From 58f809dbe4233ebb51e98fc569c418dc3a69444d Mon Sep 17 00:00:00 2001 From: Sheppy Date: Wed, 5 Apr 2017 19:53:32 +0200 Subject: [PATCH] missing carrier and abstractioninformationloss --- FFI/ForensInf2_Zusammenfassung.tex | 112 ++++++++++++++++++++++++++++- 1 file changed, 109 insertions(+), 3 deletions(-) diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index f38c0c7..5e4e26d 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -2,6 +2,7 @@ \usepackage{amsmath} \usepackage{nccmath} \usepackage{graphicx} + \usepackage{hyperref} \DeclareMathSizes{10}{10}{10}{10} \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} \setlength{\parindent}{0pt} @@ -246,10 +247,111 @@ \item Gefahrenabwehr $->$ Praevention, konkrete Gefahr als Anlass \item BKA-Gesetz $->$ Bundesrecht \end{itemize} - %TODO paragraphen - %TODO jura fall - %TODO nachrichtendienst + \subsection{Paragraphen} + \subsubsection{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} + \begin{itemize} + \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und + aufgezeichnet werden, wenn: + \begin{itemize} + \item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder + Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in Fällen, in + denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat + vorbereitet hat, + \item die Tat auch im Einzelfall schwer wiegt und + \item die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des + Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre. + \end{itemize} + \end{itemize} + \subsubsection{\S 100b Verfahren bei der Telekommunikationsüberwachung} + Das Vorgehen bei einer Ueberwachung, in a Nutshell, immer erstmal auf drei Monate + befristet, Statsanwalt kann bei Gefahr im Verzug anordnen, Gericht muss bestaetigen. + Telekomunikationsunternehmen muessen kooperieren. + \subsubsection{\S \S 102-110 Ebenfalls Strafprozessordnung} + \url{https://dejure.org/gesetze/StPO/102.html} \\ + Interessant hier: Daten duerfen gesichert/durchgesehen werden, wenn sonst ein Verlust + selbiger zu befuerchten ist. + \subsubsection{\S \S 100c, 100d StPO - Grosser Lauschangriff} + Betrifft die Ueberwachung eines gesamten Wohnraum und ist an aehnliche Vorraussetzungen wie + die Telekommunikationsueberwachung gebunden. Es gelten strenge Vorschrifte, welche Raeume + abgehoert werden duerfen und private Informationen muessen geloescht werden. + \subsection{Nachrichtendienste} + \begin{itemize} + \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: + \textbf{Sicherheitspolitische Dinge im ausland, Ueberpruefung von (zukuenftigen) + Mitarbeitern, Counter-Intelligence} + \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt primaer etwas ueber die + Zusammenarbeit der Laender mit dem BND aus) + \item §3,5,10 G10 \textit{(Regelt allgemein die Beschraenkung des Fernmeldegeheimnisses)} + \begin{itemize} + \item \S 3 listet Vorraussetzungen fuer Uebrwachung $->$ aehnliche Vorraussetzung + wie fuer Polizei Angriffe auf Bundesrepublik, Voelkerrechtsverbrechen, Terrorismus + \item \S 5 regelt internationale Verbinndungen + \item \S 10 regelt wie die Ueberwachung angeordnet wird + \end{itemize} + + \end{itemize} + \subsubsection{Sonstiges} + \begin{itemize} + \item minimale Aenderungen am angegriffenen System muss gewaehrleistet werden + \item es muss gewaehrleistet werden, dass durch den Eingriff keine anderen Angriffe + (unbefugten) ermoeglicht werden + \item ganz generell muss immer sichergestellt werden, dass so wenig wie moeglich in die + Grundrechte des Betroffenen eingegriffen wird + \end{itemize} + \subsection{Technische Moeglichkeiten - Hihihi wir sind der Staat} + \begin{itemize} + \item Herstellerkooperation (Backdoor etc.) + \item (Hardware) Keylogger + \item Cold-Boot + \item Live-Durchsuchung (z.B. Staatstrojaner) + \item Seitenkanaele/Metadaten + \item schwaechen in (Kryptographie-)Protokollen + \end{itemize} + \section{Ermittlungen im Internetz} + \subsection{Lokalisierungstechniken} + \subsubsection{Teilprobleme} + \begin{itemize} + \item User Geolocation (Position des Nutzers) + \item IP Geolocation (Position einer IP-Adresse) + \item IP Adress Extraction (welche IP hat der Ursprungsrechner) + \end{itemize} + \subsubsection{IP Geolocation} + Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} + an Regionale Verteiler verteilt usw. + \subsubsection{Domain Name System} + Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum + beispiel kann man so auch zusammengehoerige Seiten erkennen wenn mehre Domain-Names auf + die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. + \subsubsection{Passive DNS-Replikation} + Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuschauen ob + mehrere Domain-Names auf die selbe IP-Adresse abbilden, nur mit ueber die Zeit + aufgezeichneten Daten. + \subsubsection{IP-Verschleierungstechniken} + \begin{itemize} + \item VPN/Proxy bzw. Ketten selbiger (z.B. Tor) + \item Remote Session (z.B. xpra in den CIP) + \item Long Distance Dialup (Technologie "Gap" die Rueckverfolgung erschwert) + \end{itemize} + \subsubsection{Counter the Countermeasures} + \begin{itemize} + \item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (fuer Websiten + durch ein HTTP refresh moeglich) + \item JavaScript Exploit $->$ Client seine IP-Adresse mitschicken lassen + \end{itemize} + \subsection{Cloud & Websitesicherung} + \begin{itemize} + \item Internet Archive + \item Chache beim Client + \item Zugriff als Benutzer wenn Server ausser Reichweite + \item VM auf Server Snapshotten + \item ganzen Server Snapshotten ist kacke, doppelte Fragmentierung von VM-Filesystem + und Hypervisor Filesystem, ausserdem wahrscheinlich rechtlich fraglich, weil viele + Daten von unbeteiligten + \item VM-Carving (Wiederherstellung von geloeschten VM, vielleicht aus Backups) + \end{itemize} + \section{Date-Loss though Abstraction} +n %TODO nachrichtendienst %TODO informationen im internetz/netzwerk %TODO Information loss through abstraction @@ -258,5 +360,9 @@ \begin{itemize} \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer sinnvolle Priorisierungskriterien. + \item Der User ist dumm. + \item \textit{nachdem er gefragt hat fuer welche Seite er ein whois demonstrieren + soll}" '.fail'? Was ist das denn schon wieder fuer eine Toplevel-Domain. Ah Paulus, + Schilling, kennt man ja. \end{itemize} \end{document}