Übung 1 - Lehrstuhl Praktische Informatik - Universität Mannheim
Übung 1 - Lehrstuhl Praktische Informatik - Universität Mannheim
Übung 1 - Lehrstuhl Praktische Informatik - Universität Mannheim
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Name und Datumwww.uni-mannheim.de Seite 1<br />
Forensische<br />
<strong>Informatik</strong><br />
Vorlesung im Frühjahrssemester 2010<br />
<strong>Universität</strong> <strong>Mannheim</strong><br />
<strong>Übung</strong> 1 (5. März 2010):<br />
Ausblick auf die <strong>Übung</strong>en und<br />
forensisches Berichtswesen<br />
Prof. Dr. Felix Freiling<br />
<strong>Universität</strong> <strong>Mannheim</strong><br />
<strong>Lehrstuhl</strong> für <strong>Praktische</strong> <strong>Informatik</strong> 1<br />
https://pi1.informatik.uni-mannheim.de
Motivation<br />
• Ziel der <strong>Übung</strong>en: Durchspielen des forensischen<br />
Prozesses am Beispiel<br />
• Schwerpunkt 2010: Festplattenanalyse<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 2
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 3
<strong>Übung</strong>en<br />
1. Festplattenforensik (ca. Ende März)<br />
– Analyse einer Festplatte bzw. eines Festplattenabbildes<br />
– Sie schreiben einen kurzen Bericht über die gefundenen<br />
digitalen Spuren (maximal 10 Seiten ohne Anhang)<br />
2. Festplattenforensik (ca. Ende April)<br />
− Wie <strong>Übung</strong> 1, nur festes Zeitquantum vorgegeben<br />
− Bericht nur Stichpunktartig<br />
3. Anfertigen eines konstruierten Festplattenabbildes<br />
(ca. Anfang Mai)<br />
− „Story“ überlegen<br />
− Umsetzung mit Hilfe eines Werkzeuges (Forensig 2 )<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 4
<strong>Übung</strong> 1<br />
• Ausgabe am 26.03.2010 (geplant, letzter Freitag vor der<br />
Osterpause)<br />
• Sie bekommen eine Festplatte bzw. ein Festplattenabbild<br />
zusammen mit einem Untersuchungsauftrag<br />
– Mögliche Tatvorwürfe:<br />
• Softwarepiraterie<br />
• WLAN Hacking<br />
• Erpressung<br />
• Sie analysieren die Festplatte auf der forensischen<br />
Workstation des <strong>Lehrstuhl</strong>s oder zuhause<br />
– Standardwerkzeuge werden zur Verfügung gestellt<br />
• Sie schreiben einen kurzen Bericht über die gefundenen<br />
digitalen Spuren (maximal 10 Seiten ohne Anhang)<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 5
<strong>Übung</strong> 2<br />
• Durchführung am 30.04.2010 im <strong>Übung</strong>sblock geplant<br />
– Voraussichtlich in einem Rechnerpool mit standardisierter<br />
Umgebung<br />
• Sie erhalten ein Festplattenabbild mit einem<br />
Untersuchungsauftrag (wie <strong>Übung</strong> 1)<br />
• Analyse innerhalb eines vorgegebenen Zeitquantums<br />
(60-90 Minuten)<br />
– Standardisierte Umgebung, Werkzeuge in <strong>Übung</strong> 1 einüben<br />
– Stressfaktor<br />
• Anfertigen eines stichpunktartigen Berichts<br />
– Gliederung vorgegeben, Lückentext z.T. vorgegeben<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 6
<strong>Übung</strong> 3<br />
• Ausgabe am 07.05.2010 (geplant)<br />
• Erprobung des Werkzeugs Forensig2 – Forensic Image Generator Generator von Christian Moch<br />
• Einführung in Forensig2 im <strong>Übung</strong>sblock<br />
• Kriminalfall („Story“) überlegen<br />
• Story in Form eines Skripts „programmieren“<br />
• Entsprechendes Festplattenabbild mit Hilfe von<br />
Forensig 2 generieren<br />
– Auf forensischer Workstation<br />
– Auch zuhause möglich (wenn Sie Forensig 2 dort<br />
installieren können)<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 7
