Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Aufbau einer IT-Forensik-Station

Frage Sicherheit

Mitglied: Sheldor

Sheldor (Level 1) - Jetzt verbinden

12.08.2017 um 20:13 Uhr, 1120 Aufrufe, 7 Kommentare, 6 Danke

Nabend Leute.

Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.

Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.


Das weiß ich bisher:

1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).


Hierzu habe ich Fragen:

zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?

zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist

zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?


Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.

Wenn du bis hier gelesen hast, bedanke ich mich schonmal
Mitglied: certifiedit.net
LÖSUNG 12.08.2017, aktualisiert um 20:25 Uhr
Hallo,

1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".

Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.

Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um

VG
Bitte warten ..
Mitglied: BassFishFox
LÖSUNG 12.08.2017 um 20:45 Uhr
Halloele,

Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik

Hierzu habe ich Fragen:

zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php

zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.

zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.

BFF
Bitte warten ..
Mitglied: C.R.S.
LÖSUNG 13.08.2017, aktualisiert um 13:28 Uhr
Hallo,

Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!

Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.

Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.

Grüße
Richard
Bitte warten ..
Mitglied: Sheldor
14.08.2017 um 08:08 Uhr
Guten Morgen.

Vielen Dank für eure informativen Antworten Habe jetzt erstmal paar neue Ansätze zum Weiterdenken

Ich werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 14.08.2017 um 09:04 Uhr
Moin Sheldor,

sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
Bitte warten ..
Mitglied: Chaser21a
LÖSUNG 15.08.2017 um 10:01 Uhr
Hab mich in der Studienarbeit auch etwas mit IT Forensik beschäftigt.

Wenn du Literatur suchst:

File System Forensic Analysis von Brian Carrier

Ist ein guter Anfang als Grundlage.
Bitte warten ..
Mitglied: Sheldor
15.08.2017 um 22:32 Uhr
Hi

Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein
Bitte warten ..
Ähnliche Inhalte
Rechtliche Fragen
Frage an Forensiker bezüglich Beweissicherung
Frage von DerWoWussteRechtliche Fragen39 Kommentare

Moin moin, Kollegen! Wir sind IT-ler und keine Rechtsberater - das ist mir klar. Ich möchte dennoch fragen, ob ...

Windows 7
Surf Station
Frage von Arion941Windows 75 Kommentare

Hallo liebe Administrator User, und zwar soll ich eine Surf Station bei einem Kunden einrichten. Mein Problem ist das ...

Server-Hardware
Wipe Station gesucht
gelöst Frage von StefanKittelServer-Hardware7 Kommentare

Hallo, wir haben hier immer mal wieder Festplatten die sich ansammeln die gelöscht werden möchten. Dazu nutzen wir aktuell ...

Server-Hardware
Heimnetzwerk Einrichten mit Stationen
Frage von KhaziusServer-Hardware6 Kommentare

Hallo liebe leute, wir besitzten einen Hof und möchten nun unsere Einzelen Computer und Programme auf einen Server schmeißen ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...