IT Forensik Flashcards
IT Forensik Definition
Streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems
IT-Forensik: Vorgehensmodell (allgemein)
- Ausgangspunkt: (sicherheits-)relevante Ereignisse im Reallife und diesbezüglich digitale Daten
- Primäres Ziel: Aufklärung (nach dem Eintritt eines Vorfalls)
-> Finden und Untersuchen von Dateiinhalten als Indiz für illegale, unerlaubte, unerwünschte Handlungen
-> ggf. vorher nur Wiederherstellen gelöschter Dateien - Sekundäres Ziel: Vorsorge
IT-Forensik: Arbeitsgebiete
- Datenträger-Forensik auf Festplatten, SSDs, Mobilgeräten, …
- Memory-Forensik im Arbeitsspeicher/RAM
- Netzwerk-Forensik
- Forensik für besondere IT-Systeme
- Cloud-Forensik
- Multimedia-Forensik
- Forensische Linguistik für Textdaten
IT-Forensik Herausforderungen
- Datenmengen immer größer, Speicherplatz immer günstiger
- Zeit seit Vorfall
IT-Forensik: Vorgehensmodell (Prozess)
- Strategische Vorbereitung
- Operationale Vorbereitung
- Datensammlung/Bergung
- Untersuchung
- Datenanalyse
- Dokumentation
- Abschlussbericht
IT-Forensik: Anforderungen an die Vorgehensweise (BSI)
- Akzeptanz: anerkannte Methode
- Glaubwürdigkeit: Funktionalität der Methoden ist nachweisbar
- Wiederholbarkeit: Ergebnisse sind durch Dritte reproduzierbar
- Integrität: Spuren werden durch Untersuchung nicht verändert
- Ursache und Auswirkungen: Verbindung zwischen digitalen Spuren, Ereignissen und Personen sind herstellbar
- Dokumentation: Ermittlungsprozess ist nachvollziehbar dokumentiert
IT-Forensik: Strategische Vorbereitung
- “Forensic Readiness” vor dem Eintreten eines beliebigen Vorfalls
- Organisatorische Maßnahmen:
-> Prozess für forensische Untersuchung aufbauen
-> Verantwortlichen benennen
-> Budget bereitstellen: Personal, Hardware, Software
-> Kompetenzen aufbauen
-> Räumlichkeiten schaffen und ausstatten
-> Forensik Hardware und Software anschaffen
IT-Forensik: Operationale Vorbereitung
- Untersuchungsziele präzise festlegen
-> Welche Informationen möchte ich gewinnen?
-> Welche Daten(quellen) benötige ich hierzu? - Vorauswahl an relevanten Datenquellen treffen
-> Hardware, Software, Post-mortem-Forensik/Live-Forensik?, Welche Datentypen?
IT-Forensik: Operationale Vorbereitung: Datentypen
- Anwenderdaten
- Metadaten
- Konfigurationsdaten
- Prozessdaten
- Kommunikationsprotokolldaten
- Sitzungsdaten
- Hardwaredaten
- Rohdateninhalte
Datenträger-Forensik Hierarchie
- Physisches Gerät
- Physisches Speichermedium
- Partitionsstruktur
- Partitionen
- Dateisystem
- Verzeichnisse/Dateien
Datenträger-Forensik: Begriffe
- Sektor: Kleinste (physische) Speichereinheit eines Datenträgers
- Cluster: Kleinste (logische) Speichereinheit eines Dateisystems
- Block: Beliebige Byte-Sequenz mit fester, maximaler Länge
Datenträger-Forensik: Datensammlung
- Leitfrage: Welche Werkzeuge benötige ich für die ausgewählten Datenquellen?
- Eigene Sicherungsdatenträger von Daten aus früheren Vorgängen säubern
- Forensisches Duplikat der Daten erstellen
- Integrität der Beweiskette sichern (Writeblocker, Hashing)
Datenträger-Forensik: Physisches Gerät
- Herausforderung: Vielfältige oder keine Hardware-Anschlüsse (umständlich/aufwendig)
- Wenn gar keine Anschlüsse vorhanden -> Elektronik Labor
- Diagnose Ports, Android Debugging Bridge, …
Datenträger-Forensik: Physisches Speichermedium
- Herausforderung: Verschlüsselung, keine Alternative fürs Booten vorhanden, Speichermedium fest verbaut
- Möglichkeiten:
-> Verfügbare Passwörter oder Wiederherstellungsschlüssel
-> Unsichere kryptographische Implementierungen -> Krypto brechen
-> Existenz redundanter (unverschlüsselter) Daten an anderer Stelle
-> Brute Force
Datenträger-Forensik: Partitionsstruktur
- Herausforderung: Besondere Partitionstabellen
- Möglichkeiten:
-> Einsatz spezieller IT-forensischer Tools
-> Ggf. manuelle Arbeit
