101 - Datensicherung und Speichermedien - Kapitel 9

Questions and Answers

Welche der folgenden Ebenen kann bei der Datensicherung als Ansatzpunkt dienen?

• Netzwerkebene
• Laufwerk (correct)
• Benutzerebene
• Prozessorebene

Was kann bei einem Übergang auf eine andere Ebene der Datensicherung potenziell verloren gehen?

• Daten (correct)
• Die Geschwindigkeit der Datenübertragung
• Die Zugriffsrechte auf die Daten
• Die physische Unversehrtheit des Datenträgers

Was ist ein Nachteil der Sicherung lediglich ausgewählter Dateien eines Datenträgers?

• Es werden keine gelöschten Dateien gesichert. (correct)
• Die Sicherung erfordert mehr Zeit als die Sicherung des gesamten Datenträgers.
• Es können keine forensischen Analysen durchgeführt werden.
• Es werden immer alle Metadaten der Dateien gesichert.

Welcher der folgenden Punkte ist ein Vorteil der forensischen Sicherung eines Datenträgers?

Alle Sektoren des Datenträgers, einschließlich gelöschter Dateien, werden gesichert. (A)

Was kann bei der Analyse eines Originaldatenträgers problematisch sein?

Es besteht ein Risiko der Beschädigung des Datenträgers während des Transports. (B)

Welche Eigenschaft ist nicht typisch für Magnetbänder als Speichermedium?

Sie sind ideal für den täglichen direkten Datenzugriff. (A)

Welche Technologie wird typischerweise in nicht-flüchtigen Speichermedien verwendet?

NAND-Flash-Speicher mit Transistoren als logische NAND-Gatter. (D)

Was ist die Hauptfunktion des Flash Translation Layers (FTL) in nicht-flüchtigen Speichermedien?

Die Ermöglichung einer linearen Sequenz der Sektoren zur Adressierung. (C)

Welcher Vorteil ist nicht charakteristisch für NAND-basierte nicht-flüchtige Speichermedien?

Sie benötigen regelmäßig eine Defragmentierung. (A)

Warum sind NAND-Flash-Speicher oft schneller als HDDs bei zufälligem Zugriff?

Weil sie keine mechanischen Bauteile haben. (C)

Welche Funktion hat Wear Leveling bei nicht-flüchtigen Speichermedien?

Die gleichmäßige Verteilung von Lese- und Schreibvorgängen über alle Speicherblöcke. (A)

Was bedeutet der Begriff 'Over-Provisioning' im Kontext von nicht-flüchtigen Speichermedien?

Das Bereitstellen von zusätzlichen Speicherkapazitäten zur Ersetzung defekter Blöcke. (D)

Welche der folgenden Aussagen beschreibt am besten die Funktion des TRIM-Befehls bei SSDs?

Er bereitet Speicherblöcke zum Wiederbeschreiben vor. (C)

Welche primäre ursprüngliche Funktion hatten USB-Sticks?

Das Ersetzen von Disketten. (B)

Warum werden Memory Cards hauptsächlich in mobilen Geräten eingesetzt?

Aufgrund ihrer geringen Größe und einfachen Handhabung. (D)

Welche Herausforderung ergibt sich bei der Datenwiederherstellung von Solid State Drives (SSDs)?

Die komplexe Struktur von SSDs und der Einsatz von TRIM. (B)

Was ist ein Hauptgrund für die heutige Verbreitung von USB-Sticks als Speichermedium?

Ihr geringer Preis im Vergleich zu anderen Medien. (A)

Welche der folgenden Speichertechnologien ist ein bekanntes Format von Memory Cards?

CompactFlash. (D)

Warum ist eine gute Planung bei der Sicherung von Asservaten unerlässlich?

Weil alle potenziellen Aufgaben viel Zeit in Anspruch nehmen können. (C)

Welchen Aspekt sollte man bei der Abschätzung der benötigten Zeit für eine forensische Datensicherung besonders beachten?

Die Erfahrungswerte bezüglich der Bearbeitungszeiten, inklusive Vorbereitungen. (C)

Welche der folgenden Komponenten beeinflusst nicht die Dauer einer forensischen Datensicherung?

Die Grösse des Raumes, in dem die forensische Sicherung durchgeführt wird. (D)

Warum ist eine detaillierte Dokumentation im Rahmen der digitalen Forensik von großer Bedeutung?

Um die Nachvollziehbarkeit der Sicherung und Analyse, auch Jahre später, sicherzustellen. (C)

Was bedeutet der Hinweis, dass manche Schnittstellen "mindestens zwei Mal passiert werden müssen"?

Dass die Daten den Weg vom Asservat zur Sicherungsfestplatte mehrere Male durch angeschlossene Komponenten nehmen müssen. (A)

Welche Funktion hat ein Write-Blocker in einem forensischen Sicherungsprozess?

Er verhindert, dass Schreibbefehle die Originaldaten auf dem Datenträger verändern. (B)

Warum ist es wichtig, das Kopieren von Images im Rahmen der forensischen Sicherung zu planen?

Weil der Vorgang sehr lange dauern kann und Abbrüche zu einem Neustart führen. (D)

Was ist die Hauptfunktion eines Controllers im Kontext eines forensischen Sicherungsprozesses mit einem Write-Blocker?

Er steuert die Datenübertragung zwischen der Festplatte und dem Computer. (C)

Welche Aussage beschreibt am besten die Rolle eines 'Blockers' in der Abbildung?

Er verhindert das Schreiben auf den Datenträger, lässt aber das Lesen zu. (B)

Warum sollte man beim Kopieren von Images das Abbrechen des Vorgangs vermeiden?

Weil der gesamte Kopiervorgang eventuell von vorne begonnen werden muss. (D)

Was bedeutet die 'Read Command'-Funktion im Kontext der forensischen Datensicherung?

Es ist ein Befehl, um Daten von der Speichereinheit zu lesen. (A)

Was ist die Bedeutung von 'Sector 5' in der Darstellung über 'Write Blocking'?

Ein logischer Bereich auf der Festplatte, wo Daten gespeichert sind. (C)

In welchem der folgenden Szenarien ist der Einsatz eines Write-Blockers am WENIGSTEN erforderlich?

Beim Anschauen einer Urlaubsfotosammlung ohne forensische Absicht. (D)

Warum ist die Dokumentation bei forensischen Untersuchungen so wichtig?

Um die Nachvollziehbarkeit des Ermittlungsprozesses zu gewährleisten und die Integrität der Daten zu sichern. (A)

Was kann bei einer Live-Analyse potenziell zu Veränderungen führen?

Die Zeitstempel und der RAM-Inhalt. (C)

Was ist das Hauptziel der Verwahrkette (Chain of Custody) bei forensischen Untersuchungen?

Die Dokumentation des Zugriffs auf Asservate und deren Aufenthaltsort zu gewährleisten. (D)

Welche zusätzliche Herausforderung stellt die digitale Forensik im Vergleich zur klassischen Forensik in Bezug auf die Verwahrkette dar?

Die Notwendigkeit, den Zugriff auf Sicherungen und Speichersysteme zu protokollieren. (B)

Warum ist es wichtig zu dokumentieren, welche Schritte bei einer forensischen Untersuchung durchgeführt wurden?

Um die Integrität und Nachvollziehbarkeit der durchgeführten Schritte sicherzustellen. (B)

Was bedeutet das Motto 'Dokumentieren, Dokumentieren, und nochmals Dokumentieren!' im Kontext der forensischen Untersuchung?

Die extreme Bedeutung einer umfassenden und detaillierten Dokumentation. (C)

Was wird bei der Verwahrungskette neben dem physischen Zugriff auf ein Asservat auch berücksichtigt?

Der Zugriff auf Datensicherungen und Speichersysteme. (D)

Warum ist es oft schwierig, alle Änderungen in einer forensischen Untersuchung einzuschätzen?

Weil unerwartete und subtile Änderungen durch Analyseverfahren auftreten können. (A)

Flashcards

Ebenen der Sicherung

Die Ebene der Sicherung bestimmt, welche Daten gesichert werden. Es gibt verschiedene Ebenen wie das Laufwerk, die Partition, das Dateisystem und die Applikationsebene.

