Nach einem langen Tag lassen Sie sich auf dem Sofa nieder und schalten Ihre Lieblings-Krimiserie ein.
Diese unermüdlichen Detektive haben mal wieder einen neuen Fall. Dieses Mal sind die Verbrecher digital vorgegangen: sie haben einen Regierungscomputer gehackt und geheime Militärpläne gestohlen.
Während Sie gebannt bei Ihrem Popcorn zusehen, können Sie sich der Faszination der digitalen Forensik Expertin in der Sendung nicht entziehen.
Sie betritt das Büro, zieht ihren Computer heraus, verbindet ihn mit der gehackten Maschine. Dann startet sie eine Reihe komplex aussehender Programme und versucht, sie den verwirrten Detektiven zu erklären.
Schon bald ist der Hacker gefasst. Es stellt sich heraus, dass er einige bytes Beweise hinterlassen hat, die ohne diese digitalen Forensik-Software nie gefunden worden wären.
Nun, Sie sind kein Ermittler in Sachen Cyberkriminalität, aber Sie sind neugierig auf diese Programme. Sie können nicht anders, als zu denken, dass es interessant wäre, sich selbst an der digitalen Forensik zu versuchen.
Glücklicherweise benötigen Sie keinen Abschluss, fortgeschrittene Ausbildung oder auch nur ein wenig Geld, um zu beginnen.
Alles, was Sie brauchen, ist ein anständiger Computer, ein bisschen Zeit und die SIFT Workstation.
Die SIFT Workstation ist ein Satz von kostenlosen Tools, die es mit denen von professionellen forensischen Analysten aufnehmen können.
Hier erfahren Sie, was Sie von der SIFT Workstation erwarten können und wie Sie damit beginnen.
Was ist die SIFT Workstation?
Die SIFT Workstation wurde von Rob Lee vom SysAdmin, Audit, Network und Security Institute (SANS) erstellt. SIFT steht für SANS Investigative Forensic Toolkit.
Lee entwickelte SIFT, um zu demonstrieren, dass freie und Open-Source-Software genauso gut oder sogar besser als ihre kostenpflichtigen, Closed-Source-Pendants sein kann.
Darüber hinaus wollte er beweisen, dass diese Aussage auch für Programme der digitalen Forensik gilt — arguably die wichtigste Software, die es gibt.
Digitale Forensik beinhaltet die detaillierte Analyse von Festplatten, RAM und anderen Computerkomponenten. Sie kann zur Wiederherstellung gelöschter Daten, zur Nachverfolgung von Netzwerkaktivitäten und zur Erstellung von Zeitabläufen von Cyberverbrechen genutzt werden.
Strafverfolgungsbehörden setzen digitale Forensik in ihren Ermittlungen ein.
Auch private Unternehmen beschäftigen Cybersicherheitsexperten, um interne Dienstleistungen im Bereich der digitalen Forensik zu erbringen.
Und natürlich können unabhängige Berater im Bereich Cybersicherheit und Hobbyisten digitale Forensik-Software in ihrer Arbeit und Freizeit nutzen.
Als Lee SIFT entwickelte, hatte er all diese Benutzer im Hinterkopf. Kostenlose und Open-Source-Software kann von jedem genutzt werden und Lee wollte demonstrieren, dass sie von jedem genutzt werden sollte.
Und das wird sie auch. SIFT hat von zahlreichen Seiten, vom brasilianischen Staat bis hin zu JP Morgan Chase, glänzende Referenzen erhalten.
Manchmal als SIFT OS bezeichnet, ist die SIFT Workstation eigentlich eine Sammlung von Tools, die auf Linux laufen. Doch sie hat so viele Funktionen, dass man leicht denken könnte, es handele sich um ein vollständiges Betriebssystem – werfen wir einen Blick auf einige davon.
Welche Tools Hat Die SIFT Workstation Im Programm?
Netzwerkanalyse, Festplattenwiederherstellung, Malware-Deutung… nennen Sie es, SIFT hat wahrscheinlich ein Tool dafür.
Hunderte von Softwarepaketen sind in SIFT enthalten, daher können wir hier unmöglich alle im Detail aufzeigen. Aber wir werden einige der bemerkenswertesten vorstellen.
Wireshark
Wireshark ist ein Tool zur Netzwerküberwachung und Paketanalyse.
Daten werden über Netzwerke in Paketen gesendet – kleinen Teilen, die sich an ihrem Ziel zu einem Ganzen zusammenfügen. Die Analyse dieser Pakete kann Informationen über ihren Inhalt und ihre Sender preisgeben.
Wireshark kann vorhandene Pakete analysieren oder neue live erfassen. Es kann den gesamten Netzwerkverkehr überwachen, nicht nur den Verkehr, der auf den Computer gerichtet ist, auf dem Wireshark läuft.
Es ist ein wertvolles Werkzeug zur Erkennung von Netzwerk-Hacking-Versuchen, zum Erfassen von schädlichen Übertragungen oder zum Aufspüren unbekannten Verkehrs.
Autopsy und SleuthKit
Wenn ein Computer kompromittiert ist, kopiert ein digitaler Forensik-Experte als erstes die Festplattenabbildung an einen sicheren Ort.
Das Festplattenabbild ist ein vollständiges Spiegelbild der gesamten Festplatte. Durch das Kopieren stellt der Analyst sicher, dass die Untersuchung nicht durch beschädigte Daten oder zukünftige Hacking-Versuche behindert wird.
Ist es jedoch erfolgreich gesichert, muss das Festplattenabbild analysiert und, sollte der anfängliche Hack Angriff Daten beschädigt haben, rekonstruiert werden.
Hier kommt Autopsy ins Spiel. Es ist ein GUI-basiertes Programm, das viele Arten von Daten analysieren und sogar von beschädigten Laufwerken wiederherstellen kann.
Autopsy kann Historien, Cookies und Lesezeichen von Webbrowsern wiederherstellen. Es kann auch Metadaten von gelöschten Fotos abrufen und Ihnen erlauben, zuvor gelöschte Videos anzusehen.
Weitere Funktionen von Autopsy ermöglichen es Ihnen, das Laufwerk auf Anzeichen von Malware, Hacking oder unbefugter Nutzung zu analysieren. Sie können ein Schlüsselwort eingeben, um nach spezifischen Dateien zu suchen, und falls sie vorhanden sind, wird Autopsy diese wiederherstellen.
SIFT kommt auch mit SleuthKit, dem Befehlszeilen-Rückgrat von Autopsy. SleuthKit gibt Experten eine höhere Kontrolle über den Wiederherstellungsprozess, allerdings ohne grafische Benutzeroberfläche (GUI).
AfterGlow
AfterGlow ist ein Werkzeug zur Datenvisualisierung, das System-, Netzwerk- und Hack-Daten in Diagramme oder Grafiken zusammenstellen kann. Dies hilft Ihnen, Muster zu finden, Angriffe zurückzuverfolgen und mehr.
Volatility Framework
Daten werden nicht nur auf Festplatten gespeichert. Die zuletzt aktiv genutzten Daten werden im Arbeitsspeicher (RAM) gespeichert und könnten bei einer Untersuchung von unschätzbarem Wert sein.
Das Volatility Framework kann RAM-Proben analysieren und die darin enthaltenen Daten extrahieren. Wenn Ihr Computer gehackt wurde, kann das Volatility Framework Ihnen möglicherweise die letzten Aktionen des Hackers anzeigen.
Weitere in der SIFT Workstation enthaltene Tools
Honeyd ist ein “virtueller Honeypot”, der es Ihnen ermöglicht, mehrere virtuelle Hosts oder Server in einem einzigen Netzwerk einzurichten. Es kann verwendet werden, um Netzwerkangriffe zu simulieren und die Art und den Zeitpunkt eines vorherigen Hacks zu bestimmen.
Knocker ist ein TCP-Portscanner, der es Ihnen ermöglicht, die von verschiedenen Netzwerkgeräten genutzten Ports zu sehen. Durch deren Analyse können Sie die Art der Geräte und des auf Ihrem Netzwerk aufgetretenen Datenverkehrs bestimmen.
Rifiuti ist ein Dienstprogramm, das Dateien scannt und wiederherstellt, die aus dem Windows Papierkorb gelöscht wurden.
Aeskeyfind durchsucht Festplattenabbilder nach AES-Verschlüsselungs- und Entschlüsselungsschlüsseln. Falls Sie eine Datei entschlüsseln müssen und der Schlüssel lokal gespeichert ist, kann Aeskeyfind diesen finden.
Welche Dateisysteme und -typen unterstützt SIFT?
SIFT unterstützt Windows (FAT, MS-DOS, NTFS, VFAT), Mac (HFS), Linux (ext2/3) und Solaris (UFS) Dateisysteme.
Es unterstützt EWF, RAW, AFF, 001 und E01 Beweis-Dateitypen, sowie weitere, verbreitete wie ISO-Disk-Images.
Wie wird die SIFT Workstation verwendet?
Die SIFT Workstation kann auf drei Arten verwendet werden: Als virtuelle Maschine, auf Ubuntu 16.04 oder im Linux-Subsystem von Windows 10.
Die virtuelle Maschine erfordert eine Virtualisierungsumgebung wie VMWare oder VirtualBOX. Dies erlaubt Ihnen, ein “Sandbox”-Betriebssystem auszuführen, ohne Ihr reguläres Betriebssystem zu beeinflussen oder zu verändern.
SIFT kann auch direkt auf Ubuntu 16.04 installiert werden. Laden Sie das Kommandozeilen-Tool aus dem SIFT Github-Repository herunter und folgen Sie den Installationsanweisungen.
Wenn Sie die Windows 10 Creators Edition verwenden, können Sie SIFT im Linux-Subsystem Ihres Betriebssystems installieren. Befolgen Sie die Anweisungen von SIFT zur Installation des Linux-Subsystems über Windows Powershell und zur Einrichtung der SIFT Workstation.
Nach der Installation benötigen Sie einige Beweismaterialien zur Analyse. Wenn Sie eigene Festplattenabbilder haben, laden Sie diese hoch und beginnen Sie mit der Arbeit mithilfe des Tools Ihrer Wahl.
Wenn Sie jedoch Material benötigen, laden Sie einen Fall aus dem CFReDS-Projekt des National Institute of Standards and Technology herunter.
Diese reichen von einfachen Netzwerkverläufen und Bildwiederherstellungen bis hin zu komplexen Hacking-Simulationen. Wählen Sie eine aus, die Ihrem Können entspricht, und probieren Sie es aus!
Was ist, wenn SIFT für mich zu fortgeschritten ist?
SIFT ist ein fantastisches Werkzeug für die digitale Forensik, erfordert jedoch gewisse Vorkenntnisse, um sein volles Potenzial ausschöpfen zu können.
Wenn Sie sich nicht mit Terminalbefehlen und Github Repositories auskennen, gibt es zu vielen ihrer Verwendungen anfängerfreundlichere Alternativen.
Um Ihren Netzwerkverkehr zu analysieren, Geräte zu identifizieren und Datenpakete zu verfolgen, probieren Sie den Angry IP Scanner für Windows, Mac und Linux. Er ist ähnlich wie das Wireshark-Tool von SIFT, aber einfacher zu bedienen.
Wenn Sie gelöschte oder beschädigte Daten von einer Festplatte wiederherstellen müssen, probieren Sie Recuva für Windows, Disk Drill für macOS oder R-Linux für Linux. Diese kostenlosen Programme sind nicht so leistungsfähig wie die in SIFT, können aber in vielen Fällen dennoch Dateien wiederherstellen.
Und wenn Sie sich für Cybersicherheit interessieren, aber keine akuten digitalen forensischen Bedürfnisse haben, sollten Sie darüber nachdenken, ein VPN zu verwenden. Damit können Sie Ihren Webtraffic verschlüsseln, umleiten und anonymisieren.
Das schützt Sie vor Trackern und Überwachung und kann Ihnen sogar helfen, einer Erkennung durch einige von SIFT’s Netzwerkanalysetools zu entgehen!
AirVPN führt den Open-Source-Gedanken von SIFT fort und bietet erstklassige Verschlüsselung. ExpressVPN bietet Nutzern tausende hochsichere RAM-only Server weltweit.
Zusammenfassung: Die digitalen Forensik-Tools der SIFT Workstation gehören zu den leistungsstärksten weltweit. Sie werden von Regierungen, Unternehmen und Sicherheitsexperten für Datenwiederherstellung, Hack-Nachverfolgung und mehr vertraut.
