FTK 2.0 - Sicherheit

Während ich versuchte, FTK 2.0 besser auf meine Bedürfnisse abzustimmen, fand ich einige Einstellungen, die für die Datensicherheit im Labor von Bedeutung sein könnten. Ich kontaktierte den Support des Herstellers AccessData und berichtete ihm meine Beobachtungen. Der Support reagierte unverzüglich und kündigte an, die Probleme in der kommenden Version zu beheben. Nachdem nun diese Version, FTK 2.0.2 veröffentlicht wurde, erläutere ich hier die Schwachstellen.
Bitte erwarten Sie jedoch jetzt kein weltbewegendes Security-Advisory. Ich unterstelle, dass Arbeitsplätze in einem Forensik-Labor nur dann an ein Netzwerk angeschlossen sind, wenn es wirklich einen guten Grund dafür gibt. Bitte berücksichtigen Sie auch, dass AccessData das FTK 2.0 nicht offiziell für Mehrbenutzer-Szenarien freigegeben hat. 

Eine der Neuerungen des FTK 2.0 ist jedoch das Rollenmodell. Case Administratoren erstellen Fälle und weisen diese den Reviewern zu. Reviewer werden gewöhnlich also nur auf einen Teil aller Fälle in einer Datenbank zugreifen dürfen. Damit könnte man zum Beispiel einem Anwalt die Gelegenheit zur Durchsicht einiger Dokumente geben, ohne ihm den Einblick in weitere Daten zu eröffnen. FTK 2.0 stützt sich für Volltextsuchen auf das bekannte dtSearch. Der Volltext-Index und Logdateien befinden sich in einem eigenen Verzeichnis, standardmäßig c:\ftk2-data. Dieses Verzeichnis ist auch im Netz unter dem Namen ftk2-data freigegeben. Sowohl auf die Freigabe als auch das Verzeichnis auf dem Datenträger haben beliebige Benutzer uneingeschränkten Zugriff. Ein Benutzer kann deshalb auch auf den Index eines ihm nicht zugewiesenen Falls zugreifen. Der Index besteht aus mehreren Dateien in einem binären Format. Es ist jedoch nicht schwer, aus diesen Dateien interessante Zeichenfolgen wie die Namen von Personen und Örtlichkeiten, Telefonnummern etc. zu gewinnen. AccessData teilte mir hierzu mit, dass die Freigabe nicht benötigt wird und deshalb auch mit der neuen Version entfernt wird. In der Registry eines Computers, auf dem FTK 2 installiert ist, wird man Einträge ähnlich dem Folgenden finden:

[HKEY_LOCAL_MACHINE\SOFTWARE\AccessData\AccessData Forensic Toolkit 2\SDS]
"h"="192.168.10.130"
"u"="ftk2"
"s"="ftk2"
"p"="1521"
"i"="ftk2"
"d"=dword:00000001
"sp"="\\\\FTK2WORKER\\ftk2-data"
Man erkennt hier unschwer den Computer (Name beziehungsweise IP-Adresse) und die Port-Nummer des Oracle TNS Listeners. Ebenso findet man die Benutzerkennung und das Passwort für den Datenbankzugriff im Klartext. In der neuen Version sollen diese Daten nur noch dann in der Registry gespeichert werden, wenn sie von den Grundeinstellungen abweichen. Auch sollen die Standard-Passwörter jetzt schwieriger zu erraten sein. Mit diesen Zugangsdaten kann man nun auch ohne das FTK eine Verbindung zur Datenbank herstellen und sich mittels SQL-Befehlen dort umsehen. Die folgende Abfrage listet zum Beispiel alle im FTK angelegten Benutzer auf:

SQL> SELECT USERID, USERNAME, FLAGS FROM USERS;

    USERID USERNAME                       FLAGS
---------- ------------------------- ----------
      1020 fred                               0
      1021 james                              0
       100 «AccessData admin»               512
      1000 asu                              512
In diesem Beispiel ist "asu" mein Administratorkonto, während "fred" und "james" Reviewer sind. Natürlich lassen sich auch die Hashes der zugehörigen Passwörter abrufen; die vollständigen Informationen finden Sie hier. Bitte beachten Sie, dass AccessData die Existenz des "AccessData admin" nicht dokumentiert. Nach Aussage des Herstellers wird das Konto intern verwendet, um den rollenbasierten Zugriff auf Fälle zu realisieren. Nachdem nun schon einige Zugangsdaten bekannt sind, lässt sich auch das Passwort für den Benutzer SYS der Oracle-Datenbank leicht erraten. Dieses Benutzerkonto verfügt über umfassende Rechte und darf auch die Rolle des Administrators annehmen. 

Um es abschließend noch einmal klarzustellen: diese Schwachstellen sollten nicht zu Problemen führen, wenn man das Produkt wie empfohlen nur als einzelner Ermittler einsetzt und seinen Arbeitsplatz nicht an ein Netzwerk anschließt. In allen anderen Fällen aber sollten Sie in Erwägung ziehen, das Update auf die Version 2.0.2 zu installieren. Auch sollten Sie sich dann - wie für jede IT-Anwendung - einige Gedanken zur Sicherheit der Analysestation und der Oracle-Datenbank machen.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.