Forensische Software kann durch Bugs getäuscht werden

Keine Software ist perfekt

Die US-Experten berichten von manuell veränderten Master Boot Records unter Linux. Damit kann man durch einen eingefügten Directory Loop alle folgenden Daten für EnCase unsichtbar machen. Zum Absturz bringen Hacker EnCase durch leere Verzeichnisbäume mit tausend Unterverzeichnissen. Zudem sei das Programm überfordert, sobald sich mehr als 25 Partitionen auf dem Datenträger befinden. Ab der 26. Partition erkenne EnCase die Daten nicht mehr, so die Vortragenden.

"Keine Software ist zu 100 Prozent perfekt", meint Kern. Ausnahmen gäbe es sicher und durch den ein oder anderen Fehler könne die Forensiksoftware natürlich überlistet werden. "Deshalb besitzt ein Forensikexperte auch einen Paket von Werkzeugen und Tools, mit denen die Daten durchsucht werden. Liegen keine eindeutigen Beweise vor, so setzen wir verschiedene Programme ein, um unsere Ergebnisse zu prüfen. Es ist ein Risiko, sich auf ein Programm allein zu verlassen", sagt Kern. Zudem werden die Untersuchungen exakt protokolliert, um die Ergebnisse nachvollziehbar zu machen. Ausführliche Informationen zum Thema liefert Ihnen der Artikel Computer-Forensik: Analyse von Angriffen. (pte/mje)