Kapitel 09 - Asservate und Sicherungsprozess PDF

9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 1 DIGITALE SPUREN ▶ Digitale Spuren befinden sich auf Speichern ▶ Beispiel: Inhalt einer Partitionstabelle ▶ Die Daten...

9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 1 DIGITALE SPUREN ▶ Digitale Spuren befinden sich auf Speichern ▶ Beispiel: Inhalt einer Partitionstabelle ▶ Die Daten sind nicht einfach erkennbar → Tools werden benötigt um auf diese zuzugreifen ▶ Ziele der Forensik: Integrität bewahren Modifikationen dokumentieren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 2 ZUGRIFF AUF EIN ASSERVAT Arten des Zugriffs: ▶ Zugriff auf ein laufendes System → live ▶ Zurgiff auf ein ausgeschaltetes System → post-mortem (evtl. auch per Live-Linux) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 3 VERÄNDERUNGEN DER DATEN ▶ Veränderungen der Daten müssen unterbunden werden ▶ Veränderungen können z.B. durch automatisches Einbinden des Datenträgers entstehen ▶ Ansätze: Hardware Write-Blocker Gerät, das zwischen Festplatte und Analyse-Rechner verbunden wird, um schreibende Zugriffe zu unterdrücken Software Write-Blocker Unterdrückung der schreibenden Zugriffe mit Hilfe von Software ▶ HPA (Host Protected Area) und DCO (Device Configuration Overlay) berücksichtigen ▶ Fehlerbehandlung: wenn defekte Sektoren während des Sicherungsvorgangs auftreten wird oft der betroffene Sektor dokumentiert und mit Nullen aufgefüllt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.1 TECHNIK UND SICHERUNGSPROZESS — EINFÜHRUNG 4 EBENEN DER SICHERUNG ▶ Ansatzpunkte/Ebenen Laufwerk Partition Dateisysteme Applikationsebene ▶ Bei jedem Übergang auf eine andere Ebene können Daten verloren gehen ▶ Beispiel: Wenn nur eine Partition betrachtet wird, fehlen die Informationen der Partitionstabelle X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.2 TECHNIK UND SICHERUNGSPROZESS — SICHERSTELLUNG 5 ANSÄTZE DER SICHERSTELLUNG ▶ Originaldatenträger Alle Analysen können durchgeführt werden Mögliche Beschädigung der Festplatte während des Transports ▶ Forensische Sicherung eines Datenträgers Alle Sektoren des Datenträgers sind gesichert Auch gelöschte Dateien Evtl. nicht möglich, z.B. bei großen Datenträgern ▶ Ausgewählte Dateien des Datenträgers Andere Dateien sind nicht gesichert Keine gelöschten Dateien Evtl. keine Metadaten der Dateien X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Casey (2011) 9.2 TECHNIK UND SICHERUNGSPROZESS — SICHERSTELLUNG 6 ANSÄTZE DER SICHERSTELLUNG ▶ Konvertierte Versionen von Dateien des Datenträgers Auch für die selektierten und konvertierten Dateien können die Metadaten fehlen oder fehlinterpretiert werden ▶ Auswahl von relevanten Dateien des Datenträgers Relevanz kann sich verändern, insbesondere bei neuen Erkenntnissen im Laufe der Ermittlung ▶ Schriftliche Notizen zu relevanten Dateien des Datenträgers Kein digitales Beweismittel Abhängig von der Menge X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Casey (2011) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 8 EINFÜHRUNG ▶ Speichermedien können grob in drei Kategorien gegliedert werden: Magnetische Speichermedien Nicht-Flüchtige Speichermedien Optische Speichermedien ▶ Anschlüsse Eingebaut (interner Bus) Wechseldatenträger (externer Bus) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 9 FESTPLATTEN ▶ HDD (Hard Disk Drive) ▶ Magnetisches Speichermedium ▶ Aufbau: Rotierende Platten (Platter) Stapel von Platten → Spindel (Spindle) Lese- und Schreibköpfe (Read/Write Heads) ▶ Wichtige Größen: 3,5 inch (Tower) 2,5 inch (Notebooks) 1,8 inch (Notebooks) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 11 FESTPLATTEN - ADRESSIERUNG CHS-Adresse ▶ Wird definiert über: Zylinder (Cylinder/Track) Lese-/Schreibkopf (Head) Sektor (Sector) LBA (Logical Block Address) ▶ Logisches Durchnummerieren der Sektoren eines Speichermediums ▶ Einfache Neuzuordnung möglich, wenn ein Sektor defekt ist X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 13 FESTPLATTEN – SEKTORGRÖSSEN ▶ Ein Sektor ist die kleinste adressierbare Einheit ▶ Standard: 512 Bytes (z.T. auch emuliert) ▶ Aber: z.T. heute auch 4096 Byte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 14 FESTPLATTEN – FORENSIK ▶ HDDs sind immer noch weit verbreitet ▶ Blöcke mit Inhalten alter Dateien vorhanden ▶ Datenwiederherstellung möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 15 HPA UND DCO ▶ Host Protected Area (HPA) ATA-Standard Ziel: Bereich auf Festplatten schaffen, der für das normale Betriebssystem nicht erreichbar ist (Recovery, Hibernation, …) ▶ Device Configuration Overlay (DCO) Anpassung der übermittelten Datenträgergröße z.B. bei unterschiedlicher Hardware, aber gleicher Anzahl von Sektoren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 17 MAGNETBÄNDER ▶ Magnetbänder sind immer noch wichtige Datenträger, um Daten als Backup und/oder zur Archivierung langfristig zu speichern ▶ Sequentielle Nutzung (ansonsten ist Spulen notwendig) → ungeeignet für eine normale Nutzung ▶ Daten sind oft komprimiert bzw. archiviert (z.B. tar) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 18 NICHT-FLÜCHTIGE SPEICHERMEDIEN ▶ Typischerweise NAND-Flash-Speicher ▶ Transistoren als logisches NAND-Gatter ▶ Keine mechanischen Bauteile ▶ Daten werden in Speicherbausteinen abgelegt ▶ FTL (Flash Translation Layer) → ermöglicht lineare Sequenz der Sektoren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 19 NICHT-FLÜCHTIGE SPEICHERMEDIEN – NAND Vorteile: ▶ Leise ▶ Geringer Energieverbrauch ▶ Toleranter gegenüber physikalischen Einflüssen ▶ Schneller als HDD (bei zufälligem Zugriff), da keine Mechanik → Keine Defragmentierung notwendig X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 20 NICHT-FLÜCHTIGE SPEICHERMEDIEN – WEAR LEVELING UND OVER-PROVISIONING ▶ Lebensdauer der Speicherblöcke ist relativ gering → können nicht (beliebig) oft überschrieben werden ▶ Wear Leveling → Lese- und Schreibvorgänge sollen über alle Speicherblöcke gleich verteilt werden ▶ Over-Provisioning → Defekte Speicherblöcke werde durch vorhandene Ersatzblöcke ersetzt (→ FTL, Sicherung durch Chip-Off möglich) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 21 NICHT-FLÜCHTIGE SPEICHERMEDIEN – SOLD STATE DRIVES ▶ Solid State Drive (SSD) ▶ Entwickelt um Festplatten zu ersetzen ▶ Herausforderungen: Wiederherstellung von Daten ▶ TRIM-Command (Vorbereiten von Blöcken zum Wiederbeschreiben) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 22 NICHT-FLÜCHTIGE SPEICHERMEDIEN – USB-STICKS ▶ Sollten ursprünglich Disketten ersetzen ▶ Ersetzen nun aufgrund des geringen Preises auch CDs und DVDs ▶ Relativ hohe Kapazitäten möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 23 NICHT-FLÜCHTIGE SPEICHERMEDIEN – MEMORY CARDS ▶ Mobile Geräte (Smartphones, Tablets, Kameras, …) benötigen