Einführung

Wir haben eine Einführung in die digitale Forensik gegeben. Wir haben darüber gesprochen, was als digitaler Beweis gilt, was am Tatort gesammelt wird, was die Beweiskette ist und wie digitale Beweise gespeichert, verarbeitet und analysiert werden. Wir haben ein praktisches Beispiel für die Analyse der Metadaten von Dateien im PDF- und JPG-Format genommen. Wir haben EXIF-Daten aus dem Bild und Metadaten aus dem PDF-Dokument extrahiert. Dies war Teil von „Einführung in die Cybersicherheit“-Spur in TryHackMe.

Feldnotizen zur Computerforensik

Forensik ist die Anwendung der Wissenschaft zur Untersuchung von Verbrechen und zur Feststellung von Fakten. Mit der Nutzung und Verbreitung digitaler Systeme wie Computern und Smartphones entstand ein neuer Zweig der Forensik zur Untersuchung damit verbundener Verbrechen: die Computerforensik, die sich später entwickelte zu digitale Forensik.

Formaler ausgedrückt ist digitale Forensik die Anwendung der Informatik zur Untersuchung digitaler Beweise für einen rechtlichen Zweck. Digitale Forensik wird bei zwei Arten von Untersuchungen eingesetzt:

  1. Untersuchungen im öffentlichen Sektor beziehen sich auf die von Regierungs- und Strafverfolgungsbehörden durchgeführten Untersuchungen. Sie wären Teil einer strafrechtlichen oder zivilrechtlichen Untersuchung.
  2. Untersuchungen im privaten Sektor sind Untersuchungen, die von Unternehmen durch die Beauftragung eines privaten Ermittlers durchgeführt werden, egal ob intern oder extern. Auslöser sind Verstöße gegen Unternehmensrichtlinien.

Ob bei der Untersuchung eines Verbrechens oder eines Verstoßes gegen Unternehmensrichtlinien, ein Teil der Beweise bezieht sich auf digitale Geräte und digitale Medien. Hier kommt die digitale Forensik ins Spiel und versucht herauszufinden, was passiert ist. Ohne ausgebildete Ermittler der digitalen Forensik ist es nicht möglich, digitale Beweise ordnungsgemäß zu verarbeiten.

Was sollten Sie als Ermittler für digitale Forensik tun? Nachdem Sie die entsprechende rechtliche Genehmigung erhalten haben, sieht der grundlegende Plan wie folgt aus:

  1. Beschaffen Sie sich die Beweise: Sammeln Sie die digitalen Geräte wie Laptops, Speichergeräte und Digitalkameras ein. (Beachten Sie, dass eingeschaltete Laptops und Computer eine besondere Behandlung erfordern; dies liegt jedoch außerhalb des Aufgabenbereichs dieses Raums.)
  2. Erstellen Sie eine Beweiskette: Füllen Sie das entsprechende Formular entsprechend aus (Musterformular). Damit soll sichergestellt werden, dass nur befugte Ermittler Zugriff auf die Beweise hatten und diese nicht manipuliert werden konnten.
  3. Legen Sie die Beweise in einen sicheren Behälter: Sie möchten sicherstellen, dass die Beweise nicht beschädigt werden. Bei Smartphones möchten Sie sicherstellen, dass sie nicht auf das Netzwerk zugreifen können, damit sie nicht aus der Ferne gelöscht werden.
  4. Transportieren Sie die Beweise zu Ihrem digitalen Forensiklabor.

Im Labor läuft der Prozess wie folgt ab:

  1. Rufen Sie die digitalen Beweise aus dem sicheren Container ab.
  2. Erstellen Sie eine forensische Kopie der Beweise: Für die forensische Kopie ist erweiterte Software erforderlich, um eine Veränderung der Originaldaten zu vermeiden.
  3. Legen Sie die digitalen Beweise zurück in den sicheren Container: Sie werden an der Kopie arbeiten. Wenn Sie die Kopie beschädigen, können Sie jederzeit eine neue erstellen.
  4. Beginnen Sie mit der Verarbeitung der Kopie auf Ihrer forensischen Arbeitsstation.

Die obigen Schritte wurden übernommen von Leitfaden für Computerforensik und -untersuchungen, 6. Ausgabe.

Laut Ken Zatyko, dem ehemaligen Direktor des Defense Computer Forensics Laboratory, umfasst die digitale Forensik im Allgemeinen:

  • Entsprechende Durchsuchungsbefugnis: Ohne die entsprechende rechtliche Befugnis können die Ermittler nicht mit der Durchsuchung beginnen.
  • Beweiskette: Diese ist notwendig, um jederzeit den Überblick darüber zu behalten, wer die Beweise aufbewahrt hat.
  • Validierung mit Mathematik: Mithilfe einer speziellen mathematischen Funktion, einer sogenannten Hash-Funktion, können wir bestätigen, dass eine Datei nicht geändert wurde.
  • Verwendung validierter Tools: Die in der digitalen Forensik verwendeten Tools sollten validiert werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn Sie beispielsweise ein Image einer Festplatte erstellen, möchten Sie sicherstellen, dass das forensische Image mit den Daten auf der Festplatte identisch ist.
  • Wiederholbarkeit: Die Ergebnisse der digitalen Forensik können reproduziert werden, sofern die entsprechenden Fähigkeiten und Werkzeuge vorhanden sind.
  • Berichterstattung: Die digitalforensische Untersuchung wird mit einem Bericht abgeschlossen, der die Beweise im Zusammenhang mit dem aufgedeckten Fall zeigt.

Antworten auf die Herausforderungen

Betrachten wir den Schreibtisch auf dem Foto oben. Was wäre neben Smartphone, Kamera und SD-Karten für die digitale Forensik interessant?

Es ist wichtig, jederzeit den Überblick darüber zu behalten, wer die Dokumente bearbeitet, um sicherzustellen, dass die Beweise vor Gericht verwertbar sind. Wie heißt das Dokument, mit dem dies nachgewiesen werden kann?

Verwenden von pdfinfo, finden Sie den Autor der angehängten PDF-Datei heraus.

Verwenden von Exiftool oder einem ähnlichen Tool, versuchen Sie herauszufinden, woher die Entführer das Bild haben, das sie an ihr Dokument angehängt haben. Wie heißt die Straße?

Wie lautet der Modellname der Kamera, mit der dieses Foto aufgenommen wurde?

Video-Komplettlösung

, , , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen