In der heutigen Vorlesung diskutieren wir die Vor- und Nachteile digitaler Spuren und besprechen, ob und wie Daten zuverlässig von Datenträgern gelöscht werden können.
| Skript-Anfang | Kapitel 2 – Seite 17 |
|---|---|
| Skript-Ende | Kapitel 3 – Seite 7 |
Grundlagen der digitalen Forensik
Vor- und Nachteile digitaler Spuren
Vorteile digitaler Spuren
- Exaktes Duplizieren eines Originaldatenträgers
- Das Original wird dabei nur einmal angefasst
- Digitale Spuren sind schwer zu vernichten
Wie löscht man zuverlässig eine Festplatte?
- Indem man alles mit Nullen überschreibt
sudo dd if = /dev/zero of=/dev/sdb- Das funktioniert für SSDs nicht mehr, da der Controller Schreibzugriffe gleichmäßig verteilt
Was ist der Zustandsraum?
- Alle möglichen Bit-Belegungen eines Speichers
- Eine 8 GiB-Festplatte hat 2236 mögliche Zustände, wenn alle Bits unabhängig belegt werden können
- 8*230 Byte = 233 Byte = 236 Bit = 2236 Zustände
- Die tatsächliche Zustandsmenge ist niedriger, da es immer Abhängigkeiten gibt
Klassifikation digitaler Spuren und das digitale Austauschprinzip
Worin unterscheiden sich digitale Spuren?
- Digitale Spuren können anhand ihrer Flüchtigkeit klassifiziert werden
- Bei der Datensicherung muss daher die Order of Volatility beachtet werden
- Flüchtig → Semi-persistent → Peristent
Wie definiert sich Locards Prinzip für digitale Spuren?
- Das Prinzip wird nun als Digitales Austauschprinzip bezeichnet
- In jedem hinreichend komplexen digitalen System hinterlässt Datenverarbeitung notwendigerweise digitale Spuren
Was ist eine Live Response Analyse?
- Die Analyse eines noch aktiven, nicht ausgeschalteten Systems
- Sie ist sinnvoll, wenn wertvolle flüchtige Daten verloren gehen könnten oder nach dem Ausschalten der Zugriff auf den Datenträger nicht mehr möglich ist
- Die Live Analyse kann zur Beeinträchtigung oder Verlust von Informationen führen
Was ist eine Post Mortem Analyse?
- Auswertung von Datenträgern bzw. Datenträgerkopien von bereits ausgeschalteten Systemen
- Analyse wird an einer forensischen Kopie des Datenträgers durchgeführt
- Analyse findet an einem eigenen forensischen System statt
Datenträgeranalyse
Wie geht man bei der Datenträgeranalyse vor?
- Schreibschutz durch Hard- und Software gewährleisten
- Mounten des Datenträgers
- Kopie des Beweismittels (Master-Kopie) erstellen
- Hash von Drive und Master erstellen mit
sha256sum /dev/sdb mastercopy.dd - Arbeitskopien erstellen
- Hash der Arbeitskopien erstellen