GLF

[gelöscht_22]

Hallo Sargeras,

es dauert ungefähr 3 Monate.

Die Analyse wird extern vergeben an Unternehmen, so wie das meine bezogen auf die Steuersünder.

Zur Verfügung gestellt wird eine Software und eine Datenbank.
Die Datenbank enthält im ersten Schritt Dateinamen und Dateigrößen.
Im zweiten Schritt wird ein CRC Abgleich gefahren. Es wird geschaut, unabhängig vom Dateinamen, ob Dateien die gleiche Prüfsumme haben wie die im Katalog der Datenbank die bundesweit zusammengetragen wird und die meisten gefundenen Dateien enthält.

Insofern kann Deine .mp3 Datei zwar einen frivolen Namen haben, aber da sie nicht die passende CRC hat, gilt sie als nicht inkriminiert und wird auch gar nicht angesehen.

Der dritte Schritte ist, das alle Bilddateien in 90 Grad schritten um 360 Grad gedreht werden und ein CNB (ColorNearBy) Test gemacht wird. Fallen Bilder auf, so werden sie von Hand gesichtet.

Genauso mit den Headern von Videodateien. Bei einem gewissen Grad der Übereinstimmung, Atribute, wie Bitrate, Auflösung, Codierung etc., wird von Hand gesichtet.

Der Rest wird von Hand gemacht, Stichprobenartig und es wird nach verschlüsselten Dateien/Container gesucht.

In der Regel (ACHTUNG KEINE ALLGEMEINGÜLTIGE AUSSAGE) werden selbst verschlüsselte Container akzeptiert, wenn es keine Anhaltspunkte dafür gibt, das inkriminiertes Material zu vermuten ist.

Insofern geht so eine Prüfung doch recht fix.

dasneuetangram

[ZerberusX]

Insofern 1maliges Löschen ausreicht ist deine MEthode mit Sicherheit die sicherste Art um seinen PC wieder zu bekommen.


In Punkto Auffand und Zeit ist dort aber ein dickes Minus hinter. Soein Backup dauert sicher. Und wenn du am Tage mehrmals dran musst ist das schon nervig. Man kann es auch immer Abends machen ,aber das wäre immernoch viel Zeit und in der Zwischenzeit bist du äusserst verwundbar.


Insgesamt macht dich diese Methode sehr unflexibel und langsam.


Trotzdem ists absolut wasserdicht. (vorrausgesetzt man kann der Studie traun). Man weiss ja nie wer der Auftraggeber war .


Ein großer ZwickMühle zwischen Komfort und Sicherheit.


Wie groß ist deine Festplatte und wielange braucht das Backup?

[gelöscht_22]

Hallo ZerberusX,

Du gibt aber auch nicht auf....

Es wird einmal überschrieben. Das reicht für die Clowns in Blau aber aus, weil die Daten die vorher darauf waren, ja von dem Vorbesitzer der Festplatte stammen können. Keine Chance für die, die DÜRFEN nur die gesetzten Domainen nehmen.

BTW:
JEDE Fesplatte braucht ein Patent welches folgendes Ermöglicht:
Durch das Aufspielen einer forensischen Firmware können die Unterschiede der Domains ausgelesen werden. Haben wir im Coding der Bytes meinetwegen 000, so ist 000 nicht 000. War es vorher 010 und wird dann mit 000 überschrieben, so ist die Domaine der mittleren 0 nicht exakt so 0, wie die Anderen, die vorher schon 0 waren. DomainRotatingAnalyseDataRekonstructing nennt sich die Methode. Ein Algorithmus errechnet die Wahrscheinlichkeit anhand quasi der Gradstellung der Domaine, von welchem Zustand sie her gekommen ist. Somit lassen sich Daten wiederherstellen, die sogar mehrfach überschrieben worden sind.

Die Methode ist bei den heutigen HDD Kapazitäten überfordert. Der Aufwand ist gigantisch mit der Methode Daten wieder her zu stellen. Macht keiner, außer er hat ausreichende finanzielle Mittel dafür.
Unsereiner wäre viel zu teuer, und s.o., es ist nicht erlaubt.

dasneuetangram

[gelöscht_22]

Noch mal ZerberusX,

das betrifft ja nur die Systempartition C:\. Die halte ich ja natürlich so klein wie möglich. Alle Spiele, Office etc. sind auf D:\ installiert.
So dauert das Erstellen des Images auf einer SATA Platte mittlerer Größe und einer Systempartition von ca. 20GB etwa 12 Minuten.
Das Zurückspielen auch. Zähneputzen, Schlafanzug an, Gute Nacht Küssen...fertig.

dasneuetangram

[Ovid]

Warum belassen die es nicht bei einem mal?

Veraltete Standards bei "antiken" Speichermedien.

Fehlt nur noch, dass du mit einer Verschwörungstheorie anfängst.

[ZerberusX]

Gut gut.....
Gehen wir davon aus ,dass 1-maliges Überschreiben ausreicht.

Dann ist dein Weg sicher der sicherste.

Der Auffand ist dennoch enorm. Du musst das nach jeder Sitzung machen. Nur jeweils am Abend ein Backup draufbrennen macht dich für Stunden verwundbar. Willst du an einem Tag mal 3 oder 4 mal ran sind das gleich mal 60 Minuten Backup spielen.

Da hat man sicher beim verstecktem System mehr Komfort. Das System wechseln und nach Benutzung wieder wechseln.



Muss man sich überlegen.

[ZerberusX]

STOP



Perma hat ein weiteren Risikofaktor in dasneueantagrams technik entdeckt.



Sicher ist die Platte dann komplett rein und transparent. ABER! Was passiert ,wenn du kurz nach einer Sitzung besuch bekommst? Dann kannst du deinen PC ausschalten und die können den einfach wieder hochfahren. Bei Überraschungsbesuchen bist du also enomr verwundbar!



Du musst wenn du es wirklich sicher haben willst dein System vollverschlüsseln. Bei einem Überraschungsbesuch wärst du so auch geschützt. Und bekomsmt du dann besuch wenn die Platte sauber ist kannst du den Schlüssel ja rausgeben.

Vollverschlüsselung ist also Pflicht.

[Waldbär]

Wenn ich die Spielereien mit dem System so lese... wie sieht das eigentlich bei
[achtung, Fachchinesisch!]
VMs aus. Ich mein', ein sauberes System, mit VirtualBox eine VM aus einem TC-verschlüsseltem Container auf einem Stick gestartet, und dann... ?
Wenn die VM wieder aus ist, ist dann im Wirt noch was zu finden?
Ich würde auf keinen Fall die Verwurstung des Systems soweit treiben, dass ich immer wieder ein Image der Systempartition überspiele.

Und die Informationen hier beziehen sich ja meistens auf Windows-Rechner. Unter Linux ein vollverschlüsseltes LVM, ist klar, geht, aber was ist mit der "normalen" standardmäßigen Verschlüsselung des Home-Verzeichnisses, wenn man kein verschlüsseltes LVM hat? Was bleibt in der SWAP-Partition? Und jetzt die Preisfrage: gibt es verwertbare Daten in der SWAP-Partition einer virtuellen Festplatte eines in einer VM laufenden Linux? Und wenn die VM verschlüsselt ist? Oder schreibgeschützt? Wenn Windows der Wirt ist? Oder umgekehrt, wenn ein virtuelles Windows als Gast in einem Linux läuft, dessen User-Verzeichnis sowieso schon verschlüsselt ist, weil es das eigentlich immer ist? Wenn dann die VM nochmal zusätzlich verschlüsselt ist? Und/oder schreibgeschützt?
Und wenn man so erpicht ist auf ein "sauberes System", warum benutzt man dann nicht einfach ein Life-System zum Surfen, von CD gebootet, und lässt sein "normales" Spielpipifaxwindows bei den bösen Sachen gleich ganz aus? (Nicht, dass einer hier böse Sachen tun würde. Nur theoretisch...) Dann bräuchte man sich nicht mal vor Trojanern zu fürchten. Die zu speichernden Daten dann wieder in einen Container auf den USB-Stick.

Und um der Sache die Krone aufzusetzen, könnte man das Life-System ja in einer VM booten, oder umgekehrt, oder was auch immer....

[/achtung, Fachchinesisch!]
Ihr seid immer so unkreativ.

Waldbär

[Perma]

Ihr seid immer so unkreativ.

