sheldor
Goto Top

Aufbau einer IT-Forensik-Station

Nabend Leute.

Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.

Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.


Das weiß ich bisher:

1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).


Hierzu habe ich Fragen:

zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?

zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist

zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?


Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.

Wenn du bis hier gelesen hast, bedanke ich mich schonmal face-smile

Content-ID: 346196

Url: https://administrator.de/forum/aufbau-einer-it-forensik-station-346196.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

certifiedit.net
Lösung certifiedit.net 12.08.2017 aktualisiert um 20:25:16 Uhr
Goto Top
Hallo,

1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts face-smile
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".

Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.

Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um

VG
BassFishFox
Lösung BassFishFox 12.08.2017 um 20:45:47 Uhr
Goto Top
Halloele,

Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik

Hierzu habe ich Fragen:

zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php

zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.

zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.

BFF
C.R.S.
Lösung C.R.S. 13.08.2017 aktualisiert um 13:28:49 Uhr
Goto Top
Hallo,

Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!

Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.

Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.

Grüße
Richard
Sheldor
Sheldor 14.08.2017 um 08:08:44 Uhr
Goto Top
Guten Morgen.

Vielen Dank für eure informativen Antworten face-smile Habe jetzt erstmal paar neue Ansätze zum Weiterdenken

Ich werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
certifiedit.net
Lösung certifiedit.net 14.08.2017 um 09:04:22 Uhr
Goto Top
Moin Sheldor,

sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
Chaser21a
Lösung Chaser21a 15.08.2017 um 10:01:36 Uhr
Goto Top
Hab mich in der Studienarbeit auch etwas mit IT Forensik beschäftigt.

Wenn du Literatur suchst:

File System Forensic Analysis von Brian Carrier

Ist ein guter Anfang als Grundlage.
Sheldor
Sheldor 15.08.2017 um 22:32:32 Uhr
Goto Top
Hi

Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein