it-risk-management v11: it-forensik / e-mail-forensikaggrimm/teaching/2015...1 seite 1 © r. grimm 1...
TRANSCRIPT
1
Seite 1
/52© R. Grimm 1
IT-Risk-Management
V11: IT-Forensik / E-Mail-Forensik
R. Grimm Institut für Wirtschafts- und Verwaltungsinformatik
Universität Koblenz
/52© R. Grimm 2
Inhaltsübersicht
1. Motivation:• Straftaten und Datenschutz• Terrorismus und Internet
2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
• Instrumente der E-Mail-Forensik
• Grenzen der E-Mail-Forensik
• Konspiratives E-Mailing
2
Seite 2
/52© R. Grimm 3
Motivation
• Untersuchen, was auf meinem Computer passiert ist• Wiederherstellung verlorener Daten• Rücksetzung auf ältere Versionen• Verfolgung von auffälligem Verhalten
• Forum = Marktplatz, Gericht• Nachweis von Straftaten
/52© R. Grimm 4
Kriminalstatistik 2013 „Computerkriminalität“
• 88.722 Fälle (2012: 87.871 Fälle, +1%)• 2009 → 2010: + 12,6%, 2010 → 2011: + 0,7%, 2011 → 2012: +3,4%
• Steigerung bei– Datenveränderung, Sabotage: 12.766 (2012: 10.857, +17,6%)
• wg. zunehmender Schadsoftware• 2009 → 2010: +10%, 2010 → 2011: +84% ! 2010 → 2011: +133% !!
– Fälschung beweiserheblicher Daten: 9.779 (2012: 8.539, +14,5%)
• Rückgang bei– Ausspähen von Daten: 15.909 (2012: 16.794, -5,3%)
• 2009 → 2010: +32,2% ! 2010 → 2011: +3,5% ! 2011 → 2012: +6,8%
– Computerbetrug: 23.242 (2012: 24.817, -6,3%)• 2009 → 2010: +18,9% ! 2010 → 2011: -2,1%, 2011 → 2012: -7,1%
– Betrug bei Zugangsberechtigungen: 2.730 (2012: 2.952, -7,5%)• 2011 → 2012: -37,6%
Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, , S. 4 (Abb. 2-T01)
3
Seite 3
/52© R. Grimm 5
Kriminalstatistik 2013 „Tatmittel Internet“
• 2013: 257.486 Straftaten (+12,2% ggü. 2012)– 2012: 229.408 (+3,2% ggü. 2011)
– 2011: 222.267
• Überwiegend Betrugsdelikte: 70,2% (etwa wie 2012)– insbesondere Warenbetrug/Leistungsbetrug: > 45%
• d.i. nach §263 StGB Vortäuschen von Waren, Leistungen, bzw. ihrer Bezahlung
– Computerbetrug: 7% (18.018 Fälle)• d.i. nach §263a StGB: Viren, Hintertüren, Missbrauch von Daten, unbefugte
Nutzung von Daten
• Verbreitung pornograph. Schriften: 2,6% (+31% ggü. 2012!)• Ausspähen: 5,2% (2012: 6,0%)• Urheberrechtsverletzungen: 7% (+9,1% ggü. 2012)
Aus: BMI/BKA, Polizeiliche Kriminalstatistik 2013, S. 9, bzw. S. 17 (Abb. 5-G03)
/52© R. Grimm 6
Motivation: Straftaten Internet
2013
Bundeskriminalamt, Polizeiliche Kriminalstatistik 2013, Abschn. 5, „Straftatenanteile an Straftaten mit Tatmittel Internet, 5 – G03, S 17
Betrug insgesamt: 70,2 %
4
Seite 4
/52© R. Grimm 7
Dagegen Datenschutz…
• Datensparsamkeit• Datenvermeidung
§ 3a BDSG Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an demZiel auszurichten, keine oder so wenig personenbezogene Daten wie möglichzu erheben, zu verarbeiten oder zu nutzen.
Insbesondere ist von den Möglichkeiten der Anonymisierung undPseudonymisierung Gebrauch zu machen, soweit dies möglich ist und derAufwand in einem angemessenen Verhältnis zu dem angestrebtenSchutzzweck steht.
/52© R. Grimm 8
E-Mail Service offering PET?
Date: Fri, 17 Apr 2009 17:31:31 +0200From: Ruediger Grimm <[email protected]>To: Ahmed Nassef <[email protected]>Subject: Your Privacy Service
Dear Sir, dear Mr. Ahmed Nassef,
I am interested in private access to Internet-Mail. I found from your Web Sites (http://www.maktoobgroup.com/inside. htm) that you offer special privacy protection. I am teaching IT-security and IT-privacy at the University Koblenz, Germany, and I am continuously looking for privacy enhanced technology (PET) in the Internet. Your service seems to offer PET.
Could you please tell me, what kind of privacy serv ice you are offering? I am especially interested in these three features:
1. A VPN tunnel from any place in the world to your Webmailer.2. The deletion of "Received" header lines from any e-mail
that arrives in my mail account.3. The protection of my login dates in the Webmaile r account.
Thanks for help, regards, Dr. Ruediger Grimm
5
Seite 5
/52© R. Grimm 9
E-Mail Service offering PET? – „no“
Subject: RE: Your Privacy ServiceDate: Sat, 18 Apr 2009 06:21:52 -0400Thread-Topic: Your Privacy ServiceFrom: "Ahmed Nassef" <[email protected]>To: "Ruediger Grimm" <[email protected]>
We do not offer such a service.
-----Original Message-----From: Ruediger Grimm [mailto:[email protected]]= 20Sent: Friday, April 17, 2009 7:32 PMTo: Ahmed NassefSubject: Your Privacy Service
Dear Sir, dear Mr. Ahmed Nassef,[...]
/52© R. Grimm 10
Inhaltsübersicht
1. Motivation:• Straftaten und Datenschutz
• Terrorismus und Internet
2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
6
Seite 6
/52
Terroristenprozesse am OLG Koblenz
• Aleem Nasir wg. Schleusen– Kurierdienste Geld- und Sachspenden
– Rekrutierung und Schleusen von Personen
– Urteil am 13.7.2009: 8 Jahre
• Ömer Özdemir wg. Hilfe für A.N.– Besuch Terrorcamp
– Werbung von Mitgliedern (Bekkay Harrach)
– Lieferung von Bargeld und Sachen
– Urteil am 19.7.2010: 6 Jahre
– sowie gegen Sermet Ilgen: 2,5 Jahre
© R. Grimm 11
Bildquellen, s. Anhang
/52
Terroristenprozesse am OLG Koblenz
• Bekkay Harrach wg. Propaganda– flüchtig im afgan.-pakistanischen Grenzgebiet
– Drohungen gegen Deutschland
http://www.welt.de/politik/deutschland/article4569770/Bekkay-Harrach-der-Mann-der-Deutschland-droht.html
• Hussan S. (Syrer, Montabaur) wg. Internet-Propaganda– Am 4.7.2010 in Montabaur verhaftet
– Beiträge im Internet
– Betreiben eines Web-Forums
Bildquellen, s. Anhang
© R. Grimm 12
7
Seite 7
/52© R. Grimm 13
Von physischer zu virtueller Kommunikation
• Bis 1998: Papier, Plakate, Videos, CD, Telefon• 1997 Gründung des Muslim Hacker Klubs• Seit 1998: Nutzung von
– Web-Seiten
– Chat Rooms
– Newsletter / eJournale
• Zunehmend: Nutzung– konspirativer Wege im Internet (s.u.)
Theveßen (2005), „Virtuelle Umma“
/52© R. Grimm 14
Internet als „Universität des Dschihad“
• „Selbsterziehungslager im Internet“• „Kultur der Vorbereitung für den Heiligen Krieg“
• Meinungsfreiheit + Datenschutz• Schnell + global• Multimedia: Macht der Bilder• Broadcast: Propaganda und Information• E2E: Ansprache und Koordination
• Spurenlos (?)
Theveßen (2005), „Virtuelle Umma“
8
Seite 8
/52© R. Grimm 15
Internet als Veröffentlichungsplattform
• Formate:
• Dschihad Webseite• Chat Rooms mit Passwörtern• Internetmagazine
Theveßen (2005), „Virtuelle Umma“
/52© R. Grimm 16
Internet als Veröffentlichungsplattform (2)
• Internetmagazine
• Muasker al-Battar – Camp des Schwertes– Kampfanleitungen
• Frauenmagazin al-Kansaa– Fitness, Erste Hilfe
• Sawd al-Dschihad – Stimme des Dschihad– Strategie des islamischen Terrorismus
– „Die Länder der Gotteslästerer in Kriegszonen verwandeln“
Theveßen (2005), „Virtuelle Umma“
9
Seite 9
/52© R. Grimm 17
Internet als Veröffentlichungsplattform (3)
• Inhaltlich:
• Bekennerschreiben• Bombenbauanleitung• Lehrvideos• Propagandavideos• Videos über erfolgreiche Angriffe• Lagepläne• Strategieschriften
Theveßen (2005), „Virtuelle Umma“
/52© R. Grimm 18
Internet als Koordinierungsinstrument
• Aufmerksamkeit durch Web und Chatrooms• Persönliche Ansprache in Chats• Strategie in Web und Magazinen
• E2E-Veabredungen per E-Mail
Theveßen (2005), „Virtuelle Umma“
10
Seite 10
/52© R. Grimm 19
Konspirative Nutzung des Internet
• Server wechseln• Adressen wechseln• Anonymes Hochladen „You send it“ und Weiterleitung
an Chat Rooms• E-Mail als Draft mit Verteilung von UserId/Password
(Khalid Sheikh Mohammed)
• Noch nicht genutzt:– VPN
– Telnet
– SPAM-Techniken der gefälschten Received-Zeilen
– (s.u.)
Theveßen (2005), „Virtuelle Umma“
/52© R. Grimm 20
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
11
Seite 11
/52© R. Grimm 21
Computerkriminalität
• Computer als Objekt• Computerkriminalität =
Einbruch in Computer mit dem Ziel– Spionage
– Zerstörung
– Sabotage
– Manipulation
– Fälschung
Dolle (2009), S. 183
/52© R. Grimm 22
Computerkriminalität (im weiteren Sinne)
• Computer als Arbeitsmittel• Nutzung des Computers für Vergehen aller Art
– Veruntreuung
– Geldwäsche
– Bestechung
– Terrorismus
• Datenverarbeitung und Datenspeicherung
• Spuren im Computer für auffälliges Verhalten– Inkonsistente Dateien
– Filefragmente („Carving“)
– Statistische Auffälligkeiten
12
Seite 12
/52© R. Grimm 23
Netzkriminalität
• Computernetze als Kommunikationsmittel• Nutzung des Internet für Vergehen aller Art
– Veruntreuung… usw… Terrorismus
• Verabredung von Straftaten• Koordinierung von Straftaten
• Spuren im Netz für auffälliges Verhalten– Log-Files
– Downloads auf PCs
– E-Mail auf PCs (Clients)
– E-Mails auf Mailservers (yahoo, gmail, gmx, …)
/52© R. Grimm 24
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
13
Seite 13
/52© R. Grimm 25
Grundregeln der forensischen Ermittlung
• Akzeptanz• Glaubwürdigkeit• Wiederholbarkeit• Integrität• Ursachen und Auswirkungen• Dokumentation
Dolle (2009), S. 184
/52© R. Grimm 26
SAP-Modell der forensischen Ermittlung
S – Secure – Sicherungsphase• Sammlung des Materials
• Wahrung der Integrität
A – Analyze – Datenanalysephase• Sichten, Auswerten
• Kritische Hinterfragung
P – Present – Berichtsphase• z.B. Gutachten vor Gericht
• Nachvollziehbarkeit
• Detaillierungstiefe
Dolle (2009), S. 184
14
Seite 14
/52© R. Grimm 27
Sicherungsreihenfolge
• Prozessdaten– Routingtabellen, ARP Cache
– Prozessliste
– Angemeldete Users
– Netzstatus
– Prozessorkern, Hauptspeicher
• Temporäre Daten• Ganzer Datenträger• Loggingdaten• Physische Konfiguration und Netzwerktopologie• Archive
Dolle (2009), S. 184
/52© R. Grimm 28
Tools – Aufgaben
• Erstellen und Prüfen von Prüfsummen• Schlüsselwortsuche• Dateianalyse und –wiederherstellung• Formatvergleiche• Zeitstempelprüfung• Schreibblocker für Integritätsschutz von
Speichermedien• Komplettes Löschen eigener Datenträger (vor
Aufnahme von Images)• Kryptographische Sicherungsmechanismen• Berichtsunterstützung
Dolle (2009), S. 184
15
Seite 15
/52© R. Grimm 29
Tools – Open Source
• Open Source:– Helix
– FCCU GNU/Linux Forensic Boot CD
– Linux Distribution Backtrack
– Forensic Acquisition Utilities (für Windows)
• Commercial:– EnCase, Guidance Software
– Paraben, paraben-forensics.com
– FTK Forensic Toolkit, AccessData
– X-Ways, X-Ways Software
Dolle (2009), S. 184
/52© R. Grimm 30
Live vs. Post Mortem
• Live– Online-Überwachung
– Untersuchung am laufenden System
– für Informationen in flüchtigen Daten
• Post Mortem– wenn flüchtige Daten irrelevant
– wenn Vorfall zurück liegt
– wenn System bereits steht
– zur sorgfältigen, nicht zeitkritischen Analyse
– i.d.R. an einem Image
Dolle (2009), S. 185
16
Seite 16
/52© R. Grimm 31
Live
• z.B. cat, ifconfig, netstat, arp, lsof, rpcinfo
• z.B. process dump• Windows Forensic Toolchest
– mit HTML Report
• Linux Life Response– Sicherung der flüchtigen Daten über das Netz oder auf externes
Speichermedium
Dolle (2009), S. 185
/52© R. Grimm 32
Post Mortem Sicherung
• Für S-Phase:• Sichern als Festplattenimage:
– „Forensisches Duplikat“
– Achtung, Integrität sichern, bspw. mit Write-Blocker und Prüfsummen
• Robuste Disk Dump Funktion erforderlich, z.B.– dd_rescue (robust)
– sdd (schnell)
– dcfldd oder dc3dd (Erweiterung von GNU dd)
Dolle (2009), S. 186 ff.
17
Seite 17
/52© R. Grimm 33
Post Mortem Analyse
• Für A-Phase, z.B:• find /image –type –f –print0 | xargs -0 md5sum
erzeugt Hashes der im Image vorhandenen Dateien zum Zwecke des Vergleichs mit Listen bekannter Schadsoftware
• cat image.img | strings | egrep –f searchwords.txt
findet Schlüsselwörter im Image und vergleicht sie mit Einträgen in searchwords.txt
• Sleuth Kit mit graphischem Browser Autopsy, mehrere Analysemodi:1. Dateianalyse2. Schlüsselwortsuche3. Sortieren nach Dateitypus4. Image Details5. Metadaten (Verzeichniseinträge)6. Dateneinheiten – Inhalte von Sektoren
Dolle (2009), S. 187
/52© R. Grimm 34
Post Mortem Analyse – File Carving
• Rekonstruktion „gelöschter“ Dateien• Verzeichnisse sind gelöscht, aber Rohdaten bleiben
erhalten• Verteilt über das Image• Nicht auf das Dateisystem angewiesen,
– funktioniert daher auch im Hauptspeicher
– auch mit File Slacks (Pufferbereiche)
• Tools– Foremost
– Scalpel
– CarvFS
Dolle (2009), S. 187-188
18
Seite 18
/52© R. Grimm 35
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
/52© R. Grimm 36
Forschungsgebiet des Fraunhofer SIT
• Spuren im Computer für auffälliges Verhalten– Inkonsistente Dateien
– Filefragmente („Carving“)
– Statistische Auffälligkeiten
• Forschungsgebiet des Fraunhofer SIT
19
Seite 19
/52© R. Grimm 37
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)• Instrumente der E-Mail-Forensik
• Grenzen der E-Mail-Forensik
• Konspiratives E-Mailing
/52© R. Grimm 38
Web-Forensik life
• Wireshark• Filtern von Protokollen• z.B. „nur HTTP“• Heraussuchen von Keywords• Aufdeckung von Kommunikationsbeziehungen (wer
gerade mit wem)
20
Seite 20
/52© R. Grimm 39
Web-Forensik post mortem
• Auf Serverseite:– Logfiles
– Cookies
– Web-Bugs
– Kunden/User-Datenbanken
• Auf Clientseite:– Downloads
– Browser-Histories
– Verlaufsdaten, Temporäre Daten
/52© R. Grimm 40
Aufgabe der E-Mail-Forensik im Strafprozess
• Kann aus E-Mails abgeleitet werden– wer mit wem
– von wo aus und wohin
– wann
– und was kommuniziert hat?
• Können E-Mails zugeordnet werden:– persönlich,
– geographisch
– zeitlich
– und inhaltlich?
21
Seite 21
/52© R. Grimm 41
Aufgabe der E-Mail-Forensik im Strafprozess
• Wer mit wem– Zuordnung von E-Mail-Adresse zu Person
– Zuordnung von Person zu E-Mail-Adresse (das ist etwas anderes!)
• Von wo aus und wohin– Zuordnung von E-Mail-Adresse zu IP-Adresse
– Lokalisierung von IP-Adresse
• Wann– Absende-, Weiterleitungs-, Ankunftszeit
– Einloggzeit in Mail-Account
• Was– Integrität des Nachrichteninhalts
– Bezug von Weiterleitung und Response
/52© R. Grimm 42
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
• Instrumente der E-Mail-Forensik• Grenzen der E-Mail-Forensik
• Konspiratives E-Mailing
22
Seite 22
/52© R. Grimm 43
Store-and-Forward-Routing von E-Mail mit SMTPaus: Grimm, R.: E-Mail-Forensik, 2009.
E-Mail-Client aufSusannes persön-Lichem Gerät
SusannesE-Mail-Server
Routing durchNetz vonE-Mail-Server:SMTP
Susanne
Erwin
I n t e r n e tschreibt E-Maian [email protected]
schickt E-Mailab: SMTP
liest E-Mail
ErwinsE-Mail-Server“abc.de”
E-Mail-Client aufErwins persönlichemGerät
ruft E-Mailab: POP/IMAP
/52© R. Grimm 44
Werkzeuge zum Verfolgen von E-Mail,bes. ihre Herkunft
1. Die E-Mail mit vollem Kopfzeilenausdruck2. Die Zeitangabe mit Zeitzonen in E-Mail-Kopfzeilen3. Die „Received“-Kopfzeile mit Absender, Empfänger und
Datum4. Der Wireshark zum Mitlesen von aktuellem
Datenverkehr, hier SMTP 5. Die whois-Abfrage beim RIR6. Die Adressabfrage bei whatismyipaddress.com7. Die Zuordnungstabelle von IP-Adressen zu IP-Hosts
beim ISP8. Die Login-Liste beim Webmailer
23
Seite 23
/52© R. Grimm 45
Die Verfolgungsinstrumente am Beispiel
• von yahoo an uko.txt• von Ko (Mailtool) nach 1und1.txt• from Mumbay.txt• from Australia to Ko.txt
• Online abfragen:• „whois“ in den fünf RIRs• „whatismyipaddress.com“
• dhcp-log-UKO.txt• hosts-UKO.txt
/52© R. Grimm 46
Inhaltsübersicht
1. Motivation2. Begriffsbestimmung3. Computerforensik für Computerkriminalität
(Computer als Objekt)
4. Computerforensik für auffälliges Verhalten(Computer als Arbeitsmittel)
5. Web- und E-Mail-Forensik(Computer als Kommunikationsmittel)
• Instrumente der E-Mail-Forensik
• Grenzen der E-Mail-Forensik• Konspiratives E-Mailing
24
Seite 24
/52© R. Grimm 47
Die Zuverlässigkeit einer Adress-Zuordnung (1)
• Die geographische Zuordnung– Keine Ortung, sondern Datenbankeintrag in RIR
– Serveradresse des nächsten Netzrouters
– Einwahlserver werden vom Netzbetreiber umgeordnet
– Aus Managementgründen nicht „zu weit“ vom Client entfernt
– Aber Achtung:
• DFN-WiN-Shuttle immer „Berlin“
• „O2“-UMTS immer „München“
/52© R. Grimm 48
Die Zuverlässigkeit einer Adress-Zuordnung (2)
• Die zeitliche Zuordnung– Zeitangaben in E-Mail-Headern mit Gangungenauigkeit
(Minutenbereich)
– Angaben in RIR-Datenbank nur „gegenwärtig“(„-B“ Option bei Abfrage)
– Bei veraltetem whatismyaddress: Blick in Vergangenheit (vage!)
