101 - Datensicherung und Speichermedien - Kapitel 9

Questions and Answers

Welche der folgenden Ebenen kann bei der Datensicherung als Ansatzpunkt dienen?

Netzwerkebene

Laufwerk (correct)

Benutzerebene

Prozessorebene

Was kann bei einem Übergang auf eine andere Ebene der Datensicherung potenziell verloren gehen?

Daten (correct)

Die Geschwindigkeit der Datenübertragung

Die Zugriffsrechte auf die Daten

Die physische Unversehrtheit des Datenträgers

Was ist ein Nachteil der Sicherung lediglich ausgewählter Dateien eines Datenträgers?

Es werden keine gelöschten Dateien gesichert. (correct)

Die Sicherung erfordert mehr Zeit als die Sicherung des gesamten Datenträgers.

Es können keine forensischen Analysen durchgeführt werden.

Es werden immer alle Metadaten der Dateien gesichert.

Welcher der folgenden Punkte ist ein Vorteil der forensischen Sicherung eines Datenträgers?

Alle Sektoren des Datenträgers, einschließlich gelöschter Dateien, werden gesichert.

Was kann bei der Analyse eines Originaldatenträgers problematisch sein?

Es besteht ein Risiko der Beschädigung des Datenträgers während des Transports.

Welche Eigenschaft ist nicht typisch für Magnetbänder als Speichermedium?

Sie sind ideal für den täglichen direkten Datenzugriff.

Welche Technologie wird typischerweise in nicht-flüchtigen Speichermedien verwendet?

NAND-Flash-Speicher mit Transistoren als logische NAND-Gatter.

Was ist die Hauptfunktion des Flash Translation Layers (FTL) in nicht-flüchtigen Speichermedien?

Die Ermöglichung einer linearen Sequenz der Sektoren zur Adressierung.

Welcher Vorteil ist nicht charakteristisch für NAND-basierte nicht-flüchtige Speichermedien?

Sie benötigen regelmäßig eine Defragmentierung.

Warum sind NAND-Flash-Speicher oft schneller als HDDs bei zufälligem Zugriff?

Weil sie keine mechanischen Bauteile haben.

Welche Funktion hat Wear Leveling bei nicht-flüchtigen Speichermedien?

Die gleichmäßige Verteilung von Lese- und Schreibvorgängen über alle Speicherblöcke.

Was bedeutet der Begriff 'Over-Provisioning' im Kontext von nicht-flüchtigen Speichermedien?

Das Bereitstellen von zusätzlichen Speicherkapazitäten zur Ersetzung defekter Blöcke.

Welche der folgenden Aussagen beschreibt am besten die Funktion des TRIM-Befehls bei SSDs?

Er bereitet Speicherblöcke zum Wiederbeschreiben vor.

Welche primäre ursprüngliche Funktion hatten USB-Sticks?

Das Ersetzen von Disketten.

Warum werden Memory Cards hauptsächlich in mobilen Geräten eingesetzt?

Aufgrund ihrer geringen Größe und einfachen Handhabung.

Welche Herausforderung ergibt sich bei der Datenwiederherstellung von Solid State Drives (SSDs)?

Die komplexe Struktur von SSDs und der Einsatz von TRIM.

Was ist ein Hauptgrund für die heutige Verbreitung von USB-Sticks als Speichermedium?

Ihr geringer Preis im Vergleich zu anderen Medien.

Welche der folgenden Speichertechnologien ist ein bekanntes Format von Memory Cards?

CompactFlash.

Warum ist eine gute Planung bei der Sicherung von Asservaten unerlässlich?

Weil alle potenziellen Aufgaben viel Zeit in Anspruch nehmen können.

Welchen Aspekt sollte man bei der Abschätzung der benötigten Zeit für eine forensische Datensicherung besonders beachten?

Die Erfahrungswerte bezüglich der Bearbeitungszeiten, inklusive Vorbereitungen.

Welche der folgenden Komponenten beeinflusst nicht die Dauer einer forensischen Datensicherung?

