Forensische Software kann durch Bugs getäuscht werden - Kroll Ontrak: "Einsatz verschiedener Tools notwendig" In einem Vortrag auf der Hackerkonferenz Defcon erläuterten Chris Palmer und Alex Stamos, Softwareexperten bei iSEC Partners http://www.isecpartners.com, die wenig schmeichelhaften Ergebnisse ihrer Untersuchungen von forensischer Software. Im Kern der Ausführungen stand EnCase, eines der aktuell meist verwendeten polizeilichen Programme zur digitalen Beweissicherung. Die Experten nahmen das Programm unter die Lupe und deckten eine Reihe von Fehlern auf.
Pressemitteilungen international in 15 Sprachen für 22 Länder kostenlos einstellen
Pressemitteilungen Kleinanzeigen
Google-Suche:


Passwort vergessen?
 

Forensische Software kann durch Bugs getäuscht werden

2007/08/14 08:43

Pressemeldung von:
Andreas List
Kroll Ontrak: "Einsatz verschiedener
Tools notwendig"

In einem Vortrag auf der Hackerkonferenz Defcon erläuterten Chris Palmer und Alex Stamos, Softwareexperten bei iSEC Partners http://www.isecpartners.com, die wenig schmeichelhaften Ergebnisse ihrer Untersuchungen von forensischer Software. Im Kern der Ausführungen stand EnCase, eines der aktuell meist verwendeten polizeilichen Programme zur digitalen Beweissicherung. Die Experten nahmen das Programm unter die Lupe und deckten eine Reihe von Fehlern auf. Durch diese sei es möglich, Files auf Datenträgern zu
Forensische Software kann durch Bugs getäuscht werden
Experten setzen verschiedene Tools parallel ein (Foto: ontrack.at)
verstecken, hieß es in ihrem Vortrag.

"Forensische Programme sind Tools, die zuerst eine 1:1-Spiegelung des Datenträgers anfertigen. Dabei werden alle Daten gesichert, auch gelöschte Files und Fragmente", erklärt Reinhold Kern, Abteilungsleiter Forensik beim Datenrettungsspezialisten Kroll Ontrack http://www.ontrack.at , im Gespräch mit pressetext. Die Untersuchung der klar vorliegenden Dateien ist dabei keine Herausforderung. Viel wichtiger ist die Interpretation der Daten, die nur mehr in Bruchstücken vorliegen. "Diese Interpretation ist in der Forensik das Essenzielle. Das ist die Expertenaufgabe", streicht Kern hervor.

Die US-Experten berichten von manuell veränderten Master Boot Records unter Linux. Damit kann man durch einen eingefügten Directory Loop alle folgenden Daten für EnCase unsichtbar machen. Zum Absturz bringen Hacker EnCase durch leere Verzeichnisbäume mit tausend Unterverzeichnissen. Zudem sei das Programm überfordert, sobald sich mehr als 25 Partitionen auf dem Datenträger befinden. Ab der 26. Partition erkenne EnCase die Daten nicht mehr, so die Vortragenden.

"Keine Software ist zu 100 Prozent perfekt", meint Kern. Ausnahmen gäbe es sicher und durch den ein oder anderen Fehler könne die Forensiksoftware natürlich überlistet werden. "Deshalb besitzt ein Forensikexperte auch einen Paket von Werkzeugen und Tools, mit denen die Daten durchsucht werden. Liegen keine eindeutigen Beweise vor, so setzen wir verschiedene Programme ein, um unsere Ergebnisse zu prüfen. Es ist ein Risiko, sich auf ein Programm allein zu verlassen", sagt Kern. Zudem werden die Untersuchungen exakt protokolliert, um die Ergebnisse nachvollziehbar zu machen.



Kontakt zum Autor des Artikels:
 

zurück zur Kategorieseite: Computer / Software
Dieser Artikel wurde 417 Mal gelesen


 
 
Presseartikel nach Autoren
A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z