Voraussetzungen für den Schein<br />
• Teilnahme an <strong>Übung</strong>en 1, 2 und 3<br />
• <strong>Übung</strong> 1: Bericht schreiben<br />
• <strong>Übung</strong> 2: Anwesenheit<br />
• <strong>Übung</strong> 3: Abgabe eines kommentierten Skripts<br />
• Bericht aus <strong>Übung</strong> 1 ist Ausgangspunkt für eine 20-<br />
minütige mündliche Prüfung<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 8
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische<br />
Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 9
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 10
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 11
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 12
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 13
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 14
Asservatenkammer des <strong>Lehrstuhl</strong>s<br />
• Asservat, von lat. asservare = bewahren, bewachen<br />
– Sichergestellte Gegenstände, Verwahrstücke<br />
• Jedes Asservat hat eine eindeutige Nummer<br />
• Behandlung der Asservate wird lückenlos<br />
dokumentiert (chain of custody)<br />
– Ausgabe und Rückgabe der Asservate in Liste eintragen und<br />
abzeichnen<br />
– Behandlung der Asservate außerhalb der Asservatenkammer<br />
lückenlos dokumentieren!<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 15
Workstation<br />
• Rechner mit Software-Werkzeugen und Hardware (write<br />
blocker) zur Sicherung von Festplatten<br />
• Bei Benutzung der Workstation, jeweils ins ausliegende Logbuch<br />
eintragen:<br />
– Name<br />
– E-Mail-Adresse<br />
– Anfangszeit<br />
– Endzeit<br />
• Verwendung der Workstation<br />
– Benutzer „forensik“<br />
– Legen Sie sich ein eigenes Unterverzeichnis (Vorname.Nachname)<br />
– Legen Sie Ihre Dateien ausschließlich dort ab<br />
– Grosse Festplatte für Images<br />
– Alle in der Vorlesung genannten Tools sind installiert<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 16
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 17
<strong>Übung</strong> und Datenschutz<br />
• Sie werden in der <strong>Übung</strong> möglicherweise mit<br />
persönlichen Daten anderer Personen in Kontakt<br />
kommen<br />
– Verarbeitung persönlicher Daten kann für Betroffene sehr<br />
unangenehm sein (vgl. „Database Nation“ von Simson<br />
Garfinkel)<br />
• Daten fallen unter die Zuständigkeit des BDSG<br />
– Zweck des BDSG: Schutz des allgemeinen<br />
Persönlichkeitsrechts, Art. 1 und 2 GG (informationelle<br />
Selbstbestimmung)<br />
– Hier abzuwägen mit Freiheit der Forschung (Art. 5 GG)<br />
• Wenn nicht die Forensik-Ausbildung Gegenstand der Forschung<br />
wäre, dann wäre eine solche <strong>Übung</strong> gar nicht erlaubt<br />
• Besondere Sorgfaltspflicht im Umgang mit den Daten<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 18
Verhaltensregeln<br />
• Untersuchte Datenträger vor unbefugtem Zugriff<br />
schützen<br />
– Lückenlos dokumentieren<br />
• Untersuchungsberichte vor unbefugtem Zugriff<br />
schützen<br />
– Nur in abgesicherten Analyseumgebungen mit den Daten<br />
arbeiten<br />
• Unterschreiben einer Schweigepflichtserklärung<br />
– Ähnlich Medizinstudium; Formular wird noch ausgegeben<br />
• Details: Liegl, Mink, Freiling: Datenschutz in digitalforensischen<br />
Lehrveranstaltungen. Erscheint in<br />
„Datenschutz und Datensicherheit“ (DuD), April 2009<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 19
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 20
Grundlagen<br />
• Dokumentation einer forensischen Untersuchung<br />
– Auch Arbeit am Bericht dokumentieren: Version,<br />
Versionshistorie/Änderungen, Autoren<br />
• Objektivität: wissenschaftliches, begründetes Vorgehen<br />
– Vermutungen als Vermutung kennzeichnen, keine voreiligen<br />
Schlussfolgerungen<br />
• „... die Datei wurde durch den Benutzer mit dem Login-Namen X<br />
angelegt ...“<br />
– Juristische Einschätzungen nicht vorweg nehmen, sondern durch<br />
Juristen machen lassen<br />
• „... eine Datei mit vermutlich kinderpornographischen Inhalt ...“<br />
• Reproduzierbarkeit: unabhängige Sachverständige müssen die<br />
Schlussfolgerungen schnell prüfen und nachvollziehen können<br />
– „... in Festplattensektor 325 wurden Reste einer JPG-Datei<br />
gefunden ...“<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 21
Zielpublikum<br />
• Primär: Nicht-Techniker/Juristen<br />
– Staatsanwälte, Richter<br />
– Juristen aus der Innenrevision, Sicherheitsabteilung,<br />
Personalabteilung<br />
– Vorstand/Geschäftsführung<br />
• Sekundär: Techniker, die die Ergebnisse überprüfen wollen<br />
– z.B. Gutachter, Sachverständige der Gegenseite<br />
• Orthogonale Interessen!<br />
– Nicht-Techniker verstehen Fachbegriffe nicht, wollen möglichst<br />
einfache und kurze Schlussfolgerungen<br />
– Techniker wollen alle Details sehen und prüfen<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 22
Hierarchischer Aufbau<br />
1. Titel: Name des Autors, Dienststelle, Aktenzeichen, Version<br />
2. Prolog<br />
– Auflistung der Beweismittel (z.B. Festplatten-Seriennummern)<br />
– Dokumentation des chain of custody (wann von wem ausgehändigt etc.)<br />
– Auftrag (Beschreibung des Delikts, z.B. Softwarepiraterie, Computersabotage)<br />
– Beschreibung der Arbeitsumgebung (wann, wo mit den Daten gearbeitet, welche Tools<br />
und Arbeitsumgebung benutzt)<br />
3. Zusammenfassung für Nicht-Techniker<br />
– Maximal eine Seite, die wesentlichen Punkte als Aufzählung<br />
– Allgemeinverständliche Sprache oder Juristensprache (keinen technischen Slang)<br />
4. Zusammenfassung für Techniker<br />
– Maximal 10 Seiten, übersichtlich gegliedert nach Schritten in der Ermittlung<br />
– Technikersprache, wesentliche Spuren und Fundorte dokumentieren<br />
– Bei Details auf Anhang verweisen<br />
5. Details für Techniker (meist als Anhang)<br />
– Logdateien, Bildschirmfotos, Listings, Terminalsessions, ...<br />
– Jeweils durchnumeriert, damit man darauf Bezug nehmen kann in vorherigen Teilen<br />
des Berichts<br />
– Beliebig lang<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 23
Vorgehen bei der Erstellung<br />
• Sammlung der gefundenen Spuren und<br />
Ermittlungsschritte in großer Datei (oder Verzeichnis)<br />
– Wird später quasi zum Anhang des Berichts<br />
– Vorgehensweise entsprechend einem forensischen<br />
Vorgehensmodell (siehe Kapitel 4 der Vorlesung)<br />
• Extraktion der wesentlichen technischen Schritte<br />
(Zusammenfassung für Techniker)<br />
• Extraktion der wesentlichen Schlussfolgerungen<br />
(Zusammenfassung für Nicht-Techniker)<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 24
Hypothesenbasiertes Vorgehen<br />
1. Beginne mit einer Sammlung von Hypothesen, was<br />
passiert sein könnte<br />
2. Versuche schrittweise Hypothesen auszuschließen<br />
3. Aus den verbleibenden Hypothesen werden neue<br />
Hypothesen gebildet<br />
4. GOTO 2<br />
• Breite (Zahl der parallelen Hypothesen) vs.<br />
Tiefe (Zahl der Iterationen) einer Ermittlung<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 25
Beispiel<br />
• Beweismittel: Festplatte<br />
• Auftrag/Verdacht: Besitz und/oder Verbreiten<br />
kinderpornographischer (KiPo) Dateien<br />
• Hypothese 1: Es sind keinerlei KiPo-Dateien auf dem Rechner<br />
– Falsifizierung: Ermittler findet entsprechende Dateien<br />
• Hypothese 2: Über den Rechner wurden zu keiner Zeit KiPo-<br />
Dateien verbreitet<br />
– Falsifizierung: Ermittler findet KiPo-Dateien in einem freigegebenen<br />
Austauschordner und in einem öffentlichen Verzeichnis eines<br />
installierten Webservers, Verbreitung war zumindest möglich<br />
– ...<br />
• Hypothese 2a: Dateien niemals vom Webserver heruntergeladen<br />
– Mögliche Falsifizierung: Untersuchung der Logdatei des Webservers<br />
– ...<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 26
Hinweise zu den Berichten aus den<br />
<strong>Übung</strong>saufgaben<br />
• Hauptteil möglichst kurz, Anhänge beliebig lang<br />
• Richtwert: 10 Seiten für Hauptteil<br />
• Abgabe als pdf-Datei<br />
• Berichte nur zum internen Gebrauch bestimmt<br />
– Berichte können sensible Daten enthalten (Namen,<br />
Telefonnummern)<br />
– Schutz vor unbefugtem Zugriff auf Ihrem System<br />
gewährleisten (insbesondere Bericht nicht selbst online<br />
stellen!)<br />
– Am <strong>Lehrstuhl</strong> haben nur Mitarbeiter Zugriff auf den Bericht<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 27
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 28
Auszüge aus studentischen Berichten<br />
Name und Datumwww.uni-mannheim.de Seite 29
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 30
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 31
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 32
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 33
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 34
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 35
Auszüge aus einem echten Bericht<br />
Name und Datumwww.uni-mannheim.de Seite 36
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 37
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 38
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 39
• Überblick über <strong>Übung</strong>en<br />
Übersicht<br />
• Asservatenkammer und Forensische Workstation<br />
• Datenschutz<br />
• Forensisches Berichtswesen<br />
• Beispiele aus früheren Berichten<br />
• Terminausblick<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 40
Terminausblick <strong>Übung</strong> (Stand 5.3.2010)<br />
05.03.2010 Überblick über die <strong>Übung</strong>en<br />
12.03.2010 reserviert für Gastvortrag (noch ohne Referenten)<br />
19.03.2010 keine <strong>Übung</strong><br />
26.03.2010 Ausgabe <strong>Übung</strong> 1, Einführung in Tools<br />
02.04.2010 Osterpause<br />
09.04.2010 Osterpause<br />
16.04.2010 Abgabe <strong>Übung</strong> 1<br />
Gastvortrag Konstantin Sack, Polizeipräsidium Südhessen, Darmstadt<br />
(angefragt)<br />
23.04.2010 Gastvortrag Thomas Obkircher, PriceWaterhouseCoopers, Frankfurt<br />
30.04.2010 <strong>Übung</strong> 2 im <strong>Übung</strong>sblock<br />
07.05.2010 Einführung in Forensig2, Ausgabe <strong>Übung</strong> 3<br />
14.05.2010 keine <strong>Übung</strong> (Brückentag)<br />
21.05.2010 Gastvortrag Bodo Meseke, Seed Forensics, Mainz<br />
28.05.2010 Abgabe <strong>Übung</strong> 3<br />
04.06.2010 keine <strong>Übung</strong> (Brückentag)<br />
Vorlesung Forensische <strong>Informatik</strong>, Frühjahrssemester 2010, <strong>Universität</strong> <strong>Mannheim</strong>, https://pi1.informatik.uni-mannheim.de Seite 41