diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index f38c0c7..ea5654f 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -2,39 +2,34 @@ \usepackage{amsmath} \usepackage{nccmath} \usepackage{graphicx} + \usepackage{hyperref} \DeclareMathSizes{10}{10}{10}{10} \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} \setlength{\parindent}{0pt} - \title{Konfluenz} + \title{Konfl\"unz} \date{ } \begin{document} - \subsection*{Anmerkungen:} - Diese Zusammenfassung fokusiert sich stark auf die Dinge die ich fuer wichtige gehalten habe - und enthaelt teilweise Information die nicht in der Vorlesung, sondern nur in den in der - Vorlesung erwaehnten Papern zu finden sind. Ich bin zu faul jedes mal wenn ich was aus einem - Paper zitiere das Paper hinzuschreiben, nehmt einfach mal an, dass nichts von dem was hier - steht auf meinem Mist gewachsen ist. - \section{Begriffserklaerungen} + \section{Begriffserkl\"arungen} \subsubsection*{Kriminalistik} - Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/ + Verhinderung, Aufdeckung und Aufkl\"arung von Kriminalit\"at (Naturwissenschaften/ Ingenieurwesen) \begin{itemize} - \item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?) + \item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?) \item Kriminaltechnik (Einbringung von Sachbeweisen) - \item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B. + \item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B. Fahndung, Vernehmung, etc.) - \item Organisation der Verbrechensbekaempfung - \item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung) + \item Organisation der Verbrechensbek\"ampfung + \item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung) \end{itemize} \subsubsection*{Kriminologie} - Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie) + Erforschung von Ursachen und Erscheinungsformen von Kriminalit\"at (Sozialwissenschaft/Psychologie) \section{Qualivative Probability} \subsubsection*{Vorbedingungen:} \begin{itemize} \item $H_1$ Person A war am Tatort \item $H_2$ Person A war \textbf{nicht} am Tatort \end{itemize} - \subsubsection*{Moegliche Fahndungs-Ergebnisse:} + \subsubsection*{M\"ogliche Fahndungs-Ergebnisse:} \begin{itemize} \item $E_1$ es gibt Beweise, dass Person A am Tatort war \item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war @@ -42,7 +37,7 @@ \textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.} \[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \] \[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\ - \textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\ + \textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\ \begin{tabular}{|c|c|c|} Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline Ja & Ja & $Prob_1$ \\ @@ -50,64 +45,65 @@ Nein & Ja & $Prob_3$ \\ Nein & Nein & $Prob_4$ \\ \end{tabular} - \subsubsection*{Staerke/Aussagekraft von Beweisen} + \subsubsection*{St\"arke/Aussagekraft von Beweisen} \[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\ Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich - $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke + $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ w\"are die St\"arke des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr - stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also + stark. Mit der gleichen Logik gilt f\"ur das Nichtvorhandensein von Beweisen das Gegenteil, also das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. \section{Live-Analyse} - \subsubsection{Fluechtige Daten} - Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. + \subsubsection*{Fl\"uchtige Daten} + Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im + engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen + werden als \textit{persistent} bezeichnet. \begin{itemize} \item Inhalte Cache, Hauptspeicher, CPU-Register \item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen \item laufende Prozesse, angemeldete Benutzer, offene Dateien \end{itemize} - Spuren muessen: + \textit{Spuren m\"ussen:} \begin{itemize} \item identifiziert \item gesichert - \item falls eine Sicherung nicht moeglich ist dokumentiert werden + \item falls eine Sicherung nicht m\"oglich ist, dokumentiert werden \end{itemize} - \subsubsection{Gruende fuer Live-Analyse} + \subsubsection*{Gr\"unde f\"ur Live-Analyse} \begin{itemize} \item Beschleunigung der Tot-Analyse \item Sicherung von sonst verlorenen Spuren - \item Umgehung von Festplattenverschluesselung + \item Umgehung von Festplattenverschl\"usselung \end{itemize} - \subsubsection{Moeglichkeiten} + \subsubsection*{M\"oglichkeiten} \begin{itemize} \item Nutzung der Hardware des zu untersuchenden Systems (Live-CD) \item Nutzung von Hardware \textbf{UND} Software \end{itemize} - \subsubsection{Probleme} + \subsubsection*{Probleme} \begin{itemize} - \item System wird Veraendert - \item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen) + \item System wird ver\"andert + \item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen) \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im schlimmesten Fall auch die Hardware) - \item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden + \item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden \end{itemize} - \subsubsection{Sniffing} - Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen. - \subsubsection{Hauptspeichersicherung} + \subsubsection*{Sniffing} + Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen. + \subsection{Hauptspeichersicherung} \begin{itemize} - \item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet) - \item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit) - \item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet) + \item eingesetzte Werkzeuge sollen System nicht ver\"andern (Integrit\"at) + \item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit) + \item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at) \end{itemize} - Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der - Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit - einem - Zeitstempel gespeichert werden.\\\\ - \textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die + Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und + eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen + mit einem Zeitstempel gespeichert werden.\\\\ + \textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} bezeicht korrekt ist. - \subsubsection{Technische Moeglichkeiten} + \subsubsection*{Technische M\"oglichkeiten} \noindent \includegraphics{pics/RAM-Sicherung.png} \begin{itemize} \item Crashdumps unter Windows @@ -119,144 +115,264 @@ \end{itemize} Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden. - \subsubsection{Hauptspeicherdumps auf MAC} + \subsubsection*{Hauptspeicherdumps auf MAC} Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} \begin{itemize} \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \ Boot-Flags und funktioniert nicht auf einigen Intel-iMacs - \item auf aelteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und + \item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, - aber vielleicht trotzdem noch interessanten Speicherseiten) + aber vielleicht trotzdem noch interessanten) Speicherseiten \end{itemize} - \subsubsection{Dotplot} + \subsubsection*{Dotplot} Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der - Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('aehnlichen')} Felder + Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('\"ahnlichen')} Felder schwarz markiert.\\\\ Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten weggefiltert) nicht sein/ist sehr unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, - muss das Tool in irgendeiner Weise dafuer verantwortlich sein - z.B. weil das \textit{dd}, die - Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\ - \textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen - Tools die das System beeinflussen zu zeigen, Praedikat 'nicht lesenswert'} - \subsubsection{Evalution von Live-Analyse Techniken} + muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die + Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest. + \textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen + Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.} + \subsubsection*{Evalution von Live-Analyse Techniken} \begin{itemize} \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen - \item moegliche Unterschiede beider VMs ohne Interaktion ueberpruefen (vorhanden aber + \item m\"ogliche Unterschiede beider VMs ohne Interaktion \"uberpr\"ufen (vorhanden aber gering) \item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der Untersuchung \item suprise, Unterschiedliche Tools, unterschiedlich viel Impact \end{itemize} \begin{itemize} - \item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch - Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM, - nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den - man sehen will). + \item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch + Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als + eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden + Aufruf den man sehen will). \end{itemize} \noindent \includegraphics{pics/Integritybymemsize.png}\\ Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des - Tools gleich bliebt, was natuerlich bedeutet, dass er relativ zum Gesamtspeicher einen - kleineren Impact hat umso groesser der Speicher ist, also der Anteil des Unveraenderten + Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen + kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten Speichers steigt. \textit{(Bild aus Folien S.99)} - \subsubsection{Messung von Atomaritaet} + \subsubsection*{Messung von Atomarit\"at} \begin{itemize} - \item ein Programm schreibt fuer gewisse Zeitscheiben bestimmte Werte in den Speicher, + \item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher, umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang. \end{itemize} \section{Versteckte Daten in Dokumenten} \begin{itemize} - \item Aenderungshistorie von (Word-)Dukumenten + \item \"Anderungshistorie von (Word-)Dukumenten \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) - \item "geschaerzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem + \item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem Postscript raus) \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version - des urspruenglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das + des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte) - \item Informationen ueber Kamera und verwendete Software + \item Informationen \"uber Kamera und verwendete Software \item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile) \end{itemize} \section{Spuren in Multimediadaten} - \subsection{Authentizitätsprüfung und Ursprungsgeraeterkennung bei Bildern} - \subsubsection{Ansatzpunkte} + \subsection{Authentizitätsprüfung