Datenverlust bei Ebenenwechsel

Beim Übergang von einer Sicherungsebene zur nächsten kann Daten verloren gehen. Beispielsweise fehlen bei der Betrachtung einer Partition die Informationen der Partitionstabelle.

Original-Datenträger

Der Original-Datenträger ist die primäre Quelle für forensische Analysen. Allerdings ist er empfindlich gegenüber Beschädigungen während des Transports.

Forensische Sicherung

Eine forensische Sicherung sichert alle Sektoren eines Datenträgers, einschließlich gelöschter Dateien. Sie ist jedoch nicht immer möglich, insbesondere bei großen Datenträgern.

Ausgewählte Dateien

Ausgewählte Dateien von einem Datenträger können gesichert werden, aber andere Dateien gehen verloren, ebenso wie gelöschte Dateien und Metadaten.

Magnetbänder - Datenspeicherung

Magnetbänder sind weiterhin wichtige Datenträger für Backups und langfristige Archivierung. Sie ermöglichen die sequenzielle Speicherung von Daten und sind zur Archivierung geeignet.

Nicht-flüchtige Speichermedien

Nicht-flüchtige Speichermedien basieren in der Regel auf NAND-Flash-Speichern und nutzen Transistoren als logische NAND-Gatter. Sie bieten eine mechanikfreie Speicherung, im Gegensatz zu Festplatten, und speichern Daten in Speicherbausteinen.

Flash Translation Layer (FTL)

Der Flash Translation Layer (FTL) ermöglicht die lineare Sequenzierung der Sektoren in nicht-flüchtigen Speichermedien. Dadurch wird eine einfachere und effizientere Verwaltung der Daten ermöglicht.

Vorteile von NAND-Flash-Speichern

NAND-Flash-Speicher sind leise, energieeffizient und tolerant gegenüber physikalischen Einflüssen.

Schnelle Zugriffszeiten von NAND-Flash-Speichern

NAND-Flash-Speicher ermöglichen schnellere Zugriffszeiten im Vergleich zu Festplatten, da sie keine mechanischen Bauteile besitzen. Dadurch ist auch eine Defragmentierung nicht notwendig.

Einflussfaktoren auf die Sicherungszeit

Die Zeit für die Sicherung eines Datenträgers ist abhängig von verschiedenen Faktoren, wie z.B. der Geschwindigkeit der Schnittstelle, der Kapazität des Datenträgers und den Eigenschaften des verwendeten Write-Blockers.

Zeitabschätzung für die Sicherung

Vor der eigentlichen Sicherung ist es wichtig, die benötigte Zeit zu schätzen. Dies ermöglicht eine effiziente Planung und gibt allen Beteiligten eine realistische Vorstellung vom zeitlichen Rahmen.

Schnittstelle und Write-Blocker

Ein Write-Blocker verhindert die ungewollte Veränderung des Original-Datenträgers während der Sicherung. Er verhindert, dass Daten überschrieben werden und so potentielle Beweismittel vernichtet werden.

Motivation für eine gute Dokumentation bei der Datensicherung

Die Dokumentation einer Sicherung ist essenziell für die Nachvollziehbarkeit von allen Schritten, die bei der Sicherung und Analyse eines Asservats durchgeführt wurden. Sie dient als Beweismittel und ermöglicht die Rückverfolgbarkeit des gesamten Prozesses.

Inhalt einer guten Dokumentation

Die Dokumentation einer Sicherung beinhaltet alle wichtigen Informationen, wie z.B. den Zeitpunkt der Sicherung, die verwendete Hardware, die Software, die Einstellungen des Write-Blockers und die gefundenen Dateien. Diese Informationen sollten lückenlos vorhanden sein und sorgfältig aufgezeichnet werden.

Lebensdauer von Speicherblöcken in SSDs

Speicherblöcke in SSDs haben eine begrenzte Lebensdauer und können nicht beliebig oft überschrieben werden.

Wear Leveling

Wear Leveling verteilt Lese- und Schreibvorgänge gleichmäßig auf alle Speicherblöcke, um die Lebensdauer der SSD zu verlängern.

Over-Provisioning

Over-Provisioning stellt sicher, dass defekte Speicherblöcke durch Ersatzblöcke ersetzt werden können. Dies erhöht die Zuverlässigkeit und Lebensdauer der SSD.

TRIM-Befehl

Der TRIM-Befehl bereitet Speicherblöcke in SSDs vor, um neu beschreibbar zu werden, und beschleunigt damit den Schreibvorgang.

USB-Sticks als Datenträger

USB-Sticks ersetzen aufgrund ihres geringen Preises zunehmend CDs und DVDs.

Formate von Memory Cards

CompactFlash (CF) und Secure Digital (SD) sind wichtige Formate für Memory Cards, die in mobilen Geräten wie Smartphones, Tablets und Kameras verwendet werden.

Speichermedien für mobile Geräte

Mobile Geräte benötigen kleine und handliche Speichermedien wie Memory Cards.

Solid State Drives (SSDs)

Solid State Drives (SSDs) wurden entwickelt, um Festplatten zu ersetzen. Sie sind schneller und effizienter, aber die Datenwiederherstellung kann komplex sein.

Verwahrungskette

Umfasst die Dokumentation jeder Person, die Zugriff auf ein Beweismittel hatte. Auch die Gegenargumentation ist wichtig: Wer hatte keinen Zugriff auf dieses Beweismittel? Zusätzlich wird erfasst, wo sich das Beweismittel zu einem bestimmten Zeitpunkt befand.

Verwahrungskette in der digitalen Forensik

In der digitalen Forensik müssen sowohl physische als auch digitale Zugriffe erfasst werden. Das bedeutet, dass man sowohl die Person, die das Gerät physisch in der Hand hatte, als auch jene, die über ein Computersystem auf die Sicherung zugreifen konnte, dokumentiert. Dies erfolgt beispielsweise anhand von Protokollen, die bei gemeinsamen Speichersystemen verwendet werden.

Dokumentation in forensischen Untersuchungen

Die Dokumentation aller durchgeführten Schritte bei einer forensischen Untersuchung ist essenziell, da man oft nicht alle Veränderungen vorhersagen kann. Veränderungen durch Live-Analysen können Zeitstempel und den RAM-Inhalt beeinflussen.

Motivation zur Dokumentation

Forensische Untersuchungen erfordern eine exakte Dokumentation, um die Integrität der Beweismittel zu gewährleisten.

Dokumentiere, dokumentiere, dokumentiere!

Die Dokumentation in forensischen Untersuchungen ist von höchster Bedeutung, um die Integrität der Beweismittel sicherzustellen. Jede Veränderung sollte festgehalten werden, um die Nachvollziehbarkeit der Untersuchung zu gewährleisten.

Forensische Untersuchungen und Dokumentation

Bei forensischen Untersuchungen ist die Dokumentation der Schlüssel zur Nachvollziehbarkeit und Sicherheit. Veränderungen sind schwer vorhersehbar, deswegen kommt der akribischen Dokumentation eine große Bedeutung zu.

Was ist "Write-Blocking"?

Write-Blocking verhindert, dass Daten auf den Original-Datenträger geschrieben werden, um die Integrität der Beweise zu erhalten. Es schützt die Original-Daten vor versehentlichen Änderungen.

Wie funktioniert die Sicherung mit Write-Blocking?

Jeder Sektor des Datenträgers wird mit einer eindeutigen Adresse und dem dazugehörigen Inhalt gesichert. Dabei werden alle Daten gesichert, einschließlich gelöschter Dateien, Metadaten und Partitionsinformationen.

Wie lange dauert die Sicherung?

Die Sicherung von Images erfordert Zeit, da alle Daten auf der Festplatte kopiert werden. Die Dauer der Sicherung hängt von der Festplattengröße und der Geschwindigkeit ab.

Warum sollte man die Sicherung nicht abbrechen?

Das Abbrechen einer Sicherung kann dazu führen, dass die Sicherung nicht vollständig ist oder sogar fehlerhaft. Dies kann zu Zeitverlust und Problemen bei der Analyse führen.

Warum ist die Planung der Sicherung so wichtig?

Die Planung einer Sicherung beinhaltet die Vorbereitung, die Festlegung des Sicherungsumfangs und die Auswahl der richtigen Sicherungstechnik.

Was ist bei der Wahl der Sicherungssoftware wichtig?

Es ist wichtig, ein Sicherungstool zu verwenden, das die Integrität der Daten während des Kopiervorgangs gewährleistet. Tools mit Hash-Verfahren können die Datenintegrität überprüfen.

Wo sollte die Sicherung gespeichert werden?

Die Sicherung sollte auf einem anderen Datenträger erfolgen, z.B. einer externen Festplatte, einem DVD-Brenner oder einem Netzwerk-Server.

Wie bewahre ich die Sicherung sicher auf?

Die Sicherung sollte an einem sicheren Ort aufbewahrt werden, der vor unbefugtem Zugriff, Umwelteinflüssen und Beschädigungen geschützt ist.

Study Notes

Digitale Spuren

• Digitale Spuren befinden sich auf Speichern.
• Beispiele: Inhalt einer Partitionstabelle.
• Die Daten sind nicht einfach erkennbar.
• Tools sind notwendig, um auf diese Daten zuzugreifen.
• Ziele der Forensik: Integrität bewahren und Modifikationen dokumentieren.

Zugriff auf ein Asservat

• Arten des Zugriffs:
  • Live: Zugriff auf ein laufendes System.
  • Post-mortem (evtl. auch per Live-Linux): Zugriff auf ein ausgeschaltetes System.

Veränderungen der Daten

• Veränderungen der Daten müssen unterbunden werden.
• Veränderungen können durch automatisches Einbinden des Datenträgers entstehen.
• Ansätze:
  • Hardware Write-Blocker: Gerät zwischen Festplatte und Analyse-Rechner, um schreibende Zugriffe zu unterdrücken.
  • Software Write-Blocker: Unterdrückung der schreibenden Zugriffe mit Software.
  • HPA (Host Protected Area) und DCO (Device Configuration Overlay): müssen berücksichtigt werden.
• Fehlerbehandlung: Defekte Sektoren werden dokumentiert und mit Nullen aufgefüllt.

Ebenen der Sicherung

• Ansatzpunkte/Ebenen: Laufwerk, Partition, Dateisysteme, Applikationsebene.
• Bei jedem Übergang auf eine andere Ebene können Daten verloren gehen.
• Beispiel: Betrachtung nur einer Partition; fehlende Informationen der Partitionstabelle.

Ansätze der Sicherstellung

• Originaldatenträger:
  • Alle Analysen können durchgeführt werden.
  • Mögliche Beschädigung der Festplatte während des Transports.
• Forensische Sicherung eines Datenträgers:
  • Alle Sektoren des Datenträgers sind gesichert
  • Auch gelöschte Dateien sind enthalten.
  • Evtl. nicht bei grossen Datenträgern möglich
• Ausgewählte Dateien des Datenträgers:
  • Andere Dateien sind nicht gesichert.
  • Keine gelöschten Dateien.
  • Evtl. keine Metadaten der Dateien.

Konvertierte Versionen von Dateien

• Auch für die selektierten und konvertierten Dateien können die Metadaten fehlen oder fehlerhaft interpretiert werden.

Auswahl relevanter Dateien

• Relevanz kann sich im Laufe der Ermittlung verändern, insbesondere aufgrund neuer Erkenntnisse.

Schriftliche Notizen

• Kein digitales Beweismittel.
• Abhängig von der Menge.

Speichermedien

• Kategorien:
  • Magnetische Speichermedien.
  • Nicht-flüchtige Speichermedien.
  • Optische Speichermedien.
• Anschlüsse: Eingebaut (interner Bus), Wechseldatenträger (externer Bus).

Festplatten

• HDD (Hard Disk Drive): Magnetisches Speichermedium.
• Aufbau: Rotierende Platten (Platten), Stapel von Platten → Spindel (Spindle), Lese- und Schreibköpfe (Read/Write Heads).
• Wichtige Größen: 3,5 inch (Tower), 2,5 inch (Notebooks), 1,8 inch (Notebooks).

Festplatten - Adressierung

• CHS-Adresse:
  • Zylinder (Cylinder/Track)
  • Lese-/Schreibkopf (Head)
  • Sektor (Sector)
• LBA (Logical Block Address): Logisches Durchnummerieren der Sektoren eines Speichermediums. Einfache Neuzuordnung möglich, wenn ein Sektor defekt ist.

Festplatten - Sektorgrößen

• Ein Sektor ist die kleinste adressierbare Einheit.
• Standard: 512 Bytes (teilweise auch emuliert).
• Teilweise auch 4096 Byte.

Festplatten - Forensik

• HDDs sind immer noch weit verbreitet.
• Blöcke mit Inhalten alter Dateien vorhanden.
• Datenwiederherstellung möglich.

HPA und DCO

• HPA (Host Protected Area): ATA-Standard, Ziel: Bereich auf Festplatten schaffen, der für das normale Betriebssystem nicht erreichbar ist (Recovery, Hibernation, ...).
• DCO (Device Configuration Overlay): Anpassung der übermittelten Datenträgergröße z. B. bei unterschiedlicher Hardware, aber gleicher Anzahl von Sektoren.

Magnetbänder

• Magnetbänder sind immer noch wichtige Datenträger für Backups und Archivierung.
• Sequentielle Nutzung; ungeeignet für normale Nutzung.
• Daten sind oft komprimiert oder archiviert (z. B. tar).

Nicht-flüchtige Speichermedien

• Typischerweise NAND-Flash-Speicher.
• Transistoren als logisches NAND-Gatter.
• Keine mechanischen Bauteile.
• Daten werden in Speicherbausteinen abgelegt.
• FTL (Flash Translation Layer) ermöglicht lineare Sequenz der Sektoren.

Nicht-flüchtige Speichermedien - NAND

• Vorteile: Leise, geringer Energieverbrauch, toleranter gegenüber physikalischen Einflüssen, schneller als HDD (bei zufälligem Zugriff), Keine Defragmentierung notwendig.

Nicht-flüchtige Speichermedien - Wear Leveling und Over-Provisioning

• Lebensdauer der Speicherblöcke relativ gering; können nicht beliebig oft überschrieben werden.
• Wear Leveling: Lese- und Schreibvorgänge sollen über alle Speicherblöcke gleich verteilt werden.
• Over-Provisioning: Defekte Speicherblöcke werden durch vorhandene Ersatzblöcke ersetzt (FTL, Sicherung durch Chip-Off möglich).

Nicht-flüchtige Speichermedien - Solid State Drives (SSDs)

• SSDs wurden entwickelt, um Festplatten zu ersetzen.
• Herausforderungen: Wiederherstellung von Daten.
• TRIM-Command: Vorbereiten von Blöcken zum Wiederbeschreiben.

Nicht-flüchtige Speichermedien - USB-Sticks

• Sollten ursprünglich Disketten ersetzen.
• Ersetzen nun aufgrund des geringen Preises auch CDs und DVDs.
• Relativ hohe Kapazitäten möglich.

Nicht-flüchtige Speichermedien - Memory Cards

• Mobile Geräte benötigen kleine und handhabbare Speichermedien.
• Wichtige Formate: CompactFlash (CF), Secure Digital (SD, unterschiedliche Formfaktoren).

Optische Speichermedien

• Wichtige Formate: CD, DVD, Blu-Ray.
• Möglichkeiten: Read-Only, Write-Once, Read-Writeable.
• Nicht nur als Asservat wichtig, auch als Medium um forensische Daten weiterzugeben.
• Daten als Sequenz von Pits (Vertiefungen) und Lands (Erhebungen).

Gedanken zur Sicherung

• Fragen: Muss eine Sicherung durchgeführt werden? Welche Kapazität hat das Asservat? Welche Kapazität hat das Zielmedium? Kann das Image komprimiert werden? Wieviel Speicher benötigt die genutzte Forensiksoftware? Wie viele Dateien werden im Laufe der Analyse potentiell extrahiert? Wie groß ist der Arbeitsspeicher des Analyse-PCs? Können noch weitere Datenträger im Verfahren dazukommen? Könnte eine Extraktion der Slacks bzw. der nicht-allokierten Bereiche sinnvoll sein? Könnten eventuell Partitionen extrahiert werden? Muss das Image evtl. konvertiert werden? Muss das Image evtl. an eine andere Stelle übergeben werden? Sind auf dem Asservat VMs vorhanden, die extrahiert und analysiert werden müssen? Sind auf dem Asservat viele komprimierte Dateien vorhanden? Full-Disk-Encryption? Extrahierte Daten auf optische Datenträger? Carving? Backups des Analyse-PCs?

Sicherung eines Asservats ohne Ausbau

• Sicherung eines Asservats ohne Ausbau des Datenträgers.
• Z. B. wenn kein Write-Blocker verfügbar ist.
• Oder für den Entscheidungsprozess, ob eine Sicherung erstellt werden soll.
• Nutzung von Linux-basierten Tools (z.B. Sleuth Kit über CAINE).
• Remote-Imaging per SSH.

Erste Schritte mit dem Asservat

• Wenn ein Asservat untersucht werden soll, gibt es mehr zu beachten als den Speicher zu extrahieren.

• Hinweis: wir betrachten hier die post-mortem-Analyse.

• Notwendige Schritte:

  • Foto-Dokumentation des Asservats
  • Anzahl der Datenträger bestimmen
  • Schnittstellen identifizieren
  • Datenträger ausbauen

• Oberseite der Datenträger fotografieren (Seriennummern, Kapazität, Hersteller, Modell, usw.).

• Öffnen von optischen Laufwerken, um z. B. DVDs zu finden (Release-Funktion).

• Analysieren, ob evtl. weitere Datenträger auf dem Mainboard angeschlossen sind (z. B. SSD mit M.2-Schnittstelle).

• Entfernen aller Datenträger aus dem System.

• Anschließend weitere Untersuchungen möglich (BIOS, Hardwarekonfiguration, evtl. mit Live-Linux).

• Datenträger mit Write-Blocker an Analyse-Rechner anbinden.

• Korrektes Device (z.B. als \dev\sdX) identifizieren.

• Hardware-Informationen bestimmen (Sektorgröße, HPA, DCO, ...).

• Sicherung(en) erstellen.

Image-Formate

• Unterscheidung von Image-Formaten:
  • Raw Images (nur der Inhalt).
  • Container (Inhalt und Metadaten).
• Metadaten: Zeiten und Dauer der Sicherung, Sicherungssoftware, Größen (Asservat), Fehler, Hashwerte.

Anmerkungen zu forensischen Images

• Forensische Images enthalten in der Regel nicht nur die Inhalte der Dateien selbst, sondern die Inhalte aller (verfügbaren) Sektoren auf dem Datenträger.
• Raw Images haben immer die Größe des Datenträgers (des Asservats).

RAW-Images

• An sich kein eigenständiges Format.
• Einfache Aneinanderreihung der Bytes des Datenträgers.
• Einfacher Transfer der Daten ohne Transformation oder Übersetzung.
• Wichtige Software: dd.

Container-Images

• Container ermöglichen die Sicherung der Daten und dazugehöriger Metadaten.

• Weitere Features: Komprimierung und Verschlüsselung.

• Beispiele: EnCase EWF, FTK Smart, AFF.

Write-Blocking

• Fundamentale Komponente der digitalen Forensik: Vollständigkeit und Integrität.
• Wichtige Mechanismus dabei: Write-Blocking.
• Ziel: Manipulationen auf dem Datenträger des Asservats unterbinden.

Kopieren von Images

• Das Kopieren von Images muss geplant werden, da der Vorgang Stunden dauern kann.
• Auch die Sicherung an sich kann bereits Stunden dauern.
• Abbrechen ist zu vermeiden.

Abschätzung von Zeiten

• Alle möglichen Aufgaben benötigen viel Zeit.
• Eine Planung ist daher unerlässlich.
• Zeiten sollten ungefähr aufgrund der Erfahrung bekannt sein (inkl. Vorbereitung).
• Auf Flaschenhälse achten.

Einflüsse auf Zeiten

• Technik des Speichers (Asservat).
• Schnittstelle (Asservat).
• Write-Blocker (Latenz?).
• Verbindung Write-Blocker zu Host.
• Host Interface.
• PCI Bus.
• CPU.
• Manche Schnittstellen müssen mindestens zwei Mal passiert werden (Asservat → Festplatte für Image).

Dokumentation

• Sicherung und Analyse eines Asservats muss nachvollziehbar sein, evtl. sogar Jahre danach.

• Dokumentation spielt eine zentrale Rolle im Bereich der Forensik.

• Erleichterung der Nachvollziehbarkeit durch Wahrung der Integrität.

• Aber: In vielen Situationen kann eine Veränderung der Daten nicht ausgeschlossen werden → Live-Analyse kann Veränderungen von Zeitstempeln und des RAM-Inhalts hervorrufen.

• Daher: Genau dokumentieren, welche Schritte durchgeführt wurden.

• Oft ist es schwierig, alle Änderungen einzuschätzen.

• Zitat: "Ingesamt lautet das Motto bei forensischen Untersuchungen: Dokumentieren, Dokumentieren, und nochmals Dokumentieren!" (Dewald und Freiling, 2015).

Verwaltungskette (Chain of Custody)

• Dokumentation, welche Person Zugriff auf ein Asservat hatte.
• Auch die gegenteilige Argumentation: Wer hatte keinen Zugriff auf das Asservat?
• Außerdem: Wo befand sich zu einem gewissen Zeitpunkt das Asservat?
• Klassische Forensik: Wer hatte physisch Zugang zu einem Asservat?
• Digitale Forensik: Wer hatte physisch Zugang zu einem Asservat und wer hatte Zugriff auf die Sicherung (z. B. durch Zugriffsprotokolle bei einem gemeinsamen Speichersystem)?

Nachvollziehbarkeit

• Die Nachvollziehbarkeit der Analyse ist von besonderer Bedeutung.
• Plausibilität der Analyseschritte.
• Begründung, warum etwas gemacht oder nicht gemacht wurde.
• Schlussfolgerungen sollten daher auch unabhängig nachvollzogen werden können.
• Nachprüfbarkeit: Nachvollziehbarkeit der Ergebnisse mit Hilfe von Basisdaten.

Aufbau eines Berichts - Zielpublikum

• Bewusstsein für das Zielpublikum entwickeln.

• Primär: Nicht-Techniker und Juristen (Richter, Staatsanwälte, usw.).

• Sekundär: Spezialisten, die ein Ergebnis überprüfen sollen.

• Orthogonale Interessen:

  • Kurze und einfache Schlussfolgerungen für Juristen/Nicht-Techniker.
  • In ganzer Breite und detailliert für die Spezialisten.

• Lösung: Der Bericht enthält mehrere Abschnitte, die jeweils für die einzelnen Zielgruppen erstellt werden.

Aufbau eines Berichts - Grobgliederung

• Grobe Gliederung:
  • Titelseite
  • Prolog
  • Zusammenfassung für Nicht-Techniker
  • Zusammenfassung für Techniker
  • Details für Techniker.

Aufbau eines Berichts - Prolog

• Details der betrachteten Asservate
• Darstellung des Untersuchungsauftrags
• Darstellung der Arbeitsumgebung (Handhabung der Asservate, welche Tools genutzt wurden usw.).

Aufbau eines Berichts - Zusammenfassung für Nicht-Techniker

• Ergebnisse für Personen, die sich nicht mit den technischen Details auseinandersetzen möchten.
• Formulierungen dementsprechend wählen bzw. wichtige Begriffe erklären.

Aufbau eines Berichts - Zusammenfassung für Techniker

• Ergebnisse für Personen, die Fachkenntnisse besitzen und die Ergebnisse nachvollziehen wollen.
• Wesentliche Schritte der Untersuchungen sollen dargelegt werden.
• Es kann direkte Fachsprache genutzt werden.

Aufbau eines Berichts - Details für Techniker

• Details zum Vorgehen der Analyse.
• Platz für alles, das bisher zu umfangreich war.
• Logdateien, Listings, Bildschirmfotos, usw.

Description

In diesem Quiz geht es um verschiedene Ansätze der Datensicherung und die Vorzüge sowie Nachteile diverser Speichermedien. Du wirst Fragen zu forensischer Sicherung, den Eigenschaften von Magnetbändern und NAND-Flash-Speichern beantworten. Teste dein Wissen über moderne Datensicherungstechniken und Speichermedien!