Was bedeute im Kontext der digitalen Forensik der “Host-Beweis”?
Digitale Daten welche von einem Veratbeitungsgerät wie einem:
Computer
Laptop
Server
oder ähnlicher Hardware gesammelt und analysiert werden.
Was versteht man im Kontext der IT-Forensic unter Artefakten?
Bezieht sich auf das Verbleiben von:
Digitalen Spuren
Überbleibsel von Benutzeraktivitäten
Interaktionen auf einem Computergerät
Was versteht man unter “Host-Evidenz”?
Eine breite Palette von Artefakten die eine wichtige Rolle in der:
Aufdeckung der Wahrheit
Aufklärung von Verbrechen
der Feststellung der Gültigkeit von Forderungen.
Warum sammeln Forensische Experten “Host-Beweise und Host-Evidenzen”?
Um Ereignisse zu rekonstruieren
mögliche Verdächtige zu identifizieren
Rechtsfälle zu unterstützen
Benne 10 grundlegende Techniken und Tools die bei einer digitalen Datenerfassung häufig zum Einsatz kommen.
Disk-Imaging:
Bit-für-Bit-Kopie eines Datenträgers erstellt
Es werden ebenfalls Struktur und Metadaten erfasst
Erfassung von Netzwerkpaketen:
Es werden Daten erfasst, die über ein Netzwerk gehen, wie E-Mails, Internetverkehr(Whireshark)
Mobilgeräte-Forensik:
Umfasst die Extraktion von Daten aus Smartphones etc. einschließlich Textnachrichten, Anrufprotokollen und App-Daten
Live-Forensik:
ES wird ein laufendes System untersucht, um flüchtige Daten wie laufende Prozesse, geöffnete Dateien zu erfassen
Speicherforensik:
Extraktion von Daten aus demphysischen Speicher (RAM) eines Systems
Cloud-Forensik:
Sicherung digitaler Beweismittel die in Cloud-Diensten gespeichert sind
E-Mail-Forensik:
Erfassen und Analysieren von E.Mail-Kommunikation
File Carving:
Dient der Wiederherstellung von Dateien aus gelöschten Speicherplatz
Datenbank-Forensik:
Sichert Beweise aus Datenbanken
Cloud-to-Cloud-Forensik:
Übertragung von Daten für die forensische Analyse und Sicherung von einem Cloud-Dienst zu einem anderen.
Benenne 3 von forensischen Ermittlern genutze Hardwarekomponenten welche zu Sicherung von Beweisen genutzt werden.
Schreibblocker:
Verhindern Schreibzugriff und ermöglichen Lesezugriff.
Forensische Imaging-Geräte:
Sind für die Erstellung forensischer Kopien von Speichermedien kozipiert
Schreibgeschützte Laufwerksadapter:
Sie verhindern jegliche Änderungen am angeschlossenem Speichergerät.
Welche Faktoren muss man bei der Wahl des richtigen Tools für einen bestimmten Auftrag bedenken?
Art des Beweismittels
Rechtliche Anforderungen
Budgetzwänge
Forensische Fachkenntnisse
Besonderheiten des Falls
Welches Tool ist bei der Sicherung von Beweisen aus einer Erfassung von Netzwerkverkehrs besonders nützlich für die Paketanalyse und -erfassung in Echtzeit oder aus gespeicherten Dateien?
Kryptografische Hash-Funktionen
Was ist der Zweck von Hash-Funktionen?
Und was bedeutet folgender Ausdruck: h=H(m) ?
Der Zweck des Hashings besteht darin, einen eindeutigen Wert zu erzeugen, um die Integrität einer Nachricht zu Überprüfen
H() ist die Hash-Funktion
m ist die Nachricht
h ist der gehashte Ausgabewert
Welche Bedingungen muss eine Hash-Funktion erfüllen?
Urbildresistenz: Bei einem gegbenen Hash-Wert sollte es schwierig sein, eine Nachricht wiederherzustellen
Schwache Kollisionsresistenz: Wenn du eine Nachricht mmm kennst und ihren Hash-Wert H(m) berechnet hast, soll es sehr schwer sein, eine zweite Nachricht m′ zu konstruieren, die denselben Hash-Wert ergibt.
Starke Kollisionsresistenz: Bei zwei gegebenen Nachrichten sollte es schwierig sein, einen Hash-Wehrt für beide Nachrichten zu erzeugen. Es ist schwer, ein Paar m1,m2 zu finden, sodass H(m1) = H(m2).
Was sind die 2 gängigsten Hashing-Algorithmen?
Message Digest (wie MD5): Wird selten verwendet da unsicher
Secure Hashing Algorithm(SHA-1, SHA-2): Wird am Häufigsten verwendet.
