IT-Risk-Management. V11: IT-Forensik / -Forensik

Transkript

1 1 IT-Risk-Management V11: IT-Forensik / -Forensik R. Grimm Institut für Wirtschafts- und Verwaltungsinformatik Universität Koblenz R. Grimm 1 /52 1. Motivation: Inhaltsübersicht Straftaten und Datenschutz Terrorismus und Internet 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) Instrumente der -Forensik Grenzen der -Forensik Konspiratives ing R. Grimm 2 /52 Seite 1

2 2 Motivation Untersuchen, was auf meinem Computer passiert ist Wiederherstellung verlorener Daten Rücksetzung auf ältere Versionen Verfolgung von auffälligem Verhalten Forum = Marktplatz, Gericht Nachweis von Straftaten R. Grimm 3 /52 Kriminalstatistik 2013 Computerkriminalität Fälle (2012: Fälle, +1%) : + 12,6%, : + 0,7%, : +3,4% Steigerung bei Datenveränderung, Sabotage: (2012: , +17,6%) wg. zunehmender Schadsoftware : +10%, : +84%! : +133%!! Fälschung beweiserheblicher Daten: (2012: 8.539, +14,5%) Rückgang bei Ausspähen von Daten: (2012: , -5,3%) : +32,2%! : +3,5%! : +6,8% Computerbetrug: (2012: , -6,3%) : +18,9%! : -2,1%, : -7,1% Betrug bei Zugangsberechtigungen: (2012: 2.952, -7,5%) : -37,6% Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013,, S. 4 (Abb. 2-T01) R. Grimm 4 /52 Seite 2

3 3 Kriminalstatistik 2013 Tatmittel Internet 2013: Straftaten (+12,2% ggü. 2012) 2012: (+3,2% ggü. 2011) 2011: Überwiegend Betrugsdelikte: 70,2% (etwa wie 2012) insbesondere Warenbetrug/Leistungsbetrug: > 45% d.i. nach 263 StGB Vortäuschen von Waren, Leistungen, bzw. ihrer Bezahlung Computerbetrug: 7% ( Fälle) d.i. nach 263a StGB: Viren, Hintertüren, Missbrauch von Daten, unbefugte Nutzung von Daten Verbreitung pornograph. Schriften: 2,6% (+31% ggü. 2012!) Ausspähen: 5,2% (2012: 6,0%) Urheberrechtsverletzungen: 7% (+9,1% ggü. 2012) Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, S. 9, bzw. S. 17 (Abb. 5-G03) R. Grimm 5 /52 Motivation: Straftaten Internet 2013 Betrug insgesamt: 70,2 % Bundeskriminalamt, Polizeiliche Kriminalstatistik 2013, Abschn. 5, Straftatenanteile an Straftaten mit Tatmittel Internet, 5 G03, S 17 R. Grimm 6 /52 Seite 3

4 4 Dagegen Datenschutz Datensparsamkeit Datenvermeidung 3a BDSG Datenvermeidung und Datensparsamkeit Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. R. Grimm 7 /52 Service offering PET? Date: Fri, 17 Apr :31: From: Ruediger Grimm <grimm@uni-koblenz.de> To: Ahmed Nassef <anassef@maktoob.com> Subject: Your Privacy Service Dear Sir, dear Mr. Ahmed Nassef, I am interested in private access to Internet-Mail. I found from your Web Sites ( that you offer special privacy protection. I am teaching ITsecurity and IT-privacy at the University Koblenz, Germany, and I am continuously looking for privacy enhanced technology (PET) in the Internet. Your service seems to offer PET. Could you please tell me, what kind of privacy service you are offering? I am especially interested in these three features: 1. A VPN tunnel from any place in the world to your Webmailer. 2. The deletion of "Received" header lines from any that arrives in my mail account. 3. The protection of my login dates in the Webmailer account. Thanks for help, regards, Dr. Ruediger Grimm R. Grimm 8 /52 Seite 4

