Die Prüfung lief so ab, dass ich mein Gutachten (dritte Übungsleistung) verteidigen musste. Richter-, Verteidiger- und Anklagerolle übernahm Herr Professor Freiling. Herr Protsenko saß ebenfalls am Tisch und machte sich Notizen. Zunächst sollte ich der Richterrolle meine nicht-technische Zusammenfassung vorstellen. Anschließend wurde ich zu meinem Vorgehen befragt. Hierbei wurde unter anderem auch großer Wert auf Souveränität und Glaubwürdigkeit beim Beantworten gelegt. Man sollte darauf achten, dass Fragen der juristischen Rollen nicht direkt Fragen des Prüfers sind, sondern, dass die Fragen so gestellt wurden, wie sie wohl auch durch die Motivation der jeweiligen Rollen während einer Gerichtsverhandlung ausgesehen hätten. Deshalb kann es sein, dass nicht erwartet wird, auf die Frage zu sehr einzugehen, sondern auch mal aggressivere Fragen abzublocken oder zu begründen warum etwas nicht getan wurde.

Anklage: Wurde das System auf Malware durchsucht?

- Ja, es machte den Anschein, dass außer der durch die Binärdatei installierte Software und Änderungen es zuvor auf dem Computer keine weitere Malware gab.

Anmerkung: Ich war hier etwas zögerlich, da ich es eigentlich nicht getan hatte. Herr Prof. Freiling merkte im nachhinein an, dass hier u.a. etwas geblufft werden könnte. Allerdings, wäre es schwierig, wenn die Anklage ferner Details hierzu wissen möchte. Eine Frage wie etwa „Wie wurde auf Malware geprüft?“ könne eventuell so beantwortet werden: „Ich habe verschiedene typische Malware-Ordner geprüft und eine geläufige Scan-Software darüber laufen lassen. Wenn sie möchten, lasse ich Ihnen die ausführlichen Ergebnisse zukommen.“ → Sicher und offen aber einigermaßen abweisend formuliert.

Anklage: Woher wissen Sie, dass die Zeitstempel in Chronik des Webbrowsers (places.sqlite) zum untersuchenden Zeitraum gestimmt haben?

- Zum einen wurde in den Unterlagen genannt, dass Datum und Uhrzeit des Systems bei der Hausdurchsuchung korrekt waren. Ferner kann man erkennen, wie der NTP-Dienst (Synchronisierung Zeit/Datum über Internet) gestoppt wurde, also kann man annehmen, dass der Dienst zuvor lief. Außerdem könnte man den letzten Zugriff auf das E-Mail-Postfach untersuchen und Prüfen, ob abgeschickte auf das Zeitfenster passen - jedoch müsste ich das nachprüfen.

Daraufhin: Anklage: Zu diesem NTP-Dienst, sind sie sich sicher, dass der Dienst zuvor lief? Läuft der Dienst standardmäßig unter Ubuntu [welches ja auch auf dem PC des Angeklagten installiert war]?

- Das weiß ich nicht, das müsste ich nachprüfen.

Anklage: Welche Log-Dateien wurden bei der Untersuchung des Malware-Binaries berücksichtigt? Sie haben anscheinend nicht viel in dem Anhang aufgeführt.

- Ich habe dieselben Log-Dateien untersucht, wie auch bei der Arbeitskopie des Asservats, also .bash_history (normaler User und root), auth.log, wtmp. Jedoch habe ich im Anhang nur die relevanten Ausschnitte aufgeführt. Wenn sie möchten reiche ich Ihnen die restlichen Nach.

Eigentlich hatte ich durch die relativ schwierigen Fragen und kleinere Aussetzer eher ein weniger gutes Gefühl. Ich hätte einige weitere Fragen recht gut beantworten können, etwa ob die Log-Dateien manipuliert wurden bzw. wieso das eher unwahrscheinlich ist (Antwort: Konsistenz mehrerer Log-Dateien untereinander; wtmp recht schwierig zu manipulieren). Herr Prof. Freiling und Herr Protsenko empfanden meine Prüfung jedoch als sehr gelungen. Es wurde nochmal erwähnt, dass ich bei manchen Fragen nicht unbedingt nachgeben muss und es lediglich ausreichen kann, wenn man begründet warum man etwas eventuell ausgelassen hat bzw., dass man etwas in Anbetracht anderer Hinweise bewusst unterlassen hat. Zudem hätte ich bezüglich des Prüfens der Binärdatei ordentlicher Arbeiten können. Ich bin mit der Durchführung der Prüfung und meinem Ergebniss sehr zufrieden.