Benenne Hauptaufgaben von Hash-Funktionen in der digitalen Forensik.
Überprüfung der Datenintegrität:
Daten sollen unverändert bleiben
Erkennung von Manipulationen:
Bei Diskrepanz zwischen den Hash-Werten
Nichtabstreitbarkeit:
Beweis, dass die Daten nicht verändert wurden
Erhaltung der Echtheit:
Sicherstellung der Echtheit
Rechtliche Zulässigkeit:
Aurechterhaltung der Chain of Custody durch regelmäßige Anwendung von Hash-Funktionen
Welche vorbereitenden Schritte muss der Ermittler tuen bevor er mit der digitalen Forensik beginnen kann?
Identifizierung der Eigenschaft des Falls
Identifizierung von Software- und Hardwaretypen
Beurteilung der Durchführbarkeit der Beschlagnahme verdächtiger Geräte
Erfassung von ausführlichen Informationen über den Tatort
Bestimmung der Ansprechperson
Hinzuziehung von technischen Experten
Zusammenstellung eines Untersuchungsteams
Wie kann die Sicherung flüchtiger digitaler Beweismittel, wie z. B. laufender Prozesse und offener Netzwerkverbindungen, während einer Tatortdurchsuchung effektiv angegangen werden?
Forensikexpert:innen können mit speziellen Tools den Inhalt des Arbeitsspeichers (Random Access Memory, RAM) von Computern und anderen Geräten erfassen.
Dies ermöglicht die Untersuchung von laufenden Prozessen, offenen Netzwerkverbindungen und anderen flüchtigen Daten.
Der aufgezeichnete Speicher kann analysiert werden, um mögliche Beweise und Handlungen eines Täters oder einer Täterin zu identifizieren.
Was ist der Schlüssel zur Aufrechterhaltung der Chain of Custody?
Das kryptografische Hashing ist ein Schlüssel zur Aufrechterhaltung der Chain of Custody digitaler Beweismittel
Sicherstellung das Beweismittel intakt bleiben und nicht manipuliert werden.
Welche 5 Punkte umfasst der Weg des kryptografischen Hashings bei digitalen Beweismitteln?
Anfängliche Hash-Generierung:
Erstellen kryptografischen Hashes bei erstmaliger Sicherung
Hash-Kennzeichnung:
Verknüpft den Beweis mit den jeweiligen Hash-Wert
Übergabe von Beweismitteln:
Berechnung und dokumentierung bei Übergabepunkt
Konsitenzprüfung:
Regelmäßige neuberechnung vom Hash-Wert
Dokumentation:
Detaillierte Aufzeichung zu jedem Schritt der Chain of Custody
Wie werden digitale Signaturen bei der Asymetrischen Kryptografie generiert?
Die zu signierende Nachricht wird gehasht und aus diesem Hash-Wert wird eine Signatur erzeugt
Es wird der private Schlüssen genutzt um die gehashte Nachricht zu verschlüsseln.
Dadurch kann mit den öffentlichen Schlüssel überprüft werden wer die Nachricht gesendet hat.
Bewschreibe die Vorgenehnsweise welche notwendig ist um die Integrität digitaler Beweismittel aufrechtzuerhalten.
Verwenden von Hardware und Software mit Schreibblocker
Verschlüsseln und schützen der Datei um ungefugten Zugriff und Manipulation zu verhindern.
Eindeutige und unungerbrochene Chain of Custody
Beweismittel in sicherer Umgebung.
Wie trägt kryptografisches Hashing zur Datenintegrität in der digitalen Forensik bei?
Benenne die drei Arten der verschiedenen Clouds.
Öffentliche Clouds:
Sind für alle zugänglich
Private Clouds:
Nur für die Mitglieder der Einrichtung zugänglich
Hybride Clouds:
Kombination von öffentlichen und privaten Clouds
Warum führt die Einführung von Clound Diensten hinsichtlich des Datenschutzes und der rechtlichen Zuständigkeit zu tierfgreifenden Bedencken bei einem Ermittler?
Cloud-Dienste können ihre Rechenzentren über mehrere Länder verteilen
In einigen Ländern kann es strenge Datenschutzgesetze geben und in anderen wiederum nicht.
Daher ist die Frage der rechtlichen Zuständigkeit eine komplexe Aufgabe
Benenne 2 zentrale Aspekte von Cloud-Diensten welche den Ermittler vor erheblichen Herausforderungen stellen.
Zugriffsberechtigungen:
Diese legen fest, wer Daten ändern anzeigen oder löschen darf.
Verschlüsselung:
Der Ermittler muss den Verschlüsselungsschlüssel erhalten.
Zugriffsberechtigungen und Verschlüsselungen erschweren die Ermittlungen.
