RAID, LVM, WSS, Verschlüsselung)
Total Page:16
File Type:pdf, Size:1020Kb
Hochschule Wismar University of Applied Sciences Technology, Business and Design Fakultät für Ingenieurwissenschaften, Bereich EuI Projektarbeit Aufbereitung besonderer Speicherkonfigurationen als analysefähiges Material (RAID, LVM, WSS, Verschlüsselung) Eingereicht am: 6. Juli 2019 von: Melanie Wetzig Sven Lötgering Tom Gertenbach Stefan Depping Inhaltsverzeichnis Inhaltsverzeichnis 1 Vorüberlegungen4 1.1 Motivation und Zielstellung.......................4 1.2 Anforderung an den Ermittlungsprozess.................4 1.3 Einordnung in Ermittlungsprozess....................6 1.4 Write-Blocker...............................6 1.5 Software..................................7 1.5.1 Rohdatenformat (RAW).....................7 1.5.2 Expert Witness Format (EWF).................8 1.5.3 Advanced Forensic Format (AFF)................8 1.5.4 Xmount..............................8 2 Rechtliche Betrachtung9 2.1 Einleitung.................................9 2.2 Private Ermittlungen........................... 10 2.3 Behördliche Ermittlungen........................ 11 2.4 Zusammenfassung............................. 11 3 Speichermedien 13 3.1 Einleitung................................. 13 3.2 Magnetspeicher.............................. 13 3.2.1 Speicherung auf einer HDD................... 14 3.2.2 Löschen von Daten auf einer HDD............... 15 3.2.3 Forensische Relevanz....................... 15 3.3 Flash-Speicher............................... 15 3.3.1 Speicherung auf einer Solid-State-Drive (SSD)......... 16 3.3.2 Löschen von Daten auf einer SSD................ 16 3.3.3 Forensische Relevanz....................... 17 3.4 Hybride.................................. 17 3.5 Zusammenfassung............................. 17 4 Analyse eines Datenträgerverbundes 19 4.1 Einleitung................................. 19 4.2 Hardware-RAID.............................. 21 4.2.1 Schritt 1: Einbinden der Abbilder................ 23 4.2.2 Schritt 2: Öffnen der Abbilder in R-Studio........... 23 4.2.3 Schritt 3: Modellierung des RAID-Layouts........... 24 4.3 Software Lösungen unter Linux..................... 31 4.3.1 Software-RAID.......................... 31 4.3.2 Logical Volume Manager (LVM)................. 36 2 Inhaltsverzeichnis 4.4 Software Lösungen unter Windows................... 40 4.4.1 Logical Disk Manager (LDM).................. 40 4.4.2 Windows Storage Spaces (WSS)................. 40 4.5 Zusammenfassung............................. 45 5 Verschlüsselte Datenträger 46 5.1 Einleitung................................. 46 5.2 Festplattenverschlüsselung........................ 46 5.3 Verschlüsselungstools........................... 47 5.3.1 Microsoft BitLocker........................ 47 5.3.2 FileVault 2............................. 50 5.3.3 Linux Unified Key Setup (LUKS)/ dm-crypt.......... 54 5.3.4 VeraCrypt............................. 58 5.4 Zusammenfassung............................. 61 6 Fazit 63 Literaturverzeichnis 65 Abbildungsverzeichnis 69 Abkürzungsverzeichnis 71 Selbstständigkeitserklärung 73 3 Kapitel 1. Vorüberlegungen 1 Vorüberlegungen 1.1 Motivation und Zielstellung Der Ingenieursstudiengang IT-Forensik legt in seiner technischen Ausrichtung besonderen Wert auf das Erlangen qualitativ hochwertiger Fähigkeiten zur Analyse digitaler Spuren. Wie diese Spuren aus kriminaltaktischer Sicht zu bewerten sind, ist ebenfalls Teil des Lehrplans. Nun soll diese Projektarbeit die Brücke von der Erhebung analoger Spuren, zur Erhebung und Sicherung digitaler Spuren bilden. Hierbei wird einleitend die Einordnung im Ermittlungsprozess beschrieben, anschlie- ßend werden die rechtlichen sowie organisatorischen Grundlagen kurz erläutert. Im technischen Schwerpunkt der Projektarbeit steht die Datenerhebung von Massen- datenspeichern. Besonderes Augenmerk wird auf physikalische Speichermethoden, Speicherverbund verteilter Datenträger und Kryptographie gelegt. Die Themen werden unter dem Gesichtspunkt der Post-Mortem-Analyse durchgeführt, sodass eine Betrachtung von aktiven Systemen nicht Gegenstand dieser Arbeit ist. Auf die Datenerhebung via Netzwerk wird ebenfalls nicht eingegangen. 1.2 Anforderung an den Ermittlungsprozess Nach Geschonneck, Computer Forensik [1, S. 66–67] gibt es sechs Grundsätze, die bei einer Datenerhebung und Auswertung permanent berücksichtigt werden sollten Akzeptanz Damit die Skepsis gegenüber der gewonnenen Erkenntnisse minimiert wird, soll- ten Methoden, Dateiformate und Softwarelösungen verwendet werden, die in der Fachwelt als sicheres forensisches Verfahren anerkannt sind. Erkenntnisse die mit Hilfe neuer unkonventioneller Hilfsmittel erlangt wurden, können einfacher in Fra- ge gestellt werden, als Welche die durch anerkannten Methoden herausgearbeitet wurden. 