Da immer mehr Benutzer mobil werden und miteinander verbundene Geräte verwenden, stehen Computer häufig im Mittelpunkt von Vorfällen und Untersuchungen. Beweise für die Diskussion vor Gericht werden häufig dank der Fähigkeiten digitaler forensischer Experten gesammelt, die wichtige Daten aus elektronischen Geräten der betroffenen Parteien extrahieren können. Gesetzbeamte hängen manchmal vom Zeugnis von den computerforensischen Analytikern ab, die auf E-Entdeckung spezialisiert werden; diese Experten werden genannt, um direkt mit Polizisten und Detektiven zu arbeiten, um zu helfen, wenn sie identifizieren, konservieren, digitale Beweise analysieren und darstellen, um zu helfen, Verbrechensfälle zu lösen.

Ziel des Artikels ist es, einen Überblick über die Computerforensik und die Methoden zu geben, die bei der Erfassung digitaler Beweise von Computersystemen und mobilen Geräten zur Analyse von Informationen im Zusammenhang mit strafrechtlichen Ermittlungen angewendet werden. Es berührt auch die neuesten forensischen Herausforderungen: mobile Forensik, Cloud-Forensik und Anti-Forensik.

Computer Forensic experts

Die Aufgabe der forensischen Experten ist es, „Kriminelle zu identifizieren und Beweise gegen sie zu analysieren“, sagt Hall Dillon in einem Karriereausblick für das US Bureau of Labor Statistics.

Ausgebildete und qualifizierte Personen arbeiten für die öffentliche Strafverfolgung oder im privaten Sektor, um Aufgaben im Zusammenhang mit der Sammlung und Analyse digitaler Beweise auszuführen. Sie sind auch verantwortlich für das Schreiben aussagekräftiger Berichte zur Verwendung in Ermittlungs- und Rechtsumgebungen. Neben der Arbeit in Labors wenden forensische Experten digitale Ermittlungstechniken auf dem Gebiet der Aufdeckung von Metadaten an, die vor Gericht von Bedeutung sind.

Die heutigen computerforensischen Analysten sind in der Lage, Daten wiederherzustellen, die gelöscht, verschlüsselt oder in den Falten der Mobilgerätetechnologie versteckt wurden. Sie können an herausfordernden Fällen beteiligt sein, einschließlich der Überprüfung der Alibis von Straftätern, der Untersuchung von Internetmissbrauch, des Missbrauchs von Computerressourcen und der Netzwerknutzung bei der Herstellung computerbezogener Bedrohungen. Forensische Experten können hinzugezogen werden, um wichtige Fälle von Datenverletzungen, Eindringlingen oder anderen Vorfällen zu unterstützen. Durch die Anwendung von forensischen Techniken und proprietären Softwareanwendungen zur Untersuchung von Systemgeräten oder -plattformen können sie möglicherweise wichtige Erkenntnisse liefern, um festzustellen, wer für ein untersuchtes Verbrechen verantwortlich war / waren.

Die schnell wachsende Disziplin der Computerforensik hat sich zu einem eigenen wissenschaftlichen Fachgebiet mit begleitender Ausbildung und Zertifizierung (CCFE, CHFI) entwickelt. Laut Computer Forensics World, einer Gemeinschaft von Fachleuten, die in der digitalen Forensikbranche tätig sind, sind die zertifizierten Personen in diesem Bereich für die Identifizierung, Sammlung, Erfassung, Authentifizierung, Aufbewahrung, Prüfung, Analyse und Präsentation von Beweisen für Strafverfolgungszwecke verantwortlich.

Der computerforensische Prozess

Der Zweck einer computerforensischen Untersuchung besteht darin, Daten von Computern wiederherzustellen, die als Beweismittel bei strafrechtlichen Ermittlungen beschlagnahmt wurden. Experten verwenden einen systematischen Ansatz, um Beweise zu untersuchen, die während des Verfahrens vor Gericht vorgelegt werden könnten. Die Einbeziehung forensischer Experten muss frühzeitig in eine Untersuchung einbezogen werden, da sie dazu beitragen können, technisches Material so zu sammeln, dass der Inhalt wiederhergestellt werden kann, ohne dass seine Integrität beeinträchtigt wird.

