mirror of
https://gitlab.cs.fau.de/ik15ydit/latexandmore.git
synced 2024-12-23 16:46:06 +01:00
Merge branch 'master' of gitlab.cs.fau.de:ik15ydit/latexandmore
This commit is contained in:
commit
400a5b955a
@ -2,39 +2,34 @@
|
||||
\usepackage{amsmath}
|
||||
\usepackage{nccmath}
|
||||
\usepackage{graphicx}
|
||||
\usepackage{hyperref}
|
||||
\DeclareMathSizes{10}{10}{10}{10}
|
||||
\newcommand{\xhspace}[0]{\noindent\hspace*{5mm}}
|
||||
\setlength{\parindent}{0pt}
|
||||
\title{Konfluenz}
|
||||
\title{Konfl\"unz}
|
||||
\date{ }
|
||||
\begin{document}
|
||||
\subsection*{Anmerkungen:}
|
||||
Diese Zusammenfassung fokusiert sich stark auf die Dinge die ich fuer wichtige gehalten habe
|
||||
und enthaelt teilweise Information die nicht in der Vorlesung, sondern nur in den in der
|
||||
Vorlesung erwaehnten Papern zu finden sind. Ich bin zu faul jedes mal wenn ich was aus einem
|
||||
Paper zitiere das Paper hinzuschreiben, nehmt einfach mal an, dass nichts von dem was hier
|
||||
steht auf meinem Mist gewachsen ist.
|
||||
\section{Begriffserklaerungen}
|
||||
\section{Begriffserkl\"arungen}
|
||||
\subsubsection*{Kriminalistik}
|
||||
Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/
|
||||
Verhinderung, Aufdeckung und Aufkl\"arung von Kriminalit\"at (Naturwissenschaften/
|
||||
Ingenieurwesen)
|
||||
\begin{itemize}
|
||||
\item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?)
|
||||
\item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?)
|
||||
\item Kriminaltechnik (Einbringung von Sachbeweisen)
|
||||
\item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B.
|
||||
\item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B.
|
||||
Fahndung, Vernehmung, etc.)
|
||||
\item Organisation der Verbrechensbekaempfung
|
||||
\item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung)
|
||||
\item Organisation der Verbrechensbek\"ampfung
|
||||
\item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung)
|
||||
\end{itemize}
|
||||
\subsubsection*{Kriminologie}
|
||||
Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie)
|
||||
Erforschung von Ursachen und Erscheinungsformen von Kriminalit\"at (Sozialwissenschaft/Psychologie)
|
||||
\section{Qualivative Probability}
|
||||
\subsubsection*{Vorbedingungen:}
|
||||
\begin{itemize}
|
||||
\item $H_1$ Person A war am Tatort
|
||||
\item $H_2$ Person A war \textbf{nicht} am Tatort
|
||||
\end{itemize}
|
||||
\subsubsection*{Moegliche Fahndungs-Ergebnisse:}
|
||||
\subsubsection*{M\"ogliche Fahndungs-Ergebnisse:}
|
||||
\begin{itemize}
|
||||
\item $E_1$ es gibt Beweise, dass Person A am Tatort war
|
||||
\item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war
|
||||
@ -42,7 +37,7 @@
|
||||
\textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.}
|
||||
\[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \]
|
||||
\[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\
|
||||
\textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\
|
||||
\textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\
|
||||
\begin{tabular}{|c|c|c|}
|
||||
Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline
|
||||
Ja & Ja & $Prob_1$ \\
|
||||
@ -50,64 +45,65 @@
|
||||
Nein & Ja & $Prob_3$ \\
|
||||
Nein & Nein & $Prob_4$ \\
|
||||
\end{tabular}
|
||||
\subsubsection*{Staerke/Aussagekraft von Beweisen}
|
||||
\subsubsection*{St\"arke/Aussagekraft von Beweisen}
|
||||
\[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\
|
||||
Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich
|
||||
$0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke
|
||||
$0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ w\"are die St\"arke
|
||||
des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr
|
||||
stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also
|
||||
stark. Mit der gleichen Logik gilt f\"ur das Nichtvorhandensein von Beweisen das Gegenteil, also
|
||||
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
|
||||
\section{Live-Analyse}
|
||||
\subsubsection{Fluechtige Daten}
|
||||
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet.
|
||||
\subsubsection*{Fl\"uchtige Daten}
|
||||
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im
|
||||
engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen
|
||||
werden als \textit{persistent} bezeichnet.
|
||||
\begin{itemize}
|
||||
\item Inhalte Cache, Hauptspeicher, CPU-Register
|
||||
\item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen
|
||||
\item laufende Prozesse, angemeldete Benutzer, offene Dateien
|
||||
\end{itemize}
|
||||
Spuren muessen:
|
||||
\textit{Spuren m\"ussen:}
|
||||
\begin{itemize}
|
||||
\item identifiziert
|
||||
\item gesichert
|
||||
\item falls eine Sicherung nicht moeglich ist dokumentiert werden
|
||||
\item falls eine Sicherung nicht m\"oglich ist, dokumentiert werden
|
||||
\end{itemize}
|
||||
\subsubsection{Gruende fuer Live-Analyse}
|
||||
\subsubsection*{Gr\"unde f\"ur Live-Analyse}
|
||||
\begin{itemize}
|
||||
\item Beschleunigung der Tot-Analyse
|
||||
\item Sicherung von sonst verlorenen Spuren
|
||||
\item Umgehung von Festplattenverschluesselung
|
||||
\item Umgehung von Festplattenverschl\"usselung
|
||||
\end{itemize}
|
||||
\subsubsection{Moeglichkeiten}
|
||||
\subsubsection*{M\"oglichkeiten}
|
||||
\begin{itemize}
|
||||
\item Nutzung der Hardware des zu untersuchenden Systems (Live-CD)
|
||||
\item Nutzung von Hardware \textbf{UND} Software
|
||||
\end{itemize}
|
||||
\subsubsection{Probleme}
|
||||
\subsubsection*{Probleme}
|
||||
\begin{itemize}
|
||||
\item System wird Veraendert
|
||||
\item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen)
|
||||
\item System wird ver\"andert
|
||||
\item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen)
|
||||
\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im
|
||||
schlimmesten Fall auch die Hardware)
|
||||
\item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden
|
||||
\item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden
|
||||
|
||||
\end{itemize}
|
||||
\subsubsection{Sniffing}
|
||||
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen.
|
||||
\subsubsection{Hauptspeichersicherung}
|
||||
\subsubsection*{Sniffing}
|
||||
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen.
|
||||
\subsection{Hauptspeichersicherung}
|
||||
\begin{itemize}
|
||||
\item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet)
|
||||
\item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit)
|
||||
\item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet)
|
||||
\item eingesetzte Werkzeuge sollen System nicht ver\"andern (Integrit\"at)
|
||||
\item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit)
|
||||
\item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at)
|
||||
\end{itemize}
|
||||
Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der
|
||||
Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit
|
||||
einem
|
||||
Zeitstempel gespeichert werden.\\\\
|
||||
\textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die
|
||||
Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und
|
||||
eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen
|
||||
mit einem Zeitstempel gespeichert werden.\\\\
|
||||
\textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die
|
||||
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
|
||||
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
|
||||
bezeicht korrekt ist.
|
||||
\subsubsection{Technische Moeglichkeiten}
|
||||
\subsubsection*{Technische M\"oglichkeiten}
|
||||
\noindent \includegraphics{pics/RAM-Sicherung.png}
|
||||
\begin{itemize}
|
||||
\item Crashdumps unter Windows
|
||||
@ -119,144 +115,264 @@
|
||||
\end{itemize}
|
||||
Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder
|
||||
einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden.
|
||||
\subsubsection{Hauptspeicherdumps auf MAC}
|
||||
\subsubsection*{Hauptspeicherdumps auf MAC}
|
||||
Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool}
|
||||
\begin{itemize}
|
||||
\item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \
|
||||
Boot-Flags und funktioniert nicht auf einigen Intel-iMacs
|
||||
\item auf aelteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und
|
||||
\item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und
|
||||
konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten,
|
||||
aber vielleicht trotzdem noch interessanten Speicherseiten)
|
||||
aber vielleicht trotzdem noch interessanten) Speicherseiten
|
||||
\end{itemize}
|
||||
\subsubsection{Dotplot}
|
||||
\subsubsection*{Dotplot}
|
||||
Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper
|
||||
oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der
|
||||
Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('aehnlichen')} Felder
|
||||
Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('\"ahnlichen')} Felder
|
||||
schwarz markiert.\\\\
|
||||
Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten
|
||||
weggefiltert) nicht sein/ist sehr
|
||||
unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind,
|
||||
muss das Tool in irgendeiner Weise dafuer verantwortlich sein - z.B. weil das \textit{dd}, die
|
||||
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\
|
||||
\textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen
|
||||
Tools die das System beeinflussen zu zeigen, Praedikat 'nicht lesenswert'}
|
||||
\subsubsection{Evalution von Live-Analyse Techniken}
|
||||
muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die
|
||||
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.
|
||||
\textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen
|
||||
Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.}
|
||||
\subsubsection*{Evalution von Live-Analyse Techniken}
|
||||
\begin{itemize}
|
||||
\item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen
|
||||
\item moegliche Unterschiede beider VMs ohne Interaktion ueberpruefen (vorhanden aber
|
||||
\item m\"ogliche Unterschiede beider VMs ohne Interaktion \"uberpr\"ufen (vorhanden aber
|
||||
gering)
|
||||
\item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der
|
||||
Untersuchung
|
||||
\item suprise, Unterschiedliche Tools, unterschiedlich viel Impact
|
||||
\end{itemize}
|
||||
\begin{itemize}
|
||||
\item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch
|
||||
Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM,
|
||||
nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den
|
||||
man sehen will).
|
||||
\item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch
|
||||
Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als
|
||||
eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden
|
||||
Aufruf den man sehen will).
|
||||
\end{itemize}
|
||||
\noindent \includegraphics{pics/Integritybymemsize.png}\\
|
||||
Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des
|
||||
Tools gleich bliebt, was natuerlich bedeutet, dass er relativ zum Gesamtspeicher einen
|
||||
kleineren Impact hat umso groesser der Speicher ist, also der Anteil des Unveraenderten
|
||||
Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen
|
||||
kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten
|
||||
Speichers steigt. \textit{(Bild aus Folien S.99)}
|
||||
\subsubsection{Messung von Atomaritaet}
|
||||
\subsubsection*{Messung von Atomarit\"at}
|
||||
\begin{itemize}
|
||||
\item ein Programm schreibt fuer gewisse Zeitscheiben bestimmte Werte in den Speicher,
|
||||
\item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher,
|
||||
umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang.
|
||||
\end{itemize}
|
||||
\section{Versteckte Daten in Dokumenten}
|
||||
\begin{itemize}
|
||||
\item Aenderungshistorie von (Word-)Dukumenten
|
||||
\item \"Anderungshistorie von (Word-)Dukumenten
|
||||
\item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..)
|
||||
\item "geschaerzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
|
||||
\item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
|
||||
Postscript raus)
|
||||
\item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version
|
||||
des urspruenglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
|
||||
des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
|
||||
Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte)
|
||||
\item Informationen ueber Kamera und verwendete Software
|
||||
\item Informationen \"uber Kamera und verwendete Software
|
||||
\item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile)
|
||||
\end{itemize}
|
||||
\section{Spuren in Multimediadaten}
|
||||
\subsection{Authentizitätsprüfung und Ursprungsgeraeterkennung bei Bildern}
|
||||
\subsubsection{Ansatzpunkte}
|
||||
\subsection{Authentizitätsprüfung und Ursprungsger\"aterkennung bei Bildern}
|
||||
\subsubsection*{Ansatzpunkte}
|
||||
\begin{itemize}
|
||||
\item Geometrie der Szene
|
||||
\item Licht/Schatten
|
||||
\item Brechfehler in der Linse
|
||||
\item spezifisches Rauschen eines Sensors
|
||||
\item Interpolationsart unvollstaendiger Sensordaten in einer Kamera (die Daten von
|
||||
Kamerasensoren werden oft interpoliert um hohere Aufloesungen zu faken)
|
||||
\item Doppelkompression, Resampling/Splicing (Zusammenfuegen zweier Bilder)
|
||||
\item Interpolationsart unvollst\"andiger Sensordaten in einer Kamera (die Daten von
|
||||
Kamerasensoren werden oft interpoliert um hohere Aufl\"osungen zu faken)
|
||||
\item Doppelkompression, Resampling/Splicing (Zusammenf\"ugen zweier Bilder)
|
||||
\end{itemize}
|
||||
\subsubsection{Copy-Move}
|
||||
\subsubsection*{Copy-Move}
|
||||
Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder)
|
||||
mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine
|
||||
Faelschung. (bei der Automatisierung kann man das durch Beschraenkung auf Intensitaeten
|
||||
F\"alschung. (bei der Automatisierung kann man das durch Beschr\"ankung auf Intensit\"aten
|
||||
oder Farben vereinfachen)\\
|
||||
Sonstige Erkennenung durch:\\
|
||||
\begin{itemize}
|
||||
\item DCT-Transformation
|
||||
\item Zernike-Momente
|
||||
\end{itemize}
|
||||
\subsubsection{Fertigungsunterschiede bei Sensoren}
|
||||
\subsubsection*{Fertigungsunterschiede bei Sensoren}
|
||||
\textbf{In der Theorie}
|
||||
\[ Pic = SensoreVariance( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \]
|
||||
\textit{Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das
|
||||
Auftreffen von Photonen entsteht.}\\
|
||||
Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response
|
||||
Non-Uniformit genannt wird. Sie ist charakteristisch fuer einen Sensore und stellt
|
||||
Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt
|
||||
einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns
|
||||
nicht interessieren ist \textit{Flat field correction} (Aufnahme in Ausgeleuchteten
|
||||
nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten
|
||||
Raum und dunklem Raum).
|
||||
\textbf{But How...}
|
||||
\begin{itemize}
|
||||
\item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist hoeher als
|
||||
die Frequenz des Bildinhaltes
|
||||
\item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als
|
||||
die Freq\"unz des Bildinhaltes
|
||||
\item alle getiefpassten Bilder Mitteln
|
||||
\item ????
|
||||
\item Profit.
|
||||
\end{itemize}
|
||||
Bildrotation- oder Skalierung fuehrt zu anderem Fingerabdruck.
|
||||
Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck.
|
||||
('Desynchronisationsangriff')
|
||||
\subsubsection{Resampling Artefakte}
|
||||
Wir gehen davon aus, dass ein Bild welches in ein anderes eingefuehgt wird vorher oft
|
||||
\subsubsection*{Resampling Artefakte}
|
||||
Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft
|
||||
gedreht oder skaliert werden muss.
|
||||
\begin{itemize}
|
||||
\item Skalierung oder Rotation ist effektiv eine Interpolation
|
||||
\item Interpolation fuehrt zu einer Linearen Abhaengigkeit in Pixelintensitaeten
|
||||
\item Berechnung einer Wahrscheinlichkeit fuer jeden Pixel, dass er aus den
|
||||
\item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten
|
||||
\item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den
|
||||
Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf
|
||||
die relevante Region
|
||||
\item JPEG-Kompression kann \textit{p-map} dominieren
|
||||
\item Spurenverschleierung duch Pixel-Distortion moeglich (z.B. Pixel in
|
||||
Einzelfarben aufteilen und nochmal drueber Interpolieren)
|
||||
\item Spurenverschleierung duch Pixel-Distortion m\"oglich (z.B. Pixel in
|
||||
Einzelfarben aufteilen und nochmal dr\"uber Interpolieren)
|
||||
\end{itemize}
|
||||
\subsubsection{Lichteinfall}
|
||||
Kann man voellig vergessen es aus den Folien zu verstehen, das Paper lohnt hier:
|
||||
\subsubsection*{Lichteinfall}
|
||||
Kann man v\"ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier:
|
||||
\textit{'Exposing Digital Forgeries in Complex Lighting Environments'}. In a Nutshell:
|
||||
Sie approximieren Lichquellen und schauen dann ob der Licheinfall auf allen
|
||||
Oberflaechen konsistent ist.
