Sie befinden sich hier: Termine » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Prüfungsprotokoll Fortgeschrittene Forensische Informatik vom 11.03.2019   (Übersicht)

Prüfungsprotokoll Fortgeschrittene Forensische Informatik vom 11.03.2019

Vorbereitung

Ich habe einen Großteil der Vorlesung besucht. Zur Vorbereitung habe ich dann noch einmal alle aufgezeichneten Vorlesungen angesehen. Gelernt habe ich größtenteils anhand der zur Verfügung gestellten Prüfungsfragen, anschließend bin ich noch einmal die Prüfungsprotokolle durchgegangen.

Als 1. Thema habe ich die Live-Analyse gewählt und bin die Folien dazu noch einmal speziell durchgegangen.

Insgesamt dürften es etwa 3 Tage Vorbereitung gewesen sein.

Klausur

* Prof. Freiling (F) und Student (S) begrüßen sich. *

F: Stellen sie sich vor, ich wäre jetzt Student und sie der Professor, und sie wollten mir jetzt die Live-Analyse erklären.

S: Eine Live-Analyse findet z.B. im Kontext einer Hausdurchsuchung statt. Wenn dabei ein angeschaltetes Computersystem vorgefunden wird, kann es Sinn machen, dieses manuell im laufenden Zustand zu untersuchen. Wenn z.B. die Festplatte verschlüsselt ist, kann die Untersuchung sonst unmöglich sein. Je nach konkretem Fall werden dann unterschiedliche Daten angesehen. Im Fall einer Festplattenverschlüsselung ist z.B. die Erstellung eines Hauptspeicherabbildes hilfreich, das dann nach dem Schlüssel durchsucht werden kann.

F: Bei einer Live-Analyse spielen ja flüchtige Daten eine große Rolle, können sie mir erklären, worum es sich dabei in diesem Kontext handelt?

S: Flüchtige Daten sind generell Daten, die verschwinden - hier vor allem spätestens, wenn die Stromverbindung unterbrochen wird. Es gibt auch Daten, die schon bei laufendem Betrieb verschwinden können, der Cache und die CPU-Register unter anderem. Die Daten, die dann spätestens nach einer kurzen Zeit nach Wegfall der Stromverbindung verloren gehen, befinden sich größtenteils im Arbeitsspeicher.

F: Okay, wie genau erstellt man denn dann so ein Hauptspeicherabbild?

S: Da gibt es eine Reihe von Ansätzen und Tools, die man verwenden kann. Es gibt Ansätze über DMA, Cold Boot, aus dem Kernel oder dem Userspace. Im Kernel gibt es z.B. bei Windows die Tools FTK Imager oder mdd, bei Linux LiME.

F: Nachdem es da jetzt eine Reihe von Tools gibt, muss man doch sicher irgendwie vergleichen können, wie gut die Ergebnisse sind?

S: Ja, da gibt es die drei Kriterien von Vömel und Freiling * F & S lachen *, die die Qualität der Ergebnisse feststellen. Dabei handelt es sich um die Atomarität, Korrektheit und Integrität. Korrektheit beschreibt, ob die Daten, die im Speicher stehen, auch tatsächlich ausgelesen werden – das ginge z.B. schief, wenn Malware falschen Speicherinhalt zurückgibt. Atomar ist ein Abbild, wenn alle seine Teile vom selben Systemzustand / konsistent sind. Bei Integrität geht es darum, ob die Daten zwischen dem Zeitpunkt, zu dem die Akquisition gestartet wird, und dem Zeitpunkt des tatsächlichen Auslesens verändert werden. Diese könnte z.B. dadurch verringert werden, dass das Akquisitionsprogramm selbst den Speicher verändert.

F: Wäre das schlimm, wenn jetzt das Abbild nicht atomar wäre?

S: Bei der strukturellen Auswertung könnte das Analyseprogramm deshalb fehlschlagen. Dann wäre das schon ein Problem.

F: Können sie mir ein Beispiel für einen inkonsistenten Zustand im Abbild geben, der durch schlechte Atomarität entsteht?

S: Angenommen die Prozessliste steht am Anfang des Speichers und wird als Erstes ausgelesen. Dann wird ein Prozess beendet und ein Neuer gestartet, der prompt alle Speicherbereiche des Alten bekommt. Jetzt werden die entsprechenden Speicherbereiche ausgelesen. Im fertigen Abbild sieht es so aus, als würden sie zu einem anderen Prozess gehören, als sie es eigentlich tun.

F: Bei der Untersuchung des Abbilds gibt es jetzt verschiedene Möglichkeiten. Es kann mit z.B. Volatility strukturiert ausgewertet werden, was mir aber gerade zu umständlich aufzusetzen ist. Deswegen benutze ich grep, um eine Telefonnummer herauszubekommen. Was sind da die Vor- und Nachteile?

S: Also vorteilhaft ist, dass es einfacher ist als die strukturierte Untersuchung mit Volatility. Dafür ist dann aber auch das Ergebnis unsicherer. Gut, bei einer Telefonnummer speziell kann vielleicht nach so etwas wie der Ortsvorwahl gesucht werden, was die Erfolgschance erhöht. Aber eine unstrukturierte Analyse ist trotzdem deutlich ungenauer.

F: Bei Festplatten können Dateien ja getrennt und die Teile an unterschiedliche Orte geschrieben werden. Geht das auch in dem Fall im Hauptspeicher?

S: Eine Telefonnummer ist aufgrund ihrer Größe vermutlich ganz auf einer Speicherseite und liegt damit kontinuierlich im Speicher – eine Trennung ist eher unwahrscheinlich. Das Betriebssystem oder die Anwendung können das aber auch anders machen.

F: * lacht * Aber wenn die Anwendung ein großes malloc über mehrere Speicherseiten macht und dann mittenrein die Telefonnummer schreibt …

* Es geht kurz lustig hin und her. *

F: Und wenn ich mit grep eine Telefonnummer finde, ist das dann sicher die Richtige?

S: Es kann aufgrund der Herangehensweise mit der unstrukturierten Analyse alles sein, also nein.

F: Okay, jetzt mal genug von dem technischen Kram. Im Zusammenhang mit der Hausdurchsuchung von vorhin: Darf dort dann rechtlich gesehen eine Live-Analyse stattfinden?

S: Bei der Hausdurchsuchung darf und soll ja alles mitgenommen werden, was fallrelevant ist. Das sollte auch für die Daten auf dem PC gelten. Daher ja, es darf allerdings natürlich nichts verändert werden. Die Befugnis zur Sicherstellung der elektronischen Daten sollte im Durchsuchungsbeschluss stehen.

F: So eine Hausdurchsuchung ist ja eine offene Maßnahme, kommen wir mal zu den Verdeckten. Angenommen sie hätten jetzt den Corona-Virus, dürfte dann bei Ihnen eine Online-Durchsuchung durchgeführt werden?

S: Je nachdem, ob es im Zuge der Strafverfolgung oder der Prävention z.B. durch das BKA stattfindet, gelten unterschiedliche Regeln. Damit die Staatsanwaltschaft aufgrund der StPO eine Online-Durchsuchung durchführen kann, benötigt sie einen richterlichen Beschluss und es muss eine bestimmte Straftat vorliegen. Das ist bei einer Corona-Infektion wahrscheinlich nicht der Fall. Fürs BKA geht es darum, dass eine Gefahr für die deutsche Demokratie oder Bundesbürger besteht und diese nicht anders abgewehrt werden kann – das ist in diesem Fall wahrscheinlich nicht so. * lacht * Aber kann bestimmt so ausgelegt werden.

F: Wie würden sie die Schwere des Eingriffs durch TKÜ bzw. Online-Durchsuchung abwiegen? Immerhin sind in beiden Fällen Trojaner auf dem Rechner.

S: * argumentiert über Bilder auf dem PC, die bei Online-Durchsuchung immer, bei TKÜ erst ab Verschicken angesehen werden dürfen *

F: Für Juristen ist die Verwendung eines Trojaners bzw. die Eindringungstiefe egal, ein Eingriff in die Grundrechte findet erst bei Informationsabfluss statt. Wie sehen sie das?

* F & S philosophieren über IT-Grundrecht und Analogien in physischer Welt. *

F: Okay, wir haben nicht mehr viel Zeit. Gehen wir noch zu einem dritten Themengebiet über. Haben sie die Fälschungsaufgabe gemacht?

S: Ja.

F: Dann erzählen sie mal von ihrem Ansatz und ob / wie sie erkannt worden sind.

S: * elaboriert den Ansatz und die Mängel in der Analyse 20 min lang *

Fazit

Ich bin sehr zufrieden mit der Note (1.0). Die Atmosphäre war sehr entspannt.

Bei Unklarheiten gab es gelegentlich kleine Zwischenfragen, welche hier zur besseren Übersicht mit in die Antwort aufgenommen wurden.

Gegen Ende waren die Fragen eher argumentativer und philosophischer Art ohne korrekte Antwort, weswegen auch keine wortgenaue Antwort hier aufgeführt wurde.