Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Aufbau einer IT-Forensik-Station

Frage Sicherheit

Mitglied: Sheldor

Sheldor (Level 1) - Jetzt verbinden

12.08.2017 um 20:13 Uhr, 1085 Aufrufe, 7 Kommentare, 6 Danke

Nabend Leute.

Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.

Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.


Das weiß ich bisher:

1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).


Hierzu habe ich Fragen:

zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?

zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist

zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?


Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.

Wenn du bis hier gelesen hast, bedanke ich mich schonmal
Mitglied: certifiedit.net
LÖSUNG 12.08.2017, aktualisiert um 20:25 Uhr
Hallo,

1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".

Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.

Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um

VG
Bitte warten ..
Mitglied: BassFishFox
LÖSUNG 12.08.2017 um 20:45 Uhr
Halloele,

Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik

Hierzu habe ich Fragen:

zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php

zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.

zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.

BFF
Bitte warten ..
Mitglied: C.R.S.
LÖSUNG 13.08.2017, aktualisiert um 13:28 Uhr
Hallo,

Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!

Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.

Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.

Grüße
Richard
Bitte warten ..
Mitglied: Sheldor
14.08.2017 um 08:08 Uhr
Guten Morgen.

Vielen Dank für eure informativen Antworten Habe jetzt erstmal paar neue Ansätze zum Weiterdenken

Ich werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 14.08.2017 um 09:04 Uhr
Moin Sheldor,

sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
Bitte warten ..
Mitglied: Chaser21a
LÖSUNG 15.08.2017 um 10:01 Uhr
Hab mich in der Studienarbeit auch etwas mit IT Forensik beschäftigt.

Wenn du Literatur suchst:

File System Forensic Analysis von Brian Carrier

Ist ein guter Anfang als Grundlage.
Bitte warten ..
Mitglied: Sheldor
15.08.2017 um 22:32 Uhr
Hi

Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein
Bitte warten ..
Ähnliche Inhalte
Rechtliche Fragen
Frage an Forensiker bezüglich Beweissicherung (39)

Frage von DerWoWusste zum Thema Rechtliche Fragen ...

Windows 7
Surf Station (5)

Frage von Arion941 zum Thema Windows 7 ...

Datenbanken
Wie ICD-10 Datenbank aufbauen (9)

Frage von Herbrich19 zum Thema Datenbanken ...

Schulung & Training
IT Entwickler (2)

Frage von Hanuta zum Thema Schulung & Training ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (14)

Frage von ZeroCool23 zum Thema Windows 10 ...

Router & Routing
gelöst Getrenntes Routing bei VoIP und Daten (12)

Frage von Hobbystern zum Thema Router & Routing ...