In der heutigen Vorlesung beschäftigen wir uns mit Anforderungen an den forensischen Prozess und vertiefen nochmals die Begrifflichkeiten der digitalen Forensik. Zum Abschluss werden die charakteristischen Eigenschaften digitaler Spuren diskutiert.
| Skript-Anfang | Kapitel 2 – Seite 1 |
|---|---|
| Skript-Ende | Kapitel 2 – Seite 16 |
Forensischer Prozess
Welche Anforderungen werden an den forensischen Prozess gestellt?
- Nachvollziehbarkeit (im Sinne der Wiederholbarkeit)
- Transparenz (Dokumentation der Ermittlung)
- Akzeptanz der Methoden bzw. Werkzeuge (oft Nutzung von zwei unabhängigen Werkzeugen empfohlen)
- Glaubwürdigkeit der Methoden bzw. Werkzeuge
- Integrität (keine unbemerkten, unzulässigen Änderungen ohne Nachvollziehbarkeit)
- Ursache und Auswirkungen (logisch nachvollziehbare Verbindungen zwischen Spuren und Personen herstellen)
Welche Arten von Dokumentationen gibt es?
- Das schrittweise Verlaufsprotokoll unter Verwendung des 4-Augen-Prinzips (für Glaubwürdigkeit)
- Im Ergebnisprotokoll werden nur wesentliche Resultate protokolliert
Was sind forensische Grundlagen?
- Typischerweise die W-Fragen (wer, was, wann, wo, wie, womit und warum)
- Weitere Anforderungen sind im BSI-Leitfaden nachzulesen
Datenträgeranalyse
Was ist die Logical Block Adress (LBA)?
Die Blöcke der Festplatte werden im Gegensatz zur dreidimensionalen Zylinder-Kopf-Sektor-Adressierung (engl. Cylinder-Head-Sector, kurz CHS) komplett unabhängig von der Festplattengeometrie adressiert. Dabei werden beim LBA-Verfahren die Blöcke einfach gezählt, beginnend mit Null. Jeder LBA-Block entspricht einem einzelnen Sektor der CHS-Adressierung.http://de.wikipedia.org/wiki/Logical_Block_Addressing
Wieso ist die LBA für uns interessant?
- Über die logische Adressierung lassen sich Blöcke auf der Festplatte ansprechen
- Die Begriffe Block und Sektor werden in diesem Kontext synonym verwendet
- In der Partitionstabelle werden die Partitionen über LBAs bezeichnet
- Diese Partitionen und Adressen entsprechen nicht der realen physischen Zuordnung auf der Festplatte
- Ein beschädigter Sektor wird intern ausgetauscht und mit einem unbenutzten Sektor ersetzt
Digitale Forensik
Wofür steht der Begriff der Gerichtsverwertbarkeit?
- Formal bedeutet dies, dass etwas geeignet ist, um eine gerichtliche Untersuchung einzuleiten
- Im Umkehrschluss bedeutet dies, dass im kompletten forensischen Prozess so gearbeitet werden muss, dass alle Spuren zweifelsfrei und nach juristischem Recht verwertet werden können
- Eine unsaubere Arbeit zu Beginn kann dazu führen, dass keine Spur gerichtsverwertbar ist
Wo entstehen digitale Spuren?
- Auf dem lokalen System entstehen Spuren durch die Benutzung in Anwendungen, Betriebssystem und Dateisystem
- Bei Kommunikation zwischen zwei Systemen entstehen Spuren auch auf dem entfernten System und allen Knoten dazwischen
Was sind digitale Spuren?
- Vermeidbare (non-essential) Spuren lassen sich vom Benutzer durch Konfiguration der Anwendungen umgehen (meist Komfortfunktionen ohne die das System auch läuft)
- Unvermeidbare (essential) Spuren sind essenziell für das System und seine Funktionsweise
- Eine Manipulation von unvermeidbaren Spuren führt dazu, dass sich Systeme nicht korrekt starten und bedienen lassen
- Je unvermeidbarer eine Spur ist, desto vertrauenswürdiger kann man sie einstufen
Was sind Beispiele für digitale Spuren?
- In einem Journal werden zu tätigende Aktionen gesammelt und erst dann durchgeführt, um die Konsistenz des Dateisystems zu wahren
- Das Dateisystem ext4 protokolliert den Löschzeitpunkt von Dateien
- Der Browser-Verlauf wird oftmals in sqlite-Dateien gespeichert