Mir wird ganz durcheinander.
Eine Doppelt-ROT13-Verschlüsselung muß einfach reichen.

*und weg*

[ZerberusX]

Waldbär schiesst den Vogel ab xD. Da klinke ich mich ja fast aus!!!!



Soviel verschlüsseln. Da wird einem ja schwindelig. xD


Ich glaube wir sollten einen entscheidenden Apsekt hinzufügen. Den Auffand. Das was Waldbär schreibt scheint mir sehr zeitintensiv und kaum "rentabel"



Ich für mich finde ,dass vom Sicherheitsaspekt und vom bequemlichkeitsfaktor klar der versteckte Container gewonnen hat. Alles andere was sicherer ist ,ist viel zu aufwendig.

[Ovid]

Wenn die VM wieder aus ist, ist dann im Wirt noch was zu finden?

Kommt offensichtlich auf die Konfguration und die VM an.

Was bleibt in der SWAP-Partition?

Es können beliebige Speicherseiten ausgelagert werden. Nach statistischer Analyse diejenigen Seiten mit den wenigsten Zugriffen.
So können sich allerlei Spuren (selbst Beiträge im GLF) in den ausgelagterten Speicherseiten befinden, selbst nach Tod des Browser-Prozesses. (Es erfolgt keine explizite Löschung ungenutzer Speicherseiten; nur Austausch)

Und jetzt die Preisfrage: gibt es verwertbare Daten in der SWAP-Partition einer virtuellen Festplatte eines in einer VM laufenden Linux?

Die zu erwartenden Daten sind - auf bytebene - äquivalent zu normalen SWAP-Partitionen, nur eben eine Abstraktionsebene tiefer. (Außer bei SWAP-Files/Partitionen auf RAM-Disks)

Und wenn die VM verschlüsselt ist?

Allerdings könnte der Wirt selbst Speicherseiten auslagern, die dann unverschlüsselt sein müssen, weil auf operativer CPU-naher Ebene, alle Daten zum verrechnen unverschlüsselt vorliegen müssen.

Oder schreibgeschützt? Wenn Windows der Wirt ist?

Schreibschutz erhält dann natürlich den Originalzustand des VM-Images.
Das beseitigt nicht das Problem des Pagefiles (Windows) SWAP-Files/Partition (Linux).

Oder umgekehrt, wenn ein virtuelles Windows als Gast in einem Linux läuft, dessen User-Verzeichnis sowieso schon verschlüsselt ist, weil es das eigentlich immer ist? Wenn dann die VM nochmal zusätzlich verschlüsselt ist? Und/oder schreibgeschützt?

Wenn die SWAP-Partition des Wirts deaktiviert/nachträglich vernichtet wird, gibt es kein Problem.

Und wenn man so erpicht ist auf ein "sauberes System", warum benutzt man dann nicht einfach ein Life-System zum Surfen

Irgendwie lahhm. Oder?
Außerdem möchte man für das GLF doch nich immer den PC rebooten.

Spielpipifaxwindows bei den bösen Sachen gleich ganz aus?

Eher sollte man als Laie das Linux auslassen.

Dann bräuchte man sich nicht mal vor Trojanern zu fürchten.

Einerseits stimmt das, andererseits wurden häufig gerne auch Linux-Boxen von Anfängern gerooted, die ihre Kiste nicht im Griff haben.

Und um der Sache die Krone aufzusetzen, könnte man das Life-System ja in einer VM booten, oder umgekehrt, oder was auch immer....

Jo. das wäre Paranoia-Mode. Noch besser: Zusätlich keine Festplatten in seinen Rechner einbauen. Only RAM.

[gelöscht_22]

Hallöchen mit Öchen,

richtig, bei meiner Methode ist bei einem Spontanbesuch ggf. etwas an Daten auf der Systempartition, was unschön ist. Ist so.
Aber da sind wir wieder bei der alten Frage nach Nutzen, Sicherheit und Bequemlichkeit.

Wie gesagt, viele Wege führen nach Rom und das gepostete hier soll ja anregen seine Lösung zu finden. Welche auch immer.

Das Waldbär nun vollkommen durchdreht war ja mal wieder Klar. Ich frage mich nur, was will der Bär in seinem Wald über haupt verschlüsseln? Den Weg zum nächsten Honigtopf?!?

