2007-05-18
FAQ: Rechner verhaftet – was nun?
Nachdem am 9.5.07 bundesweit an ca 40 Orten zeitgleich Durchsuchungen stattgefunden haben – und bei der Gelegenheit viele der vorhandenen Computer beschlagnahmt wurden erreichen uns immer wieder Nachfragen bzgl. des Umgangs mit solchen zurückgegebenen Geräten. Aus diesem Grund nachfolgend eine Zusammenstellung der häufigen Fragen (FAQ)
Bei den Razzien am letzten Mittwoch wurden diverse Rechner mitgenommen. Teilweise wurden diese schon bald zurückgegeben, und es besteht die Vermutung, dass auf den zurückgegebenen Rechnern Trojaner installiert wurden.
Das ist nicht auszuschliessen.
Wenn von Rechnern mails verschickt werden, können dann die Trojaner an alle Empfänger dieser mails mitversendet werden und deren Rechner auch infizieren, sowie sich von dort aus weiterverbreiten?
Theoretisch ja, praktisch unwarscheinlich da sehr plump und auffaellig. Je nachdem wie sensibilisiert der Empfaenger einer solchen mail ist wird er den Versuch bemerken oder von seiner Antivirensoftware beschuetzt. Auszuschliessen ist solch ein Versuch jedoch nicht.
Was für Infos können von diesen Trojanern erfasst und an die Bullen weitergegeben werden: Passwärter, passphrasen, pgp-Schlüssel…?
Alles, theoretisch. Die Argumentation der Schnueffler, warum sie nun eine “onlinedurchsuchung” (also Trojaner o.Ae.) brauchen ist u.A. der vermehrte Einsatz von Crypto: Festplattenverschluesselung, PGP, etc. Beschlagnahmte Hardware ist somit quasi unbrauchbar, da die Crypto in den meissten Faellen nicht oder nur mit sehr hohem Aufwand umgangen werden kann (Kosten-Nutzen Faktor). Mit einer Software wie einem “rootkit”, welche von den meissten “Trojaner” genannt wird (was nicht ganz der Terminologie entspricht), waere es moeglich, unbemerkt einen Rechner im laufenden Betrieb zu ueberwachen. Vorausgesetzt die Zielperson bekommt davon nichts mit waere es moeglich, auf Klartextdaten der verschluesselten Festplatte oder PGP/GPG verschluesselter Email zuzugreifen. Auch Passwoerter und Passphrases koennen so ermittelt werden. Warum? Weil in dem Moment wo die Zielperson auf seine Mails und Festplatten zugreift sind die Daten selbstverstaendlich unverschluessselt irgentwo im Speicher damit der Anwender damit arbeiten kann. Und mit einer Schnueffelsoftware waere es theoretisch und praktisch ohne weiteres moeglich auf diese und alle anderen Daten zuzugreifen wenn der Rechner eingeschaltet ist und die Zielperson Daten decryptet um damit zu arbeiten.
Welche Möglichkeiten gibt es, die Rechner oder andere Datenträger (USB-Sticks, …) wieder sicher zu machen?
Grundsaetzlich ist so ein Rechner als kompromittiert zu betrachten. Das heisst auch alle Login-Passwoerter auf dem Betriebssystem. Man sollte schleunigst ueberlegen, wo man die Passwoerter welche man auf dem Rechner verwendet hat (Login, Email/POP3/etc, PGP-Passphrase, etc) noch verwendet hat. Moeglicherweise (und das tun viele Leute) werden die gleichen Passwoerter auch auf anderen Rechnern und Servern verwendet.
Ein PGP-Key sollte revoked werden. Das revocation zertifikat dann mit einem neuen Key verteilt werden. Der PGP Private-Key liegt nur symmetrisch verschluesselt auf der Platte und kann mit einem gewissen Zeitaufwand gecrackt werden. Hier verhindert man zwar nicht, dass alte emails durch Schnueffler im nachhinein decryptet werden koennen, jedoch stellt man sicher, dass dies mit zukuenftigen emails nicht geschieht.
Rechner und Datentraeger sind idR nach einer vollstaendigen Neuinstallation zuverlaessig sicher. Man sollte jedoch bedenken, dass die Schnueffler in euren Daten rumpfuschen und hier Trojaner (hier waere der Begriff korrekt;) einbauen und hoffen, dass ihr bestimmte Programme/Daten aus eurem Altbestand erneut aufruft/installiert. Dann waere ein neu installiertes System ebenfalls wieder kompromittiert.
Ein individuell erstelltes rootkit/Trojanisches Pferd in Form von Software wird moeglicherweise nicht durch Virenscanner erkannt weil es fuer die Schadsoftware noch keine Signaturen, also Identifikationsmerkmale gibt – das sollte beruecksichtigt werden, wenn man sich fuer eine forensische Analyse entscheidet. Ein haendisches Durchsehen aller software ist meisst zu aufwaendig und die Gefahr ist recht hoch, dass etwaige Schadsoftware uebersehen wird.
Neben dem Einbau von “Hintertueren” / Schnueffelsoftware in Form von Programmen gibt es auch noch die Moeglichkeit, dass die Rechner hardwareseitig manipuliert wurden. Da muss jeder selbst mal abwaegen wie warscheinlich das im einzelnen Fall wohl ist. Ich erwaehne das nur, weil es theoretisch und praktisch machbar ist.
USB-Sticks sollten grundsaetzlich AUSSCHLIESSLICH mit Crypto-Dateisystemen verwendet werden um zu verhindern, dass geloeschte Daten von Forensikern wieder hergestellt werden koennen. Das ist naemlich problemlos moeglich, selbst wenn die Daten “geshreddert”, also vermeintlich “sicher” geloescht wurden (z.B. durch mehrmaliges ueberschreiben mit Zufallsdaten). Diese Speichermedien haben ein paar Eigenschaften (designbedingt) die ein sicheres Loeschen von Daten nicht erlauben.
[http://so36.net/Home/8.html]