Forensische Informatik

Felix Freiling Philipp Klein

Wie verlief der Einstieg in die Prüfung / Andere wichtige Prüfungsfakten: Kurze Nachfrage ob ich bei der Probeprüfung anwesend war. Nachdem ich das verneint habe, wurde das ganze Prozedere nochmal kurz durchgesprochen. Die Prüfung findet als Rollenspiel zwischen Richter, Staatsanwalt und Verteidiger statt, tw. waren die Unterschiede nicht 100% klar sondern die Fragen recht allgemein. Grundlegend: Keine Vermutungen ausprechen, sich nur auf den Bericht (ein guter Bericht ist hier gefühlt die halbe Note) berufen, bzw. zumindest auf feststellbare Fakten.

Wichtig: Unbedingt fundiert antworten, nicht zwangsläufig genau.

Sonst lockere Atmosphäre, echt freundlich.

Gefühlt etwas wenig, wichtig ist auf jedenfall, dass man die Details über die man den Bericht geschrieben hat verstanden hat und somit auch auf technischer Seite das verargumentieren kann (also nicht 100% nur auf die Ergebnisse der Tools verlassen, sondern durchaus auch verstehen was da passiert ist).

• Kurzer Überblick über was zu tun war, was vorgefunden wurde.

Antwort: FAT32 Abbild mit mehreren Dateien und auch gelöschten Dateien die wieder hergestellt werden konnten.

• Wie wurde sichergestellt, dass das Abbild nicht verändert wurde?

Antwort Nur lesend gemountet, dabei sorgt das Betriebssystem dafür, dass keine schreibende Zugriffe erfolgten.

• Kann man sicher gehen, dass sich nicht noch weitere Nashornbilder auf der Festplatte befinden? Der Angeklagte hat „zip“ und „gpg“, also Hackertools verwendet, kann man ihm nicht zurechnen, dass sich noch mehr Nashornbilder auf der Festplatte befinden?

Antwort: Die Faktenbasis lässt keine weiteren Nashornbilder vermuten, alle weiteren Spekulationen sind nicht mein Aufgabenbereich.

• Der Besitz von einem Nashornbild ist legal, der von mehreren nicht, kann sicher gesagt werden, dass es sich nicht um die gleiche Datei handelt (Nachdem die Datei ansonsten exakt identisch ist)?

Antwort: Ja kann gesagt werden, da zweimal verschieden verschlüsselt wurde. Die Daten liegen also in verschiedener Form auf der Festplatte vor und die Archive können auch unabhängig voneinander entpackt werden.

• Können Sie das auch durch das FAT System begründen?

Antwort: Hier erklärt, wie Daten in FAT gespeichert werden bzw. wie darauf zugegriffen wird. Kurzer Exkus zu Hardlinks in EXT

• Wie und wo wurden die Passworte gefunden?

Antwort: Bei Hausdurchsuchung wurden keine Passworte gefunden, deswegen wurde auf der Festplatte gesucht. Auffinden der Passworte beschrieben (bei mir wars ein Script das mit „strings“ über das Image gerannt ist und alle gefundenen Strings ausprobiert hat). Dann wo lagen die Passwörter, warum ist das Verdächtig und warum kann davon ausgegangen werden, dass sie dort bewusst abgelegt wurden?

• Zeitverlauf des Festplattenabbilds und Zugriff / Modifikation der Dateien?

Antwort: Hier hab ich ein wenig gehadert, was heißt Modifiziert bzw. Geschrieben, FAT kennt nur Geschrieben+Modifiziert, andere Dateisysteme haben hier noch zusätzliche Flags.