Um in einem Netz Aktivitäten zu überwachen und zu analysieren, bedient man sich ID-Systemen. Mit diesen Systemen werden Angriffsmuster erkannt und Aktivitätsmuster analysiert. Damit ist man in der Lage, direkt auf entdeckte Bedrohungen zu reagieren.
IDS (Intrusion Detection Systeme) sammeln alle Informationen der Ereignisse. Die Daten werden tagsüber gesammelt, gespeichert und außerhalb der üblichen Arbeitszeiten, meist nachts, weitergeleitet und analysiert. Viele der früheren hostbasierten IDS funktionieren nach diesem Ansatz, um die Leistung der Rechner nicht durch zusätzlich Analysen zu beeinträchtigen.
Ziel sind die Reparatur entstandener Schäden und die genaue Analyse eines Angriffs zum Aufbau eines vertieften Verständnisses der Vorgehensweise, denn das Verstehen der Angriffe erleichtert deren Entdeckung in der Zukunft. Der Vorteil dieser Systeme besteht darin, dass die Leistung der beobachteten Hosts, während des Arbeitstages nicht beeinträchtigt wird, da die Auswertung der Auditdaten in einem Batchprozess erfolgt.
Die Verarbeitung der Daten über Nacht ermöglicht genauere und komplexere Analysen. Außerdem ermöglichen sie Datenwiederherstellung und Analysen, die exakte Rückschlüsse auf sicherheitskritische Situationen zulassen. Somit können Funktionsweise und Attacken verstanden und mit Hilfe der Ereignisse die Wahrscheinlichkeit eines Erfolges zukünftiger Angriffe reduziert werden. Die nur gering verzögerte Auswertung der Daten verhindert jedoch ein zentrales Eingreifen. IDS (Intrusion Detection Systeme) können nicht unmittelbar auf Eingriffe reagieren und Schäden verhindern. Deshalb ist im Nachhinein lediglich die Begrenzung eines Schadausmaßes möglich.
Intrusion Detection Systems Tools
weitere IDS Tools
Mitunter sehen einige Mitmenschen die Computer Forensik als eine modernere Form der schwarzen Magie, die vermeintlich vernichtete Daten wiederherstellt und entschlüsselt.
Die darin enthaltenen Informationen, von denen man nichts wusste und nicht angenommen hat, dass sie exsitieren. Selbst gebrauchte Endgeräte wie Kopierer geben geheime Dokumente preis. Doch so erstaunlich diese Ergebnisse auch aussehen mögen, kann der beste Forensiker keine Daten wie von Zauberhand wiederherstellen, die physikalisch nicht mehr vorhanden sind.
Und noch ein Hinweis: Computer Forensik erfordert nicht nur Grundkenntnisse, vielmehr hinreichende Systemkenntnisse und man sollte deshalb schon ganz genau wissen, was man tut. Ein paar vertauschte Parameter und schon werden einige der hier aufgeführten Tools und Werkzeuge schnell zu "Anti-Forensik-Tools". Nicht zuletzt müssen bei einer Analyse natürlich immer auch Datenschutzaspekte und Persönlichkeitsrechte berücksichtigt werden.
In dieser Übersicht finden Sie die in den aktuellen Versionen und wichtigsten Anwendungen zusammengefasst dargestellt.
Mitunter sehen einige Mitmenschen die Computer Forensik als eine modernere Form der schwarzen Magie, die vermeintlich vernichtete Daten wiederherstellt und entschlüsselt.
Linux unterstützt schon von Haus aus eine sehr große Zahl von Dateisystemen. Der Einsatz von Loopback Devices, das Um- und Weiterleiten von Standard Input und Output sowie die Möglichkeit, Prozesse und Kommandos zu überwachen und zu protokollieren, sind weitere Pluspunkte.
Da die nach einem IT-Sicherheitsvorfall zu untersuchenden Systeme sowie deren Betriebssysteme in der Regel nicht mehr vertrauenswürdig sind - Systemkomponenten könnten ausgetauscht oder manipuliert worden sein -, sollten diese nicht für eine forensische Untersuchung benutzt werden. Linux kann auch in diesem Bereich glänzen, da es relativ einfach möglich ist, bootfähige Medien mit integrierten, statisch gelinkten Tool-Sets zu erstellen. Viele Tools beinhalten Datenrettung und Datenanalysetools.
Eine Übersicht über alle derzeit öffentlich verfügbaren Linux-Live-CDs werden hier dargestellt.
Neben den Geheimdiensten und Strafverfolgungsbehörden, die normalerweise ihre eigene Forensik betreiben, haben vor allem Datenrettungsunternehmen die Computer-Forensik für sich entdeckt und lassen sich dabei nicht so gerne in die Karten schauen. Auf dem internationalen Markt gibt es einige renommierte kommerzielle Hard- und/oder Softwarepakete wie Encase, SafeBack oder SMART, die oft auch im Bereich der Strafverfolgung zum Einsatz kommen.
Ein vielfältiges Forensik Hardwareangebot steht für die Vor-Ort Beweissicherung über Suche, Analyse und Auswertungen bis zur Erstellung gerichtsverwertbarer Gutachten zur Verfügung.