Post Mortem Analysen mit OpenSource Software.

Forensische Analysen mit freien OpenSource Programmen sind seit Dan Farmers und Wietse Venemas ersten und einzigen Forensik-Kurs und der darauf folgenden Veroffentlichung des Coroner’s Toolkits [1] im Jahr 1999 kein unbekannter Faktor mehr. Allerdings mussten sich die OpenSource-Losung von jeher den Vorwurf gefallen lassen, im Gegensatz zu ihrer kommerziellen Konkurrenz umstandlich bedienbar und nur fur Freunde der Kommandozeile anwendbar zu sein. Mit Brian Carriers Autopsy [2]/Sleuth Kit [3] Programmkombination soll diese Lucke geschlossen werden. Dieser Beitrag befasst sich mit dem professionellen Einsatz dieser Programme bei forensischen Laboranalysen und den neuen Moglichkeiten, die mit der grafischen Oberflache Autopsy verbunden sind. 1 Einsatz von OpenSource Software in der Vergangenheit Nachdem Systemadministratoren jahrelang mit Hilfe von Systemtools und selbstgeschriebenen Programmen Einbruche in Computersysteme analysiert hatten, stellten Dan Farmer und Wietse Venema im August 1999 zum ersten Mal ein einheitliches Toolset zur Analyse von kompromittierten Systemen vor. Dieses Toolset wurde unter dem Namen „The Coroner’s Toolkit“ (TCT) bekannt. Das TCT stellt dem forensischen Experten Programme zur Beweissicherung und zur spateren Laboranalyse zur Verfugung. Im Lauf der folgende Jahre wurde das TCT zu einem Quasi-Standard, wenn fur eine forensische Analyse OpenSource Software herangezogen wurde. Das Coroner’s Toolkit wurde nach-und-nach durch Zusatzprogramme erweitert. Brian Carrier implementierte seine „tctutils“ [4], eine Reihe von Zusatzprogrammen die das TCT um die Moglichkeit erganzte, Analysen auch auf Dateinamen-Ebene durchzufuhren. Ebenso erschuf Carrier mit „Autopsy“ ein webbasiertes Frontend fur die Kommandozeilen-Programme. Etwa zeitgleich portierte Knut Eckstein des TCT fur HP-UX 10.20 und 11.00 [5]. Bei der Analyse mehrerer kompromittierter Systeme erwies sich TCT dahingehend als problematisch, dass pro analysiertem Betriebssystem eine eigene Version des TCT auf dem identischen Betriebssystem benotigt wurde. Carrier kombinierte TCT und tctutils mit einigen neuen Features und stellte damit „The @stake Sleuth Kit“ (TASK) zur Verfugung. TASK erlaubt dem forensischen Experten die plattformunabhangig Analyse