From 58f809dbe4233ebb51e98fc569c418dc3a69444d Mon Sep 17 00:00:00 2001 From: Sheppy Date: Wed, 5 Apr 2017 19:53:32 +0200 Subject: [PATCH 1/5] missing carrier and abstractioninformationloss --- FFI/ForensInf2_Zusammenfassung.tex | 112 ++++++++++++++++++++++++++++- 1 file changed, 109 insertions(+), 3 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index f38c0c7..5e4e26d 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -2,6 +2,7 @@ \usepackage{amsmath} \usepackage{nccmath} \usepackage{graphicx} + \usepackage{hyperref} \DeclareMathSizes{10}{10}{10}{10} \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} \setlength{\parindent}{0pt} @@ -246,10 +247,111 @@ \item Gefahrenabwehr $->$ Praevention, konkrete Gefahr als Anlass \item BKA-Gesetz $->$ Bundesrecht \end{itemize} - %TODO paragraphen - %TODO jura fall - %TODO nachrichtendienst + \subsection{Paragraphen} + \subsubsection{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} + \begin{itemize} + \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und + aufgezeichnet werden, wenn: + \begin{itemize} + \item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder + Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in Fällen, in + denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat + vorbereitet hat, + \item die Tat auch im Einzelfall schwer wiegt und + \item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des + Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. + \end{itemize} + \end{itemize} + \subsubsection{\S 100b Verfahren bei der Telekommunikationsüberwachung} + Das Vorgehen bei einer Ueberwachung, in a Nutshell, immer erstmal auf drei Monate + befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss bestaetigen. + Telekomunikationsunternehmen muessen kooperieren. + \subsubsection{\S \S 102-110 Ebenfalls Strafprozessordnung} + \url{https://dejure.org/gesetze/StPO/102.html} \\ + Interessant hier: Daten duerfen gesichert/durchgesehen werden, wenn sonst ein Verlust + selbiger zu befuerchten ist. + \subsubsection{\S \S 100c, 100d StPO - Grosser Lauschangriff} + Betrifft die Ueberwachung eines gesamten Wohnraum und ist an aehnliche Vorraussetzungen wie + die Telekommunikationsueberwachung gebunden. Es gelten strenge Vorschrifte, welche Raeume + abgehoert werden duerfen und private Informationen muessen geloescht werden. + \subsection{Nachrichtendienste} + \begin{itemize} + \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: + \textbf{Sicherheitspolitische Dinge im ausland, Ueberpruefung von (zukuenftigen) + Mitarbeitern, Counter-Intelligence} + \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt primaer etwas ueber die + Zusammenarbeit der Laender mit dem BND aus) + \item §3,5,10 G10 \textit{(Regelt allgemein die Beschraenkung des Fernmeldegeheimnisses)} + \begin{itemize} + \item \S 3 listet Vorraussetzungen fuer Uebrwachung $->$ aehnliche Vorraussetzung + wie fuer Polizei Angriffe auf Bundesrepublik, Voelkerrechtsverbrechen, Terrorismus + \item \S 5 regelt internationale Verbinndungen + \item \S 10 regelt wie die Ueberwachung angeordnet wird + \end{itemize} + + \end{itemize} + \subsubsection{Sonstiges} + \begin{itemize} + \item minimale Aenderungen am angegriffenen System muss gewaehrleistet werden + \item es muss gewaehrleistet werden, dass durch den Eingriff keine anderen Angriffe + (unbefugten) ermoeglicht werden + \item ganz generell muss immer sichergestellt werden, dass so wenig wie moeglich in die + Grundrechte des Betroffenen eingegriffen wird + \end{itemize} + \subsection{Technische Moeglichkeiten - Hihihi wir sind der Staat} + \begin{itemize} + \item Herstellerkooperation (Backdoor etc.) + \item (Hardware) Keylogger + \item Cold-Boot + \item Live-Durchsuchung (z.B. Staatstrojaner) + \item Seitenkanaele/Metadaten + \item schwaechen in (Kryptographie-)Protokollen + \end{itemize} + \section{Ermittlungen im Internetz} + \subsection{Lokalisierungstechniken} + \subsubsection{Teilprobleme} + \begin{itemize} + \item User Geolocation (Position des Nutzers) + \item IP Geolocation (Position einer IP-Adresse) + \item IP Adress Extraction (welche IP hat der Ursprungsrechner) + \end{itemize} + \subsubsection{IP Geolocation} + Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} + an Regionale Verteiler verteilt usw. + \subsubsection{Domain Name System} + Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum + beispiel kann man so auch zusammengehoerige Seiten erkennen wenn mehre Domain-Names auf + die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. + \subsubsection{Passive DNS-Replikation} + Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuschauen ob + mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit ueber die Zeit + aufgezeichneten Daten. + \subsubsection{IP-Verschleierungstechniken} + \begin{itemize} + \item VPN/Proxy bzw. Ketten selbiger (z.B. Tor) + \item Remote Session (z.B. xpra in den CIP) + \item Long Distance Dialup (Technologie "Gap" die Rueckverfolgung erschwert) + \end{itemize} + \subsubsection{Counter the Countermeasures} + \begin{itemize} + \item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (fuer Websiten + durch ein HTTP refresh moeglich) + \item JavaScript Exploit $->$ Client seine IP-Adresse mitschicken lassen + \end{itemize} + \subsection{Cloud & Websitesicherung} + \begin{itemize} + \item Internet Archive + \item Chache beim Client + \item Zugriff als Benutzer wenn Server ausser Reichweite + \item VM auf Server Snapshotten + \item ganzen Server Snapshotten ist kacke, doppelte Fragmentierung von VM-Filesystem + und Hypervisor Filesystem, ausserdem wahrscheinlich rechtlich fraglich, weil viele + Daten von unbeteiligten + \item VM-Carving (Wiederherstellung von geloeschten VM, vielleicht aus Backups) + \end{itemize} + \section{Date-Loss though Abstraction} +n %TODO