Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Onlinedurchsuchung 3
zurück zum Verweis zur nächsten Überschrift Angriffsobjekt PC
 

 
Onlinedurchsuchung
Ermittlungshandlungen

Angriffsobjekt PC

Ermittlungsmaßnahmen
Mitschnitte
Webdienste
Online-Kommunikation
Ergebnisse
  


Angriffsobjekt PC
  Hauptplatine
  BIOS
  Prozessor - CPU
  Cache
  Hauptspeicher - Arbeitsspeicher
  Swap-Datei
  Massenspeicher

Selektion von Daten
  automatische Routinen
  intellektuelle Suche

Netzwerkkarte
Multimedia-Komponenten
 

 
Nach der Veröffentlichung dieses Beitrages äußerten sich das Bundesinnenministerium und der Präsident des Bundeskrimalamtes genauer zum bezweckten Einsatz des "Bundestrojaners".

Updates
 

zurück zum Verweis zur nächsten Überschrift nach oben Angriffsobjekt PC
 

Großansicht
  


Ein handelsüblicher PC verfügt über standardisierte Bauteile, die ungeachtet ihrer technischen Weiterentwicklung und Gestaltung prinzipiell immer dieselben Funktionen haben.

Das Herzstück ist die Hauptplatine (Motherboard, Mainboard). Sie führt alle technischen Funktionen, Komponenten und Schnittstellen zusammen.

Auf der Hauptplatine befindet sich immer das BIOS (Basic Input Output System). Es ist in einem Speicherchip gekapselt und enthält die Grundinformationen für den Start des Computers. Es beinhaltet im wesentlichen technische Informationen, die für Ermitllungen selten von Interesse sind. Allerdings steuert das BIOS auch die Erreichbarkeit der angeschlossenen Laufwerke (vor Allem die Festplatten als Datenspeicher), so dass seine Manipulation dann sinnvoll ist, wenn der Angriff mit einer Hardware-Installation erfolgen soll.

Der Prozessor (Central Processing Unit - CPU) ist die Rechenmaschine und zentrale Steuerung des PCs. Er verarbeitet Daten und speichert sie allenfalls vorübergehend ( Cache), um die Verarbeitungsgeschwindigkeit zu optimieren. Eine direkte technische Manipulation des Prozessors macht in aller Regel keinen Sinn, weil sich Datenzugriffe und Funktionssteuerungen erheblich einfacher mit Programmcodes ausführen lassen, wie die Erfahrungen mit der Malware zeigen.
 


Für die zügige Anlieferung der Daten, die vom Prozessor verarbeitet werden sollen, ist der Hauptspeicher zuständig (Arbeitsspeicher). Er speichert alle im PC aktivierten Prozesse und enthält "flüchtige" Daten, die er von der Festplatte, anderen Speichermedien oder Eingabegeräten bezieht. Wegen der ständig gestiegenen Datenmenge, die zu verarbeiten ist, werden vom Prozessor selten benötigte Daten nicht in den Arbeitsspeicher, sondern in eine Swap-Datei auf der Festplatte geschrieben.

Arbeitsspeicher und Swap-Datei sind beliebte Angriffsziele, wenn es Sicherheitslücken auszunutzen gilt, und für einen Datenangriff von Interesse, um die laufenden Verarbeitungsvorgänge zu protokollieren und auszuwerten (z.B. mit software-basierenden Keyloggern). Das lässt sich am einfachsten dadurch realisieren, dass man mit Malware den Prozessor anspricht und ihn für die Protokollierung missbraucht. Er betrachtet sie als ein normales Programm, das er wie alle anderen verarbeitet. Allerdings könnte ein gut funktionierender Virenscanner die Malware blockieren. Sie müsste deshalb in ein unauffälliges Programm eingebettet werden ( Trojaner), Tarnkappen-Techniken einsetzen ( Stealth-Viren) oder den Virenscanner außer Betrieb setzen ( Retro-Viren). Die dazu erforderlichen Rootkits in Form von einfach zu bedienenden Werkzeugkästen können im Internet frei bezogen werden:

Pinch: Trojaner-Baukasten für Dummies, network-secure.de 26.07.2007
Trojaner-Basteln für Dummys, Heise online 20.07.2007
 

zurück zum Verweis zur nächsten Überschrift nach oben Massenspeicher  
 

 
Der wichtigste Datenspeicher ist die Festplatte. Sie ist ein dauerhafter Massenspeicher für Daten und Dokumente und kann auch noch Dateien enthalten, die vom Betriebssystem als gelöscht gekennzeichnet sind. Das liegt daran, dass Dateien in aller Regel nicht gelöscht werden. Dies würde ein vollständiges Überschreiben des betreffenden Speichers mit Null-Werten erfordern. Statt dessen wird der "gelöschte" Bereich zum Überschreiben freigegeben, so dass erst im Laufe der Zeit die gelöschte Datei dadurch verschwindet, dass sie mit jüngeren überschrieben wird.

Die Festplatte wird in aller Regel ergänzt von anderen Speichermedien wie zum Beispiel CD- und DVD-Laufwerke, Wechselfestplatten und USB-Sticks. Datenträger sind in vielfältiger Form im Einsatz. So können auch die Datenspeicher in den meisten Digitalkameras für die Aufbewahrung beliebiger Dateien verwendet werden.
 

 
Der Zugriff auf Massenspeicher ist sicherlich das interessanteste Anwendungsfeld für den Datenangriff bei der Strafverfolgung. Ihr Problem ist die Datenmasse. Trotz moderner, schneller und breitbandiger Übertragungstechniken wie DSL ist es fast unmöglich, ganze Festplatten über das Netz zu kopieren - jedenfalls von der Zielperson unbemerkt. Selbst das Kopieren von Festplatten, die sichergestellt sind, kann viele Stunden dauern, ohne dass damit eine inhaltliche Auswertung verbunden ist.
 

zurück zum Verweis zur nächsten Überschrift nach oben Selektion von Dateien  
 

 
Für die Online-Durchsuchung werden deshalb ausgeklügelte Verfahren zum Einsatz kommen müssen, um die Dateien auszuwählen, die übertragen werden sollen. Dazu sind zwei grundsätzlich verschiedene Verfahren denkbar:

1. automatische Routinen:
Mit ihnen wird der Massenspeicher untersucht, um die Dateien zu lokalisieren, die von Interesse sind.

Beispielgebend ist Perkeo. Dieses Programm arbeitet wie ein Virenscanner und  ist darauf spezialisiert, die Hashwerte (Prüfsummen) von bekannten kinderpornographischen Bildern mit den Dateien auf Massenspeichern zu vergleichen. In einer abgewandelten Funktion ist das Programm auch in der Lage, die Standarddateien der bekannten Programmhersteller zu erkennen, so dass sie von den individuell bearbeiteten Dateien unterschieden und diese gezielt übertragen werden können.

Die Technik zum Versenden der Daten ist von den Computerwürmern bekannt, die ihre Komponenten, Erweiterungen und Aktualisierungen aus dem Netz laden und dazu vor Allem einen eigenen FTP-Server installieren.

 
Eine andere Methode zur automatischen Analyse zeigen die Dämonen ( Daemon) und die Virenscanner, soweit sie unbekannte Malware anhand ihrer Funktionen und Wirkungen zu erkennen versuchen ( Heuristik). Sie untersuchen die Dateien (und Prozesse) anhand vorgegebener Merkmale und können dadurch eine mehr oder weniger präzise Auswahl treffen.

Die modernsten Formen "intelligenter" Automatiken werden als "mobile Agenten" im Zusammenhang mit der Forschung zur verteilten künstlichen Intelligenz entwickelt. Ein solcher Persönlicher Informationsagent - PIA - wurde 2006 von der TU Berlin vorgestellt.

2. intellektuelle Suche:
Hierzu bedarf es eines menschlichen Zugriff in der Art des Hackings, wobei sich die Ermittlungsperson unbemerkt "auf dem Rechner umschaut". Diese Methode kann mit frei zugänglicher Software unterstützt werden, die im Zusammenhang mit den Botnetzen ( Botnetze) bekannt ist (siehe auch andere Methoden zur Ausspähung, Journalistische Quellen).

zurück zum Verweis zur nächsten Überschrift nach oben
 

Gordon Bolduan, Von Agenten gesucht, Technology Review 25.08.2006

Wurm Sasser dringt über Windows-Sicherheitslücke ein, Heise online 01.05.2004

"Bundestrojaner" heißt jetzt angeblich "Remote Forensic Software", heise online 03.08.2007

Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen, Heise online 08.08.2007
 

zurück zum Verweis zur nächsten Überschrift nach oben Updates
 

25.08.2007: Nach der Veröffentlichung dieses Beitrages äußerte sich das Bundesinnenministerium genauer darüber, was es eigentlich als "Bundestrojaner" einzusetzen gedenkt. Dabei soll es sich um eine Spyware handeln, die selbsttätige Auswertungsroutinen und Keyloggerfunktionen enthält. Sie soll ihre Auswertungsergebnisse zunächst im PC zwischenspeichern und nach der Verbindungsherstellung zum Internet auf einen Server des Bundeskriminalamtes übermitteln.

