2017-04-05 22:07:02 +02:00
\documentclass { article}
2017-04-04 17:38:37 +02:00
\usepackage { amsmath}
\usepackage { nccmath}
\usepackage { graphicx}
2017-04-05 19:53:32 +02:00
\usepackage { hyperref}
2017-04-04 17:38:37 +02:00
\DeclareMathSizes { 10} { 10} { 10} { 10}
\newcommand { \xhspace } [0]{ \noindent \hspace * { 5mm} }
\setlength { \parindent } { 0pt}
2017-04-05 22:07:02 +02:00
\title { Konfl\" unz}
2017-04-04 17:38:37 +02:00
\date { }
\begin { document}
2017-04-05 22:07:02 +02:00
\section { Begriffserkl\" arungen}
2017-04-04 17:38:37 +02:00
\subsubsection * { Kriminalistik}
2017-04-05 22:07:02 +02:00
Verhinderung, Aufdeckung und Aufkl\" arung von Kriminalit\" at (Naturwissenschaften/
2017-04-04 17:38:37 +02:00
Ingenieurwesen)
\begin { itemize}
2017-04-05 22:07:02 +02:00
\item Verbrechenstechnik (Wie wird das Verbrechen ausgef\" uhert?)
2017-04-04 17:38:37 +02:00
\item Kriminaltechnik (Einbringung von Sachbeweisen)
2017-04-06 00:00:48 +02:00
\item Kriminaltaktik (Planm\" a\ss iges und fallorientiertes Vorgehen, z.B.
2017-04-04 17:38:37 +02:00
Fahndung, Vernehmung, etc.)
2017-04-05 22:07:02 +02:00
\item Organisation der Verbrechensbek\" ampfung
\item Kriminalpsychologie (Schuldf\" ahigkeit, Motivforschung)
2017-04-04 17:38:37 +02:00
\end { itemize}
\subsubsection * { Kriminologie}
2017-04-05 22:07:02 +02:00
Erforschung von Ursachen und Erscheinungsformen von Kriminalit\" at (Sozialwissenschaft/Psychologie)
2017-04-04 17:38:37 +02:00
\section { Qualivative Probability}
\subsubsection * { Vorbedingungen:}
\begin { itemize}
\item $ H _ 1 $ Person A war am Tatort
\item $ H _ 2 $ Person A war \textbf { nicht} am Tatort
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { M\" ogliche Fahndungs-Ergebnisse:}
2017-04-04 17:38:37 +02:00
\begin { itemize}
\item $ E _ 1 $ es gibt Beweise, dass Person A am Tatort war
\item $ E _ 2 $ es gibt \textbf { keine} Beweise, dass Person A am Tatort war
\end { itemize}
\textbf { Wahrscheinlichkeit, dass die Vorbedingungen $ H _ { 1 , 2 } $ im Angesicht bestimmter Ergebnisse korrekt sind.}
\[ Prob _ 1 ( E _ 1 | H _ 1 ) \hspace { 2 cm } Prob _ 2 ( E _ 1 | H _ 2 ) \]
\[ Prob _ 3 ( E _ 2 | H _ 1 ) \hspace { 2 cm } Prob _ 4 ( E _ 2 | H _ 2 ) \] \\
2017-04-06 00:00:48 +02:00
\textit { Also wie wahrscheinlich sind also die Kombinationen:} \\ \\
2017-04-04 17:38:37 +02:00
\begin { tabular} { |c|c|c|}
Person A am Tatort & Beweise & Wahrscheinlichkeit \\ \hline
Ja & Ja & $ Prob _ 1 $ \\
Ja & Nein & $ Prob _ 2 $ \\
Nein & Ja & $ Prob _ 3 $ \\
Nein & Nein & $ Prob _ 4 $ \\
\end { tabular}
2017-04-05 22:07:02 +02:00
\subsubsection * { St\" arke/Aussagekraft von Beweisen}
2017-04-04 17:38:37 +02:00
\[ Staerke \; des \; Beweises = \frac { Prob _ 1 ( E _ 1 | H _ 1 ) } { Prob _ 2 ( E _ 1 | H _ 2 ) } \] \\
Also z.B. wenn die Wahrscheinlichkeit von $ Prob _ 1 $ (war am Tatort und Beweise vorhanden) gleich
2017-04-05 22:07:02 +02:00
$ 0 . 4 $ und $ Prob _ 2 $ (war am Tatort und keine Beweise vorhanden) gleich $ 0 . 6 $ w\" are die St\" arke
2017-04-04 17:38:37 +02:00
des Beweises $ 0 . 66 $ . Offensichtlicherweise, wenn nun $ Prob _ 1 >> Prob _ 2 $ ist der Beweis sehr
2017-04-05 22:07:02 +02:00
stark. Mit der gleichen Logik gilt f\" ur das Nichtvorhandensein von Beweisen das Gegenteil, also
2017-04-04 17:38:37 +02:00
das wenn $ Prob _ 3 >> Prob _ 4 $ der Beweis sehr schwach ist.