nachrichtendienst %TODO informationen im internetz/netzwerk %TODO Information loss through abstraction @@ -258,5 +360,9 @@ \begin{itemize} \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer sinnvolle Priorisierungskriterien. + \item Der User ist dumm. + \item \textit{nachdem er gefragt hat fuer welche Seite er ein whois demonstrieren + soll}" '.fail'? Was ist das denn schon wieder fuer eine Toplevel-Domain. Ah Paulus, + Schilling, kennt man ja. \end{itemize} \end{document} From 69d4e65a3dded733cb2028884c92ce2070fb2aa5 Mon Sep 17 00:00:00 2001 From: Sheppy Date: Wed, 5 Apr 2017 21:37:09 +0200 Subject: [PATCH 2/5] finalized --- FFI/ForensInf2_Zusammenfassung.tex | 19 ++++++++++++------- 1 file changed, 12 insertions(+), 7 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index 5e4e26d..5682a47 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -1,4 +1,4 @@ - \documentclass{article} +s \documentclass{article} \usepackage{amsmath} \usepackage{nccmath} \usepackage{graphicx} @@ -350,12 +350,17 @@ \item VM-Carving (Wiederherstellung von geloeschten VM, vielleicht aus Backups) \end{itemize} \section{Date-Loss though Abstraction} - -n %TODO nachrichtendienst - %TODO informationen im internetz/netzwerk - %TODO Information loss through abstraction - - %TODO carriers scheiss + Ehrlich gesagt weiss ich nicht was ich hier genau mitnehmen soll, mehr Abstraktion = mehr + Abstrakte Informationen waehrend potentiell Low-Level Informationen verloren gehen. + \section{Carrier Dissertation Theorie} + \begin{itemize} + \item Observation (Was hat der Ermittler gesehen) + \item Capabilities (Welche Zustaende sind moeglich) + \item Sample (Welche Zustaende existieren auf aehnlichen Systemen/frueher auf diesem + System) + \item Reconstruction (Rueckuebersetzung einer Zustandsuebergangsfunktion) + \item Construction (Ausfuehrung einer Zustandsuebergangsfunktion) + \end{itemize} \section{Freilings Weisheiten der Woche} \begin{itemize} \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer From 2755399dddc43be4ffe3569e3978acaba3dc9341 Mon Sep 17 00:00:00 2001 From: Sheppy Date: Wed, 5 Apr 2017 22:07:02 +0200 Subject: [PATCH 3/5] tentantive final FFI --- FFI/ForensInf2_Zusammenfassung.tex | 255 ++++++++++++++--------------- 1 file changed, 119 insertions(+), 136 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index 5682a47..c8173fc 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -1,4 +1,4 @@ -s \documentclass{article} + \documentclass{article} \usepackage{amsmath} \usepackage{nccmath} \usepackage{graphicx} @@ -6,36 +6,30 @@ s \documentclass{article} \DeclareMathSizes{10}{10}{10}{10} \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} \setlength{\parindent}{0pt} - \title{Konfluenz} + \title{Konfl\"unz} \date{ } \begin{document} - \subsection*{Anmerkungen:} - Diese Zusammenfassung fokusiert sich stark auf die Dinge die ich fuer wichtige gehalten habe - und enthaelt teilweise Information die nicht in der Vorlesung, sondern nur in den in der - Vorlesung erwaehnten Papern zu finden sind. Ich bin zu faul jedes mal wenn ich was aus einem - Paper zitiere das Paper hinzuschreiben, nehmt einfach mal an, dass nichts von dem was hier - steht auf meinem Mist gewachsen ist. - \section{Begriffserklaerungen} + \section{Begriffserkl\"arungen} \subsubsection*{Kriminalistik} - Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/ + Verhinderung, Aufdeckung und Aufkl\"arung von Kriminalit\"at (Naturwissenschaften/ Ingenieurwesen) \begin{itemize} - \item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?) + \item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?) \item Kriminaltechnik (Einbringung von Sachbeweisen) - \item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B. + \item Kriminaltaktik (Planm\"aßiges und Fallorientiertes Vorgehen, z.B. Fahndung, Vernehmung, etc.) - \item Organisation der Verbrechensbekaempfung - \item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung) + \item Organisation der Verbrechensbek\"ampfung + \item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung) \end{itemize} \subsubsection*{Kriminologie} - Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie) + Erforschung von Ursachen und Erscheinungsformen von Kriminalit\"at (Sozialwissenschaft/Psychologie) \section{Qualivative Probability} \subsubsection*{Vorbedingungen:} \begin{itemize} \item $H_1$ Person A war am Tatort \item $H_2$ Person A war \textbf{nicht} am Tatort \end{itemize} - \subsubsection*{Moegliche Fahndungs-Ergebnisse:} + \subsubsection*{M\"ogliche Fahndungs-Ergebnisse:} \begin{itemize} \item $E_1$ es gibt Beweise, dass Person A am Tatort war \item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war @@ -51,64 +45,64 @@ s \documentclass{article} Nein & Ja & $Prob_3$ \\ Nein & Nein & $Prob_4$ \\ \end{tabular} - \subsubsection*{Staerke/Aussagekraft von Beweisen} + \subsubsection*{St\"arke/Aussagekraft von Beweisen} \[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\ Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich - $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke + $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ w\"are die St\"arke des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr - stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also + stark. Mit der gleichen Logik gilt f\"ur das Nichtvorhandensein von Beweisen das Gegenteil, also das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. \section{Live-Analyse} - \subsubsection{Fluechtige Daten} - Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. + \subsubsection*{Fl\"uchtige Daten} + Informationen/Spuren die selbst bei da\"urhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. \begin{itemize} \item Inhalte Cache, Hauptspeicher, CPU-Register \item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen \item laufende Prozesse, angemeldete Benutzer, offene Dateien \end{itemize} - Spuren muessen: + Spuren m\"ussen: \begin{itemize} \item identifiziert \item gesichert - \item falls eine Sicherung nicht moeglich ist dokumentiert werden + \item falls eine Sicherung nicht m\"oglich ist dokumentiert werden \end{itemize} - \subsubsection{Gruende fuer Live-Analyse} + \subsubsection*{Gr\"unde f\"ur Live-Analyse} \begin{itemize} \item Beschleunigung der Tot-Analyse \item Sicherung von sonst verlorenen Spuren - \item Umgehung von Festplattenverschluesselung + \item Umgehung von Festplattenverschl\"usselung \end{itemize} - \subsubsection{Moeglichkeiten} + \subsubsection*{M\"oglichkeiten} \begin{itemize} \item Nutzung der Hardware des zu untersuchenden Systems (Live-CD) \item Nutzung von Hardware \textbf{UND} Software \end{itemize} - \subsubsection{Probleme} + \subsubsection*{Probleme} \begin{itemize} - \item System wird Veraendert - \item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen) + \item System wird Ver\"andert + \item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen) \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im schlimmesten Fall auch die Hardware) - \item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden + \item einige, z.B. Rootkits k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden \end{itemize} - \subsubsection{Sniffing} - Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen. - \subsubsection{Hauptspeichersicherung} + \subsubsection*{Sniffing} + Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen. + \subsection{Hauptspeichersicherung} \begin{itemize} - \item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet) - \item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit) - \item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet) + \item eingesetzte Werkzeuge soll System nicht ver\"andern (Integirt\"at) + \item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit) + \item wie wird die Sicherung durch laufden Aktivit\"aten beeinflusst (Atomarit\"at) \end{itemize} - Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der + Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und in der Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit einem Zeitstempel gespeichert werden.\\\\ - \textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die + \textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enth\"alt, die Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} bezeicht korrekt ist. - \subsubsection{Technische Moeglichkeiten} + \subsubsection*{Technische M\"oglichkeiten} \noindent \includegraphics{pics/RAM-Sicherung.png} \begin{itemize} \item Crashdumps unter Windows @@ -120,31 +114,31 @@ s \documentclass{article} \end{itemize} Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden. - \subsubsection{Hauptspeicherdumps auf MAC} + \subsubsection*{Hauptspeicherdumps auf MAC} Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} \begin{itemize} - \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \ + \item kein /dev/mem mehr auf ne\"uren Mac's, funktioniert nicht (richtig) ohne bestimmte \ Boot-Flags und funktioniert nicht auf einigen Intel-iMacs - \item auf aelteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und + \item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, aber vielleicht trotzdem noch interessanten Speicherseiten) \end{itemize} - \subsubsection{Dotplot} + \subsubsection*{Dotplot} Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der - Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('aehnlichen')} Felder + Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('\"ahnlichen')} Felder schwarz markiert.\\\\ Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten weggefiltert) nicht sein/ist sehr unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, - muss das Tool in irgendeiner Weise dafuer verantwortlich sein - z.B. weil das \textit{dd}, die + muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\ \textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen - Tools die das System beeinflussen zu zeigen, Praedikat 'nicht lesenswert'} - \subsubsection{Evalution von Live-Analyse Techniken} + Tools die das System beeinflussen zu zeigen, Pr\"adikat 'nicht lesenswert'} + \subsubsection*{Evalution von Live-Analyse Techniken} \begin{itemize} \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen - \item moegliche Unterschiede beider VMs ohne Interaktion ueberpruefen (vorhanden aber + \item m\"ogliche Unterschiede beider VMs ohne Interaktion \"uberpr\"ufen (vorhanden aber gering) \item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der Untersuchung @@ -158,97 +152,95 @@ s \documentclass{article} \end{itemize} \noindent \includegraphics{pics/Integritybymemsize.png}\\ Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des - Tools gleich bliebt, was natuerlich bedeutet, dass er relativ zum Gesamtspeicher einen - kleineren Impact hat umso groesser der Speicher ist, also der Anteil des Unveraenderten + Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen + kleineren Impact hat umso gr\"osser der Speicher ist, also der Anteil des Unver\"anderten Speichers steigt. \textit{(Bild aus Folien S.99)} - \subsubsection{Messung von Atomaritaet} + \subsubsection*{Messung von Atomarit\"at} \begin{itemize} - \item ein Programm schreibt fuer gewisse Zeitscheiben bestimmte Werte in den Speicher, + \item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher, umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang. \end{itemize} \section{Versteckte Daten in Dokumenten} \begin{itemize} - \item Aenderungshistorie von (Word-)Dukumenten + \item \"Anderungshistorie von (Word-)Dukumenten \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) - \item "geschaerzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem + \item "gesch\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem Postscript raus) \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version - des urspruenglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das + des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte) - \item Informationen ueber Kamera und verwendete Software + \item Informationen \"uber Kamera und verwendete Software \item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile) \end{itemize} \section{Spuren in Multimediadaten} - \subsection{Authentizitätsprüfung und Ursprungsgeraeterkennung bei Bildern} - \subsubsection{Ansatzpunkte} + \subsection{Authentizitätsprüfung und Ursprungsger\"aterkennung bei Bildern} + \subsubsection*{Ansatzpunkte} \begin{itemize} \item Geometrie der Szene \item Licht/Schatten \item Brechfehler in der Linse \item spezifisches Rauschen eines Sensors - \item Interpolationsart unvollstaendiger Sensordaten in einer Kamera (die Daten von - Kamerasensoren werden oft interpoliert um hohere Aufloesungen zu faken) - \item Doppelkompression, Resampling/Splicing (Zusammenfuegen zweier Bilder) + \item Interpolationsart unvollst\"andiger Sensordaten in einer Kamera (die Daten von + Kamerasensoren werden oft interpoliert um hohere Aufl\"osungen zu faken) + \item Doppelkompression, Resampling/Splicing (Zusammenf\"ugen zweier Bilder) \end{itemize} - \subsubsection{Copy-Move} + \subsubsection*{Copy-Move} Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder) mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine - Faelschung. (bei der Automatisierung kann man das durch Beschraenkung auf Intensitaeten + F\"alschung. (bei der Automatisierung kann man das durch Beschr\"ankung auf Intensit\"aten oder Farben vereinfachen)\\ Sonstige Erkennenung durch:\\ \begin{itemize} \item DCT-Transformation \item Zernike-Momente \end{itemize} - \subsubsection{Fertigungsunterschiede bei Sensoren} + \subsubsection*{Fertigungsunterschiede bei Sensoren} \textbf{In der Theorie} \[ Pic = SensoreVariance( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \] \textit{Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das Auftreffen von Photonen entsteht.}\\ Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response - Non-Uniformit genannt wird. Sie ist charakteristisch fuer einen Sensore und stellt + Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns nicht interessieren ist \textit{Flat field correction} (Aufnahme in Ausgeleuchteten Raum und dunklem Raum). \textbf{But How...} \begin{itemize} - \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist hoeher als - die Frequenz des Bildinhaltes + \item alle Bilder Tiefpass filtern, denn die Freq\"unz des Rauschens ist h\"oher als + die Freq\"unz des Bildinhaltes \item alle getiefpassten Bilder Mitteln \item ???? \item Profit. \end{itemize} - Bildrotation- oder Skalierung fuehrt zu anderem Fingerabdruck. + Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck. ('Desynchronisationsangriff') - \subsubsection{Resampling Artefakte} - Wir gehen davon aus, dass ein Bild welches in ein anderes eingefuehgt wird vorher oft + \subsubsection*{Resampling Artefakte} + Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"uhgt wird vorher oft gedreht oder skaliert werden muss. \begin{itemize} \item Skalierung oder Rotation ist effektiv eine Interpolation - \item Interpolation fuehrt zu einer Linearen Abhaengigkeit in Pixelintensitaeten - \item Berechnung einer Wahrscheinlichkeit fuer jeden Pixel, dass er aus den + \item Interpolation f\"uhrt zu einer Linearen Abh\"angigkeit in Pixelintensit\"aten + \item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf die relevante Region \item JPEG-Kompression kann \textit{p-map} dominieren - \item Spurenverschleierung duch Pixel-Distortion moeglich (z.B. Pixel in - Einzelfarben aufteilen und nochmal drueber Interpolieren) + \item Spurenverschleierung duch Pixel-Distortion m\"oglich (z.B. Pixel in + Einzelfarben aufteilen und nochmal dr\"uber Interpolieren) \end{itemize} - \subsubsection{Lichteinfall} - Kann man voellig vergessen es aus den Folien zu verstehen, das Paper lohnt hier: + \subsubsection*{Lichteinfall} + Kann man v\"ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier: \textit{'Exposing Digital Forgeries in Complex Lighting Environments'}. In a Nutshell: - Sie approximieren Lichquellen und schauen dann ob der Licheinfall auf allen - Oberflaechen konsistent ist. - \subsection{Watermarking} - \subsection{Fingerprinting} + Sie approximieren Lichq\"ullen und scha\"un dann ob der Licheinfall auf allen + Oberfl\"achen konsistent ist. \section{Jura-Teil} - \subsection{Ermaechtigungsgrundlagen fuer Onlinedurchsuchung} + \subsection{Erm\"achtigungsgrundlagen f\"ur Onlinedurchsuchung} \begin{itemize} \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass - \item Gefahrenabwehr $->$ Praevention, konkrete Gefahr als Anlass + \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass \item BKA-Gesetz $->$ Bundesrecht \end{itemize} \subsection{Paragraphen} - \subsubsection{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} + \subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} \begin{itemize} \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden, wenn: @@ -262,83 +254,83 @@ s \documentclass{article} Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. \end{itemize} \end{itemize} - \subsubsection{\S 100b Verfahren bei der Telekommunikationsüberwachung} - Das Vorgehen bei einer Ueberwachung, in a Nutshell, immer erstmal auf drei Monate - befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss bestaetigen. - Telekomunikationsunternehmen muessen kooperieren. - \subsubsection{\S \S 102-110 Ebenfalls Strafprozessordnung} + \subsubsection*{\S 100b Verfahren bei der Telekommunikationsüberwachung} + Das Vorgehen bei einer \"uberwachung, in a Nutshell, immer erstmal auf drei Monate + befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\"atigen. + Telekomunikationsunternehmen m\"ussen kooperieren. + \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} \url{https://dejure.org/gesetze/StPO/102.html} \\ - Interessant hier: Daten duerfen gesichert/durchgesehen werden, wenn sonst ein Verlust - selbiger zu befuerchten ist. - \subsubsection{\S \S 100c, 100d StPO - Grosser Lauschangriff} - Betrifft die Ueberwachung eines gesamten Wohnraum und ist an aehnliche Vorraussetzungen wie - die Telekommunikationsueberwachung gebunden. Es gelten strenge Vorschrifte, welche Raeume - abgehoert werden duerfen und private Informationen muessen geloescht werden. + Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust + selbiger zu bef\"urchten ist. + \subsubsection*{\S \S 100c, 100d StPO - Grosser Lauschangriff} + Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie + die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume + abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden. \subsection{Nachrichtendienste} \begin{itemize} \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: - \textbf{Sicherheitspolitische Dinge im ausland, Ueberpruefung von (zukuenftigen) + \textbf{Sicherheitspolitische Dinge im ausland, \"uberpr\"ufung von (zuk\"unftigen) Mitarbeitern, Counter-Intelligence} - \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt primaer etwas ueber die - Zusammenarbeit der Laender mit dem BND aus) - \item §3,5,10 G10 \textit{(Regelt allgemein die Beschraenkung des Fernmeldegeheimnisses)} + \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die + Zusammenarbeit der L\"ander mit dem BND aus) + \item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des Fernmeldegeheimnisses)} \begin{itemize} - \item \S 3 listet Vorraussetzungen fuer Uebrwachung $->$ aehnliche Vorraussetzung - wie fuer Polizei Angriffe auf Bundesrepublik, Voelkerrechtsverbrechen, Terrorismus + \item \S 3 listet Vorraussetzungen f\"ur \"ubrwachung $->$ \"ahnliche Vorraussetzung + wie f\"ur Polizei Angriffe auf Bundesrepublik, V\"olkerrechtsverbrechen, Terrorismus \item \S 5 regelt internationale Verbinndungen - \item \S 10 regelt wie die Ueberwachung angeordnet wird + \item \S 10 regelt wie die \"uberwachung angeordnet wird \end{itemize} \end{itemize} - \subsubsection{Sonstiges} + \subsubsection*{Sonstiges} \begin{itemize} - \item minimale Aenderungen am angegriffenen System muss gewaehrleistet werden - \item es muss gewaehrleistet werden, dass durch den Eingriff keine anderen Angriffe - (unbefugten) ermoeglicht werden - \item ganz generell muss immer sichergestellt werden, dass so wenig wie moeglich in die + \item minimale \"anderungen am angegriffenen System muss gew\"ahrleistet werden + \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen Angriffe + (unbefugten) erm\"oglicht werden + \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in die Grundrechte des Betroffenen eingegriffen wird \end{itemize} - \subsection{Technische Moeglichkeiten - Hihihi wir sind der Staat} + \subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat} \begin{itemize} \item Herstellerkooperation (Backdoor etc.) \item (Hardware) Keylogger \item Cold-Boot \item Live-Durchsuchung (z.B. Staatstrojaner) - \item Seitenkanaele/Metadaten - \item schwaechen in (Kryptographie-)Protokollen + \item Seitenkan\"ale/Metadaten + \item schw\"achen in (Kryptographie-)Protokollen \end{itemize} \section{Ermittlungen im Internetz} \subsection{Lokalisierungstechniken} - \subsubsection{Teilprobleme} + \subsubsection*{Teilprobleme} \begin{itemize} \item User Geolocation (Position des Nutzers) \item IP Geolocation (Position einer IP-Adresse) \item IP Adress Extraction (welche IP hat der Ursprungsrechner) \end{itemize} - \subsubsection{IP Geolocation} + \subsubsection*{IP Geolocation} Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} an Regionale Verteiler verteilt usw. - \subsubsection{Domain Name System} + \subsubsection*{Domain Name System} Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum - beispiel kann man so auch zusammengehoerige Seiten erkennen wenn mehre Domain-Names auf + beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. - \subsubsection{Passive DNS-Replikation} - Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuschauen ob - mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit ueber die Zeit + \subsubsection*{Passive DNS-Replikation} + Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob + mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \"uber die Zeit aufgezeichneten Daten. - \subsubsection{IP-Verschleierungstechniken} + \subsubsection*{IP-Verschleierungstechniken} \begin{itemize} \item VPN/Proxy bzw. Ketten selbiger (z.B. Tor) \item Remote Session (z.B. xpra in den CIP) - \item Long Distance Dialup (Technologie "Gap" die Rueckverfolgung erschwert) + \item Long Distance Dialup (Technologie "Gap" die R\"uckverfolgung erschwert) \end{itemize} - \subsubsection{Counter the Countermeasures} + \subsubsection*{Counter the Countermeasures} \begin{itemize} - \item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (fuer Websiten - durch ein HTTP refresh moeglich) + \item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur Websiten + durch ein HTTP refresh m\"oglich) \item JavaScript Exploit $->$ Client seine IP-Adresse mitschicken lassen \end{itemize} - \subsection{Cloud & Websitesicherung} + \subsection{Cloud \& Websitesicherung} \begin{itemize} \item Internet Archive \item Chache beim Client @@ -347,27 +339,18 @@ s \documentclass{article} \item ganzen Server Snapshotten ist kacke, doppelte Fragmentierung von VM-Filesystem und Hypervisor Filesystem, ausserdem wahrscheinlich rechtlich fraglich, weil viele Daten von unbeteiligten - \item