Forensische Untersuchungen können viele (oder alle) der folgenden Schritte umfassen:

  • Sammlung – Suche und Beschlagnahme digitaler Beweise und Datenerfassung
  • Prüfung – Anwendung von Techniken zur Identifizierung und Extraktion von Daten
  • Analyse – Verwendung von Daten und Ressourcen zum Nachweis eines Falls
  • Berichterstattung – Präsentation der gesammelten Informationen (z. B. schriftlicher Fallbericht)

Bill Nelson, einer der mitwirkenden Autoren des Leitfadens für Computerforensik und Ermittlungen (dritte Aufl.) Buch, hebt die Bedeutung der drei A’s der Computerforensik hervor: Acquire, Authenticate und Analyze. Er sagt, dass der computerforensische Prozess in der Tat einen systematischen Ansatz beinhaltet, der eine erste Bewertung, die Beschaffung von Beweisen und deren Analyse bis hin zum Ausfüllen eines Fallberichts umfasst (2008, S. 32-33).

Forensische Fälle variieren stark; Einige befassen sich mit Computer-Eindringlingen, die Daten stehlen; andere beinhalten Hacker, die in Websites einbrechen und DDoS-Angriffe starten, oder versuchen, Zugang zu Benutzernamen und Passwörtern für Identitätsdiebstahl mit betrügerischen Absichten zu erhalten, sagt das FBI. In einigen Fällen handelt es sich um Cyber-Stalking oder Straftäter, die verbotene Websites besuchen (z. B. Kinderpornografie-Websites). Ein forensischer Prüfer kann die Cyberspur erkunden, die der Täter hinterlassen hat.

Was auch immer der Grund für die Untersuchung ist, die Analysten befolgen schrittweise Verfahren, um sicherzustellen, dass die Ergebnisse solide sind. Sobald ein Strafverfahren eröffnet ist, werden Computer und andere digitale Mediengeräte und Software beschlagnahmt und / oder auf Beweise untersucht. Während des Abrufprozesses werden alle wesentlichen Elemente gesammelt, um dem forensischen Analysten das zu geben, was er für die Zeugenaussage vor Gericht benötigt.

Dann ist es Zeit, Daten zu extrahieren und zu analysieren. Ein computerforensischer Ermittler berücksichtigt die 5Ws (Wer, was, wann, wo, Warum) und wie ein Computerverbrechen oder ein Vorfall aufgetreten ist. Mithilfe von Standardbewertungskriterien kann der Prüfer sicherheitsrelevante Fehler in einer Netzwerkumgebung identifizieren, die nach verdächtigem Datenverkehr und jeder Art von Eindringlingen suchen, oder er kann Nachrichten, Daten, Bilder und andere Informationen sammeln, die eindeutig einem bestimmten Benutzer zugeordnet werden können, der an einem Fall beteiligt ist.

Der forensische Prozess umfasst auch das Verfassen von Berichten. Computerforensische Prüfer müssen solche Berichte erstellen, damit der Anwalt die verfügbaren sachlichen Beweise erörtern kann. Es ist wichtig, forensische Beweise für Zeugenaussagen vorzubereiten, insbesondere wenn Fälle vor Gericht gestellt werden und der Prüfer als technisch / wissenschaftlicher Zeuge oder Sachverständiger hinzugezogen wird.

Möglichkeiten, Beweise forensisch zu erhalten

Traditionell wurden computerforensische Untersuchungen an ruhenden Daten durchgeführt, indem beispielsweise der Inhalt von Festplatten untersucht wurde. Wann immer ein Forensiker weitere Analysen benötigte (z. B. um ein Imaging durchzuführen — das Kopieren von Festplatten, Flash-Laufwerken, Festplatten usw.), wurde es normalerweise in einer kontrollierten Laborumwelt getan. Tote Analyse (auch bekannt als tote forensische Erfassung oder nur statische Erfassung) ist der Besitz von Daten, die auf Computern durchgeführt werden, die ausgeschaltet wurden. Mit anderen Worten, es geht um Untersuchungen des Systems (und Teile davon) in Ruhe (tot). Bei der Live-Analysetechnik werden stattdessen Daten von einem System gesammelt, bevor es heruntergefahren wird. Eine DNA-Analyse wird als notwendig erachtet, um auch physische Beweise wie DNA (Fingerabdrücke auf Geräten) abrufen zu können.

Die Durchführung einer „Live-Analyse“ vor Ort liefert schnelle und direkte Beweise; Es kann dank analytischer Werkzeuge durchgeführt werden, die jetzt tragbar sind und von den Analysten am Tatort getragen werden können, um sofort mit der Untersuchung zu beginnen.

Auch wenn ein forensischer Prüfer das Kriminallabor möglicherweise zur weiteren Analyse oder zur Durchführung eines sich wiederholenden Prozesses benötigt (was bei Live-Akquisitionen nicht möglich ist), ist dies nicht in allen Fällen erforderlich. Nichtsdestotrotz ist es wichtig, dass der forensische Prüfer gerade genug Informationen sammelt, um den nächsten geeigneten Schritt in der Untersuchung zu bestimmen. Dieser Ansatz stellt sicher, dass keine digitalen Beweise verloren gehen oder beschädigt werden, keine flüchtigen Daten verloren gehen oder ein Haftbefehl für die Beschlagnahme der Geräte erforderlich ist.

Live-Untersuchungen werden bereits seit Jahren durchgeführt. Im heutigen digitalen Zeitalter und dem Anstieg der Computerkriminalität ist es nicht verwunderlich, dass forensische Analysten für die Analyse und Interpretation digitaler Beweise (z. B. Computersysteme, Speichermedien und Geräte) eingesetzt werden müssen, erklärt Marcus K. Rogers, Abteilung für Computer- und Informationstechnologie an der Purdue University. In einem Artikel über das Cyber Forensic Field Triage Process Model (CFFTPM) aus dem Jahr 2006 stellte er fest, dass „CFFTPM einen Vor-Ort- oder Feldansatz vorschlägt, um die Identifizierung, Analyse und Interpretation digitaler Beweise in kurzer Zeit bereitzustellen, ohne dass die Systeme / Medien zur eingehenden Untersuchung oder zum Erwerb eines vollständigen forensischen Bildes / einer vollständigen forensischen Abbildung zurück ins Labor gebracht werden müssen.“

Ein paar Computer forensische Werkzeuge

Umfassende forensische Softwaretools (wie Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD usw.) werden von Ermittlern am Tatort verwendet, um ihre Sammlung, Indizierung und detaillierte Analyse bereitzustellen.

Eine forensische Untersuchung besteht darin, computerforensische Informationen zu sammeln; Der Prozess kann mit der Analyse des Netzwerkverkehrs mit einem Paketanalysator oder einem Sniffer-Tool wie Wireshark beginnen, das den Datenverkehr abfangen und zur weiteren Analyse protokollieren kann. NetworkMiner, ein weiteres Netzwerk-Forensik-Analyse-Tool (NFAT), ist eine Alternative zu Wireshark, um alle Dateien zu extrahieren oder wiederherzustellen. Snort ist stattdessen ein wertvolles Werkzeug, um Netzwerk-Eindringlinge in Echtzeit aufzuspüren.

Die NFAT-Software enthält auch forensische Funktionen, indem sie, wie der Name schon sagt, Analysen des gespeicherten Netzwerkverkehrs durchführt. Für die Reaktion auf Vorfälle und die Identifizierung kann ein forensisches Toolkit oder FTK verwendet werden, um gelöschte Dateien zu identifizieren und wiederherzustellen.

Der Bedarf an neuen forensischen Tools

Die Implementierung und das schnelle Wachstum neuer Technologien haben forensischen Analysten, die jetzt vor der Aufgabe stehen, nicht nur auf PCS und Laptops, sondern auch (und häufiger) auf Tablets und Smartphones nach Informationen zu suchen, einige Probleme bereitet.

„Mobile Device Forensics ist die Wissenschaft der Wiederherstellung digitaler Beweise von einem mobilen Gerät unter forensisch einwandfreien Bedingungen mit anerkannten Methoden“, heißt es in den „Guidelines on Mobile Device Forensics“ des NIST.“ Der Leitfaden hebt hervor, wie forensische Analysten heute die Einzigartigkeit der mobilen Welt genau verstehen und die meisten technologischen Merkmale hinter jedem Modell und Gerätetyp verstehen müssen, die an einem Tatort zu finden sind.

Die Verbreitung proprietärer Betriebssysteme, Verschlüsselungstechnologien und Schutztools, die von Smartphone-Unternehmen wie Nokia, Samsung, LG, Huawei, Apple und anderen entwickelt wurden, verpflichtet Analysten, schneller als je zuvor mit den neuesten Entwicklungen Schritt zu halten. Die neuen fortschrittlichen Geräte von heute werden mit höheren Raten hergestellt, und das Extrahieren von Informationen aus ihnen bietet selbst nach Umgehung der offensichtlichen Sicherheitsfunktionen, die sie schützen, einzigartige Herausforderungen.

Bei der Arbeit mit eigenständigen Computern wusste ein Analyst, wo er nach Daten suchen musste (RAM, BIOS, HHD …). In einem mobilen Gerätespeicher ist es nicht so klar geschnitten, und relevante Informationen könnten an mehreren Stellen gefunden werden, von NAND über NOR-Flash-Speicher bis hin zum RAM einer SIM-Karte.

Es ist wichtig, so zu arbeiten, dass die Daten erhalten bleiben, wenn beispielsweise Probleme wie die Auswirkungen des Stromausfalls auf den flüchtigen Speicher des Geräts berücksichtigt werden, die wichtige Informationen zur Programmausführung auf dem Gerät anzeigen können. Darüber hinaus „erschweren geschlossene Betriebssysteme die Interpretation des zugehörigen Dateisystems und der zugehörigen Struktur. Viele mobile Geräte mit demselben Betriebssystem können auch in ihrer Implementierung stark variieren, was zu einer Vielzahl von Dateisystem- und Strukturpermutationen führt. Diese Permutationen stellen Hersteller und Prüfer mobiler forensischer Werkzeuge vor erhebliche Herausforderungen.“ (NIST Special Publication 800-101, Revision 1)

Wie das National Institute of Standards and Technology (NIST) erklärt, gibt es viele Techniken, mit denen Analysten forensische Daten von Mobilgeräten erfassen können, von der weniger aufdringlichen manuellen Extraktion bis zum invasiven, anspruchsvollen und teuren Mikrolesen. Manuelle Extraktion bedeutet, Informationen einfach über die Benutzeroberfläche und das Display des Geräts zu erhalten. Der zweite Schritt ist immer noch grundlegend und beinhaltet die logische Extraktion. Die dritte Ebene beinhaltet Hex-Dumping / JTAG-Extraktionsmethoden; Es erfordert einen schwierigeren Ansatz zur Datenerfassung – durchgeführt durch die physische Erfassung des Gerätespeichers. Die vierte Ebene ist die Chip-Off-Methode, bei der der Speicher tatsächlich entfernt wird, und die fünfte, schwierigste und anspruchsvollste Methode ist die Mikrolesetechnik, bei der Analysten mit einem ausgeklügelten Mikroskop den physischen Zustand aller Gates anzeigen.