25
Seite 25
/52© R. Grimm 49
Die Zuverlässigkeit einer Adress-Zuordnung(3, 4, 5)
• VPN / Remote Login / Telnet:Verbergen der Client-Adresse
– Thunderbird mit SMTP über VPN zum UKO-Server
• von Ko (Mailtool-VPN) nach 1und1.txt
– Telnet-Commands nach Remote Login in UKO-Server
• von Ko (putty-telnet) nach 1und1 (Session).txt
• von Ko (putty-telnet) nach 1und1 (Mail).txt
– Telnet-Commands nach Remote Login über VPN in UKO-Server
• von Da (cmd-VPN nach Ko) nach 1und1.txt
/52© R. Grimm 50
Die Zuverlässigkeit einer Adress-Zuordnung(6, 7)
• Manuelles Hinzufügen von „Received“-Kopfzeilen– Vorspiegeln einer falschen Vorgeschichte
– SPAM-Technik
– Dagegen hilft: Domain-Key-Signatur
• Allgemein: Mailserver manipuliert– macht beliebig irreführende Einträge
– Z.B. Herauslöschen von „Received“-Kopfzeilen
– Verbergen der Vorgeschichte
– Datenschutz der Datensparsamkeit??
26
Seite 26
/52© R. Grimm 51
Konspiratives E-Mailing
• Wie oben bereits verstreut genannt:
• VPN, Remote Login, Telnet• Absender fügt „Received“-Kopfzeilen hinzu• Mailserver manipuliert Header-Einträge, bes.
„Received“-Kopfzeilen (z.B. löschen)• E-Mail-Versenden von wechselnden Internet-Cafes
(nicht von zu Hause, nicht vom Arbeitsplatz)• Pseudonyme yahoo-/gmail-/gmx-Adressen• E-Mail nicht versenden, sondern als Draft ablegen
• Aber ACHTUNG! Es bleiben dennoch Spuren, s. Nasir-Prozess
/52
Systematik der E-Mail-Forensik
1. Offen sichtlich angezeigte Kopfzeilen2. Ausgeblendete Kopfzeilen3. Inhaltssignaturen4. Login-Daten5. Inhaltsanalyse (online)
• Mein Problem:− „Anleitung zur Verschleierung von Straftaten“
© R. Grimm 52
27
Seite 27
/52
Literaturhinweise
Dolle, Wilhelm: Computer-Forensik in der Praxis. Mit Open-Source-Werkzeugen die Aufklärung von Computerkriminalität unterstützen. In Datenschutz und Datensicherheit (DuD) 3/2009, Vieweg, Wiesbaden, März 2009, 183-188.
Liegl, Marion; Mink, Martin; Freiling, Felix F.: Datenschutz in digital-forensischen Lehrveranstaltungen. In Datenschutz und Datensicherheit (DuD) 4/2009, Vieweg, Wiesbaden, April 2009.
Geschonneck, Alexander: Computer Forensik. Computerstraftaten erkennen, ermitteln, aufklären. dpunkt.verlag, Heidelberg 2008, 323 Seiten.
Bundesministerium des Inneren (BMI): Polizeiliche Kriminalstatistik 2013, Die Kriminalität in der Bundesrepublik Deutschland. Bundesministerium des Inneren, Bundeskriminalamt (erschienen April 2014): http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Pressemitteilungen/2014/06/PKS2013.pdf?__blob=publicationFile [24.2.2015]
Theveßen, Elmar: Terroralarm. Rowohlt, Berlin 2005. Bes. Kap. 4, „Virtuelle Umma“, S. 82-104.
