Mirror/latexandmore
1
0
Fork 0
mirror of https://gitlab.cs.fau.de/ik15ydit/latexandmore.git synced 2024-11-22 03:49:31 +01:00
Code Issues Projects Releases Wiki Activity

Add section Anwendungsanalyse

Browse Source
This commit is contained in:
Moritz Eckert 2019-03-11 16:53:30 +01:00
parent 830ff1f22c
commit 4acd47592e
1 changed files with 227 additions and 180 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

407
FFI/ForensInf2_Zusammenfassung.tex
View File

@ -3,19 +3,19 @@
\usepackage{nccmath} \usepackage{nccmath}
\usepackage{graphicx} \usepackage{graphicx}
\usepackage{hyperref} \usepackage{hyperref}
\usepackage[ngerman]{babel} \usepackage[ngerman]{babel}
\usepackage[utf8]{inputenc} \usepackage[utf8]{inputenc}
\usepackage{csquotes} \usepackage{csquotes}
\usepackage[missing=no-git-metadata-found]{gitinfo} \usepackage[missing=no-git-metadata-found]{gitinfo}
\DeclareMathSizes{10}{10}{10}{10} \DeclareMathSizes{10}{10}{10}{10}
\newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}}
\setlength{\parindent}{0pt} \setlength{\parindent}{0pt}
\title{Konfl\"unz} \title{Konfl\"unz}
\date{ } \date{ }
\begin{document} \begin{document}
\section*{Anmerkungen} \section*{Anmerkungen}
Dieses Dokument wird auf $\;$\href{https://gitlab.cs.fau.de/ik15ydit/latexandmore}{https://gitlab.cs.fau.de/ik15ydit/latexandmore}$\;$ maintain't. Au\ss erdem Vorsicht: Die Vorlesungen k\"onnen sich von Jahr zu Jahr deutlich unterscheiden. \\ \\ Dieses Dokument wird auf $\;$\href{https://gitlab.cs.fau.de/ik15ydit/latexandmore}{https://gitlab.cs.fau.de/ik15ydit/latexandmore}$\;$ maintain't. Au\ss erdem Vorsicht: Die Vorlesungen k\"onnen sich von Jahr zu Jahr deutlich unterscheiden. \\ \\
\textbf{Generated by texlive on: \today} \textbf{Generated by texlive on: \today}
\section{Begriffserkl\"arungen} \section{Begriffserkl\"arungen}
\subsubsection*{Kriminalistik} \subsubsection*{Kriminalistik}
Verhinderung, Aufdeckung und Aufkl\"arung von Kriminalit\"at (Naturwissenschaften/ Verhinderung, Aufdeckung und Aufkl\"arung von Kriminalit\"at (Naturwissenschaften/
@ -23,7 +23,7 @@
\begin{itemize} \begin{itemize}
\item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?) \item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?)
\item Kriminaltechnik (Einbringung von Sachbeweisen) \item Kriminaltechnik (Einbringung von Sachbeweisen)
\item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B. \item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B.
Fahndung, Vernehmung, etc.) Fahndung, Vernehmung, etc.)
\item Organisation der Verbrechensbek\"ampfung \item Organisation der Verbrechensbek\"ampfung
\item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung) \item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung)
@ -39,14 +39,14 @@
\subsubsection*{M\"ogliche Fahndungs-Ergebnisse:} \subsubsection*{M\"ogliche Fahndungs-Ergebnisse:}
\begin{itemize} \begin{itemize}
\item $E_1$ es gibt Beweise, dass Person A am Tatort war \item $E_1$ es gibt Beweise, dass Person A am Tatort war
\item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war \item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war
\end{itemize} \end{itemize}
\textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.} \textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.}
\[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \] \[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \]
\[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\ \[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\
\textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\ \textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\
\begin{tabular}{|c|c|c|} \begin{tabular}{|c|c|c|}
Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline
Ja & Ja & $Prob_1$ \\ Ja & Ja & $Prob_1$ \\
Ja & Nein & $Prob_2$ \\ Ja & Nein & $Prob_2$ \\
Nein & Ja & $Prob_3$ \\ Nein & Ja & $Prob_3$ \\
@ -55,14 +55,14 @@
\subsubsection*{St\"arke/Aussagekraft von Beweisen} \subsubsection*{St\"arke/Aussagekraft von Beweisen}
\[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\ \[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\
Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich
$0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ w\"are die St\"arke $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ w\"are die St\"arke
des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr
stark. Mit der gleichen Logik gilt f\"ur das Nichtvorhandensein von Beweisen das Gegenteil, also stark. Mit der gleichen Logik gilt f\"ur das Nichtvorhandensein von Beweisen das Gegenteil, also
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
\section{Live-Analyse} \section{Live-Analyse}
\subsubsection*{Fl\"uchtige Daten} \subsubsection*{Fl\"uchtige Daten}
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im
engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen
werden als \textit{persistent} bezeichnet. werden als \textit{persistent} bezeichnet.
\begin{itemize} \begin{itemize}
\item Inhalte Cache, Hauptspeicher, CPU-Register \item Inhalte Cache, Hauptspeicher, CPU-Register
@ -90,10 +90,10 @@
\begin{itemize} \begin{itemize}
\item System wird ver\"andert \item System wird ver\"andert
\item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen) \item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen)
\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im
schlimmesten Fall auch die Hardware) schlimmesten Fall auch die Hardware)
\item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden \item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden
\end{itemize} \end{itemize}
\subsubsection*{Sniffing} \subsubsection*{Sniffing}
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen. Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen.
@ -104,11 +104,11 @@
\item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at) \item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at)
\end{itemize} \end{itemize}
Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und
eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen
mit einem Zeitstempel gespeichert werden.\\\\ mit einem Zeitstempel gespeichert werden.\\\\
\textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die \textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
bezeicht korrekt ist. bezeicht korrekt ist.
\subsubsection*{Technische M\"oglichkeiten} \subsubsection*{Technische M\"oglichkeiten}
\noindent \includegraphics{pics/RAM-Sicherung.png} \noindent \includegraphics{pics/RAM-Sicherung.png}
@ -120,62 +120,109 @@
\item Snapshot bei VM \item Snapshot bei VM
\item Linux /dev/mem ist etwas broken kriegt man aber mit kernel-modules gebacken \item Linux /dev/mem ist etwas broken kriegt man aber mit kernel-modules gebacken
\end{itemize} \end{itemize}
Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder
einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden. einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden.
\subsubsection*{Hauptspeicherdumps auf MAC} \subsubsection*{Hauptspeicherdumps auf MAC}
Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool}
\begin{itemize} \begin{itemize}
\item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \ \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \
Boot-Flags und funktioniert nicht auf einigen Intel-iMacs Boot-Flags und funktioniert nicht auf einigen Intel-iMacs
\item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und \item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und
konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten,
aber vielleicht trotzdem noch interessanten) Speicherseiten aber vielleicht trotzdem noch interessanten) Speicherseiten
\end{itemize} \end{itemize}
\subsubsection*{Dotplot} \subsubsection*{Dotplot}
Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper
oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der
Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('\"ahnlichen')} Felder Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('\"ahnlichen')} Felder
schwarz markiert.\\\\ schwarz markiert.\\\\
Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten
weggefiltert) nicht sein/ist sehr weggefiltert) nicht sein/ist sehr
unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind,
muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest. Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.
\textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen \textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen
Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.} Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.}
\subsubsection*{Evalution von Live-Analyse Techniken} \subsubsection*{Evalution von Live-Analyse Techniken}
\begin{itemize} \begin{itemize}
\item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen
\item m\"ogliche Unterschiede beider VMs ohne Interaktion \"uberpr\"ufen (vorhanden aber \item m\"ogliche Unterschiede beider VMs ohne Interaktion \"uberpr\"ufen (vorhanden aber
gering) gering)
\item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der \item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der
Untersuchung Untersuchung
\item suprise, Unterschiedliche Tools, unterschiedlich viel Impact \item suprise, Unterschiedliche Tools, unterschiedlich viel Impact
\end{itemize} \end{itemize}
\begin{itemize} \begin{itemize}
\item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch \item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch
Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als
eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden
Aufruf den man sehen will). Aufruf den man sehen will).
\end{itemize} \end{itemize}
\noindent \includegraphics{pics/Integritybymemsize.png}\\ \noindent \includegraphics{pics/Integritybymemsize.png}\\
Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des
Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen
kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten
Speichers steigt. \textit{(Bild aus Folien S.99)} Speichers steigt. \textit{(Bild aus Folien S.99)}
\subsubsection*{Messung von Atomarit\"at} \subsubsection*{Messung von Atomarit\"at}
\begin{itemize} \begin{itemize}
\item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher, \item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher,
umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang. umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang.
\end{itemize} \end{itemize}
\section{Anwendungsanalyse}
Zwei generelle Methoden:
\begin{itemize}
\item Ereignismethode
\begin{itemize}
\item Anwendungen ausf\"uhren und Aktivit\"aten nachvollziehen
\item Pr\"azise, aber oft unvollst\"andig
\item H\"aufig erste Schritt um schnell interessante Dateien zu ermitteln
\item Tools: sysinternal-Tools wie filemon oder regmon
\end{itemize}
\item Zustandsmethode
\begin{itemize}
\item Schnappsch\"usse des Dateisystems vergleichen
\item Vollst\"andig, aber mit Rauschen
\item H\"aufig zweiter Schritt um identifizierte Dateien zu best\"atigen oder Dateiformate zu verstehen
\item Tools: fiwalk, idifference, SandboxTools (u.a. Cukoo)
\end{itemize}
\end{itemize}
\subsection{Browser-Analyse und -Spuren}
Spuren die beim Aufrufen einer Webseite im Browser entstehen:
\begin{itemize}
\item Eintrag der eingegebenen URL in der Browser-History Datei
\item Eintrag weiterer \enquote{nachgeladener} URLs in der Browser-History Datei
\item Gecachte Objekte wie html, javascript oder Bilder im Browser-Cache
\item Cookies
\item Potentiell auch gecachte DNS-Eintr\"age auf dem System oder im Netzwerk
\end{itemize}
Im \textit{private browsing}-Mode vieler Browser verhindern dass Cookies-, History- oder Cache-Eintr\"age w\"arend des Browsens enstehen.
