Please use this identifier to cite or link to this item: http://dx.doi.org/10.25673/34647
Title: Data-Centric Examination Approach (DCEA) for a qualitative determination of error, loss and uncertainty in digital and digitised forensics
Author(s): Kiltz, Stefan
Referee(s): Dittmann, JanaLook up in the Integrated Authority File of the German National Library
Granting Institution: Otto-von-Guericke-Universität Magdeburg, Fakultät für Informatik
Issue Date: 2020
Extent: xix, iii, 219 Seiten
Type: HochschulschriftLook up in the Integrated Authority File of the German National Library
Type: PhDThesis
Exam Date: 2020
Language: English
URN: urn:nbn:de:gbv:ma9:1-1981185920-348424
Subjects: Computersicherheit
Abstract: With the widespread use of IT systems, those systems became both targets for attacks and were used as tools to stage attacks and therefore are subject to forensic examinations. Forensic sciences themselves allow questions about the accuracy of inferences made by forensic scientists. Loss, error, uncertainties about measurements and inferences need to be indicated and studies must be made to enable the estimation of these as demanded in literature. Based on those facts, in this thesis we set ourselves the research question of whether a data-centric approach can be designed to preserve data/tool sovereignty of the forensic examiner and to prevent bias from tool usage result and to reduce error, loss and uncertainty. We want to apply our research to both digital and digitised forensics with the latter being concerned with the usage of IT systems to support crime scene forensics. Deliberately setting aside the association process and the event reconstruction, we are solely concerned with digital data contained in IT systems and its usage during forensic examinations. We also use the notion of forensic examination in the broadest possible term, ranging from technical support/troubleshooting all the way up to court cases. However, we maintain the stringent demands of comprehensibility of the whole examination and the application of scientific methods. We also use the notion of IT system in the broadest possible term and do not restrict ourselves to desktop and server IT but only expect our centre of interest to process digital data, thus ranging from embedded systems to cloud computing. From the viewpoint of digital forensics, this heterogeneity and vastness poses the challenge of finding a common description of processed data and processing functionality for use in forensics. We devise and contribute to the scientific community a five-step methodology resulting in our Data-Centric Examination Approach DCEA. We firstly formally describes loss, error and uncertainty regarding data contained in IT systems based on a modelling of the relationship of all data ever available, data used in all forensic investigations ever and the case-specific data for a given incident. Secondly we apply the selected characteristics of the ISO/IEC 7498 model (commonly known as ISO/OSI reference model) to data stored, processed, communicated in IT systems and construct layers of data by giving them semantics that support the forensic process to distinguish forensic data types for digital (6 in total) and digitised forensics (10 in total). Thirdly we use residual class based hierarchical approaches (as opposed to a layered non-mutual exclusive description) to define sets of methods for the forensic process for digital forensics (6 in total) and digitised forensics (10 in total), which include tools and toolkits, based on an existing model of transfer functions. Fourthly, we use residual class based hierarchical approaches to define sets of examination steps based on systematic analysis of existing process models from digital forensics (6 in total). We apply and adapt those examination steps from digital forensics to fit the needs for digitised forensics (6 in total). Finally, we use our forensic data types, sets of methods and sets of examination steps for the forensic process to provide a qualitative estimation on loss, error and uncertainty in forensic examinations based on the presence, absence or diversity of forensic data types. We test our Data-Centric Examination Approach DCEA on three non-standard, actively researched topics in digital and digitised forensics, where the examination description is even more challenging. We use existing scientific research reports for systems used in video surveillance in digital forensics and digitised forensic dactyloscopy in digitised forensics. We also conduct previously unpublished research on processor-controlled components for digital forensics. In our experiments for all use cases in total we evaluated 31 methods from the sets of methods of the forensic process for both digital and digitised forensic. We covered all 6 examination steps and detected estimations for loss on 3 occasions, for error on 1 occasion and uncertainty on 2 occasions. Our main findings also return important requirements for the application of the Data-Centric Examination Approach DCEA, namely the conduction of a system landscape analysis for an estimation regarding the forensic data types likely to be contained in the system under examination and thus being recoverable (at least in theory) and to determine system boundaries and the systems used for the subsequent investigation, analysis and documentation. Further, we require the context-sensitive definition of sets of examination steps, sets of methods for the forensic process and forensic data types according to the application area. Crucial, as shown in the previously unpublished research is the level of detail selection together with its justification, which that set the boundaries for the accuracy for the qualitative estimates towards loss, error and uncertainty for a given forensic examination. In conducting our research, we arrive with further contributions. Using the sets of examination steps, sets of methods for the forensic process and the forensic data types, the Data-Centric Examination Approach DCEA provides a common language to describe the data and their processing using methods of the forensic process and result data and their composition ordered in time and space by the examination steps. Our approach, given matching forensic data type definitions, allows for the intra-examination comparison for the methods used in the examination that could be used as one decision criterion for the selection of a specific method or as a support for tool testing. If additionally also the sets of methods for the forensic process and sets of examination steps match, even an inter-examination comparison is possible that can be supportive in a comparative evaluation of the degree of maturity of the examinations or in questions regarding the evidentiary value. This final version of the thesis addresses the very helpful and stimulating questions and comments raised in the reviews and the colloquium by my thesis advisor Jana Dittmann and my reviewers Eoghan Casey and Sabah Jassim and for which we are very thankful, indeed.
