GLF

Gestern, am 3. September 2013, wurde auf "cryptome.org" eine Präsentation (156 Folien) von NCPCA (National Center for Prosecution of Child Abuse) veröffentlich. Die Präsentation klärt Ermittler über die "Kriminaltechnischen Computer" auf. Sprich - was zu tun ist, wenn man nach einer Hausdurchsuchen mit dem Beweismaterial die Zentrale erreicht.

Ich picke mal zwei Tehmen raus:

Daten verstehen
> Daten Grösse
> Wie Daten geschreiben werden
> Festplatten Terminologie
> Sektoren und Cluster
> Wie digitale Daten gespeichert werden
> Nicht belegten Speicherplatz verstehen
> Wie Daten gelöscht werden
> Slack Space (sagt; perfektes Beweismaterial)
> Daten wiederherstellen
> RAM Analyse
> etc.

Hashing
> Wofür es gebraucht wird
> Bekannte Datenfilter
> Algorithmen
> etc.

Weitere Dinge; Was tun, wenn die Festplatte verschlüsselt ist? Bekannte Hintertüren*? Was muss alles beachtet werden? Wie Transportiere ich die eingesammelten Materialien? Was muss ich alles mitnehmen?...

(* Werden leider keine erwähnt)

Es werden auch einige Produkte vorgestellt. Hier mal zwei davon:

MacLockPick
> USB System Scan
> Sucht nach informationen (Passwörter, Logs, Dokumente, Bilder, etc)
> etc.

EnCase Portable
> USB Datensammler
> Hasen, suchen und kopieren von Daten
> Festplatte/Speichermedium kopieren/abbilden
> etc.


... und noch vieles mehr ...


Falls ihr interessiert seit: http://cryptome.org/2013/09/computer-forensics-2012.pdf




*Diese Präsentation dient nur zu Informationszwecken*

Wundert mich, dass da nur so ziemlicher Standardkram besprochen wird.
Nicht einmal etwas über Konboot (was man z.B. als sehr bekannte "Passwort-Hintertür" für Windows bezeichnen kann).
Aber z.B. auch nichts über die "cold boot attack" oder die "evil maid attack".
Ziemlich unbeeindruckend und wohlbekannt.

Ja, 1. Klässler Informatik. Wenn das die sogenannten Profis sind, können sich viele Kriminelle, die ein wenig vorsichtig sind, entspannen ^^

P.S. Wird bei verschlüsselten Speichermedien das Passwort dem Nutzer nicht einfach rausgeprügelt?

Gegen unrechtsstaatliche Praktiken hilft ja zum Glück immer noch Hidden OS und Hidden Volumes von Truecrypt. Damit kann man ein Passwort rausgeben und hat für den Rest plausible deniability.

Sind die Hidden Volumes nicht nachweisbar? Ein Cop, der Ahnung hat, sollte eigentlich wissen, das man "verarscht" werden kann.

Man kann informtationstechnisch nicht nachweisen ob jemand noch zusätzlich ein Hidden OS hat oder bloß nur ein verschlüsseltes OS.
Natürlich könnte man alle TrueCrypt-Benutzer unter Generalverdacht stellen und behaupten, alle hätten noch ein Hidden OS... was ja nicht bei jedem stimmen muss.

Hat man nur ein normal verschlüsseltes OS liegt es nahe zu fragen: "Und wie ist das Passwort?" und notfalls können auch hypothetische unrechtsstaatliche Rechtsmittel eingelegt werden, die dich zur Herausgabe zwingen.
Hat man aber zusätzlich ein Hidden OS, kann man dir das nicht nachweisen. Man kann nicht annordnen etwas rauszurücken, was man theoretisch gar nicht hat.
Also kann man dich auch nicht dafür einsperren, weil es keine Beweise gegen dich gibt. Du könntest ja tatsächlich kein Hidden OS haben.

Wogegen man natürlich nichts machen kann, ist, wenn man anfängt dich zu foltern auch ohne einen einzigen Hinweis dafür, dass du mehr weißt, als du bereits gesagt hast. Aber, wenn es soweit kommt... haben wir ganz andere Probleme als Datensicherheit.