Sicher, man kann aus einem sauberen Windows heraus, aus dem Container der zweiten Platte (oder dem Rest der ersten Platte, wie auch immer) eine VM starten, die dann wiederum ja auch Zugriff auf den Container hat. So hat man ein zweites Windows zum böse Sachen machen (Steuererklärungen, Haushaltsbuch, Testament), was voll funktionsfähig ist, gegenüber einem Live-Systems, und welches nicht entdeckt werden kann.
Das normale SwapFile der ersten Instanz von Windows wird hiervon nicht berührt. Auch keine weiteren Teile des Systems.
Solche Kaskadierten Systeme sind durchaus üblich, also auch eine gute Lösung.

dasneuetangram
läuft auch manchmal in zwei Instanzen

[Gelöscht_28]

pff, soviel verschlüsseln... vollkommen unötig, billiges chinaschwarzpulver mit fernzünder tuts besser, ne vollverschlüsselte Platte sprengen ist garantiert zu 100% effektiv! Am besten funktioniert das wahrscheinlich wenn man ein 2 Kammersystem verwendet. Ein beutelchen unten Säure rein (die Säure sollte das beutelchen nicht auflösen können xD), verdrillen, oben das pulver mit zünder rein, zu machen und rein in das gehäuse. Das an allen 4 ecken und in jedem erreichbaren Hohlraum (erreichbar ohne die platte zu beschädigen) und wenn jemand kommt, knopfdruck, peng, explosion beschädigt platte, säure zerfrisst platte, fertig. Viel spass beim "entschlüssel" dieser verschlüsselung xD

Hört sich total bekloppt an und ist irre aufwändig.. aber so liest sich euer Fachgeschwafel hier für mich als weniger begabten auch^^ Warum so umständlich, vollverschlüsselung reicht, dann keine Kipos auf der Platte haben und fertig. Einfach, aber sicher.

[Waldbär]

Das Waldbär nun vollkommen durchdreht war ja mal wieder Klar. Ich frage mich nur, was will der Bär in seinem Wald über haupt verschlüsseln?

Ausgangspunkt war die Antwort auf eine Frage, die ich vergessen habe. In der Antwort ging es darum, ein "sauberes" System vorzutäuschen, indem man nach jeder Sitzung ein Image des in grauer Vorzeit installierten sauberen Systems zurückspielt.
Und ich frage mich eben, ob das nicht ein klitzekleines Bisschen einfacher geht - wenn man es denn braucht. Auch wenn es sich zuerst kompliziert anhört.

Und Dank an Ovid für seine technischen Ausführungen.

Die Frage, WARUM man diesen Aufwand treibt, die keimt ja immer wieder mal auf. Mir geht es ausdrücklich NICHT darum, belastendes Material zu verstecken, denn so etwas besitze ich nicht. Ich finde es aber wichtig, dass, wenn man Kontakt zu anderen Menschen hat wie hoffentlich jeder (und man erinnere sich: es sind Menschen und nicht einfach nur Nicknames), der eigene Rechner eine Brandschutzmauer darstellt, welche das eigene Leben von dem Leben der anderen so weit abschottet, dass die mögliche Inbrandsetzung eines Lebens keinen Flächenbrand auslöst. Insofern befindet sich jeder in der Pflicht.

Waldbär

[Perma]

Insofern befindet sich jeder in der Pflicht.

Das ist richtig, aber da stellt sich eben die Frage, ob eine Vollverschlüsselung (vernüftiges Passwort vorausgesetzt) hierfür nicht völlig ausreichend ist. Immerhin muß man bei einer Vollverschlüsselung sich dann nicht noch gesondert um Dinge wie Auslagerungsdatei, Browser-Cache und kopieren von irgendwelchen Images Gedanken machen.
Je höher der Aufwand betrieben wird, desto schwieriger wird es doch irgendwann vielleich auch, sicherzustellen, nicht doch irgendwo etwas zu übersehen und erkennbare Spuren zu hinterlassen.
Selbst wenn man seinen Rechner bei Vollverschlüsselung nicht mehr wiederbekommen sollte, ist das m.E. noch akzeptabel anstatt durch betriebenen Aufwand, den man irgendwann nicht mehr überblicken kann doch noch einen Brand in Gang zu setzen.