Stefan Krempl, Innenministerium verrät neue Details zu Online-Durchsuchungen, c't 24.08.2007

28.08.2007: Der BKA-Chef Jörg Ziercke stellt in seinem Beitrag zur Kieler Sommerakademie der Datenschützer die Sicherung unverschlüsselter Daten als Ziel der Onlinedurchsuchung in den Vordergrund. Danach sollen vom Bundestrojaner die Daten im PC der Zielperson ausgewertet, selektiert und nur auszugsweise an die Ermittlungspersonen übermittelt werden. Das soll unter der Aufsicht eines Richters in besonderen Fällen erfolgen, die der besonders schweren Kriminalität angehören.

Hickhack um Online-Durchsuchung, Heise online 28.08.2007
 

29.08.2007: Einen Tag später zitierte Heise Online den BKA-Präsidenten mit folgenden Aussagen:

... Es gehe "schlicht und einfach um fünf bis maximal zehn solcher Maßnahmen im Jahr". ... Ziercke sagte, der Aufwand für eine einzige Online-Durchsuchung sei beträchtlich, "weil wir jeweils eine eigene Software entwickeln müssen". Diese Software werde immer nur für den Einzelfall erarbeitet, "ein Unikat, das speziell auf die Rechner-Umgebung eines Verdächtigen zugeschnitten wird". Auf die Frage, wie diese Software auf den Computer eines Verdächtigen geladen werden solle, ob man etwa heimlich in Wohnungen eindringen oder Vertrauenspersonen finden müsse, die Zugang haben, antwortete Ziercke: "Da gibt es viele Möglichkeiten." Es sei aber auch möglich, "die Software online über das Internet auf den Computer aufzuspielen". ...

BKA-Chef: "Maximal zehn" Online-Durchsuchungen im Jahr, Heise online 29.08.2007
zurück zum Verweis nach oben Netzwerkkarte Multimedia-Komponenten
 

 
Die Netzwerkkarte ist entweder schon in die Hauptplatine integriert oder wird auf sie als Steckkarte aufgesetzt. Sie birgt und verwaltet zwei Informationen, die (prinzipiell) von außen abgefragt werden können und für die Identifizierung des Rechners von Interesse sind. Das ist zunächst die Netzwerkadresse ( IP-Adresse), die jedem Rechner und jeder "intelligenten" Netzwerkkomponente eine individuelle Kennung gibt. Die Geräte an der Adresse können aber wechseln, so dass die IP-Adresse eher einen Standort, aber nicht zwingend eine einzelne Maschine kennzeichnet.

Das ist hingegen die Aufgabe der MAC-Adresse - Media Access Control, die vom Hersteller der Netzwerkkarte eingestellt wird und von allen anderen MAC-Adressen unterscheidbar sein soll. In wenigen Einzelfällen sind aber schon gleiche Gerätekennungen verwendet worden.

Moderne Router verfügen aber über so viel eigene "Intelligenz", dass sie eigene IP- und MAC-Adressen haben, so dass ein Angreifer selten "durch sie hindurch" auf die Netzwerkkarte des Zielgerät zugreifen kann. Einfacher ist es, vom Zielgerät aus mit einer Malware die Daten der Netzwerkkarte auszulesen und nach Wurm-Art an den Angreifer zu übermitteln.
   

 
Schließlich soll auf die Möglichkeit hingewiesen werden, die besondere Ausstattung von MultimediaPCs für einen Angriff zu benutzen. Sie verfügen gelegentlich über Kameras und Mikrofone, die mit einer Malware natürlich auch unbemerkt vom Anwender aktiviert werden können. Ihre Leistungsmermale sind allerdings in aller Regel so niedrig, dass eine aussagekräftige akustische oder optische Informationsbeschaffung mit ihnen nicht möglich ist.

Etwas anderes gilt, wenn (im gewerblichen Bereich) der Computer für die Steuerung einer Überwachungsanlage verwendet wird. Deren Komponenten sind in aller Regel hochwertig und könnten deshalb für einen Angriff von Interesse sein.
  

zurück zum Verweis nach oben Cyberfahnder
 

 

 

 

 

 

 

 

 

 

 

© Dieter Kochheim, 02.08.2009