-
Hochschule WismarUniversity of Applied SciencesTechnology,
Business and DesignFakultät für Ingenieurwissenschaften, Bereich
EuI
Projektarbeit
Aufbereitung besonderer Speicherkonfigurationen als
analysefähigesMaterial (RAID, LVM, WSS, Verschlüsselung)
Eingereicht am: 6. Juli 2019
von: Melanie WetzigSven LötgeringTom GertenbachStefan
Depping
-
Inhaltsverzeichnis
Inhaltsverzeichnis
1 Vorüberlegungen 41.1 Motivation und Zielstellung . . . . . . .
. . . . . . . . . . . . . . . . 41.2 Anforderung an den
Ermittlungsprozess . . . . . . . . . . . . . . . . . 41.3
Einordnung in Ermittlungsprozess . . . . . . . . . . . . . . . . .
. . . 61.4 Write-Blocker . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . 61.5 Software . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . 7
1.5.1 Rohdatenformat (RAW) . . . . . . . . . . . . . . . . . . .
. . 71.5.2 Expert Witness Format (EWF) . . . . . . . . . . . . . .
. . . 81.5.3 Advanced Forensic Format (AFF) . . . . . . . . . . . .
. . . . 81.5.4 Xmount . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 8
2 Rechtliche Betrachtung 92.1 Einleitung . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . 92.2 Private Ermittlungen
. . . . . . . . . . . . . . . . . . . . . . . . . . . 102.3
Behördliche Ermittlungen . . . . . . . . . . . . . . . . . . . . .
. . . 112.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . 11
3 Speichermedien 133.1 Einleitung . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . 133.2 Magnetspeicher . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 Speicherung auf einer HDD . . . . . . . . . . . . . . . .
. . . 143.2.2 Löschen von Daten auf einer HDD . . . . . . . . . . .
. . . . 153.2.3 Forensische Relevanz . . . . . . . . . . . . . . .
. . . . . . . . 15
3.3 Flash-Speicher . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 153.3.1 Speicherung auf einer Solid-State-Drive
(SSD) . . . . . . . . . 163.3.2 Löschen von Daten auf einer SSD . .
. . . . . . . . . . . . . . 163.3.3 Forensische Relevanz . . . . .
. . . . . . . . . . . . . . . . . . 17
3.4 Hybride . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . 173.5 Zusammenfassung . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . 17
4 Analyse eines Datenträgerverbundes 194.1 Einleitung . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.2
Hardware-RAID . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . 21
4.2.1 Schritt 1: Einbinden der Abbilder . . . . . . . . . . . .
. . . . 234.2.2 Schritt 2: Öffnen der Abbilder in R-Studio . . . .
. . . . . . . 234.2.3 Schritt 3: Modellierung des RAID-Layouts . .
. . . . . . . . . 24
4.3 Software Lösungen unter Linux . . . . . . . . . . . . . . .
. . . . . . 314.3.1 Software-RAID . . . . . . . . . . . . . . . . .
. . . . . . . . . 314.3.2 Logical Volume Manager (LVM) . . . . . .
. . . . . . . . . . . 36
2
-
Inhaltsverzeichnis
4.4 Software Lösungen unter Windows . . . . . . . . . . . . . .
. . . . . 404.4.1 Logical Disk Manager (LDM) . . . . . . . . . . .
. . . . . . . 404.4.2 Windows Storage Spaces (WSS) . . . . . . . .
. . . . . . . . . 40
4.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 45
5 Verschlüsselte Datenträger 465.1 Einleitung . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . 465.2
Festplattenverschlüsselung . . . . . . . . . . . . . . . . . . . .
. . . . 465.3 Verschlüsselungstools . . . . . . . . . . . . . . . .
. . . . . . . . . . . 47
5.3.1 Microsoft BitLocker . . . . . . . . . . . . . . . . . . .
. . . . . 475.3.2 FileVault 2 . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . 505.3.3 Linux Unified Key Setup (LUKS)/
dm-crypt . . . . . . . . . . 545.3.4 VeraCrypt . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . 58
5.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 61
6 Fazit 63
Literaturverzeichnis 65
Abbildungsverzeichnis 69
Abkürzungsverzeichnis 71
Selbstständigkeitserklärung 73
3
-
Kapitel 1. Vorüberlegungen
1 Vorüberlegungen
1.1 Motivation und Zielstellung
Der Ingenieursstudiengang IT-Forensik legt in seiner technischen
Ausrichtungbesonderen Wert auf das Erlangen qualitativ hochwertiger
Fähigkeiten zur Analysedigitaler Spuren. Wie diese Spuren aus
kriminaltaktischer Sicht zu bewerten sind,ist ebenfalls Teil des
Lehrplans. Nun soll diese Projektarbeit die Brücke von derErhebung
analoger Spuren, zur Erhebung und Sicherung digitaler Spuren
bilden.Hierbei wird einleitend die Einordnung im Ermittlungsprozess
beschrieben, anschlie-ßend werden die rechtlichen sowie
organisatorischen Grundlagen kurz erläutert. Imtechnischen
Schwerpunkt der Projektarbeit steht die Datenerhebung von
Massen-datenspeichern. Besonderes Augenmerk wird auf physikalische
Speichermethoden,Speicherverbund verteilter Datenträger und
Kryptographie gelegt. Die Themenwerden unter dem Gesichtspunkt der
Post-Mortem-Analyse durchgeführt, sodasseine Betrachtung von
aktiven Systemen nicht Gegenstand dieser Arbeit ist. Auf
dieDatenerhebung via Netzwerk wird ebenfalls nicht eingegangen.
1.2 Anforderung an den Ermittlungsprozess
Nach Geschonneck, Computer Forensik [1, S. 66–67] gibt es sechs
Grundsätze, die beieiner Datenerhebung und Auswertung permanent
berücksichtigt werden sollten
Akzeptanz
Damit die Skepsis gegenüber der gewonnenen Erkenntnisse
minimiert wird, soll-ten Methoden, Dateiformate und
Softwarelösungen verwendet werden, die in derFachwelt als sicheres
forensisches Verfahren anerkannt sind. Erkenntnisse die mitHilfe
neuer unkonventioneller Hilfsmittel erlangt wurden, können
einfacher in Fra-ge gestellt werden, als Welche die durch
anerkannten Methoden herausgearbeitetwurden.
4
-
Kapitel 1. Vorüberlegungen
Glaubwürdigkeit
Die angewendeten Methoden müssen für Dritte nachvollziehbar
sein. Der Ermittlersollte, die Verarbeitungsschritte von Beginn bis
zum Abschluss verstehen und erör-tern können. Je komplexer die
Werkzeuge werden, desto wichtiger ist das Verständnisder
Funktionalität.
Wiederholbarkeit
Jedes Ergebnis und Zwischenergebnis muss, bei gleicher
Herangehensweisen unddenselben Bedingungen, reproduzierbar
sein.
Integrität
Es ist sicherzustellen, dass die gesammelten Spuren unverändert
sind und bleiben.Ist eine Veränderung einer Arbeitskopie notwendig,
muss dies begründet und doku-mentiert werden. Das Original darf
nicht verändert werden. Dies ist im gesamtenErmittlungsprozess zu
gewährleisten.
Kausalität
Die Beweisspuren müssen entsprechend nachvollziehbar
aufgearbeitet werden, dassUrsache und Auswirkung direkt voneinander
abhängig sind. Indizien müssen alssolche angegeben werden.
Vermutungen dürfen nicht als Teil einer Beweiskette fun-gieren.
Dokumentation
Jeder Schritt im Ablauf der Beweissichtung, Beweiserhebung und
der Beweisbewer-tung muss exakt dokumentiert werden.
5
-
Kapitel 1. Vorüberlegungen
1.3 Einordnung in Ermittlungsprozess
Eine Ermittlung im Zusammenhang mit Computerkriminalität kann
mit Hilfe desSecure-Analyse-Present-Modell abgebildet werden. Nach
diesem Modell beinhaltetdie Secure-Phase die Sicherung der
vorhandenen Spuren. Die Analyse-Phasebeschäftigt sich mit der
Auswertung der gesammelten Spuren. Abschließend werdenin der
Present-Phase die gewonnenen Erkenntnisse in Form von Beweisen
undKausalitätszusammenhängen in einem Gutachten festgehalten.
Die Ausprägung und Form der einzelnen Phasen ist je nach
individuellem Fall un-terschiedlich. Ist eine Live-Analyse
vorgesehen verschwimmen die Grenzen zwischenSecure- und
Analyse-Phase. Hier werden Spuren gesichert, die sogleich
ausgewer-tet und interpretiert werden, da sie entweder selbst
flüchtig sind oder auf weitereflüchtige Daten verweisen. Sollte
eine Straftat nach § 303a Strafgesetzbuch (StGB)- Datenveränderung
oder § 303b StGB - Computersabotage gerade geschehen oderist sie
vor kurzer Zeit geschehen, ist die Sicherung von flüchtigen Daten
ein funda-mentaler Ermittlungsschritt.Auf die Life-Analyse soll
hier nicht weiter eingegangen werden. Diese Arbeit kon-zentriert
sich auf die Datenerhebung der Secure-Phase für eine
Offline-Analyse.
1.4 Write-Blocker
Für eine forensische Datenduplizierung ist es wichtig
sicherzustellen, dass wederPersonen noch Anwendungen die
Originaldateien verändern. Um eine solche Ver-änderung zu
verhindern, müssen alle schreibenden Zugriffe unterbunden
werden.Dieses erfolgt durch sogenannte Write-Blocker. Es gibt zwei
Varianten von Write-Blockern. Hardware-Writeblocker, welche sicher
und kostenintensiver sind sowieSoftware-Writeblocker, welche
Schreibbefehle des Treibers abfangen.Bei einem
Hardware-Writeblocker handelt es sich, wie der Name bereits
vermu-ten lässt, um ein Gerät, welches die Kommunikation zwischen
dem Computer unddem zu untersuchendem Medium kontrolliert und
überwacht. Alle Zugriffe, egal obLese- oder Schreibzugriffe, werden
durch den Hardware-Writeblocker überprüft undabgefangen. Handelt es
sich um einen Schreibzugriff, so wird dieser blockiert undsomit
nicht an das Speichermedium weitergegeben. Handelt es sich um einen
lesen-den Zugriff, so wird dieser an das Speichermedium
weitergegeben. Dadurch wird einSchreiben auf dem Speichermedium
verhindert und die Daten sind somit weiterhin
6
-
Kapitel 1. Vorüberlegungen
im Originalzustand vorhanden. Hardware-Writeblocker werden von
vielen handels-üblichen Schnittstellen (z. B. SATA, USB)
unterstützt.Bei einem Software-Writeblocker muss eine Anpassung des
für die Analyse genutz-ten Computers erfolgen. Dieses kann durch
unterschiedliche Wege erfolgen. Zumeinen gibt es Programme (z. B.
USB Write Blocker for ALL Windows, für Win-dows Betriebssysteme),
welche bestimmte Einträge in der Windows-Registry ver-ändern und
hierdurch einen Schreibschutz hervorrufen. Diese Anpassung kann
manauch entsprechend manuell durchführen, solche Programme
vereinfachen diese An-passung jedoch. Zum Zweiten gibt es auch die
Möglichkeit, bestimmte Treiber desSystems durch spezielle
angepasste Treiber zu ersetzen. Hierdurch wird nicht nurein
Schreibschutz gesetzt, sondern aktiv in die Kommunikation zwischen
Computerund Speichermedium eingegriffen (z. B. das Tool EnCase,
welches diese Möglichkeitunterstützt). Eine dritte Methode ist die
Manipulation des BIOS. Im BIOS wird derInterrupt-Befehl INT13h
verändert, welcher unter anderem für die Steuerung
derSchreibzugriffe auf die Festplatte zuständig ist.
1.5 Software
Neben den verbreiteten großen Softwarelösungen zur
Imageerstellung, gibt es eineVielzahl kleiner Open Source
Programmen. Beispielsweise das in Linux integriertedd oder weitere
Programme wie dcfldd, dc3dd und ewfacquire. Die meisten Pro-gramme
zur Erstellung eines Datenträgerimages erfüllen ihre Aufgabe. Eine
dieserwichtigen Aufgaben ist es nicht lesbare Sektoren mit einer
„0“ zu speichern und zudokumentieren. Differenzierter ist die Wahl
des entsprechenden Dateiformats. Alsgeeigneter Standard für
forensische Duplikate haben sich Rohdatenformat (RAW)Expert Witness
Format (EWF) und Advanced Forensic Format (AFF) behauptet.
1.5.1 Rohdatenformat (RAW)
RAW ist das älteste forensische Dateiformat um gesamte
Datenträger in ihrer ganz-heit zu speichern. Es unterstützt keine
Komprimierung. Zur Auswertung muss esimmer entpackt sein. Metadaten
zugehörig zum Datenträger wie zum Beispiel Has-hwerte müssen in
einer weiteren Datei gespeichert werden. Großer Vorteil
diesesDateiformats ist, dass es von nahezu jedem forensischen
System verarbeitet werdenkann. Die gängigen Dateiendungen sind
unter anderem *.raw, *.dd, *.img.
7
-
Kapitel 1. Vorüberlegungen
1.5.2 Expert Witness Format (EWF)
EWF ist ein proporitäres Dateiformat von der Firma EnCase. Es
besitzt effektiveKomprimierungsalgorithmen beim erstellten der
Abbilder und beinhaltet, neben deneigentlichen Daten, viele
Metainformationen über den Sicherungsprozess. EWF istoffengelegt,
sodass Drittanbieter es nutzen können. Aktuell ist die
Dateiformatver-sion EnCase6.
1.5.3 Advanced Forensic Format (AFF)
AFF ist ein Open Source Standart, welcher die gleichen
Funktionen wie EFW bie-tet. Die mitgelieferten Bibliotheken von AFF
besitzen die Funktion, das Duplikatzur laufzeit als RAW-Abbild
einzubinden, dadurch wird die kompatibilität erhöht.Darüber hinaus
hat es eine bessere Komprimierung [2].
1.5.4 Xmount
Xmount ist ein Programm für Linux, dass es dem Anwender
ermöglicht, die oben ge-nannten Dateiformate in weitere Dateien zu
mounten. So kann ein EWF-Abbild alsRohdatenformat bereitgestellt
werden, wodurch sich die Kompatibilität erhöht. Esermöglicht das
Erstellen eines Schreibcaches, sodass mit der Kopie gearbeitet
werdenkann ohne das Original zu verändern. Beispielsweise wird ein
EWF-Bootimage alsvmdk-Datei mit Chache bereitgestellt und im
Anschluss mit VMWare genutzt.
8
-
Kapitel 2. Rechtliche Betrachtung
2 Rechtliche Betrachtung
2.1 Einleitung
Dieses Kapitel soll einen kleinen Überblick über die rechtlichen
Normen in Bezugauf Analyse von forensisch erhobenen Daten bzw. der
Grundlage für die Erhebungder Daten überhaupt und deren Verwendung
bieten.Es gibt grundlegende rechtliche Rahmenbedingungen die für
eine forensische Ana-lyse oder allgemein die Erhebung von Daten
getroffen und durchgesetzt werdenmüssen [3]:
• die Erhebung
• die Speicherung
• die Verarbeitung und Nutzung
• die Übermittlung
• die Berichtigung, Löschung und Sperrung
• Benachrichtigungs- und Auskunftspflichten
• die Kontrolle
• sowie Haftungs- und Strafvorschriften
Diese grundlegenden rechtlichen Rahmenbedingungen sind in
diversen Gesetzen,Verordungen, Richtlinien und
Verfahrensvorschriften geregelt. Hierzu zählen Ge-setze und
Verordnungen wie Grundgesetz (GG)1, StGB2,
Datenschutzgrundverord-nung (DSGVO)3 und Bundesdatenschutzgesetz
(BDSG)4, um nur einige zu nennen.
1Es regelt die freiheitlich demokratische Grundordnung.2Es
regelt in Deutschland das materielle Strafrecht. Unter anderem sind
hier die Voraussetzungenund Rechtsfolgen strafbaren Handelns
bestimmt.
3Es regelt die Verarbeitung personenbezogener Daten durch die
meisten Datenverarbeiter (privateund öffentliche), vereinheitlicht
EU-weit
4Es regelt zusammen mit den Landesdatenschutzgesetzen und
anderen bereichsspezifischen Re-gelungen den Umgang mit
personenbezogenen Daten, welche verarbeitet werden. Die
Verarbei-tung kann manuell oder durch Informations- und
Kommunikationssysteme erfolgen.
9
-
Kapitel 2. Rechtliche Betrachtung
Für den Bereich der forensischen Analyse gibt es hauptsächlich
zwei Gruppen, welcheErmittlungen durchführen. Das sind zum einen
IT-Forensiker, welche im privatenSektor Ermittlungen, als
Dienstleistung, durchführen und die staatliche Behörden,welche
Ermittlungen aufgrund von Ermittlungsverfahren durchführen. Bei den
Er-mittlungen ist die staatliche Behörde an Verfahrensvorschriften,
wie die Strafpro-zessordnung (StPO), gebunden. Diese gelten so
nicht für die privaten Ermittlungen,dennoch sind ihre
Ermittlungshandlungen geregelt. Die Rechtmäßigkeit der
Ermitt-lungen ergibt sich aus den allgemeinen Gesetzen [4].
2.2 Private Ermittlungen
Im Zuge von privaten Ermittlungen, aus welchen sich später auch
staatliche Ermitt-lung (z. B. nach einer Anzeige) ergeben können,
müssen die entsprechenden Beweiseebenfalls beweissicher erhoben
werden.Nach § 202a Abs. 1 StGB ist das Ausspähen von Daten
strafbar. Hiernach darf derIT-Forensiker ohne Erlaubnis des
Verfügungsbefugten5 der Daten, diese nicht be-gutachten.Anhand der
beauftragten forensischen Analyse durch einen Arbeitgeber, als
Beispiel,kann man sehr gut den schmalen Grad von erlaubten und
unerlaubten Analysendurch einen IT-Forensiker kenntlich machen.Bei
dienstlichen Daten erfolgt die Erstellung und Speicherung von Daten
im Rah-men des Dienstverhältnisses auf Weisung und Veranlassung des
Arbeitgebers. Daherist hier auch der Arbeitgeber über die Daten
verfügungsbefugt. Somit ist es mög-lich, einen privaten
IT-Forensiker mit der Analyse zu beauftragen, ohne dass diesersich
nach § 202a Abs. 1 StGB strafbar macht. Es verhält sich etwas
anders, wennprivate Daten von der Analyse betroffen sind. Private
Daten sind Daten, welchegegen Zugriff Unbefugter besonders
gesichert sind. Der Verfügungsberechtigte, indiesem Fall der
Mitarbeiter, drückt mit diesen Schutzmaßnahmen aus, den Zugangzu
den Daten zu verhindern oder zu erschweren. Zu diesen
Schutzmaßnahmen zähltnicht das Kennwort zum Entsperren des Systems
(z. B. Windows-Anmeldung). Die-se User-Kennung dient der
datenschutzrechtlichen Zugangskontrolle, im Rahmenvon
Eingabekontrollen, der Zuordnung bestimmter Vorgänge zu einem
Nutzer undnicht zur Sicherung von Daten gegen den Zugriff des
Arbeitgebers. Eine Analyse derprivater Daten darf nur mit Erlaubnis
des Verfügungsberechtigten erfolgen [4].
5Verfügungsberechtigt = Inhaber der
Eigentumsrechte/Verfügungsrechte
10
-
Kapitel 2. Rechtliche Betrachtung
2.3 Behördliche Ermittlungen
Bei behördlichen Ermittlungen gibt es sehr viele spezifische
Gesetze, Verordnungenund Richtlinien, welche berücksichtigt werden
müssen.Hierzu zählen zusätzlich zu den allgemeinen Gesetzen auch
weitere wie StPO, Lan-despolizeigesetze6, Polizeigesetz (PolG) und
Bundeskriminalamtsgesetze (BKAG).Die Erhebung der Daten, also z. B.
die Herausgabe des Datenträgers oder die Erstel-lung einer Kopie
des Datenträgers, ist grundsätzlich nur mit richterlicher
Verfügungoder nach gesetzlichen Richtlinien zur Gefahrenabwehr
zulässig.Werden Daten unrechtmäßig erhoben, können diese nicht als
Beweismittel herange-zogen werden.Bei einer forensischen Analyse
handelt es sich grundsätzlich um eine Durchsuchungeines
Datenträgers, um Beweise zu finden oder Sachverhalte zu analysieren
und ge-gebenenfalls dadurch auf neue Beweise zu stoßen.Nach § 110
StPO ist eine Durchsuchung von elektronischen Speichermedien
ge-rechtfertigt. Die „Sicherung“ der Daten erfolgt im Regelfall
durch die freiwilligeHerausgabe des Datenträgers oder durch die
Beschlagnahme des Datenträgers gem.§ 98 StPO.Danach kann eine
Durchsuchung, nach richterlicher bzw.
staatsanwaltschaftlicherAnordnung, erfolgen.Ein weiteres
Ermittlungsinstrument ist die Online-Durchsuchung. Hierbei
handeltes sich um eine verdeckte Durchsuchung, diese wird ohne
Wissen des Betroffenendurchgeführt. Online-Durchsuchungen sind nach
§ 100b StPO möglich. Allerdingswerden an ihre Anordnung besonders
hohe Maßstäbe gesetzt, da hier ein Eingriff indie Grund- und
Persönlichkeitsrechte stattfinden [5].
2.4 Zusammenfassung
Es müssen auch bei der forensischen Analyse von Daten die
Grundrechte gewahrtwerden. Dieses wird durch vielerlei Gesetze und
Verordnungen garantiert. Dadurchist es dem IT-Forensiker nur
innerhalb bestimmter Rahmenbedingungen möglichAnalysen vorzunehmen.
Grundsätzlich bedarf es der Zustimmung des Verfügungs-berechtigten
oder entsprechende richterliche oder staatsanwaltliche
Anordnungen,um eine Analyse von Datenträgern durchzuführen.
6Landespolizeigesetze z. B. PolG NW, SOG M-V
11
-
Kapitel 2. Rechtliche Betrachtung
Daten müssen so sicher gespeichert werden, dass unbefugter
Zugriff, aber auch ver-sehentlicher Verlust nicht möglich ist -
dies gilt auch bei der Übertragung, z. B. voneiner Behörde zur
Nächsten.Daten, die für den ursprünglichen Zweck der Speicherung
nicht mehr benötigt wer-den, müssen gelöscht werden.
12
-
Kapitel 3. Speichermedien
3 Speichermedien
3.1 Einleitung
Warum ist es interessant sich verschiedene
Speichermedien/Speichertypen anzu-schauen? Festplatten sind
Speichermedien, welche forensisch analysiert werden kön-nen.Sie
können wertvolle Informationen liefern, weil ein Löschen von Daten
durch denAnwender nicht zwangsläufig ein permanentes und
unwiderrufliches Löschen derDaten von der Festplatte zur Folge hat.
Daraus ergeben sich aus forensischer Sichteinige Möglichkeiten der
Analyse von Datenträgern. Bei einer forensischen Analysemuss man
aber ebenfalls auf die Integrität der Daten achten, sodass diese
Datenbei der Image-Erstellung oder einer Datensicherung im
Originalzustand bleiben undkeine Veränderung erfahren.Da es sich
bei einem RAID-System um einen Festplattenverbund (ein oder
mehrereDatenplatten) handelt, welche auf verschiedene Weisen
zusammenarbeiten, um un-ter anderem eine erhöhte
Zugriffsgeschwindigkeit oder eine bessere Verlustsicherheitder
Daten zu erreichen wird im Folgenden auf die aktuell wichtigsten
Speicherty-pen magnetische Speicher und Flash-Speicher eingegangen,
welche hauptsächlich fürFestplattenverbunde verwendet werden. Es
sollen in diesem Kapitel die Grundzügeund Besonderheiten der oben
genannten Speichertypen kurz herausgearbeitet wer-den.
3.2 Magnetspeicher
Zum einen gibt es Magnetspeicher, wozu auch die Hard Drive Disk
(HDD), Dis-ketten oder Magnetbänder gehören. Bei magnetischen
Speichern werden Bits durchmagnetische Bereiche mit gegensätzlicher
Polarität dargestellt. Sie bestehen aus be-weglichen Teilen,
weshalb sie grundsätzlich stoßanfällig sind, was sie für den
Einsatzin stationärer Hardware (z. B. RAID-System) prädestiniert.
Da Disketten im Laufeder Zeit von anderen Speichermedien, wie CDs
oder DVDs und USB-Sticks verdrängtwurden wird in dieser Arbeit
nicht weiter auf diese eingegangen. Magnetbänder sind
13
-
Kapitel 3. Speichermedien
weniger als Festplatte im herkömmlichen Sinne (Nutzung im
Computer als Speicherzum Arbeiten) geeignet, werden aber
grundsätzlich als Backup-Medium verwendet,da bei Magnetbändern ein
Zugriff auf die Daten nur sequenziell möglich ist.Häufiger im
Einsatz befindlich sind HDDs. Hierbei handelt es sich um
Festplat-ten, welche in einem vakuumverschweißten Gehäuse mit
zumeist zwei übereinanderrotierenden Magnetplatten auf einer
gemeinsamen, drehbaren Achse untergebrachtsind. Zum Datenzugriff
sind zwei übereinander angeordnete Lese- und Schreibköpfezwischen
den Platten untergebracht. Anders als bei Magnetbändern ist ein
direkterZugriff (nicht sequenziell) auf die Daten möglich, da die
einzelnen Festplatten inSpuren und Sektoren unterteilt sind.