Potentiell enstehen trotzdem folgende Spuren:
\begin{itemize}
\item Objekte aus Webseiten die noch im Hauptspeicher zu finden sind, mittels Live-Analyse
\item Passive DNS-Replikationen in der DNS-Route oder DNS-Cache auf dem System
\item Browser-Extensions die Informationen zur private-Mode Sessions leaken
\item Teilweise werden Informationen w\"arend der private-Mode Session gespeichert und erst beim Beenden der Session gel\"oscht, dies k\"onnte jedoch reversibel sein, oder bei Crashes erst gar nicht stattfinden
\end{itemize}
Um Webanwendungen zu Analysieren l\"asst sich wie bei der Anwendungsanalyse die Ereignis- oder Zustandsmethode f\"ur die Browser-Applikation verwenden.
Zus\"atzlich lassen sich mittels Tools wie der Burp-Suite gezielt das Verhalten der Webanwendungen mittels der Ereignismethode analysieren.
Hierf\"ur wird meist ein Proxy verwendet durch den die Analyseumgebung alle Requests und Responses und somit auch alle Objekte der Webanwendung mitschneidet.
\subsubsection{Browser Fingerprinting}
Browser Fingerprinting nach Panopticlick:
\begin{quote}
\enquote{Browser fingerprinting} is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.
The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language youve set, the add-ons youve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.
If your browser is unique, then its possible that an online tracker can identify you even without setting tracking cookies. While the tracker wont know your name, they could collect a deeply personal dossier of websites you visit.
\end{quote}
\section{Versteckte Daten in Dokumenten} \section{Versteckte Daten in Dokumenten}
\begin{itemize} \begin{itemize}
\item \"Anderungshistorie von (Word-)Dukumenten \item \"Anderungshistorie von (Word-)Dukumenten
\item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..)
\item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem \item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
Postscript raus) Postscript raus)
\item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version
des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte) Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte)
\item Informationen \"uber Kamera und verwendete Software \item Informationen \"uber Kamera und verwendete Software
\item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile) \item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile)
@ -188,14 +235,14 @@
\item Licht/Schatten \item Licht/Schatten
\item Brechfehler in der Linse \item Brechfehler in der Linse
\item spezifisches Rauschen eines Sensors \item spezifisches Rauschen eines Sensors
\item Interpolationsart unvollst\"andiger Sensordaten in einer Kamera (die Daten von \item Interpolationsart unvollst\"andiger Sensordaten in einer Kamera (die Daten von
Kamerasensoren werden oft interpoliert um hohere Aufl\"osungen zu faken) Kamerasensoren werden oft interpoliert um hohere Aufl\"osungen zu faken)
\item Doppelkompression, Resampling/Splicing (Zusammenf\"ugen zweier Bilder) \item Doppelkompression, Resampling/Splicing (Zusammenf\"ugen zweier Bilder)
\end{itemize} \end{itemize}
\subsubsection*{Copy-Move} \subsubsection*{Copy-Move}
Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder) Es ist oft unwahrscheinlich, dass gleiche Bereiche von Pixeln (also Teilbilder)
mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine mehrmals im Bild vorkommen, findet man so etwas doch, ist das ein Hinweis auf eine
F\"alschung. (bei der Automatisierung kann man das durch Beschr\"ankung auf Intensit\"aten F\"alschung. (bei der Automatisierung kann man das durch Beschr\"ankung auf Intensit\"aten
oder Farben vereinfachen)\\ oder Farben vereinfachen)\\
Sonstige Erkennenung durch:\\ Sonstige Erkennenung durch:\\
\begin{itemize} \begin{itemize}
@ -205,77 +252,77 @@
\subsubsection*{Fertigungsunterschiede bei Sensoren} \subsubsection*{Fertigungsunterschiede bei Sensoren}
\textbf{In der Theorie} \textbf{In der Theorie}
\[ Pic = SensorVariance( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \] \[ Pic = SensorVariance( Motive + Diskretisierungsrauschen ) + Dunkelstrom + SonstigesRauschen \]
\textit{Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das \textit{Als Dunkelstrom bezeichnet man den Strom in einer Photodiode der auch ohne das
Auftreffen von Photonen entsteht.}\\ Auftreffen von Photonen entsteht.}\\
Das eigentlich interessante ist die Sensor Variance, die in den Folien Photo Response Das eigentlich interessante ist die Sensor Variance, die in den Folien Photo Response
Non-Uniformity genannt wird. Sie ist charakteristisch f\"ur einen Sensor und stellt Non-Uniformity genannt wird. Sie ist charakteristisch f\"ur einen Sensor und stellt
einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns
nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten
Raum und dunklem Raum). Raum und dunklem Raum).
\textbf{But How...} \textbf{But How...}
\begin{itemize} \begin{itemize}
\item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als
die Freq\"unz des Bildinhaltes die Freq\"unz des Bildinhaltes
\item alle getiefpassten Bilder Mitteln \item alle getiefpassten Bilder Mitteln
\item ???? \item ????
\item Profit. \item Profit.
\end{itemize} \end{itemize}
Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck. Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck.
('Desynchronisationsangriff') ('Desynchronisationsangriff')
\subsubsection*{Resampling Artefakte} \subsubsection*{Resampling Artefakte}
Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft
gedreht oder skaliert werden muss. gedreht oder skaliert werden muss.
\begin{itemize} \begin{itemize}
\item Skalierung oder Rotation ist effektiv eine Interpolation \item Skalierung oder Rotation ist effektiv eine Interpolation
\item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten \item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten
\item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den \item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den
Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf
die relevante Region die relevante Region
\item JPEG-Kompression kann \textit{p-map} dominieren \item JPEG-Kompression kann \textit{p-map} dominieren
\item Spurenverschleierung duch Pixel-Distortion m\"oglich (z.B. Pixel in \item Spurenverschleierung duch Pixel-Distortion m\"oglich (z.B. Pixel in
Einzelfarben aufteilen und nochmal dr\"uber Interpolieren) Einzelfarben aufteilen und nochmal dr\"uber Interpolieren)
\end{itemize} \end{itemize}
\subsubsection*{Lichteinfall} \subsubsection*{Lichteinfall}
Kann man v\"ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier: Kann man v\"ollig vergessen es aus den Folien zu verstehen, das Paper lohnt hier:
\textit{'Exposing Digital Forgeries in Complex Lighting Environments'}. In a Nutshell: \textit{'Exposing Digital Forgeries in Complex Lighting Environments'}. In a Nutshell:
Sie approximieren Lichtquellen und schauen dann ob der Lichteinfall auf allen Sie approximieren Lichtquellen und schauen dann ob der Lichteinfall auf allen
Oberfl\"achen konsistent ist. Oberfl\"achen konsistent ist.
\section{Jura-Teil} \section{Jura-Teil}
\subsection{Erm\"achtigungsgrundlagen f\"ur Onlinedurchsuchung} \subsection{Erm\"achtigungsgrundlagen f\"ur Onlinedurchsuchung}
\begin{itemize} \begin{itemize}
\item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass (Strafprozessrecht$->$Bundesrecht) \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass (Strafprozessrecht$->$Bundesrecht)
\item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass (Polizeirecht$->$Landesrecht, Ausnahme: BKA-Gesetz$->$Bundesrecht) \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass (Polizeirecht$->$Landesrecht, Ausnahme: BKA-Gesetz$->$Bundesrecht)
\end{itemize} \end{itemize}
\subsection{Paragraphen zur Strafverfolgung} \subsection{Paragraphen zur Strafverfolgung}
\subsubsection*{\S \S 100a Strafprozessordnung (Telekommunikations\"uberwachung)} \subsubsection*{\S \S 100a Strafprozessordnung (Telekommunikations\"uberwachung)}
\begin{itemize} \begin{itemize}
\item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und
aufgezeichnet werden, wenn: aufgezeichnet werden, wenn:
\begin{itemize} \begin{itemize}
\item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder \item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder
Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in
denen der Versuch strafbar ist, zu begehen versucht, oder eine Straftat denen der Versuch strafbar ist, zu begehen versucht, oder eine Straftat
vorbereitet hat, vorbereitet hat,
\item die Tat auch im Einzelfall schwer wiegt und \item die Tat auch im Einzelfall schwer wiegt und
\item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des \item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des
Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos w\"are. Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos w\"are.
\end{itemize} \end{itemize}
\item Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. \item Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.
Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können. Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.
\end{itemize} \end{itemize}
\subsubsection*{\S \S 100b Online-Durchsuchung} \subsubsection*{\S \S 100b Online-Durchsuchung}
\begin{itemize} \begin{itemize}
\item Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), wenn \item Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), wenn
\begin{itemize} \begin{itemize}
\item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat, \item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat,
\item die Tat auch im Einzelfall besonders schwer wiegt und \item die Tat auch im Einzelfall besonders schwer wiegt und
\item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. \item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\subsubsection*{\S \S 100e Verfahren bei der Telekommunikations\"uberwachung} \subsubsection*{\S \S 100e Verfahren bei der Telekommunikations\"uberwachung}
Das Vorgehen bei einer \"Uberwachung, in a Nutshell, immer erstmal auf drei Monate Das Vorgehen bei einer \"Uberwachung, in a Nutshell, immer erstmal auf drei Monate
befristet, Staatsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\"atigen. befristet, Staatsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss best\"atigen.
Telekomunikationsunternehmen m\"ussen kooperieren. Telekomunikationsunternehmen m\"ussen kooperieren.
\subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung}
\url{https://dejure.org/gesetze/StPO/102.html} \\ \url{https://dejure.org/gesetze/StPO/102.html} \\
@ -290,18 +337,18 @@
\item \S \S 109 Kenntlichmachung beschlagnahmter Gegenst\"ande \item \S \S 109 Kenntlichmachung beschlagnahmter Gegenst\"ande
\item \S \S 110 Durchsicht von Papieren und elektronischen Speichermedien \item \S \S 110 Durchsicht von Papieren und elektronischen Speichermedien
\end{itemize} \end{itemize}
Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust
selbiger zu bef\"urchten ist. selbiger zu bef\"urchten ist.
\subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff (Akustische Wohnraumüberwachung)} \subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff (Akustische Wohnraumüberwachung)}
Betrifft die \"uberwachung eines gesamten (privaten) Wohnraums, Betrifft die \"uberwachung eines gesamten (privaten) Wohnraums,
im Gegensatz zu \S \S 100f dem ("kleinen Lauschangriff") akustischen \"Uberwachen von \"offentlichen R\"aumen und ist an \"ahnliche Vorraussetzungen wie die TK\"U gebunden. im Gegensatz zu \S \S 100f dem ("kleinen Lauschangriff") akustischen \"Uberwachen von \"offentlichen R\"aumen und ist an \"ahnliche Vorraussetzungen wie die TK\"U gebunden.
Es gelten strenge Vorschrifte, welche R\"aume abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden. Es gelten strenge Vorschrifte, welche R\"aume abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden.
\S \S 100d definiert den "Kernbereich privater Lebensgestaltung" und bezieht sich dabei auf \S \S 100a-c. \S \S 100d definiert den "Kernbereich privater Lebensgestaltung" und bezieht sich dabei auf \S \S 100a-c.
Dieser Kernbereich unterliegt besonderem Schutz und darf nicht alleiniges Ziel der Erkenntnisse darstellen. Dieser Kernbereich unterliegt besonderem Schutz und darf nicht alleiniges Ziel der Erkenntnisse darstellen.
Zudem m\"ussen Ma\ss{}nahmen nach \S \S 100b Daten aus diesem bereich m\"oglichst vermeiden und Ma\ss{}nahmen nach \S \S 100a,c d\"urfen diese Daten nicht verwerten. Zudem m\"ussen Ma\ss{}nahmen nach \S \S 100b Daten aus diesem bereich m\"oglichst vermeiden und Ma\ss{}nahmen nach \S \S 100a,c d\"urfen diese Daten nicht verwerten.
\subsubsection*{\S \S 5, 51 BKA Gesetz - \enquote{Quellen-TK\"U})} \subsubsection*{\S \S 5, 51 BKA Gesetz - \enquote{Quellen-TK\"U})}
Viele Kommunikationsprogramme nutzen eine Verschlüsselung ihrer Kommunikationsdaten und -inhalte, die ohne aktives Handeln des Nutzers im Hintergrund arbeitet. Viele Kommunikationsprogramme nutzen eine Verschlüsselung ihrer Kommunikationsdaten und -inhalte, die ohne aktives Handeln des Nutzers im Hintergrund arbeitet.
Telekommunikationsinhalte in verschlüsselter Form können in vielen Fällen durch die klassische Form der Telekommunikationsüberwachung (TK\"U) nicht ausgewertet werden. Telekommunikationsinhalte in verschlüsselter Form können in vielen Fällen durch die klassische Form der Telekommunikationsüberwachung (TK\"U) nicht ausgewertet werden.
Dies lässt aber die notwendigen und gesetzlich auch zulässigen Maßnahmen der TK\"U bei der Verfolgung schwerer Straftaten oder der Abwehr von Gefahren für hochwertige Rechtsgüter ins Leere laufen. Dies lässt aber die notwendigen und gesetzlich auch zulässigen Maßnahmen der TK\"U bei der Verfolgung schwerer Straftaten oder der Abwehr von Gefahren für hochwertige Rechtsgüter ins Leere laufen.
@ -312,94 +359,94 @@
Gesetzlich ist die Maßnahme der Quellen-TK\"U in § 100a Abs. 1 S. 2, 3 StPO verankert. Gesetzlich ist die Maßnahme der Quellen-TK\"U in § 100a Abs. 1 S. 2, 3 StPO verankert.
Zusätzlich ist die Quellen-TK\"U auch in manchen Landesgesetzen zur Gefahrenabwehr verankert. Zusätzlich ist die Quellen-TK\"U auch in manchen Landesgesetzen zur Gefahrenabwehr verankert.
Das BKA kann die Quellen-TK\"U zur Abwehr von Gefahren des internationalen Terrorismus nach §§ 5, 51 Abs.1 i.V.m. Abs. 2 BKAG einsetzen. Das BKA kann die Quellen-TK\"U zur Abwehr von Gefahren des internationalen Terrorismus nach §§ 5, 51 Abs.1 i.V.m. Abs. 2 BKAG einsetzen.
Die Maßnahme setzt jeweils eine richterliche Anordnung voraus. Die Maßnahme setzt jeweils eine richterliche Anordnung voraus.
\subsubsection*{\S \S 49 BKA Gesetz - \enquote{Online-Durchsuchungen})} \subsubsection*{\S \S 49 BKA Gesetz - \enquote{Online-Durchsuchungen})}
Jenseits der \"Uberwachung laufender kryptierter Telekommunikation stellt die Kryptierung bzw. Verschlüsselung von Daten seitens der Täter (z. B. bei Verschlüsselung eines Bereichs der Festplatte eines Computers oder einer externen Festplatte) die Sicherheitsbehörden zunehmend vor technische Herausforderungen. Jenseits der \"Uberwachung laufender kryptierter Telekommunikation stellt die Kryptierung bzw. Verschlüsselung von Daten seitens der Täter (z. B. bei Verschlüsselung eines Bereichs der Festplatte eines Computers oder einer externen Festplatte) die Sicherheitsbehörden zunehmend vor technische Herausforderungen.
Um im Einzelfall verschlüsselte Daten als Spurenansätze bzw. Beweismittel auswerten zu können, ist die Online-Durchsuchung (ODS) ein geeignetes Ermittlungsinstrument zur Aufklärung schwerer Straftaten. Um im Einzelfall verschlüsselte Daten als Spurenansätze bzw. Beweismittel auswerten zu können, ist die Online-Durchsuchung (ODS) ein geeignetes Ermittlungsinstrument zur Aufklärung schwerer Straftaten.
Die ODS ermöglicht es den Ermittlungsbehörden, aus den Systemen einer betroffenen Person im Rahmen der gesetzlichen Möglichkeiten beweiserhebliche Daten auszuleiten.
Das BKA verfügt über Software zur Durchführung von Maßnahmen der ODS, die analog zur Quellen-TK\"U vor dem Einsatz einem umfangreichen Testverfahren unterzogen wird.
Die ODS zur Abwehr von Gefahren des internationalen Terrorismus nach dem BKAG ist in § 49 BKAG normiert, in Fällen der Strafverfolgung dient §100b StPO als Rechtsgrundlage.
Die Maßnahme setzt jeweils eine richterliche Anordnung voraus.
Die ODS ermöglicht es den Ermittlungsbehörden, aus den Systemen einer betroffenen Person im Rahmen der gesetzlichen Möglichkeiten beweiserhebliche Daten auszuleiten.
Das BKA verfügt über Software zur Durchführung von Maßnahmen der ODS, die analog zur Quellen-TK\"U vor dem Einsatz einem umfangreichen Testverfahren unterzogen wird.
Die ODS zur Abwehr von Gefahren des internationalen Terrorismus nach dem BKAG ist in § 49 BKAG normiert, in Fällen der Strafverfolgung dient §100b StPO als Rechtsgrundlage.
Die Maßnahme setzt jeweils eine richterliche Anordnung voraus.
\subsection{Nachrichtendienste} \subsection{Nachrichtendienste}
\begin{itemize} \begin{itemize}
\item \S 2 BND-Gesetze $->$ Wann darf der BND Informationen sammeln: \item \S 2 BND-Gesetze $->$ Wann darf der BND Informationen sammeln:
\begin{itemize} \begin{itemize}
\item Sicherheitspolitische Dinge im Ausland \item Sicherheitspolitische Dinge im Ausland
\item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern \item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern
\item Schutz und Abschirmung von Mitarbeitern \item Schutz und Abschirmung von Mitarbeitern
\end{itemize} \end{itemize}
\item \S 3 BND-Gesetze $->$ Welche Informationen darf der BND unter welchen Umstaenden sammeln: \item \S 3 BND-Gesetze $->$ Welche Informationen darf der BND unter welchen Umstaenden sammeln:
\begin{itemize} \begin{itemize}
\item Definiert \"uber \S 8a,b BVerfSchG, siehe drunter. \item Definiert \"uber \S 8a,b BVerfSchG, siehe drunter.
\end{itemize} \end{itemize}
\item \S 8a Bundes-Verfassungs-Schutz-Gesetz (Besondere Auskunftsverlangen) \item \S 8a Bundes-Verfassungs-Schutz-Gesetz (Besondere Auskunftsverlangen)
\begin{itemize}
\item Definiert bei welcher Art von Unternehmen welche Daten (Bestand und Verkehr) unter welchen Umst\"anden eingeholt werden k\"onnen
\item Unter anderem f\"ur Luftfahrtunternehmen,Kredit- und Finanzinstituten, Telekommunikationsdienstleister
\end{itemize}
\item \S 8b Bundes-Verfassungs-Schutz-Gesetz (Verfahrensregelungen zu besonderen Auskunftsverlangen)
\begin{itemize}
\item Regelt das Verfahren um die in \S 8a definierten Daten einzuholen
\end{itemize}
\item \S 3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des
Fernmeldegeheimnisses f\"ur Bedarfstr\"ager wie Verfassungsschutz, BND und MAD)}
\begin{itemize} \begin{itemize}
\item Das Brief-, Post- und Fernmeldegeheimnis zählt zu den Grundrechten und ist im Artikel 10 Grundgesetz verankert \item Definiert bei welcher Art von Unternehmen welche Daten (Bestand und Verkehr) unter welchen Umst\"anden eingeholt werden k\"onnen
\item Das Artikel 10-Gesetz - G 10 beschr\"ankt diesen Schutz und erm\"oglicht es BND und Co. Kommunikation zu \"Uberwachen \item Unter anderem f\"ur Luftfahrtunternehmen,Kredit- und Finanzinstituten, Telekommunikationsdienstleister
\item \S 3 listet Vorraussetzungen f\"ur TK\"U in Einzelf\"allen
\begin{itemize}
\item Verdacht gegen konkrete Person
\item Strafenkatalog
\end{itemize}
\item \S 5 regelt die Vorraussetzung zur strategischen TK\"U
\begin{itemize}
\item Darf nur f\"ur internationale Kommunikation angeordnet werden
\item Sammlung nur zu konkreten Zwecken
\item Aber ohne konkreten Anlass
\item Schutz der Daten aus "Kernbereichs privater Lebensgestaltung" durch \S 5a
\end{itemize}
\item \S 10 regelt das Verfahren zur Anordnung von TK\"U nach \S 3 und 5
\begin{itemize}
\item F\"ur Inhaltsdaten und Suchbegriffe bei \S 5 m\"ussen BND und Co. vorher die sog. G-10 Kommission um Erlaubnis fragen.
\item Anordnung auf 3 Monate beschr\"ankt
\item Beschr\"ankt die Menge der Daten aus \S 5 auf 20\% der \"Ubertragungskapazit\"at
\item Problem: Was ist das? Falls Leitungskapazit\"at, dann sind 20\% oft 100\% der Daten...
\item Problem: Routineverkehr (Ausland-Ausland-Verkehr) also Verkehr ohne beteiligung gesch\"utzter Personen unterliegt keiner Beschr\"ankung
\end{itemize}
\end{itemize} \end{itemize}
\item \S 8b Bundes-Verfassungs-Schutz-Gesetz (Verfahrensregelungen zu besonderen Auskunftsverlangen)
\begin{itemize}
\item Regelt das Verfahren um die in \S 8a definierten Daten einzuholen
\end{itemize}
\item \S 3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des
Fernmeldegeheimnisses f\"ur Bedarfstr\"ager wie Verfassungsschutz, BND und MAD)}
\begin{itemize}
\item Das Brief-, Post- und Fernmeldegeheimnis zählt zu den Grundrechten und ist im Artikel 10 Grundgesetz verankert
\item Das Artikel 10-Gesetz - G 10 beschr\"ankt diesen Schutz und erm\"oglicht es BND und Co. Kommunikation zu \"Uberwachen
\item \S 3 listet Vorraussetzungen f\"ur TK\"U in Einzelf\"allen
\begin{itemize}
\item Verdacht gegen konkrete Person
\item Strafenkatalog
\end{itemize}
\item \S 5 regelt die Vorraussetzung zur strategischen TK\"U
\begin{itemize}
\item Darf nur f\"ur internationale Kommunikation angeordnet werden
\item Sammlung nur zu konkreten Zwecken
\item Aber ohne konkreten Anlass
\item Schutz der Daten aus "Kernbereichs privater Lebensgestaltung" durch \S 5a
\end{itemize}
\item \S 10 regelt das Verfahren zur Anordnung von TK\"U nach \S 3 und 5
\begin{itemize}
\item F\"ur Inhaltsdaten und Suchbegriffe bei \S 5 m\"ussen BND und Co. vorher die sog. G-10 Kommission um Erlaubnis fragen.
\item Anordnung auf 3 Monate beschr\"ankt
\item Beschr\"ankt die Menge der Daten aus \S 5 auf 20\% der \"Ubertragungskapazit\"at
\item Problem: Was ist das? Falls Leitungskapazit\"at, dann sind 20\% oft 100\% der Daten...
\item Problem: Routineverkehr (Ausland-Ausland-Verkehr) also Verkehr ohne beteiligung gesch\"utzter Personen unterliegt keiner Beschr\"ankung
\end{itemize}
\end{itemize}
\end{itemize} \end{itemize}
\subsubsection*{Sonstiges} \subsubsection*{Sonstiges}
\begin{itemize} \begin{itemize}
\item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten \item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten
\item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen
(unbefugten) Angriffe erm\"oglicht werden (unbefugten) Angriffe erm\"oglicht werden
\item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in
die Grundrechte des Betroffenen eingegriffen wird die Grundrechte des Betroffenen eingegriffen wird
\item nach Einstellung der Ma\ss{}nahmen m\"ussen Betroffene grunds\"atzlich \"uber diese Informatiert werden, sodass sie in der Lage sind die Rechtm\"a\"Sigkeit dieser zu \"uberpr\"ufen. \item nach Einstellung der Ma\ss{}nahmen m\"ussen Betroffene grunds\"atzlich \"uber diese Informatiert werden, sodass sie in der Lage sind die Rechtm\"a\"Sigkeit dieser zu \"uberpr\"ufen.
Details hierzu sind in den Gesetzestexten verankert. Details hierzu sind in den Gesetzestexten verankert.
\end{itemize} \end{itemize}
\subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat} \subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat}
\begin{itemize} \begin{itemize}
\item Offene Ma\ss{}nahmen \item Offene Ma\ss{}nahmen
\begin{itemize} \begin{itemize}
\item Cold-Boot und Hot-Plug (Datentr\"ager) \item Cold-Boot und Hot-Plug (Datentr\"ager)
\item \enquote{offene Online-Durchsuchung} (Datentr\"ager) \item \enquote{offene Online-Durchsuchung} (Datentr\"ager)
\end{itemize} \end{itemize}
\item Verdeckte Ma\ss{}nahmen \item Verdeckte Ma\ss{}nahmen
\begin{itemize} \begin{itemize}
\item Herstellerkooperation (Backdoor etc.) (Kommunikation) \item Herstellerkooperation (Backdoor etc.) (Kommunikation)
\item (Hardware) Keylogger (Datentr\"ager) \item (Hardware) Keylogger (Datentr\"ager)
\item Live-Durchsuchung (z.B. Staatstrojaner) (Datentr\"ager) \item Live-Durchsuchung (z.B. Staatstrojaner) (Datentr\"ager)
\item Seitenkan\"ale/Metadaten (Kommunikation/R\"uckverfolgung) \item Seitenkan\"ale/Metadaten (Kommunikation/R\"uckverfolgung)
\item Schw\"achen in (Kryptographie-)Protokollen (Kommunikation/R\"uckverfolgung) \item Schw\"achen in (Kryptographie-)Protokollen (Kommunikation/R\"uckverfolgung)
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\section{Ermittlungen im Internetz} \section{Ermittlungen im Internetz}
\subsection{Lokalisierungstechniken} \subsection{Lokalisierungstechniken}
\subsubsection*{Teilprobleme} \subsubsection*{Teilprobleme}
@ -413,12 +460,12 @@
an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, diese an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, diese
Daten sind \"offentlich zug\"anglich. Daten sind \"offentlich zug\"anglich.
\subsubsection*{Domain Name System} \subsubsection*{Domain Name System}
Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum
Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf
die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}.
\subsubsection*{Passive DNS-Replikation} \subsubsection*{Passive DNS-Replikation}
Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob
mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \"uber die Zeit mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit \"uber die Zeit
aufgezeichneten Daten. aufgezeichneten Daten.
\subsubsection*{IP-Verschleierungstechniken} \subsubsection*{IP-Verschleierungstechniken}
\begin{itemize} \begin{itemize}
@ -428,7 +475,7 @@
\end{itemize} \end{itemize}
\subsubsection*{Counter the Countermeasures} \subsubsection*{Counter the Countermeasures}
\begin{itemize} \begin{itemize}
\item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur \item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur
Websiten durch ein \textit{HTTP-REFRESH} m\"oglich) Websiten durch ein \textit{HTTP-REFRESH} m\"oglich)
\item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln \item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln
\end{itemize} \end{itemize}
@ -438,20 +485,20 @@
\item Cache beim Client \item Cache beim Client
\item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist \item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist
\item Snapshot einer VM auf einem Server \item Snapshot einer VM auf einem Server
\item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem \item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem
und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server
mit mehreren VMs mit Daten Unbeteiligter) mit mehreren VMs mit Daten Unbeteiligter)
\item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups)
\end{itemize} \end{itemize}
\section{Date-Loss though Abstraction} \section{Date-Loss though Abstraction}
Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion
bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level
Informationen verloren gehen (k\"onnen). Informationen verloren gehen (k\"onnen).
\section{Carrier Dissertation Theorie} \section{Carrier Dissertation Theorie}
\begin{itemize} \begin{itemize}
\item Observation (Was hat der Ermittler gesehen) \item Observation (Was hat der Ermittler gesehen)
\item Capabilities (Welche Zust\"ande sind m\"oglich) \item Capabilities (Welche Zust\"ande sind m\"oglich)
\item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf
diesem System existiert) diesem System existiert)
\item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion) \item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion)
\item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion) \item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion)