Kapitel 09 - Asservate und Sicherungsprozess PDF
Document Details
Uploaded by EntrancingOnyx2948
Hochschule Niederrhein
Tags
Summary
This document details the different types of storage media and how they are used for data analysis in a digital forensic setting. It also covers the various steps taken to secure and analyze data, and the processes involved when dealing with digital forensic evidence. The document seems to be a part of a presentation, study material, or course notes.
Full Transcript
9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 1 DIGITALE SPUREN ▶ Digitale Spuren befinden sich auf Speichern ▶ Beispiel: Inhalt einer Partitionstabelle ▶ Die Daten...
9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 1 DIGITALE SPUREN ▶ Digitale Spuren befinden sich auf Speichern ▶ Beispiel: Inhalt einer Partitionstabelle ▶ Die Daten sind nicht einfach erkennbar → Tools werden benötigt um auf diese zuzugreifen ▶ Ziele der Forensik: Integrität bewahren Modifikationen dokumentieren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 2 ZUGRIFF AUF EIN ASSERVAT Arten des Zugriffs: ▶ Zugriff auf ein laufendes System → live ▶ Zurgiff auf ein ausgeschaltetes System → post-mortem (evtl. auch per Live-Linux) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 3 VERÄNDERUNGEN DER DATEN ▶ Veränderungen der Daten müssen unterbunden werden ▶ Veränderungen können z.B. durch automatisches Einbinden des Datenträgers entstehen ▶ Ansätze: Hardware Write-Blocker Gerät, das zwischen Festplatte und Analyse-Rechner verbunden wird, um schreibende Zugriffe zu unterdrücken Software Write-Blocker Unterdrückung der schreibenden Zugriffe mit Hilfe von Software ▶ HPA (Host Protected Area) und DCO (Device Configuration Overlay) berücksichtigen ▶ Fehlerbehandlung: wenn defekte Sektoren während des Sicherungsvorgangs auftreten wird oft der betroffene Sektor dokumentiert und mit Nullen aufgefüllt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 4 EBENEN DER SICHERUNG ▶ Ansatzpunkte/Ebenen Laufwerk Partition Dateisysteme Applikationsebene ▶ Bei jedem Übergang auf eine andere Ebene können Daten verloren gehen ▶ Beispiel: Wenn nur eine Partition betrachtet wird, fehlen die Informationen der Partitionstabelle X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.2 TECHNIK UND SICHERUNGSPROZESS — SICHERSTELLUNG 5 ANSÄTZE DER SICHERSTELLUNG ▶ Originaldatenträger Alle Analysen können durchgeführt werden Mögliche Beschädigung der Festplatte während des Transports ▶ Forensische Sicherung eines Datenträgers Alle Sektoren des Datenträgers sind gesichert Auch gelöschte Dateien Evtl. nicht möglich, z.B. bei großen Datenträgern ▶ Ausgewählte Dateien des Datenträgers Andere Dateien sind nicht gesichert Keine gelöschten Dateien Evtl. keine Metadaten der Dateien X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Casey (2011) 9.2 TECHNIK UND SICHERUNGSPROZESS — SICHERSTELLUNG 6 ANSÄTZE DER SICHERSTELLUNG ▶ Konvertierte Versionen von Dateien des Datenträgers Auch für die selektierten und konvertierten Dateien können die Metadaten fehlen oder fehlinterpretiert werden ▶ Auswahl von relevanten Dateien des Datenträgers Relevanz kann sich verändern, insbesondere bei neuen Erkenntnissen im Laufe der Ermittlung ▶ Schriftliche Notizen zu relevanten Dateien des Datenträgers Kein digitales Beweismittel Abhängig von der Menge X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Casey (2011) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 8 EINFÜHRUNG ▶ Speichermedien können grob in drei Kategorien gegliedert werden: Magnetische Speichermedien Nicht-Flüchtige Speichermedien Optische Speichermedien ▶ Anschlüsse Eingebaut (interner Bus) Wechseldatenträger (externer Bus) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 9 FESTPLATTEN ▶ HDD (Hard Disk Drive) ▶ Magnetisches Speichermedium ▶ Aufbau: Rotierende Platten (Platter) Stapel von Platten → Spindel (Spindle) Lese- und Schreibköpfe (Read/Write Heads) ▶ Wichtige Größen: 3,5 inch (Tower) 2,5 inch (Notebooks) 1,8 inch (Notebooks) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 11 FESTPLATTEN - ADRESSIERUNG CHS-Adresse ▶ Wird definiert über: Zylinder (Cylinder/Track) Lese-/Schreibkopf (Head) Sektor (Sector) LBA (Logical Block Address) ▶ Logisches Durchnummerieren der Sektoren eines Speichermediums ▶ Einfache Neuzuordnung möglich, wenn ein Sektor defekt ist X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 13 FESTPLATTEN – SEKTORGRÖSSEN ▶ Ein Sektor ist die kleinste adressierbare Einheit ▶ Standard: 512 Bytes (z.T. auch emuliert) ▶ Aber: z.T. heute auch 4096 Byte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 14 FESTPLATTEN – FORENSIK ▶ HDDs sind immer noch weit verbreitet ▶ Blöcke mit Inhalten alter Dateien vorhanden ▶ Datenwiederherstellung möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 15 HPA UND DCO ▶ Host Protected Area (HPA) ATA-Standard Ziel: Bereich auf Festplatten schaffen, der für das normale Betriebssystem nicht erreichbar ist (Recovery, Hibernation, …) ▶ Device Configuration Overlay (DCO) Anpassung der übermittelten Datenträgergröße z.B. bei unterschiedlicher Hardware, aber gleicher Anzahl von Sektoren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 17 MAGNETBÄNDER ▶ Magnetbänder sind immer noch wichtige Datenträger, um Daten als Backup und/oder zur Archivierung langfristig zu speichern ▶ Sequentielle Nutzung (ansonsten ist Spulen notwendig) → ungeeignet für eine normale Nutzung ▶ Daten sind oft komprimiert bzw. archiviert (z.B. tar) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 18 NICHT-FLÜCHTIGE SPEICHERMEDIEN ▶ Typischerweise NAND-Flash-Speicher ▶ Transistoren als logisches NAND-Gatter ▶ Keine mechanischen Bauteile ▶ Daten werden in Speicherbausteinen abgelegt ▶ FTL (Flash Translation Layer) → ermöglicht lineare Sequenz der Sektoren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 19 NICHT-FLÜCHTIGE SPEICHERMEDIEN – NAND Vorteile: ▶ Leise ▶ Geringer Energieverbrauch ▶ Toleranter gegenüber physikalischen Einflüssen ▶ Schneller als HDD (bei zufälligem Zugriff), da keine Mechanik → Keine Defragmentierung notwendig X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 20 NICHT-FLÜCHTIGE SPEICHERMEDIEN – WEAR LEVELING UND OVER-PROVISIONING ▶ Lebensdauer der Speicherblöcke ist relativ gering → können nicht (beliebig) oft überschrieben werden ▶ Wear Leveling → Lese- und Schreibvorgänge sollen über alle Speicherblöcke gleich verteilt werden ▶ Over-Provisioning → Defekte Speicherblöcke werde durch vorhandene Ersatzblöcke ersetzt (→ FTL, Sicherung durch Chip-Off möglich) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 21 NICHT-FLÜCHTIGE SPEICHERMEDIEN – SOLD STATE DRIVES ▶ Solid State Drive (SSD) ▶ Entwickelt um Festplatten zu ersetzen ▶ Herausforderungen: Wiederherstellung von Daten ▶ TRIM-Command (Vorbereiten von Blöcken zum Wiederbeschreiben) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 22 NICHT-FLÜCHTIGE SPEICHERMEDIEN – USB-STICKS ▶ Sollten ursprünglich Disketten ersetzen ▶ Ersetzen nun aufgrund des geringen Preises auch CDs und DVDs ▶ Relativ hohe Kapazitäten möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 23 NICHT-FLÜCHTIGE SPEICHERMEDIEN – MEMORY CARDS ▶ Mobile Geräte (Smartphones, Tablets, Kameras, …) benötigen Speichermedien, die klein und einfach zu handhaben sind ▶ Wichtige Formate: CompactFlash (CF) Secure Digital (SD, unterschiedliche Formfaktoren) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 24 OPTISCHE SPEICHERMEDIEN ▶ Wichtige Formate: CD DVD Blu-Ray ▶ Möglichkeiten: Read-Only Write-Once Read-Writeable ▶ Nicht nur als Asservat wichtig, auch als Medium um forensische Daten weiterzugeben ▶ Daten als Sequenz von Pits (Vertiefungen) und Lands (Erhebungen) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 31 GEDANKEN ZUR SICHERUNG ▶ Muss eine Sicherung durchgeführt werden? ▶ Welche Kapazität hat das Asservat? ▶ Welche Kapazität hat das Zielmedium? ▶ Kann das Image komprimiert werden? ▶ Wieviel Speicher benötigt die genutzte Forensiksoftware? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 32 GEDANKEN ZUR SICHERUNG ▶ Wie viele Dateien werden im Laufe des Analyse potentiell extrahiert? ▶ Wie groß ist der Arbeitsspeicher des Analyse-PCs? ▶ Können noch weitere Datenträger im Verfahren dazukommen? ▶ Könnte eine Extraktion der Slacks bzw. der nicht-allokierten Bereiche sinnvoll sein? ▶ Könnten eventuell Partitionen extrahiert werden? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 33 GEDANKEN ZUR SICHERUNG ▶ Muss das Image evtl. konvertiert werden? ▶ Muss das Image evtl. an eine andere Stelle übergeben werden? ▶ Sind auf dem Asservat VMs vorhanden, die extrahiert und analysiert werden müssen? ▶ Sind auf dem Asservat viele komprimierte Dateien vorhanden? ▶ Full-Disk-Encryption? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 34 GEDANKEN ZUR SICHERUNG ▶ Extrahierte Daten auf optische Datenträger? ▶ Carving? ▶ Backups des Analyse-PCs? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 35 LIVE-LINUX-SYSTEME ▶ Sicherung eines Asservats ohne Ausbau des Datenträgers ▶ z.B. wenn kein Write-Blocker verfügbar ist ▶ Oder für den Entscheidungsprozess, ob eine Sicherung erstellt werden soll ▶ Nutzung von Linux-basierten Tools (z.B. Sleuth Kit über CAINE) ▶ Remote-Imaging per SSH X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 36 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Wenn ein Asservat untersucht werden soll, gibt es mehr zu beachten, als den Speicher zu extrahieren ▶ Hinweis: wir betrachten hier die post-mortem-Analyse ▶ Notwendige Schritte: 1. Foto-Dokumentation des Asservats 2. Anzahl der Datenträger bestimmen 3. Schnittstellen identifizieren 4. Datenträger ausbauen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 37 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Oberseite der Datenträger fotografieren (Seriennummern, Kapazität, Hersteller, Modell, usw.) ▶ Öffnen von optischen Laufwerken, um z.B. DVDs zu finden (Release-Funktion) ▶ Analysieren, ob evtl. weitere Datenträger auf dem Mainboard angeschlossen sind (z.B. SSD mit M.2-Schnittstelle) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 38 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Entfernen aller Datenträger aus dem System ▶ Anschließend weitere Untersuchungen möglich (BIOS, Hardwarekonfiguration, evtl. mit Live-Linux) ▶ Datenträger mit Write-Blocker an Analyse-Rechner anbinden ▶ Korrektes Device (z.B. als \dev\sdX) identifizieren ▶ Hardware-Informationen bestimmen (Sektorgröße, HPA, DCO, …) ▶ Sicherung(en) erstellen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 39 IMAGE-FORMATE ▶ Unterscheidung von Image-Formaten: Raw Images (nur der Inhalt) Container (Inhalt und Metadaten) ▶ Metadaten können sein: Zeiten und Dauer der Sicherung Sicherungssoftware Größen (Asservat) Fehler Hashwerte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 40 ANMERKUNGEN ZU FORENSISCHEN IMAGES Ein paar Anmerkungen: ▶ Forensische Images bestehen in der Regel nicht nur aus den Inhalten der Dateien selbst ▶ Sie enthalten die Inhalte aller (verfügbaren) Sektoren auf dem Datenträger ▶ Raw Images (u.a. keine Komprimierung) haben immer die Größe des Datenträgers (des Asservats) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 42 RAW-IMAGES ▶ An sich kein eigenständiges Format, da einfache Aneinanderreihung der Bytes des Datenträgers ▶ Einfacher Transfer der Daten ohne Transformation oder Übersetzung ▶ Wichtige Software: dd (kennen wir schon aus der Übung) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 46 CONTAINER-IMAGES ▶ Container ermöglichen die Sicherung der Daten an sich und dazugehöriger Metadaten ▶ Weitere Features: Komprimierung und Verschlüsselung ▶ Beispiele: EnCase EWF (Export Witness Format) von Guidance Software (unter Linux nutzbar mit libewf) FTK Smart von AccessData AFF (Advanced Forensic Format) als offenes Format von Simson Garfinkel eingeführt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 47 WRITE-BLOCKING ▶ Fundamentale(!) Komponente der digitalen Forensik: Vollständigkeit und Integrität ▶ Wichtige Mechanismus dabei: Write-Blocking ▶ Ziel: Manipulationen auf dem Datenträger des Asservats unterbinden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 48 WRITE-BLOCKING Read Command Write Command Read Read Write Sector 5 Sector 5 Sector 5 Controller Controller Blocker Blocker Disk 0 Disk 0 Sector 5 Sector 5 Data Data X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 49 KOPIEREN VON IMAGES ▶ Das Kopieren von Images muss geplant werden, da der Vorgang Stunden dauern kann ▶ Auch die Sicherung an sich kann bereits Stunden andauern ▶ Abbrechen ist zu vermeiden, da der Vorgang evtl. neu gestartet werden muss X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 51 ABSCHÄTZUNG VON ZEITEN ▶ Alle möglichen Aufgaben benötigen (viel) Zeit ▶ Eine Planung ist daher unerlässlich ▶ Evtl. möchte jemand(?) wissen, wie lange etwas dauert… ▶ Zeiten sollten ungefähr aufgrund der Erfahrung bekannt sein (inkl. Vorbereitung) ▶ Auf Flaschenhälse achten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 52 EINFLÜSSE AUF ZEITEN ▶ Technik des Speichers (Asservat) ▶ Schnittstelle (Asservat) ▶ Write-Blocker (Latenz?) ▶ Verbindung Write-Blocker zu Host ▶ Host Interface ▶ PCI Bus ▶ CPU → Manche Schnittstellen müssen mindestens zwei Mal passiert werden (Asservat → Festplatte für Image) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 56 MOTIVATION ▶ Sicherung und Analyse eines Asservats muss nachvollziehbar sein ▶ Evtl. sogar Jahre danach ▶ Also: Dokumentation spielt eine zentrale Rolle im Bereich der Forensik X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 57 MOTIVATION ▶ Erleichterung der Nachvollziehbarkeit durch Wahrung der Integrität ▶ Aber: In vielen Situationen kann eine Veränderung der Daten nicht ausgeschlossen werden → Live-Analyse kann Veränderungen von Zeitstempeln und des RAM-Inhalts hervorrufen ▶ Daher: Genau dokumentieren, welche Schritte durchgeführt wurden ▶ Oft ist es schwierig alle Änderungen einzuschätzen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 58 ZITAT „Ingesamt lautet das Motto bei forensischen Untersuchungen: Dokumentieren, Dokumentieren, und nochmals Dokumentie- ren!“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 59 VERWAHRUNGSKETTE (CHAIN OF CUSTODY) ▶ Dokumentation, welche Person Zugriff auf ein Asservat hatte ▶ Auch die gegenteilige Argumentation: Wer hatte keinen Zugriff auf das Asservat? ▶ Außerdem: Wo befand sich zu einem gewissen Zeitpunkt das Asservat? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 60 VERWAHRUNGSKETTE (CHAIN OF CUSTODY) ▶ Klassische Forensik: Wer hatte physisch Zugang zu einem Asservat ▶ Digitale Forensik: Wer hatte physisch Zugang zu einem Asservat und wer hatte Zugriff auf die Sicherung (z.B. durch Zugriffsprotokolle bei einem gemeinsamen Speichersystem)? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 67 NACHVOLLZIEHBARKEIT ▶ Die Nachvollziehbarkeit der Analyse ist von besonderer Bedeutung ▶ Plausibilität der Analyseschritte ▶ Hierzu zählt auch die Begründung, warum es gemacht bzw. nicht gemacht wurde ▶ Schlussfolgerungen sollten daher auch unabhängig nachvollzogen werden können ▶ Nachprüfbarkeit → Nachvollziehbarkeit von Ergebnissen mit Hilfe von Basisdaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 69 AUFBAU EINES BERICHTS – ZIELPUBLIKUM ▶ Bewusstsein für das Zielpublikum entwickeln ▶ Primär: Nicht-Techniker und Juristen (Richter, Staatsanwälte, usw.) ▶ Sekundär: Spezialisten, die ein Ergebnis überprüfen sollen ▶ Orthogonale Interessen: Kurze und einfache Schlussfolgerungen für Juristen/Nicht-Techniker In ganzer Breite und detailliert für die Spezialisten ▶ Lösung: Der Bericht enthält mehrere Abschnitte, die jeweils für die einzelnen Zielgruppen erstellt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 70 AUFBAU EINES BERICHTS – GROBGLIEDERUNG Grobe Gliederung: 1. Titelseite ;) 2. Prolog 3. Zusammenfassung für Nicht-Techniker 4. Zusammenfassung für Techniker 5. Details für Techniker X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 71 AUFBAU EINES BERICHTS – PROLOG ▶ Details der betrachteten Asservate ▶ Darstellung des Untersuchungsauftrags ▶ Darstellung der Arbeitsumgebung (Handhabung der Asservate, welche Tools genutzt wurden usw.) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 72 AUFBAU EINES BERICHTS – ZUSAMMENFASSUNG FÜR NICHT-TECHNIKER ▶ Ergebnisse für Personen, die sich nicht mit den technischen Details auseinandersetzen möchten ▶ Formulierungen dementsprechend wählen bzw. wichtige Begriffe erklären X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 73 AUFBAU EINES BERICHTS – ZUSAMMENFASSUNG FÜR TECHNIKER ▶ Ergebnisse für Personen, die Fachkenntnisse besitzen und die Ergebnisse nachvollziehen wollen ▶ Wesentliche Schritte der Untersuchungen sollen dargelegt werden ▶ Es kann direkte Fachsprache genutzt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 74 AUFBAU EINES BERICHTS – DETAILS FÜR TECHNIKER ▶ Details zum Vorgehen der Analyse ▶ Platz für alles, das bisher zu umfangreich war ▶ Logdateien, Listings, Bildschirmfotos, usw. X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015)