Die Grösse des Raumes, in dem die forensische Sicherung durchgeführt wird.

Warum ist eine detaillierte Dokumentation im Rahmen der digitalen Forensik von großer Bedeutung?

Um die Nachvollziehbarkeit der Sicherung und Analyse, auch Jahre später, sicherzustellen.

Was bedeutet der Hinweis, dass manche Schnittstellen "mindestens zwei Mal passiert werden müssen"?

Dass die Daten den Weg vom Asservat zur Sicherungsfestplatte mehrere Male durch angeschlossene Komponenten nehmen müssen.

Welche Funktion hat ein Write-Blocker in einem forensischen Sicherungsprozess?

Er verhindert, dass Schreibbefehle die Originaldaten auf dem Datenträger verändern.

Warum ist es wichtig, das Kopieren von Images im Rahmen der forensischen Sicherung zu planen?

Weil der Vorgang sehr lange dauern kann und Abbrüche zu einem Neustart führen.

Was ist die Hauptfunktion eines Controllers im Kontext eines forensischen Sicherungsprozesses mit einem Write-Blocker?

Er steuert die Datenübertragung zwischen der Festplatte und dem Computer.

Welche Aussage beschreibt am besten die Rolle eines 'Blockers' in der Abbildung?

Er verhindert das Schreiben auf den Datenträger, lässt aber das Lesen zu.

Warum sollte man beim Kopieren von Images das Abbrechen des Vorgangs vermeiden?

Weil der gesamte Kopiervorgang eventuell von vorne begonnen werden muss.

Was bedeutet die 'Read Command'-Funktion im Kontext der forensischen Datensicherung?

Es ist ein Befehl, um Daten von der Speichereinheit zu lesen.

Was ist die Bedeutung von 'Sector 5' in der Darstellung über 'Write Blocking'?

Ein logischer Bereich auf der Festplatte, wo Daten gespeichert sind.

In welchem der folgenden Szenarien ist der Einsatz eines Write-Blockers am WENIGSTEN erforderlich?

Beim Anschauen einer Urlaubsfotosammlung ohne forensische Absicht.

Warum ist die Dokumentation bei forensischen Untersuchungen so wichtig?

Um die Nachvollziehbarkeit des Ermittlungsprozesses zu gewährleisten und die Integrität der Daten zu sichern.

Was kann bei einer Live-Analyse potenziell zu Veränderungen führen?

Die Zeitstempel und der RAM-Inhalt.

Was ist das Hauptziel der Verwahrkette (Chain of Custody) bei forensischen Untersuchungen?

Die Dokumentation des Zugriffs auf Asservate und deren Aufenthaltsort zu gewährleisten.

Welche zusätzliche Herausforderung stellt die digitale Forensik im Vergleich zur klassischen Forensik in Bezug auf die Verwahrkette dar?

Die Notwendigkeit, den Zugriff auf Sicherungen und Speichersysteme zu protokollieren.

Warum ist es wichtig zu dokumentieren, welche Schritte bei einer forensischen Untersuchung durchgeführt wurden?

Um die Integrität und Nachvollziehbarkeit der durchgeführten Schritte sicherzustellen.

Was bedeutet das Motto 'Dokumentieren, Dokumentieren, und nochmals Dokumentieren!' im Kontext der forensischen Untersuchung?

Die extreme Bedeutung einer umfassenden und detaillierten Dokumentation.

Was wird bei der Verwahrungskette neben dem physischen Zugriff auf ein Asservat auch berücksichtigt?

Der Zugriff auf Datensicherungen und Speichersysteme.

Warum ist es oft schwierig, alle Änderungen in einer forensischen Untersuchung einzuschätzen?

Weil unerwartete und subtile Änderungen durch Analyseverfahren auftreten können.

Study Notes

Digitale Spuren

• Digitale Spuren befinden sich auf Speichern.
• Beispiele: Inhalt einer Partitionstabelle.
• Die Daten sind nicht einfach erkennbar.
• Tools sind notwendig, um auf diese Daten zuzugreifen.
• Ziele der Forensik: Integrität bewahren und Modifikationen dokumentieren.

Zugriff auf ein Asservat

• Arten des Zugriffs:
  • Live: Zugriff auf ein laufendes System.
  • Post-mortem (evtl. auch per Live-Linux): Zugriff auf ein ausgeschaltetes System.

Veränderungen der Daten

• Veränderungen der Daten müssen unterbunden werden.
• Veränderungen können durch automatisches Einbinden des Datenträgers entstehen.
• Ansätze:
  • Hardware Write-Blocker: Gerät zwischen Festplatte und Analyse-Rechner, um schreibende Zugriffe zu unterdrücken.
  • Software Write-Blocker: Unterdrückung der schreibenden Zugriffe mit Software.
  • HPA (Host Protected Area) und DCO (Device Configuration Overlay): müssen berücksichtigt werden.
• Fehlerbehandlung: Defekte Sektoren werden dokumentiert und mit Nullen aufgefüllt.

Ebenen der Sicherung

• Ansatzpunkte/Ebenen: Laufwerk, Partition, Dateisysteme, Applikationsebene.
• Bei jedem Übergang auf eine andere Ebene können Daten verloren gehen.
• Beispiel: Betrachtung nur einer Partition; fehlende Informationen der Partitionstabelle.

Ansätze der Sicherstellung

• Originaldatenträger:
  • Alle Analysen können durchgeführt werden.
  • Mögliche Beschädigung der Festplatte während des Transports.
• Forensische Sicherung eines Datenträgers:
  • Alle Sektoren des Datenträgers sind gesichert
  • Auch gelöschte Dateien sind enthalten.
  • Evtl. nicht bei grossen Datenträgern möglich
• Ausgewählte Dateien des Datenträgers:
  • Andere Dateien sind nicht gesichert.
  • Keine gelöschten Dateien.
  • Evtl. keine Metadaten der Dateien.

Konvertierte Versionen von Dateien

• Auch für die selektierten und konvertierten Dateien können die Metadaten fehlen oder fehlerhaft interpretiert werden.

Auswahl relevanter Dateien

• Relevanz kann sich im Laufe der Ermittlung verändern, insbesondere aufgrund neuer Erkenntnisse.

Schriftliche Notizen

• Kein digitales Beweismittel.
• Abhängig von der Menge.

Speichermedien

• Kategorien:
  • Magnetische Speichermedien.
  • Nicht-flüchtige Speichermedien.
  • Optische Speichermedien.
• Anschlüsse: Eingebaut (interner Bus), Wechseldatenträger (externer Bus).

Festplatten

• HDD (Hard Disk Drive): Magnetisches Speichermedium.
• Aufbau: Rotierende Platten (Platten), Stapel von Platten → Spindel (Spindle), Lese- und Schreibköpfe (Read/Write Heads).
• Wichtige Größen: 3,5 inch (Tower), 2,5 inch (Notebooks), 1,8 inch (Notebooks).

Festplatten - Adressierung

• CHS-Adresse:
  • Zylinder (Cylinder/Track)
  • Lese-/Schreibkopf (Head)
  • Sektor (Sector)
• LBA (Logical Block Address): Logisches Durchnummerieren der Sektoren eines Speichermediums. Einfache Neuzuordnung möglich, wenn ein Sektor defekt ist.

Festplatten - Sektorgrößen

• Ein Sektor ist die kleinste adressierbare Einheit.
• Standard: 512 Bytes (teilweise auch emuliert).
• Teilweise auch 4096 Byte.

Festplatten - Forensik

• HDDs sind immer noch weit verbreitet.
• Blöcke mit Inhalten alter Dateien vorhanden.
• Datenwiederherstellung möglich.

HPA und DCO

• HPA (Host Protected Area): ATA-Standard, Ziel: Bereich auf Festplatten schaffen, der für das normale Betriebssystem nicht erreichbar ist (Recovery, Hibernation, ...).
• DCO (Device Configuration Overlay): Anpassung der übermittelten Datenträgergröße z. B. bei unterschiedlicher Hardware, aber gleicher Anzahl von Sektoren.

Magnetbänder

• Magnetbänder sind immer noch wichtige Datenträger für Backups und Archivierung.
• Sequentielle Nutzung; ungeeignet für normale Nutzung.
• Daten sind oft komprimiert oder archiviert (z. B. tar).

Nicht-flüchtige Speichermedien

• Typischerweise NAND-Flash-Speicher.
• Transistoren als logisches NAND-Gatter.
• Keine mechanischen Bauteile.
• Daten werden in Speicherbausteinen abgelegt.
• FTL (Flash Translation Layer) ermöglicht lineare Sequenz der Sektoren.

Nicht-flüchtige Speichermedien - NAND

• Vorteile: Leise, geringer Energieverbrauch, toleranter gegenüber physikalischen Einflüssen, schneller als HDD (bei zufälligem Zugriff), Keine Defragmentierung notwendig.

Nicht-flüchtige Speichermedien - Wear Leveling und Over-Provisioning

• Lebensdauer der Speicherblöcke relativ gering; können nicht beliebig oft überschrieben werden.
• Wear Leveling: Lese- und Schreibvorgänge sollen über alle Speicherblöcke gleich verteilt werden.
• Over-Provisioning: Defekte Speicherblöcke werden durch vorhandene Ersatzblöcke ersetzt (FTL, Sicherung durch Chip-Off möglich).

Nicht-flüchtige Speichermedien - Solid State Drives (SSDs)

• SSDs wurden entwickelt, um Festplatten zu ersetzen.
• Herausforderungen: Wiederherstellung von Daten.
• TRIM-Command: Vorbereiten von Blöcken zum Wiederbeschreiben.

Nicht-flüchtige Speichermedien - USB-Sticks

• Sollten ursprünglich Disketten ersetzen.
• Ersetzen nun aufgrund des geringen Preises auch CDs und DVDs.
• Relativ hohe Kapazitäten möglich.

Nicht-flüchtige Speichermedien - Memory Cards

• Mobile Geräte benötigen kleine und handhabbare Speichermedien.
• Wichtige Formate: CompactFlash (CF), Secure Digital (SD, unterschiedliche Formfaktoren).

Optische Speichermedien

• Wichtige Formate: CD, DVD, Blu-Ray.
• Möglichkeiten: Read-Only, Write-Once, Read-Writeable.
• Nicht nur als Asservat wichtig, auch als Medium um forensische Daten weiterzugeben.
• Daten als Sequenz von Pits (Vertiefungen) und Lands (Erhebungen).

Gedanken zur Sicherung

• Fragen: Muss eine Sicherung durchgeführt werden? Welche Kapazität hat das Asservat? Welche Kapazität hat das Zielmedium? Kann das Image komprimiert werden? Wieviel Speicher benötigt die genutzte Forensiksoftware? Wie viele Dateien werden im Laufe der Analyse potentiell extrahiert? Wie groß ist der Arbeitsspeicher des Analyse-PCs? Können noch weitere Datenträger im Verfahren dazukommen? Könnte eine Extraktion der Slacks bzw. der nicht-allokierten Bereiche sinnvoll sein? Könnten eventuell Partitionen extrahiert werden? Muss das Image evtl. konvertiert werden? Muss das Image evtl. an eine andere Stelle übergeben werden? Sind auf dem Asservat VMs vorhanden, die extrahiert und analysiert werden müssen? Sind auf dem Asservat viele komprimierte Dateien vorhanden? Full-Disk-Encryption? Extrahierte Daten auf optische Datenträger? Carving? Backups des Analyse-PCs?

Sicherung eines Asservats ohne Ausbau

• Sicherung eines Asservats ohne Ausbau des Datenträgers.
• Z. B. wenn kein Write-Blocker verfügbar ist.
• Oder für den Entscheidungsprozess, ob eine Sicherung erstellt werden soll.
• Nutzung von Linux-basierten Tools (z.B. Sleuth Kit über CAINE).
• Remote-Imaging per SSH.

Erste Schritte mit dem Asservat

• Wenn ein Asservat untersucht werden soll, gibt es mehr zu beachten als den Speicher zu extrahieren.

• Hinweis: wir betrachten hier die post-mortem-Analyse.

• Notwendige Schritte:

  • Foto-Dokumentation des Asservats
  • Anzahl der Datenträger bestimmen
  • Schnittstellen identifizieren
  • Datenträger ausbauen

• Oberseite der Datenträger fotografieren (Seriennummern, Kapazität, Hersteller, Modell, usw.).

• Öffnen von optischen Laufwerken, um z. B. DVDs zu finden (Release-Funktion).

• Analysieren, ob evtl. weitere Datenträger auf dem Mainboard angeschlossen sind (z. B. SSD mit M.2-Schnittstelle).

• Entfernen aller Datenträger aus dem System.

• Anschließend weitere Untersuchungen möglich (BIOS, Hardwarekonfiguration, evtl. mit Live-Linux).

• Datenträger mit Write-Blocker an Analyse-Rechner anbinden.

• Korrektes Device (z.B. als \dev\sdX) identifizieren.

• Hardware-Informationen bestimmen (Sektorgröße, HPA, DCO, ...).

• Sicherung(en) erstellen.

Image-Formate

• Unterscheidung von Image-Formaten:
  • Raw Images (nur der Inhalt).
  • Container (Inhalt und Metadaten).
• Metadaten: Zeiten und Dauer der Sicherung, Sicherungssoftware, Größen (Asservat), Fehler, Hashwerte.

Anmerkungen zu forensischen Images

• Forensische Images enthalten in der Regel nicht nur die Inhalte der Dateien selbst, sondern die Inhalte aller (verfügbaren) Sektoren auf dem Datenträger.
• Raw Images haben immer die Größe des Datenträgers (des Asservats).

RAW-Images

• An sich kein eigenständiges Format.
• Einfache Aneinanderreihung der Bytes des Datenträgers.
• Einfacher Transfer der Daten ohne Transformation oder Übersetzung.
• Wichtige Software: dd.

Container-Images

• Container ermöglichen die Sicherung der Daten und dazugehöriger Metadaten.

• Weitere Features: Komprimierung und Verschlüsselung.

• Beispiele: EnCase EWF, FTK Smart, AFF.

Write-Blocking

• Fundamentale Komponente der digitalen Forensik: Vollständigkeit und Integrität.
• Wichtige Mechanismus dabei: Write-Blocking.
• Ziel: Manipulationen auf dem Datenträger des Asservats unterbinden.

Kopieren von Images

• Das Kopieren von Images muss geplant werden, da der Vorgang Stunden dauern kann.
• Auch die Sicherung an sich kann bereits Stunden dauern.
• Abbrechen ist zu vermeiden.

Abschätzung von Zeiten

• Alle möglichen Aufgaben benötigen viel Zeit.
• Eine Planung ist daher unerlässlich.
• Zeiten sollten ungefähr aufgrund der Erfahrung bekannt sein (inkl. Vorbereitung).
• Auf Flaschenhälse achten.

Einflüsse auf Zeiten

• Technik des Speichers (Asservat).
• Schnittstelle (Asservat).
• Write-Blocker (Latenz?).
• Verbindung Write-Blocker zu Host.
• Host Interface.
• PCI Bus.
• CPU.
• Manche Schnittstellen müssen mindestens zwei Mal passiert werden (Asservat → Festplatte für Image).

Dokumentation

• Sicherung und Analyse eines Asservats muss nachvollziehbar sein, evtl. sogar Jahre danach.

• Dokumentation spielt eine zentrale Rolle im Bereich der Forensik.

• Erleichterung der Nachvollziehbarkeit durch Wahrung der Integrität.

• Aber: In vielen Situationen kann eine Veränderung der Daten nicht ausgeschlossen werden → Live-Analyse kann Veränderungen von Zeitstempeln und des RAM-Inhalts hervorrufen.

• Daher: Genau dokumentieren, welche Schritte durchgeführt wurden.

• Oft ist es schwierig, alle Änderungen einzuschätzen.

• Zitat: "Ingesamt lautet das Motto bei forensischen Untersuchungen: Dokumentieren, Dokumentieren, und nochmals Dokumentieren!" (Dewald und Freiling, 2015).

Verwaltungskette (Chain of Custody)

• Dokumentation, welche Person Zugriff auf ein Asservat hatte.
• Auch die gegenteilige Argumentation: Wer hatte keinen Zugriff auf das Asservat?
• Außerdem: Wo befand sich zu einem gewissen Zeitpunkt das Asservat?
• Klassische Forensik: Wer hatte physisch Zugang zu einem Asservat?
• Digitale Forensik: Wer hatte physisch Zugang zu einem Asservat und wer hatte Zugriff auf die Sicherung (z. B. durch Zugriffsprotokolle bei einem gemeinsamen Speichersystem)?

Nachvollziehbarkeit

• Die Nachvollziehbarkeit der Analyse ist von besonderer Bedeutung.
• Plausibilität der Analyseschritte.
• Begründung, warum etwas gemacht oder nicht gemacht wurde.
• Schlussfolgerungen sollten daher auch unabhängig nachvollzogen werden können.
• Nachprüfbarkeit: Nachvollziehbarkeit der Ergebnisse mit Hilfe von Basisdaten.

Aufbau eines Berichts - Zielpublikum

• Bewusstsein für das Zielpublikum entwickeln.

• Primär: Nicht-Techniker und Juristen (Richter, Staatsanwälte, usw.).

• Sekundär: Spezialisten, die ein Ergebnis überprüfen sollen.

• Orthogonale Interessen:

  • Kurze und einfache Schlussfolgerungen für Juristen/Nicht-Techniker.
  • In ganzer Breite und detailliert für die Spezialisten.

• Lösung: Der Bericht enthält mehrere Abschnitte, die jeweils für die einzelnen Zielgruppen erstellt werden.

Aufbau eines Berichts - Grobgliederung

• Grobe Gliederung:
  • Titelseite
  • Prolog
  • Zusammenfassung für Nicht-Techniker
  • Zusammenfassung für Techniker
  • Details für Techniker.

Aufbau eines Berichts - Prolog

• Details der betrachteten Asservate
• Darstellung des Untersuchungsauftrags
• Darstellung der Arbeitsumgebung (Handhabung der Asservate, welche Tools genutzt wurden usw.).

Aufbau eines Berichts - Zusammenfassung für Nicht-Techniker

• Ergebnisse für Personen, die sich nicht mit den technischen Details auseinandersetzen möchten.
• Formulierungen dementsprechend wählen bzw. wichtige Begriffe erklären.

Aufbau eines Berichts - Zusammenfassung für Techniker

• Ergebnisse für Personen, die Fachkenntnisse besitzen und die Ergebnisse nachvollziehen wollen.
• Wesentliche Schritte der Untersuchungen sollen dargelegt werden.
• Es kann direkte Fachsprache genutzt werden.

Aufbau eines Berichts - Details für Techniker

• Details zum Vorgehen der Analyse.
• Platz für alles, das bisher zu umfangreich war.
• Logdateien, Listings, Bildschirmfotos, usw.

Description

In diesem Quiz geht es um verschiedene Ansätze der Datensicherung und die Vorzüge sowie Nachteile diverser Speichermedien. Du wirst Fragen zu forensischer Sicherung, den Eigenschaften von Magnetbändern und NAND-Flash-Speichern beantworten. Teste dein Wissen über moderne Datensicherungstechniken und Speichermedien!