Welche beiden Aspekte erhöhen die Cloud-Forensik um eine weitere Ebene?
Datenfragmentierung:
Die Daten werden oft verteilt auf mehreren Servern und Standorten gespeichert.
Ermittler müssen dadurch Bruchstückhafte Daten zusammensetzen
Datenlöschung:
Nach vermeintlicher Löschung der Daten, können diese sich auf Sicherungskopien, Protokollen vorhanden sein.
Beschreibe zwei komplexe Fallstudie welche so in der Cloud-Forensik vorkommen kann.
Die Cloud eines Unternehmens wurden gehackt.
Die Cloud befindet sich in einem Land
Das Unternehmen in einem anderen Land.
Der Täter ist unbekannt.
II Fallstudie
Eine verdächtige Person weigert sich den Entschlüsselungsschlüssel für den Verschlüsselten Cloud-Speicher herauszugeben
Ermittler prüft rechtliche Möglichkeiten um die verdächtige Person zur Kooperation zu zwingen
Markiere, welcher dieser Sätze nicht richtig ist:
Benne 4 Herausforderungen die ein Ermittler zu bewältigen hat, wenn er Mobilgeräte beschaffen muss.
Beim Mobilgerät ist der Akku schneller verbraucht
Fragmentierung über mehrere Speicherbereiche
Remote-Zurücksetzung
Der Hauptspeicher ist flüchtig
Welche Orte sollte ein Ermittler in einem Mobilgerät überprüfen wenn er an gespeicherte Informationen kommen will?
Arbeisspeicher
SIM-Kartenspeicher
externe Speichergeräte
Internetdienstanbieter
Welche Informationen kann man anhand der SIM-Karten-Kennungen und Teilnehmer abgerufen werden?
Die Anrufhistorie
Daten und Nummern
SMS- und MMS-Informationen
Standortinformationen
Welche technischen Herausforderungen bestehen bei der Sicherung von Beweisen von Mobilgeräten, die bei herkömmlichen Computersystemen nicht ebenso häufig vorkommen?
Wofür steht die Abkürzung SSDs und HDDs
Solid-State-Drives
Hard Disk Drives
Was sind Festplatten?
Wie funktionieren diese?
Speichergeräte welche aus sich drehenden mit magnetischen Material beschichteten Platten bestehen.
Die Daten werden durch Magnetisierung mithilfe eines Lese-/Schreibkopfs gespeichert.
Die Aufzeichnung entspricht binären Daten ( 0 oder 1)
Die Daten bleiben auch ohne Stomversorgung erhalten
Wie organisieren Festplatten ihren Speicher?
Die Daten werden in Sektoren den kleinsten Speichereinheiten organisiert.
Diese Sektoren bilden Cluster die wiederum Teil eines Dateisystems sind (NTFS FAT)
Ein Betriebssystem greift auf Daten über das Dateisystem zu, welches ein Inhatsverzeichnis (FAT oder MAT) führt.
Was macht SSDs so beliebt?
Wie speichern diese ihre Daten?
Worin besteht der Unterschied zwischen SSDs und Festplatten?
SSDs sind aufgrund ihrer Geschwindigkeit und Robustheit sehr beliebt.
Sie verwenden NAND-Flash-Speicher, eine Technologie auf Halbleiterbasis, um Daten zu Speichern
Der Hauptunterschied:
Festplatten nutzen magnetische Aufzeichnungen auf sich drehenden Platten
SSDs nutzen NAND-Flash-Speicher der Daten als elektrische Ladungen in Speicherzellen speichert
Dies führt zu unterschiedlichen Methoden bei der Sicherung von Host-Beweisen
Worin konzentriert man sich bei der Wiederherstellung des Dateiensystems?
Warum ist die Datenverwaltung bei SSDs komplex?
Man konzentriert sich auf die Rekonstruktion des Dateistruktur und die Wiederherstellung von gelöschten oder beschädigten Daten
Der Grund für die Komplexität sind die Verschleißalgorithmen die die Daten gleichmäßig auf die Speicherzellen verteilen
Was muss man tuen wenn Dateisysteme beschädigt oder manipuliert wurden?
Dann ist eine Wiederherstellung auf Sektorenebene erforderlich
Dabei wird das Speichermedium auf Sektorenebene gescannt, um Daten direkt von den Speicherorten zu identifizieren und wiederherzustellen
Beschreiben Sie die besten Praktiken für die Beschaffung und Analyse von digitalen Beweisen von Festplatten und SSDs.
Zu den bewährten Verfahren für die Beschaffung digitaler Beweise von Festplatten und SSDs gehört die Erstellung forensischer Kopien mit schreibgeschützter Hardware.
Last changeda month ago
