RA Koll @Twitter

IT-Forensik

Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lÀsst sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von LĂ€ndern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt ĂŒber ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in ĂŒber 40 LĂ€ndern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen ĂŒber die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die ĂŒber ein Smartphone lĂ€uft, abfangen, und das GerĂ€t sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Datenschutz – IT/Forensik – Compliance: ein magisches Dreieck?

In der Fortbildungsreihe Update! – Bundesdatenschutzgesetz findet am 23.09.2013, 09:00-17:00 Uhr, eine Fachtagung im Dorint Pallas Hotel in Wiesbaden statt.

Datenklau, Sabotage, Spionage: alles Horrorvisionen fĂŒr Unternehmen,die gerade in ihrer IT verwundbar sind. Doch was tun, um im Rahmen der Vorsorge oder bei ersten Anzeichen von Pannen schnell und richtig zu reagieren? Gefragt sind hier auch Datenschutzbeauftragte, IT-Forensiker und Compliance-Beauftragte. Die Tagung dient dazu, deren Möglichkeiten und Zusammenspiel auf der Basis neuester technischer Erkenntnisse und datenschutzrechtlicher Grenzen zu beleuchten. Top-Referenten zeigen praktische Lösungen auf.

Die Tagung wird durchgefĂŒhrt in Kooperation mit dem Bundesverband mittelstĂ€ndischer Wirtschaft e.V..

 

Interessierte finden weitere Informationen auf der Homepage des Veranstalters. Die Tagung kann nach Auskunft des Veranstalters  nach § 15 FAO fĂŒr FachanwĂ€lte Informationstechnologierecht und FachanwĂ€lte Strafrecht anerkannt werden.

SMS Absender – Fälschung kein Problem beim iPhone

KĂŒrzlich wurde eine SicherheitslĂŒcke im SMS-Protokoll von iOS bekannt, wonach die Angabe einer gefĂ€lschten Absenderkennung beim iPhone problemlos möglich ist.

Wie ein Hacker herausgefunden hat, ist es möglich, den Header einer SMS derart zu manipulieren, dass dort statt der eigentlichen Absenderadresse (also der Rufnummer) eine beliebige Antwortadresse eingetragen werden kann. Antwortet der EmpfÀnger der SMS-Nachricht auf die SMS, so geht die Antwort an den gefÀlschten Absender.

Sicherheitstechnisch ist dies bereits deswegen bedenklich, da so beispielsweise IdentitĂ€tstĂ€uschungen dazu verwendet werden können, arglose Benutzer zur Übersendung vertraulicher Daten an Kriminelle zu veranlassen.

Die Möglichkeit der Manipulation des SMS-Headers besteht bei allen iOS-Versionen, sie ist sogar noch in einer aktuellen Beta-Version von iOS 6 vorhanden. Apple hat diesbezĂŒglich verlauten lassen es handele sich nicht um ein Problem unmittelbar beim iPhone, sondern des SMS-Protokolls insgesamt. Die sichtbare Absenderadresse auszutauschen sei auch bei vielen Smartphones anderer Hersteller möglich. Von daher verweist Apple auf den eigenen iMessage-Dienst, da bei diesem derartige Attacken unmöglich seien. Dies wird damit begrĂŒndet, dass iMessage ĂŒber eine integrierte Verifizierungsfunktion verfĂŒge, die den Absender einer Nachricht zweifelsfrei identifiziere.

 

Apple hat insofern Recht, als dass es auch bisher schon problemlos möglich war, ĂŒber SMS-Dienste im Internet SMS mit einer gefĂ€lschten Absenderrufnummer zu erstellen und zu versenden. So kann man auf dem Internetportal www.fakemysms.com entsprechende Nachrichten erstellen. Wie (kinder)leicht das geht, zeigt dieses YouTube-Video:

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder TĂ€tigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingerĂ€umter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell spĂ€teren juristischen WĂŒrdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frĂŒhen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische KlĂ€rung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund mĂŒssen alle TĂ€tigkeiten sorgfĂ€ltig dokumentiert und protokolliert werden. Die gesammelten Daten mĂŒssen auch frĂŒhzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschĂŒtzt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.htmlhttps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der QualitĂ€tssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie BeweiswĂŒrdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nĂ€mlich dass sich deutsche Gerichte keine Beweisregeln aufzwĂ€ngen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 


 Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung kĂ€me einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem MessgerĂ€t angezeigten Messwertes) fĂŒr bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien BeweiswĂŒrdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das MessgerĂ€t angezeigt hat, betrifft vielmehr allein die tatrichter­liche BeweiswĂŒrdigung im Einzelfall 


 

Kritik erfĂ€hrt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den BĂŒrgern dieses Landes auf völliges UnverstĂ€ndnis stĂ¶ĂŸt.

“Chain-of Custody-(CoC) – Was ist das?

Im Bereich der forensischen Wissenschaften stolpert man immer wieder ĂŒber den Begriff der “Chain of Custody”. Auch im Rahmen der EDV-Beweissicherung/IT-Forensik wird dieser Begriff immer wieder verwendet.

 

DiesbezĂŒglich ist zunĂ€chst festzuhalten, dass der Begriff aus dem anglo-amerikanischen Rechtssystem stammt. Chain of Custody bedeutet in etwa “Kette des Gewahrsams” oder “Gewahrsamskette”. Gemeint ist also die PrĂ€sentation der einzelnen Beweismittel gegenĂŒber dem Gericht in der Weise, dass die AuthentizitĂ€t (also Echtheit im Sinne von “als Original befunden”) des ĂŒbermittelten Beweismaterials fĂŒr das Gericht plausibel wird. Mit anderen Worten, die CoC soll sicherstellen, dass dem Gericht nur der “originale” Beweis prĂ€sentiert wird und keinerlei VerfĂ€lschung stattgefunden hat in dem z.B. echte Beweismittel “gepflanzt” worden sind oder sogar falsche Beweismittel geschaffen worden sind.

 

Der Gedanke und der dahinter stehende Vorgang ist eigentlich simpel. Die Chain of Custody setzt voraus, dass von dem Zeitpunkt an, in dem ein BeweisstĂŒck sichergestellt wird, jede weitere Übermittlung des BeweisstĂŒcks von Mensch zu Mensch dokumentiert werden muss. Es muss beweisbar sein, dass niemand (unberechtigt oder auch nur unbemerkt) auf das Beweismittel zugegriffen haben kann und Manipulationen vorgenommen haben könnte.

 

Jede Transaktion, beginnend mit der Sicherstellung der BeweisstĂŒcke bis zur endgĂŒltigen Vorlage im Gerichtssaal vor Gericht, sollte vollstĂ€ndig und chronologisch dokumentiert werden. Gleichzeitig sollten die Bedingungen und genauen Orte unter denen das Beweismittel gefunden wurde, eingesammelt wurde, verpackt wurde, transportiert, gelagert und eventuell untersucht wurde, dokumentiert werden. Jede Übergabe des Beweismittels an eine andere Person (z.B. PHK A >> KHK B >> Asservatenstelle Polizei >> Asservatenstelle StA >> StA X >> Gerichtswachtmeister Y) muss zudem mit einem Übergapeprotokoll dokumentiert werden, welches von den beteiligten Personen zu unterschreiben ist.

 

Das anglo-amerikanische Recht legt sehr viel Wert auf die Chain-of-Custody. Kann die Gewahrsamskette nicht lĂŒckenlos dargelegt werden, weil z.B. Unterschriften auf den Übergabeformularen fehlen oder fehlen solche Protokolle insgesamt, so kann die Verteidigung die Nicht-Zulassung des Beweismittels beantragen.

 

Das deutsche Recht kennt derart strikte Beweisregeln (leider) nicht. Obwohl auch die deutschen Strafverfolgungsbehörden Übergabeprotokolle ausfĂŒllen, wenn Asservate – also Beweismaterial – ĂŒbergeben werden, so wird der Dokumentation der Chain-of-Custody nur wenig Aufmerksamkeit geschenkt. RegelmĂ€ĂŸig fehlen Unterschriften auf den Übergabeprotokollen, die Bezeichnung der GegenstĂ€nde ist oft ungenau oder pauschal.   Dieser Umstand ist ĂŒberaus bedauerlich, da in der Praxis Gerichte die Möglichkeit einer – bewussten oder unbewussten – BeweismittelverfĂ€lschung regelmĂ€ĂŸig ĂŒberhaupt nicht in Betracht ziehen. Und selbst wenn die Verteidigung Möglichkeiten einer VerfĂ€lschung aufzeigt,  beeindruckt dies die Gerichte im Regelfall nicht. Auch wenn die Gewahrsamskette LĂŒcken aufweist, so kann sich das Gericht im Rahmen freier BeweiswĂŒrdigung (§ 261 StPO) dennoch davon ĂŒberzeugen, dass das Beweismittel authentisch ist, oft mit dem Bemerken, die Verteidigung habe wohl zuviel Fernsehen geschaut oder leide unter paranoiden Vorstellungen. Das Vertrauen der Gerichte in die Ermittlungsbehörden scheint dabei oft grenzenlos. Auch wenn ein Beamter ein paar Unterschriften vergessen hat, wird die Beweissicherung doch schon in Ordnung gewesen sein, schließlich ist der Mann doch Polizeibeamter 