2017-04-05 03:41:42 +02:00
\section { Live-Analyse}
2017-04-05 22:07:02 +02:00
\subsubsection * { Fl\" uchtige Daten}
2017-04-06 00:00:48 +02:00
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im
engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen
werden als \textit { persistent} bezeichnet.
2017-04-04 17:38:37 +02:00
\begin { itemize}
\item Inhalte Cache, Hauptspeicher, CPU-Register
\item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen
\item laufende Prozesse, angemeldete Benutzer, offene Dateien
\end { itemize}
2017-04-06 00:00:48 +02:00
\textit { Spuren m\" ussen:}
2017-04-04 17:38:37 +02:00
\begin { itemize}
\item identifiziert
\item gesichert
2017-04-06 00:00:48 +02:00
\item falls eine Sicherung nicht m\" oglich ist, dokumentiert werden
2017-04-04 17:38:37 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Gr\" unde f\" ur Live-Analyse}
2017-04-04 17:38:37 +02:00
\begin { itemize}
\item Beschleunigung der Tot-Analyse
\item Sicherung von sonst verlorenen Spuren
2017-04-05 22:07:02 +02:00
\item Umgehung von Festplattenverschl\" usselung
2017-04-04 17:38:37 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { M\" oglichkeiten}
2017-04-04 17:38:37 +02:00
\begin { itemize}
\item Nutzung der Hardware des zu untersuchenden Systems (Live-CD)
\item Nutzung von Hardware \textbf { UND} Software
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Probleme}
2017-04-04 17:38:37 +02:00
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item System wird ver\" andert
2017-04-05 22:07:02 +02:00
\item Aktivit\" aten m\" ussen dokumentiert werden (z.B. Videoaufzeichnungen)
2017-04-04 17:38:37 +02:00
\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im
schlimmesten Fall auch die Hardware)
2017-04-06 00:00:48 +02:00
\item einige, z.B. Rootkits, k\" onnen im laufenden Betrieb nicht zuverl\" assig erkannt werden
2017-04-04 17:38:37 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Sniffing}
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\" usselung m\" oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\" onnen.
\subsection { Hauptspeichersicherung}
2017-04-04 17:38:37 +02:00
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item eingesetzte Werkzeuge sollen System nicht ver\" andern (Integrit\" at)
2017-04-05 22:07:02 +02:00
\item gesicherte Information sollen den RAM korrekt repr\" asentierten (Korrektheit)
2017-04-06 00:00:48 +02:00
\item Sicherung soll nicht durch durch laufende Aktivit\" aten beeinflusst (Atomarit\" at)
2017-04-04 17:38:37 +02:00
\end { itemize}
2017-04-06 00:00:48 +02:00
Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\" andig \" andert und
eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen
mit einem Zeitstempel gespeichert werden.\\ \\
\textit { Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\" alt, die
2017-04-04 17:38:37 +02:00
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.} \\ \\
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit { Schnitt}
bezeicht korrekt ist.
2017-04-05 22:07:02 +02:00
\subsubsection * { Technische M\" oglichkeiten}
2017-04-04 17:38:37 +02:00
\noindent \includegraphics { pics/RAM-Sicherung.png}
2017-04-04 18:00:36 +02:00
\begin { itemize}
\item Crashdumps unter Windows
\item Modul Hijacking unter Linux
2017-04-05 03:41:42 +02:00
\item Linux-sysfs (/dev/mem)
2017-04-04 18:00:36 +02:00
\item Fireware/DMA/Hardware allgemein
\item Snapshot bei VM
2017-04-05 03:41:42 +02:00
\item Linux /dev/mem ist etwas broken kriegt man aber mit kernel-modules gebacken
2017-04-04 18:00:36 +02:00
\end { itemize}
Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder
einfach nach \textit { strings} oder \textit { magic-bytes} gesucht werden.
