Diskussion um Fehler in EnCase

Im Vorfeld der Black Hat USA 2007 gibt es wieder einmal Diskussionen um Fehler in kommerzieller Software. Dieses Thema ist grundsätzlich nicht neu und gehört zum üblichen Showkampf nun einmal dazu – sollte mich also nicht hinter dem Ofen hervorlocken. Für die Leser dieser Seite ist aber wohl interessant, dass es sich hierbei um EnCase (in der Version 5 und möglicherweise höher) handelt. Ich möchte an dieser Stelle gern an meinen Artikel zum Thema „Anti-Forensik“ aus iX 08/2007 erinnern, wo ich genau dieses Thema aufgegriffen habe. Es gibt noch viele andere Beispiele, freie und kommerzielle Forensik-Werkzeuge gezielt anzugreifen und somit den Ermittlungsprozess zu stören oder gar die Analysesysteme der Ermittler direkt anzugreifen.

Der Sicherheitsdienstleister iSec hat in seinem Paper folgende sechs Probleme adressiert.

• [Logical] Disk Image Cannot be Acquired With Certain Corrupted MBR Partition Table.
• Corrupted NTFS file system crashed EnCase during acquisition.
• Corrupted Microsoft Exchange database crashes EnCase during multi-threaded search/analysis concurrent to acquisition.
• Corrupted NTFS file systems Causes Memory Error.
• EnCase Had Difficulty Reading Intentionally Corrupted NTFS File System Directory.
• EnCase Crashes When Viewing Certain Deeply Nested Directories.

Der Hersteller von EnCase, die Firma Guidance Software, hat im Vorfeld des Black Hat-Vortrages die Sicherheitslücken gemeldet bekommen und steht auf dem nicht so überraschenden Standpunkt, dass jede Software nun mal Fehler hätte und zum Ausnutzen der Lücken eine entsprechend präparierte Datei erstellt werden müsste. Aber genau dies wird doch von Tatverdächtigen gemacht, wenn sie einen „EnCase-only Ermittler“ sabotieren wollen. :s