Linux Forensik – Unterschiede zu Windows und Besonderheiten

Fachbeitrag

Linux wird vielfältig auf Arbeitsplatzrechner, Servern oder Multimedia-Endgeräten eingesetzt. Dabei ist es genauso anfällig für Cyberangriffe wie Windows und kann dementsprechend auch untersucht werden. Die Vorgehensweise unterscheiden sich dabei aber merklich voneinander. Wie genau man bei einer Linux-Analyse vorgeht und was alles zu beachten ist, verrät dieser Beitrag.

Was ist Linux?

Linux ist ein Betriebssystem. Im Unterschied zu einem Windows-System ist es in der Regel kostenlos und der Quellcode ist frei zugänglich. So ist die Möglichkeit gegeben, es frei zu konfigurieren. Dies bietet die Gefahr von Fehlkonfigurationen und damit verbundenen Angriffen. Dennoch gilt Linux als sehr stabil.

Linux basiert auf dem Linux-Kernel mit einer freien GNU-Software. Durch die freie Weiterentwicklungsmöglichkeit gibt es mehrere verschiedene Linux-Varianten, so unter anderem Ubuntu, Mint oder Debian, wie auch das in forensischen Kreisen bekannte Kali Linux. Die Versionen sind jeweils in 32 Bit und 64 Bit erhältlich.

Die Befehlszeile spielt bei Linux eine merkliche Rolle, denn Benutzer können darüber uneingeschränkt auf den PC zugreifen und werden bei der Arbeit mit Linux damit definitiv in Kontakt kommen.

Besonderheiten und Unterschiede zu Windows

Während Windows unterschiedliche Modelle zu unterschiedlichen Preisen anbietet, sind die meisten Linux-Versionen kostenlos. Dies lässt zwar sehr viel Spielraum für den Nutzer, bedarf aber auch einer bestimmten Erfahrung. Windows ist eher darauf ausgelegt, möglichst einfach und ohne IT-Kenntnisse nutzbar zu sein, wobei Linux auch durch die bereits vorgestellte Nutzung der Kommandozeile sehr komplex wirkt und somit als nicht sehr anwenderfreundlich verrufen ist.

Der wohl größte Unterschied zwischen Linux- und Windows-Systemen ist der unterschiedliche Umgang mit dem Dateisystem und den Benutzeraccounts. In Linux wird alles als „Datei“ angesehen und während bei Windows mehrere Accounts mit Administratorrechten vorhanden sein können, gibt es bei Linux nur einen solchen Nutzer mit dem Namen „Root“. Allerdings gibt es ein ähnliches Konzept, womit einem Nutzer administrative Rechte vergeben werden können.

Relevante Dateien für die IT-Forensik

Durch diese Anhaltspunkte entstehen auch vor allem bei einer IT-forensischen Analyse von Linux merkliche Unterschiede. Dank der vielen Konfigurationsmöglichkeiten bei Linux gibt es keinen einheitlichen Ansatz der Untersuchung. Es kommt im Einzelfall darauf an, wie das Betriebssystem konfiguriert ist.

Dadurch, dass in Linux alles als Datei angesehen wird, ist der Vorgang gegenüber den üblichen Windows-Artefakten wie Dateiöffnungen oder Registry Keys grundlegend anders. Relevante Dateien können unter anderem Folgende sein:

  • /etc/passwd
  • /etc/shadow
  • /etc/hosts
  • /etc/sysconfig
  • /etc/syslog.conf
  • /var/log/journal

Anders als der Name /passwd andeuten lässt, befinden sich dort heute keine Passwörter mehr. In dieser Datei befinden sich alle Informationen über das Benutzerkonto wie der Login-Name, die UID (Eindeutige Nummer zur Identifikation des Nutzers) und weitere Informationen.

Die Passwörter befinden sich heutzutage verschlüsselt unter /shadow in Form von sogenannten Hash-Codes. /hosts stellt lokale DNS-Einträge bereit und /sysconfig hat noch weitere Unterverzeichnisse zu verschiedenen Konfigurationseinstellungen des Systems. /Syslog.conf stellt das Äquivalent zu den System-Eventlogs unter Windows dar und weitere Logs befinden sich unter /journal.

Diese Dateien können bei Angriffen erste zu untersuchende Anhaltspunkte sein. Systemspezifisch und fallspezifisch kommen noch weitere andere Dateien hinzu, die meist manuell oder mithilfe von Filtern ausgelesen werden.

Vorgehen bei einer IT-forensischen Analyse eines Linux-Systems

Für die IT-forensische Analyse unter Linux gibt es nicht so viele Informationen zur Vorgehensweise und Handhabung, wie es bei Windows der Fall ist. Daher möchten wir einige grundlegende Punkte zusammenfassen, wie das Vorgehen aussehen sollte:

Während bei einer IT-forensischen Sicherung in Windows Schreibblocker ein absolutes Muss sind, bietet Linux die Möglichkeit, manuell auszuwählen, ob eine Partition im „read-only“-Modus gemountet werden soll. Eine Möglichkeit, um eine Kopie auf Bit-Level zu erstellen, ist dd. Ein mit dd erstelltes Image lässt sich als Loop-Device mit dem Befehl mount einbinden.

Nach dem Mounten können erste grundlegende Fragen über das System mit folgenden Dateien beantwortet werden:

  • etc/hostname, für den Namen des Rechners
  • etc/timezone, für die Zeitzone und das aktuelle Datum so wie die Uhrzeit
  • etc/os-release, für Informationen zum aktuellen Betriebssystem

Je nach Fall kann dann weiter nach Benutzeraktivitäten, Persistenzmechanismen, Prozessausführung und Logfiles gesucht werden, um diese zu analysieren und auf mögliche Spuren zu untersuchen.

Linux Forensik: Schwieriger, aber nicht unmöglich

Neben den allgemein einzuhaltenden forensischen Prinzipien, die bei jeder Untersuchung gelten, unterscheidet sich die IT-forensische Analyse eines Linux-Systems grundlegend von der eines Windows-Systems. Durch die hohe Individualität von Linux gibt es keine strukturierten Abläufe. Verstärkt wird dieser Effekt zusätzlich durch den unterschiedlichen Umgang mit dem Dateisystem. Statt auf Artefakte wie bei Windows, trifft man bei Linux auf die verschiedensten Konfigurationsdateien, welche auszulesen sind. Dennoch ist es mit genügend Erfahrung problemlos möglich, auch ein Linux-System nach einem IT-Angriff zu analysieren.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

2 Kommentare zu diesem Beitrag

  1. Wer ist die Zielgruppe für diesen Artikel? Das meiste, was hier steht ist leider auch noch falsch. Die Forensik fängt eher nicht dabei an, die Konfigurationsdatei /etc/syslog.conf anzusehen, sondern im Pfad /var/log/ Nun ja.

    • Die Zielgruppe für den Artikel sind sowohl Datenschützer als auch Personen, die generelles Interesse an der IT-Forensik haben. Sofern Verbesserungsvorschläge vorliegen, nehmen wir diese gerne an, um unseren Artikel inhaltlich anzupassen. Da eine IT-forensische Analyse in den seltensten Fällen genauso abläuft wie vorherige Analysen, dienen die hier genannten Artefakte lediglich der Orientierung. Es wurde keine finale Aussage dazu getroffen, wie der Startpunkt einer IT-forensischen Untersuchung auszusehen hat, dies ist auch nicht die Kernaussage des Beitrages.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.