VM-Carving (Wiederherstellung von geloeschten VM, vielleicht aus Backups) + \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) \end{itemize} \section{Date-Loss though Abstraction} Ehrlich gesagt weiss ich nicht was ich hier genau mitnehmen soll, mehr Abstraktion = mehr - Abstrakte Informationen waehrend potentiell Low-Level Informationen verloren gehen. + Abstrakte Informationen w\"ahrend potentiell Low-Level Informationen verloren gehen. \section{Carrier Dissertation Theorie} \begin{itemize} \item Observation (Was hat der Ermittler gesehen) - \item Capabilities (Welche Zustaende sind moeglich) - \item Sample (Welche Zustaende existieren auf aehnlichen Systemen/frueher auf diesem + \item Capabilities (Welche Zust\"ande sind m\"oglich) + \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/fr\"uher auf diesem System) - \item Reconstruction (Rueckuebersetzung einer Zustandsuebergangsfunktion) + \item Reconstruction (R\"uck\"ubersetzung einer Zustandsuebergangsfunktion) \item Construction (Ausfuehrung einer Zustandsuebergangsfunktion) \end{itemize} - \section{Freilings Weisheiten der Woche} - \begin{itemize} - \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer - sinnvolle Priorisierungskriterien. - \item Der User ist dumm. - \item \textit{nachdem er gefragt hat fuer welche Seite er ein whois demonstrieren - soll}" '.fail'? Was ist das denn schon wieder fuer eine Toplevel-Domain. Ah Paulus, - Schilling, kennt man ja. - \end{itemize} \end{document} From 4c051f85b6776cea652bb425415823cc4e74676a Mon Sep 17 00:00:00 2001 From: Sheppy Date: Thu, 6 Apr 2017 00:00:48 +0200 Subject: [PATCH 4/5] Fixed lots of typos and grammer in FFI --- FFI/ForensInf2_Zusammenfassung.tex | 134 +++++++++++++++-------------- 1 file changed, 71 insertions(+), 63 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index c8173fc..cfb68e5 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -16,7 +16,7 @@ \begin{itemize} \item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?) \item Kriminaltechnik (Einbringung von Sachbeweisen) - \item Kriminaltaktik (Planm\"aßiges und Fallorientiertes Vorgehen, z.B. + \item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B. Fahndung, Vernehmung, etc.) \item Organisation der Verbrechensbek\"ampfung \item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung) @@ -37,7 +37,7 @@ \textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.} \[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \] \[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\ - \textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\ + \textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\ \begin{tabular}{|c|c|c|} Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline Ja & Ja & $Prob_1$ \\ @@ -54,17 +54,19 @@ das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. \section{Live-Analyse} \subsubsection*{Fl\"uchtige Daten} - Informationen/Spuren die selbst bei da\"urhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. + Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im + engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen + werden als \textit{persistent} bezeichnet. \begin{itemize} \item Inhalte Cache, Hauptspeicher, CPU-Register \item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen \item laufende Prozesse, angemeldete Benutzer, offene Dateien \end{itemize} - Spuren m\"ussen: + \textit{Spuren m\"ussen:} \begin{itemize} \item identifiziert \item gesichert - \item falls eine Sicherung nicht m\"oglich ist dokumentiert werden + \item falls eine Sicherung nicht m\"oglich ist, dokumentiert werden \end{itemize} \subsubsection*{Gr\"unde f\"ur Live-Analyse} \begin{itemize} @@ -79,26 +81,25 @@ \end{itemize} \subsubsection*{Probleme} \begin{itemize} - \item System wird Ver\"andert + \item System wird ver\"andert \item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen) \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im schlimmesten Fall auch die Hardware) - \item einige, z.B. Rootkits k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden + \item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden \end{itemize} \subsubsection*{Sniffing} Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen. \subsection{Hauptspeichersicherung} \begin{itemize} - \item eingesetzte Werkzeuge soll System nicht ver\"andern (Integirt\"at) + \item eingesetzte Werkzeuge sollen System nicht ver\"andern (Integrit\"at) \item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit) - \item wie wird die Sicherung durch laufden Aktivit\"aten beeinflusst (Atomarit\"at) + \item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at) \end{itemize} - Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und in der - Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit - einem - Zeitstempel gespeichert werden.\\\\ - \textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enth\"alt, die + Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und + eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen + mit einem Zeitstempel gespeichert werden.\\\\ + \textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} bezeicht korrekt ist. @@ -117,11 +118,11 @@ \subsubsection*{Hauptspeicherdumps auf MAC} Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} \begin{itemize} - \item kein /dev/mem mehr auf ne\"uren Mac's, funktioniert nicht (richtig) ohne bestimmte \ + \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \ Boot-Flags und funktioniert nicht auf einigen Intel-iMacs \item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, - aber vielleicht trotzdem noch interessanten Speicherseiten) + aber vielleicht trotzdem noch interessanten) Speicherseiten \end{itemize} \subsubsection*{Dotplot} Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper @@ -132,9 +133,9 @@ weggefiltert) nicht sein/ist sehr unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die - Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\ - \textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen - Tools die das System beeinflussen zu zeigen, Pr\"adikat 'nicht lesenswert'} + Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest. + \textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen + Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.