Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Grundsätzliches   (Übersicht)

no way to compare when less than two revisions

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.


pruefungen:hauptstudium:ls1:forensik1_2019 [10.09.2020 16:30] (aktuell) – angelegt Kruemel
Zeile 1: Zeile 1:
 +====== Grundsätzliches ======
 + 
 +Die Prüfung fand in angenehmer Atmosphäre statt. Anstatt wie in anderen Prüfungen üblich den Stoff wiederzugeben, musste in diesem Fach allerdings einer der drei Berichte wie vor Gericht verteidigt werden. 
 +Dabei ist es wichtig, dass ihr grob im Kopf habt, welche Spuren ihr gefunden habt und welche nicht, und v.a. auch, welche Schlüsse man daraus ziehen kann. Hier solltet ihr v.a. die Zusammenfassung gut und laienverständlich erklären können (das kann man gut bei Laien im Umfeld (Familie, Freunde etc.) üben). Es ist nicht schlimm, wenn ihr über manche Fragen erst kurz nachdenken müsst, damit ihr eine schlüssige Antwort geben könnte, aber es ist wichtig, dass ihr fachlich kompetent wirkt und nicht z.B. mehrmals eure Meinung ändert oder euch durch Nachfragen ins Bockshorn jagen lässt, weil das eure Glaubwürdigkeit in Zweifel ziehen würde. 
 +Außerdem: Es ist meistens eine Frage dabei, durch die man euch ins gezielt ins Bockshorn jagen oder Befangenheit vorwerfen möchte. (Hier z.B. die Frage der Verteidigung nach Viktor Vielhaber) Achtet darauf, dass ihr bei eurem Fachgebiet bleibt und schlagt notfalls, wenn's euch unbedingt unter den Nägeln brennt, dass das wahrscheinlich Unsinn ist, vor, einen Experten in dem entsprechenden Gebiet (bei der Frage der Verteidigung z.B. Kollegen und soziales Umfeld) zu befragen, da ihr selbst nur die technischen Zusammenhänge kennt.
 +
 +====== Der Fall ======
 +
 +**Zusammenhang für den geneigten Leser:**
 +
 +Auf dem Webserver der Firma Conrad wurde rhinografisches Material festgestellt. Dieser wurde beschlagnahmt. 
 +
 +Zu klären ist:
 +  * Wie sind die Bilder auf den Rechner gelangt?
 +  * Wurden diese Bilder über den Rechner verbreitet, d.h. auf den Rechnern dritter heruntergeladen?
 +  * Welche Benutzerkennung und ggf. welchen natürlichen Personen sind diese Handlungen zuzuordnen?
 +
 +Aussage der Firmeninhaber: 
 +
 +5 Personen mit Zugang: Adam Auer, Lukas Lindemann, Peter Pfaff, Sarah Schauer, Viktor Vielhaber
 +
 +
 +====== Prüfungsgespräch ======
 +
 +**Frage - (vermutlich Richter): Fassen Sie das Ergebnis doch bitte einmal kurz zusammen.**\\
 +Zusammenfassung ähnlich der Zusammenfassung aus dem Bericht:
 +    * 4 Accounts auf dem Rechner gefunden, höchstwahrscheinliche Zuordnung:
 +        - auer => Adam Auer
 +        - lindemann => Lukas Lindemann
 +        - pfaff => Peter Pfaff
 +        - schauer => Sarah Schauer
 +        - Viktor Vielhaber konnte keine Nutzerkennung zugeordnet werden
 +    * 43 verschiedene, potentiell rhinografische Bilder
 +      * Relevante Aktionen bzgl. dieses Bildmaterials:
 +          - 12.Juni - Benutzer auer: 
 +          - Besuch von Webseiten, die potentiell rhinografisches Material zur Vefügung stellen, sowie Download einiger Dateien durch den Benutzer
 +          - auer verschob die Dateien aus seinem persönlichen Download-Verzeichnis in das öffentliche Verzeichnis des Servers => er hat diese Dateien damit öffentlich zugänglich gemacht
 +          - 6 dieser Bilder sowie die Datei "rhino.php" sind in der Sicherungskopie nachweisbar; rhino.php stellt alle im selben Ordner befindlichen, also in diesem Fall die 6 potentiell rhinografischen Bilder unter der Überschrift "tolle Nashornbilder" mit Name sowie Downloadlink zur Verfügung
 +      * am 12.Juni war ausschließlich der Nutzer "auer" am System angemeldet
 +      * Zugriff auf die im Verzeichnis liegenden Bilder sowie die Datei "rhino.php" 
 +      * 17.Juni & 18.Juni - Benutzer auer:
 +          - "auer" versucht, die verdächtigen Bilder forensisch sicher zu entfernen, sie (vermutlich zur Überprüfung, ob's geklappt hat) wiederherzustellen und anschließend noch einmal zu entfernen
 +    * Analyse bzgl. Schadsoftware:
 +            - es waren Spuren eines Angriffs auf den Webservern zu finden (in den Protokolldateien)
 +            - ABER: es wurde bei einer Schadsoftwareanalyse keine Schadsoftware gefunden
 +            - UND: die Antworten des Servers lassen auch nicht auf einen Erfolg des Angriffs schließen
 +    
 +**Frage - Richter (sich vergewissernd): Und das dieser Angriff hat keine Auswirkungen gehabt?**\\
 +Antwort: Nein, höchstwahrscheinlich nicht. ich habe ihn nur der Vollständigkeit halber aufgeführt. Die Antworten in den Protokolldateien lassen nicht darauf schließen und bei der Schadsoftwareanalyse wurde keine Schadsoftware auf dem Server gefunden.
 +
 +**Frage - Staatsanwalt: Könnte es sein, dass sich jemand anderes Zugang zum Account verschafft hat und die Bilder auf die Festplatte gebracht hat?**\\
 +Antwort: Der Account "auer" hat laut bash_history gezielt in den Verzeichnissen "Downloads" und "Bilder" in seinem Homeverzeichnis gesucht sowie anschließend in dem Verzeichnis /var/www/html/rhino, bevor er die Bilder zu löschen versuchte. Ich würde erwarten, dass der Systemadministrator, wenn er die Bilder entdecken würde, die gesamte Platte nach Herkunft und weiteren Bildern absucht. Dafür gibt es über die bash keine Spuren. 
 +
 +*Freiling ist kurz verwirrt - anscheinend war das nicht die Argumentationskette, die er erwartet hatte.*
 +Freiling: Das ging mir jetzt ein wenig zu schnell. Könnten Sie das nochmal wiederholen?
 +Dann habe ich die Antwort noch einmal wiederholt.
 +
 +**Frage: Es ist also davon auszugehen, dass dieselbe Person die Bilder heruntergeladen und wieder gelöscht hat. Okay. Wurden denn überhaupt administrative Tätigkeiten durch diesen Account durchgeführt?**\\
 +Antwort: Ja, z.B. das Verwalten der User in Gruppen, das Einrichten eines ssh-Zugangs und dieser Account hat auch den Inhalt des Webservers eingestellt.
 +
 +
 +**Frage - Verteidiger: Mein Mandant sagt, dass er ein schlechter Systemadministrator ist und daher immer Viktor Vielhaber um Hilfe gebeten hat. Viktor Vielhaber habe daher auch seine Zugangsdaten und konnte frei über den Account "auer" verfügen. Was sagen sie dazu?**\\
 +Antwort: *Kurze Bedenkpause, noch überlegend die Antwort* Theoretisch wäre es möglich. Zumindest fällt mir momentan nichts ein, was aus technischer Sicht dagegen spräche.
 + 
 +
 +**Frage - Staatsanwalt: Für eine Verbreitung wäre es notwendig, dass andere Leute das rhinografische Material heruntergeladen haben. Können Sie sicher sein, dass es heruntergeladen wurde?**\\
 +Antwort: In der Protokolldatei des Servers, access.log, werden die Anfragen aufgelistet. Dabei sind sowohl die IP-Adressen der Anfragen wie auch die Anfragen selbst verzeichnet. 
 +
 +**Frage - Staatsanwalt: Können Sie sicher sein, dass die IP-Adressen anderen Leuten zuzuordnen sind?**\\
 +Antwort: Das müsste erst überprüft werden. Theoretisch wäre z.B. eine Anonymisierung über Tor o.ä. denkbar. Man könnte überprüfen, wem diese IP-Adressen zugeordnet sind.
 +
 +**Frage - Staatsanwalt: Tor? Aber das ist doch für die Anonymisierung zuständig?**\\
 +Antwort: Ja, aber die letzten Knoten, aus denen die Anfrage letztendlich stammt, sind trotzdem in der Anfrage vorhanden. Möglicherweise könnte es eine Liste dieser Knoten geben. 
 +
 +**Frage - Verteidiger: Diese Knoten heißen exit-nodes. Aber zurück zu den Bildern: Sie haben die Dateinamen. Könnte es sein, dass jemand den Inhalt der Bilder - bei gleichem Namen - ersetzt hat?**\\ 
 +Antwort: Dafür gibt es keine Spuren.
 +
 +**Verteidiger: Wären solche Spuren denn notwendigerweise vorhanden?**\\ 
 +Antwort: Nein, nicht zwangsweise. Aber es wäre ungewöhnlich, wenn dafür ein anderes Tool verwendet worden wäre als von diesem Account normalerweise verwendet wird.
 +
 +**Frage: Also wäre es möglich?**\\
 +Antwort: *kurze Bedenkpause* Ja, theoretisch schon.
 +
 +**Freiling: Blättern Sie bitte noch einmal kurz zu den Logs zurück. Hier, wissen Sie wofür die 404 steht?**\\ 
 +Antwort: Dafür, dass das die Seite auf dem Server nicht gefunden wurde.
 +
 +**Freiling: Wissen sie auch wofür diese Zahl steht? Oder diese Strich?**\\
 +Antwort: Das habe ich gerade nicht mehr im Kopf.
 +
 +**Freiling: Das ist die Anzahl der übertragenen Bytes. Hilft diese Information? Ist es wahrscheinlich, dass ein Bild, wenn man den Inhalt austauscht, dieselbe Länge hat?**\\
 +Antwort: *Wieder kurzes Nachdenken* Nein.
 +
 +**Freiling: Warum?**\\
 +Antwort: Aufgrund der Kompression. Bilder mit verschiedener Länge haben eine unterschiedliche Kompression und damit unterschiedlich viele Bytes an Länge.
 +
 + 
 +
 +
 +**Fazit:** In der Bewertung wurde noch einmal als positiv erwähnt, dass ich mich immer an die Fakten gehalten habe und mich auch durch die Fragen des Verteidigers nach der Theorie mit Viktor Vielhaber nicht habe aus der Ruhe bringen lassen. Auch die Tatsache, dass ich nicht sofort auf die Sache mit der Kompression gekommen bin bzw. die Spalte im Log-File nicht wusste, wurde mir nicht wirklich negativ angerechnet, weil's doch schon ein recht kniffliger Zusammenhang war.