Forensische Informatik, SS 2015

Forensische Informatik
Prüfer: Prof. Dr.-Ing. Felix Freiling
Beisitz: (Mitarbeiter vom LS1, hab ich leider vergessen)
Ergebnis: Sehr gut
Dauer: 15-20min

Bericht! Wenn man diesen (Hausaufgabe 3) geschrieben hat, ging die Prüfung eigentlich nur darum, diesen in einem Rollenspiel zu verteidigen. Je besser der Bericht, desto leichter sollte es sein, ihn zu verteidigen.

In der letzten Vorlesung wurde auch eine solche Beispielprüfung vorgespielt.

Es ging im groben darum Cardsharing nachzuweisen und in der Hausuafgabe waren hierfür 3 Images zu untersuchen.

Eingangs wurde einem 3-5 Minuten Zeit gegeben, die Untersuchungsergebnisse dem Richter (als Nicht-Techniker) zusammenfassend zu erklären.

Danach hat der Staatsanwalt gefragt, wie denn sichergestellt sei, dass diese Rechner auch miteinander kommuniziert haben.
→ Netzwerkkonfiguration, übereinstimmende Log-Dateien (Zeitstempel) und übereinstimmende Konfiguration der Zugangsdaten.

Der Staatsanwalt hatte dann ersteinmal keine Fragen mehr. Der Verteidiger hat (erwartungsgemäß) damit nicht übereingestimmt. Er meinte, dass sein Mandant zwei der drei erwähnten Rechner nicht kenne, ich als Gutachter also die falschen Rechner untersucht habe. Denn sein Mandant lebt in einer WG mit einem vorbestraften Mitbewohner, die verdächtigen PCs gehören ihm, sie hatten nur zufällig die gleiche IP.
→ Wieder Logdateinen. Zeigen dass die Reihenfolge, Abstände, IP-Adressen sowie Uhrzeiten zwischen dem Wohnzimmer-PC von Herrn Mustermann und dem TVheadend-PC genau übereinstimmt.

Der Verteidiger meint, dass sein Mandant nun zu gibt Tvheadend (das zweite Image) zu kennen. Jedoch habe sein Mitbewohner ihm gesagt, er solle die Sender in der Reihenfolge anschauen.
→ unglaubwürdig/unplausible, da Zeitstempel sekundengenau übereinstimmen (bzw. die Differenz immer Konstant bleibt). Das würde ein Mensch kaum nachmachen können.

Der Verteidiger meint, sein Mandant habe mit dem Mitbewohner ein Spiel gespielt, weil es beide so lustig fanden. Sie sollen sich gegenseitig zugerufen haben: „Jetzt auf den Kanal XY umschalten, in 3, 2, 1, jetzt…“
→ cool bleiben, noch einmal darauf hinweisen dass die Zeitstempel sehr genau übereinstimmen, genauso wie die Netzwerkkonfiguration und sagen, dass man als Gutachter das nicht feststellen/ausschließen kann. Es müssen Andere entscheiden, ob man diese Geschichte glaubt.

Der Richter meint nun, der Verteidiger solle mal nicht so unglaubwürdiges Zeug erzählen.
Es wird gefragt, ob die gefundene Aufnahme eines HD+-Senders nicht auch im nach hinein von einem USB-Stick auf den Rechner gespielt worden sein kann.
→ Nein, den Zeitstempel und Dauer stimmen genau mit den Logs überein. Und es ist kein Hinweis in dem dmesg-Log, dass ein USB-Speicher angeschlossen wurde. Ausserdem existiert fuer alle drei Aufnahmen eine Datei mit Metadaten zur Sendung, von denen der Angeklagte auf Nachfrage nichts wusste und die er folglich nicht vom USB Stick kopiert hat.

Danach schien keiner mehr eine Frage zu haben und das Rollenspiel war vorbei.
Hr. Freiling hatte dann noch eine Frage, was denn individualisierende Merkmale einer Assoziation seien und ob man ein paar Beispiele in dem Bericht zeigen könne.
→ Kurz auf Assoziationen eingehen, also Vorgang zur Feststellung eines Kontakts zwischen zwei Objekten. Ein individualisierendes Merkmal wäre z.b. die exakt übereinstimmenden Zeitstempel (bzw. die Differenzen und Dauer) des Tvheadend und Kodi Logs.

⇒ Fertig.