Sicherheitslücken in Forensik-Programmen

EnterpriseSicherheit

Eine Software, die Cyberkriminelle überführen soll, sollte eigentlich sicher sein. Sicherheitsforscher von Isec Partners haben jetzt Fehler und Schwachstellen in forensischen Anwendungen aufgedeckt.

Das kalifornische Sicherheitsunternehmen Isec Partners hat in den letzten sechs Monaten zwei Anwendungen für forensische Untersuchungen auf Computern nach möglichen Fehlern untersucht. In beiden Anwendungen, EnCase von Guidance Software und dem Open-Source-Projekt The Sleuth Kit, wurden insgesamt fast ein Dutzend Fehler gefunden, die den Rechner eines Ermittlers zum Absturz bringen können oder gar die Installation fremder Software ermöglichen.

Forscher untersuchen schon seit Jahren Forensik-Programme, aber meist unter dem Gesichtspunkt, dass diese von Kriminellen nicht überlistet werden können. Mit ihrem abweichenden Ansatz sind die Forscher rund um Alex Stamos, Mitbegründer von Isec Patners, zu dem Ergebnis gekommen, dass eine Software wie EnCase nicht so sicher ist, wie sie sein sollte.

Details zu den gefundenen Fehlern wollen die Forscher nächste Woche auf der Black-Hat-Konferenz in Las Vegas nennen. Es wird erwartet, dass die Fehler im Sleuth-Kit-Projekt vollständig aufgedeckt werden, da diese bereits von den Entwicklern behoben wurden. Informationen zu den Lücken in EnCase würden nur dann veröffentlicht werden, wenn Patches dafür vorliegen würden, so Stamos. Isec wolle jedoch die Debugging- und Fuzzing-Tools veröffentlichen, die zur Aufdeckung der Schwachstellen benutzt wurden.

Andere Forensik-Forscher sehen wenig Nutzen in den Entdeckungen von Isec für Kriminelle. Die meisten ernstzunehmenden Angreifer könnten heute ihre Spuren so gut verstecken, dass man sie niemals entdecken könne, sagte James C. Foster, Präsident und wissenschaftlicher Leiter von Ciphent Inc.

Dafür könnten die Entdeckungen von Isec Partners erhebliche Auswirkungen auf die Beweiskraft forensischer Untersuchungen von Computern haben. Würde man nachweisen, dass diese Programme die Ausführung fremden Codes auf den Computern von Ermittlern ermöglichen, dann könnte dies bei Verteidigern berechtige Zweifel an der Glaubhaftigkeit solcher Beweise schüren.