2017-04-05 22:07:02 +02:00
\subsubsection * { Hauptspeicherdumps auf MAC}
2017-04-05 03:41:42 +02:00
Relevantes Paper: \textit { Visualization in Testing a Volatile Memory Forensic Tool}
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \
2017-04-05 03:41:42 +02:00
Boot-Flags und funktioniert nicht auf einigen Intel-iMacs
2017-04-05 22:07:02 +02:00
\item auf \" alteren MACs produziert ein \textit { dd} auf /dev/mem ein korrektes und
2017-04-05 03:41:42 +02:00
konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten,
2017-04-06 00:00:48 +02:00
aber vielleicht trotzdem noch interessanten) Speicherseiten
2017-04-05 03:41:42 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Dotplot}
2017-04-05 03:41:42 +02:00
Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper
oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der
2017-04-05 22:07:02 +02:00
Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit { ('\" ahnlichen')} Felder
2017-04-05 03:41:42 +02:00
schwarz markiert.\\ \\
Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten
weggefiltert) nicht sein/ist sehr
unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind,
2017-04-05 22:07:02 +02:00
muss das Tool in irgendeiner Weise daf\" ur verantwortlich sein - z.B. weil das \textit { dd} , die
2017-04-06 00:00:48 +02:00
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.
\textbf { Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen
Tools die das System beeinflussen zu zeigen. Pr\" adikat 'nicht lesenswert'.}
2017-04-05 22:07:02 +02:00
\subsubsection * { Evalution von Live-Analyse Techniken}
2017-04-05 03:41:42 +02:00
\begin { itemize}
\item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen
2017-04-05 22:07:02 +02:00
\item m\" ogliche Unterschiede beider VMs ohne Interaktion \" uberpr\" ufen (vorhanden aber
2017-04-05 03:41:42 +02:00
gering)
\item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der
Untersuchung
\item suprise, Unterschiedliche Tools, unterschiedlich viel Impact
\end { itemize}
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch
Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als
eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden
Aufruf den man sehen will).
2017-04-05 03:41:42 +02:00
\end { itemize}
\noindent \includegraphics { pics/Integritybymemsize.png} \\
Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des
2017-04-05 22:07:02 +02:00
Tools gleich bliebt, was nat\" urlich bedeutet, dass er relativ zum Gesamtspeicher einen
2017-04-06 00:00:48 +02:00
kleineren Impact hat, mit gr\" osserem der Speicher also der Anteil des Unver\" anderten
2017-04-05 03:41:42 +02:00
Speichers steigt. \textit { (Bild aus Folien S.99)}
2017-04-05 22:07:02 +02:00
\subsubsection * { Messung von Atomarit\" at}
2017-04-05 03:41:42 +02:00
\begin { itemize}
2017-04-05 22:07:02 +02:00
\item ein Programm schreibt f\" ur gewisse Zeitscheiben bestimmte Werte in den Speicher,
2017-04-05 03:41:42 +02:00
umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang.
\end { itemize}
\section { Versteckte Daten in Dokumenten}
\begin { itemize}
2017-04-05 22:07:02 +02:00
\item \" Anderungshistorie von (Word-)Dukumenten
2017-04-05 03:41:42 +02:00
\item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..)
2017-04-06 00:00:48 +02:00
\item "geschw\" arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
2017-04-05 03:41:42 +02:00
Postscript raus)
\item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version
2017-04-05 22:07:02 +02:00
des urspr\" unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
2017-04-05 03:41:42 +02:00
Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte)
2017-04-05 22:07:02 +02:00
\item Informationen \" uber Kamera und verwendete Software
2017-04-05 03:41:42 +02:00
\item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile)
\end { itemize}
2017-04-05 05:18:39 +02:00
\section { Spuren in Multimediadaten}
2017-04-05 22:07:02 +02:00
\subsection { Authentizitätsprüfung und Ursprungsger\" aterkennung bei Bildern}
\subsubsection * { Ansatzpunkte}
2017-04-05 05:18:39 +02:00
\begin { itemize}
\item Geometrie der Szene
\item Licht/Schatten
\item Brechfehler in der Linse
\item spezifisches Rauschen eines Sensors
2017-04-05 22:07:02 +02:00
\item Interpolationsart unvollst\" andiger Sensordaten in einer Kamera (die Daten von
Kamerasensoren werden oft interpoliert um hohere Aufl\" osungen zu faken)
\item Doppelkompression, Resampling/Splicing (Zusammenf\" ugen zweier Bilder)
2017-04-05 05:18:39 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Copy-Move}
2017-04-05 05:18:39 +02:00
Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder)
mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine
2017-04-05 22:07:02 +02:00
F\" alschung. (bei der Automatisierung kann man das durch Beschr\" ankung auf Intensit\" aten
2017-04-05 05:18:39 +02:00
oder Farben vereinfachen)\\
Sonstige Erkennenung durch:\\
\begin { itemize}
\item DCT-Transformation
\item Zernike-Momente
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Fertigungsunterschiede bei Sensoren}
2017-04-05 05:18:39 +02:00
\textbf { In der Theorie}
\[ Pic = SensoreVariance ( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \]
\textit { Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das
Auftreffen von Photonen entsteht.} \\
Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response
2017-04-05 22:07:02 +02:00
Non-Uniformit genannt wird. Sie ist charakteristisch f\" ur einen Sensore und stellt
2017-04-05 05:18:39 +02:00
einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns
2017-04-06 00:00:48 +02:00
nicht interessieren ist \textit { Flat field correction} (Aufnahme in ausgeleuchteten
2017-04-05 05:18:39 +02:00
Raum und dunklem Raum).
\textbf { But How...}
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\" oher als
2017-04-05 22:07:02 +02:00
die Freq\" unz des Bildinhaltes
2017-04-05 05:18:39 +02:00
\item alle getiefpassten Bilder Mitteln
\item ????
\item Profit.
\end { itemize}
2017-04-05 22:07:02 +02:00
Bildrotation- oder Skalierung f\" uhrt zu anderem Fingerabdruck.
2017-04-05 05:18:39 +02:00
('Desynchronisationsangriff')
2017-04-05 22:07:02 +02:00
\subsubsection * { Resampling Artefakte}
2017-04-06 00:00:48 +02:00
Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\" ugt wird vorher oft
2017-04-05 05:18:39 +02:00
gedreht oder skaliert werden muss.
\begin { itemize}
\item Skalierung oder Rotation ist effektiv eine Interpolation
2017-04-06 00:00:48 +02:00
\item Interpolation f\" uhrt zu einer linearen Abh\" angigkeit in Pixelintensit\" aten
2017-04-05 22:07:02 +02:00
\item Berechnung einer Wahrscheinlichkeit f\" ur jeden Pixel, dass er aus den
2017-04-05 05:18:39 +02:00
Nachbarpixeln interpoliert wurde \textit { (p-map)} und Fourier-Transformation auf
die relevante Region
\item JPEG-Kompression kann \textit { p-map} dominieren
2017-04-05 22:07:02 +02:00
\item Spurenverschleierung duch Pixel-Distortion m\" oglich (z.B. Pixel in
Einzelfarben aufteilen und nochmal dr\" uber Interpolieren)
2017-04-05 05:18:39 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Lichteinfall}
Kann man v\" ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier:
2017-04-05 05:18:39 +02:00
\textit { 'Exposing Digital Forgeries in Complex Lighting Environments'} . In a Nutshell:
2017-04-05 22:07:02 +02:00
Sie approximieren Lichq\" ullen und scha\" un dann ob der Licheinfall auf allen
Oberfl\" achen konsistent ist.
2017-04-05 05:18:39 +02:00
\section { Jura-Teil}
2017-04-05 22:07:02 +02:00
\subsection { Erm\" achtigungsgrundlagen f\" ur Onlinedurchsuchung}
2017-04-05 05:18:39 +02:00
\begin { itemize}
\item Strafverfolgung $ - > $ Repression, konkrete Straftat als Anlass
2017-04-05 22:07:02 +02:00
\item Gefahrenabwehr $ - > $ Pr\" avention, konkrete Gefahr als Anlass
2017-04-06 01:25:15 +02:00
\item \" ublicherweise Landesrecht, au\ss er BKA-Gesetz (Bundesrecht)
2017-04-05 05:18:39 +02:00
\end { itemize}
2017-04-05 19:53:32 +02:00
\subsection { Paragraphen}
2017-04-05 22:07:02 +02:00
\subsubsection * { \S 100a Strafprozessordnung (Telekommunikationsüberwachung)}
2017-04-05 19:53:32 +02:00
\begin { itemize}
\item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und
aufgezeichnet werden, wenn:
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item bestimmte Tatsachen den Verdacht begr\" unden, dass jemand als T\" ater oder
Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\" allen, in
2017-04-05 19:53:32 +02:00
denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat
vorbereitet hat,
\item die Tat auch im Einzelfall schwer wiegt und
\item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des
Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.
\end { itemize}
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { \S 100b Verfahren bei der Telekommunikationsüberwachung}
Das Vorgehen bei einer \" uberwachung, in a Nutshell, immer erstmal auf drei Monate
befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\" atigen.
Telekomunikationsunternehmen m\" ussen kooperieren.
\subsubsection * { \S \S 102-110 Ebenfalls Strafprozessordnung}
2017-04-05 19:53:32 +02:00
\url { https://dejure.org/gesetze/StPO/102.html} \\
2017-04-06 01:25:15 +02:00
\begin { itemize}
\item \S 102 Durchsuchung bei Beschuldigten
\item \S 103 Durchsuchung bei anderen Personen
\item \S 104 Durchsuchung von R\" aumen zur Nachtzeit
\item \S 105 Verfahren bei der Durchsuchung
\item \S 106 Hinzuziehung des Inhabers eines Durchsuchungsobjekts
\item \S 107 Durchsuchungsbescheinigung und Beschlagnahmeverzeichnis
\item \S 108 Beschlagnahme anderer Gegenst\" ande
\item \S 109 Kenntlichmachung beschlagnahmter Gegenst\" ande
\item \S 110 Durchsicht von Papieren und elektronischen Speichermedien
\end { itemize}
2017-04-05 22:07:02 +02:00
Interessant hier: Daten d\" urfen gesichert/durchgesehen werden, wenn sonst ein Verlust
2017-04-06 01:25:15 +02:00
selbiger zu bef\" urchten ist.
2017-04-06 00:00:48 +02:00
\subsubsection * { \S \S 100c, 100d StPO - Gro\ss er Lauschangriff}
2017-04-05 22:07:02 +02:00
Betrifft die \" uberwachung eines gesamten Wohnraum und ist an \" ahnliche Vorraussetzungen wie
die Telekommunikations\" uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\" aume
abgeh\" ort werden d\" urfen und private Informationen m\" ussen gel\" oscht werden.
2017-04-05 19:53:32 +02:00
\subsection { Nachrichtendienste}
\begin { itemize}
\item \S 2a BND-Gesetze $ - > $ Wann darf der BND Informationen sammeln:
2017-04-06 00:00:48 +02:00
\begin { itemize}
\item Sicherheitspolitische Dinge im Ausland
\item \" Uberpr\" ufung von (zuk\" unftigen) Mitarbeitern
\item Schutz und Abschirmung von Mitarbeitern
\end { itemize}
2017-04-05 22:07:02 +02:00
\item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\" ar etwas \" uber die
Zusammenarbeit der L\" ander mit dem BND aus)
2017-04-06 01:25:15 +02:00
\item \S 3,5,10 G10 \textit { (Regelt allgemein die Beschr\" ankung des
2017-04-06 00:00:48 +02:00
Fernmeldegeheimnisses)}
2017-04-05 19:53:32 +02:00
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item \S 3 listet Vorraussetzungen f\" ur \" Uberwachung $ - > $ \" ahnliche
Vorraussetzung wie f\" ur Polizei \textit { (z.B. Angriffe auf Bundesrepublik,
V\" olkerrechtsverbrechen, Terrorismus)}
2017-04-05 19:53:32 +02:00
\item \S 5 regelt internationale Verbinndungen
2017-04-06 00:00:48 +02:00
\item \S 10 regelt wie die \" Uberwachung angeordnet wird
2017-04-05 19:53:32 +02:00
\end { itemize}
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Sonstiges}
2017-04-05 19:53:32 +02:00
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item minimale \" Anderungen am angegriffenen System muss gew\" ahrleisten
\item es muss gew\" ahrleistet werden, dass durch den Eingriff keine anderen
(unbefugten) Angriffe erm\" oglicht werden
\item ganz generell muss immer sichergestellt werden, dass so wenig wie m\" oglich in
die Grundrechte des Betroffenen eingegriffen wird
2017-04-05 19:53:32 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsection { Technische M\" oglichkeiten - Hihihi wir sind der Staat}
2017-04-05 19:53:32 +02:00
\begin { itemize}
\item Herstellerkooperation (Backdoor etc.)
\item (Hardware) Keylogger
\item Cold-Boot
\item Live-Durchsuchung (z.B. Staatstrojaner)
2017-04-05 22:07:02 +02:00
\item Seitenkan\" ale/Metadaten
2017-04-06 00:00:48 +02:00
\item Schw\" achen in (Kryptographie-)Protokollen
2017-04-05 19:53:32 +02:00
\end { itemize}
\section { Ermittlungen im Internetz}
\subsection { Lokalisierungstechniken}
2017-04-05 22:07:02 +02:00
\subsubsection * { Teilprobleme}
2017-04-05 19:53:32 +02:00
\begin { itemize}
\item User Geolocation (Position des Nutzers)
\item IP Geolocation (Position einer IP-Adresse)
\item IP Adress Extraction (welche IP hat der Ursprungsrechner)
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { IP Geolocation}
2017-04-05 19:53:32 +02:00
Geht relativ einfach, IP-Ranges werden von der \textit { Internet Assigned Numbers Authority}
2017-04-06 00:00:48 +02:00
an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, es gibt diese
Daten sind \" offentlich zug\" anglich.
2017-04-05 22:07:02 +02:00
\subsubsection * { Domain Name System}
2017-04-05 19:53:32 +02:00
Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum
2017-04-06 00:00:48 +02:00
Beispiel kann man so auch zusammengeh\" orige Seiten erkennen wenn mehre Domain-Names auf
2017-04-05 19:53:32 +02:00
die gleiche IP abgebildet werden. \textbf { Tools:} \textit { whois, dig, traceroute} .
2017-04-05 22:07:02 +02:00
\subsubsection * { Passive DNS-Replikation}
Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\" un ob
mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \" uber die Zeit
2017-04-05 19:53:32 +02:00
aufgezeichneten Daten.
2017-04-05 22:07:02 +02:00
\subsubsection * { IP-Verschleierungstechniken}
2017-04-05 19:53:32 +02:00
\begin { itemize}
\item VPN/Proxy bzw. Ketten selbiger (z.B. Tor)
\item Remote Session (z.B. xpra in den CIP)
2017-04-05 22:07:02 +02:00
\item Long Distance Dialup (Technologie "Gap" die R\" uckverfolgung erschwert)
2017-04-05 19:53:32 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsubsection * { Counter the Countermeasures}
2017-04-05 19:53:32 +02:00
\begin { itemize}
2017-04-06 00:00:48 +02:00
\item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\" ur
Websiten durch ein \textit { HTTP-REFRESH} m\" oglich)
\item JavaScript Exploit $ - > $ Client dazu bringen seine IP-Adresse zu \" ubermitteln
2017-04-05 19:53:32 +02:00
\end { itemize}
2017-04-05 22:07:02 +02:00
\subsection { Cloud \& Websitesicherung}
2017-04-05 19:53:32 +02:00
\begin { itemize}
\item Internet Archive
2017-04-06 00:00:48 +02:00
\item Cache beim Client
\item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist
\item Snapshot einer VM auf einem Server
\item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem
und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server
mit mehreren VMs mit Daten Unbeteiligter)
2017-04-05 22:07:02 +02:00
\item VM-Carving (Wiederherstellung von gel\" oschten VM, vielleicht aus Backups)
2017-04-05 19:53:32 +02:00
\end { itemize}
\section { Date-Loss though Abstraction}
2017-04-06 00:00:48 +02:00
Ehrlich gesagt wei\ss { } ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion
bedeutet logischerweise mehr abstrakte Informationen, w\" ahrend Low-Level
Informationen verloren gehen (k\" onnen).
2017-04-05 21:37:09 +02:00
\section { Carrier Dissertation Theorie}
\begin { itemize}
\item Observation (Was hat der Ermittler gesehen)
2017-04-05 22:07:02 +02:00
\item Capabilities (Welche Zust\" ande sind m\" oglich)
2017-04-06 00:00:48 +02:00
\item Sample (Welche Zust\" ande existieren auf \" ahnlichen Systemen/haben fr\" uher auf
diesem System existiert)
\item Reconstruction (R\" uck\" ubersetzung einer Zustands\" ubergangsfunktion)
\item Construction (Ausfuehrung einer Zustands\" ubergangsfunktion)
2017-04-05 21:37:09 +02:00
\end { itemize}
2017-04-06 01:25:15 +02:00
\vspace { 1cm}
\subsection * { Source}
Dieses Dokument wird auf{ } \url { https://gitlab.cs.fau.de/ik15ydit/latexandmore} maintaint.
2017-04-04 17:38:37 +02:00
\end { document}