NIST arbeitet nicht nur an einem gemeinsamen Ansatz für mobile Forensik, sondern bietet auch ein Forum, um Ideen zur Cloud-Forensik zu sammeln. Cloud Computing ist eine schnell wachsende Technologie, die heute von den meisten Benutzern mobiler Geräte und vielen Unternehmen verwendet wird. Seine Flexibilität und Skalierbarkeit machen es für die meisten Benutzer zu einer attraktiven Wahl, stellt aber auch einzigartige forensische Herausforderungen dar.

Neben technischen Herausforderungen wirft Cloud Computing in der Tat rechtliche und rechtliche Probleme auf. Tatsächlich können Daten überall gespeichert und abgerufen werden, und es kann für Ermittler problematisch sein, auf Daten in verschiedenen Ländern oder auf eine Weise zuzugreifen, die die Datenschutzrechte anderer Cloud-Benutzer wahrt.

Darüber hinaus ist es manchmal schwierig, Daten und Aktionen einem bestimmten Benutzer zuzuordnen. Die Wiederherstellung von Daten könnte auch wegen des Überschreibens und der Wiederverwendung von Speicherplatz in einer Cloud-Umgebung problematisch sein.

Ermittler müssen sich auch der Anti-Forensik-Techniken, -Tools und -praktiken bewusst sein, die forensische Analysen insbesondere in einer Cloud-Umgebung nicht aussagekräftig machen können. Bestimmte Arten von Malware und Verschleierungstechniken können die Integrität der gesammelten Beweise beeinträchtigen und die Vorlage von Schlussfolgerungen vor Gericht erschweren.

Fazit

Wie Infosec auf seiner Website erklärt, „werden Computerforensik-Spezialisten von heutigen Unternehmen benötigt, um die Ursache eines Hackerangriffs zu ermitteln, rechtlich zulässige Beweise vor Gericht zu sammeln und Unternehmensvermögen und Reputation zu schützen.“

Mit Cyberkriminalität (z., jede kriminelle Handlung, die sich mit Computern und Netzwerken befasst) auf dem Vormarsch ist und organisatorische Daten bedroht, sowie die zunehmende Nutzung digitaler Geräte durch die allgemeine Bevölkerung, Die Analyse digitaler Beweise wird an vielen Tatorten zu einem entscheidenden Element.

Forensic Computing ist heute ein spannender Beruf, der den Schwerpunkt auf das menschliche Element legt, aber auch Herausforderungen mit sich bringt, da digitale Beweise in einer sich ständig verändernden Umgebung aufgedeckt werden müssen. Der technologische Fortschritt und die Umstellung auf vernetzte und Cloud-Umgebungen, in denen anti-forensische Methoden leicht ins Spiel kommen können, verpflichten Fachleute auf diesem Gebiet, sich auf dem neuesten Stand zu halten und die Standardarbeitsanweisungen kontinuierlich zu überarbeiten.

Rebecca T. Mercuri, Gründerin von Notable Software, Inc., in einem wissenschaftlichen Artikel über Herausforderungen im Forensic Computing festgestellt, dass „die anhaltende Reife dieses Feldes unweigerlich eine gewisse Stabilisierung der Best Practices, Schulungen, Zertifizierungen und Toolsets mit sich bringen wird, aber aufgrund der Dynamik der Technologie immer neue Herausforderungen entstehen an seiner Wurzel.“ Nichtsdestotrotz, wie das FBI auf seiner Website feststellt, „soll diese aufstrebende forensische Disziplin ein wirksames und zuverlässiges Instrument in der Strafjustiz bleiben.“

Quellen

Richtlinien zur Forensik für mobile Geräte

Den Unterschied zwischen Computerforensik und E-Discovery herausarbeiten

Rationalisierung des digitalen forensischen Workflows: Teil 3

Sicherere forensische Live–Erfassung

Security Watch – Herausforderungen im forensischen Computing

Leitfaden Computerforensik und Untersuchungen. (3. Aufl.). Boston, MA

Computer Forensik Feld Triage Prozessmodell.

Innovationen Blog: Der Push für Live-Forensik.

Digitale Forensik ist nicht nur WIE, sondern WARUM

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.