Linux Desktop Forensik – Analyse des Userspace und Sammlung von Tools

Bachelor-Studiengang IT Security

Daniel Spangl, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Die Notwendigkeit der forensischen Untersuchung von Computersystemen wird aufgrund steigender Internetkriminalität und zunehmender Informationslecks in Unternehmen stetig steigen. Die Analyse von Windows-Systemen im Desktopbereich ist bedingt durch deren Marktstellung bereits sehr weit fortgeschritten. Die Erforschung von Linux-Systemen weist im Vergleich zu Windows noch einige deutliche Lücken auf. Dies gilt auch für grundlegende Aspekte wie der Untersuchung der Benutzerdaten oder die verfügbaren Tools. Durch den Open-Source-Gedanken von Linux stehen prinzipiell sehr viele Informationen im Internet frei zur Verfügung. Die Anwendung dieser Informationen auf forensische Untersuchungen ist jedoch mit viel Rechercheaufwand verbunden.

Ziel

Ziel dieser Arbeit ist es, Personen, welche noch kaum Erfahrung mit der Untersuchung von Linux-Systemen haben, einen einfachen Einstieg in die Forensik zu ermöglichen. Diese Personen sollen beispielsweise durch die Aufbereitung von Artefakten, den Fundstellen im Dateisystem eines üblichen Linux-Desktop-Systems, unterstützt werden. Dabei wird ein besonderer Fokus auf Artefakte in den Benutzerdaten gelegt. Zusätzlich werden die potentiellen schreibbaren Bereiche für normale BenutzerInnen im Dateisystem untersucht. Für eine ausführliche Untersuchung eines Computersystems sind über den gesamten Prozess Werkzeuge zur Unterstützung notwendig. Zu diesem Zweck soll speziell für Linux-Systeme ein Überblick über die verfügbaren Open-Source-Tools geschaffen werden.

Ergebnis

Relevante Artefakte im Dateisystem wurden kategorisiert und beschrieben. Dies umfasst sowohl allgemeine Daten, wie zum Beispiel typische Konfigurationspfade, als auch konkrete Angaben zu Dateien, welche z. B. den Browserverlauf des Standard-Webbrowsers verwalten. Es wurden darüber hinaus über 80 Open-Source-Tools erhoben, kategorisiert, auf Aktualität geprüft und im Detail beschrieben. Die Ergebnisse wurden in einer übersichtlichen Liste aller Tools, einer Kurzbeschreibung je Tool und der Erläuterung der wichtigsten allgemeinen Funktionen festgehalten.

Ausblick

Bei der Zusammenstellung der Liste wurden zahlreiche Tools mit ähnlicher Funktionalität gefunden. Diese Werkzeuge könnten in weiteren Arbeiten einer genauen Untersuchung unterzogen werden, um dabei die Unterschiede bzw. deren Eignung für die forensische Untersuchung aktueller Systeme zu ermitteln. Die Recherche könnte darüber hinaus auf kommerzielle Tools erweitert und ein Vergleich mit den bereits erhobenen kostenlosen Open-Source-Tools angestellt werden.