Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Grundsätzliches (Übersicht)
no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
— | pruefungen:hauptstudium:ls1:forensik1_2019 [10.09.2020 16:30] (aktuell) – angelegt Kruemel | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Grundsätzliches ====== | ||
+ | |||
+ | Die Prüfung fand in angenehmer Atmosphäre statt. Anstatt wie in anderen Prüfungen üblich den Stoff wiederzugeben, | ||
+ | Dabei ist es wichtig, dass ihr grob im Kopf habt, welche Spuren ihr gefunden habt und welche nicht, und v.a. auch, welche Schlüsse man daraus ziehen kann. Hier solltet ihr v.a. die Zusammenfassung gut und laienverständlich erklären können (das kann man gut bei Laien im Umfeld (Familie, Freunde etc.) üben). Es ist nicht schlimm, wenn ihr über manche Fragen erst kurz nachdenken müsst, damit ihr eine schlüssige Antwort geben könnte, aber es ist wichtig, dass ihr fachlich kompetent wirkt und nicht z.B. mehrmals eure Meinung ändert oder euch durch Nachfragen ins Bockshorn jagen lässt, weil das eure Glaubwürdigkeit in Zweifel ziehen würde. | ||
+ | Außerdem: Es ist meistens eine Frage dabei, durch die man euch ins gezielt ins Bockshorn jagen oder Befangenheit vorwerfen möchte. (Hier z.B. die Frage der Verteidigung nach Viktor Vielhaber) Achtet darauf, dass ihr bei eurem Fachgebiet bleibt und schlagt notfalls, wenn's euch unbedingt unter den Nägeln brennt, dass das wahrscheinlich Unsinn ist, vor, einen Experten in dem entsprechenden Gebiet (bei der Frage der Verteidigung z.B. Kollegen und soziales Umfeld) zu befragen, da ihr selbst nur die technischen Zusammenhänge kennt. | ||
+ | |||
+ | ====== Der Fall ====== | ||
+ | |||
+ | **Zusammenhang für den geneigten Leser:** | ||
+ | |||
+ | Auf dem Webserver der Firma Conrad wurde rhinografisches Material festgestellt. Dieser wurde beschlagnahmt. | ||
+ | |||
+ | Zu klären ist: | ||
+ | * Wie sind die Bilder auf den Rechner gelangt? | ||
+ | * Wurden diese Bilder über den Rechner verbreitet, d.h. auf den Rechnern dritter heruntergeladen? | ||
+ | * Welche Benutzerkennung und ggf. welchen natürlichen Personen sind diese Handlungen zuzuordnen? | ||
+ | |||
+ | Aussage der Firmeninhaber: | ||
+ | |||
+ | 5 Personen mit Zugang: Adam Auer, Lukas Lindemann, Peter Pfaff, Sarah Schauer, Viktor Vielhaber | ||
+ | |||
+ | |||
+ | ====== Prüfungsgespräch ====== | ||
+ | |||
+ | **Frage - (vermutlich Richter): Fassen Sie das Ergebnis doch bitte einmal kurz zusammen.**\\ | ||
+ | Zusammenfassung ähnlich der Zusammenfassung aus dem Bericht: | ||
+ | * 4 Accounts auf dem Rechner gefunden, höchstwahrscheinliche Zuordnung: | ||
+ | - auer => Adam Auer | ||
+ | - lindemann => Lukas Lindemann | ||
+ | - pfaff => Peter Pfaff | ||
+ | - schauer => Sarah Schauer | ||
+ | - Viktor Vielhaber konnte keine Nutzerkennung zugeordnet werden | ||
+ | * 43 verschiedene, | ||
+ | * Relevante Aktionen bzgl. dieses Bildmaterials: | ||
+ | - 12.Juni - Benutzer auer: | ||
+ | - Besuch von Webseiten, die potentiell rhinografisches Material zur Vefügung stellen, sowie Download einiger Dateien durch den Benutzer | ||
+ | - auer verschob die Dateien aus seinem persönlichen Download-Verzeichnis in das öffentliche Verzeichnis des Servers => er hat diese Dateien damit öffentlich zugänglich gemacht | ||
+ | - 6 dieser Bilder sowie die Datei " | ||
+ | * am 12.Juni war ausschließlich der Nutzer " | ||
+ | * Zugriff auf die im Verzeichnis liegenden Bilder sowie die Datei " | ||
+ | * 17.Juni & 18.Juni - Benutzer auer: | ||
+ | - " | ||
+ | * Analyse bzgl. Schadsoftware: | ||
+ | - es waren Spuren eines Angriffs auf den Webservern zu finden (in den Protokolldateien) | ||
+ | - ABER: es wurde bei einer Schadsoftwareanalyse keine Schadsoftware gefunden | ||
+ | - UND: die Antworten des Servers lassen auch nicht auf einen Erfolg des Angriffs schließen | ||
+ | | ||
+ | **Frage - Richter (sich vergewissernd): | ||
+ | Antwort: Nein, höchstwahrscheinlich nicht. ich habe ihn nur der Vollständigkeit halber aufgeführt. Die Antworten in den Protokolldateien lassen nicht darauf schließen und bei der Schadsoftwareanalyse wurde keine Schadsoftware auf dem Server gefunden. | ||
+ | |||
+ | **Frage - Staatsanwalt: | ||
+ | Antwort: Der Account " | ||
+ | |||
+ | *Freiling ist kurz verwirrt - anscheinend war das nicht die Argumentationskette, | ||
+ | Freiling: Das ging mir jetzt ein wenig zu schnell. Könnten Sie das nochmal wiederholen? | ||
+ | Dann habe ich die Antwort noch einmal wiederholt. | ||
+ | |||
+ | **Frage: Es ist also davon auszugehen, dass dieselbe Person die Bilder heruntergeladen und wieder gelöscht hat. Okay. Wurden denn überhaupt administrative Tätigkeiten durch diesen Account durchgeführt? | ||
+ | Antwort: Ja, z.B. das Verwalten der User in Gruppen, das Einrichten eines ssh-Zugangs und dieser Account hat auch den Inhalt des Webservers eingestellt. | ||
+ | |||
+ | |||
+ | **Frage - Verteidiger: | ||
+ | Antwort: *Kurze Bedenkpause, | ||
+ | |||
+ | |||
+ | **Frage - Staatsanwalt: | ||
+ | Antwort: In der Protokolldatei des Servers, access.log, werden die Anfragen aufgelistet. Dabei sind sowohl die IP-Adressen der Anfragen wie auch die Anfragen selbst verzeichnet. | ||
+ | |||
+ | **Frage - Staatsanwalt: | ||
+ | Antwort: Das müsste erst überprüft werden. Theoretisch wäre z.B. eine Anonymisierung über Tor o.ä. denkbar. Man könnte überprüfen, | ||
+ | |||
+ | **Frage - Staatsanwalt: | ||
+ | Antwort: Ja, aber die letzten Knoten, aus denen die Anfrage letztendlich stammt, sind trotzdem in der Anfrage vorhanden. Möglicherweise könnte es eine Liste dieser Knoten geben. | ||
+ | |||
+ | **Frage - Verteidiger: | ||
+ | Antwort: Dafür gibt es keine Spuren. | ||
+ | |||
+ | **Verteidiger: | ||
+ | Antwort: Nein, nicht zwangsweise. Aber es wäre ungewöhnlich, | ||
+ | |||
+ | **Frage: Also wäre es möglich? | ||
+ | Antwort: *kurze Bedenkpause* Ja, theoretisch schon. | ||
+ | |||
+ | **Freiling: Blättern Sie bitte noch einmal kurz zu den Logs zurück. Hier, wissen Sie wofür die 404 steht? | ||
+ | Antwort: Dafür, dass das die Seite auf dem Server nicht gefunden wurde. | ||
+ | |||
+ | **Freiling: Wissen sie auch wofür diese Zahl steht? Oder diese Strich?**\\ | ||
+ | Antwort: Das habe ich gerade nicht mehr im Kopf. | ||
+ | |||
+ | **Freiling: Das ist die Anzahl der übertragenen Bytes. Hilft diese Information? | ||
+ | Antwort: *Wieder kurzes Nachdenken* Nein. | ||
+ | |||
+ | **Freiling: Warum?**\\ | ||
+ | Antwort: Aufgrund der Kompression. Bilder mit verschiedener Länge haben eine unterschiedliche Kompression und damit unterschiedlich viele Bytes an Länge. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | **Fazit:** In der Bewertung wurde noch einmal als positiv erwähnt, dass ich mich immer an die Fakten gehalten habe und mich auch durch die Fragen des Verteidigers nach der Theorie mit Viktor Vielhaber nicht habe aus der Ruhe bringen lassen. Auch die Tatsache, dass ich nicht sofort auf die Sache mit der Kompression gekommen bin bzw. die Spalte im Log-File nicht wusste, wurde mir nicht wirklich negativ angerechnet, | ||