5 5 Service offering PET? no Subject: RE: Your Privacy Service Date: Sat, 18 Apr :21: Thread-Topic: Your Privacy Service From: "Ahmed Nassef" To: "Ruediger Grimm" We do not offer such a service Original Message----- From: Ruediger Grimm [mailto:grimm@uni-koblenz.de]=20 Sent: Friday, April 17, :32 PM To: Ahmed Nassef Subject: Your Privacy Service Dear Sir, dear Mr. Ahmed Nassef, [...] R. Grimm 9 /52 1. Motivation: Inhaltsübersicht Straftaten und Datenschutz Terrorismus und Internet 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) R. Grimm 10 /52 Seite 5

6 6 Terroristenprozesse am OLG Koblenz Aleem Nasir wg. Schleusen Kurierdienste Geld- und Sachspenden Rekrutierung und Schleusen von Personen Urteil am : 8 Jahre Ömer Özdemir wg. Hilfe für A.N. Besuch Terrorcamp Werbung von Mitgliedern (Bekkay Harrach) Lieferung von Bargeld und Sachen Urteil am : 6 Jahre sowie gegen Sermet Ilgen: 2,5 Jahre Bildquellen, s. Anhang R. Grimm 11 /52 Terroristenprozesse am OLG Koblenz Bekkay Harrach wg. Propaganda flüchtig im afgan.-pakistanischen Grenzgebiet Drohungen gegen Deutschland Hussan S. (Syrer, Montabaur) wg. Internet-Propaganda Am in Montabaur verhaftet Beiträge im Internet Betreiben eines Web-Forums Bildquellen, s. Anhang R. Grimm 12 /52 Seite 6

7 7 Von physischer zu virtueller Kommunikation Bis 1998: Papier, Plakate, Videos, CD, Telefon 1997 Gründung des Muslim Hacker Klubs Seit 1998: Nutzung von Web-Seiten Chat Rooms Newsletter / ejournale Zunehmend: Nutzung konspirativer Wege im Internet (s.u.) Theveßen (2005), Virtuelle Umma R. Grimm 13 /52 Internet als Universität des Dschihad Selbsterziehungslager im Internet Kultur der Vorbereitung für den Heiligen Krieg Meinungsfreiheit + Datenschutz Schnell + global Multimedia: Macht der Bilder Broadcast: Propaganda und Information E2E: Ansprache und Koordination Spurenlos (?) Theveßen (2005), Virtuelle Umma R. Grimm 14 /52 Seite 7

8 8 Internet als Veröffentlichungsplattform Formate: Dschihad Webseite Chat Rooms mit Passwörtern Internetmagazine Theveßen (2005), Virtuelle Umma R. Grimm 15 /52 Internet als Veröffentlichungsplattform (2) Internetmagazine Muasker al-battar Camp des Schwertes Kampfanleitungen Frauenmagazin al-kansaa Fitness, Erste Hilfe Sawd al-dschihad Stimme des Dschihad Strategie des islamischen Terrorismus Die Länder der Gotteslästerer in Kriegszonen verwandeln Theveßen (2005), Virtuelle Umma R. Grimm 16 /52 Seite 8

9 9 Internet als Veröffentlichungsplattform (3) Inhaltlich: Bekennerschreiben Bombenbauanleitung Lehrvideos Propagandavideos Videos über erfolgreiche Angriffe Lagepläne Strategieschriften Theveßen (2005), Virtuelle Umma R. Grimm 17 /52 Internet als Koordinierungsinstrument Aufmerksamkeit durch Web und Chatrooms Persönliche Ansprache in Chats Strategie in Web und Magazinen E2E-Veabredungen per Theveßen (2005), Virtuelle Umma R. Grimm 18 /52 Seite 9

10 10 Konspirative Nutzung des Internet Server wechseln Adressen wechseln Anonymes Hochladen You send it und Weiterleitung an Chat Rooms als Draft mit Verteilung von UserId/Password (Khalid Sheikh Mohammed) Noch nicht genutzt: VPN Telnet SPAM-Techniken der gefälschten Received-Zeilen (s.u.) Theveßen (2005), Virtuelle Umma R. Grimm 19 /52 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) R. Grimm 20 /52 Seite 10

11 11 Computerkriminalität Computer als Objekt Computerkriminalität = Einbruch in Computer mit dem Ziel Spionage Zerstörung Sabotage Manipulation Fälschung Dolle (2009), S. 183 R. Grimm 21 /52 Computerkriminalität (im weiteren Sinne) Computer als Arbeitsmittel Nutzung des Computers für Vergehen aller Art Veruntreuung Geldwäsche Bestechung Terrorismus Datenverarbeitung und Datenspeicherung Spuren im Computer für auffälliges Verhalten Inkonsistente Dateien Filefragmente ( Carving ) Statistische Auffälligkeiten R. Grimm 22 /52 Seite 11

12 12 Netzkriminalität Computernetze als Kommunikationsmittel Nutzung des Internet für Vergehen aller Art Veruntreuung usw Terrorismus Verabredung von Straftaten Koordinierung von Straftaten Spuren im Netz für auffälliges Verhalten Log-Files Downloads auf PCs auf PCs (Clients) s auf Mailservers (yahoo, gmail, gmx, ) R. Grimm 23 /52 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) R. Grimm 24 /52 Seite 12

13 13 Grundregeln der forensischen Ermittlung Akzeptanz Glaubwürdigkeit Wiederholbarkeit Integrität Ursachen und Auswirkungen Dokumentation Dolle (2009), S. 184 R. Grimm 25 /52 SAP-Modell der forensischen Ermittlung S Secure Sicherungsphase Sammlung des Materials Wahrung der Integrität A Analyze Datenanalysephase Sichten, Auswerten Kritische Hinterfragung P Present Berichtsphase z.b. Gutachten vor Gericht Nachvollziehbarkeit Detaillierungstiefe Dolle (2009), S. 184 R. Grimm 26 /52 Seite 13

14 14 Sicherungsreihenfolge Prozessdaten Routingtabellen, ARP Cache Prozessliste Angemeldete Users Netzstatus Prozessorkern, Hauptspeicher Temporäre Daten Ganzer Datenträger Loggingdaten Physische Konfiguration und Netzwerktopologie Archive Dolle (2009), S. 184 R. Grimm 27 /52 Tools Aufgaben Erstellen und Prüfen von Prüfsummen Schlüsselwortsuche Dateianalyse und wiederherstellung Formatvergleiche Zeitstempelprüfung Schreibblocker für Integritätsschutz von Speichermedien Komplettes Löschen eigener Datenträger (vor Aufnahme von Images) Kryptographische Sicherungsmechanismen Berichtsunterstützung Dolle (2009), S. 184 R. Grimm 28 /52 Seite 14

15 15 Tools Open Source Open Source: Helix FCCU GNU/Linux Forensic Boot CD Linux Distribution Backtrack Forensic Acquisition Utilities (für Windows) Commercial: EnCase, Guidance Software Paraben, paraben-forensics.com FTK Forensic Toolkit, AccessData X-Ways, X-Ways Software Dolle (2009), S. 184 R. Grimm 29 /52 Live Live vs. Post Mortem Online-Überwachung Untersuchung am laufenden System für Informationen in flüchtigen Daten Post Mortem wenn flüchtige Daten irrelevant wenn Vorfall zurück liegt wenn System bereits steht zur sorgfältigen, nicht zeitkritischen Analyse i.d.r. an einem Image Dolle (2009), S. 185 R. Grimm 30 /52 Seite 15

16 16 Live z.b. cat, ifconfig, netstat, arp, lsof, rpcinfo z.b. process dump Windows Forensic Toolchest mit HTML Report Linux Life Response Sicherung der flüchtigen Daten über das Netz oder auf externes Speichermedium Dolle (2009), S. 185 R. Grimm 31 /52 Post Mortem Sicherung Für S-Phase: Sichern als Festplattenimage: Forensisches Duplikat Achtung, Integrität sichern, bspw. mit Write-Blocker und Prüfsummen Robuste Disk Dump Funktion erforderlich, z.b. dd_rescue (robust) sdd (schnell) dcfldd oder dc3dd (Erweiterung von GNU dd) Dolle (2009), S. 186 ff. R. Grimm 32 /52 Seite 16

17 17 Post Mortem Analyse Für A-Phase, z.b: find /image type f print0 xargs -0 md5sum erzeugt Hashes der im Image vorhandenen Dateien zum Zwecke des Vergleichs mit Listen bekannter Schadsoftware cat image.img strings egrep f searchwords.txt findet Schlüsselwörter im Image und vergleicht sie mit Einträgen in searchwords.txt Sleuth Kit mit graphischem Browser Autopsy, mehrere Analysemodi: 1. Dateianalyse 2. Schlüsselwortsuche 3. Sortieren nach Dateitypus 4. Image Details 5. Metadaten (Verzeichniseinträge) 6. Dateneinheiten Inhalte von Sektoren Dolle (2009), S. 187 R. Grimm 33 /52 Post Mortem Analyse File Carving Rekonstruktion gelöschter Dateien Verzeichnisse sind gelöscht, aber Rohdaten bleiben erhalten Verteilt über das Image Nicht auf das Dateisystem angewiesen, funktioniert daher auch im Hauptspeicher auch mit File Slacks (Pufferbereiche) Tools Foremost Scalpel CarvFS Dolle (2009), S R. Grimm 34 /52 Seite 17

18 18 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) R. Grimm 35 /52 Forschungsgebiet des Fraunhofer SIT Spuren im Computer für auffälliges Verhalten Inkonsistente Dateien Filefragmente ( Carving ) Statistische Auffälligkeiten Forschungsgebiet des Fraunhofer SIT R. Grimm 36 /52 Seite 18

19 19 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) Instrumente der -Forensik Grenzen der -Forensik Konspiratives ing R. Grimm 37 /52 Web-Forensik life Wireshark Filtern von Protokollen z.b. nur HTTP Heraussuchen von Keywords Aufdeckung von Kommunikationsbeziehungen (wer gerade mit wem) R. Grimm 38 /52 Seite 19

20 20 Web-Forensik post mortem Auf Serverseite: Logfiles Cookies Web-Bugs Kunden/User-Datenbanken Auf Clientseite: Downloads Browser-Histories Verlaufsdaten, Temporäre Daten R. Grimm 39 /52 Aufgabe der -Forensik im Strafprozess Kann aus s abgeleitet werden wer mit wem von wo aus und wohin wann und was kommuniziert hat? Können s zugeordnet werden: persönlich, geographisch zeitlich und inhaltlich? R. Grimm 40 /52 Seite 20

21 21 Aufgabe der -Forensik im Strafprozess Wer mit wem Zuordnung von -Adresse zu Person Zuordnung von Person zu -Adresse (das ist etwas anderes!) Von wo aus und wohin Zuordnung von -Adresse zu IP-Adresse Lokalisierung von IP-Adresse Wann Absende-, Weiterleitungs-, Ankunftszeit Einloggzeit in Mail-Account Was Integrität des Nachrichteninhalts Bezug von Weiterleitung und Response R. Grimm 41 /52 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) Instrumente der -Forensik Grenzen der -Forensik Konspiratives ing R. Grimm 42 /52 Seite 21

22 22 Store-and-Forward-Routing von mit SMTP aus: Grimm, R.: -Forensik, schreibt E-Mai an schickt ab: SMTP Susannes -Server I n t e r n e t Susanne -Client auf Susannes persön- Lichem Gerät Routing durch Netz von -Server: SMTP liest ruft ab: POP/IMAP Erwin -Client auf Erwins persönlichem Gerät Erwins -Server abc.de R. Grimm 43 /52 Werkzeuge zum Verfolgen von , bes. ihre Herkunft 1. Die mit vollem Kopfzeilenausdruck 2. Die Zeitangabe mit Zeitzonen in -Kopfzeilen 3. Die Received -Kopfzeile mit Absender, Empfänger und Datum 4. Der Wireshark zum Mitlesen von aktuellem Datenverkehr, hier SMTP 5. Die whois-abfrage beim RIR 6. Die Adressabfrage bei whatismyipaddress.com 7. Die Zuordnungstabelle von IP-Adressen zu IP-Hosts beim ISP 8. Die Login-Liste beim Webmailer R. Grimm 44 /52 Seite 22

23 23 Die Verfolgungsinstrumente am Beispiel von yahoo an uko.txt von Ko (Mailtool) nach 1und1.txt from Mumbay.txt from Australia to Ko.txt Online abfragen: whois in den fünf RIRs whatismyipaddress.com dhcp-log-uko.txt hosts-uko.txt R. Grimm 45 /52 Inhaltsübersicht 1. Motivation 2. Begriffsbestimmung 3. Computerforensik für Computerkriminalität (Computer als Objekt) 4. Computerforensik für auffälliges Verhalten (Computer als Arbeitsmittel) 5. Web- und -Forensik (Computer als Kommunikationsmittel) Instrumente der -Forensik Grenzen der -Forensik Konspiratives ing R. Grimm 46 /52 Seite 23

24 24 Die Zuverlässigkeit einer Adress-Zuordnung (1) Die geographische Zuordnung Keine Ortung, sondern Datenbankeintrag in RIR Serveradresse des nächsten Netzrouters Einwahlserver werden vom Netzbetreiber umgeordnet Aus Managementgründen nicht zu weit vom Client entfernt Aber Achtung: DFN-WiN-Shuttle immer Berlin O2 -UMTS immer München R. Grimm 47 /52 Die Zuverlässigkeit einer Adress-Zuordnung (2) Die zeitliche Zuordnung Zeitangaben in -Headern mit Gangungenauigkeit (Minutenbereich) Angaben in RIR-Datenbank nur gegenwärtig ( -B Option bei Abfrage) Bei veraltetem whatismyaddress: Blick in Vergangenheit (vage!) R. Grimm 48 /52 Seite 24

25 25 Die Zuverlässigkeit einer Adress-Zuordnung (3, 4, 5) VPN / Remote Login / Telnet: Verbergen der Client-Adresse Thunderbird mit SMTP über VPN zum UKO-Server von Ko (Mailtool-VPN) nach 1und1.txt Telnet-Commands nach Remote Login in UKO-Server von Ko (putty-telnet) nach 1und1 (Session).txt von Ko (putty-telnet) nach 1und1 (Mail).txt Telnet-Commands nach Remote Login über VPN in UKO- Server von Da (cmd-vpn nach Ko) nach 1und1.txt R. Grimm 49 /52 Die Zuverlässigkeit einer Adress-Zuordnung (6, 7) Manuelles Hinzufügen von Received -Kopfzeilen Vorspiegeln einer falschen Vorgeschichte SPAM-Technik Dagegen hilft: Domain-Key-Signatur Allgemein: Mailserver manipuliert macht beliebig irreführende Einträge Z.B. Herauslöschen von Received -Kopfzeilen Verbergen der Vorgeschichte Datenschutz der Datensparsamkeit?? R. Grimm 50 /52 Seite 25

26 26 Konspiratives ing Wie oben bereits verstreut genannt: VPN, Remote Login, Telnet Absender fügt Received -Kopfzeilen hinzu Mailserver manipuliert Header-Einträge, bes. Received -Kopfzeilen (z.b. löschen) -Versenden von wechselnden Internet-Cafes (nicht von zu Hause, nicht vom Arbeitsplatz) Pseudonyme yahoo-/gmail-/gmx-adressen nicht versenden, sondern als Draft ablegen Aber ACHTUNG! Es bleiben dennoch Spuren, s. Nasir-Prozess R. Grimm 51 /52 Systematik der -Forensik 1. Offen sichtlich angezeigte Kopfzeilen 2. Ausgeblendete Kopfzeilen 3. Inhaltssignaturen 4. Login-Daten 5. Inhaltsanalyse (online) Mein Problem: Anleitung zur Verschleierung von Straftaten R. Grimm 52 /52 Seite 26

27 27 Literaturhinweise Dolle, Wilhelm: Computer-Forensik in der Praxis. Mit Open-Source-Werkzeugen die Aufklärung von Computerkriminalität unterstützen. In Datenschutz und Datensicherheit (DuD) 3/2009, Vieweg, Wiesbaden, März 2009, Liegl, Marion; Mink, Martin; Freiling, Felix F.: Datenschutz in digital-forensischen Lehrveranstaltungen. In Datenschutz und Datensicherheit (DuD) 4/2009, Vieweg, Wiesbaden, April Geschonneck, Alexander: Computer Forensik. Computerstraftaten erkennen, ermitteln, aufklären. dpunkt.verlag, Heidelberg 2008, 323 Seiten. Bundesministerium des Inneren (BMI): Polizeiliche Kriminalstatistik 2013, Die Kriminalität in der Bundesrepublik Deutschland. Bundesministerium des Inneren, Bundeskriminalamt (erschienen April 2014): /2014/06/PKS2013.pdf? blob=publicationfile [ ] Theveßen, Elmar: Terroralarm. Rowohlt, Berlin Bes. Kap. 4, Virtuelle Umma, S Grimm, Rüdiger: -Forensik IP-Adressen und ihre Zuordnung zu Internet- Teilnehmern und ihren Standorten. Arbeitsberichte aus dem FB Informatik, Nr. nn/2009, Universität Koblenz-Landau, ISSN , 53 /52 Bildquellen Geprüft Bild (1) von Aleem Nasir aus: FAZ.NET, , Terroristen in Deutschland - Der Islamist hat keinen, der ihn schreckt. 79~ATpl~Ecommon~Scontent.html Bild (2) von Aleem Nasir aus: SANA, "SANA 21-4": Islamabad: Alim Nasir, along with his mother, is coming out of court smiling after Supreme Court orders his release on Tueday. (SANA Photo). Bild von Ömer Özdemir aus: SWR.DE, , Türke wegen Terrorverdachts angeklagt. [ : nicht mehr zugänglich] Bild von Sermet I. vor dem OLG Koblenz, Artikel vom , Terror - Prozessbeginn gegen mutmaßliche Qaida- Helfer. news.de GmbH, Barfußgäßchen 15, Leipzig, info@news.de, Bild von Bekkay Harrach aus: Bild.de, , Das ist Bin Ladens deutscher Terrorist. Videosequenz Bekkay Harrach aus Welt.de, : Bekkay Harrach der Mann, der Deutschland droht. R. Grimm 54 /52 Seite 27

28 28 Testfragen 1. Diskutieren Sie die Anforderung an die Aufklärung von Straftaten gegenüber dem Datenschutzprinzip der Datensparsamkeit. (Dazu finden Sie keine Vorlage in den Vorlesungsfolien) 2. Definieren Sie Computer- und Netzkriminalität. 3. Erklären Sie das SAP-Modell der computerforensischen Ermittlung. 4. Welche Aufgaben sollen Unterstützungstools der computerforensischen Ermittlung erfüllen? 5. Was versteht man unter File Carving? 6. Welches sind die Aufgaben der -Forensik im Strafprozess? Führen Sie die zugehörigen Fragestellungen ( wer mit wem usw.) etwas aus. 7. Nennen Sie Werkzeuge zum Verfolgen von , bes. zur Identifikation ihrer Herkunft. 8. (a) Analysieren Sie die folgende Kopfzeile einer . (b) Analysieren Sie die folgende Received -Kopfzeile einer . (Zu (a) und (b) wird ein Beispiel vorgegeben; zum Üben erzeugen Sie eigene.) 9. (a) Welche Techniken sind geeignet, die Herkunft eines -Clients zu verbergen? (b) Diskutieren Sie, unter welchen Umständen sie einem Nutzer überhaupt zur Verfügung stehen. (Zu (b) finden Sie keine Vorlage in den Vorlesungsfolien.) R. Grimm 55 /52 Seite 28