Forensiksoftware: Bugs führen zu Blindheit

Allgemein

Private Festplatten beschlagnahmen und auf verbotene Inhalte untersuchen? Nicht einmal das können’se…

Auf der Defcon (Hacker-, bzw. im aktuellen US-Sprachgebrauch Wissenschafts-Konferenz) hielten ISEC Partners einen anscheinend recht unterhaltsamen Vortrag über Sicherheitslücken und Programmfehler in forensischer Software. Eins der aktuell meistverwendeten polizeilichen Schnüffelprogramme ist EnCase, welches bei genauerer Betrachtung eine erstaunliche Menge an Fehler aufweist. Muss man dazusagen, dass diese Fehler bestens geeignet sind, um Daten auf der Festplatte zu verstecken, so dass sie nur vom Besitzer der Festplatte gelesen werden könne, nicht aber von Ermittlern? Die Sicherheits-Forscher-Hacker berichteten von manuell veränderten Master Boot Records unter Linux, die nach einem eingefügten Directory Loop alle folgenden Daten für EnCase unsichtbar machen. Leere Verzeichnisbäume mit eintausend Unterverzeichnissen sind geeignet EnCase abstürzen zu lassen. Verstecken von Daten ist leicht, weil EnCase nur 25 Partitionen sieht, danach ist wieder alles dunkel. Und Prüfroutinen in der EnCase Enterprise (ECE) Edition lassen sich dadurch übertölpeln, dass man den Schlüssel auf einen anderen Rechner kopiert. Einfach so.

Auch wenn manche dieser Bugs sicher irgendwann gefixt werden, muss man trotzdem sagen: Lieber Herr Kriminalkommissar, das mit der Forensiksoftware könnne’se komplett vergessen. Alles, was Sie finden werden, ist privater Müll. MP3-Songs, für deren Existenz der Festplattenbesitzer keine Erklärung hat. Oder so. Aber nichts wirklich kriminelles, die wirklich bösen Buben sind Ihnen nämlich immer einen Schritt voraus. [fe]

Inquirer UK