Tobias Scheible
Web-Entwickler, Ingenieur & Dozent
Poster LiveForDevice

Datum: Mittwoch, 22. März 2017

Autor: Tobias Scheible

Kommentar(e): 0 Kommentare

Kategorie: Veröffentlichungen

Tags: Forschung, DFRWS, Poster

[Poster] „LiveForDevice“ auf der DFRWS EU 2017

Zusammen mit meinem Kollegen David Schlichtenberger habe ich auf der IT-Forensik Konferenz DFRWS ein wissenschaftliches Poster zu unserem Projekt LiveForDevice präsentiert. Darin geht es um den Ansatz, die forensische Live-Analyse per Hardware zu automatisieren, ohne dass eine Eingabe durch eine Person erfolgen muss.

Es gibt in der klassischen Forensik verschiedene Grundsätze, die auch darauf abzielen, gefundene Spuren nicht zu verändern. Damit soll sichergestellt werden, dass andere Ermittler zum gleichen Schluss kommen können und so eine Neutralität der Ergebnisse gewährleistet werden kann. Allerdings können unter bestimmten Bedingungen die Veränderung von Spuren nicht ausgeschlossen werden. Dies gilt insbesondere in der Computerforensik bei digitalen Spuren, wenn es sich um Geräte bzw. Rechner handelt, die im Betrieb sind. Wird an einem laufenden System eine Untersuchung vorgenommen, werden viele Zeitstempel und der Hauptspeicherinhalt verändert. Hier wird von einer Live-Analyse bzw. Live-Forensik gesprochen.

Live-Analyse

Gerade bei der Live-Analyse müssen alle Schritte genauestens dokumentiert werden, um alle Änderungen erfassen zu können und diese im Nachhinein nachvollziehbar zu belegen. Dazu gehört auch immer eine Begründung, warum notwendige Veränderungen durchgeführt werden mussten. Oft ist es in solchen Fällen schwer, überhaupt alle Änderungen zu überblicken. Schließlich muss bekannt sein, welche Operation an einem Rechnersystem zu welchen Änderungen führt. Dazu gehört nicht nur enormes Wissen über die verschiedenen Betriebssysteme, sondern auch über die verschiedenen Anwendungen. Gleichzeitig muss jedoch auch bekannt sein, welche Möglichkeiten und Grenzen die verwendeten Tools haben. Selbst das Verschieben des MausCursors sorgt für eine Änderung der Speicherinhalte.

Klassische Live-Forensik

Bei der klassischen Live-Forensik verwendet der Ermittler einen Datenträger (USB-Stick, CD, …) mit einem darauf befindlichen Tool bzw. einer Software. Dieser Datenträger wird mit dem Rechner verbunden und die Anwendung darauf gestartet. Der Ermittler muss die entsprechenden Optionen auswählen und so eine forensische Kopie des Arbeitsspeichers anfertigen. Hierbei gilt der Grundsatz, nur so wenig wie möglich und nur die notwendigsten Änderungen am System zu verursachen. Daher muss der Ermittler über das entsprechende Know-how verfügen und jeden Schritt entsprechend dokumentieren.

LiveForDevice Poster
DFRWS EU 2017 – LiveForDevice Poster
DFRWS EU 2017 DFRWS EU 2017 – LiveForDevice Poster

LiveForDeviceAnsatz

Unser Ansatz hingegen basiert auf einer Hardware, die automatisiert standardisierte Tastatureingaben vornimmt, um den Hauptspeicher auszulesen. Dadurch kann auch ein Ermittler mit Basiswissen die Hardware anschließen und die Sicherung automatisiert durchführen lassen. Hier kann zum Beispiel ein Teensy zum Einsatz kommen, der dabei gleichzeitig als virtuelle Tastatur und Speichermedium agieren kann.

Herausforderungen

Bisher befinden wir uns in der ersten Phase der Projektidee und testen verschiedene Hardware. Grundsätzlich sind Arduino kompatible Entwicklerboards sehr vielversprechend. Allerdings wurden diese konzeptioniert, eher mit kleineren Datenmengen umzugehen und nicht über die USB-Schnittstelle mehrere GB auf die SD-Karte zu schreiben. Alternativ könnte auch Hardware in der Preis-/Leistungskategorie des Raspberry Pi‘s verwendet werden. Hier müsste jedoch die Voraussetzung einer virtuellen Tastatur gegeben sein.

  • Artikel teilen:

Über Tobias Scheible

Tobias Scheible

Tobias Scheible arbeitet als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen. Dort ist er als Autor und e-Tutor im Masterstudiengang Digitale Forensik tätig und leite im Bachelorstudiengang IT Security Praktika rund um das Thema Informationssicherheit. Darüber hinaus ist er Mitinitiator des Kompetenzzentrums Cyber Security Lab, welches Forschungsprojekte auf dem Gebiet der IT-Sicherheit koordiniert. Zusätzlich hält er Vorträge und Workshops zu aktuellen Themen der IT-Sicherheit.

Alle Blog-Artikel Website Facebook Twitter Xing

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

nach oben