HOST Forensik

Im weiten Gebiet der Forensik wird der Einsatzbereich wie auch die Grenzen aufgezeigt. An einem Beispiel der HOST-Forensik für Linux demonstrieren wir theoretisch und praxisorientiert, wie eine solche Anwendung aussehen kann. In der Theorie werden nützliche Werkzeuge und Tipps vorgestellt. Diese unterstützen bei einem Incident und helfen Fehler zu vermeiden, Zeit zu sparen und angemessen zu reagieren.

Vorgehensstrategien werden empfohlen, so zum Beispiel wie eine Fehlerursachenanalyse (RCA - Root Cause Analyse) erfolgreich durchgeführt werden kann. Dabei werden Aspekte der Gerichtsverwertbarkeit bei der Datensammlung betrachtet. Wir zeigen auf, wo die Limitierungen liegen, welche Stolpersteine es gibt und wie sich diese umgehen lassen.

Die Erwartung an die Ergebnisse der Forensik müssen realistisch eingeschätzt werden. Technische, administrative und finanzielle Limitierungen werden angesprochen. Mögliche Vorschläge zur Verschiebung dieser Grenzen werden präsentiert. Die Sinnhaftigkeit von Aufwand und Ertrag müssen in der Forensik berücksichtigt werden. Die Motivation für das Resultat hängt dabei von Ressourcen wie Zeit, Geld und Ausbildung ab. Dabei gibt es Unterschiede zwischen staatlicher und privatwirtschaftlicher Motivation.

Verschiedene Programme (Tools) mit ihren Vor- und Nachteilen werden kurz angesprochen. Es wird gezeigt, was diese zu leisten imstande sind und welche Resultate sie liefern können. Die Kombination und die Korrelation der Ergebnisse erhärten oder widerlegen die Verdachtsmomente. Das Vertreten der Interpretation und das Verteidigen der gesammelten Beweise werden angerissen. Wie werden Informationsquellen im System ermittelt und verwertet. Verschiedene Verfahrenstechniken für die forensische Analyse wie auch zur Vermeidung der Zerstörung von Beweismittel werden beleuchtet.

Die erworbenen theoretischen Kenntnisse werden anhand praktischer Beispiele gezeigt und anschließend in einer Challenge selbstständig getestet. Zum Abschluss gibt es einen Ausblick auf die zukünftigen Problemstellungen in der Forensik.

Referenten:

Michael SemlingMichael Semling, Dipl. El.-Ing. ETH Kompromisslos im Einsatz seit 1998 in der Planung, Umsetzung und Betrieb von holistischen Sicherheitsinfrastrukturen zur Prävention, Detektion und Wiederinstandstellung von Informationssystemen. Angefangen mit angewandter digitaler Informationstheorie bei Satelliten und Richtfunkstrecken, Sicherheit und Qualität im GSM/DCS Netz, IP-Telefonie, Biometrie, NFC/RFID, IoT, Perimeter Defense, Intrusion Detection, Spam und Malwarebekämpfung, hat er die nötigen Grundlagen für die Arbeit als IT-Forensiker erarbeitet. In dieser Tätigkeit nimmt er die Risikoanalyse und Beratung von privatwirtschaftlichen, staatlichen und militärischen Unternehmen als Auditor immer wichtiger. Sein international erworbenes Wissen gibt er gern weiter.

Fabian PaganottoFabian Paganotto, Dipl. Ing. Inf. FH Sein beruflicher Werdegang hat damit begonnen Strom für Endverbraucher auf den richtigen Weg zu bringen. Später hat er sich in Richtung Informatik orientiert. Mehrere Jahre in den Bereichen Netzwerk, Software Entwicklung und IT-Produktaufbau haben Ihn dann in die Informationssicherheit (CIA) geführt. Er hat sichere Datenbanksysteme erstellt, Verfügbarkeitsüberwachung betrieben und verbessert. Automatisierung von Analysen für sicheres Kodieren realisiert. Audits, IT Sicherheit Projekte, Beratungen und Incidental Handling für kritische System waren sein täglich Brot. Alle vorgängigen Tätigkeiten haben den Grundstein gelegt in der Forensik Fuß zu fassen. Diese Dienstleistung ist damit auch Bestandteil seines Portfolios geworden, welches er seinen Kunden nutzbringend zur Verfügung stellt. Mit der Industrie 4.0 sind Expertise in additiver Fertigung und embedded System und deren Sicherheitsaspekte hinzugekommen. Die Welt ein bisschen sicherer machen ist auch sein Kredo.

Jean C.KienerJean-Claude Kiener, Dipl. Ing. Inf. FH Zu Beginn schrieb er Programme im Bereich des Bauingenieurwesen in den Themenbereichen der Baustatik und Hydrologie. Nach dem Verlangen von mehr Dynamik widmete er sich den Eulerschen Transformationen in der Anwendung bei Industrierobotern. Im Studium der Informatik vertiefte er sich im Bereich der digitalen Signalverarbeitung und programmierte ein Computerspiel für Personen mit einer starken Sehbehinderung. Anschließend führte er Korrekturen der SRTM-Daten (Shuttle Radar Topography Mission, NASA) aus. Die gewonnen Informationen wurden zur Analyse der optimalen Aufstellorte von Sendemasten für jegliche Form der terrestrischen Funkwellenausbreitung weltweit verwendet. Mehr als 10 Jahre war er in der Funktion als Fachbereichsleiter der Informatik eines Departements an der Universität Bern. Hierbei überführte er sämtliche Server, Clients und Applikationen von Windows auf Linux. In seiner Zeit an der Universität wurde das Thema „Sicherheit“ und „Anonymität“ immer wichtiger und setzte sich somit privat und beruflich sehr stark mit dem Thema TOR-Netzwerk auseinander. Durch seine heutige berufliche Tätigkeit bei der RUAG Schweiz AG, RUAG Defence befasst er sich mit Sicherheiten von Netzwerken in privatwirtschaftlichen, staatlichen und militärischen Bereichen, wie auch mit der Sicherheit von Hochverfügbarkeitsservern.