Rekonstruktion von Daten aus Netzwerkdumps - Evaluierung von Problemen am Beispiel von Xplico

Bachelor Studiengang IT Security

Lukas Gschossmann, BSc
19.09.2014

Ausgangslage

In Anbetracht der immer mehr werdenden digitalen Kommunikation über das Internet, begünstigt durch das Web 2.0 und soziale Medien, steigt auch die Bedrohung durch kriminelle Handlungen. Dabei entstehen viele Daten, seien sie statisch auf Festplatten und anderen Speichermedien abgelegt oder flüchtig in Form von Netzwerkpaketen. Diese Daten können für die gerichtliche Verfolgung eines Verdächtigen von großem Nutzen sein. Um möglichst viele Daten auswerten zu können, werden auch Netzwerkpakete aufgezeichnet. Doch gerade diese Menge an Daten macht eine Auswertung zunehmend schwieriger. Da eine manuelle Auswertung nur mit sehr hohem Zeitaufwand möglich ist, wird versucht gewisse Automatismen zu etablieren. Mit Daten von statischen Speichern ist dies schon länger erprobt, bei der Rekonstruktion von Applikationsdaten aus Netzwerkdatenströmen gibt es jedoch noch Probleme. Dies liegt unter anderem an der Vielzahl der verwendeten Protokolle.

Ziel

Es gibt diverse forensische Analysetools um Netzwerkverkehr zu rekonstruieren. Manchen fehlt es dabei jedoch an den notwendigen Automatismen, um die menschlichen Zwischenschritte zu minimieren. Mit diesen Tools ist es schwer möglich die anfallenden Datenmengen zu bewältigen. Zu diesem Zweck wurde das Open Source Projekt Xplico ins Leben gerufen, welches versucht aus kompletten Netzwerkmitschnitten die unterschiedlichsten Applikationsdaten zu rekonstruieren. Dabei werden für die verschiedensten Protokolle unterschiedliche Prozentangaben zu deren Unterstützungsgrad angegeben. Das Ziel dieser Arbeit ist es, diese Prozentangaben genauer zu begründen, bzw. allgemeine Probleme bei der Rekonstruktion von Applikationsdaten aufzudecken.

Ergebnis

Obwohl es sich bei Xplico um ein junges Open Source Projekt handelt, werden schon viele Protokolle zu einem sehr hohen Grad unterstützt.
Ein großes Problem bei der Protokollrekonstruktion stellt die Verschlüsselung der Daten dar, denn diese macht es so gut wie unmöglich die Applikationsdaten zeitnah zu rekonstruieren. Manche Protokolle werden noch nicht sehr gut unterstützt, was an der fehlerhaften Implementierung des Protokolldissectors liegt, jedoch ist eine Rekonstruktion prinzipiell möglich. Andere Probleme sind auf verschiedene Caching Mechanismen zurückzuführen, bzw. sind manche Protokolle proprietär und müssten daher erst genauer untersucht werden.

Ausblick

Bei Xplico handelt es sich um ein vielversprechendes Projekt, welches einen großen Beitrag zur forensischen Analyse leisten kann. Das größte Problem ist aber die verwendete Verschlüsselung, welche in letzter Zeit stark zugenommen hat.

FH-Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser