Antiforensik

Bedrohungen erkennen und Gegenmaßnahmen ergreifen

Herausforderung IT-Forensik

IT-Forensik bedient sich komplexer Techniken, um oft enorm umfangreiche Datenbestände auf häufig viele Sachverhalte zu untersuchen. Dabei dürfen keine wichtigen Daten übersehen und aus technischer Sicht keine falschen Schlüsse gezogen werden. Besonders dramatisch wäre die Fehlinterpretation eines digitalen Artefaktes, die letztlich zu einer belastenden (falsch-positiven) Einschätzung eines zu untersuchenden Sachverhaltes führt. Aber auch, das "Übersehen" von Daten und technischen Zusammenhängen (falsch-negativ) muss soweit möglich auszuschließen sein. Dies allein stellt IT-Forensiker und deren (digitalen) Werkzeuge vor hohe Herausforderungen.

Antiforensik

Täter versuchen bisweilen, Spuren zu vermeiden, zu verwischen, falsche Fährten zu legen oder auf andere Weise die Ermittlungsarbeit zu behindern oder gar zu verunmöglichen.

Durch Maßnahmen der Antiforensik (auch Anti-Forensic, counter forensics) können Auswerteprogramme sabotiert und zum Absturz gebracht werden, sowie Ergebnisse verfälscht und unterdrückt werden. Im Extremfall kann eine Auswertung so unmöglich gemacht werden. Aber auch Maßnahmen der Datenvermeidung und Datenverschleierung / Datenvernichtung kommen zum Einsatz. Solche Maßnahmen können vom IT-Forensiker unbemerkt bleiben und sind im schlimmsten Fall sogar unbemerkbar.

Was ist Antiforensik?

Jeder Kompromittierungsversuch zur Reduktion der Verfügbarkeit oder Nützlichkeit von Beweisen für den IT-forensischen Auswerteprozess (angelehnt an die Definition von Ryan Harris)

Für Ermittler und IT-Forensiker ist es daher unabdingbar, zu verstehen, welche Maßnahmen der Antiforensik es gibt, und wie darauf bestmöglich zu reagieren ist, um wann immer möglich aus digitalen Datenspuren die richtigen Schlüsse zu ziehen.

"Self-Antiforensik"

Weitere Bedeutung gewinnt dieses Spannungsfeld durch allgemeine Anforderungen an die Robustheit und Resilienz digitaler Werkzeuge. Treten Situationen auf, bei denen IT-Forensiksoftware nicht erst an eigens hierfür präparierten Daten scheitert, sondern schon bei gewöhnlich auftretenden Falldaten, bei liegt die Bezeichnung "Self-Antiforensik" nahe.

Pseudonymisierte Beispiele:

  • Produkt A: ~30% der Firefox-History (SQLite-Datenbank!) wurden kommentarlos übersehen
  • Produkt B: „Fehler 42 in Komponente XY bei Auswertung MFT. OK klicken für Weitermachen“ → großer Teil der Dateien wurde nicht angezeigt, unter anderem die Outlook-.PST mit entlastenden Spuren!
  • Produkt C (Live-Forensik-Tool): Reproduzierbarer Absturz bei Sicherung des DNS-Cache, weitere Auswertung nicht möglich

Was wir tun

Um die Zuverlässigkeit von digitalen Werkzeugen der IT-Forensik und um Prozesse sowie Arbeitsweisen der IT-Forensik zu verbessern, engagiert sich das DigiTrace-Team in diesem Forschungsfeld

Z.B. betreute DigiTrace die Forschungsarbeit STARFiSH (Structured Testing Approach for Resilience of Forensic Soft- and Hardware).

Veröffentlichungen und Vorträge

Zu diesem Themenkomplex veröffentlichen wir regelmäßig Fachartikel (z.B. "Defensivkraft - Anti-Forensik: Angriffswege und Gegenmaßnahmen" in "iX - Magazin für professionelle Informationstechnik, Sonderheft Kompakt Security, 2014/4) und halten Vorträge, wie Ende 2011 in Berlin:

 https://www.youtube.com/watch?v=4ZuSkHj2Ymk

Ihr Ansprechpartner

wundram

Martin Wundram
Tel.: 0221-6 77 86 95-2
E-Mail: wundram@digitrace.de