Please use this identifier to cite or link to this item:
http://dx.doi.org/10.25673/34647
Title: | Data-Centric Examination Approach (DCEA) for a qualitative determination of error, loss and uncertainty in digital and digitised forensics |
Author(s): | Kiltz, Stefan |
Referee(s): | Dittmann, Jana |
Granting Institution: | Otto-von-Guericke-Universität Magdeburg, Fakultät für Informatik |
Issue Date: | 2020 |
Extent: | xix, iii, 219 Seiten |
Type: | Hochschulschrift |
Type: | PhDThesis |
Exam Date: | 2020 |
Language: | English |
URN: | urn:nbn:de:gbv:ma9:1-1981185920-348424 |
Subjects: | Computersicherheit |
Abstract: | With the widespread use of IT systems, those systems became both targets for attacks and were
used as tools to stage attacks and therefore are subject to forensic examinations. Forensic sciences
themselves allow questions about the accuracy of inferences made by forensic scientists. Loss,
error, uncertainties about measurements and inferences need to be indicated and studies must be
made to enable the estimation of these as demanded in literature. Based on those facts, in this
thesis we set ourselves the research question of whether a data-centric approach can be designed
to preserve data/tool sovereignty of the forensic examiner and to prevent bias from tool usage
result and to reduce error, loss and uncertainty.
We want to apply our research to both digital and digitised forensics with the latter being concerned
with the usage of IT systems to support crime scene forensics. Deliberately setting aside
the association process and the event reconstruction, we are solely concerned with digital data
contained in IT systems and its usage during forensic examinations.
We also use the notion of forensic examination in the broadest possible term, ranging from technical
support/troubleshooting all the way up to court cases. However, we maintain the stringent
demands of comprehensibility of the whole examination and the application of scientific methods.
We also use the notion of IT system in the broadest possible term and do not restrict ourselves to
desktop and server IT but only expect our centre of interest to process digital data, thus ranging
from embedded systems to cloud computing. From the viewpoint of digital forensics, this heterogeneity
and vastness poses the challenge of finding a common description of processed data and
processing functionality for use in forensics.
We devise and contribute to the scientific community a five-step methodology resulting in our
Data-Centric Examination Approach DCEA. We firstly formally describes loss, error and uncertainty
regarding data contained in IT systems based on a modelling of the relationship of all data
ever available, data used in all forensic investigations ever and the case-specific data for a given
incident. Secondly we apply the selected characteristics of the ISO/IEC 7498 model (commonly
known as ISO/OSI reference model) to data stored, processed, communicated in IT systems and
construct layers of data by giving them semantics that support the forensic process to distinguish
forensic data types for digital (6 in total) and digitised forensics (10 in total). Thirdly we use residual
class based hierarchical approaches (as opposed to a layered non-mutual exclusive description)
to define sets of methods for the forensic process for digital forensics (6 in total) and digitised
forensics (10 in total), which include tools and toolkits, based on an existing model of transfer
functions. Fourthly, we use residual class based hierarchical approaches to define sets of
examination steps based on systematic analysis of existing process models from digital forensics
(6 in total). We apply and adapt those examination steps from digital forensics to fit the needs for
digitised forensics (6 in total). Finally, we use our forensic data types, sets of methods and sets of
examination steps for the forensic process to provide a qualitative estimation on loss, error and
uncertainty in forensic examinations based on the presence, absence or diversity of forensic data
types.
We test our Data-Centric Examination Approach DCEA on three non-standard, actively researched
topics in digital and digitised forensics, where the examination description is even more
challenging. We use existing scientific research reports for systems used in video surveillance in
digital forensics and digitised forensic dactyloscopy in digitised forensics. We also conduct previously
unpublished research on processor-controlled components for digital forensics. In our experiments
for all use cases in total we evaluated 31 methods from the sets of methods of the forensic
process for both digital and digitised forensic. We covered all 6 examination steps and
detected estimations for loss on 3 occasions, for error on 1 occasion and uncertainty on 2 occasions.
Our main findings also return important requirements for the application of the Data-Centric
Examination Approach DCEA, namely the conduction of a system landscape analysis for an estimation
regarding the forensic data types likely to be contained in the system under examination
and thus being recoverable (at least in theory) and to determine system boundaries and the systems
used for the subsequent investigation, analysis and documentation. Further, we require the
context-sensitive definition of sets of examination steps, sets of methods for the forensic process
and forensic data types according to the application area. Crucial, as shown in the previously unpublished
research is the level of detail selection together with its justification, which that set the
boundaries for the accuracy for the qualitative estimates towards loss, error and uncertainty for a
given forensic examination.
In conducting our research, we arrive with further contributions. Using the sets of examination
steps, sets of methods for the forensic process and the forensic data types, the Data-Centric Examination
Approach DCEA provides a common language to describe the data and their processing
using methods of the forensic process and result data and their composition ordered in time and
space by the examination steps.
Our approach, given matching forensic data type definitions, allows for the intra-examination
comparison for the methods used in the examination that could be used as one decision criterion
for the selection of a specific method or as a support for tool testing.
If additionally also the sets of methods for the forensic process and sets of examination steps
match, even an inter-examination comparison is possible that can be supportive in a comparative
evaluation of the degree of maturity of the examinations or in questions regarding the evidentiary
value.
This final version of the thesis addresses the very helpful and stimulating questions and comments
raised in the reviews and the colloquium by my thesis advisor Jana Dittmann and my reviewers
Eoghan Casey and Sabah Jassim and for which we are very thankful, indeed. Durch die alle Lebensbereiche durchdringende Anwendung von IT -Systemen wurden diese auch das Ziel von Angriffen und wurden für die Angriffsdurchführung verwendet. Dies bedingt forensische Untersuchungen zur Vorfallsaufklärung. Die forensischen Wissenschaften befürworten Fragen zur Genauigkeit von Deduktionen, welche von forensischen Experten getätigt werden. Verluste, Fehler und Unsicherheiten von Messungen und deduktiven Schlüssen müssen identifiziert werden und Studien über deren Abschätzung werden von der wissenschaftlichen Literatur eingefordert. Basierend auf diesen Fakten haben wir uns die Forschungsfrage gestellt, ob ein datenzentrierter Ansatz erstellt werden kann, welcher die Daten- und Werkzeugsouveränität des forensischen Experten wahren und eine Voreingenommenheit bezüglich forensischer Werkzeuge verhindert werden kann und damit Verluste, Fehler und Unsicherheiten reduziert werden können. Wir wenden unsere Forschung sowohl auf die digitale als auch auf die digitalisierte Forensik an. Die digitalisierte Forensik umfasst dabei die Anwendung von IT-Systemen für die Tatortforensik. Wir klammern dabei absichtlich die Assoziierungsketten und die Vorfallsrekonstruktion selbst aus und beschränken uns auf die in IT-Systemen enthaltenen digitalen Daten und deren Verwendung in forensischen Untersuchungen. Wir verwenden in unserer Forschung die Begrifflichkeit der forensischen Untersuchung sehr breit gefasst. Sie reicht aus unserer Sicht vom technischen Support und Fehlersuche bis hin zum Einsatz für Gerichtsverhandlungen. Deshalb halten wir an den strengen Forderungen der umfassenden Nachvollziehbarkeit und den Einsatz wissenschaftlicher Methoden fest. Wir verwenden auch die Begrifflichkeit des IT-Systems ähnlich breit gefasst und beschränken uns nicht nur auf gewöhnliche PC-Systeme und Server. Wir verlangen von einem IT-System nur die Verarbeitung digitaler Daten, damit schließen wir beispielsweise auch eingebettete Systeme bis hin zum Cloudcomputing ein. Aus der Sicht der digitalen Forensik ergibt sich die Herausforderung aus dieser Heterogenität und Weite, eine gemeinsame Beschreibung der verarbeiteten Daten und der eingesetzten Funktionalitäten zum Einsatz in der Forensik zu finden. Wir entwerfen eine fünfstufige Methodologie und stellen sie der Wissenschaft zur Verfügung, welche in unserem datenzentrischen Untersuchungsansatz (Data-Centric Examination Approach, DCEA) resultiert. Zunächst liefern wir eine formale Beschreibung von Verlusten, Fehlern und Unsicherheiten bezüglich der Daten in IT-Systemen. Die Basis bildet eine Modellierung anhand der Relationen zwischen den Daten, die jemals verfügbar waren, aller Daten aller forensischen Untersuchungen und fallspezifischer Daten eines gegebenen Vorfalls. Zweitens wenden wir ausgewählte Charakteristika des ISO/IEC 7498 Modells (allgemein bekannt als ISO/OSI Referenzmodell) auf Daten an, welche in IT-Systemen gespeichert, verarbeitet oder kommuniziert werden. Wir konstruieren Schichten von Daten mit Semantiken zur Unterstützung des forensischen Prozesses für die digitale Forensik (insgesamt 6) und für die digitalisierte Forensik (insgesamt 10). Drittens verwenden wir einen restklassenbasierten, hierarchischen Ansatz (konträr zu einer schichtenbasierten, sich nicht gegenseitig ausschließenden Beschreibung) zur Definition von Mengen von Methoden für den forensischen Prozess für die digitale Forensik (insgesamt 6) und für die digitalisierte Forensik (insgesamt 10). Dies schließt auch existierende Werkzeuge und Werkzeugsammlungen ein und verwendet ein existierendes Modell von Transferfunktionen zu deren Beschreibung. Zum Vierten verwenden wir ebenfalls einen restklassenbasierten, hierarchischen Ansatz zur Definition von Mengen von Untersuchungsschritten. Die Basis dafür bildet eine systematische Analyse existierender forensischer Prozessmodelle für die digitale Forensik. Wir definieren für die digitale Forensik 6 Schritte und adaptieren diese für die Verwendung in der digitalisierten Forensik, für welche dann ebenfalls 6 Schritte definiert werden. Abschließend verwenden wir die forensischen Datentypen, Mengen von Methoden und Mengen von Untersuchungsschritten für den forensischen Prozess, um eine qualitative Abschätzung von Verlusten, Fehlern und Unsicherheiten auf der Basis der Anwesenheit, Abwesenheit oder Diversität von forensischen Datentypen zu ermöglichen. Wir testen unseren datenzentrischen Untersuchungsansatz DCEA an drei speziellen, aktiv erforschten Themengebieten aus digitaler und digitalisierter Forensik, bei denen sich die Beschreibung der forensischen Untersuchung besonders herausfordernd gestaltet. Dazu verwenden wir unsere veröffentlichten wissenschaftliche Beiträge für die Untersuchung von IT-Systemen zur Videoüberwachung für die digitale Forensik und Beiträge zur digitalisierten forensischen Daktyloskopie für die digitalisierte Forensik. Weiterhin führen wir eine bisher unveröffentlichte Forschungsarbeit zum Themenbereich der prozessor-kontrollierten Komponenten für die digitale Forensik durch. In unseren Experimenten für alle Anwendungsszenarien evaluieren wir insgesamt 31 forensische Methoden aus der Menge der Methoden für den forensischen Prozess für die digitale und digitalisierte Forensik. Wir durchlaufen die 6 Untersuchungsschritte und stellen Abschätzungen für 3 Fälle von Verlusten, für einen Fall eines Fehlers und 2 Fälle von Unsicherheiten fest. Unsere Forschungen liefern weiterhin wesentliche Voraussetzungen für die Anwendung unseres datenzentrierten Untersuchungsansatzes DCEA. Diese umfassen die Analyse der ITSystemlandschaft für die Abschätzung der vermutlich enthaltenen forensischen Datentypen, welche deshalb auch zumindest theoretisch zu sichern und auszuwerten sind. Weiterhin wird dadurch die Bestimmung der Systemgrenzen und der notwendigen Systeme zur nachfolgenden Untersuchung, Analyse und Dokumentation ermöglicht. Weiterhin ist eine kontextabhängige Definition der Menge von Untersuchungsschritten, der Mengen von Methoden und der forensischen Datentypen erforderlich. Zwingend erforderlich, wie die bisher unveröffentlichten Forschungsarbeiten zeigen, ist eine Festsetzung des Detailniveaus der forensischen Untersuchung, welche mit einer wohlgewählten Begründung einhergehen muss und die Grenzen für die Genauigkeit der qualitativen Einschätzung für Verluste, Fehler und Unsicherheiten für eine gegebene forensische Untersuchung setzt. Durch unsere Forschung haben wir weitere Erkenntnisse geschaffen. Durch die Verwendung von Mengen von Untersuchungsschritten, von Mengen von Methoden für den forensischen Prozess und durch die forensischen Datenarten liefert der datenzentrische Untersuchungsansatz DCEA eine einheitliche Sprache. Diese einheitliche Sprache beschreibt Daten und deren Bearbeitung mittels Methoden des forensischen Prozesses und der Ergebnisdaten und deren Zusammensetzung, welche durch die Untersuchungsschritte räumlich und zeitlich zuordenbar werden. Unser Ansatz kann, wenn die gleichen Definitionen für die forensischen Datenarten gewählt werden, für einen Intra-Untersuchungs-Vergleich für forensische Methoden verwendet werden. Dies könnte ein mögliches Kriterium für die Auswahl einer spezifischen Methode sein und kann für das Testen forensischer Werkzeuge verwendet werden. Falls auch dieselben Definitionen für die Menge von Methoden des forensischen Prozesses und der Untersuchungsschritte gewählt werden, ermöglicht unser Ansatz auch den Inter- Untersuchungs-Vergleich. Ein derartiger Vergleich könnte unterstützend für eine vergleichende Evaluation des Reifegrades einer Untersuchung wirken und könnte für Fragestellungen zum Beweiswert hilfreich sein. Die abschließende Fassung dieser Dissertationsschrift adressiert die zielführenden und inspirierenden Fragen und Kommentare meiner Betreuerin Prof. Dr.-Ing. Jana Dittmann sowie der Gutachter Prof. Eoghan Casey und Prof. Sabah Jassim aus den Gutachten und dem Kolloquium. |
URI: | https://opendata.uni-halle.de//handle/1981185920/34842 http://dx.doi.org/10.25673/34647 |
Open Access: | Open access publication |
License: | (CC BY-SA 4.0) Creative Commons Attribution ShareAlike 4.0 |
Appears in Collections: | Fakultät für Informatik |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
Kiltz_Stefan_Dissertation_2020.pdf | Dissertation | 49.83 MB | Adobe PDF | View/Open |