4 Kapitel 1. Vorüberlegungen Glaubwürdigkeit Die angewendeten Methoden müssen für Dritte nachvollziehbar sein. Der Ermittler sollte, die Verarbeitungsschritte von Beginn bis zum Abschluss verstehen und erör- tern können. Je komplexer die Werkzeuge werden, desto wichtiger ist das Verständnis der Funktionalität. Wiederholbarkeit Jedes Ergebnis und Zwischenergebnis muss, bei gleicher Herangehensweisen und denselben Bedingungen, reproduzierbar sein. Integrität Es ist sicherzustellen, dass die gesammelten Spuren unverändert sind und bleiben. Ist eine Veränderung einer Arbeitskopie notwendig, muss dies begründet und doku- mentiert werden. Das Original darf nicht verändert werden. Dies ist im gesamten Ermittlungsprozess zu gewährleisten. Kausalität Die Beweisspuren müssen entsprechend nachvollziehbar aufgearbeitet werden, dass Ursache und Auswirkung direkt voneinander abhängig sind. Indizien müssen als solche angegeben werden. Vermutungen dürfen nicht als Teil einer Beweiskette fun- gieren. Dokumentation Jeder Schritt im Ablauf der Beweissichtung, Beweiserhebung und der Beweisbewer- tung muss exakt dokumentiert werden. 5 Kapitel 1. Vorüberlegungen 1.3 Einordnung in Ermittlungsprozess Eine Ermittlung im Zusammenhang mit Computerkriminalität kann mit Hilfe des Secure-Analyse-Present-Modell abgebildet werden. Nach diesem Modell beinhaltet die Secure-Phase die Sicherung der vorhandenen Spuren. Die Analyse-Phase beschäftigt sich mit der Auswertung der gesammelten Spuren. Abschließend werden in der Present-Phase die gewonnenen Erkenntnisse in Form von Beweisen und Kausalitätszusammenhängen in einem Gutachten festgehalten. Die Ausprägung und Form der einzelnen Phasen ist je nach individuellem Fall un- terschiedlich. Ist eine Live-Analyse vorgesehen verschwimmen die Grenzen zwischen Secure- und Analyse-Phase. Hier werden Spuren gesichert, die sogleich ausgewer- tet und interpretiert werden, da sie entweder selbst flüchtig sind oder auf weitere flüchtige Daten verweisen. Sollte eine Straftat nach § 303a Strafgesetzbuch (StGB) - Datenveränderung oder § 303b StGB - Computersabotage gerade geschehen oder ist sie vor kurzer Zeit geschehen, ist die Sicherung von flüchtigen Daten ein funda- mentaler Ermittlungsschritt. Auf die Life-Analyse soll hier nicht weiter eingegangen werden. Diese Arbeit kon- zentriert sich auf die Datenerhebung der Secure-Phase für eine Offline-Analyse. 1.4 Write-Blocker Für eine forensische Datenduplizierung ist es wichtig sicherzustellen, dass weder Personen noch Anwendungen die Originaldateien verändern. Um eine solche Ver- änderung zu verhindern, müssen alle schreibenden Zugriffe unterbunden werden. Dieses erfolgt durch sogenannte Write-Blocker. Es gibt zwei Varianten von Write- Blockern. Hardware-Writeblocker, welche sicher und kostenintensiver sind sowie Software-Writeblocker, welche Schreibbefehle des Treibers abfangen. Bei einem Hardware-Writeblocker handelt es sich, wie der Name bereits vermu- ten lässt, um ein Gerät, welches die Kommunikation zwischen dem Computer und dem zu untersuchendem Medium kontrolliert und überwacht. Alle Zugriffe, egal ob Lese- oder Schreibzugriffe, werden durch den Hardware-Writeblocker überprüft und abgefangen. Handelt es sich um einen Schreibzugriff, so wird dieser blockiert und somit nicht an das Speichermedium weitergegeben. Handelt es sich um einen lesen- den Zugriff, so wird dieser an das Speichermedium weitergegeben. Dadurch wird ein Schreiben auf dem Speichermedium verhindert und die Daten sind somit weiterhin 6 Kapitel 1. Vorüberlegungen im Originalzustand vorhanden. Hardware-Writeblocker werden von vielen handels- üblichen Schnittstellen (z. B. SATA, USB) unterstützt. Bei einem Software-Writeblocker muss eine Anpassung des für die Analyse genutz- ten Computers erfolgen. Dieses kann durch unterschiedliche Wege erfolgen. Zum einen gibt es Programme (z. B. USB Write Blocker for ALL Windows, für Win- dows Betriebssysteme), welche bestimmte Einträge in der Windows-Registry ver- ändern und hierdurch einen Schreibschutz hervorrufen. Diese Anpassung kann man auch entsprechend manuell durchführen, solche Programme vereinfachen diese An- passung jedoch. Zum Zweiten gibt es auch die Möglichkeit, bestimmte Treiber des Systems durch spezielle angepasste Treiber zu ersetzen. Hierdurch wird nicht nur ein Schreibschutz gesetzt, sondern aktiv in die Kommunikation zwischen Computer und Speichermedium eingegriffen (z. B. das Tool EnCase, welches diese Möglichkeit unterstützt). Eine dritte Methode ist die Manipulation des BIOS. Im BIOS wird der Interrupt-Befehl INT13h verändert, welcher unter anderem für die Steuerung der Schreibzugriffe auf die Festplatte zuständig ist. 1.5 Software Neben den verbreiteten großen Softwarelösungen zur Imageerstellung, gibt es eine Vielzahl kleiner Open Source Programmen. Beispielsweise das in Linux integrierte dd oder