Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Multimedia-Forensik als Teildisziplinder digitalen Forensik
Rainer Bohme?†, Felix Freiling‡, Thomas Gloe†, Matthias Kirchner†
†Technische Universitat Dresden ‡Universitat Mannheim∗
ICSI Berkeley
39. GI Jahrestagung Informatik — Digitale Multimedia-Forensik
Lubeck · 28. September 2009
Gliederung
1 Einfuhrung in die Computer- und Multimedia-Forensik
2 Einordnung der Teildisziplinen
3 Techniken zur Vereitelung forensischer Erfolge
4 Konsequenzen fur die Praxis
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 2 von 24
Multimedia-ForensikWissenschaft zur Feststellung der Authentizitat von digitalen Mediendaten
Ziele: Entdeckung von Manipulationen und Ruckschlusse auf das Eingabegerat
Analyseansatze:
I ManipulationsartefakteResampling · Copy & Paste · Inkonsistenzen der Beleuchtung ·Mehrfachkompression
I Charakteristiken des Eingabegeratsz. B. Digitalkamera:
Szene
Lin
se
Filte
r R
G
G
B
SensorFarb-
interpolation
Bild-
verarbeitung
digitales BildAbbildungs-
fehlerCFA-Layout
fehlerhafte
Sensorelemente,
Sensorrauschen
Interpolations-
verfahren
Quantisierungs-
tabelle
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 3 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
?Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
?Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
≈
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
≈
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Beispiele fur Multimedia-Forensik
I Identifikation einer Digitalkameraanhand von Sensorrauschen
I Copy & Paste-Detektor
≈
mutmaßliches Original
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 4 von 24
Was ist eigentlich Computer-Forensik ?
Computer-Forensik
0011
10 0
101 1 0
52 51 51 51 49
49 40 36 34 33
55 48 40 33 23
62 58 45 33 22
66 62 53 34 22
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 6 von 24
Computer-Forensik
1111
11 1
010 1 1
52 51 51 51 49
49 40 36 34 33
55 48 40 33 23
62 58 45 33 22
66 62 53 34 22
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 6 von 24
Computer-Forensik
0011
10 1
011 1 0
52 51 51 51 49
49 40 36 34 33
55 48 40 33 23
62 58 45 33 22
66 62 53 34 22
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 6 von 24
Computer-Forensik
1000
11 1
110 0 1
52 51 51 51 49
49 40 36 34 33
55 48 40 33 23
62 58 45 33 22
66 62 53 34 22
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 6 von 24
Gliederung
1 Einfuhrung in die Computer- und Multimedia-Forensik
2 Einordnung der Teildisziplinen
3 Techniken zur Vereitelung forensischer Erfolge
4 Konsequenzen fur die Praxis
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 7 von 24
Strukturierungsvorschlag fur digitale Forensik
Forensik
digitale Forensik
Computer-forensik
Multimedia-forensik
analoge Forensik
digitale Beweismittel(engl. digital evidence)
materielle Beweismittel(engl. physical evidence)
1 0 1 1 1 1 1 1 1 0 1
0 0 0 0 0 1 0 1 0 0 0
1 0 0 1 1 0 1 1 1 1 0
0 0 0 0 0 0 0 0 0 1 0
1 1 0 0 1 1 0 0 1 0 0
0 0 1 1 0 0 0 0 0 1 1
0 1 1 1 1 0 1 1 0 1 0
0 1 1 0 0 0 1 1 0 0 1
1 1 0 0 1 1 1 1 1 1 1
0 1 1 1 0 0 0 1 0 0 1
endliche Folge diskreter undvollstandig beobachtbarer Symbole
Falschbarkeit
Techniken zur Vereitelung forensischer Erfolge
(engl. counter-forensics)
b=
“physical evidence cannot be wrong,it cannot perjure itself,it cannot be wholly absent”
Kirk (1953)
”perfektes Ver-
brechen“moglichSuche nach dembesten Modell ”
perfektes Verbrechen“ausgeschlossen
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 8 von 24
Strukturierungsvorschlag fur digitale Forensik
Forensik
digitale Forensik
Computer-forensik
Multimedia-forensik
analoge Forensik
digitale Beweismittel(engl. digital evidence)
materielle Beweismittel(engl. physical evidence)
1 0 1 0 1 0 0 1 1 0 1
1 0 1 0 1 0 0 0 0 1 0
0 1 1 1 1 0 0 0 1 0 0
0 1 0 1 1 1 1 1 1 1 1
0 0 0 0 1 1 0 0 0 0 1
1 0 1 0 0 1 0 0 1 1 0
0 1 0 0 0 1 0 0 0 1 0
1 0 1 0 0 0 1 1 0 0 0
1 0 1 1 1 1 1 1 1 1 1
0 1 0 1 1 1 1 0 0 0 1
endliche Folge diskreter undvollstandig beobachtbarer Symbole
Falschbarkeit
Techniken zur Vereitelung forensischer Erfolge
(engl. counter-forensics)
b=
“physical evidence cannot be wrong,it cannot perjure itself,it cannot be wholly absent”
Kirk (1953)
”perfektes Ver-
brechen“moglichSuche nach dembesten Modell ”
perfektes Verbrechen“ausgeschlossen
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 8 von 24
Die folgenden Argumentezeichnen bewusst ein
Schwarz-Weiß-Bild
ACHTUNG
Die folgenden Argumentezeichnen bewusst ein
Schwarz-Weiß-Bild
ACHTUNG
Computer-Forensik 6= Multimedia-Forensik
Computer-Forensik Multimedia-Forensikmaterielle Welt (
”Realitat“)
WWW
WWWWWW
10111 0 0 1
digitale Beweismittel
materielle Welt (”Realitat“)
10111 0 0 1
digitale Beweismittel
I Digitale Beweismittel sind isoliert
von der materiellen Welt.I Digitale Beweismittel stehen im
Bezug zur materiellen Welt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 10 von 24
Computer-Forensik 6= Multimedia-Forensik
Computer-Forensik Multimedia-Forensikmaterielle Welt (
”Realitat“)
WWW
WWW
WWW
10111 0 0 1
digitale Beweismittel
materielle Welt (”Realitat“)
10111 0 0 1
digitale Beweismittel
I Digitale Beweismittel sind isoliert
von der materiellen Welt.I Digitale Beweismittel stehen im
Bezug zur materiellen Welt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 10 von 24
Computer-Forensik 6= Multimedia-Forensik
Computer-Forensik Multimedia-Forensikmaterielle Welt (
”Realitat“)
WWW
WWW
WWW10111 0 0 1
digitale Beweismittel
materielle Welt (”Realitat“)
10111 0 0 1
digitale Beweismittel
I Digitale Beweismittel sind isoliert
von der materiellen Welt.
I Digitale Beweismittel stehen im
Bezug zur materiellen Welt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 10 von 24
Computer-Forensik 6= Multimedia-Forensik
Computer-Forensik Multimedia-Forensikmaterielle Welt (
”Realitat“)
WWW
WWW
WWW10111 0 0 1
digitale Beweismittel
materielle Welt (”Realitat“)
10111 0 0 1
digitale Beweismittel
I Digitale Beweismittel sind isoliert
von der materiellen Welt.
I Digitale Beweismittel stehen im
Bezug zur materiellen Welt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 10 von 24
Computer-Forensik 6= Multimedia-Forensik
Computer-Forensik Multimedia-Forensikmaterielle Welt (
”Realitat“)
WWW
WWW
WWW10111 0 0 1
digitale Beweismittel
materielle Welt (”Realitat“)
10111 0 0 1
digitale Beweismittel
I Digitale Beweismittel sind isoliert
von der materiellen Welt.I Digitale Beweismittel stehen im
Bezug zur materiellen Welt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 10 von 24
Besonderheiten der Computer-Forensik
Realitat
digitaleDaten
Verarbeitung
verdachtigeSpuren?
I Digitale Beweismittel ergebensich aus dem Zustand einesAutomaten.
I Die Anzahl moglicher Zustandein einem geschlossenen Systemist endlich.
I Realistische Chance, denComputer gezielt in einenZustand zu versetzen, der alleSpuren perfekt verwischt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 11 von 24
Besonderheiten der Computer-Forensik
Realitat
digitaleDaten
VerarbeitungverdachtigeSpuren?
I Digitale Beweismittel ergebensich aus dem Zustand einesAutomaten.
I Die Anzahl moglicher Zustandein einem geschlossenen Systemist endlich.
I Realistische Chance, denComputer gezielt in einenZustand zu versetzen, der alleSpuren perfekt verwischt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 11 von 24
Besonderheiten der Computer-Forensik
Realitat
digitaleDaten
VerarbeitungverdachtigeSpuren?
I Digitale Beweismittel ergebensich aus dem Zustand einesAutomaten.
I Die Anzahl moglicher Zustandein einem geschlossenen Systemist endlich.
I Realistische Chance, denComputer gezielt in einenZustand zu versetzen, der alleSpuren perfekt verwischt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 11 von 24
Besonderheiten der Computer-Forensik
Realitat
digitaleDaten
VerarbeitungverdachtigeSpuren?
I Digitale Beweismittel ergebensich aus dem Zustand einesAutomaten.
I Die Anzahl moglicher Zustandein einem geschlossenen Systemist endlich.
I Realistische Chance, denComputer gezielt in einenZustand zu versetzen, der alleSpuren perfekt verwischt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 11 von 24
Besonderheiten der Computer-Forensik
Realitat
digitaleDaten
VerarbeitungverdachtigeSpuren?
I Digitale Beweismittel ergebensich aus dem Zustand einesAutomaten.
I Die Anzahl moglicher Zustandein einem geschlossenen Systemist endlich.
I Realistische Chance, denComputer gezielt in einenZustand zu versetzen, der alleSpuren perfekt verwischt.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 11 von 24
Besonderheiten der Multimedia-Forensik
digitalesMedien-objekt
Verarbeitung
Sensor
Original?
Herkunft?
I Sensoren bilden Teile der Realitat indigitalen Reprasentationen ab.
I Die Realitat ist nicht endgultig erkennbar:Es ist nicht mit Sicherheit entscheidbar, obeine digitale Reprasentation der Realitatentspricht (d. h.
”wahr“ist) oder nicht.
I Multimedia-Forensik ist also eineempirische Wissenschaft.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 12 von 24
Besonderheiten der Multimedia-Forensik
digitalesMedien-objekt
Verarbeitung
Sensor
Original?
Herkunft?
I Sensoren bilden Teile der Realitat indigitalen Reprasentationen ab.
I Die Realitat ist nicht endgultig erkennbar:Es ist nicht mit Sicherheit entscheidbar, obeine digitale Reprasentation der Realitatentspricht (d. h.
”wahr“ist) oder nicht.
I Multimedia-Forensik ist also eineempirische Wissenschaft.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 12 von 24
Besonderheiten der Multimedia-Forensik
digitalesMedien-objekt
Verarbeitung
Sensor
Original?
Herkunft?
I Sensoren bilden Teile der Realitat indigitalen Reprasentationen ab.
I Die Realitat ist nicht endgultig erkennbar:Es ist nicht mit Sicherheit entscheidbar, obeine digitale Reprasentation der Realitatentspricht (d. h.
”wahr“ist) oder nicht.
I Multimedia-Forensik ist also eineempirische Wissenschaft.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 12 von 24
Besonderheiten der Multimedia-Forensik
digitalesMedien-objekt
Verarbeitung
Sensor
Original?
Herkunft?
I Sensoren bilden Teile der Realitat indigitalen Reprasentationen ab.
I Die Realitat ist nicht endgultig erkennbar:Es ist nicht mit Sicherheit entscheidbar, obeine digitale Reprasentation der Realitatentspricht (d. h.
”wahr“ist) oder nicht.
I Multimedia-Forensik ist also eineempirische Wissenschaft.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 12 von 24
Besonderheiten der Multimedia-Forensik
digitalesMedien-objekt
Verarbeitung
Sensor
Original?
Herkunft?
I Sensoren bilden Teile der Realitat indigitalen Reprasentationen ab.
I Die Realitat ist nicht endgultig erkennbar:Es ist nicht mit Sicherheit entscheidbar, obeine digitale Reprasentation der Realitatentspricht (d. h.
”wahr“ist) oder nicht.
I Multimedia-Forensik ist also eineempirische Wissenschaft.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 12 von 24
Sensor als Quelle von Unsicherheit
I Dimensionsreduktion durch Projektion der Realitat auf diskrete Symbole
I Unsicherheitsquelle schrankt Aussagekraft der Multimedia-Forensik ein(im Gegensatz zur Computer-Forensik).
I zusatzliche Unsicherheit durchstandardmaßige oder
”zulassige“Nachbearbeitung
?
Freiheitsgrade
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 13 von 24
Sensor als Quelle von Unsicherheit
I Dimensionsreduktion durch Projektion der Realitat auf diskrete SymboleI Unsicherheitsquelle schrankt Aussagekraft der Multimedia-Forensik ein
(im Gegensatz zur Computer-Forensik).
I zusatzliche Unsicherheit durchstandardmaßige oder
”zulassige“Nachbearbeitung
?
Freiheitsgrade
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 13 von 24
Sensor als Quelle von Unsicherheit
I Dimensionsreduktion durch Projektion der Realitat auf diskrete SymboleI Unsicherheitsquelle schrankt Aussagekraft der Multimedia-Forensik ein
(im Gegensatz zur Computer-Forensik).
I zusatzliche Unsicherheit durchstandardmaßige oder
”zulassige“Nachbearbeitung
?
Freiheitsgrade
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 13 von 24
Weitere Dimensionsreduktion durch Modelle
I Modelle helfen, digitalisierte Abbilder derRealitat formal zu fassen.
I Typische Modellannahmen:. Sensorrauschen folgt einer Normalverteilung;. zusammenhangende Regionen identischer Pixel
treten in Originalbildern nicht auf.
p
Projektion aufeinen Skalar
I Modellannahmen implizieren weitere Dimensionalitatsreduktion.I Modellgute bestimmt die Aussagekraft jeder forensischen Analysemethode!
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 14 von 24
Weitere Dimensionsreduktion durch Modelle
I Modelle helfen, digitalisierte Abbilder derRealitat formal zu fassen.
I Typische Modellannahmen:. Sensorrauschen folgt einer Normalverteilung;. zusammenhangende Regionen identischer Pixel
treten in Originalbildern nicht auf.
p
Projektion aufeinen Skalar
I Modellannahmen implizieren weitere Dimensionalitatsreduktion.I Modellgute bestimmt die Aussagekraft jeder forensischen Analysemethode!
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 14 von 24
Weitere Dimensionsreduktion durch Modelle
I Modelle helfen, digitalisierte Abbilder derRealitat formal zu fassen.
I Typische Modellannahmen:. Sensorrauschen folgt einer Normalverteilung;. zusammenhangende Regionen identischer Pixel
treten in Originalbildern nicht auf.
p
Projektion aufeinen Skalar
I Modellannahmen implizieren weitere Dimensionalitatsreduktion.I Modellgute bestimmt die Aussagekraft jeder forensischen Analysemethode!
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 14 von 24
Weitere Dimensionsreduktion durch Modelle
I Modelle helfen, digitalisierte Abbilder derRealitat formal zu fassen.
I Typische Modellannahmen:. Sensorrauschen folgt einer Normalverteilung;. zusammenhangende Regionen identischer Pixel
treten in Originalbildern nicht auf.
p
Projektion aufeinen Skalar
I Modellannahmen implizieren weitere Dimensionalitatsreduktion.I Modellgute bestimmt die Aussagekraft jeder forensischen Analysemethode!
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 14 von 24
Gliederung
1 Einfuhrung in die Computer- und Multimedia-Forensik
2 Einordnung der Teildisziplinen
3 Techniken zur Vereitelung forensischer Erfolge
4 Konsequenzen fur die Praxis
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 15 von 24
Strukturierungsvorschlag fur digitale Forensik
Forensik
digitale Forensik
Computer-forensik
Multimedia-forensik
analoge Forensik
digitale Beweismittel(engl. digital evidence)
materielle Beweismittel(engl. physical evidence)
0 1 0 1 0 1 0 0 0 1 0
1 1 1 1 1 0 0 1 0 0 0
0 1 0 0 1 0 0 0 1 1 0
1 1 1 1 1 1 0 1 0 1 1
0 1 0 0 1 1 0 0 0 1 0
0 1 1 1 1 1 0 1 1 0 1
1 1 0 1 1 1 0 0 0 1 1
0 0 1 1 1 1 1 0 0 0 1
0 0 0 1 0 1 1 1 1 1 1
1 1 0 0 0 0 1 1 1 1 1
endliche Folge diskreter undvollstandig beobachtbarer Symbole
Falschbarkeit
Techniken zur Vereitelung forensischer Erfolge
(engl. counter-forensics)
b=
“physical evidence cannot be wrong,it cannot perjure itself,it cannot be wholly absent”
Kirk (1953)
”perfektes Ver-
brechen“moglichSuche nach dembesten Modell ”
perfektes Verbrechen“ausgeschlossen
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 16 von 24
Strukturierungsvorschlag fur digitale Forensik
Forensik
digitale Forensik
Computer-forensik
Multimedia-forensik
analoge Forensik
digitale Beweismittel(engl. digital evidence)
materielle Beweismittel(engl. physical evidence)
0 0 1 1 0 1 1 0 1 0 0
0 1 1 1 1 1 1 1 0 1 1
1 1 0 1 1 0 1 0 1 1 1
0 1 0 1 1 1 0 0 0 1 1
1 0 1 0 0 0 0 1 1 1 1
1 0 0 0 1 1 1 1 1 1 0
0 0 0 1 1 1 1 0 0 0 1
1 0 0 0 0 0 0 0 1 0 0
1 1 0 1 1 1 1 0 1 1 0
0 0 1 0 1 1 0 0 0 1 1
endliche Folge diskreter undvollstandig beobachtbarer Symbole
Falschbarkeit
Techniken zur Vereitelung forensischer Erfolge
(engl. counter-forensics)
b=
“physical evidence cannot be wrong,it cannot perjure itself,it cannot be wholly absent”
Kirk (1953)
”perfektes Ver-
brechen“moglichSuche nach dembesten Modell ”
perfektes Verbrechen“ausgeschlossen
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 16 von 24
Vereitelungstechniken bei Computer-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand
gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 17 von 24
Vereitelungstechniken bei Computer-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 17 von 24
Vereitelungstechniken bei Computer-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 17 von 24
Vereitelungstechniken bei Computer-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 17 von 24
Vereitelungstechniken bei Computer-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 17 von 24
Vereitelungstechniken bei Multimedia-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind bekanntoder konnen vorab gesichert werden.
und konnen nicht gesichert werden.
Virtualisierung
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 18 von 24
Vereitelungstechniken bei Multimedia-Forensik
Spurenhinterlassen
Spurentilgen
Spuren vor-ausschauendvermeiden
gultiger Zustand ungultiger Zustand gultiger Zustand
Gultige Zustande sind unbekanntoder konnen vorab gesichert werden.und konnen nicht gesichert werden.
Virtualisierung nicht moglich
Ob ein Zustand als gultiggilt oder nicht, hangt vomverwendeten Modell ab.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 18 von 24
Strukturierungsvorschlag fur digitale Forensik
Forensik
digitale Forensik
Computer-forensik
Multimedia-forensik
analoge Forensik
digitale Beweismittel(engl. digital evidence)
materielle Beweismittel(engl. physical evidence)
1 1 1 1 1 0 0 0 1 0 0
0 1 0 0 0 0 0 0 1 1 0
0 1 0 1 1 1 0 0 1 0 1
1 1 0 1 0 0 0 0 0 1 0
1 1 1 0 0 0 0 0 0 0 1
1 0 0 0 0 1 1 0 0 0 0
0 0 0 1 0 0 0 1 1 0 0
1 0 0 0 0 0 0 1 0 0 0
0 0 0 0 1 1 1 0 0 0 0
0 1 0 0 1 0 1 0 0 1 1
endliche Folge diskreter undvollstandig beobachtbarer Symbole
Falschbarkeit
Techniken zur Vereitelung forensischer Erfolge
(engl. counter-forensics)
b=
“physical evidence cannot be wrong,it cannot perjure itself,it cannot be wholly absent”
Kirk (1953)
”perfektes Ver-
brechen“moglichSuche nach dembesten Modell ”
perfektes Verbrechen“ausgeschlossen
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 19 von 24
Gliederung
1 Einfuhrung in die Computer- und Multimedia-Forensik
2 Einordnung der Teildisziplinen
3 Techniken zur Vereitelung forensischer Erfolge
4 Konsequenzen fur die Praxis
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 20 von 24
Computer-Forensik im weiteren Sinne
I Rechner interagieren mit ihrer Umgebung.
materielle Beweismittel
WWW
WWW10111 0 0 1
digitale Beweismittel
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
I Rechner sind oft Teile eines Netzes.I Viele Rechner sind selbst Sensoren.I Rechner hinterlassen Spuren in der
materiellen Welt (z. B. elektromagn. Abstrahlung).
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 21 von 24
Computer-Forensik im weiteren Sinne
I Rechner interagieren mit ihrer Umgebung.
materielle Beweismittel
WWW
WWW10111 0 0 1
digitale BeweismittelWWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
I Rechner sind oft Teile eines Netzes.
I Viele Rechner sind selbst Sensoren.I Rechner hinterlassen Spuren in der
materiellen Welt (z. B. elektromagn. Abstrahlung).
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 21 von 24
Computer-Forensik im weiteren Sinne
I Rechner interagieren mit ihrer Umgebung.
materielle Beweismittel
WWW
WWW10111 0 0 1
digitale Beweismittel
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
I Rechner sind oft Teile eines Netzes.I Viele Rechner sind selbst Sensoren.
I Rechner hinterlassen Spuren in dermateriellen Welt (z. B. elektromagn. Abstrahlung).
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 21 von 24
Computer-Forensik im weiteren Sinne
I Rechner interagieren mit ihrer Umgebung.
materielle Beweismittel
WWW
WWW10111 0 0 1
digitale Beweismittel
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
WWW
I Rechner sind oft Teile eines Netzes.I Viele Rechner sind selbst Sensoren.I Rechner hinterlassen Spuren in der
materiellen Welt (z. B. elektromagn. Abstrahlung).
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 21 von 24
Zu guter Letzt: Ein Blick in die Praxis
2
2
LUBECK ’09
2A
3
3
LUBECK ’09
3A
4
4
LUBECK ’09
4A
5
5
LUBECK ’09
5A
6
6
LUBECK ’09
6A
7
7
LUBECK ’09
7A
8
8
LUBECK ’09
8A
9
9
LUBECK ’09
9A
10
10
LUBECK ’09
10A
11
11
LUBECK ’09
11A
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 22 von 24
Schlussbemerkungen
I Ermittler kombinieren in der Regel verschiedene forensische Wissenschaften.I Dies
”vernebelt“den Blick auf wichtige Unterscheidungen bzgl. der jeweiligen
zugrunde liegenden Annahmen.
I Denn: digitale Beweismittel 6= digitale Beweismittel ( 6= materielle Beweismittel):. Digitale Beweismittel in der Computer-Forensik weisen einen schwacheren
Bezug zur Realitat auf, als in der Multimedia-Forensik.. Dies hat Konsequenzen auf die Aussagekraft forensischer Analysen.
I Forschungsbedarf: formalere Beschreibung auf Grundlage derWahrscheinlichkeitslehre
Die Realitat ist nicht endgultig erkennbar, . . .aber Ihre Anregungen helfen, einen vollstandigeren Blick auf sie zu erlangen.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 23 von 24
Schlussbemerkungen
I Ermittler kombinieren in der Regel verschiedene forensische Wissenschaften.I Dies
”vernebelt“den Blick auf wichtige Unterscheidungen bzgl. der jeweiligen
zugrunde liegenden Annahmen.
I Denn: digitale Beweismittel 6= digitale Beweismittel ( 6= materielle Beweismittel):. Digitale Beweismittel in der Computer-Forensik weisen einen schwacheren
Bezug zur Realitat auf, als in der Multimedia-Forensik.. Dies hat Konsequenzen auf die Aussagekraft forensischer Analysen.
I Forschungsbedarf: formalere Beschreibung auf Grundlage derWahrscheinlichkeitslehre
Die Realitat ist nicht endgultig erkennbar, . . .
aber Ihre Anregungen helfen, einen vollstandigeren Blick auf sie zu erlangen.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 23 von 24
Schlussbemerkungen
I Ermittler kombinieren in der Regel verschiedene forensische Wissenschaften.I Dies
”vernebelt“den Blick auf wichtige Unterscheidungen bzgl. der jeweiligen
zugrunde liegenden Annahmen.
I Denn: digitale Beweismittel 6= digitale Beweismittel ( 6= materielle Beweismittel):. Digitale Beweismittel in der Computer-Forensik weisen einen schwacheren
Bezug zur Realitat auf, als in der Multimedia-Forensik.. Dies hat Konsequenzen auf die Aussagekraft forensischer Analysen.
I Forschungsbedarf: formalere Beschreibung auf Grundlage derWahrscheinlichkeitslehre
Die Realitat ist nicht endgultig erkennbar, . . .aber Ihre Anregungen helfen, einen vollstandigeren Blick auf sie zu erlangen.
Lubeck, 28.09.2009 Multimedia-Forensik als Teildisziplin der digitalen Forensik Folie 23 von 24
Danke fur Ihre Aufmerksamkeit
Fragen ? Kommentare ?
Rainer Bohme?†, Felix Freiling‡, Thomas Gloe†, Matthias Kirchner†
†Technische Universitat Dresden ‡Universitat Mannheim∗
ICSI Berkeley
Rainer Bohme ist Postdoktorand am ICSI Berkeley, seine Reise nach Lubeck wurde freundlicherweise
vom DAAD unterstutzt. Matthias Kirchner ist Stipendiat der Deutschen Telekom Stiftung, Bonn.
Quellennachweis
I Iranischer Raketentest (4) http://www.spiegel.de
I Festplatte (6) http://commons.wikimedia.org/wiki/File:Open_hard-drive.jpg
I Diskette (11,17) http://commons.wikimedia.org/wiki/GNOME_Desktop_icons
I Kernspeicher (11) http://commons.wikimedia.org/wiki/File:KL_CoreMemory.jpg
I Multimedia (12,18) http://commons.wikimedia.org/wiki/GNOME_Desktop_icons
I Fingerabdrucke (22) http://www.lanl.gov/news/albums/chemistry/fingerprint.jpg
I Handschellen (22) http://commons.wikimedia.org/wiki/File:Handcuffs01_2003-06-02.jpg