und Ursprungsger\"aterkennung bei Bildern} + \subsubsection*{Ansatzpunkte} \begin{itemize} \item Geometrie der Szene \item Licht/Schatten \item Brechfehler in der Linse \item spezifisches Rauschen eines Sensors - \item Interpolationsart unvollstaendiger Sensordaten in einer Kamera (die Daten von - Kamerasensoren werden oft interpoliert um hohere Aufloesungen zu faken) - \item Doppelkompression, Resampling/Splicing (Zusammenfuegen zweier Bilder) + \item Interpolationsart unvollst\"andiger Sensordaten in einer Kamera (die Daten von + Kamerasensoren werden oft interpoliert um hohere Aufl\"osungen zu faken) + \item Doppelkompression, Resampling/Splicing (Zusammenf\"ugen zweier Bilder) \end{itemize} - \subsubsection{Copy-Move} + \subsubsection*{Copy-Move} Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder) mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine - Faelschung. (bei der Automatisierung kann man das durch Beschraenkung auf Intensitaeten + F\"alschung. (bei der Automatisierung kann man das durch Beschr\"ankung auf Intensit\"aten oder Farben vereinfachen)\\ Sonstige Erkennenung durch:\\ \begin{itemize} \item DCT-Transformation \item Zernike-Momente \end{itemize} - \subsubsection{Fertigungsunterschiede bei Sensoren} + \subsubsection*{Fertigungsunterschiede bei Sensoren} \textbf{In der Theorie} \[ Pic = SensoreVariance( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \] \textit{Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das Auftreffen von Photonen entsteht.}\\ Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response - Non-Uniformit genannt wird. Sie ist charakteristisch fuer einen Sensore und stellt + Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns - nicht interessieren ist \textit{Flat field correction} (Aufnahme in Ausgeleuchteten + nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten Raum und dunklem Raum). \textbf{But How...} \begin{itemize} - \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist hoeher als - die Frequenz des Bildinhaltes + \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als + die Freq\"unz des Bildinhaltes \item alle getiefpassten Bilder Mitteln \item ???? \item Profit. \end{itemize} - Bildrotation- oder Skalierung fuehrt zu anderem Fingerabdruck. + Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck. ('Desynchronisationsangriff') - \subsubsection{Resampling Artefakte} - Wir gehen davon aus, dass ein Bild welches in ein anderes eingefuehgt wird vorher oft + \subsubsection*{Resampling Artefakte} + Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft gedreht oder skaliert werden muss. \begin{itemize} \item Skalierung oder Rotation ist effektiv eine Interpolation - \item Interpolation fuehrt zu einer Linearen Abhaengigkeit in Pixelintensitaeten - \item Berechnung einer Wahrscheinlichkeit fuer jeden Pixel, dass er aus den + \item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten + \item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf die relevante Region \item JPEG-Kompression kann \textit{p-map} dominieren - \item Spurenverschleierung duch Pixel-Distortion moeglich (z.B. Pixel in - Einzelfarben aufteilen und nochmal drueber Interpolieren) + \item Spurenverschleierung duch Pixel-Distortion m\"oglich (z.B. Pixel in + Einzelfarben aufteilen und nochmal dr\"uber Interpolieren) \end{itemize} - \subsubsection{Lichteinfall} - Kann man voellig vergessen es aus den Folien zu verstehen, das Paper lohnt hier: + \subsubsection*{Lichteinfall} + Kann man v\"ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier: \textit{'Exposing Digital Forgeries in Complex Lighting Environments'}. In a Nutshell: - Sie approximieren Lichquellen und schauen dann ob der Licheinfall auf allen - Oberflaechen konsistent ist. - \subsection{Watermarking} - \subsection{Fingerprinting} + Sie approximieren Lichq\"ullen und scha\"un dann ob der Licheinfall auf allen + Oberfl\"achen konsistent ist. \section{Jura-Teil} - \subsection{Ermaechtigungsgrundlagen fuer Onlinedurchsuchung} + \subsection{Erm\"achtigungsgrundlagen f\"ur Onlinedurchsuchung} \begin{itemize} \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass - \item Gefahrenabwehr $->$ Praevention, konkrete Gefahr als Anlass - \item BKA-Gesetz $->$ Bundesrecht + \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass + \item \"ublicherweise Landesrecht, au\ss er BKA-Gesetz (Bundesrecht) \end{itemize} - %TODO paragraphen - %TODO jura fall - %TODO nachrichtendienst - - %TODO informationen im internetz/netzwerk - %TODO Information loss through abstraction - - %TODO carriers scheiss - \section{Freilings Weisheiten der Woche} - \begin{itemize} - \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer - sinnvolle Priorisierungskriterien. - \end{itemize} + \subsection{Paragraphen} + \subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} + \begin{itemize} + \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und + aufgezeichnet werden, wenn: + \begin{itemize} + \item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder + Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in + denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat + vorbereitet hat, + \item die Tat auch im Einzelfall schwer wiegt und + \item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des + Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. + \end{itemize} + \end{itemize} + \subsubsection*{\S 100b Verfahren bei der Telekommunikationsüberwachung} + Das Vorgehen bei einer \"uberwachung, in a Nutshell, immer erstmal auf drei Monate + befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\"atigen. + Telekomunikationsunternehmen m\"ussen kooperieren. + \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} + \url{https://dejure.org/gesetze/StPO/102.html} \\ + \begin{itemize} + \item \S 102 Durchsuchung bei Beschuldigten + \item \S 103 Durchsuchung bei anderen Personen + \item \S 104 Durchsuchung von R\"aumen zur Nachtzeit + \item \S 105 Verfahren bei der Durchsuchung + \item \S 106 Hinzuziehung des Inhabers eines Durchsuchungsobjekts + \item \S 107 Durchsuchungsbescheinigung und Beschlagnahmeverzeichnis + \item \S 108 Beschlagnahme anderer Gegenst\"ande + \item \S 109 Kenntlichmachung beschlagnahmter Gegenst\"ande + \item \S 110 Durchsicht von Papieren und elektronischen Speichermedien + \end{itemize} + Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust + selbiger zu bef\"urchten ist. + \subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff} + Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie + die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume + abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden. + \subsection{Nachrichtendienste} + \begin{itemize} + \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: + \begin{itemize} + \item Sicherheitspolitische Dinge im Ausland + \item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern + \item Schutz und Abschirmung von Mitarbeitern + \end{itemize} + \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die + Zusammenarbeit der L\"ander mit dem BND aus) + \item \S 3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des + Fernmeldegeheimnisses)} + \begin{itemize} + \item \S 3 listet Vorraussetzungen f\"ur \"Uberwachung $->$ \"ahnliche + Vorraussetzung wie f\"ur Polizei \textit{(z.B. Angriffe auf Bundesrepublik, + V\"olkerrechtsverbrechen, Terrorismus)} + \item \S 5 regelt internationale Verbinndungen + \item \S 10 regelt wie die \"Uberwachung angeordnet wird + \end{itemize} + + \end{itemize} + \subsubsection*{Sonstiges} + \begin{itemize} + \item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten + \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen + (unbefugten) Angriffe erm\"oglicht werden + \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in + die Grundrechte des Betroffenen eingegriffen wird + \end{itemize} + \subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat} + \begin{itemize} + \item Herstellerkooperation (Backdoor etc.) + \item (Hardware) Keylogger + \item Cold-Boot + \item Live-Durchsuchung (z.B. Staatstrojaner) + \item Seitenkan\"ale/Metadaten + \item Schw\"achen in (Kryptographie-)Protokollen + \end{itemize} + \section{Ermittlungen im Internetz} + \subsection{Lokalisierungstechniken} + \subsubsection*{Teilprobleme} + \begin{itemize} + \item User Geolocation (Position des Nutzers) + \item IP Geolocation (Position einer IP-Adresse) + \item IP Adress Extraction (welche IP hat der Ursprungsrechner) + \end{itemize} + \subsubsection*{IP Geolocation} + Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} + an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, es gibt diese + Daten sind \"offentlich zug\"anglich. + \subsubsection*{Domain Name System} + Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum + Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf + die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. + \subsubsection*{Passive DNS-Replikation} + Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob + mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \"uber die Zeit + aufgezeichneten Daten. + \subsubsection*{IP-Verschleierungstechniken} + \begin{itemize} + \item VPN/Proxy bzw. Ketten selbiger (z.B. Tor) + \item Remote Session (z.B. xpra in den CIP) + \item Long Distance Dialup (Technologie "Gap" die R\"uckverfolgung erschwert) + \end{itemize} + \subsubsection*{Counter the Countermeasures} + \begin{itemize} + \item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur + Websiten durch ein \textit{HTTP-REFRESH} m\"oglich) + \item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln + \end{itemize} + \subsection{Cloud \& Websitesicherung} + \begin{itemize} + \item Internet Archive + \item Cache beim Client + \item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist + \item Snapshot einer VM auf einem Server + \item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem + und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server + mit mehreren VMs mit Daten Unbeteiligter) + \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) + \end{itemize} + \section{Date-Loss though Abstraction} + Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion + bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level + Informationen verloren gehen (k\"onnen). + \section{Carrier Dissertation Theorie} + \begin{itemize} + \item Observation (Was hat der Ermittler gesehen) + \item Capabilities (Welche Zust\"ande sind m\"oglich) + \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf + diesem System existiert) + \item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion) + \item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion) + \end{itemize} + \vspace{1cm} + \subsection*{Source} + Dieses Dokument wird auf{ } \url{https://gitlab.cs.fau.de/ik15ydit/latexandmore} maintaint. \end{document}