3.2.1 Speicherung auf einer HDD
Das Speichern der Daten auf der Festplatte erfolgt durch die
Magnetisierung kleins-ter Eisenpartikel. Diese Eisenpartikel sind
auf der Oberfläche der Magnetplattenaufgetragen. Eine Festplatte
muss, damit die Daten wiedergefunden werden kön-nen, eingeteilt
werden. So wird eine Unterteilung von außen nach innen in
Spurenvorgenommen, welche man sich als konzentrische Kreise
vorstellen kann. Die Spuren-dichte, der Abstand der Spuren,
bestimmt die Speichermenge. Zwei untereinanderliegende Spuren
heißen Zylinder und besitzen eine Zylinderadresse. Die Spuren
wer-den dann wiederum in noch kleinere Abschnitte unterteilt,
welche sich Sektoren oderBlock nennen. Sie entsprechen einem
Kreisausschnitt. Diese Blöcke sind die kleinsteEinheit einer
Festplatte, welche verwendet werden können. Blöcke mit einer
Größevon 64 KByte sind keine Seltenheit. Mehrere Blöcke können zu
einem Cluster zu-sammengefasst werden (beinhaltet zwischen einem
und 128 Sektoren), welches dieSpeicherverwaltung großer Datenmengen
erleichtert. Es ist nur möglich, dass Clus-ter von dem
Betriebssystem angesprochen werden, nicht jedoch einzelne
Sektoren.Wenn man eine Datei speichert, entspricht die Größe dieser
Datei aber nicht zwangs-läufig der Größe eines oder mehrerer
Cluster. Wenn wir uns vorstellen, dass wir einenCluster aus acht
Sektoren haben und die Datei 6,5 Sektoren beschreibt, so
bezeich-net man die unbeschriebenen 1,5 Sektoren als File-Slack.
Diese File-Slacks spielenfür die forensische Analyse eine wichtige
Rolle. Der File-Slack kann Informationenüber gelöschte Dateien,
genutze Programme usw. enthalten.
14
-
Kapitel 3. Speichermedien
3.2.2 Löschen von Daten auf einer HDD
Hauptsächlich gibt es zwei Möglichkeiten wie Daten „gelöscht“
werden. Es ist mög-lich, dass der Index-Eintrag einer Datei
gelöscht wird - hier kann man sich ein In-haltsverzeichnis in einem
Buch vorstellen welches herausgerissen wird, was zur Folgehat, dass
die Daten selbst weiterhin, allerdings unreferenziert, auf der
Festplatte zufinden sind (unallocated area; nicht allokierter
Bereich). Sie werden dem Anwen-der nicht mehr im Datei-Explorer
angezeigt, weshalb dieser von einer „Löschung“ausgeht. Hier wird
vom System ein Flag gesetzt, welches die Datei nur als
gelöschtkennzeichnet. Andererseits wird eine wirkliche Löschung der
Daten nur durch dasÜberschreiben der Datei ermöglicht, je häufiger
dieses Überschreiben stattfindet jesicherer ist die vollständige
Löschung der Dateien.
3.2.3 Forensische Relevanz
Sofern die Sektoren nicht überschrieben wurden, besteht die
Möglichkeit die Da-ten, auch wenn diese nicht mehr referenziert
sind, wiederherzustellen. Erst mit demÜberschreiben der Sektoren,
mit neuen Daten, gehen die Daten in diesen Sektorenverloren.
3.3 Flash-Speicher
Ein weiteres Speichermedium ist der Flash-Speicher. Ein
Flash-Speicher ist auf derBasis der Electrically Earsable
Programmable Read-Only Memory (EEPROM)-Technologie entwickelt. Es
handelt sich hierbei um eine elektrische Speichermethode,welche
nichtflüchtig ist, weshalb die Daten auch bei stromlosen Zustand
weiterbestehen bleiben. Das Speichern auf diese Weise hat einen
schnellen Lese- undSchreibzugriff zur Folge, weshalb ein
Flash-Speicher schneller als ein magnetischerSpeicher ist, da hier
keine zusätzlichen mechanischen Teile zum Lesen oderSchreiben der
Daten verwendet werden muss. Ein Nachteil der Flash-Speicher
isthingegen die begrenzte Lebensdauer. Diese begrenzte Lebensdauer
wird durch dievorhandene Oxidationsschicht verursacht, welche zum
dauerhaften Speichern derDaten benötigt wird. Bei schreibendem
Zugriff gelangen Elektroden durch dieseOxidationsschicht, wobei
diese jedes Mal etwas mehr beschädigt wird.
15
-
Kapitel 3. Speichermedien
3.3.1 Speicherung auf einer SSD
Flash-Speicher ist blockweise organisiert. Typischerweise hat
ein Speicherblock 128bis 512 kByte. Die Blöcke sind üblicherweise
zwischen 128 kByte und 512 kBytegroß. Selbst wenn es nur um ein
paar Bit geht, welche gespeichert werden müs-sen, so muss der ganze
Block neu geschrieben werden. Der Controller ist für dieSteuerung
der Speicher- und Lesezugriffe zuständig. Er kontrolliert, welche
Blö-cke bzw. dessen Speicherzellen angesprochen werden. Hier
versucht der Controllerentsprechend ein Balancing (Wear-Leveling)
zwischen häufiger und weniger häufiggenutzen Speicherzellen zu
bewahren, sodass weniger häufig genutzte Speicherzellenvorrangig
angesprochen werden. Das erhält die Lebensdauer, da bei jedem
Schreib-zugriff die Sperrschicht und damit die Lebensdauer der
Speicherzellen immer weiterverringert wird. Aus diesem Grund
versucht das Wear-Leveling mithilfe von ver-schiedenen Verfahren
und Methoden die Lebensdauer der Speicherzellen zu verlän-gern,
indem der Controller die Schreibzugriffe auf die verschiedenen
Speicherblöckegleichmäßig verteilt. Es gibt ein Problem, welches
beim statischen Wear-Levelingauftritt und die Zusammenarbeit mit
dem Mechanismus des Betriebssystem betrifft.Wenn Dateien gelöscht
(z. B. eine Datei wird im Datei-Explorer gelöscht) werden,bekommt
der Flash-Controller, dieses erstmal nicht mit. Die Dateien werden
erstvorerst nicht von dem Controller, auf der Festplatte selbst,
gelöscht. Das Betriebs-system hat jedoch für sich die Kennzeichnung
(Flag), dass der Platz anderweitiggenutzt werden kann. Jetzt kann
es beim statischen Wear-Leveling passieren, dassder Controller, mit
viel Aufwand, anfängt die Dateien zu verschieben (aufgrund
desSpeicherzellen-Managements). Das würde hier aber keinen Sinn
ergeben, da die Da-teien vom Anwender nicht mehr benötigt werden
und grundsätzlich als gelöscht zuwerten wären.
3.3.2 Löschen von Daten auf einer SSD
Hierbei hilft der TRIM-Befehl, mit welchem das Betriebssystem
dem Flash-Controller mitteilt, welche Speicherbereiche nicht mehr
gebraucht werden. Da Datengrundsätzlich nicht endgültig gelöscht,
sondern zum Löschen markiert werden, wirdeine zusätzliche
Garbage-Collection benötigt. Der TRIM-Befehl ruft die
Garbage-Collection auf und entfernt die als gelöscht markierten
Daten auch physikalisch.Physikalisch heißt, die Zellen werden
entladen und die Informationen endgültig ent-fernt. Der TRIM-Befehl
ist nicht Bestandteil des Betriebssystems.
16
-
Kapitel 3. Speichermedien
3.3.3 Forensische Relevanz
Bei einer SSD ist, sofern der TRIM-Befehl und die
Garbage-Collection aktiviertsind, eine Herstellung bzw. Auslesen
von gelöschten Daten sehr schwierig. Als ge-löscht markierte Daten
und dessen Speicherzellen werden durch den TRIM-Befehl(inklusive
Garbage-Collection) nicht nur aus dem „Verzeichnis “ gelöscht und
damitdie Referenz zu den Daten, sondern es werden die
Speicherzellen entleert, wodurchdie Information permanent gelöscht
wird. Es gibt aber auch die Möglichkeit denTRIM-Befehl zu
deaktivieren, das hat zur Folge, dass die Daten nur im
„Verzeich-nis“ gelöscht werden, also nur die Referenzen. Erst wenn
die Zellen mit neuen Datenbeschrieben werden, werden diese vorher
geleert und können erst in diesem geleertenZustand neu beschrieben
werden. Also ist es erst ab diesem Zeitpunkt nicht mehrmöglich, die
als gelöscht markierten Daten auszulesen.
3.4 Hybride
Ein weiterer Ansatz ist der Einsatz von sogenannten Solid State
Hybrid Drive(SSHD), also Hybridfestplatten, bei denen der
Flash-Speicher nur als Schreibpufferzur Steigerung der Performance
fungiert. Der Einsatz dieser Festplatten würde demNutzer eine
höhere Schreibgeschwindigkeit und einen geringeren
Stromverbrauchbringen und durch die Speicherung der Daten auf einem
Magnetspeicher dennochdie Vorteile einer HDD gepaart mit der
Schnelligkeit einer SSD [6].
3.5 Zusammenfassung
Grundsätzlich ist es möglich von Festplatten die Daten, auch
wenn diese vermeintlichvom Anwender oder System gelöscht wurden,
wiederherzustellen. Bei einer HDD istdie Wiederherstellung möglich,
bis die entsprechenden Blöcke überschrieben werden.Hier gilt, je
häufiger das Überschreiben stattgefunden hat, je wahrscheinlicher
istdie Vernichtung der Daten auf der Festplatte.Bei der SSD gibt es
zwei Möglichkeiten. Zum ist der TRIM-Befehl und die
Garbage-Collection aktiv und wird vom entsprechenden Betriebssystem
angesprochen, dannist die Wahrscheinlichkeit, dass die Daten
wiederhergestellt werden können sehrgering, da hier die
Speicherzellen auch physikalisch geleert werden. Wenn hingegender
TRIM-Befehl nicht aktiv genutzt wird, so verhalten sich die
Möglichkeiten der
17
-
Kapitel 3. Speichermedien
Wiederherstellung ähnlich die der HDD. Es ist hier ebenfalls
möglich, die Datenauch wenn vermeintlich vom Anwender gelöscht
wiederherzustellen.
18
-
Kapitel 4. Analyse eines Datenträgerverbundes
4 Analyse eines Datenträgerverbundes
4.1 Einleitung
Bei einer Redundant Array of Independent Disks
(RAID)-Konfiguration handelt essich um den Verbund mehrerer
physikalischer Festplatten oder Partitionen zu einerlogischen
Festplatte oder Partition.Derartige RAID-Verbunde finden sich
häufig auf den Computern eines Beschuldig-ten.RAID-Verbunde werden
von diesen eingerichtet um eines von zwei Ziele zu errei-chen: Die
Verfügbarkeit von Daten gegen Ausfälle zu erhöhen oder die
Zugriffsge-schwindigkeit auf die Daten zu verbessern. Hierbei ist
es auch möglich beide Zielezu kombinieren. Die Erhöhung der
Zugriffsgeschwindigkeit wird erreicht, indem dieDaten zu gleichen
Teilen auf mehreren Festplatten verteilt werden. Hier sprichtman
vom „Striping“ (dt.: „Streifen“). Eine mögliche Konfiguration
(RAID-0) ist inBild 4.1 dargestellt. Die Erhöhung der Verfügbarkeit
erreicht man durch das Spie-geln (en.: „Mirroring“, mögliche
Konfiguration RAID-1) oder durch Berechnung vonParitäten von zwei
oder mehreren „Streifen“ (mögliche Konfiguration: RAID-5, Sie-he
Bild 4.2). Beide oben genannte Ziele können erreicht werden, indem
z. B. eineRAID-Konfiguration gewählt wird, die beides kombiniert
(z. B. RAID-10, Siehe Bild4.3). Neben den vorgenannten gängigen
RAID-Layouts, existieren einige weitere teils
Bild 4.1: Schematische Darstellung einer RAID-0 Konfiguration
mit zwei Datenträgern,Quelle: Wikipedia [7]
19
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.2: Schematische Darstellung einer RAID-1 und einer RAID-5
Konfiguration mitzwei bzw. vier Datenträgern, Quelle: Wikipedia
[7]
Bild 4.3: Schematische Darstellung einer RAID-10 Konfiguration
mit vier Datenträgern,Quelle: Wikipedia [7]
exotisch anmutende Layouts, bei denen die Systemadministratoren
im Einzelfall be-sonders hohe Anforderungen festgelegt haben.Ein
RAID 51 (Siehe Bild 4.4) wäre etwa die Spiegelung zweier RAID5
Verbunde.Bei dieser Konfiguration wäre der Ausfall von drei der
mindestens sechs Festplattenmöglich, ohne dass die Verfügbarkeit
der Daten eingeschränkt wäre. Die verfügbareKapazität wäre bei
sechs Platten identischer Größe jedoch auf nur 33% begrenzt.Eine
weniger exotische Konfiguration, die dennoch mehrere Ausfälle
kompensierenkann bildet das RAID-6. Bei diesem RAID-Layout wird
beim Einsatz von vier odermehr Platten der Ausfall von zwei Platten
kompensiert, ohne dass die Verfügbarkeitder Daten beeinträchtigt
wird. Bei einem RAID-6 mit vier Festplatten stünden also
Bild 4.4: Schematische Darstellung einer RAID-51 Konfiguration
mit sechs Datenträgern,Quelle: Wikipedia [7]
20
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.5: Schematische Darstellung einer RAID-6 Konfiguration
mit fünf Datenträgern,Quelle: Wikipedia [7]
mindestens 50% der Kapazität der Festplatten zur Verfügung.
RAID-Systeme lassensich hinsichtlich ihrer Implementierung im
System unterscheiden.Einerseits existierenHardware-RAID Systeme.
Bei derartigen Systemen kümmertsich ein eigener Controller, dass
die Daten im Sinne des RAID-Layouts korrekt aufden physikalischen
Festplatten verteilt werden. Gegenüber dem Computersystemerscheinen
die Vielzahl physikalischer Festplatten jedoch als eine einzige
logischePlatte, die auch als solche dann vom Betriebssystem
behandelt werden.Neben dem Hardware-RAID System existieren auch
Software-RAID Lösungen.Diese werden also vom Betriebssystem bzw.
von Diensten und Prozessen desComputer-Systems verwaltet und
letztlich ebenfalls als eine logische Platte bereit-gestellt.Eine
Misch-Lösung beider Implementierungen stellen s. g. „Host-RAID“
Systemedar, die in der untersten Preisspanne kommerzieller Lösungen
anzusiedeln sind. Siewerden im Linux-Jargon oft als „Fake-RAIDs“
[8] bezeichnet, da sie letzten Endes,wie beim Software-RAID,
ebenfalls die Ressourcen des Computers beanspruchen.Hierbei sind
sie jedoch ebenfalls an den Controller der Hardware gebunden.
Siekombinieren somit streng genommen die Nachteile beider o. g.
Lösungen.Sie finden sich heute auf diversen Mainboards
vorinstalliert, so dass sie weiterhin einegewisse Relevanz haben,
sich jedoch im Vorgehen nicht sonderlich von Hardware-RAID Systemen
unterscheiden.In den beiden folgenden Kapiteln wird anhand eines
konkreten Beispiels das Vorge-hen bei der forensischen Analyse von
Festplatten eines Software-RAID und bei derAnalyse eines
Hardware-RAID Systems beschrieben.
4.2 Hardware-RAID
Hardware-RAIDs sind Software-RAIDs in Punkto Flexibilität und
bei der Leistungzur Wiederherstellung („rebuild“) von Daten i. d.
R. im Nachteil. Zum Einsatz
21
-
Kapitel 4. Analyse eines Datenträgerverbundes
kommen sie i. d. R. noch dort, wo es um möglichst hohe
Schreib-Leistung, bei zeit-gleich möglichst geringem
Ressourcen-Bedarf des Betriebssystems ankommt. Dieswird durch
verschiedene Strategien erreicht, wie dem asynchronen Schreiben
vonParitätsinformationen, einer dedizierter Central Processing Unit
(CPU) und einem(ggf. durch eine Batterie gepufferten)
Schreibcache.Die o. g. Faktoren führen dazu, dass verschiedene
Algorithmen den verschiedenenRAID-Controllern zugrunde
liegen.Zugleich setzen solche Hardware-RAIDs im Gegensatz zu
Software-RAIDs häufig aufproprietäre geschlossene Standards zur
Speicherung der Meta-Informationen. Selbstinnerhalb derselben
Hersteller ist eine Kompatibilität der Controller nicht
immersichergestellt.Idealerweise sollte daher das Auslesen von
Datenträgern mit demselben Controllerstattfinden, mit dem die Daten
auch auf die Platten geschrieben wurden.Dies ist in der Praxis aber
nicht immer ohne weiteres möglich (etwa bei Ausfall desControllers)
oder bedarf zumindest einer größeren Vorbereitung (etwa beim
Zugriffauf größere Storage Rack Server).Daher besteht der Wunsch,
möglichst ohne die originären Hardware-Controller Da-tenträger
zumindest auslesen zu können, so dass die installierten
Dateisysteme fürden Forensiker zugänglich werden.Tatsächlich
existieren Software-Produkte, die sich genau dieser
Herausforderungstellen. Darunter X-Ways, R-Studio, dmde oder
dmraid. Die Kosten für die Produkteschwanken von rund 1.000 EUR pro
Lizenz für X-Ways oder R-Studio (commerciallicense) bis hin zu
kostenlosen Lösung mit dmraid.Für diese Arbeit wurde ein RAID
Controller JMB394 von JMicron [9] genutzt, deru.a. das RAID-Level
0, 1, 5 und 10 unterstützte, das hier zum Einsatz kam.
DieserController war im Produkt „Sharkoon 5-Bay RAID Station“
installiert. Betriebenwurden drei Festplatten im RAID 5. Dieses
Verbund wurde via USB 3.0 an einemWindows PC installiert und mit
einer NTFS Partition über 1 GB formatiert. DiePlatten des RAIDs
wurden einzeln forensisch erfasst und sollen analysiert werden.Für
die Analyse wurden die Produkte X-Ways und dmraid im Vorhinein
ausge-schlossen. Das erstgenannte Produkt stand aus Kostengründen
nicht zur Verfügung.Das Tool dmraid ist zwar in vielen
Linux-Distributionen enthalten, die sich aufforensische Analyse
spezialisiert haben und stand somit auch grundsätzlich zur
Ver-fügung. Ein Blick in die man-pages offenbarte aber, dass - je
nach Version - der o.g. RAID-Controller zwar verfügbar war, jedoch
nicht das gewählte RAID-Level 5unterstützte.Die Produkte X-Ways,
R-Studio und dmde werben damit ein RAID anhand der
22
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.6: Imagedatei öffnen in R-Studio
vorliegenden Festplatten auf Basis von heuristischen Algorithmen
identifizieren undauslesen zu können.Bei dmde gelang dies zwar
nicht, es ist aber nicht auszuschließen, dass hier
einAnwender-Fehler vorlag. Die Benutzeranleitungen und
Sekundar-Quellen erwiesensich hier leider nicht als hilfreich.Für
die folgenden Schritte wurde R-Studio [10] eingesetzt. Dieses Tool
ist zwar mit899 USD für eine „commercial use“ Lizenz, auch eines
der teureren, jedoch stehteine kostenlose Variante zur Verfügung,
die es erlaubt Daten bis 250 KB online zurekonstruieren. Das
Erstellen eines logischen Abbildes des Dateisystems auf Basisder
logischen Abbilder des rekonstruierten RAID-Verbundes war ebenfalls
uneinge-schränkt möglich.Im Folgenden wird davon ausgegangen, dass
der Forensiker am betroffenen Com-puter drei Festplatten vorfindet,
zu denen er jeweils ein Abbild erstellen konnte,welche jeweils für
die weitere Analyse genutzt werden können. Die Abbilder liegenim
EnCase6 Format vor.
4.2.1 Schritt 1: Einbinden der Abbilder
Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen
und dessenInhalt im Dateisystem des Forensikers gemountet.
1 > xmount --in ewf hdd1.E01 /mnt/ disk12 > xmount --in
ewf hdd2.E01 /mnt/ disk23 > xmount --in ewf hdd3.E01 /mnt/
disk34 > ls -rR /mnt/disk*5 /mnt/ disk3 :6 hdd3.info
hdd3.dd7
8 /mnt/ disk2 :9 hdd2.info hdd2.dd
10
11 /mnt/ disk1 :12 hdd1.info hdd1.dd
4.2.2 Schritt 2: Öffnen der Abbilder in R-Studio
Zunächst müssen die Abbilder in R-Studio über den Button „Image
öffnen“ eingele-sen werden (Siehe Bild 4.6). Der Dialog „Imagedatei
öffnen“, der nun gestartet wird,
23
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.7: R-Studio: Imagedatei öffnen
erwartet zunächst Dateitypen, mit denen hier nicht gearbeitet
wurde. R-Studioerwartet hier allen voran, die eigenen proprietären
Image-Dateitypen *.rdr (SieheBild 4.7). Das stellt jedoch kein
Problem dar, da alternativ auch die weitausverbreiterten DD-Dateien
ausgewählt werden können, nachdem im Auswahlmenü„Dateien des Typs“
die Suchmaske „Alle Dateien ( * )“ ausgewählt wurde (SieheBild
4.8).
4.2.3 Schritt 3: Modellierung des RAID-Layouts
Nun kann R-Studio seine Stärke ausspielen, indem es den Anwender
unterstützt,das korrekte RAID-Layout zu ermitteln. Zunächst wählt
der Anwender im Menü„Virtuelles RAID erstellen“ den etwas
unglücklich beschrifteten Untermenüpunkt„Virtuellen Block
erstellenRAID& Automatisch Erkennen“ (Siehe Bild 4.9).In der
Baum-Darstellung der „Geräte-Ansicht“ erscheint nun ein neuer Zweig
„Virtu-elle Volumesets und RAIDs“. Hier wählt der Anwender den
ersten Unterknoten aus.Bei der hier dynamisch vergebenen ebenfalls
unglücklichen Beschriftung herrschtVerwechslungsgefahr. An der
Stelle, wo in der folgenden Abbildung „Virtual BlockRAID 1“ zu
lesen ist, bildet die Ziffer eine Sequenz, die nichts mit dem
RAID-Levelzu tun hat, das zu diesem Zeitpunkt noch ermittelt werden
muss (Siehe Bild 4.10).Auf der rechten Seite wird nun ein Bereich
„Parent“ angeboten, über den nun dieTeile des RAID-Verbundes
zusammengestellt und die Konfiguration bestimmt wer-den kann (Siehe
Bild 4.11). Hierzu wählt der Anwender den offensichtlichen
Button
24
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.8: Button Image öffnen in R-Studio
Bild 4.9: Virtuellen Block erstellen in R-Studio
Bild 4.10: Die Geräte-Ansicht von R-Studio
25
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.11: R-Studio: Der Bereich parent
Bild 4.12: R-Studio: RAID-Parameter
„Automatische Erkennung“ aus. Der folgende Dialog erscheint und
bietet nach einergewissen Analyse-Zeit dem Anwender valide
RAID-Layouts aus, die der Anwenderauswählen und mit dem Button
„Anwenden“ bestätigen muss (Siehe Bild 4.12).Hierbei kann es dazu
kommen, dass mehrere mögliche Layouts kompatibel sind undangewandt
werden können. Letztlich obliegt es dann dem Anwender, das
korrek-te Layout zu wählen. Hierbei hilft es, dass R-Studio mit
wenigen Klicks und ohnespürbare zusätzliche Ladezeit das Layout
wechseln kann, um Alternativen durchzu-probieren.Ferner
unterstützen hierbei die Funktionen RAID-Konsistenz prüfen (Siehe
Bild4.13) oder der Menüpunkt Scannen (Siehe Bild 4.14).Über die
Funktion RAID-Konsistenz prüfen, wird ermittelt, ob die Blöcke
konsis-tent sind - also ob Spiegelungen tatsächlich identisch und
ob Paritäten tatsächlichkorrekt errechnet werden.
26
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.13: R-Studio: RAID-Konsistenz
Bild 4.14: R-Studio: Menüpunkt scannen...
27
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.15: R-Studio: Darstellung der RAID-Konsistenz
Bild 4.16: R-Studio: Parameter für die Scannen-Funktion
Abbildung 4.15 stellt eine positiv verlaufende
Konsistenz-Prüfung dar. Grüne Mar-kierungen sind hierbei korrekt
errechnete Blöcke und weiße Blöcke sind leer bzw.mit Nullen belegt,
so dass diese Bereiche weiß hinterlegt werden. Bei der
Funktion„Scannen“ ermittelt R-Studio valide Blöcke, die auf ein
bestimmtes Dateisystemoder einen bestimmten Dateitypen hinweisen.
Dieser Prozess kann sehr zeitaufwän-dig sein, daher lohnt es sich
zu überlegen, ob Dateisysteme ausgeschlossen werdenkönnen und ob
man wirklich nach allen Dateitypen suchen möchte oder vielleichtnur
nach speziellen - z. B. Office Dokumenten oder Bildern.In Abbildung
4.16 wurden Dateisysteme vorausgewählt, die bei einem
Windows-PCüblich wären. Über den Button „Bekannte Dateitypen“
lassen sich einzelne Dateity-pen oder -Gruppen an- und abwählen
(Siehe Bild 4.17). Da die Laufzeiten tatsächlich
28
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.17: R-Studio: Dateitypen beim Scannen auswählen
Bild 4.18: R-Studio: Übersicht des Fortschritts beim Scannen
erheblich sein können, lohnt es sich - für die Identifikation
des RAID Layouts - auchden zu analysierenden Bereich einzuschränken
und bei der Scanansicht „Einfach(nur Scanfortschritt; schneller.)“
auszuwählen. (Siehe Bild 4.18) Nach einem solchenScan stehen dem
Anwender bereits Möglichkeiten zur Verfügung durch die
logischeStruktur des Dateisystems zu navigieren und Dateien jeweils
wiederherzustellen bzw.einzusehen.Nachdem der Anwender jenes
RAID-Layout ausgewählt hat, das ein konsistentesRAID liefert,
valide Dateisysteme erkennt und keine - oder möglichst wenige -
kor-rupte einzelnen Dateien ermittelt, wird der Anwender diesen
Zustand exportierenwollen. Dies ermöglicht ihm die physikalische
Abstraktionsebene des RAID-Systemszu entfernen und dessen logische
Abbildung zu erzeugen (Siehe Bild 4.19). Hierzuöffnet der Anwender
das Menü zum Eintrag „Virtual Block RAID 1“ und wählt
denMenü-Eintrag „Image erstellen. . . “ aus.Im folgenden Dialog
bietet R-Studio erneut primär das eigene proprietäre Image-Format
an.
29
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.19: R-Studio: Image erstellen
Bild 4.20: R-Studio: Byte-Für-Byte Image erstellen
Neben der Tatsache, dass dieses den Anwender an das R-Studio
Produkt-Portfoliobindet, erlaubt das Format im Vergleich zu EnCase6
ein nur schwaches Kompressi-onsverhältnis. Es bietet auch ansonsten
wenige Zusatzfeatures, die uns - die Autoren- dazu verleiten
würden, dieses Format dennoch zu empfehlen.Für eine Aufbewahrung
und/oder forensische Weiterverarbeitung empfehlen wirdaher viel
mehr den Umweg über ein Byte-für-Byte-Image, dass im Anschlussmit
einem geeigneten Tool platzsparend komprimiert und
weiterverarbeitet wer-den kann (Siehe Bild 4.20). Womöglich
hilfreich kann jedoch noch sein, die „Scan-Informationen“ im
entsprechenden Reiter zu speichern (Siehe Bild 4.21).
30
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.21: R-Studio: Scan Informationen speichern
4.3 Software Lösungen unter Linux
4.3.1 Software-RAID
In diesem Kapitel geht es um eine Software RAID Konfiguration,
bei der wir da-von ausgehen, dass sie auf Basis des weit
verbreiteten Multiple Disk (MD) vorliegt.MDADM ist das
entsprechende Administrationstool [11].Die möglichen
Konfigurationsmöglichkeiten können vielseitig sein, denn es ist
mög-lich mit MDADM verschiedenste RAID Layouts zu definieren und
miteinander zuverschachteln. Es können sowohl einzelne Dateien,
ganze RAID-Verbunde, Partitio-nen und auch ganze Festplatten mit
einander verbunden werden.Die beiden letztgenannten Optionen sind
jedoch die häufigsten Anwendungsfälleund daher bereits Grund genug,
dass ein Forensiker zunächst ein Abbild sämtlicherPlatten erstellen
sollte.Im Folgenden wird davon ausgegangen, dass der Forensiker am
betroffenen Compu-ter fünf Festplatten vorfindet, zu denen er
jeweils ein Image erstellen konnte, dasjeweils nun für die weitere
Analyse genutzt werden kann.Die Abbilder liegen im EnCase6 Format
vor. Das gewählte Analyse-System verfügtüber die SleuthKit
Software-Sammlung.
Schritt 1: Einbinden der Abbilder
Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen
und dessenInhalt im Dateisystem des Forensikers gemountet.Hierbei
ist es wichtig, den Parameter --cache zu verwenden, um eine s. g.
Over-lay Datei anzulegen. Eine derartige Datei erlaubt es dem
System bei der späteren
31
-
Kapitel 4. Analyse eines Datenträgerverbundes
Einbindung der Datenträger Schreibbefehle entgegen zu nehmen.
Jedoch werden dieSchreibbefehle nicht im Datenträger-Abbild
geschrieben, sondern in einer separatenSchicht - dem Overlay -
umgesetzt. Dies erst erlaubt es später die Datenträger viaMDADM zu
mounten - ohne, dass die originalen Abbilder beschädigt werden.
1 > xmount --cache cache1 .ovl --in ewf hdd1.E01 /mnt/ disk12
> xmount --cache cache2 .ovl --in ewf hdd2.E01 /mnt/ disk23 >
xmount --cache cache3 .ovl --in ewf hdd3.E01 /mnt/ disk34 >
xmount --cache cache4 .ovl --in ewf hdd4.E01 /mnt/ disk45 >
xmount --cache cache5 .ovl --in ewf hdd5.E01 /mnt/ disk5
Im Dateisystem finden sich nun RAW- bzw. DD-Files von den
jeweiligen Platten,die nun über losetup einem loopback Device
zugeordnet werden. Die ursprünglichenDatenträger stehen somit
fortan als Blockdevice zur Verfügung.
1 > losetup /dev/ loop1 /mnt/ disk1 /hdd1.dd2 > losetup
/dev/ loop2 /mnt/ disk2 /hdd2.dd3 > losetup /dev/ loop3 /mnt/
disk3 /hdd3.dd4 > losetup /dev/ loop4 /mnt/ disk4 /hdd4.dd5 >
losetup /dev/ loop5 /mnt/ disk5 /hdd5.dd
Schritt 2: Identifikation von MDADM Volumes
Durch Eingabe des folgenden Befehls, ermittelt MDADM das
RAID-Layout desjeweiligen Blockdevices.
1 > mdadm --examine /dev/ loop1
Die Ausgabe des Befehls lautet für die erste beliebige Platte1
/dev/ loop1 :2 Magic : a92b4efc3 Version : 1.24 Feature Map : 0x05
Array UUID : 6041 aacf :9 d4400c5 :4 e5253d7 :1 b3e05d76 Name :
suspect :07 Creation Time : Sat Apr 13 17:57:05 20198 Raid Level :
raid69 Raid Devices : 5
10
11 Avail Dev Size : 16758784 (7.99 GiB 8.58 GB)12 Array Size :
25138176 (23.97 GiB 25.74 GB)13 Data Offset : 18432 sectors14 Super
Offset : 8 sectors15 Unused Space : before =18352 sectors , after
=0 sectors16 State : clean17 Device UUID : fd6ed775 : c28fb7a1 :
f547b069 :848 f14be18
19 Update Time : Sat Apr 13 18:05:41 201920 Bad Block Log : 512
entries available at offset 16 sectors21 Checksum : 91 d8e17e -
correct
32
-
Kapitel 4. Analyse eines Datenträgerverbundes
22 Events : 12923
24 Layout : left - symmetric25 Chunk Size : 512K26
27 Device Role : Active device 128 Array State : AAAAA (’A’ ==
active , ’.’ == missing , ’R’ == replacing )
In der Ausgabe lässt sich feststellen, dass die vorliegende
Platte hdd1.E01 Teileines RAID-6 Verbundes ist. Dieser Verbund
besteht aus fünf einzelnen Platten- wahrscheinlich die vier
verbleibenden Asservate hdd2.E01 bis hdd5.E01. LetzteGewissheit
erhält man, wenn man den gleichen Befehl mit den Blockdevices
allerFestplatten-Abbilder wiederholt.In der Ausgabe erfährt der
Forensiker außerdem, dass die Kapazität des logischenLaufwerks rund
24 GiB umfasst, während die Größe der einzelnen
physikalischenPlatten bei jeweils rund 8 GiB lagen.Weitere 16 GB
nutzt RAID-6 zur Abbildung von zwei Paritäten, die benötigt
werden,um eine doppelte Ausfallsicherheit zu implementieren. Da der
Verbund konsistentist - davon zeugt die korrekt Prüfsumme und das
Array State AAAAA - genügtes, wenn der Forensiker fortan mit drei
der fünf Platten arbeitet. Dieses Vorgehenschont IO Bandbreiten,
Speicherkapazitäten und damit letztlich in der folgendenBearbeitung
auch Zeit.Es steht dem Forensiker aber frei, alle fünf Abbilder zum
RAID-6 zu verbinden.
Schritt 3: Einbinden des RAID-Verbundes
In Schritt 2 wurde festgestellt, dass die fünf Plattenabbilder
von einem logischenRAID-6-Verbund stammen. Daher lassen diese sich
ressourcensparend einbinden,indem drei beliebige Platten des
Verbundes gemountet werden.
1 > mdadm --assemble -- readonly --run /dev/md0 /dev/ loop1
/dev/ loop2 /dev/ loop32 mdadm : /dev/md0 has been started with 3
drives (out of 5).
Schritt 4: Volumen Analyse
Nun kann der Forensiker ermitteln, mit welchem Dateisystem er es
zu tun hat. AufBasis dieser Erkenntnis, lässt sich das weitere
Vorgehen bestimmen. Dazu lässt sichz. B. der Befehl fsstat aus dem
SleuthKit verwenden.
1 > fsstat -t /dev/md02 ext4
33
-
Kapitel 4. Analyse eines Datenträgerverbundes
Es wurde ermittelt, dass auf dem Software-RAID das Dateisystem
„ext4“ eingesetztwurde.Es lassen sich nun weitere Analysen des
Volumens durchführen, ohne dass dieseseingebunden werden muss.
Beispielsweise lassen sich mit dem Carving-Tool foremostDateien
eines gewissen Dateityps anhand der Header-Informationen ermitteln
undextrahieren. Da foremost nicht auf das Dateisystem schauen kann,
entspricht dieNummer im Dateinamen der extrahierten Dateien dem
Anfangsblock der jeweiligenDatei:
1 > foremost -T -t jpeg /dev/md02 Processing : /dev/md03
|**********************************************************************4
***********************************************************************5
****************|6 > cd output /jpeg7 > ls8 00270576. jpg
00273955. jpg 17063504. jpg 25431160. jpg 25468552. jpg9 00270692.
jpg 00376832. jpg 17068664. jpg 25439144. jpg 25477184. jpg
10 00272024. jpg 17039368. jpg
Schritt 5: Mount des logischen Dateisystems
Die vorliegenden Datenträger-Abbilder wurden bislang als Platten
eines Software-RAIDs identifiziert, in einem RAID-Verbund
erfolgreich erneut logisch zusammen-gefasst und können nun auch
gemountet werden.Da in diesem Fall ein Linux Dateisystem vorliegt,
können wir dieses unmittelbarmappen, sobald der Pfad angelegt
wurde.
1 > mkdir /mnt/ suspect2 > mount /dev/md0 /mnt/ suspect3
> ls -lh4 insgesamt 4,3M5 -rw -r--r-- 1 root root 220K Apr 13
18:00 Btrfs .pdf6 -rw -r--r-- 1 root root 198K Apr 13 18:00 Dd.pdf7
drwxr -xr -x 2 root root 4,0K Apr 13 18:01 fernweh8 drwxr -xr -x 2
root root 4,0K Apr 13 18:01 happy9 -rw -r--r-- 1 root root 5,6K Apr
13 18:05 hashdeep .txt
10 -rw -r--r-- 1 root root 0 Apr 13 18:00 Hochschule_Wismar
.pdf11 -rw -r--r-- 1 root root 189K Apr 13 18:00
Logical_Volume_Manager .pdf12 drwx ------ 2 root root 16K Apr 13
17:58 lost+ found13 -rw -r--r-- 1 root root 141K Apr 13 18:00 Mdadm
.pdf14 drwxr -xr -x 2 root root 4,0K Apr 13 18:01 metropolen15 -rw
-r--r-- 1 root root 0 Apr 13 18:00 NTFS.pdf16 -rw -r--r-- 1 root
root 0 Apr 13 18:00 One -Time -Pad.pdf17 -rw -r--r-- 1 root root 0
Apr 13 18:00 Polizei -IT - Anwendungen .pdf18 -rw -r--r-- 1 root
root 960K Apr 13 18:00 RAID.pdf19 -rw -r--r-- 1 root root 148K Apr
13 18:00 ReFS.pdf20 -rw -r--r-- 1 root root 152K Apr 13 18:00
The_Sleuth_Kit .pdf21 -rw -r--r-- 1 root root 1,6M Apr 13 18:00
Ubuntu .pdf
34
-
Kapitel 4. Analyse eines Datenträgerverbundes
22 -rw -r--r-- 1 root root 495K Apr 13 18:00 VirtualBox .pdf23
-rw -r--r-- 1 root root 187K Apr 13 18:00 ZFS.pdf
35
-
Kapitel 4. Analyse eines Datenträgerverbundes
4.3.2 Logical Volume Manager (LVM)
Der Logical Volume Manager ist ein softwarebasierte
Speicherlösung die in den Li-nuxkernel integriert ist. Logical
Volume Manager (LVM) stellt logische Volumenbereit die von
physischen Datenträgern abstrahiert und unabhängig sind. Es kannals
Ergänzung zu MD angesehen werden und besitzt eine flexible
Architektur.
Funktionsweise
Die von LVM bereitgestellten Volumen sind flexibel und
skalierbar. Sie können übermehrere physische Datenträger verteilt
und zur Laufzeit in ihrer Größe angepasstwerden. Häufig wird LVM
zusammen mit MD verwendet, aber einige Anbieter inte-grieren eigene
RAID-Funktionalitäten. Diese sind in einigen Distributionen
bereitsintegriert oder können nachträglich installiert werden. Von
logischen Volumen kön-nen Snapshots angefertigt werden. In einem
angelegten Snapshot werden alle Ände-rungen blockweise in ein neues
referenzierendes, logisches Volumen geschrieben.Partitionen die in
die LVM-Verwaltung integriert sind werden in der Master BootRecord
(MBR) Partitionstabelle mit dem Typ 0x8e gekennzeichnet. Die
kleinsteSpeichereinheit im LVM wird Physical Extent genannt. Sie
ist auf den physischenDatenträgern verteilt. Eine veränderbare
Anzahl an Physical Extent bildet eine Vo-lume Group. In dieser
Gruppe können mehrere logische Volumes abgelegt und an-schließend
dem System zugeordnet werden. LVM hat keinen Einfluss auf dem
dar-über eingesetzten Dateisystem. Wird das Volume in seiner Größe
angepasst mussdas Dateisystem dies unterstützen [12, S.
160–161].
Speichern und Einbinden
Das Duplizieren der LVM-Volumen für die forensische Auswertung
ist einfach. DieKonfiguration ist unter /etc/lvm/ abgelegt. Hier
finden sich auch Archive von altenKonfigurationen. Bei aktivem
System ist es möglich beispielweise mit dd, das Volumezu kopieren.
Die LVM-Partitionen sind unter /dev/VOLUMEGROUPNAME/VO-LUME
verfügbar. Dieses Vorgehen ist ineffizient, da Snapshots und
Volumen in ihrergesamten Größe gespeichert werden. Zusätzlich gehen
Metainformationen zur LVM-Konfiguration verloren. Mit dem Befehl
vgimportclone wird eine neu benannte Kopieder originalen Volume
Group angelegt. Somit kann das Original kopiert werden.Auf diese
Methode kann im Normalfall verzichtet werden. Sämtliche
Informationenüber alle Datenträger, Volume Groups und Volumes
liegen zusätzlich am Anfang
36
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.22: LVM Architektur [13]
37
-
Kapitel 4. Analyse eines Datenträgerverbundes
jeder der oben genannten LVM-Partitionen (0x8e). Es empfiehlt
sich alle physi-schen Datenträger zu duplizieren. Im Anschluss
werden die Duplikate im Systemdes Forensikers mittels folgender
Befehle eingebunden. Zu beachten ist das möglicheMD-RAID Aktionen
vorher ausgeführt werden müssen.
1 > vgscan # Sucht nach Volume Groups2 > vgdisplay #
Listet die Volume Groups auf3 > lvs # Liefert Methadaten zu den
Volume Groups4 > ll /dev/ VOLUMENGROUP / # Zeigt alle
verfuegbaren Volumen an
Bild 4.23: Volume Groups und Volumes identifizieren
Auf Bild 4.24 sind die bereitgestellten Partitionen zu sehen. Da
LVM keine Par-titionstabellen anlegt ist es möglich, mit fsstat in
die Struktur des Dateisystemseinzusehen.Eine Analyse des Snapshots
in Bild 4.25 zeigt auf, dass das Dateisystem formatiertwurde. Im
Original ist das Volume mit Ext4 formatiert. Der Befehl fls zeigt
dasseine verdächtige Datei namens evil.exe existiert.
38
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.24: Volumes und Dateisysteme
Bild 4.25: Dateisystem des Snapshots
39
-
Kapitel 4. Analyse eines Datenträgerverbundes
4.4 Software Lösungen unter Windows
4.4.1 LDM
Logical Disk Manager ist eine Funktionalität die es ermöglicht
mehrere verschiedeneDatenträger in ein einzigen logischen
Datenträger zu verbinden. Es können dabei dieRAID-Level 0, 1 und 5
gewählt werden. Um einen Datenträger in LDM einzubindenmuss eine
MBR-Partition des Typs 0x42 vorliegen. Am Ende jeder Partition
befindetsich die proprietär aufgebaute LDM Datenbank.
Weiterführende Informationen sindin Kapietel 7 aus [12, S. 162–170]
einzusehen. Das freie Linuxprogramm ldmtoolist für die
Rekonstruktion empfehlenswert. An dieser Stelle wird LDM nicht
weiterthematisiert, dieses wurde durch die Windows Storage Spaces
ersetzt.
4.4.2 WSS
Die Windows Storage Spaces sind eine softwarebasierte
Speicherlösung von Micro-soft. Sie wurde mit Windows Server 2016
eingeführt. Mit Windows Server 2019wurde Windows Storage Spaces
durch Storage Space Direct (S2D) auf eine StorageArea Network Ebene
erweitert.
Funktionsweise
Datenträger die für Windows Storage Spaces verwendet werden sind
miteiner Globally Unique Identifier (GUID)-PartitionTable
aufbereitet. In die-ser sind zwei Partitionen registriert.
Microsoft Reserved Partition
(GUID:E3C9E3160B5C4DB8817DF92DF00215AE) [12, S. 143] und
Speicherpool (GUID:8FAF5CE780F6EE4CAFA3B001E56EFC2D). Es folgen
Metainformationen überden Speicherpool. Dazu zählen u. a. die
Anzahl physischer Laufwerke, der Resilienz-Typ und die Größe des
bereitgestellten Speichers. Resilienz ist die Fähigkeit,
beiStörungen die Aufgabenerfüllung aufrecht zu erhalten.Adäquat zu
LDM und im Gegensatz zu LVM wird bei WSS eine virtuelle
Festplatteund keine Partition bereitgestellt. Diese beginnt mit
einem GPT-Header, welcherauf eine Partition verweist die wiederum
mit einer spezielle Version von NTFS oderResilient File System
(ReFS) formatiert ist. Diese Informationen liegen im RAW-Format auf
den fünf schnellsten Datenträgern des WSS-Verbundes. Selbst wenn
derErmittler nur eine dieser Festplatten besitzt, stehen ihm
sämtliche NTFS Metadaten
40
-
Kapitel 4. Analyse eines Datenträgerverbundes
über die gespeicherten Dateien zur Verfügung. ReFS ist ein von
Microsoft entwickel-tes Dateisystem welches für die Verwendung von
Netzwerkspeicher empfohlen wird.
Bild 4.26: GPT-Tabelle der physischen Disk
41
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.27: GPT-Tabelle der virtuellen Disk
Bild 4.28: GPT-Tabelle auf physischer Disk identifiziert
Die Skalierung und Redundanz der Daten werden hier auf
Dateisystemebene durch-geführt. Dazu wird das Speichermedium
anschließend in 256 MB große Blöcke einge-teilt. Microsoft nennt
diese Slaps. Wenn keine Redundanz konfiguriert ist, werden dieSlaps
gleichmäßig auf die Datenträger verteilt. WSS bietet zusätzlich
vier verschie-dene Resilienzen an. Die einfache oder doppelte Kopie
legen einen 256 MB Blockauf weiteren Datenträgern ab. Dies ist
performanter als die Paritätsberechnung,beansprucht aber viel
Speicherkapazität. Alternativ kann eine einfache oder dop-pelte
Parität eingesetzt werden da über alle genutzten Datenträger ein
Paritätsslapberechnet wird. Das erhöht die Speichereffizienz des
Systems. Sollte ein Laufwerkausfallen, sofern genügend
Speicherplatz auf den gesunden Datenträgern vorhan-den ist, werden
die Paritäten bzw. Spiegelungen auf den vorhandenen
Laufwerkenumgehend rekonstruiert. Anschließend ist das System vor
dem Ausfall weiterer Da-tenträger geschützt. Storage Space Direct
bietet eine Kombination aus Kopie undParität, um Speichereffizienz
und -geschwindigkeit zu verbessern [14] [15].
42
-
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.29: NTFS Master File Table der virtueller Disk
Bild 4.30: NTFS Master File Table auf phsischer Disk
identifiziert
43
-
Kapitel 4. Analyse eines Datenträgerverbundes
Speichern und Einbinden
Das Duplizieren von WSS-Datenträgern ist ebenfalls einfach. Ist
das System, dessenDaten zu speichern sind, zugänglich, kann die
virtuelle Festplatte mit den geeignetenMitteln gesichert werden.
Das Programm DiskDumper erstellt ein RAW-Image desgewünschten
Laufwerks und berechnet anschließend den MD5-Hash. Für die
Aus-wertung von Offline-Datenträgern empfiehlt es sich, diese in
einem Auswertesystemmit einem aktuellen Windows schreibgeschützt
einzubinden. Windows erkennt dieDatenträger und bindet den Storage
Space entsprechend ein. Diese Vorgehensweiseist vorteilhaft, da die
genauen Funktionsweise des WSS von Microsoft nicht öffent-lich
zugänglich sind. Somit besteht hierbei die höchste
Wahrscheinlichkeit, dass alleDaten zugänglich sind.Alternativ gibt
es Softwareprodukte, die die Windows Storage Spaces dennoch
ein-binden können. Die Entwickler von R-Studio haben den Aufbau der
WSS rekon-struiert, sodass sie die Konfiguration zuverlässig
interpretieren und das Laufwerkanschließend bereitstellen können.
Diese Funktion ist in der kostenpflichtigen Ver-sion verfügbar.
Daher wird im Rahmen dieser Projektarbeit nicht weiter
daraufeingegangen.
Bild 4.31: Datenträger sichern mit DiskDumper
44
-
Kapitel 4. Analyse eines Datenträgerverbundes
4.5 Zusammenfassung
Zusammenfassend ist festzuhalten, dass das Wiederherstellen
verteilter Speicher-konfigurationen sehr vom verwendeten Produkt
abhängt. Bei Open Source Lösun-gen ist das Wiederherstellen der
Datenstruktur kein Hindernis. Durch die Vielzahlvon
RAID-Herstellern ist es empfehlenswert die von RAID-Controller
bereitgestellteDisk mit Hilfe des eigenen Forensik-Systems zu
duplizieren. Bei proprietären Spei-cherlösungen, wie Microsofts
Windows Storage Spaces, ist zu empfehlen eine Kopiewährend des
laufenden Windows-Systems zu erstellen. Das ist die
zuverlässigsteOption.
45
-
Kapitel 5. Verschlüsselte Datenträger
5 Verschlüsselte Datenträger
5.1 Einleitung
Heutzutage stehen für die am Markt relevanten Betriebssysteme
integrierte Mög-lichkeiten zur Verfügung, mit geringem Aufwand,
sowohl im Computersystem einge-baute als auch extern
angeschlossene, Datenträger zu verschlüsseln. Besonders
aufNotebooks und für mobile Datenträger im Enterprise-Umfeld wird
der Einsatz vonVerschlüsselungen empfohlen. Zusätzlich können, bei
entsprechendem Schutzbedarf,auch stationäre Arbeitsplatzrechner und
sogar Server verschlüsselt werden [16].Auch im privaten Umfeld sind
die Hürden, eine Datenträgerverschlüsselung ein-zusetzen,
überschaubar. So bietet Apple seit OS X Lion eine, im
Betriebssystemintegrierte, Festplattenverschlüsselung (FileVault2)
an, welche mit wenigen Klickseingeschaltet werden kann [17].
Beliebte Linux Distributionen bieten einfache, grafi-sche
Einrichtungstools für die Festplattenverschlüsselung mit
Bordmitteln [18] undfür Windows kann Microsoft die
BitLocker-Geräteverschlüsselung sogar automatischaktivieren, wenn
die Hardware es unterstützt [19].Aufgrund der
Sicherheitsempfehlungen für Unternehmen sowie den einfach
einzu-richten und zum Teil auch automatisch aktiven
Verschlüsselungstools für privat ge-nutzte Geräte steigt die
Wahrscheinlichkeit, bei der forensischen Analyse von
Com-putersystemen auf verschlüsselte Datenträger zu treffen.In
diesem Kapitel werden die in Windows, Linux und macOS integrierten
Verschlüs-selungstools vorgestellt und betrachtet, wie eine damit
verschlüsselte Systemparti-tion zur Analyse der enthaltenen Daten
entschlüsselt werden kann.
5.2 Festplattenverschlüsselung
Um Daten auf Datenträgern zu verschlüsseln gibt es mehrere
Ansätze. Zum einenkönnen einzelne Dateien verschlüsselt und in
dieser Form, wie jede andere Datei, imDateisystem des
Speichermediums abgelegt werden (z. B. Windows Encrypting
FileSystem (EFS), Encrypted Filesystem (EncFS), ZIP mit
Verschlüsselung). Zum an-deren kann ein gesamter Datenträger bzw.
eine Partition verschlüsselt werden. Das
46
-
Kapitel 5. Verschlüsselte Datenträger
Dateisystem befindet sich in diesem Fall eine logische Schicht
über der Verschlüsse-lung. Diese Technik sorgt dafür, dass ein
Image einer so verschlüsselten Partition nurunleserliche Daten
enthält, die vor der weiteren forensischen Analyse
entschlüsseltwerden müssen, um auf das Dateisystem zugreifen zu
können.In dieser Arbeit liegt der Fokus auf der Entschlüsselung
vollständig verschlüsselterBetriebssystem-Partitionen.
5.3 Verschlüsselungstools
Am Markt sind eine Vielzahl von Verschlüsselungsprogrammen
verfügbar, mit de-nen Datenträger blockweise verschlüsselt werden
können. In diesem Abschnitt wirdfür jedes aktuelle, populäre
Desktop-Computer Betriebssystem (Windows, Linux,macOS) die jeweils
integrierte (kann je nach Betriebssystemedition/
Distributionabweichen) Verschlüsselungsmethode vorgestellt.
Zusätzlich wird das, für alle Be-triebssysteme verfügbare,
VeraCrypt betrachtet.
5.3.1 Microsoft BitLocker
Überblick
Microsoft BitLocker ist eine Festplattenverschlüsselung, die
Microsoft seit WindowsVista/ Windows Server 2008 als
Betriebssystemkomponente ausliefert. BitLo-cker ist in der Lage
neben portablen Geräten und Datenpartitionen auch
dieBetriebssystempartition zu verschlüsseln. Dafür wird eine
kleine, unverschlüsselteSystempartition angelegt, von der zuerst
gebootet wird. Das dort abgelegte Systementschlüsselt und lädt
danach das eigentliche Betriebssystem aus der
verschlüsseltenBetriebssystempartition [20].Die zu verschlüsselnde
Partition wird mit Hilfe eines symmetrischen Schlüssels, demFull
Volume Encryption Key (FVEK), verschlüsselt. Der FVEK wiederum
wirdmit dem so genannten Volume Master Key (VMK) verschlüsselt. Der
VMK wirdebenfalls verschlüsselt. Die Art des Schlüssels kann dabei
variieren. Computer, dieüber ein Trusted Platform Module (TPM)
verfügen, können dieses zur Verschlüs-selung des VMK nutzen.
Alternativ (oder auch zusätzlich) kann der Schlüssel miteinem
Kennwort geschützt werden. Vom VMK können mehrere, mit jeweils
einemanderen Schlüssel verschlüsselte, Kopien angelegt werden [21,
S. 7]. Das ermöglichtes z. B. das System im normalen Betrieb
mittels des Schlüssels aus dem TPM zuentschlüsseln aber auch einen
Wiederherstellungsschlüssel zu erzeugen, der an einer
47
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.1: BitLocker Key Architecture. Entnommen aus: [21, S.
9]
anderen Stelle abgelegt wird, falls die Entschlüsselung per TPM
(z. B. wegen einesHardwaredefekts oder einer Integritätsverletzung)
scheitert. Bild 5.1 zeigt eineÜbersicht der möglichen Schlüssel.
Der verschlüsselte FVEK sowie die Kopien desverschlüsselten VMK
werden in einer unverschlüsselten Datenstruktur
(BitLockerMetadaten) an drei Stellen (Anfang, Mitte, Ende) auf der
ansonsten verschlüsseltenPartition abgelegt. Die BitLocker
Metadaten-Strukturen beginnen mit der Signatur„-FVE-FS-“ [22, S.
4]. Wird diese Signatur in einem Partitionsimage gefunden, soist
die Partition höchstwahrscheinlich mit BitLocker verschlüsselt.
Schlüsselgewinnung
Damit das Image einer mit BitLocker verschlüsselten Partition
entschlüsselt werdenkann, wird entweder der FVEK, der VMK oder ein
Schlüssel für den VMK be-nötigt. Alle Schlüssel, die zur Laufzeit
unverschlüsselt im Arbeitsspeicher abgelegtsind, werden, wenn
BitLocker sie zur Entschlüsselung gerade nicht benötigt,
über-schrieben [21, S. 13]. Da der VMK nur für einen kurzen Moment
zum Entschlüsselndes FVEK benötigt wird, ist es unwahrscheinlich
den VMK im Random-Access Me-mory (RAM) auffinden zu können. Der
FVEK jedoch wird während der gesamtenLaufzeit des Systems im RAM
gehalten und kann aus einem Memory Dump ausge-lesen werden [23].
Auf diese und andere Techniken zur Gewinnung des FVEK auseinem
laufenden System/ RAM Image oder einem Angriff auf das TPM wird
in
48
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.2: Partitionstabelle einer Festplatte mit einer
BitLocker-Partition
dieser Arbeit nicht eingegangen.Für die Entschlüsselung wird
angenommen, dass ein Wiederherstellungsschlüsselbekannt ist. Diese
werden in Unternehmen z. B. im ActiveDirectory oder
einerSchlüsselverwaltungsdatenbank eines Drittanbieters abgelegt.
Darüber hinaus kön-nen auch externe Speichermedien (z. B.
USB-Sticks) als Schlüsselspeicher dienen.Zuletzt bietet BitLocker
auch die Möglichkeit einen Schlüssel auszudrucken oderin einem
Microsoft-Konto in der Cloud abzulegen [24]. Für die Analyse der
Datenmuss zusätzlich zum Image der verschlüsselten Partition
demnach auch ein Schlüsselgefunden werden.
Entschlüsselung
Für diese Arbeit wurde die Betriebssystempartition einer Windows
10 VirtualMachine (VM) (ohne TPM) mit BitLocker verschlüsselt. Der
VMK wird durchein Startpasswort geschützt. Zusätzlich wurde
(automatisch) ein Wiederherstel-lungsschlüssel erstellt. Im
Anschluss wurde die virtuelle Festplatte an eine Ubun-tu Linux VM
angehängt und mit dd als RAW-Image kopiert. Mit mmls aus
derProgrammsammlung “The Sleuth Kit„ wird die Partitionstabelle
betrachtet (Bild5.2). Aufgrund der Größe der Partitionen wird
geschlossen, dass es sich bei dergrößeren New Technology File
System (NTFS) Partition um die Betriebssystem-Partition handelt.
Diese wird an ein Loop-Device gebunden. Mit Hilfe des headBefehls
wird der Beginn der Partition ausgelesen. Anhand der Signatur
„-FVE-FS-“ (Bild 5.3) ist erkennbar, dass es sich tatsächlich um
die mit BitLocker ver-schlüsselte Partition handelt. Um die
Partition weiter zu analysieren wird dislo-cker
(https://github.com/Aorimn/dislocker) eingesetzt. Der Befehl
dislocker-metadata gibt weitere Informationen über die
verschlüsselte Partition aus (Bild 5.4).
49
https://github.com/Aorimn/dislocker
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.3: BitLocker Signatur am Beginn der Partition
Bild 5.4: Metadaten der mit BitLocker verschlüsselten
Partition
Die verschlüsselte Partition wird mittels dislocker-fuse und
dem, beim Einschaltender Verschlüsslung erstellten, Recovery Key
entschlüsselt und danach eingehängt.Dislocker unterstützt
verschiedene Arten von Schlüsseln (siehe Abschnitt
„Schlüs-selgewinnung“) um die Partition zu entschlüsseln. Mit dem
Parameter „-r“ wird diePartition nur lesend eingebunden, um
Veränderungen zu vermeiden. Wie in Bild 5.5erkennbar, kann nun auf
den Inhalt der Partition zugegriffen werden.
5.3.2 FileVault 2
Überblick
FileVault2 ist ein in macOS integriertes Verschlüsselungstool.
Seit Version 2 unter-stützt FileVault die Verschlüsselung des
Betriebssystem-Volumes [17]. Moderne Ver-sionen von macOS nutzen
das Apple-eigene Dateisystem Apple File System (APFS)für die
Systemfestplatte/SSD. APFS legt auf dieser Platte einen so
genannten Con-tainer (entspricht einer Partition) an. Dieser
Container enthält bei einem mit Fi-
50
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.5: BitLocker verschlüsselten Partition entschlüsselt
einhängen
leVault verschlüsselten Betriebssystem mindestens drei Volumes.
Ein Volume istverschlüsselt und enthält das Betriebssystem, ein
Volume ist nicht verschlüsselt undenthält die Daten, die zum Start
des Betriebssystems notwendig sind (Preboot) undein drittes Volume
ist ein Recovery Volume [25].Bei der Aktivierung von FileVault wird
im Preboot-Volume 1 die Datei „Encrypte-dRoot.plist.wipekey“
erstellt. Es handelt sich dabei um ein XML-File, dessen Inhaltzum
größten Teil mit einem - im Header des zugehörigen System-Volumes
befind-lichen - Schlüssel verschlüsselt ist. Diese Datei enthält
den Volume Key, mit demdas System-Volume verschlüsselt ist. Der
Volume Key wiederum ist mit einem Key-Encryption-Key verschlüsselt.
Vom Key-Encryption-Key existieren mehrere Kopi-en, welche mit
jeweils unterschiedlichen Schlüsseln verschlüsselt sind. Diese
Schlüs-sel können Passwörter der Systembenutzer, ein Recovery-Key
oder ein Zertifikatsein [26].Apple-Geräte mit eingebautem T2-Chip
erzeugen eine zusätzliche Hürde bei der Er-stellung eines Images
der Systemfestplatte/SSD. Alle Zugriffe auf das Medium laufenüber
den T2-Chip und werden dort mit einem an die Hardware gebundenen
Schlüsselverschlüsselt. In diesem Fall wird die Hardware, zu
welcher der Datenträger gehörtbenötigt, um das Medium zu
entschlüsseln. Innerhalb dieser Verschlüsselung kannzusätzlich noch
eine FileVault Verschlüsselung aktiv sein [27]. Auf dieses
Szenario(Verschlüsselung mit T2-Chip) wird in dieser Arbeit nicht
eingegangen.
Schlüsselgewinnung
Beim Einschalten von FileVault wird ein Recovery-Key erzeugt.
Dieser kann ent-weder lokal ausgegeben und z. B. ausgedruckt oder
in einen iCloud-Account hoch-geladen werden. Besteht Zugriff auf
den iCloud Account des Gerätebesitzers, kann
1In der Quelle [26] wird beschrieben, dass die Datei sich in der
Recovery-Partition befindet. Beidem für diese Arbeit installierten
System (macOS 10.14 Mojave in einer VMWare VM) war dieDatei jedoch
im Preboot-Volume abgelegt.
51
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.6: APFS/ FileVault2 Partitionstabelle - mmls
der Account unter Umständen zum Abrufen des
Wiederherstellungsschlüssel genutztwerden [28]. Neben dem Recovery
Key kann das Passwort eines Benutzeraccounts,der zum Entschlüsseln
des Volumes berechtigt ist, verwendet werden. Darüber hin-aus kann
(besonders in Enterprise Umgebungen) ein Zertifikat zur
Entschlüsselunghinterlegt werden [26].Liegt ein RAM-Dump des zu
entschlüsselnden Systems vor, kann der Volume Keyauch daraus
extrahiert werden [29]. Für diese Arbeit wird jedoch angenommen,
dassder Recovery-Key bekannt ist.
Entschlüsselung
Für diese Arbeit wurde eine VMWare VM mit macOS 10.14
installiert und dasSystem-Volume mit FileVault verschlüsselt. Der
Recovery-Key wurde nicht in deriCloud abgelegt sondern am
Bildschirm ausgegeben. Die Partitionstabelle der VMwird, mit mmls
betrachtet, nur unzureichend dargestellt (Bild 5.6), da mmls in
dereingesetzten Version nicht mit APFS umgehen kann. Um weitere
Informationen überdie im Image enthaltenen Partitionen, Container
und Volumes zu erhalten, wird dieapfs-fuse Toolsammlung genutzt
(https://github.com/sgan81/apfs-fuse). Mitdem enthaltenen apfsutil
können die Volumes im APFS angezeigt werden (Bild 5.7).Unter Angabe
des Recovery-Keys (oder eines Passworts) kann das
verschlüsselteSystem-Volume mit apfs-fuse eingebunden werden (Bild
5.8). Der Zugriff erfolgt inder genutzten Programmversion (vom 20
April 2019) nur lesend und die Softwarebefindet sich noch im
experimentellen Stadium.
52
https://github.com/sgan81/apfs-fuse
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.7: APFS/ FileVault2 Partitions-/ Volumeinformationen -
apfsutil
Bild 5.8: FileVault2 verschlüsselte Partition einbinden
53
-
Kapitel 5. Verschlüsselte Datenträger
5.3.3 LUKS/ dm-crypt
Überblick
DM-Crypt ist ein, im aktuellen Linux-Kernel enthaltenes, Modul
um Daten ver-schlüsselt auf Block-Devices zu schreiben und davon zu
lesen [30]. DM-Crypt wirddurch LUKS um einen Rahmen erweitert, der
das Schlüsselmanagement standar-disiert und vereinfacht. LUKS
arbeitet auch mit anderen Verschlüsselungsmodulenzusammen [31, S.
1]. In diesem Kapitel wird „LUKS“ jedoch synonym für die
Kom-bination aus DM-Crypt und LUKS2 verwendet.LUKS ermöglicht es,
sowohl verschlüsselte Containerdateien zu erzeugen als auchganze
Partitionen und Festplatten zu verschlüsseln. Dazu wird ein Header
erzeugt,der Metadaten zur Konfiguration der Verschlüsselung
enthält. Der Header ist erkenn-bar an der Signatur „LUKS“ und
beginnt mit einem Binärobjekt, welches grund-legende Daten zur
eingesetzten Verschlüsselung enthält. Darauf folgt eine
JSONStruktur, welche unter anderem Informationen über die
verwendeten Keyslots undderen Speicherort enthält. Ein Keyslot ist
eine Datenstruktur, die den Schlüsselzur mit dm-crypt erzeugten
Datenverschlüsselung in verschlüsselter Form enthält.LUKS2
unterstützt bis zu 32 Keyslots, also Schlüssel um auf den
dm-crypt-Schlüsselzuzugreifen [32].Diese Schlüssel können
Passwörter sein, es sind aber auch Schlüsseldateien auf ex-ternen
Datenträgern (auch im nicht allokierten Bereich), Hardwaretoken,
Schlüsselim TPM oder andere Verfahren denkbar.Seit LUKS2 ist der
Header redundant vorhanden (nur der Header, nicht die Keys-lots)
und es ist möglich, den Header auch außerhalb der verschlüsselten
Partitionaufzubewahren [32]. Damit würde die Signatur „LUKS“ als
Identifikationsmerkmalauf dem Datenträger fehlen.
Schlüsselgewinnung
Da die Schlüssel der LUKS Keyslots sehr unterschiedliche Daten
an verschiedenstenOrten sein können, gibt es keine allgemeingültige
Vorgehensweise um die Schlüsselaufzuspüren. Ist das System jedoch
noch eingeschaltet und kann bedient werden,so können die Schlüssel
mittels dmsetup table –showkeys aus dem laufenden Systemausgelesen
werden. Mit den so gewonnen Informationen kann ein eigener
Schlüsselfür einen Keyslot erzeugt werden [33].Liegt zu dem
verschlüsselten Datenträger ein RAM-Dump des Systems von einem
54
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.9: Ubuntu Installationsoptionen
Zeitpunkt vor, zu dem die Daten entschlüsselt waren, so kann der
Schlüssel auchdaraus gewonnen werden [34]. Für diese Arbeit wird
jedoch angenommen, dass einSchlüssel für einen LUKS Keyslot
vorliegt.
Entschlüsselung
Für diese Arbeit wurde eine Ubuntu 19.04 Desktop Installation
mit den im In-stallationsdialog (Bild 5.9) angebotenen
Verschlüsselungsoptionen verschlüsselt. Indem verschlüsselten
Bereich auf der Festplatte wurde mit Hilfe von LVM eine Vo-lume
Group angelegt. Darin befinden sich die /root- und die
swap-Partition. Dieswird erreicht, indem die abgebildeten Optionen
während der Installation angewähltwerden. Von dem installierte
System wurde mit ewfacquire ein Image (Dateiname„image.e*“)
erstellt. Dieses wird nun ausgewertet.Im ersten Schritt wird die
Partitionstabelle des Images mit mmls betrachtet (Bild5.10). Es
werden zwei „Linux-Partitionen“ erkannt. In der ersten ist ein
minimalesLinux zum Booten des eigentlichen Betriebssystems
enthalten. Dieses befindet sich,wie in Bild 5.11 erkennbar,
verschlüsselt in der zweiten Partition, deren Dateisys-tem (wegen
der Verschlüsselung) nicht bestimmt werden kann. Um die
verschlüssel-te Partition analysieren zu können, wird das mit
ewfacquire erstellte Image mittelsXmount bereitgestellt (siehe
5.12). Im Anschluss wird die verschlüsselte Partitionals
loop-Device eingebunden (Bild 5.13). An der Signatur „LUKS“ am
Partitionsbe-ginn ist erkennbar, dass es sich tatsächlich um die
verschlüsselte Partition handelt.Mit dem Tool cryptsetup werden die
Metadaten der verschlüsselten Partition an-gezeigt (Bild 5.14).
Damit das verschlüsselte Dateisystem lesbar wird, wird es mit
55
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.10: Partitonstabelle des verschlüsselten Ubuntu
Bild 5.11: Dateisysteme der Linux Partitionen
Bild 5.12: EWF Image mit Xmount einbinden
Bild 5.13: LUKS Partition als Loop-Device bereitstellen
56
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.14: LUKS Header mit cryptsetup anzeigen
57
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.15: Partition entschlüsseln und LVM Volumes mappen
cryptsetup entschlüsselt. Die entschlüsselte Partition wird
unter „/dev/mapper“ ein-gehängt. Da bei der Installation des
Betriebssystems LVM verwendet wurde, kannnoch nicht auf die Daten
der gemappten Partition zugegriffen werden. Mittels lvmpvscan
werden die eingebundenen Datenträger nach vom LVM verwalteten
Devi-ces durchsucht. Diese werden ebenfalls unter „/dev/mapper“
eingehängt. Die Datenkönnen nun analysiert werden (Bild 5.15).
5.3.4 VeraCrypt
Überblick
VeraCrypt ist ein freies, auf TrueCrypt basierendes,
Verschlüsselungstool. Es ist fürWindows, Linux und macOS verfügbar
und kann sowohl verschlüsselte Containererstellen als auch ganze
Partitionen/ Speichermedien verschlüsseln. Daneben kannein
installiertes Windows vollständig verschlüsselt werden (pre-boot
authenticati-on) [35]. Eine solche Konfiguration kann daran erkannt
werden, dass der VeraCrypt-Bootloader am Anfang der Festplatte
abgelegt wird. Der Bootloader kann jedochauch auf einem externen
Medium gespeichert werden (VeraCrypt Rescue Disk)
[36].Grundsätzlich verfolgt VeraCrypt den Ansatz, dass neben der
Verschlüsselung auchdas Vorhandensein der verschlüsselten Daten
möglichst schlecht erkennbar ist. Eswird deshalb auf eine
unverschlüsselt lesbare Signatur zu Beginn einer verschlüssel-ten
Partition verzichtet. Darüber hinaus ist es möglich, versteckte
Container anzu-legen.Eine mit VeraCrypt verschlüsselte Partition
beginnt mit einem Header, welcher deneigentlichen Schlüssel zur
Verschlüsselung der Daten enthält. Der Header selber istebenfalls
verschlüsselt [37]. Um den Header zu verschlüsseln, können bei der
System-verschlüsselung nur Passwörter genutzt werden [38]. Die
Architektur unterstützt nur
58
-
Kapitel 5. Verschlüsselte Datenträger
einen Schlüssel pro verschlüsseltem Medium. Um die Sicherheit zu
erhöhen kann -zusätzlich zum Passwort - ein Personal Iterations
Multiplier (PIM) angegeben wer-den. Dieser beeinflusst die Anzahl
der Iterationen der Funktion, die aus dem an-gegebenen Passwort den
eigentlichen kryptographischen Schlüssel für den Headererzeugt
[39]. Wird kein PIM angegeben, wird eine Standardanzahl an
Iterationender Schlüsselableitungsfunktion genutzt.
Schlüsselgewinnung
Der Schlüssel zur Entschlüsselung des VeraCrypt Headers kann bei
einer System-verschlüsselung nur ein Passwort - optional erweitert
durch ein PIM - sein. EinenRecovery-Key gibt es nicht - lediglich
eine Rescue Disk, welchen den Header zumZeitpunkt der Erstellung
der Recovery Disk enthält. Das Passwort kann unter Um-ständen ein
anderes sein, als das aktuell genutzte, wenn die Disk nach einer
Pass-wortänderung nicht vernichtet und neu erstellt wurde.Liegt ein
Memory Dump des Systems bei entschlüsselter Partition vor, kann
dar-aus der Schlüssel für die Daten extrahiert werden [40]. Läuft
das System noch mitentschlüsselter Partition und kann es bedient
werden, kann - bei vorhandenen ad-ministrativen Berechtigungen -
das Entschlüsselungspasswort auf einen bekanntenWert gesetzt werden
[41]. Für diese Arbeit wird davon ausgegangen, dass das Pass-wort
bekannt ist und kein PIM vergeben wurde.
Entschlüsselung
Für diese Arbeit wurde eine Windows 10 Installation mittels
VeraCrypt verschlüs-selt. Dabei wurde mit der Option „Die Windows
System-Partition verschlüsseln“ ge-arbeitet. Von der gesamten
Festplatte wurde mit dd ein RAW Image (veracrypt.img)erstellt. Die
Partitionsstruktur, mit mmls betrachtet, ist in Bild 5.16
abgebildet.Um die verschlüsselte Partition öffnen zu können, genügt
es nicht nur sie alleine alsLoop-Device einzuhängen (Bild 5.17). Es
wird ein partitioniertes Gerät und keineeinzelne Partition
erwartet. Dies wird erreicht, indem losetup mit dem Parameter„-P“
aufgerufen wird. Der Parameter „-f“ wählt automatisch das nächste,
freie Loop-Device. Nachdem das Image mit allen Partitionen als
Loop-Device eingehängt ist,kann die verschlüsselte
Betriebssystem-Partition mit VeraCrypt entschlüsselt undgemountet
werden. Dabei ist darauf zu achten, dass wie in Bild 5.18 der
Parameter„–mount-options=ro,system“ angegeben wird, damit die
Partition ReadOnly einge-bunden und als verschlüsselte
Systempartition mit pre-boot authentication erkannt
59
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.16: Partitionstabelle des mit VeraCrypt verschlüsselten
Windows
Bild 5.17: Image mit Partitionen als Loop-Device einbinden
wird. Bei der Verschlüsselung wurde der PIM nicht gesetzt und
Schlüsseldateienkönnen für dieses Szenario nicht genutzt werden.
Somit muss lediglich das Passwortzur Entschlüsselung angegeben
werden.Eine alternative Möglichkeit die Partition zu mounten ist
cryptsetup. Dafür mussdas Image ebenfalls vollständig als
Loop-Device eingehängt werden (siehe Bild 5.17).cryptsetup wird nun
so aufgerufen, dass es eine, mit VeraCrypt verschlüsselte,
Sy-stempartition öffnen soll. Die entschlüsselte Partition wird
unter „/dev/mapper“eingehängt und kann gemountet werden. Diese
Variante ist in Bild 5.19 zu sehen.
Bild 5.18: VeraCrypt Partition einbinden
60
-
Kapitel 5. Verschlüsselte Datenträger
Bild 5.19: VeraCrypt Partition mit cryptsetup einbinden
5.4 Zusammenfassung
In diesem Kapitel wurde eine Übersicht über die im
Betriebssystem integriertenVerschlüsselungstools in Windows, Linux
und macOS sowie das Tool VeraCryptgegeben. Alle haben die Tatsache
gemeinsam, dass der Master Key, mit dem dieSystempartition
tatsächlich verschlüsselt wird, für die Entschlüsselung bei der
fo-rensischen Analyse nur dann eine Rolle spielt, wenn er aus dem
laufenden Systemoder einem Speicherabbild gewonnen werden muss/
kann. Wird für die forensischeAnalyse ein heruntergefahrenes (also
vollständig abgeschaltetes) System vorgefun-den zu welchem kein
RAM-Dump verfügbar ist, ist es zielführender die Schlüssel,mit
denen der Master Key (direkt oder indirekt - je nach
Schlüsselverwaltung desgenutzten Tools