} \subsubsection*{Evalution von Live-Analyse Techniken} \begin{itemize} \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen @@ -145,15 +146,15 @@ \item suprise, Unterschiedliche Tools, unterschiedlich viel Impact \end{itemize} \begin{itemize} - \item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch - Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM, - nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den - man sehen will). + \item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch + Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als + eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden + Aufruf den man sehen will). \end{itemize} \noindent \includegraphics{pics/Integritybymemsize.png}\\ Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen - kleineren Impact hat umso gr\"osser der Speicher ist, also der Anteil des Unver\"anderten + kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten Speichers steigt. \textit{(Bild aus Folien S.99)} \subsubsection*{Messung von Atomarit\"at} \begin{itemize} @@ -164,7 +165,7 @@ \begin{itemize} \item \"Anderungshistorie von (Word-)Dukumenten \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) - \item "gesch\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem + \item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem Postscript raus) \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das @@ -202,11 +203,11 @@ Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns - nicht interessieren ist \textit{Flat field correction} (Aufnahme in Ausgeleuchteten + nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten Raum und dunklem Raum). \textbf{But How...} \begin{itemize} - \item alle Bilder Tiefpass filtern, denn die Freq\"unz des Rauschens ist h\"oher als + \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als die Freq\"unz des Bildinhaltes \item alle getiefpassten Bilder Mitteln \item ???? @@ -215,11 +216,11 @@ Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck. ('Desynchronisationsangriff') \subsubsection*{Resampling Artefakte} - Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"uhgt wird vorher oft + Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft gedreht oder skaliert werden muss. \begin{itemize} \item Skalierung oder Rotation ist effektiv eine Interpolation - \item Interpolation f\"uhrt zu einer Linearen Abh\"angigkeit in Pixelintensit\"aten + \item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten \item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf die relevante Region @@ -237,7 +238,7 @@ \begin{itemize} \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass - \item BKA-Gesetz $->$ Bundesrecht + \item BKA-Gesetz $->$ Bundesrecht %TODO \end{itemize} \subsection{Paragraphen} \subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} @@ -245,8 +246,8 @@ \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden, wenn: \begin{itemize} - \item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder - Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in Fällen, in + \item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder + Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat vorbereitet hat, \item die Tat auch im Einzelfall schwer wiegt und @@ -261,34 +262,39 @@ \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} \url{https://dejure.org/gesetze/StPO/102.html} \\ Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust - selbiger zu bef\"urchten ist. - \subsubsection*{\S \S 100c, 100d StPO - Grosser Lauschangriff} + selbiger zu bef\"urchten ist. %TODO + \subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff} Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden. \subsection{Nachrichtendienste} \begin{itemize} \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: - \textbf{Sicherheitspolitische Dinge im ausland, \"uberpr\"ufung von (zuk\"unftigen) - Mitarbeitern, Counter-Intelligence} + \begin{itemize} + \item Sicherheitspolitische Dinge im Ausland + \item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern + \item Schutz und Abschirmung von Mitarbeitern + \end{itemize} \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die Zusammenarbeit der L\"ander mit dem BND aus) - \item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des Fernmeldegeheimnisses)} + \item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des + Fernmeldegeheimnisses)} \begin{itemize} - \item \S 3 listet Vorraussetzungen f\"ur \"ubrwachung $->$ \"ahnliche Vorraussetzung - wie f\"ur Polizei Angriffe auf Bundesrepublik, V\"olkerrechtsverbrechen, Terrorismus + \item \S 3 listet Vorraussetzungen f\"ur \"Uberwachung $->$ \"ahnliche + Vorraussetzung wie f\"ur Polizei \textit{(z.B. Angriffe auf Bundesrepublik, + V\"olkerrechtsverbrechen, Terrorismus)} \item \S 5 regelt internationale Verbinndungen - \item \S 10 regelt wie die \"uberwachung angeordnet wird + \item \S 10 regelt wie die \"Uberwachung angeordnet wird \end{itemize} \end{itemize} \subsubsection*{Sonstiges} \begin{itemize} - \item minimale \"anderungen am angegriffenen System muss gew\"ahrleistet werden - \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen Angriffe - (unbefugten) erm\"oglicht werden - \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in die - Grundrechte des Betroffenen eingegriffen wird + \item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten + \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen + (unbefugten) Angriffe erm\"oglicht werden + \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in + die Grundrechte des Betroffenen eingegriffen wird \end{itemize} \subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat} \begin{itemize} @@ -297,7 +303,7 @@ \item Cold-Boot \item Live-Durchsuchung (z.B. Staatstrojaner) \item Seitenkan\"ale/Metadaten - \item schw\"achen in (Kryptographie-)Protokollen + \item Schw\"achen in (Kryptographie-)Protokollen \end{itemize} \section{Ermittlungen im Internetz} \subsection{Lokalisierungstechniken} @@ -309,10 +315,11 @@ \end{itemize} \subsubsection*{IP Geolocation} Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} - an Regionale Verteiler verteilt usw. + an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, es gibt diese + Daten sind \"offentlich zug\"anglich. \subsubsection*{Domain Name System} Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum - beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf + Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. \subsubsection*{Passive DNS-Replikation} Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob @@ -326,31 +333,32 @@ \end{itemize} \subsubsection*{Counter the Countermeasures} \begin{itemize} - \item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur Websiten - durch ein HTTP refresh m\"oglich) - \item JavaScript Exploit $->$ Client seine IP-Adresse mitschicken lassen + \item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur + Websiten durch ein \textit{HTTP-REFRESH} m\"oglich) + \item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln \end{itemize} \subsection{Cloud \& Websitesicherung} \begin{itemize} \item Internet Archive - \item Chache beim Client - \item Zugriff als Benutzer wenn Server ausser Reichweite - \item VM auf Server Snapshotten - \item ganzen Server Snapshotten ist kacke, doppelte Fragmentierung von VM-Filesystem - und Hypervisor Filesystem, ausserdem wahrscheinlich rechtlich fraglich, weil viele - Daten von unbeteiligten + \item Cache beim Client + \item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist + \item Snapshot einer VM auf einem Server + \item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem + und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server + mit mehreren VMs mit Daten Unbeteiligter) \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) \end{itemize} \section{Date-Loss though Abstraction} - Ehrlich gesagt weiss ich nicht was ich hier genau mitnehmen soll, mehr Abstraktion = mehr - Abstrakte Informationen w\"ahrend potentiell Low-Level Informationen verloren gehen. + Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion + bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level + Informationen verloren gehen (k\"onnen). \section{Carrier Dissertation Theorie} \begin{itemize} \item Observation (Was hat der Ermittler gesehen) \item Capabilities (Welche Zust\"ande sind m\"oglich) - \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/fr\"uher auf diesem - System) - \item Reconstruction (R\"uck\"ubersetzung einer Zustandsuebergangsfunktion) - \item Construction (Ausfuehrung einer Zustandsuebergangsfunktion) + \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf + diesem System existiert) + \item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion) + \item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion) \end{itemize} \end{document} From 9dc5e370562dab654a8e1f13395fa3332d90787d Mon Sep 17 00:00:00 2001 From: Sheppy Date: Thu, 6 Apr 2017 01:25:15 +0200 Subject: [PATCH 5/5] added some more jura explanations --- FFI/ForensInf2_Zusammenfassung.tex | 20 +++++++++++++++++--- 1 file changed, 17 insertions(+), 3 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index cfb68e5..ea5654f 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -238,7 +238,7 @@ \begin{itemize} \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass - \item BKA-Gesetz $->$ Bundesrecht %TODO + \item \"ublicherweise Landesrecht, au\ss er BKA-Gesetz (Bundesrecht) \end{itemize} \subsection{Paragraphen} \subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} @@ -261,8 +261,19 @@ Telekomunikationsunternehmen m\"ussen kooperieren. \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} \url{https://dejure.org/gesetze/StPO/102.html} \\ + \begin{itemize} + \item \S 102 Durchsuchung bei Beschuldigten + \item \S 103 Durchsuchung bei anderen Personen + \item \S 104 Durchsuchung von R\"aumen zur Nachtzeit + \item \S 105 Verfahren bei der Durchsuchung + \item \S 106 Hinzuziehung des Inhabers eines Durchsuchungsobjekts + \item \S 107 Durchsuchungsbescheinigung und Beschlagnahmeverzeichnis + \item \S 108 Beschlagnahme anderer Gegenst\"ande + \item \S 109 Kenntlichmachung beschlagnahmter Gegenst\"ande + \item \S 110 Durchsicht von Papieren und elektronischen Speichermedien + \end{itemize} Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust - selbiger zu bef\"urchten ist. %TODO + selbiger zu bef\"urchten ist. \subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff} Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume @@ -277,7 +288,7 @@ \end{itemize} \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die Zusammenarbeit der L\"ander mit dem BND aus) - \item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des + \item \S 3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des Fernmeldegeheimnisses)} \begin{itemize} \item \S 3 listet Vorraussetzungen f\"ur \"Uberwachung $->$ \"ahnliche @@ -361,4 +372,7 @@ \item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion) \item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion) \end{itemize} + \vspace{1cm} + \subsection*{Source} + Dieses Dokument wird auf{ } \url{https://gitlab.cs.fau.de/ik15ydit/latexandmore} maintaint. \end{document}