IT-Forensik

[Bearbeiten] Facts

• Was: Arbeitsgruppe IT-Forensik
• Wo: Im Labor
• Wer: Alle Interessenten (Kommt alle !)
• Wann: Zweites Treffen 19.11.

[Bearbeiten] Ansprechpartner

Bisher fehlt uns noch ein Ansprechpartner, der sich hier bitte mit seinem Namen und seiner Email eintragen sollte.

[Bearbeiten] Trailer

Es gibt einige Leute im Labor die Lust haben sich mit dem Themenblock IT-Forensik zu beschäftigen. Eine passende Arbeitsgruppe hierzu gibt es bisher noch nicht. Das soll sich nun ändern...

[Bearbeiten] Theorie

Interessante Themen für Vorträge beisplw.:

• Forensik Theorie, Datenrestauration, Spurenverfolgung
• RAM per DMA
• RAM roh auslesen
• TEMPEST

[Bearbeiten] Praxis

Workshops/Projekte:

• Crypto FS
• http://www.damnvulnerablelinux.com
• http://www.honeynet.org/scans

[Bearbeiten] Literatur

[Bearbeiten] An dieser Stelle sollen Literaturempfehlungen gesammelt werden.

Allgemeine Literaturangaben:

• Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären - Achtung, Amazon-Link
• http: bookzilla.de/shop/action/productDetails?aUrl=90006951&artiId=3268701 Dan Farmer, Wietse Venema: Forensic Discovery - Achtung, Bookzilla-Link

Diese Literaturangaben beziehen sich auf das Auslesen des Speichers von noch laufenden Systemen über die FireWire-Schnittstelle:

• Michael Becher, Maximillian Dornseif, and Christian N.Klein. FireWire - all your memory are belong to us, 2005. http://md.hudora.de/presentations/firewire/2005-firewire-cansecwest.pdf.

• Mariuz Burdach. Finding Digital Evidence In Physical Memory, 2006. http://forensic.seccure.net/pdf/mburdachphysicalmemoryforensicsbh06.pdf.

• David R. Piegdon, Lexi Pimenidis. Targeting Physically Addressable Memory, 2007 http://david.piegdon.de/papers/SEAT1394-svn-r432-dimva-slides.pdf.

[Bearbeiten] Projektideen

[Bearbeiten] An dieser Stelle sollen Ideen für Projekte im IT-Forensik-Bereich gesammelt werden

• iPod mit "Forensik-Firmware", eine modifizierte iPodLinux-Firmware, die nach dem einstecken in einen Rechner mit Firewire-Anschluss eine Rootshell präsentiert oder alternativ einen kompletten Speicherdump zur späteren Analyse auf der iPod-Festplatte/-Flashspeicher sichert. Muss auch nicht unbedingt ein iPod sein, für den Anfang genügt vielleicht auch ein Laptop mit entsprechendem Anschluss und Linux.

[Bearbeiten] Links zum Thema

[Bearbeiten] An dieser Stelle sollen Links zum Thema IT-Forensik gesammelt werden

• Homepage CAST e.V.
• Digitale Beweisführung - Forensik und Beweisführung im digitalen Zeitalter
• Computer-Forensik: Kein Fall für Dr. Watson - Bericht über das CAST-Forum 2005, die Linkliste am Ende ist eher interessant
• Website zum Buch “Computer Forensik” aus dem dpunkt.verlag
• Guidance Software - Hersteller des Forensik-Tools EnCase
• IT-Sicherheit Seminar SS 2007 - Unter anderem "Cell Phone Forensics"
• usenix01.pdf - Ram auslesen