Übung 1 - Lehrstuhl Praktische Informatik - Universität Mannheim

Name und Datumwww.uni-mannheim.de Seite 1
Forensische
Informatik
Vorlesung im Frühjahrssemester 2010
Universität Mannheim
Übung 1 (5. März 2010):
Ausblick auf die Übungen und
forensisches Berichtswesen
Prof. Dr. Felix Freiling
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
https://pi1.informatik.uni-mannheim.de

Motivation
• Ziel der Übungen: Durchspielen des forensischen
Prozesses am Beispiel
• Schwerpunkt 2010: Festplattenanalyse
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 2

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 3

Übungen
1. Festplattenforensik (ca. Ende März)
– Analyse einer Festplatte bzw. eines Festplattenabbildes
– Sie schreiben einen kurzen Bericht über die gefundenen
digitalen Spuren (maximal 10 Seiten ohne Anhang)
2. Festplattenforensik (ca. Ende April)
− Wie Übung 1, nur festes Zeitquantum vorgegeben
− Bericht nur Stichpunktartig
3. Anfertigen eines konstruierten Festplattenabbildes
(ca. Anfang Mai)
− „Story“ überlegen
− Umsetzung mit Hilfe eines Werkzeuges (Forensig 2 )
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 4

Übung 1
• Ausgabe am 26.03.2010 (geplant, letzter Freitag vor der
Osterpause)
• Sie bekommen eine Festplatte bzw. ein Festplattenabbild
zusammen mit einem Untersuchungsauftrag
– Mögliche Tatvorwürfe:
• Softwarepiraterie
• WLAN Hacking
• Erpressung
• Sie analysieren die Festplatte auf der forensischen
Workstation des Lehrstuhls oder zuhause
– Standardwerkzeuge werden zur Verfügung gestellt
• Sie schreiben einen kurzen Bericht über die gefundenen
digitalen Spuren (maximal 10 Seiten ohne Anhang)
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 5

Übung 2
• Durchführung am 30.04.2010 im Übungsblock geplant
– Voraussichtlich in einem Rechnerpool mit standardisierter
Umgebung
• Sie erhalten ein Festplattenabbild mit einem
Untersuchungsauftrag (wie Übung 1)
• Analyse innerhalb eines vorgegebenen Zeitquantums
(60-90 Minuten)
– Standardisierte Umgebung, Werkzeuge in Übung 1 einüben
– Stressfaktor
• Anfertigen eines stichpunktartigen Berichts
– Gliederung vorgegeben, Lückentext z.T. vorgegeben
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 6

Übung 3
• Ausgabe am 07.05.2010 (geplant)
• Erprobung des Werkzeugs Forensig2 – Forensic Image Generator Generator von Christian Moch
• Einführung in Forensig2 im Übungsblock
• Kriminalfall („Story“) überlegen
• Story in Form eines Skripts „programmieren“
• Entsprechendes Festplattenabbild mit Hilfe von
Forensig 2 generieren
– Auf forensischer Workstation
– Auch zuhause möglich (wenn Sie Forensig 2 dort
installieren können)
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 7

Voraussetzungen für den Schein
• Teilnahme an Übungen 1, 2 und 3
• Übung 1: Bericht schreiben
• Übung 2: Anwesenheit
• Übung 3: Abgabe eines kommentierten Skripts
• Bericht aus Übung 1 ist Ausgangspunkt für eine 20-
minütige mündliche Prüfung
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 8

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische
Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 9

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 10

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 11

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 12

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 13

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 14

Asservatenkammer des Lehrstuhls
• Asservat, von lat. asservare = bewahren, bewachen
– Sichergestellte Gegenstände, Verwahrstücke
• Jedes Asservat hat eine eindeutige Nummer
• Behandlung der Asservate wird lückenlos
dokumentiert (chain of custody)
– Ausgabe und Rückgabe der Asservate in Liste eintragen und
abzeichnen
– Behandlung der Asservate außerhalb der Asservatenkammer
lückenlos dokumentieren!
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 15

Workstation
• Rechner mit Software-Werkzeugen und Hardware (write
blocker) zur Sicherung von Festplatten
• Bei Benutzung der Workstation, jeweils ins ausliegende Logbuch
eintragen:
– Name
– E-Mail-Adresse
– Anfangszeit
– Endzeit
• Verwendung der Workstation
– Benutzer „forensik“
– Legen Sie sich ein eigenes Unterverzeichnis (Vorname.Nachname)
– Legen Sie Ihre Dateien ausschließlich dort ab
– Grosse Festplatte für Images
– Alle in der Vorlesung genannten Tools sind installiert
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 16

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 17

Übung und Datenschutz
• Sie werden in der Übung möglicherweise mit
persönlichen Daten anderer Personen in Kontakt
kommen
– Verarbeitung persönlicher Daten kann für Betroffene sehr
unangenehm sein (vgl. „Database Nation“ von Simson
Garfinkel)
• Daten fallen unter die Zuständigkeit des BDSG
– Zweck des BDSG: Schutz des allgemeinen
Persönlichkeitsrechts, Art. 1 und 2 GG (informationelle
Selbstbestimmung)
– Hier abzuwägen mit Freiheit der Forschung (Art. 5 GG)
• Wenn nicht die Forensik-Ausbildung Gegenstand der Forschung
wäre, dann wäre eine solche Übung gar nicht erlaubt
• Besondere Sorgfaltspflicht im Umgang mit den Daten
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 18

Verhaltensregeln
• Untersuchte Datenträger vor unbefugtem Zugriff
schützen
– Lückenlos dokumentieren
• Untersuchungsberichte vor unbefugtem Zugriff
schützen
– Nur in abgesicherten Analyseumgebungen mit den Daten
arbeiten
• Unterschreiben einer Schweigepflichtserklärung
– Ähnlich Medizinstudium; Formular wird noch ausgegeben
• Details: Liegl, Mink, Freiling: Datenschutz in digitalforensischen
Lehrveranstaltungen. Erscheint in
„Datenschutz und Datensicherheit“ (DuD), April 2009
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 19

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 20

Grundlagen
• Dokumentation einer forensischen Untersuchung
– Auch Arbeit am Bericht dokumentieren: Version,
Versionshistorie/Änderungen, Autoren
• Objektivität: wissenschaftliches, begründetes Vorgehen
– Vermutungen als Vermutung kennzeichnen, keine voreiligen
Schlussfolgerungen
• „... die Datei wurde durch den Benutzer mit dem Login-Namen X
angelegt ...“
– Juristische Einschätzungen nicht vorweg nehmen, sondern durch
Juristen machen lassen
• „... eine Datei mit vermutlich kinderpornographischen Inhalt ...“
• Reproduzierbarkeit: unabhängige Sachverständige müssen die
Schlussfolgerungen schnell prüfen und nachvollziehen können
– „... in Festplattensektor 325 wurden Reste einer JPG-Datei
gefunden ...“
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 21

Zielpublikum
• Primär: Nicht-Techniker/Juristen
– Staatsanwälte, Richter
– Juristen aus der Innenrevision, Sicherheitsabteilung,
Personalabteilung
– Vorstand/Geschäftsführung
• Sekundär: Techniker, die die Ergebnisse überprüfen wollen
– z.B. Gutachter, Sachverständige der Gegenseite
• Orthogonale Interessen!
– Nicht-Techniker verstehen Fachbegriffe nicht, wollen möglichst
einfache und kurze Schlussfolgerungen
– Techniker wollen alle Details sehen und prüfen
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 22

Hierarchischer Aufbau
1. Titel: Name des Autors, Dienststelle, Aktenzeichen, Version
2. Prolog
– Auflistung der Beweismittel (z.B. Festplatten-Seriennummern)
– Dokumentation des chain of custody (wann von wem ausgehändigt etc.)
– Auftrag (Beschreibung des Delikts, z.B. Softwarepiraterie, Computersabotage)
– Beschreibung der Arbeitsumgebung (wann, wo mit den Daten gearbeitet, welche Tools
und Arbeitsumgebung benutzt)
3. Zusammenfassung für Nicht-Techniker
– Maximal eine Seite, die wesentlichen Punkte als Aufzählung
– Allgemeinverständliche Sprache oder Juristensprache (keinen technischen Slang)
4. Zusammenfassung für Techniker
– Maximal 10 Seiten, übersichtlich gegliedert nach Schritten in der Ermittlung
– Technikersprache, wesentliche Spuren und Fundorte dokumentieren
– Bei Details auf Anhang verweisen
5. Details für Techniker (meist als Anhang)
– Logdateien, Bildschirmfotos, Listings, Terminalsessions, ...
– Jeweils durchnumeriert, damit man darauf Bezug nehmen kann in vorherigen Teilen
des Berichts
– Beliebig lang
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 23

Vorgehen bei der Erstellung
• Sammlung der gefundenen Spuren und
Ermittlungsschritte in großer Datei (oder Verzeichnis)
– Wird später quasi zum Anhang des Berichts
– Vorgehensweise entsprechend einem forensischen
Vorgehensmodell (siehe Kapitel 4 der Vorlesung)
• Extraktion der wesentlichen technischen Schritte
(Zusammenfassung für Techniker)
• Extraktion der wesentlichen Schlussfolgerungen
(Zusammenfassung für Nicht-Techniker)
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 24

Hypothesenbasiertes Vorgehen
1. Beginne mit einer Sammlung von Hypothesen, was
passiert sein könnte
2. Versuche schrittweise Hypothesen auszuschließen
3. Aus den verbleibenden Hypothesen werden neue
Hypothesen gebildet
4. GOTO 2
• Breite (Zahl der parallelen Hypothesen) vs.
Tiefe (Zahl der Iterationen) einer Ermittlung
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 25

Beispiel
• Beweismittel: Festplatte
• Auftrag/Verdacht: Besitz und/oder Verbreiten
kinderpornographischer (KiPo) Dateien
• Hypothese 1: Es sind keinerlei KiPo-Dateien auf dem Rechner
– Falsifizierung: Ermittler findet entsprechende Dateien
• Hypothese 2: Über den Rechner wurden zu keiner Zeit KiPo-
Dateien verbreitet
– Falsifizierung: Ermittler findet KiPo-Dateien in einem freigegebenen
Austauschordner und in einem öffentlichen Verzeichnis eines
installierten Webservers, Verbreitung war zumindest möglich
– ...
• Hypothese 2a: Dateien niemals vom Webserver heruntergeladen
– Mögliche Falsifizierung: Untersuchung der Logdatei des Webservers
– ...
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 26

Hinweise zu den Berichten aus den
Übungsaufgaben
• Hauptteil möglichst kurz, Anhänge beliebig lang
• Richtwert: 10 Seiten für Hauptteil
• Abgabe als pdf-Datei
• Berichte nur zum internen Gebrauch bestimmt
– Berichte können sensible Daten enthalten (Namen,
Telefonnummern)
– Schutz vor unbefugtem Zugriff auf Ihrem System
gewährleisten (insbesondere Bericht nicht selbst online
stellen!)
– Am Lehrstuhl haben nur Mitarbeiter Zugriff auf den Bericht
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 27

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 28

Auszüge aus studentischen Berichten
Name und Datumwww.uni-mannheim.de Seite 29

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 30

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 31

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 32

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 33

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 34

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 35

Auszüge aus einem echten Bericht
Name und Datumwww.uni-mannheim.de Seite 36

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 37

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 38

Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 39

• Überblick über Übungen
Übersicht
• Asservatenkammer und Forensische Workstation
• Datenschutz
• Forensisches Berichtswesen
• Beispiele aus früheren Berichten
• Terminausblick
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 40

Terminausblick Übung (Stand 5.3.2010)
05.03.2010 Überblick über die Übungen
12.03.2010 reserviert für Gastvortrag (noch ohne Referenten)
19.03.2010 keine Übung
26.03.2010 Ausgabe Übung 1, Einführung in Tools
02.04.2010 Osterpause
09.04.2010 Osterpause
16.04.2010 Abgabe Übung 1
Gastvortrag Konstantin Sack, Polizeipräsidium Südhessen, Darmstadt
(angefragt)
23.04.2010 Gastvortrag Thomas Obkircher, PriceWaterhouseCoopers, Frankfurt
30.04.2010 Übung 2 im Übungsblock
07.05.2010 Einführung in Forensig2, Ausgabe Übung 3
14.05.2010 keine Übung (Brückentag)
21.05.2010 Gastvortrag Bodo Meseke, Seed Forensics, Mainz
28.05.2010 Abgabe Übung 3
04.06.2010 keine Übung (Brückentag)
Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 41