Grimm, Rüdiger: E-Mail-Forensik – IP-Adressen und ihre Zuordnung zu Internet-Teilnehmern und ihren Standorten. Arbeitsberichte aus dem FB Informatik, Nr. nn/2009, Universität Koblenz-Landau, ISSN 1864-0850, http://www.uni-koblenz.de/FB4/Publications/Reports.
53
/52© R. Grimm 54
Bildquellen
Geprüft 26.6.2012
Bild (1) von Aleem Nasir aus: FAZ.NET, 7.6.2009, Terroristen in Deutschland - Der Islamist hat keinen, der ihn schreckt. http://www.faz.net/s/RubF359F74E867B46C1A180E8E1E1197DEE/Doc~E3294BE0AB6E04644A2CF0C9A2730C179~ATpl~Ecommon~Scontent.html
Bild (2) von Aleem Nasir aus: SANA, 21.4.2009. "SANA 21-4": Islamabad: Alim Nasir, along with his mother, is coming out of court smiling after Supreme Court orders his release on Tueday. (SANA Photo).http://www.pak-times.com/wp-content/uploads/2007/08/aleem-nasir-german-missing.JPG
Bild von Ömer Özdemir aus: SWR.DE, 26.3.2009, Türke wegen Terrorverdachts angeklagt.http://www.swr.de/nachrichten/rp/-/id=1682/nid=1682/did=4658906/1rspryh/ [26.6.2012: nicht mehr zugänglich]
Bild von Sermet I. vor dem OLG Koblenz, Artikel vom 14.09.2009, Terror - Prozessbeginn gegen mutmaßliche Qaida-Helfer. news.de GmbH, Barfußgäßchen 15, 04109 Leipzig, [email protected], http://www.news.de/politik/855024716/prozessbeginn-gegen-mutmassliche-qaida-helfer/1/
Bild von Bekkay Harrach aus: Bild.de, 29.1.2009, Das ist Bin Ladens deutscher Terrorist. http://www.bild.de/BILD/news/vermischtes/2009/01/29/internet-terrorist-bekkay-harrach/bin-ladens-deutscher-terrorist.html
Videosequenz Bekkay Harrach aus Welt.de, 19.9.2009: Bekkay Harrach – der Mann, der Deutschland droht.http://www.welt.de/politik/deutschland/article4569770/Bekkay-Harrach-der-Mann-der-Deutschland-droht.html
28
Seite 28
/52© R. Grimm 55
Testfragen
1. Diskutieren Sie die Anforderung an die Aufklärung von Straftaten gegenüber dem Datenschutzprinzip der Datensparsamkeit. (Dazu finden Sie keine Vorlage in den Vorlesungsfolien)
2. Definieren Sie Computer- und Netzkriminalität.3. Erklären Sie das „SAP-Modell“ der computerforensischen Ermittlung.4. Welche Aufgaben sollen Unterstützungstools der computerforensischen
Ermittlung erfüllen?5. Was versteht man unter „File Carving“?6. Welches sind die Aufgaben der E-Mail-Forensik im Strafprozess?
Führen Sie die zugehörigen Fragestellungen („wer mit wem“ usw.) etwas aus.
7. Nennen Sie Werkzeuge zum Verfolgen von E-Mail,bes. zur Identifikation ihrer Herkunft.
8. (a) Analysieren Sie die folgende Kopfzeile einer E-Mail.(b) Analysieren Sie die folgende „Received“-Kopfzeile einer E-Mail.(Zu (a) und (b) wird ein Beispiel vorgegeben; zum Üben erzeugenSie eigene.)
9. (a) Welche Techniken sind geeignet, die Herkunft eines E-Mail-Clients zu verbergen? (b) Diskutieren Sie, unter welchen Umständen sie einem Nutzer überhaupt zur Verfügung stehen. (Zu (b) finden Sie keine Vorlage in den Vorlesungsfolien.)