Datenträger-Abbild geschrieben, sondern in einer separatenSchicht - dem Overlay - umgesetzt. Dies erst erlaubt es später die Datenträger viaMDADM zu mounten - ohne, dass die originalen Abbilder beschädigt werden.

1 > xmount --cache cache1 .ovl --in ewf hdd1.E01 /mnt/ disk12 > xmount --cache cache2 .ovl --in ewf hdd2.E01 /mnt/ disk23 > xmount --cache cache3 .ovl --in ewf hdd3.E01 /mnt/ disk34 > xmount --cache cache4 .ovl --in ewf hdd4.E01 /mnt/ disk45 > xmount --cache cache5 .ovl --in ewf hdd5.E01 /mnt/ disk5

Im Dateisystem finden sich nun RAW- bzw. DD-Files von den jeweiligen Platten,die nun über losetup einem loopback Device zugeordnet werden. Die ursprünglichenDatenträger stehen somit fortan als Blockdevice zur Verfügung.

1 > losetup /dev/ loop1 /mnt/ disk1 /hdd1.dd2 > losetup /dev/ loop2 /mnt/ disk2 /hdd2.dd3 > losetup /dev/ loop3 /mnt/ disk3 /hdd3.dd4 > losetup /dev/ loop4 /mnt/ disk4 /hdd4.dd5 > losetup /dev/ loop5 /mnt/ disk5 /hdd5.dd

Schritt 2: Identifikation von MDADM Volumes

Durch Eingabe des folgenden Befehls, ermittelt MDADM das RAID-Layout desjeweiligen Blockdevices.

1 > mdadm --examine /dev/ loop1

Die Ausgabe des Befehls lautet für die erste beliebige Platte1 /dev/ loop1 :2 Magic : a92b4efc3 Version : 1.24 Feature Map : 0x05 Array UUID : 6041 aacf :9 d4400c5 :4 e5253d7 :1 b3e05d76 Name : suspect :07 Creation Time : Sat Apr 13 17:57:05 20198 Raid Level : raid69 Raid Devices : 5

10

11 Avail Dev Size : 16758784 (7.99 GiB 8.58 GB)12 Array Size : 25138176 (23.97 GiB 25.74 GB)13 Data Offset : 18432 sectors14 Super Offset : 8 sectors15 Unused Space : before =18352 sectors , after =0 sectors16 State : clean17 Device UUID : fd6ed775 : c28fb7a1 : f547b069 :848 f14be18

19 Update Time : Sat Apr 13 18:05:41 201920 Bad Block Log : 512 entries available at offset 16 sectors21 Checksum : 91 d8e17e - correct

32


22 Events : 12923

24 Layout : left - symmetric25 Chunk Size : 512K26

27 Device Role : Active device 128 Array State : AAAAA (’A’ == active , ’.’ == missing , ’R’ == replacing )

In der Ausgabe lässt sich feststellen, dass die vorliegende Platte hdd1.E01 Teileines RAID-6 Verbundes ist. Dieser Verbund besteht aus fünf einzelnen Platten- wahrscheinlich die vier verbleibenden Asservate hdd2.E01 bis hdd5.E01. LetzteGewissheit erhält man, wenn man den gleichen Befehl mit den Blockdevices allerFestplatten-Abbilder wiederholt.In der Ausgabe erfährt der Forensiker außerdem, dass die Kapazität des logischenLaufwerks rund 24 GiB umfasst, während die Größe der einzelnen physikalischenPlatten bei jeweils rund 8 GiB lagen.Weitere 16 GB nutzt RAID-6 zur Abbildung von zwei Paritäten, die benötigt werden,um eine doppelte Ausfallsicherheit zu implementieren. Da der Verbund konsistentist - davon zeugt die korrekt Prüfsumme und das Array State AAAAA - genügtes, wenn der Forensiker fortan mit drei der fünf Platten arbeitet. Dieses Vorgehenschont IO Bandbreiten, Speicherkapazitäten und damit letztlich in der folgendenBearbeitung auch Zeit.Es steht dem Forensiker aber frei, alle fünf Abbilder zum RAID-6 zu verbinden.

Schritt 3: Einbinden des RAID-Verbundes

In Schritt 2 wurde festgestellt, dass die fünf Plattenabbilder von einem logischenRAID-6-Verbund stammen. Daher lassen diese sich ressourcensparend einbinden,indem drei beliebige Platten des Verbundes gemountet werden.

1 > mdadm --assemble -- readonly --run /dev/md0 /dev/ loop1 /dev/ loop2 /dev/ loop32 mdadm : /dev/md0 has been started with 3 drives (out of 5).

Schritt 4: Volumen Analyse

Nun kann der Forensiker ermitteln, mit welchem Dateisystem er es zu tun hat. AufBasis dieser Erkenntnis, lässt sich das weitere Vorgehen bestimmen. Dazu lässt sichz. B. der Befehl fsstat aus dem SleuthKit verwenden.

1 > fsstat -t /dev/md02 ext4

33


Es wurde ermittelt, dass auf dem Software-RAID das Dateisystem „ext4“ eingesetztwurde.Es lassen sich nun weitere Analysen des Volumens durchführen, ohne dass dieseseingebunden werden muss. Beispielsweise lassen sich mit dem Carving-Tool foremostDateien eines gewissen Dateityps anhand der Header-Informationen ermitteln undextrahieren. Da foremost nicht auf das Dateisystem schauen kann, entspricht dieNummer im Dateinamen der extrahierten Dateien dem Anfangsblock der jeweiligenDatei:

1 > foremost -T -t jpeg /dev/md02 Processing : /dev/md03 |**********************************************************************4 ***********************************************************************5 ****************|6 > cd output /jpeg7 > ls8 00270576. jpg 00273955. jpg 17063504. jpg 25431160. jpg 25468552. jpg9 00270692. jpg 00376832. jpg 17068664. jpg 25439144. jpg 25477184. jpg

10 00272024. jpg 17039368. jpg

Schritt 5: Mount des logischen Dateisystems

Die vorliegenden Datenträger-Abbilder wurden bislang als Platten eines Software-RAIDs identifiziert, in einem RAID-Verbund erfolgreich erneut logisch zusammen-gefasst und können nun auch gemountet werden.Da in diesem Fall ein Linux Dateisystem vorliegt, können wir dieses unmittelbarmappen, sobald der Pfad angelegt wurde.

1 > mkdir /mnt/ suspect2 > mount /dev/md0 /mnt/ suspect3 > ls -lh4 insgesamt 4,3M5 -rw -r--r-- 1 root root 220K Apr 13 18:00 Btrfs .pdf6 -rw -r--r-- 1 root root 198K Apr 13 18:00 Dd.pdf7 drwxr -xr -x 2 root root 4,0K Apr 13 18:01 fernweh8 drwxr -xr -x 2 root root 4,0K Apr 13 18:01 happy9 -rw -r--r-- 1 root root 5,6K Apr 13 18:05 hashdeep .txt

10 -rw -r--r-- 1 root root 0 Apr 13 18:00 Hochschule_Wismar .pdf11 -rw -r--r-- 1 root root 189K Apr 13 18:00 Logical_Volume_Manager .pdf12 drwx ------ 2 root root 16K Apr 13 17:58 lost+ found13 -rw -r--r-- 1 root root 141K Apr 13 18:00 Mdadm .pdf14 drwxr -xr -x 2 root root 4,0K Apr 13 18:01 metropolen15 -rw -r--r-- 1 root root 0 Apr 13 18:00 NTFS.pdf16 -rw -r--r-- 1 root root 0 Apr 13 18:00 One -Time -Pad.pdf17 -rw -r--r-- 1 root root 0 Apr 13 18:00 Polizei -IT - Anwendungen .pdf18 -rw -r--r-- 1 root root 960K Apr 13 18:00 RAID.pdf19 -rw -r--r-- 1 root root 148K Apr 13 18:00 ReFS.pdf20 -rw -r--r-- 1 root root 152K Apr 13 18:00 The_Sleuth_Kit .pdf21 -rw -r--r-- 1 root root 1,6M Apr 13 18:00 Ubuntu .pdf

34


22 -rw -r--r-- 1 root root 495K Apr 13 18:00 VirtualBox .pdf23 -rw -r--r-- 1 root root 187K Apr 13 18:00 ZFS.pdf

35


4.3.2 Logical Volume Manager (LVM)

Der Logical Volume Manager ist ein softwarebasierte Speicherlösung die in den Li-nuxkernel integriert ist. Logical Volume Manager (LVM) stellt logische Volumenbereit die von physischen Datenträgern abstrahiert und unabhängig sind. Es kannals Ergänzung zu MD angesehen werden und besitzt eine flexible Architektur.

Funktionsweise

Die von LVM bereitgestellten Volumen sind flexibel und skalierbar. Sie können übermehrere physische Datenträger verteilt und zur Laufzeit in ihrer Größe angepasstwerden. Häufig wird LVM zusammen mit MD verwendet, aber einige Anbieter inte-grieren eigene RAID-Funktionalitäten. Diese sind in einigen Distributionen bereitsintegriert oder können nachträglich installiert werden. Von logischen Volumen kön-nen Snapshots angefertigt werden. In einem angelegten Snapshot werden alle Ände-rungen blockweise in ein neues referenzierendes, logisches Volumen geschrieben.Partitionen die in die LVM-Verwaltung integriert sind werden in der Master BootRecord (MBR) Partitionstabelle mit dem Typ 0x8e gekennzeichnet. Die kleinsteSpeichereinheit im LVM wird Physical Extent genannt. Sie ist auf den physischenDatenträgern verteilt. Eine veränderbare Anzahl an Physical Extent bildet eine Vo-lume Group. In dieser Gruppe können mehrere logische Volumes abgelegt und an-schließend dem System zugeordnet werden. LVM hat keinen Einfluss auf dem dar-über eingesetzten Dateisystem. Wird das Volume in seiner Größe angepasst mussdas Dateisystem dies unterstützen [12, S. 160–161].

Speichern und Einbinden

Das Duplizieren der LVM-Volumen für die forensische Auswertung ist einfach. DieKonfiguration ist unter /etc/lvm/ abgelegt. Hier finden sich auch Archive von altenKonfigurationen. Bei aktivem System ist es möglich beispielweise mit dd, das Volumezu kopieren. Die LVM-Partitionen sind unter /dev/VOLUMEGROUPNAME/VO-LUME verfügbar. Dieses Vorgehen ist ineffizient, da Snapshots und Volumen in ihrergesamten Größe gespeichert werden. Zusätzlich gehen Metainformationen zur LVM-Konfiguration verloren. Mit dem Befehl vgimportclone wird eine neu benannte Kopieder originalen Volume Group angelegt. Somit kann das Original kopiert werden.Auf diese Methode kann im Normalfall verzichtet werden. Sämtliche Informationenüber alle Datenträger, Volume Groups und Volumes liegen zusätzlich am Anfang

36


Bild 4.22: LVM Architektur [13]

37


jeder der oben genannten LVM-Partitionen (0x8e). Es empfiehlt sich alle physi-schen Datenträger zu duplizieren. Im Anschluss werden die Duplikate im Systemdes Forensikers mittels folgender Befehle eingebunden. Zu beachten ist das möglicheMD-RAID Aktionen vorher ausgeführt werden müssen.

1 > vgscan # Sucht nach Volume Groups2 > vgdisplay # Listet die Volume Groups auf3 > lvs # Liefert Methadaten zu den Volume Groups4 > ll /dev/ VOLUMENGROUP / # Zeigt alle verfuegbaren Volumen an

Bild 4.23: Volume Groups und Volumes identifizieren

Auf Bild 4.24 sind die bereitgestellten Partitionen zu sehen. Da LVM keine Par-titionstabellen anlegt ist es möglich, mit fsstat in die Struktur des Dateisystemseinzusehen.Eine Analyse des Snapshots in Bild 4.25 zeigt auf, dass das Dateisystem formatiertwurde. Im Original ist das Volume mit Ext4 formatiert. Der Befehl fls zeigt dasseine verdächtige Datei namens evil.exe existiert.

38


Bild 4.24: Volumes und Dateisysteme

Bild 4.25: Dateisystem des Snapshots

39


4.4 Software Lösungen unter Windows

4.4.1 LDM

Logical Disk Manager ist eine Funktionalität die es ermöglicht mehrere verschiedeneDatenträger in ein einzigen logischen Datenträger zu verbinden. Es können dabei dieRAID-Level 0, 1 und 5 gewählt werden. Um einen Datenträger in LDM einzubindenmuss eine MBR-Partition des Typs 0x42 vorliegen. Am Ende jeder Partition befindetsich die proprietär aufgebaute LDM Datenbank. Weiterführende Informationen sindin Kapietel 7 aus [12, S. 162–170] einzusehen. Das freie Linuxprogramm ldmtoolist für die Rekonstruktion empfehlenswert. An dieser Stelle wird LDM nicht weiterthematisiert, dieses wurde durch die Windows Storage Spaces ersetzt.

4.4.2 WSS

Die Windows Storage Spaces sind eine softwarebasierte Speicherlösung von Micro-soft. Sie wurde mit Windows Server 2016 eingeführt. Mit Windows Server 2019wurde Windows Storage Spaces durch Storage Space Direct (S2D) auf eine StorageArea Network Ebene erweitert.

Funktionsweise

Datenträger die für Windows Storage Spaces verwendet werden sind miteiner Globally Unique Identifier (GUID)-PartitionTable aufbereitet. In die-ser sind zwei Partitionen registriert. Microsoft Reserved Partition (GUID:E3C9E3160B5C4DB8817DF92DF00215AE) [12, S. 143] und Speicherpool (GUID:8FAF5CE780F6EE4CAFA3B001E56EFC2D). Es folgen Metainformationen überden Speicherpool. Dazu zählen u. a. die Anzahl physischer Laufwerke, der Resilienz-Typ und die Größe des bereitgestellten Speichers. Resilienz ist die Fähigkeit, beiStörungen die Aufgabenerfüllung aufrecht zu erhalten.Adäquat zu LDM und im Gegensatz zu LVM wird bei WSS eine virtuelle Festplatteund keine Partition bereitgestellt. Diese beginnt mit einem GPT-Header, welcherauf eine Partition verweist die wiederum mit einer spezielle Version von NTFS oderResilient File System (ReFS) formatiert ist. Diese Informationen liegen im RAW-Format auf den fünf schnellsten Datenträgern des WSS-Verbundes. Selbst wenn derErmittler nur eine dieser Festplatten besitzt, stehen ihm sämtliche NTFS Metadaten

40


über die gespeicherten Dateien zur Verfügung. ReFS ist ein von Microsoft entwickel-tes Dateisystem welches für die Verwendung von Netzwerkspeicher empfohlen wird.

Bild 4.26: GPT-Tabelle der physischen Disk

41


Bild 4.27: GPT-Tabelle der virtuellen Disk

Bild 4.28: GPT-Tabelle auf physischer Disk identifiziert

Die Skalierung und Redundanz der Daten werden hier auf Dateisystemebene durch-geführt. Dazu wird das Speichermedium anschließend in 256 MB große Blöcke einge-teilt. Microsoft nennt diese Slaps. Wenn keine Redundanz konfiguriert ist, werden dieSlaps gleichmäßig auf die Datenträger verteilt. WSS bietet zusätzlich vier verschie-dene Resilienzen an. Die einfache oder doppelte Kopie legen einen 256 MB Blockauf weiteren Datenträgern ab. Dies ist performanter als die Paritätsberechnung,beansprucht aber viel Speicherkapazität. Alternativ kann eine einfache oder dop-pelte Parität eingesetzt werden da über alle genutzten Datenträger ein Paritätsslapberechnet wird. Das erhöht die Speichereffizienz des Systems. Sollte ein Laufwerkausfallen, sofern genügend Speicherplatz auf den gesunden Datenträgern vorhan-den ist, werden die Paritäten bzw. Spiegelungen auf den vorhandenen Laufwerkenumgehend rekonstruiert. Anschließend ist das System vor dem Ausfall weiterer Da-tenträger geschützt. Storage Space Direct bietet eine Kombination aus Kopie undParität, um Speichereffizienz und -geschwindigkeit zu verbessern [14] [15].

