Sie befinden sich hier: Termine » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » forensik2_2019-03-15-2   (Übersicht)

Vorbereitung:

Die meisten VL besucht, alle Übungen gemacht, Zusammenfassung auf 16 A4-Seiten, effektiv wsl. 3 Tage „Real-Lernzeit“

Klausur:

FF: Suchen Sie sich einen Themenbereich aus.

I: Ermittlung und Beschlagnahmung im Netz

FF: (hat Augenscheinlich etwas nach einer Frage gesucht)

I: Ich kann auch einen Überblick geben…

FF: Dann sind Sie der Professor und ich der Student…

I: (Überblick): Ermittlung: Drei Probleme der Lokalisierung → Reverse DNS, Verschleierungsmaßnahmen, Ping-Trianguleriung („Einzelpersonen“); Reverse DNS etc. („Server“); Ping-Triangulierung - Beschlagnahmung: Webseiten (Google Cache, Wayback Machine), Besonderheit Cloud-Dienste (nur Zugriff über API), Zugriff auf Cloud-Dienste/Netzlaufwerke

FF: Wie ist denn der Zugriff zB auf Cloud-Dienste gesetzlich geregelt?

I: Bin nicht direkt auf die Frage eingegangen, da es wohl einen extra Paragraphen gibt den ich nicht kannte (hat er später erwähnt, dass wir den wohl dann nicht in der VL hatten), sondern effektiv Stichworte „gut dokumentieren“, „theoretisch spielt Geographie eine Rolle → da darf man ja an sich gar nicht zugreifen, da Geographie ungeklärt“, „irgendwas mit Gefahr im Vollzug“ argumentiert, dass es schon rechtlich möglich sein sollte bzw. wsl. akzeptiert werden würde

FF: Gehen wir mal ein bisschen zu den Ermächtigungsgrundlagen… Wie ist denn dann der Unterschied zwischen §100a, b StPO?

I: Erst ein bisschen Verwirrung… Oh, ich hatte mir das beides unter TKÜ abgespeichert.

FF: Ich meine den Unterschied zwischen TKÜ und Online-Durchsuchung

I: Ah, da hatte ich mir die Paragraphen fürs BKAG gemerkt… Jeweils Stichpunkte zu TKÜ und Online-Durchsuchung genannt, für TKÜ Differenzierung nach Inhalts-, Bestands- Verkehrsdaten, was jeweils notwendig, Straftatenkatalog genannt

FF: Gibt's dann zwischen QTKÜ und OD Unterschiede im Katalog der Straftaten?

I: Vermutlich ja, da QTKÜ vor allem Idee „Verschlüsselung umgehen“, OD deutlich weitgehender

FF: Ok, Wechseln wir Mal zu Hauptspeicher-Analyse. Haben Sie die Übungen gemacht?

I: Ja

FF: Wenn wir Mal von den Problem „Noch nie etwas mit Hauptspeicheranalyse zu tun gehabt“ absehen, was waren da die Hauptherausforderungen?

I: Eigentlich waren exakt das die Hauptherausforderungen… Wenn Sie möchten, kann ich aber einfach Mal meine Vorgehensweise und Überlegungen dazu schildern?

FF: Ok

I: Wenig Ahnung von Hauptspeicheranalyse und Volatility ein bisschen komisch je nach Version → so wenig Änderung wie möglich, damit so wenig Fehlerpotenzial wie möglich → IP-Adressen in Bash geändert und Dateien eingefügt, noch ein bisschen über Probleme mit Volatility geredet

FF: Wofür sind denn eigentlich die Volatility-Profile da?

I: „Verstehen“ der Systematik, wie das Betriebssystem den Hauptspeicher verwendet

FF: Könnte man dann ein System bauen, dass sich selbst so verschleiert, dass sie allen gängigen Heuristiken widersteht und den Ermittler auf die falsche Fährte lockt?

I: (Effektiv Verknüpfung zur Vorlesung „Rekonstruktion von Abstraktionsschichten“): Auf den ersten Blick vermutlich ja, auf der anderen Seite braucht es vermutlich einfach einen ausreichend versierten Ermittler, der das durchdringen können. Am Ende muss die „Rekonstruktionsinfo“ ja auch für das OS irgendwo abgreifbar sein. Außer natürlich, man legt die Informationen an einer anderen Stelle ab - etwa extra Hardwarebaustein oder CPU. Wenn das nicht der Fall ist, könnte man sich vermutlich ein Neuronales Netz basteln, dass man brav mit Rekonstruktionsvorschriften lernen lässt und dass dann zumindest halbwegs annehmbare Ergebnisse ausspuckt

FF: Ok, dann gehen Sie doch Mal raus

Fazit

Insgesamt mit der Note sehr zufrieden, sehr entspannte Prüfungsumgebung, hat auch ein bisschen Diskussion oder „Ideen“ zugelassen. Offene Einstiegsfrage/-thema auf jeden Fall nutzen, genauso wie Ergebnisse der Übung!