|
||||
\subsection{Watermarking}
|
||||
\subsection{Fingerprinting}
|
||||
Sie approximieren Lichq\"ullen und scha\"un dann ob der Licheinfall auf allen
|
||||
Oberfl\"achen konsistent ist.
|
||||
\section{Jura-Teil}
|
||||
\subsection{Ermaechtigungsgrundlagen fuer Onlinedurchsuchung}
|
||||
\subsection{Erm\"achtigungsgrundlagen f\"ur Onlinedurchsuchung}
|
||||
\begin{itemize}
|
||||
\item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass
|
||||
\item Gefahrenabwehr $->$ Praevention, konkrete Gefahr als Anlass
|
||||
\item BKA-Gesetz $->$ Bundesrecht
|
||||
\item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass
|
||||
\item \"ublicherweise Landesrecht, au\ss er BKA-Gesetz (Bundesrecht)
|
||||
\end{itemize}
|
||||
%TODO paragraphen
|
||||
%TODO jura fall
|
||||
%TODO nachrichtendienst
|
||||
|
||||
%TODO informationen im internetz/netzwerk
|
||||
%TODO Information loss through abstraction
|
||||
|
||||
%TODO carriers scheiss
|
||||
\section{Freilings Weisheiten der Woche}
|
||||
\begin{itemize}
|
||||
\item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer
|
||||
sinnvolle Priorisierungskriterien.
|
||||
\end{itemize}
|
||||
\subsection{Paragraphen}
|
||||
\subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)}
|
||||
\begin{itemize}
|
||||
\item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und
|
||||
aufgezeichnet werden, wenn:
|
||||
\begin{itemize}
|
||||
\item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder
|
||||
Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in
|
||||
denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat
|
||||
vorbereitet hat,
|
||||
\item die Tat auch im Einzelfall schwer wiegt und
|
||||
\item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des
|
||||
Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
\subsubsection*{\S 100b Verfahren bei der Telekommunikationsüberwachung}
|
||||
Das Vorgehen bei einer \"uberwachung, in a Nutshell, immer erstmal auf drei Monate
|
||||
befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\"atigen.
|
||||
Telekomunikationsunternehmen m\"ussen kooperieren.
|
||||
\subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung}
|
||||
\url{https://dejure.org/gesetze/StPO/102.html} \\
|
||||
\begin{itemize}
|
||||
\item \S 102 Durchsuchung bei Beschuldigten
|
||||
\item \S 103 Durchsuchung bei anderen Personen
|
||||
\item \S 104 Durchsuchung von R\"aumen zur Nachtzeit
|
||||
\item \S 105 Verfahren bei der Durchsuchung
|
||||
\item \S 106 Hinzuziehung des Inhabers eines Durchsuchungsobjekts
|
||||
\item \S 107 Durchsuchungsbescheinigung und Beschlagnahmeverzeichnis
|
||||
\item \S 108 Beschlagnahme anderer Gegenst\"ande
|
||||
\item \S 109 Kenntlichmachung beschlagnahmter Gegenst\"ande
|
||||
\item \S 110 Durchsicht von Papieren und elektronischen Speichermedien
|
||||
\end{itemize}
|
||||
Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust
|
||||
selbiger zu bef\"urchten ist.
|
||||
\subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff}
|
||||
Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie
|
||||
die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume
|
||||
abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden.