42


Bild 4.29: NTFS Master File Table der virtueller Disk

Bild 4.30: NTFS Master File Table auf phsischer Disk identifiziert

43


Speichern und Einbinden

Das Duplizieren von WSS-Datenträgern ist ebenfalls einfach. Ist das System, dessenDaten zu speichern sind, zugänglich, kann die virtuelle Festplatte mit den geeignetenMitteln gesichert werden. Das Programm DiskDumper erstellt ein RAW-Image desgewünschten Laufwerks und berechnet anschließend den MD5-Hash. Für die Aus-wertung von Offline-Datenträgern empfiehlt es sich, diese in einem Auswertesystemmit einem aktuellen Windows schreibgeschützt einzubinden. Windows erkennt dieDatenträger und bindet den Storage Space entsprechend ein. Diese Vorgehensweiseist vorteilhaft, da die genauen Funktionsweise des WSS von Microsoft nicht öffent-lich zugänglich sind. Somit besteht hierbei die höchste Wahrscheinlichkeit, dass alleDaten zugänglich sind.Alternativ gibt es Softwareprodukte, die die Windows Storage Spaces dennoch ein-binden können. Die Entwickler von R-Studio haben den Aufbau der WSS rekon-struiert, sodass sie die Konfiguration zuverlässig interpretieren und das Laufwerkanschließend bereitstellen können. Diese Funktion ist in der kostenpflichtigen Ver-sion verfügbar. Daher wird im Rahmen dieser Projektarbeit nicht weiter daraufeingegangen.

Bild 4.31: Datenträger sichern mit DiskDumper

44


4.5 Zusammenfassung

Zusammenfassend ist festzuhalten, dass das Wiederherstellen verteilter Speicher-konfigurationen sehr vom verwendeten Produkt abhängt. Bei Open Source Lösun-gen ist das Wiederherstellen der Datenstruktur kein Hindernis. Durch die Vielzahlvon RAID-Herstellern ist es empfehlenswert die von RAID-Controller bereitgestellteDisk mit Hilfe des eigenen Forensik-Systems zu duplizieren. Bei proprietären Spei-cherlösungen, wie Microsofts Windows Storage Spaces, ist zu empfehlen eine Kopiewährend des laufenden Windows-Systems zu erstellen. Das ist die zuverlässigsteOption.

45

Kapitel 5. Verschlüsselte Datenträger

5 Verschlüsselte Datenträger

5.1 Einleitung

Heutzutage stehen für die am Markt relevanten Betriebssysteme integrierte Mög-lichkeiten zur Verfügung, mit geringem Aufwand, sowohl im Computersystem einge-baute als auch extern angeschlossene, Datenträger zu verschlüsseln. Besonders aufNotebooks und für mobile Datenträger im Enterprise-Umfeld wird der Einsatz vonVerschlüsselungen empfohlen. Zusätzlich können, bei entsprechendem Schutzbedarf,auch stationäre Arbeitsplatzrechner und sogar Server verschlüsselt werden [16].Auch im privaten Umfeld sind die Hürden, eine Datenträgerverschlüsselung ein-zusetzen, überschaubar. So bietet Apple seit OS X Lion eine, im Betriebssystemintegrierte, Festplattenverschlüsselung (FileVault2) an, welche mit wenigen Klickseingeschaltet werden kann [17]. Beliebte Linux Distributionen bieten einfache, grafi-sche Einrichtungstools für die Festplattenverschlüsselung mit Bordmitteln [18] undfür Windows kann Microsoft die BitLocker-Geräteverschlüsselung sogar automatischaktivieren, wenn die Hardware es unterstützt [19].Aufgrund der Sicherheitsempfehlungen für Unternehmen sowie den einfach einzu-richten und zum Teil auch automatisch aktiven Verschlüsselungstools für privat ge-nutzte Geräte steigt die Wahrscheinlichkeit, bei der forensischen Analyse von Com-putersystemen auf verschlüsselte Datenträger zu treffen.In diesem Kapitel werden die in Windows, Linux und macOS integrierten Verschlüs-selungstools vorgestellt und betrachtet, wie eine damit verschlüsselte Systemparti-tion zur Analyse der enthaltenen Daten entschlüsselt werden kann.

5.2 Festplattenverschlüsselung

Um Daten auf Datenträgern zu verschlüsseln gibt es mehrere Ansätze. Zum einenkönnen einzelne Dateien verschlüsselt und in dieser Form, wie jede andere Datei, imDateisystem des Speichermediums abgelegt werden (z. B. Windows Encrypting FileSystem (EFS), Encrypted Filesystem (EncFS), ZIP mit Verschlüsselung). Zum an-deren kann ein gesamter Datenträger bzw. eine Partition verschlüsselt werden. Das

46


Dateisystem befindet sich in diesem Fall eine logische Schicht über der Verschlüsse-lung. Diese Technik sorgt dafür, dass ein Image einer so verschlüsselten Partition nurunleserliche Daten enthält, die vor der weiteren forensischen Analyse entschlüsseltwerden müssen, um auf das Dateisystem zugreifen zu können.In dieser Arbeit liegt der Fokus auf der Entschlüsselung vollständig verschlüsselterBetriebssystem-Partitionen.

5.3 Verschlüsselungstools

Am Markt sind eine Vielzahl von Verschlüsselungsprogrammen verfügbar, mit de-nen Datenträger blockweise verschlüsselt werden können. In diesem Abschnitt wirdfür jedes aktuelle, populäre Desktop-Computer Betriebssystem (Windows, Linux,macOS) die jeweils integrierte (kann je nach Betriebssystemedition/ Distributionabweichen) Verschlüsselungsmethode vorgestellt. Zusätzlich wird das, für alle Be-triebssysteme verfügbare, VeraCrypt betrachtet.

5.3.1 Microsoft BitLocker

Überblick

Microsoft BitLocker ist eine Festplattenverschlüsselung, die Microsoft seit WindowsVista/ Windows Server 2008 als Betriebssystemkomponente ausliefert. BitLo-cker ist in der Lage neben portablen Geräten und Datenpartitionen auch dieBetriebssystempartition zu verschlüsseln. Dafür wird eine kleine, unverschlüsselteSystempartition angelegt, von der zuerst gebootet wird. Das dort abgelegte Systementschlüsselt und lädt danach das eigentliche Betriebssystem aus der verschlüsseltenBetriebssystempartition [20].Die zu verschlüsselnde Partition wird mit Hilfe eines symmetrischen Schlüssels, demFull Volume Encryption Key (FVEK), verschlüsselt. Der FVEK wiederum wirdmit dem so genannten Volume Master Key (VMK) verschlüsselt. Der VMK wirdebenfalls verschlüsselt. Die Art des Schlüssels kann dabei variieren. Computer, dieüber ein Trusted Platform Module (TPM) verfügen, können dieses zur Verschlüs-selung des VMK nutzen. Alternativ (oder auch zusätzlich) kann der Schlüssel miteinem Kennwort geschützt werden. Vom VMK können mehrere, mit jeweils einemanderen Schlüssel verschlüsselte, Kopien angelegt werden [21, S. 7]. Das ermöglichtes z. B. das System im normalen Betrieb mittels des Schlüssels aus dem TPM zuentschlüsseln aber auch einen Wiederherstellungsschlüssel zu erzeugen, der an einer

47


Bild 5.1: BitLocker Key Architecture. Entnommen aus: [21, S. 9]

anderen Stelle abgelegt wird, falls die Entschlüsselung per TPM (z. B. wegen einesHardwaredefekts oder einer Integritätsverletzung) scheitert. Bild 5.1 zeigt eineÜbersicht der möglichen Schlüssel. Der verschlüsselte FVEK sowie die Kopien desverschlüsselten VMK werden in einer unverschlüsselten Datenstruktur (BitLockerMetadaten) an drei Stellen (Anfang, Mitte, Ende) auf der ansonsten verschlüsseltenPartition abgelegt. Die BitLocker Metadaten-Strukturen beginnen mit der Signatur„-FVE-FS-“ [22, S. 4]. Wird diese Signatur in einem Partitionsimage gefunden, soist die Partition höchstwahrscheinlich mit BitLocker verschlüsselt.

Schlüsselgewinnung

Damit das Image einer mit BitLocker verschlüsselten Partition entschlüsselt werdenkann, wird entweder der FVEK, der VMK oder ein Schlüssel für den VMK be-nötigt. Alle Schlüssel, die zur Laufzeit unverschlüsselt im Arbeitsspeicher abgelegtsind, werden, wenn BitLocker sie zur Entschlüsselung gerade nicht benötigt, über-schrieben [21, S. 13]. Da der VMK nur für einen kurzen Moment zum Entschlüsselndes FVEK benötigt wird, ist es unwahrscheinlich den VMK im Random-Access Me-mory (RAM) auffinden zu können. Der FVEK jedoch wird während der gesamtenLaufzeit des Systems im RAM gehalten und kann aus einem Memory Dump ausge-lesen werden [23]. Auf diese und andere Techniken zur Gewinnung des FVEK auseinem laufenden System/ RAM Image oder einem Angriff auf das TPM wird in

48


Bild 5.2: Partitionstabelle einer Festplatte mit einer BitLocker-Partition

dieser Arbeit nicht eingegangen.Für die Entschlüsselung wird angenommen, dass ein Wiederherstellungsschlüsselbekannt ist. Diese werden in Unternehmen z. B. im ActiveDirectory oder einerSchlüsselverwaltungsdatenbank eines Drittanbieters abgelegt. Darüber hinaus kön-nen auch externe Speichermedien (z. B. USB-Sticks) als Schlüsselspeicher dienen.Zuletzt bietet BitLocker auch die Möglichkeit einen Schlüssel auszudrucken oderin einem Microsoft-Konto in der Cloud abzulegen [24]. Für die Analyse der Datenmuss zusätzlich zum Image der verschlüsselten Partition demnach auch ein Schlüsselgefunden werden.

Entschlüsselung

Für diese Arbeit wurde die Betriebssystempartition einer Windows 10 VirtualMachine (VM) (ohne TPM) mit BitLocker verschlüsselt. Der VMK wird durchein Startpasswort geschützt. Zusätzlich wurde (automatisch) ein Wiederherstel-lungsschlüssel erstellt. Im Anschluss wurde die virtuelle Festplatte an eine Ubun-tu Linux VM angehängt und mit dd als RAW-Image kopiert. Mit mmls aus derProgrammsammlung “The Sleuth Kit„ wird die Partitionstabelle betrachtet (Bild5.2). Aufgrund der Größe der Partitionen wird geschlossen, dass es sich bei dergrößeren New Technology File System (NTFS) Partition um die Betriebssystem-Partition handelt. Diese wird an ein Loop-Device gebunden. Mit Hilfe des headBefehls wird der Beginn der Partition ausgelesen. Anhand der Signatur „-FVE-FS-“ (Bild 5.3) ist erkennbar, dass es sich tatsächlich um die mit BitLocker ver-schlüsselte Partition handelt. Um die Partition weiter zu analysieren wird dislo-cker (https://github.com/Aorimn/dislocker) eingesetzt. Der Befehl dislocker-metadata gibt weitere Informationen über die verschlüsselte Partition aus (Bild 5.4).

49

https://github.com/Aorimn/dislocker


Bild 5.3: BitLocker Signatur am Beginn der Partition

Bild 5.4: Metadaten der mit BitLocker verschlüsselten Partition

Die verschlüsselte Partition wird mittels dislocker-fuse und dem, beim Einschaltender Verschlüsslung erstellten, Recovery Key entschlüsselt und danach eingehängt.Dislocker unterstützt verschiedene Arten von Schlüsseln (siehe Abschnitt „Schlüs-selgewinnung“) um die Partition zu entschlüsseln. Mit dem Parameter „-r“ wird diePartition nur lesend eingebunden, um Veränderungen zu vermeiden. Wie in Bild 5.5erkennbar, kann nun auf den Inhalt der Partition zugegriffen werden.

5.3.2 FileVault 2

Überblick

FileVault2 ist ein in macOS integriertes Verschlüsselungstool. Seit Version 2 unter-stützt FileVault die Verschlüsselung des Betriebssystem-Volumes [17]. Moderne Ver-sionen von macOS nutzen das Apple-eigene Dateisystem Apple File System (APFS)für die Systemfestplatte/SSD. APFS legt auf dieser Platte einen so genannten Con-tainer (entspricht einer Partition) an. Dieser Container enthält bei einem mit Fi-

50


Bild 5.5: BitLocker verschlüsselten Partition entschlüsselt einhängen

leVault verschlüsselten Betriebssystem mindestens drei Volumes. Ein Volume istverschlüsselt und enthält das Betriebssystem, ein Volume ist nicht verschlüsselt undenthält die Daten, die zum Start des Betriebssystems notwendig sind (Preboot) undein drittes Volume ist ein Recovery Volume [25].Bei der Aktivierung von FileVault wird im Preboot-Volume 1 die Datei „Encrypte-dRoot.plist.wipekey“ erstellt. Es handelt sich dabei um ein XML-File, dessen Inhaltzum größten Teil mit einem - im Header des zugehörigen System-Volumes befind-lichen - Schlüssel verschlüsselt ist. Diese Datei enthält den Volume Key, mit demdas System-Volume verschlüsselt ist. Der Volume Key wiederum ist mit einem Key-Encryption-Key verschlüsselt. Vom Key-Encryption-Key existieren mehrere Kopi-en, welche mit jeweils unterschiedlichen Schlüsseln verschlüsselt sind. Diese Schlüs-sel können Passwörter der Systembenutzer, ein Recovery-Key oder ein Zertifikatsein [26].Apple-Geräte mit eingebautem T2-Chip erzeugen eine zusätzliche Hürde bei der Er-stellung eines Images der Systemfestplatte/SSD. Alle Zugriffe auf das Medium laufenüber den T2-Chip und werden dort mit einem an die Hardware gebundenen Schlüsselverschlüsselt. In diesem Fall wird die Hardware, zu welcher der Datenträger gehörtbenötigt, um das Medium zu entschlüsseln. Innerhalb dieser Verschlüsselung kannzusätzlich noch eine FileVault Verschlüsselung aktiv sein [27]. Auf dieses Szenario(Verschlüsselung mit T2-Chip) wird in dieser Arbeit nicht eingegangen.

Schlüsselgewinnung

Beim Einschalten von FileVault wird ein Recovery-Key erzeugt. Dieser kann ent-weder lokal ausgegeben und z. B. ausgedruckt oder in einen iCloud-Account hoch-geladen werden. Besteht Zugriff auf den iCloud Account des Gerätebesitzers, kann

1In der Quelle [26] wird beschrieben, dass die Datei sich in der Recovery-Partition befindet. Beidem für diese Arbeit installierten System (macOS 10.14 Mojave in einer VMWare VM) war dieDatei jedoch im Preboot-Volume abgelegt.

51


Bild 5.6: APFS/ FileVault2 Partitionstabelle - mmls

der Account unter Umständen zum Abrufen des Wiederherstellungsschlüssel genutztwerden [28]. Neben dem Recovery Key kann das Passwort eines Benutzeraccounts,der zum Entschlüsseln des Volumes berechtigt ist, verwendet werden. Darüber hin-aus kann (besonders in Enterprise Umgebungen) ein Zertifikat zur Entschlüsselunghinterlegt werden [26].Liegt ein RAM-Dump des zu entschlüsselnden Systems vor, kann der Volume Keyauch daraus extrahiert werden [29]. Für diese Arbeit wird jedoch angenommen, dassder Recovery-Key bekannt ist.

Entschlüsselung

Für diese Arbeit wurde eine VMWare VM mit macOS 10.14 installiert und dasSystem-Volume mit FileVault verschlüsselt. Der Recovery-Key wurde nicht in deriCloud abgelegt sondern am Bildschirm ausgegeben. Die Partitionstabelle der VMwird, mit mmls betrachtet, nur unzureichend dargestellt (Bild 5.6), da mmls in dereingesetzten Version nicht mit APFS umgehen kann. Um weitere Informationen überdie im Image enthaltenen Partitionen, Container und Volumes zu erhalten, wird dieapfs-fuse Toolsammlung genutzt (https://github.com/sgan81/apfs-fuse). Mitdem enthaltenen apfsutil können die Volumes im APFS angezeigt werden (Bild 5.7).Unter Angabe des Recovery-Keys (oder eines Passworts) kann das verschlüsselteSystem-Volume mit apfs-fuse eingebunden werden (Bild 5.8). Der Zugriff erfolgt inder genutzten Programmversion (vom 20 April 2019) nur lesend und die Softwarebefindet sich noch im experimentellen Stadium.

52

https://github.com/sgan81/apfs-fuse


Bild 5.7: APFS/ FileVault2 Partitions-/ Volumeinformationen - apfsutil

Bild 5.8: FileVault2 verschlüsselte Partition einbinden

53


5.3.3 LUKS/ dm-crypt

Überblick

DM-Crypt ist ein, im aktuellen Linux-Kernel enthaltenes, Modul um Daten ver-schlüsselt auf Block-Devices zu schreiben und davon zu lesen [30]. DM-Crypt wirddurch LUKS um einen Rahmen erweitert, der das Schlüsselmanagement standar-disiert und vereinfacht. LUKS arbeitet auch mit anderen Verschlüsselungsmodulenzusammen [31, S. 1]. In diesem Kapitel wird „LUKS“ jedoch synonym für die Kom-bination aus DM-Crypt und LUKS2 verwendet.LUKS ermöglicht es, sowohl verschlüsselte Containerdateien zu erzeugen als auchganze Partitionen und Festplatten zu verschlüsseln. Dazu wird ein Header erzeugt,der Metadaten zur Konfiguration der Verschlüsselung enthält. Der Header ist erkenn-bar an der Signatur „LUKS“ und beginnt mit einem Binärobjekt, welches grund-legende Daten zur eingesetzten Verschlüsselung enthält. Darauf folgt eine JSONStruktur, welche unter anderem Informationen über die verwendeten Keyslots undderen Speicherort enthält. Ein Keyslot ist eine Datenstruktur, die den Schlüsselzur mit dm-crypt erzeugten Datenverschlüsselung in verschlüsselter Form enthält.LUKS2 unterstützt bis zu 32 Keyslots, also Schlüssel um auf den dm-crypt-Schlüsselzuzugreifen [32].Diese Schlüssel können Passwörter sein, es sind aber auch Schlüsseldateien auf ex-ternen Datenträgern (auch im nicht allokierten Bereich), Hardwaretoken, Schlüsselim TPM oder andere Verfahren denkbar.Seit LUKS2 ist der Header redundant vorhanden (nur der Header, nicht die Keys-lots) und es ist möglich, den Header auch außerhalb der verschlüsselten Partitionaufzubewahren [32]. Damit würde die Signatur „LUKS“ als Identifikationsmerkmalauf dem Datenträger fehlen.

Schlüsselgewinnung

Da die Schlüssel der LUKS Keyslots sehr unterschiedliche Daten an verschiedenstenOrten sein können, gibt es keine allgemeingültige Vorgehensweise um die Schlüsselaufzuspüren. Ist das System jedoch noch eingeschaltet und kann bedient werden,so können die Schlüssel mittels dmsetup table –showkeys aus dem laufenden Systemausgelesen werden. Mit den so gewonnen Informationen kann ein eigener Schlüsselfür einen Keyslot erzeugt werden [33].Liegt zu dem verschlüsselten Datenträger ein RAM-Dump des Systems von einem

54


Bild 5.9: Ubuntu Installationsoptionen

Zeitpunkt vor, zu dem die Daten entschlüsselt waren, so kann der Schlüssel auchdaraus gewonnen werden [34]. Für diese Arbeit wird jedoch angenommen, dass einSchlüssel für einen LUKS Keyslot vorliegt.

Entschlüsselung

Für diese Arbeit wurde eine Ubuntu 19.04 Desktop Installation mit den im In-stallationsdialog (Bild 5.9) angebotenen Verschlüsselungsoptionen verschlüsselt. Indem verschlüsselten Bereich auf der Festplatte wurde mit Hilfe von LVM eine Vo-lume Group angelegt. Darin befinden sich die /root- und die swap-Partition. Dieswird erreicht, indem die abgebildeten Optionen während der Installation angewähltwerden. Von dem installierte System wurde mit ewfacquire ein Image (Dateiname„image.e*“) erstellt. Dieses wird nun ausgewertet.Im ersten Schritt wird die Partitionstabelle des Images mit mmls betrachtet (Bild5.10). Es werden zwei „Linux-Partitionen“ erkannt. In der ersten ist ein minimalesLinux zum Booten des eigentlichen Betriebssystems enthalten. Dieses befindet sich,wie in Bild 5.11 erkennbar, verschlüsselt in der zweiten Partition, deren Dateisys-tem (wegen der Verschlüsselung) nicht bestimmt werden kann. Um die verschlüssel-te Partition analysieren zu können, wird das mit ewfacquire erstellte Image mittelsXmount bereitgestellt (siehe 5.12). Im Anschluss wird die verschlüsselte Partitionals loop-Device eingebunden (Bild 5.13). An der Signatur „LUKS“ am Partitionsbe-ginn ist erkennbar, dass es sich tatsächlich um die verschlüsselte Partition handelt.Mit dem Tool cryptsetup werden die Metadaten der verschlüsselten Partition an-gezeigt (Bild 5.14). Damit das verschlüsselte Dateisystem lesbar wird, wird es mit

55


Bild 5.10: Partitonstabelle des verschlüsselten Ubuntu

Bild 5.11: Dateisysteme der Linux Partitionen

Bild 5.12: EWF Image mit Xmount einbinden

Bild 5.13: LUKS Partition als Loop-Device bereitstellen

56


Bild 5.14: LUKS Header mit cryptsetup anzeigen

57


Bild 5.15: Partition entschlüsseln und LVM Volumes mappen

cryptsetup entschlüsselt. Die entschlüsselte Partition wird unter „/dev/mapper“ ein-gehängt. Da bei der Installation des Betriebssystems LVM verwendet wurde, kannnoch nicht auf die Daten der gemappten Partition zugegriffen werden. Mittels lvmpvscan werden die eingebundenen Datenträger nach vom LVM verwalteten Devi-ces durchsucht. Diese werden ebenfalls unter „/dev/mapper“ eingehängt. Die Datenkönnen nun analysiert werden (Bild 5.15).

5.3.4 VeraCrypt

Überblick

VeraCrypt ist ein freies, auf TrueCrypt basierendes, Verschlüsselungstool. Es ist fürWindows, Linux und macOS verfügbar und kann sowohl verschlüsselte Containererstellen als auch ganze Partitionen/ Speichermedien verschlüsseln. Daneben kannein installiertes Windows vollständig verschlüsselt werden (pre-boot authenticati-on) [35]. Eine solche Konfiguration kann daran erkannt werden, dass der VeraCrypt-Bootloader am Anfang der Festplatte abgelegt wird. Der Bootloader kann jedochauch auf einem externen Medium gespeichert werden (VeraCrypt Rescue Disk) [36].Grundsätzlich verfolgt VeraCrypt den Ansatz, dass neben der Verschlüsselung auchdas Vorhandensein der verschlüsselten Daten möglichst schlecht erkennbar ist. Eswird deshalb auf eine unverschlüsselt lesbare Signatur zu Beginn einer verschlüssel-ten Partition verzichtet. Darüber hinaus ist es möglich, versteckte Container anzu-legen.Eine mit VeraCrypt verschlüsselte Partition beginnt mit einem Header, welcher deneigentlichen Schlüssel zur Verschlüsselung der Daten enthält. Der Header selber istebenfalls verschlüsselt [37]. Um den Header zu verschlüsseln, können bei der System-verschlüsselung nur Passwörter genutzt werden [38]. Die Architektur unterstützt nur

58


einen Schlüssel pro verschlüsseltem Medium. Um die Sicherheit zu erhöhen kann -zusätzlich zum Passwort - ein Personal Iterations Multiplier (PIM) angegeben wer-den. Dieser beeinflusst die Anzahl der Iterationen der Funktion, die aus dem an-gegebenen Passwort den eigentlichen kryptographischen Schlüssel für den Headererzeugt [39]. Wird kein PIM angegeben, wird eine Standardanzahl an Iterationender Schlüsselableitungsfunktion genutzt.

Schlüsselgewinnung

Der Schlüssel zur Entschlüsselung des VeraCrypt Headers kann bei einer System-verschlüsselung nur ein Passwort - optional erweitert durch ein PIM - sein. EinenRecovery-Key gibt es nicht - lediglich eine Rescue Disk, welchen den Header zumZeitpunkt der Erstellung der Recovery Disk enthält. Das Passwort kann unter Um-ständen ein anderes sein, als das aktuell genutzte, wenn die Disk nach einer Pass-wortänderung nicht vernichtet und neu erstellt wurde.Liegt ein Memory Dump des Systems bei entschlüsselter Partition vor, kann dar-aus der Schlüssel für die Daten extrahiert werden [40]. Läuft das System noch mitentschlüsselter Partition und kann es bedient werden, kann - bei vorhandenen ad-ministrativen Berechtigungen - das Entschlüsselungspasswort auf einen bekanntenWert gesetzt werden [41]. Für diese Arbeit wird davon ausgegangen, dass das Pass-wort bekannt ist und kein PIM vergeben wurde.

Entschlüsselung

Für diese Arbeit wurde eine Windows 10 Installation mittels VeraCrypt verschlüs-selt. Dabei wurde mit der Option „Die Windows System-Partition verschlüsseln“ ge-arbeitet. Von der gesamten Festplatte wurde mit dd ein RAW Image (veracrypt.img)erstellt. Die Partitionsstruktur, mit mmls betrachtet, ist in Bild 5.16 abgebildet.Um die verschlüsselte Partition öffnen zu können, genügt es nicht nur sie alleine alsLoop-Device einzuhängen (Bild 5.17). Es wird ein partitioniertes Gerät und keineeinzelne Partition erwartet. Dies wird erreicht, indem losetup mit dem Parameter„-P“ aufgerufen wird. Der Parameter „-f“ wählt automatisch das nächste, freie Loop-Device. Nachdem das Image mit allen Partitionen als Loop-Device eingehängt ist,kann die verschlüsselte Betriebssystem-Partition mit VeraCrypt entschlüsselt undgemountet werden. Dabei ist darauf zu achten, dass wie in Bild 5.18 der Parameter„–mount-options=ro,system“ angegeben wird, damit die Partition ReadOnly einge-bunden und als verschlüsselte Systempartition mit pre-boot authentication erkannt

59


Bild 5.16: Partitionstabelle des mit VeraCrypt verschlüsselten Windows

Bild 5.17: Image mit Partitionen als Loop-Device einbinden

wird. Bei der Verschlüsselung wurde der PIM nicht gesetzt und Schlüsseldateienkönnen für dieses Szenario nicht genutzt werden. Somit muss lediglich das Passwortzur Entschlüsselung angegeben werden.Eine alternative Möglichkeit die Partition zu mounten ist cryptsetup. Dafür mussdas Image ebenfalls vollständig als Loop-Device eingehängt werden (siehe Bild 5.17).cryptsetup wird nun so aufgerufen, dass es eine, mit VeraCrypt verschlüsselte, Sy-stempartition öffnen soll. Die entschlüsselte Partition wird unter „/dev/mapper“eingehängt und kann gemountet werden. Diese Variante ist in Bild 5.19 zu sehen.

Bild 5.18: VeraCrypt Partition einbinden

60


Bild 5.19: VeraCrypt Partition mit cryptsetup einbinden

5.4 Zusammenfassung

In diesem Kapitel wurde eine Übersicht über die im Betriebssystem integriertenVerschlüsselungstools in Windows, Linux und macOS sowie das Tool VeraCryptgegeben. Alle haben die Tatsache gemeinsam, dass der Master Key, mit dem dieSystempartition tatsächlich verschlüsselt wird, für die Entschlüsselung bei der fo-rensischen Analyse nur dann eine Rolle spielt, wenn er aus dem laufenden Systemoder einem Speicherabbild gewonnen werden muss/ kann. Wird für die forensischeAnalyse ein heruntergefahrenes (also vollständig abgeschaltetes) System vorgefun-den zu welchem kein RAM-Dump verfügbar ist, ist es zielführender die Schlüssel,mit denen der Master Key (direkt oder indirekt - je nach Schlüsselverwaltung desgenutzten Tools

Aufbereitung besonderer Speicherkonfigurationen als analysefähiges Material (RAID ... · 2019. 7....

Documents

Transcript of Aufbereitung besonderer Speicherkonfigurationen als analysefähiges Material (RAID ... · 2019. 7....