Übersicht. Kriminaltechnik und forensische Wissenschaften

Transkript

1 Übersicht Kriminaltechnik und forensische Wissenschaften Historisches, Beispiele Entstehung von Spuren Divisibility and Transfer Rekonstruktion eines Tathergangs Von Identification zu Reconstruction Spuren in der digitalen Welt Digitale Welt, transfer of traits Redundante Zustände, Beispiel: Stack Arten digitaler Spuren Forensische Informatik Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 60

2 Wo fallen digitale Spuren an? Browser-Caches Log-Dateien Backups Dateisystem (Zeitstempel) Digitale Überwachungskameras Geldautomaten Firewalls Virenscanner Temporäre Dateien Browser-History Wahlwiederholungsfunktion am Telefon Abrechnungsdaten des Mobilfunkanbieters Suchmaschinen... mehr Beispiele auch bei Casey, Kapitel 4.1, S. 98ff Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 61

3 Digitale Spuren Wo finden sich auf dem Bild potentiell digitale Spuren? Quelle: Kroll OnTrack Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 62

4 Digitale Forensik Digitale Forensik beschäftigt sich mit der gerichtsfesten Sicherung und Verwertung digitaler Spuren Digitale Forensik basiert heute stark auf etablierten Standards (best practices)... the field [of digital evidence] must become more scientific in its approach. [Casey, p. 1] In USA/UK ist die digitale Forensik bereits im Umfeld der Hochschulen stark etabliert Eigene Studiengänge für forensische Ermittler In Deutschland steckt die wissenschaftliche Beschäftigung mit digitaler Forensik noch in den Kinderschuhen siehe Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 63

5 Zum Begriff: Computerforensik Im deutschen Sprachraum hört man oft den Begriff Computerforensik (engl. computer forensics) Casey (p. 31) merkt an, der Begriff Computerforensik sei ein syntactical mess that uses the noun computer as an adjective and the adjective forensic as a noun Analog müsste man forensische Entomologie als bug forensics bezeichnen Genauer wäre forensic computing oder digital forensic science Deutsch: forensische Informatik Betonung des wissenschaftlichen Aspekts Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 64

6 Forensische Informatik Forensische Informatik ist die Anwendung wissenschaftlicher Methoden der Informatik zur gerichtsfesten Sicherung und Verwertung digitaler Spuren Mehr als digitale Forensik: Anwendung wissenschaftlicher Methoden Motivation aus anderen forensischen Wissenschaften: Beweisführung kann dazu führen, dass Menschen ihrer Freiheit beraubt werden Nur eine verlässliche und objektive (wissenschaftliche) Methodik wird dieser Verantwortung gerecht Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 65

7 F.I. im engeren Sinne Forensische Informatik im engeren Sinne untersucht vor allem technisch unvermeidbare Spuren Forensische Informatik im weiteren Sinne untersucht auch technisch vermeidbare Spuren Forschungsbereich sammelt viele Teilbereiche der Informatik, die bisher unabhängig voneinander agierten, zum Beispiel: Network Fingerprinting Reverse Engineering Speicheranalyse von Betriebssystemen Seitenkanalanalyse Datenschutztechniken Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 66

8 Inhalte der forensischen Informatik Beweismittelsicherung (siehe Kapitel 3): Digitale Beweismittel sind zunächst physische Beweismittel Magnetisierung auf der Oberfläche einer Festplatte etc. Beweismittel müssen unverändert gesichert werden Beweismittel müssen unverfälscht lesbar gemacht werden Beweismitteluntersuchung (siehe Kapitel 5 und 6): Klassisch: Festplatten und Standarddateisysteme Suche nach gelöschten/versteckten Informationen Moderner: Speicherkarten und Mobiltelefone Problem des Zugangs und proprietärer Formate Aktuell: Hauptspeicher, Netzwerke cold boot attack, Router-Caches Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 67

9 Klassifikation von Daten nach Flüchtigkeit Hierarchie der Flüchtigkeit von Daten im Rechner: CPU-Register Arbeitsspeicher Kommunikationspuffer im Netzadapter Offene Dateien Aktive Netzwerkverbindungen Aktive Prozesse Log-Dateien Benutzerdateien... Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 68

10 Sichern der Daten Regel: Daten in Reihenfolge abnehmender Flüchtigkeit am Tatort sichern Probleme: Expertise muss vor Ort sein Gefahr der Modifikation der Daten Original ist nach dem Sichern verschwunden Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 69

11 Wo fallen Spuren an? Bereiche zunehmender geographischer Entfernung vom Tatort Rechner, lokales Netz, Internet Übergang lokales Netz/Internet oft fliessend Probleme bei überlagerten Netzen (VPNs, P2P, etc.) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 70

12 Bereiche digitaler Forensik Live-Forensik, Analyse eines laufenden Systems Hauptspeicher Prozessor Caches Analyse toter Systeme Persistenter Speicher Analyse von Festplatten Netzwerkforensik Analyse des Netzverkehrs Spuren im Netz Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 71

13 Zusammenfassung Kriminaltechnik und forensische Wissenschaften Historisches, Beispiele Entstehung von Spuren Divisibility and Transfer Rekonstruktion eines Tathergangs Von Identification zu Reconstruction Spuren in der digitalen Welt Digitale Welt, transfer of traits Redundante Zustände, Beispiel: Stack Arten digitaler Spuren Forensische Informatik Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 72

14 Casey, Kapitel 1 Weihmann, Kapitel 1-3 Wesentliche Quellen Inman und Rudin, Kapitel 2-7 Böhme, Freiling, Gloe, Kirchner: Multimedia Forensics is not Computer Forensics. Proc. IWCF 2009, LNCS 5718, S , Springer, Brian H. Kaye: Science and the Detective. Selected Reading in Forensic Science, Wiley Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 73

15 Communications of the ACM, 48(8), 2006 Ausblick Forensische Prinzipien Was ist ein Beweis? Kenntnisse in Angriffstechniken bzw. typischen Angriffswegen der IT-Sicherheit bekannt? Name und Datumwww.uni-mannheim.de Seite 74

16 nicht verwendete Zusatzfolien Name und Datumwww.uni-mannheim.de Seite 75

17 Manipulation digitaler Spuren Digitale Spuren können leicht manipuliert werden Absichtlich, beispielsweise durch Straftäter oder auch Ermittler Unabsichtlich, beispielsweise durch Ermittler Manipulation hinterlässt theoretisch keine unmittelbar sichtbaren Zeichen Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 76

18 Digitale Spuren sind nicht personenbezogen Spuren in der digitalen Welt sind zunächst getrennt von der physischen Welt Zuordnung von Handlungen einer Person zu digitalen Spuren ist nur durch einen starken Authentifikationsmechanismus möglich Ausschließliche Beweisführung aufgrund von digitalen Spuren ist nicht durchführbar Man benötigt immer zusätzliche (nicht-digitalen) Spuren vergleiche DNA-Spuren, graphologische Gutachten, linguistische Analysen Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 77

19 Positive Eigenschaften digitaler Spuren Man kann digitale Spuren exakt Duplizieren Untersuchungen auf einer Kopie schonen das Original Übereinstimmung des Originals mit der Kopie nachweisbar Manipulationen können durch Vergleich mit einer Originalkopie nachgewiesen werden Digitale Spuren sind schwer zu vernichten Auch gelöschte Dateien sind in der Regel noch lange Zeit auf der Festplatte rekonstruierbar Digitale Spuren entstehen heute nahezu überall Es ist nahezu unmöglich, alle digitalen Spuren einer Straftat zu zerstören, die mit einem Computer verübt wurde Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 78