IT-Forensik

Die IT-Forensik beschäftigt sich mit der Sicherung, Untersuchung und Bewertung digitaler Beweismittel auf IT Systemen. Die Veranstaltung ist eine Einführung und richtet sich an Studierende des Studiengangs B.Sc. Informatik, Wirtschaftsinformatik bzw. Elektrotechnik (Wahlmodul).

Veranstaltungsinhalt

Die Veranstaltung gliedert sich in vier Bereiche

1. Computerkriminalität und IT-Forensik

Im ersten Teil der Vorlesung wird zunächst der Begriff der IT-Forensik eingeführt. Da Computerkriminalität häufig der Auslöser für eine IT-forensische Untersuchungen ist, werden danach verschiedene Bedrohungen für und Angriffe auf IT-Systeme erläutert. Den Abschluß des ersten Teils bildet die Erläuterung IT-forensischer Grundlagen. Dazu gehören z.B. die wissenschaftliche Methodik, essentielle Prinzipien, Analyseansätze und Modelle zur Vorgehensweise.

2. Live Response

Die IT-forensische Methode "Live Response" wird z.B. dann durchgeführt, wenn flüchtige Daten g

esichert werden sollen oder das System nicht heruntergefahren werden kann. Da das System sehr empfindlich gegen Eingriffe ist, muss besonders behutsam vorgegangen werden.

Anhand zweier Fallbeispiele wird vorgestellt, wie eine Live Response bei einem Windows- bzw. einem Unix-System grundsätzlich durchgeführt wird. Die Vorlesung orientiert sich in diesem Teil stark an K. Jones, R. Bejtlich, C. Rose: „Real Digital Forensics“, 2005.

3. Dateisystemanalyse

Dieser Teil bildet den Schwerpunkt der Veranstaltung. Bei einer Dateisystemanalyse wird ein nicht-flüchtiger Datenträger mit Dateisystem (meist eine Festplatte) analysiert. Bevor die Analyse jedoch durchgeführt werden kann, muss der Datenträger zunächst gesichert (dupliziert) werden. Danach werden Dateisysteme gesucht und analysiert.

Neben einer allgemeinen Erklärung von Festplatten-Technologie und der Analyse von Laufwerken, beschäftigt sich dieser Teil der Vorlesung insbesondere mit den Dateisystemen FAT bzw. NTFS. Die Analyse des System-Layouts, der Dateiinhalte, der Metadaten und der Dateinamen wird ausführlich erläutert. Die Inhalte der Veranstaltung basieren in diesem Teil auf einem Buch von Brian Carrier „File System Forensic Analysis“, 2005. Begleitet wird dieser Vorlesungsteil von einer Reihe von Versuchen, die die Studierenden selbständig an Laufwerks-Images mit einem bekannten forensischen Tool (The Sleuth Kit) durchführen

4. Smartphone Forensik

Den Abschluß der Vorlesung bildet die forensische Analyse von Smartphones (iPhone, Android und Windows Phone 7). Die Inhalte dieses Kapitels beruhen zum Teil auf neuer Literatur, basieren aber auch wesentlich auf Abschlussarbeiten, die an der FH Aachen durchgeführt wurden/werden.

Gastvorträge

Für das SS 2017 sind wieder interessante Gastvorträge geplant (Vorträge und Titel stehen noch nicht fest).

Praktikum

 

Das Praktikum umfasst vier bis 3-stündige Versuche und wird durch das Projekt (s.u.) ergänzt.

Versuch 1 beschäftigt sich mit Incident Response. Dabei werden aktuelle Daten eines laufenden Rechners mit dem Windows Forensik Toolchest aufgezeichnet und analysiert. Neben laufenden Prozessen wird auch nach bestehenden Netzverbindungen gesucht.

In Versuch 2 wird ein RAM Image mit dem Programm dd erstellt und dann mit dem Framework Volatility untersucht. Dabei werden Prozesse, die mit einem Rootkit versteckt wurden, wieder sichtbar gemacht. Weiterhin werden ausführbare Programme wieder hergestellt, so dass sie z.B. mit einem Virenscanner untersucht werden können. Auch Daten, die in einem laufenden Webbrowser angezeigt wurden, werden wieder sichtbar gemacht.

Die Post Mortem Analyse wird im 3. Versuch vorgestellt. Dabei werden z.B. Windows Logfiles und die Windows Registry untersucht. Auch Alternate Data Streams und deren Handhabung werden behandelt. Tools wie RegRipper und Live View kommen zum Einsatz.

Der 4. Versuch zeigt das Vorgehen bei einer Filesystemanalyse. Anhand eines fiktiven Falles, mit einer Floppy als Beweismittel, wird mit dem Tool Forensic Toolkit (FTK) von AccessData nach einem Täter gesucht. Anschließend wird auf einer SD-Karte einer digitalen Kamera nach Bildern gesucht.

Projekt

Vorlesungsbegleitend führen Sie eine kleine aber komplette forensische Untersuchung durch. Sie erhalten dazu ein Beweismittel aus unserer "Asservatenkammer", welches Sie gemäß forensischer Prinzipien behandeln, analysieren und über deren Inhalt Sie abschließend berichten. Der Aufwand wird auf etwa 8-10 Stunden geschätzt.

Materialien

  • Ein paar audio-kommentierte Folien zur Veranstaltung finden sich hier.
  • Bücher
    • B. Galley, I. Minoggio, M. Schuba: „Unternehmenseigene Ermittlungen: Recht - Kriminalistik - IT“, 2015 (als eBook in der Bib)
    • K. Jones, R. Bejtlich, C. Rose: „Real Digital Forensics“, 2005
    • B. Carrier: „File System Forensic Analysis“, 2005
    • A. Geschonneck: „Computer Forensik“, 6. Auflage, 2014
    • A. Dewald, F. Freiling: „Forensische Informatik“, 2015

  • Die Folien zur Vorlesung gibt es in ILIAS
  • weitere Literaturhinweise und Links in der Vorlesung bzw. in ILIAS

Daten zum Sommersemester 2017

x