Speichermedien, die klein und einfach zu handhaben sind ▶ Wichtige Formate: CompactFlash (CF) Secure Digital (SD, unterschiedliche Formfaktoren) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.3 TECHNIK UND SICHERUNGSPROZESS — SPEICHERMEDIEN 24 OPTISCHE SPEICHERMEDIEN ▶ Wichtige Formate: CD DVD Blu-Ray ▶ Möglichkeiten: Read-Only Write-Once Read-Writeable ▶ Nicht nur als Asservat wichtig, auch als Medium um forensische Daten weiterzugeben ▶ Daten als Sequenz von Pits (Vertiefungen) und Lands (Erhebungen) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 31 GEDANKEN ZUR SICHERUNG ▶ Muss eine Sicherung durchgeführt werden? ▶ Welche Kapazität hat das Asservat? ▶ Welche Kapazität hat das Zielmedium? ▶ Kann das Image komprimiert werden? ▶ Wieviel Speicher benötigt die genutzte Forensiksoftware? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 32 GEDANKEN ZUR SICHERUNG ▶ Wie viele Dateien werden im Laufe des Analyse potentiell extrahiert? ▶ Wie groß ist der Arbeitsspeicher des Analyse-PCs? ▶ Können noch weitere Datenträger im Verfahren dazukommen? ▶ Könnte eine Extraktion der Slacks bzw. der nicht-allokierten Bereiche sinnvoll sein? ▶ Könnten eventuell Partitionen extrahiert werden? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 33 GEDANKEN ZUR SICHERUNG ▶ Muss das Image evtl. konvertiert werden? ▶ Muss das Image evtl. an eine andere Stelle übergeben werden? ▶ Sind auf dem Asservat VMs vorhanden, die extrahiert und analysiert werden müssen? ▶ Sind auf dem Asservat viele komprimierte Dateien vorhanden? ▶ Full-Disk-Encryption? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 34 GEDANKEN ZUR SICHERUNG ▶ Extrahierte Daten auf optische Datenträger? ▶ Carving? ▶ Backups des Analyse-PCs? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 35 LIVE-LINUX-SYSTEME ▶ Sicherung eines Asservats ohne Ausbau des Datenträgers ▶ z.B. wenn kein Write-Blocker verfügbar ist ▶ Oder für den Entscheidungsprozess, ob eine Sicherung erstellt werden soll ▶ Nutzung von Linux-basierten Tools (z.B. Sleuth Kit über CAINE) ▶ Remote-Imaging per SSH X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 36 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Wenn ein Asservat untersucht werden soll, gibt es mehr zu beachten, als den Speicher zu extrahieren ▶ Hinweis: wir betrachten hier die post-mortem-Analyse ▶ Notwendige Schritte: 1. Foto-Dokumentation des Asservats 2. Anzahl der Datenträger bestimmen 3. Schnittstellen identifizieren 4. Datenträger ausbauen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 37 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Oberseite der Datenträger fotografieren (Seriennummern, Kapazität, Hersteller, Modell, usw.) ▶ Öffnen von optischen Laufwerken, um z.B. DVDs zu finden (Release-Funktion) ▶ Analysieren, ob evtl. weitere Datenträger auf dem Mainboard angeschlossen sind (z.B. SSD mit M.2-Schnittstelle) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 38 ERSTE SCHRITTE MIT DEM ASSERVAT ▶ Entfernen aller Datenträger aus dem System ▶ Anschließend weitere Untersuchungen möglich (BIOS, Hardwarekonfiguration, evtl. mit Live-Linux) ▶ Datenträger mit Write-Blocker an Analyse-Rechner anbinden ▶ Korrektes Device (z.B. als \dev\sdX) identifizieren ▶ Hardware-Informationen bestimmen (Sektorgröße, HPA, DCO, …) ▶ Sicherung(en) erstellen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 39 IMAGE-FORMATE ▶ Unterscheidung von Image-Formaten: Raw Images (nur der Inhalt) Container (Inhalt und Metadaten) ▶ Metadaten können sein: Zeiten und Dauer der Sicherung Sicherungssoftware Größen (Asservat) Fehler Hashwerte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 40 ANMERKUNGEN ZU FORENSISCHEN IMAGES Ein paar Anmerkungen: ▶ Forensische Images bestehen in der Regel nicht nur aus den Inhalten der Dateien selbst ▶ Sie enthalten die Inhalte aller (verfügbaren) Sektoren auf dem Datenträger ▶ Raw Images (u.a. keine Komprimierung) haben immer die Größe des Datenträgers (des Asservats) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 42 RAW-IMAGES ▶ An sich kein eigenständiges Format, da einfache Aneinanderreihung der Bytes des Datenträgers ▶ Einfacher Transfer der Daten ohne Transformation oder Übersetzung ▶ Wichtige Software: dd (kennen wir schon aus der Übung) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 46 CONTAINER-IMAGES ▶ Container ermöglichen die Sicherung der Daten an sich und dazugehöriger Metadaten ▶ Weitere Features: Komprimierung und Verschlüsselung ▶ Beispiele: EnCase EWF (Export Witness Format) von Guidance Software (unter Linux nutzbar mit libewf) FTK Smart von AccessData AFF (Advanced Forensic Format) als offenes Format von Simson Garfinkel eingeführt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 47 WRITE-BLOCKING ▶ Fundamentale(!) Komponente der digitalen Forensik: Vollständigkeit und Integrität ▶ Wichtige Mechanismus dabei: Write-Blocking ▶ Ziel: Manipulationen auf dem Datenträger des Asservats unterbinden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 48 WRITE-BLOCKING Read Command Write Command Read Read Write Sector 5 Sector 5 Sector 5 Controller Controller Blocker Blocker Disk 0 Disk 0 Sector 5 Sector 5 Data Data X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 49 KOPIEREN VON IMAGES ▶ Das Kopieren von Images muss geplant werden, da der Vorgang Stunden dauern kann ▶ Auch die Sicherung an sich kann bereits Stunden andauern ▶ Abbrechen ist zu vermeiden, da der Vorgang evtl. neu gestartet werden muss X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 51 ABSCHÄTZUNG VON ZEITEN ▶ Alle möglichen Aufgaben benötigen (viel) Zeit ▶ Eine Planung ist daher unerlässlich ▶ Evtl. möchte jemand(?) wissen, wie lange etwas dauert… ▶ Zeiten sollten ungefähr aufgrund der Erfahrung bekannt sein (inkl. Vorbereitung) ▶ Auf Flaschenhälse achten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.5 TECHNIK UND SICHERUNGSPROZESS — SICHERUNG 52 EINFLÜSSE AUF ZEITEN ▶ Technik des Speichers (Asservat) ▶ Schnittstelle (Asservat) ▶ Write-Blocker (Latenz?) ▶ Verbindung Write-Blocker zu Host ▶ Host Interface ▶ PCI Bus ▶ CPU → Manche Schnittstellen müssen mindestens zwei Mal passiert werden (Asservat → Festplatte für Image) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Nikkel (2016) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 56 MOTIVATION ▶ Sicherung und Analyse eines Asservats muss nachvollziehbar sein ▶ Evtl. sogar Jahre danach ▶ Also: Dokumentation spielt eine zentrale Rolle im Bereich der Forensik X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 57 MOTIVATION ▶ Erleichterung der Nachvollziehbarkeit durch Wahrung der Integrität ▶ Aber: In vielen Situationen kann eine Veränderung der Daten nicht ausgeschlossen werden → Live-Analyse kann Veränderungen von Zeitstempeln und des RAM-Inhalts hervorrufen ▶ Daher: Genau dokumentieren, welche Schritte durchgeführt wurden ▶ Oft ist es schwierig alle Änderungen einzuschätzen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 58 ZITAT „Ingesamt lautet das Motto bei forensischen Untersuchungen: Dokumentieren, Dokumentieren, und nochmals Dokumentie- ren!