Mirror/latexandmore
1
0
Fork 0
mirror of https://gitlab.cs.fau.de/ik15ydit/latexandmore.git synced 2024-11-24 20:49:33 +01:00
Code Issues Projects Releases Wiki Activity

Add standards in it-forensic

Browse Source
This commit is contained in:
Moritz Eckert 2019-03-14 19:14:02 +01:00
parent b24c4dbfbd
commit 32118000ab
1 changed files with 121 additions and 84 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

41
FFI/ForensInf2_Zusammenfassung.tex
View File

@ -80,6 +80,7 @@
\item Block: kleinste Einheit, die gel\"oscht werden kann (üblich 4-8 MiB) \item Block: kleinste Einheit, die gel\"oscht werden kann (üblich 4-8 MiB)
\item Grund: Der Löschvorgang erfordert das Anlegen einer hohen Spannung in mehreren Schritten, die Abschirmung benachbarter Bereiche von Zellen vor ungewollter Beeinflussung sowie das Überprüfen (Lesen) aller Zellen, ob der Löschvorgang erfolgreich war. \item Grund: Der Löschvorgang erfordert das Anlegen einer hohen Spannung in mehreren Schritten, die Abschirmung benachbarter Bereiche von Zellen vor ungewollter Beeinflussung sowie das Überprüfen (Lesen) aller Zellen, ob der Löschvorgang erfolgreich war.
\end{itemize} \end{itemize}
\item Billige Chips verwenden meist Multi Level Cell (MLC) oder Three Level Cell (TLC): Anstatt einem Spannungsthreshold unterscheidet man 2 oder 3 und kann so mit mehrere Bit mit einer Zelle darstellen und Speicher. Das spart Platz und Material ist aber nicht so zuverl\"assig und anf\"alliger f\"ur wear-out
\end{itemize} \end{itemize}
\subsection{Flash-Speicherformate} \subsection{Flash-Speicherformate}
@ -109,7 +110,7 @@
\end{itemize} \end{itemize}
\item eMMC Chips werden of recycelt, z.B. Handy-Speicher wiederverwendet in USB-Sticks \item eMMC Chips werden of recycelt, z.B. Handy-Speicher wiederverwendet in USB-Sticks
\item Je nach Standard ist sicheres L\"oschen der Daten vorher m\"oglich \item Je nach Standard ist sicheres L\"oschen der Daten vorher m\"oglich
\item Nicht alle Hersteller f\"uhren sicheres L\\"oschen auch durch \item Nicht alle Hersteller f\"uhren sicheres L\"oschen auch durch
\item $->$ Daten k\"onnen wiederhergestellt werden \item $->$ Daten k\"onnen wiederhergestellt werden
\end{itemize} \end{itemize}
@ -372,7 +373,7 @@
\item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass (Polizeirecht$->$Landesrecht, Ausnahme: BKA-Gesetz$->$Bundesrecht) \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass (Polizeirecht$->$Landesrecht, Ausnahme: BKA-Gesetz$->$Bundesrecht)
\end{itemize} \end{itemize}
\subsection{Paragraphen zur Strafverfolgung} \subsection{Paragraphen zur Strafverfolgung}
\subsubsection*{\S \S 100a Strafprozessordnung (Telekommunikations\"uberwachung)} \subsubsection*{\S \S 100a Strafprozessordnung ((Quellen-)Telekommunikations\"uberwachung)}
\begin{itemize} \begin{itemize}
\item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und
aufgezeichnet werden, wenn: aufgezeichnet werden, wenn:
@ -487,6 +488,7 @@
\item Aber ohne konkreten Anlass \item Aber ohne konkreten Anlass
\item Schutz der Daten aus "Kernbereichs privater Lebensgestaltung" durch \S 5a \item Schutz der Daten aus "Kernbereichs privater Lebensgestaltung" durch \S 5a
\end{itemize} \end{itemize}
\item Die Regelung des \S 7a lässt es zu, dass der BND - hierfür braucht er die Zustimmung des Bundeskanzleramtes - an ausländische Geheimdienste Daten übermittelt
\item \S 10 regelt das Verfahren zur Anordnung von TK\"U nach \S 3 und 5 \item \S 10 regelt das Verfahren zur Anordnung von TK\"U nach \S 3 und 5
\begin{itemize} \begin{itemize}
\item F\"ur Inhaltsdaten und Suchbegriffe bei \S 5 m\"ussen BND und Co. vorher die sog. G-10 Kommission um Erlaubnis fragen. \item F\"ur Inhaltsdaten und Suchbegriffe bei \S 5 m\"ussen BND und Co. vorher die sog. G-10 Kommission um Erlaubnis fragen.
@ -568,6 +570,41 @@
mit mehreren VMs mit Daten Unbeteiligter) mit mehreren VMs mit Daten Unbeteiligter)
\item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups)
\end{itemize} \end{itemize}
\section{Standards in der IT-Forensik}
\subsection{IT-Sachverst\"andige in Deutschland}
\begin{itemize}
\item \enquote{freie} Sachverst\"andige: kein gesch\"utzter Titel
\item \enquote{\"offentlich bestellte und vereidigte} Sachverst\"andige: Gesch\"utzter Titel (\S 132a StGB)
\item Im Bereich IT/Computerforensik
\begin{itemize}
\item IHKs als K\"orperschaften \"offentlichen Rechts vom Staat mit Aufgabe der Bestellung beliehen
\item Fixiert in Sachverst\"andigenordnung,Bestellungsvoraussetzungen
\item u.a. auf 5 Jahre befristet, ausreichend Lebens- und Berufserfahrung, erheblich \"uber dem Durchschnitt liegende Fachkenntnisse, lebt in geordneten wirschaftlichen Verh\"altnissen,...
\item \enquote{Besondere Sachkunde} nach DIHK: Abgeschlossenes Studium, Berufserfahrung im Bereich Infermationsverarbeitung, Mindestens 5 Gutachten, zus\"atzlich IHK-Pr\"ufung
\item Es wird gepr\"uft ob Sachverst\"andige geeignet ist (zusammengefasst in keiner Weise befangen)
\item Auftr\"ager k\"onnen nur bei wichtigem Grund verweigert werden
\item Sachverst\"andige k\"onnen ihre Haftung nicht ausschlie\ss{} oder beschr\"anken und brauchen entsprechende Haftpflichtversicherung
\end{itemize}
\end{itemize}
\subsubsection{Was darf der \"obuv Sachverst\"andige}
\begin{itemize}
\item Aufkl\"arung und Akteneinsicht \S 80 StPO: Akten einsehen, Vernehmnung von Zugen und Beschuldigten
\item Im Gerichtsverfahren: \S 73 StPO: Richter entscheiden welche Sachverst\"andige in welcher Anzahl hinzugezogen werden
\item Unterschied ermittler: \"obuv Sachverst\"andiger ist absolut Neutral, \enquote{Werkzeug} des Richters, ist selbst f\"ur alles zust\"andig und haftbar
\end{itemize}
\subsubsection{BSI-Leitfaden IT-Forensik}
\begin{itemize}
\item (Ver-)Alte(te)r Leitfahden f\"ur Forensische Gutachten
\item Es existieren Internationale Standards, aber oft nicht spezifisch genug f\"ur deutsches Rechtssystem:
\begin{itemize}
\item ISO 27000
\item Council of Europe: Electronic Evidence Guide (2013)
\item Department of Justice: Electronic Crime Scene Investigation (2008)
\item Scientific Working Group on Digital Evidence (SWGDE): Best Practices for Computer Forensics (2014)
\item ...
\end{itemize}
\end{itemize}
\section{Date-Loss though Abstraction} \section{Date-Loss though Abstraction}
Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion
bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level