|
||||
\subsection{Nachrichtendienste}
|
||||
\begin{itemize}
|
||||
\item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln:
|
||||
\begin{itemize}
|
||||
\item Sicherheitspolitische Dinge im Ausland
|
||||
\item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern
|
||||
\item Schutz und Abschirmung von Mitarbeitern
|
||||
\end{itemize}
|
||||
\item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die
|
||||
Zusammenarbeit der L\"ander mit dem BND aus)
|
||||
\item \S 3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des
|
||||
Fernmeldegeheimnisses)}
|
||||
\begin{itemize}
|
||||
\item \S 3 listet Vorraussetzungen f\"ur \"Uberwachung $->$ \"ahnliche
|
||||
Vorraussetzung wie f\"ur Polizei \textit{(z.B. Angriffe auf Bundesrepublik,
|
||||
V\"olkerrechtsverbrechen, Terrorismus)}
|
||||
\item \S 5 regelt internationale Verbinndungen
|
||||
\item \S 10 regelt wie die \"Uberwachung angeordnet wird
|
||||
\end{itemize}
|
||||
|
||||
\end{itemize}
|
||||
\subsubsection*{Sonstiges}
|
||||
\begin{itemize}
|
||||
\item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten
|
||||
\item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen
|
||||
(unbefugten) Angriffe erm\"oglicht werden
|
||||
\item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in
|
||||
die Grundrechte des Betroffenen eingegriffen wird
|
||||
\end{itemize}
|
||||
\subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat}
|
||||
\begin{itemize}
|
||||
\item Herstellerkooperation (Backdoor etc.)
|
||||
\item (Hardware) Keylogger
|
||||
\item Cold-Boot
|
||||
\item Live-Durchsuchung (z.B. Staatstrojaner)
|
||||
\item Seitenkan\"ale/Metadaten
|
||||
\item Schw\"achen in (Kryptographie-)Protokollen
|
||||
\end{itemize}
|
||||
\section{Ermittlungen im Internetz}
|
||||
\subsection{Lokalisierungstechniken}
|
||||
\subsubsection*{Teilprobleme}
|
||||
\begin{itemize}
|
||||
\item User Geolocation (Position des Nutzers)
|
||||
\item IP Geolocation (Position einer IP-Adresse)
|
||||
\item IP Adress Extraction (welche IP hat der Ursprungsrechner)
|
||||
\end{itemize}
|
||||
\subsubsection*{IP Geolocation}
|
||||
Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority}
|
||||
an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, es gibt diese
|
||||
Daten sind \"offentlich zug\"anglich.
|
||||
\subsubsection*{Domain Name System}
|
||||
Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum
|
||||
Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf
|
||||
die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}.
|
||||
\subsubsection*{Passive DNS-Replikation}
|
||||
Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob
|
||||
mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \"uber die Zeit
|
||||
aufgezeichneten Daten.
|
||||
\subsubsection*{IP-Verschleierungstechniken}
|
||||
\begin{itemize}
|
||||
\item VPN/Proxy bzw. Ketten selbiger (z.B. Tor)
|
||||
\item Remote Session (z.B. xpra in den CIP)
|
||||
\item Long Distance Dialup (Technologie "Gap" die R\"uckverfolgung erschwert)
|
||||
\end{itemize}
|
||||
\subsubsection*{Counter the Countermeasures}
|
||||
\begin{itemize}
|
||||
\item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur
|
||||
Websiten durch ein \textit{HTTP-REFRESH} m\"oglich)
|
||||
\item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln
|
||||
\end{itemize}
|
||||
\subsection{Cloud \& Websitesicherung}
|
||||
\begin{itemize}
|
||||
\item Internet Archive
|
||||
\item Cache beim Client
|
||||
\item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist
|
||||
\item Snapshot einer VM auf einem Server
|
||||
\item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem
|
||||
und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server
|
||||
mit mehreren VMs mit Daten Unbeteiligter)
|
||||
\item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups)
|
||||
\end{itemize}
|
||||
\section{Date-Loss though Abstraction}
|
||||
Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion
|
||||
bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level
|
||||
Informationen verloren gehen (k\"onnen).
|
||||
\section{Carrier Dissertation Theorie}
|
||||
\begin{itemize}
|
||||
\item Observation (Was hat der Ermittler gesehen)
|
||||
\item Capabilities (Welche Zust\"ande sind m\"oglich)
|
||||
\item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf
|
||||
diesem System existiert)
|
||||
\item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion)
|
||||
\item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion)
|
||||
\end{itemize}
|
||||
\vspace{1cm}
|
||||
\subsection*{Source}
|
||||
Dieses Dokument wird auf{ } \url{https://gitlab.cs.fau.de/ik15ydit/latexandmore} maintaint.
|
||||
\end{document}
|
||||
|
Loading…
Reference in New Issue
Block a user