“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 59 VERWAHRUNGSKETTE (CHAIN OF CUSTODY) ▶ Dokumentation, welche Person Zugriff auf ein Asservat hatte ▶ Auch die gegenteilige Argumentation: Wer hatte keinen Zugriff auf das Asservat? ▶ Außerdem: Wo befand sich zu einem gewissen Zeitpunkt das Asservat? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 60 VERWAHRUNGSKETTE (CHAIN OF CUSTODY) ▶ Klassische Forensik: Wer hatte physisch Zugang zu einem Asservat ▶ Digitale Forensik: Wer hatte physisch Zugang zu einem Asservat und wer hatte Zugriff auf die Sicherung (z.B. durch Zugriffsprotokolle bei einem gemeinsamen Speichersystem)? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 67 NACHVOLLZIEHBARKEIT ▶ Die Nachvollziehbarkeit der Analyse ist von besonderer Bedeutung ▶ Plausibilität der Analyseschritte ▶ Hierzu zählt auch die Begründung, warum es gemacht bzw. nicht gemacht wurde ▶ Schlussfolgerungen sollten daher auch unabhängig nachvollzogen werden können ▶ Nachprüfbarkeit → Nachvollziehbarkeit von Ergebnissen mit Hilfe von Basisdaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 69 AUFBAU EINES BERICHTS – ZIELPUBLIKUM ▶ Bewusstsein für das Zielpublikum entwickeln ▶ Primär: Nicht-Techniker und Juristen (Richter, Staatsanwälte, usw.) ▶ Sekundär: Spezialisten, die ein Ergebnis überprüfen sollen ▶ Orthogonale Interessen: Kurze und einfache Schlussfolgerungen für Juristen/Nicht-Techniker In ganzer Breite und detailliert für die Spezialisten ▶ Lösung: Der Bericht enthält mehrere Abschnitte, die jeweils für die einzelnen Zielgruppen erstellt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 70 AUFBAU EINES BERICHTS – GROBGLIEDERUNG Grobe Gliederung: 1. Titelseite ;) 2. Prolog 3. Zusammenfassung für Nicht-Techniker 4. Zusammenfassung für Techniker 5. Details für Techniker X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 71 AUFBAU EINES BERICHTS – PROLOG ▶ Details der betrachteten Asservate ▶ Darstellung des Untersuchungsauftrags ▶ Darstellung der Arbeitsumgebung (Handhabung der Asservate, welche Tools genutzt wurden usw.) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 72 AUFBAU EINES BERICHTS – ZUSAMMENFASSUNG FÜR NICHT-TECHNIKER ▶ Ergebnisse für Personen, die sich nicht mit den technischen Details auseinandersetzen möchten ▶ Formulierungen dementsprechend wählen bzw. wichtige Begriffe erklären X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 73 AUFBAU EINES BERICHTS – ZUSAMMENFASSUNG FÜR TECHNIKER ▶ Ergebnisse für Personen, die Fachkenntnisse besitzen und die Ergebnisse nachvollziehen wollen ▶ Wesentliche Schritte der Untersuchungen sollen dargelegt werden ▶ Es kann direkte Fachsprache genutzt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 9.6 TECHNIK UND SICHERUNGSPROZESS — DOKUMENTATION 74 AUFBAU EINES BERICHTS – DETAILS FÜR TECHNIKER ▶ Details zum Vorgehen der Analyse ▶ Platz für alles, das bisher zu umfangreich war ▶ Logdateien, Listings, Bildschirmfotos, usw. X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015)

Kapitel 09 - Asservate und Sicherungsprozess PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue