Sicherheit: Forensik

Forensische Software kann durch Bugs getäuscht werden

11. September 2007, 13:30 Uhr | Bernd Reder

In einem Vortrag auf der Hackerkonferenz Defcon erläuterten Chris Palmer und Alex Stamos, Softwareexperten bei iSEC Partners, die ernüchternden Ergebnisse ihrer Untersuchungen von forensischer Software.

Im Kern der Ausführungen stand Encase von Guidance Software, eines der meist verwendeten Programme zur digitalen Beweissicherung. Die Experten nahmen das Programm unter die Lupe und deckten eine Reihe von Fehlern auf. Durch diese sei es möglich, Files auf Datenträgern zu verstecken.

»Forensische Programme sind Tools, die zuerst eine 1:1-Spiegelung des Datenträgers anfertigen. Dabei werden alle Daten gesichert, auch gelöschte Files und Fragmente«, erklärt Reinhold Kern, Abteilungsleiter Forensik beim Datenrettungsspezialisten Kroll Ontrack.

Die Untersuchung der vorliegenden Dateien sei dabei keine Herausforderung. Viel wichtiger ist laut Kern die Interpretation der Daten, die nur in Bruchstücken vorliegen.

Daten verstecken

Die US-Experten berichten von manuell veränderten Master Boot Records unter Linux. Damit lassen sich durch einen eingefügten Directory Loop alle folgenden Daten für Encase unsichtbar machen.

Zum Absturz bringen Hacker Encase durch leere Verzeichnisbäume mit tausend Unterverzeichnissen. Zudem sei das Programm überfordert, sobald sich mehr als 25 Partitionen auf dem Datenträger befinden. Ab der 26. Partition erkenne Encase die Daten nicht mehr, so die Palmer und Stamos.

Mehrere Tools einsetzen

»Keine Software ist zu 100 Prozent perfekt«, sagt Kern. Auch eine Forensiksoftware lasse sich überlisten.

»Deshalb besitzt ein Forensikexperte auch ein Paket von Werkzeugen, mit denen die Daten durchsucht werden. Liegen keine eindeutigen Beweise vor, so setzen wir verschiedene Programme ein, um unsere Ergebnisse zu prüfen«, erläutert der Fachmann.


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+