 

Dabei wird natĂŒrlich ĂŒbersehen, dass die Verteidigung selten mehr als die Möglichkeit einer VerfĂ€lschung der Beweismittel aufzeigen kann. Zugleich wird der Verteidigung – und damit letztlich dem Angeklagten – auferlegt, den Nachweis fĂŒr eine Manipulation oder VerfĂ€lschung  zu erbringen. Dieser Zustand ist mit dem VerstĂ€ndis eines Rechtsstaates nicht in Einklang zu bringen! Denn wenn eine Möglichkeit der BeweismittelverfĂ€lschung – mag sie auch noch so fernliegend sein – ĂŒberhaupt erst durch unsaubere Dokumentation auf Seite der Ermittlungsbehörden geschaffen wird, dann ist de lege ferenda in solchen FĂ€llen ein (unselbstĂ€ndiges) Beweisverwertungsverbot zu konstituieren. Erst wenn dies der Fall ist, wird Schlamperei der Ermittlungsbehörden wirksam vorgebeugt, das Beweisverwertungsverbot wĂŒrde gleichzeitig, unmittelbar und wirksam der QualitĂ€tssicherung der Arbeit der Ermittlungsbehörden dienen.

 

Dass eine QualitĂ€tssicherung angebracht ist, da auch Polizeibeamte und StaatsanwĂ€lte nicht unfehlbar sind, wird nicht zuletzt an einem pressewirksamen Beispiel in einem der wohl spektakulĂ€rsten ungeklĂ€rten MordfĂ€lle in der Geschichte der Bundesrepublik deutlich. So titelten die LĂŒbecker Nachrichten am 7.10.2011:

 

Der Umgang der LĂŒbecker Staatsanwaltschaft mit BeweisstĂŒcken im Barschel-Fall weitet sich zum Justiz-Skandal aus. Erst ging es nur um ein verschwundenes Haar. Gestern wurde bekannt, dass der Barschel-Chefermittler und ehemalige Leiter der LĂŒbecker Staatsanwaltschaft, Heinrich Wille, eines der BeweisstĂŒcke einfach mit zu sich nach Hause genommen hat.

 

http://www.ln-online.de/lokales/luebeck/3256264

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen GerĂ€ten zu finden sind, wurden diese GerĂ€te fĂŒr Ermittler im Strafverfahren zu einem Ă€ußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile EndgerĂ€te wie Handy, Smartphones, iPhone, iPad etc. werden zunĂ€chst beschlagnahmt wie sonstige bewegliche Sachen und GegenstĂ€nde auch, nach den §§ 94 ff. StPO. Anschließend können diese GegenstĂ€nde von IT-Forensikern untersucht werden.

 

Live-Analyse

ZunĂ€chst kann der Forensiker ein GerĂ€t, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darĂŒber erhĂ€lt er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des GerĂ€tes den Ermittlern, auch flĂŒchtige Daten (also solche Daten, welche nach Ausschalten des GerĂ€tes gelöscht werden) zu sichern. Da dies ein sehr aufwĂ€ndiges Verfahren ist und je nach mobilem EndgerĂ€t andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende GerĂ€t vom VerdĂ€chtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte EndgerÀt ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen EndgerÀten kaum von der Untersuchung von Computerfestplatten.

ZunĂ€chst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhĂ€ngiger – zumeist proprietĂ€rer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverstĂ€ndlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die IntegritĂ€t der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfĂ€ltigt werden, um als Grundlage fĂŒr diverse Untersuchungen zu dienen. In diesem Stadium lĂ€uft der Prozess von EndgerĂ€t zu EndgerĂ€t Ă€ußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die grĂ¶ĂŸte Herausforderung bei der Untersuchung von mobilen EndgerĂ€ten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der grĂ¶ĂŸten Herausforderungen fĂŒr den Computerforensiker.

Forensik-Distribution DEFT

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die hĂ€ufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flĂ€chendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhĂ€ltlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dĂŒrfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhĂ€ltlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlĂ€ssig unterstĂŒtzt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgefĂŒhrt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie MilitĂ€r, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.

Professionelle Cyberkriminelle – Trojaner-Programmierer entwickeln eigene Programmiersprache

Die Programmierer des Duqu-Trojaners haben nach Angaben von Experten von Kaspersky Lab Teile des schĂ€dlichen Codes in einer bislang unbekannten Programmiersprache verfasst. Die gleichen Programmierer haben im Übrigen den Stuxnet-Wurm programmiert.

Die Analysen des Anti-Viren-Herstellers Kaspersky haben ergeben, dass die Sprache objektorientiert ist und insbesondere im Bereich der Netzwerkbefehle mit einem eigenen Befehlszeichensatz arbeitet. Nach Angaben der Analysten nannte sich der Teil des Trojaners, der in der bislang unbekannten Programmiersprache abgefasst ist, „Duqu-Framework“.

Laut Chief Security Expert Alexander Gostev zeigt die gesamte Vorgehensweise, wie professionell die Entwickler bei der Programmierung des Duqu-Trojaners vorgegangen sind. Dazu mĂŒssen erhebliche technische und auch finanzielle Ressourcen fĂŒr das Projekt zur VerfĂŒgung gestanden haben.

Dies zeigt deutlich, dass Internet-Kriminelle immer professioneller vorgehen. Angesichts des erheblichen Finanzbedarfs, den solche Projekte mit sich bringen, ist zudem davon auszugehen, dass organisierte Strukturen als Auftraggeber hinter solchen AktivitÀten stehen.

Der Duqu-Trojaner wurde erstmals im September 2011 entdeckt. Die Analyse des Programmcodes ergab jetzt jedoch, dass das Stuxnet-Projekt in direkten Zusammenhang mit diesem Trojaner steht.

Duqu war insbesondere bei Angriffen auf industrielle Kontrollsysteme aufgefallen, wurde also im Rahmen von Industriespionage eingesetzt. PopulÀrstes Ziel waren dabei Atomkraftwerke im Iran.

ComputerStrafrechtBLOG jetzt auch bei JuraBlogs!

Seit letzten Samstag, den 18.02.2011, ist dieses Blog auch bei den JuraBlogs gelistet. Das freut mich sehr und hoffe, dass sich darĂŒber neue Leser dieses Blogs einfinden, die Interesse am Computerstrafrecht, Datenschutz und IT-Forensik haben.

In den letzten Wochen war es hier auf dem Blog serh ruhig, was sicherlich zum einen an der beschaulichen Stimmung zum Jahreswechsel gelegen hat, aber auch daran, dass ich auf meinem anderen Blog STRAF!Verteidiger etwas aktiver war. BesetzungsrĂŒgen am BGH, soviel sei gesagt. Wer Kollege ist, und sich interessiert, der darf sich das andere Blog gerne mal ansehen. Dort finden sich diverse Themen, die einen Strafverteidiger in seinem Alltag beschĂ€ftigen. Alles was Computerstrafrecht im weiteren Seinne ist, also alles was mit neuen Medien, Datenbeschlagnahme, IT-Forensik etc. zu tun hat, steht (auch in Zukunft) hier.

Danke an die JuraBlogs fĂŒr die Aufnahme, ich denke, dies verschafft mir die nötige Motivation, in den nĂ€chsten Wochen und Monaten hier einiges an neuem Content zu bloggen!

 

P.S.: Wer den Newsfeed sucht, linke Spalte, ganz unten im Kasten „Meta“…

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene AnsÀtze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von DatentrÀgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

FlĂŒchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemĂ€ĂŸen Zugriff Ă€ndern kann.

TemporĂ€r zugĂ€ngliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugĂ€nglich sind, z. B. wĂ€hrend der Laufzeit einer Anwendung oder Nutzung einer bestimmten AnwendungsfunktionalitĂ€t. BSI Maßnahmenkatalog M 6.126

TemporĂ€r zugĂ€ngliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren VerĂ€nderung oder Vernichtung fĂŒhren. FlĂŒchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flĂŒchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flĂŒchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede TĂ€tigkeit am verdĂ€chtigen System auch das verdĂ€chtige System selbst verĂ€ndert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdĂ€chtigen IT-System laufenden Prozesse auch die fĂŒr den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemĂ€ĂŸem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126

Bei der spĂ€teren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der VerĂ€nderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern fĂŒr auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die IntegritĂ€t der Daten praktisch nicht mehr gewĂ€hrleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren VerĂ€nderung bewirkt. Das wĂ€re kein Problem, wenn es eine nicht-kompromittierte Version der Daten gĂ€be. Denn eine Zerstörung von Beweismaterial durch sachverstĂ€ndige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von BetĂ€ubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur DurchfĂŒhrung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprĂŒnglichen Spurenmaterials erhalten, damit ggf. ein weiterer SachverstĂ€ndiger die Analyse wiederholen kann, um die QualitĂ€t und Richtigkeit der Arbeit des ersten SachverstĂ€ndigen zu ĂŒberprĂŒfen.

Ein (weiterer) SachverstĂ€ndiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfĂ€lschte – Beweismaterial zur VerfĂŒgung. Eine Kontrolle durch einen anderen SachverstĂ€ndigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden SachverstĂ€ndigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!