Durch die alle Lebensbereiche durchdringende Anwendung von IT -Systemen wurden diese auch das Ziel von Angriffen und wurden für die Angriffsdurchführung verwendet. Dies bedingt forensische Untersuchungen zur Vorfallsaufklärung. Die forensischen Wissenschaften befürworten Fragen zur Genauigkeit von Deduktionen, welche von forensischen Experten getätigt werden. Verluste, Fehler und Unsicherheiten von Messungen und deduktiven Schlüssen müssen identifiziert werden und Studien über deren Abschätzung werden von der wissenschaftlichen Literatur eingefordert. Basierend auf diesen Fakten haben wir uns die Forschungsfrage gestellt, ob ein datenzentrierter Ansatz erstellt werden kann, welcher die Daten- und Werkzeugsouveränität des forensischen Experten wahren und eine Voreingenommenheit bezüglich forensischer Werkzeuge verhindert werden kann und damit Verluste, Fehler und Unsicherheiten reduziert werden können. Wir wenden unsere Forschung sowohl auf die digitale als auch auf die digitalisierte Forensik an. Die digitalisierte Forensik umfasst dabei die Anwendung von IT-Systemen für die Tatortforensik. Wir klammern dabei absichtlich die Assoziierungsketten und die Vorfallsrekonstruktion selbst aus und beschränken uns auf die in IT-Systemen enthaltenen digitalen Daten und deren Verwendung in forensischen Untersuchungen. Wir verwenden in unserer Forschung die Begrifflichkeit der forensischen Untersuchung sehr breit gefasst. Sie reicht aus unserer Sicht vom technischen Support und Fehlersuche bis hin zum Einsatz für Gerichtsverhandlungen. Deshalb halten wir an den strengen Forderungen der umfassenden Nachvollziehbarkeit und den Einsatz wissenschaftlicher Methoden fest. Wir verwenden auch die Begrifflichkeit des IT-Systems ähnlich breit gefasst und beschränken uns nicht nur auf gewöhnliche PC-Systeme und Server. Wir verlangen von einem IT-System nur die Verarbeitung digitaler Daten, damit schließen wir beispielsweise auch eingebettete Systeme bis hin zum Cloudcomputing ein. Aus der Sicht der digitalen Forensik ergibt sich die Herausforderung aus dieser Heterogenität und Weite, eine gemeinsame Beschreibung der verarbeiteten Daten und der eingesetzten Funktionalitäten zum Einsatz in der Forensik zu finden. Wir entwerfen eine fünfstufige Methodologie und stellen sie der Wissenschaft zur Verfügung, welche in unserem datenzentrischen Untersuchungsansatz (Data-Centric Examination Approach, DCEA) resultiert. Zunächst liefern wir eine formale Beschreibung von Verlusten, Fehlern und Unsicherheiten bezüglich der Daten in IT-Systemen. Die Basis bildet eine Modellierung anhand der Relationen zwischen den Daten, die jemals verfügbar waren, aller Daten aller forensischen Untersuchungen und fallspezifischer Daten eines gegebenen Vorfalls. Zweitens wenden wir ausgewählte Charakteristika des ISO/IEC 7498 Modells (allgemein bekannt als ISO/OSI Referenzmodell) auf Daten an, welche in IT-Systemen gespeichert, verarbeitet oder kommuniziert werden. Wir konstruieren Schichten von Daten mit Semantiken zur Unterstützung des forensischen Prozesses für die digitale Forensik (insgesamt 6) und für die digitalisierte Forensik (insgesamt 10). Drittens verwenden wir einen restklassenbasierten, hierarchischen Ansatz (konträr zu einer schichtenbasierten, sich nicht gegenseitig ausschließenden Beschreibung) zur Definition von Mengen von Methoden für den forensischen Prozess für die digitale Forensik (insgesamt 6) und für die digitalisierte Forensik (insgesamt 10). Dies schließt auch existierende Werkzeuge und Werkzeugsammlungen ein und verwendet ein existierendes Modell von Transferfunktionen zu deren Beschreibung. Zum Vierten verwenden wir ebenfalls einen restklassenbasierten, hierarchischen Ansatz zur Definition von Mengen von Untersuchungsschritten. Die Basis dafür bildet eine systematische Analyse existierender forensischer Prozessmodelle für die digitale Forensik. Wir definieren für die digitale Forensik 6 Schritte und adaptieren diese für die Verwendung in der digitalisierten Forensik, für welche dann ebenfalls 6 Schritte definiert werden. Abschließend verwenden wir die forensischen Datentypen, Mengen von Methoden und Mengen von Untersuchungsschritten für den forensischen Prozess, um eine qualitative Abschätzung von Verlusten, Fehlern und Unsicherheiten auf der Basis der Anwesenheit, Abwesenheit oder Diversität von forensischen Datentypen zu ermöglichen. Wir testen unseren datenzentrischen Untersuchungsansatz DCEA an drei speziellen, aktiv erforschten Themengebieten aus digitaler und digitalisierter Forensik, bei denen sich die Beschreibung der forensischen Untersuchung besonders herausfordernd gestaltet. Dazu verwenden wir unsere veröffentlichten wissenschaftliche Beiträge für die Untersuchung von IT-Systemen zur Videoüberwachung für die digitale Forensik und Beiträge zur digitalisierten forensischen Daktyloskopie für die digitalisierte Forensik. Weiterhin führen wir eine bisher unveröffentlichte Forschungsarbeit zum Themenbereich der prozessor-kontrollierten Komponenten für die digitale Forensik durch. In unseren Experimenten für alle Anwendungsszenarien evaluieren wir insgesamt 31 forensische Methoden aus der Menge der Methoden für den forensischen Prozess für die digitale und digitalisierte Forensik. Wir durchlaufen die 6 Untersuchungsschritte und stellen Abschätzungen für 3 Fälle von Verlusten, für einen Fall eines Fehlers und 2 Fälle von Unsicherheiten fest. Unsere Forschungen liefern weiterhin wesentliche Voraussetzungen für die Anwendung unseres datenzentrierten Untersuchungsansatzes DCEA. Diese umfassen die Analyse der ITSystemlandschaft für die Abschätzung der vermutlich enthaltenen forensischen Datentypen, welche deshalb auch zumindest theoretisch zu sichern und auszuwerten sind. Weiterhin wird dadurch die Bestimmung der Systemgrenzen und der notwendigen Systeme zur nachfolgenden Untersuchung, Analyse und Dokumentation ermöglicht. Weiterhin ist eine kontextabhängige Definition der Menge von Untersuchungsschritten, der Mengen von Methoden und der forensischen Datentypen erforderlich. Zwingend erforderlich, wie die bisher unveröffentlichten Forschungsarbeiten zeigen, ist eine Festsetzung des Detailniveaus der forensischen Untersuchung, welche mit einer wohlgewählten Begründung einhergehen muss und die Grenzen für die Genauigkeit der qualitativen Einschätzung für Verluste, Fehler und Unsicherheiten für eine gegebene forensische Untersuchung setzt. Durch unsere Forschung haben wir weitere Erkenntnisse geschaffen. Durch die Verwendung von Mengen von Untersuchungsschritten, von Mengen von Methoden für den forensischen Prozess und durch die forensischen Datenarten liefert der datenzentrische Untersuchungsansatz DCEA eine einheitliche Sprache. Diese einheitliche Sprache beschreibt Daten und deren Bearbeitung mittels Methoden des forensischen Prozesses und der Ergebnisdaten und deren Zusammensetzung, welche durch die Untersuchungsschritte räumlich und zeitlich zuordenbar werden. Unser Ansatz kann, wenn die gleichen Definitionen für die forensischen Datenarten gewählt werden, für einen Intra-Untersuchungs-Vergleich für forensische Methoden verwendet werden. Dies könnte ein mögliches Kriterium für die Auswahl einer spezifischen Methode sein und kann für das Testen forensischer Werkzeuge verwendet werden. Falls auch dieselben Definitionen für die Menge von Methoden des forensischen Prozesses und der Untersuchungsschritte gewählt werden, ermöglicht unser Ansatz auch den Inter- Untersuchungs-Vergleich. Ein derartiger Vergleich könnte unterstützend für eine vergleichende Evaluation des Reifegrades einer Untersuchung wirken und könnte für Fragestellungen zum Beweiswert hilfreich sein. Die abschließende Fassung dieser Dissertationsschrift adressiert die zielführenden und inspirierenden Fragen und Kommentare meiner Betreuerin Prof. Dr.-Ing. Jana Dittmann sowie der Gutachter Prof. Eoghan Casey und Prof. Sabah Jassim aus den Gutachten und dem Kolloquium.
URI: https://opendata.uni-halle.de//handle/1981185920/34842
http://dx.doi.org/10.25673/34647
Open Access: Open access publication
License: (CC BY-SA 4.0) Creative Commons Attribution ShareAlike 4.0(CC BY-SA 4.0) Creative Commons Attribution ShareAlike 4.0
Appears in Collections:Fakultät für Informatik

Files in This Item:
File Description SizeFormat 
Kiltz_Stefan_Dissertation_2020.pdfDissertation49.83 MBAdobe PDFThumbnail
View/Open