Henk van Ess – Forensic Searching

Henk demonstriert einige Methoden, mit deren Hilfe man einschätzen kann, wie zuverlässig die Informationen auf einer Website sind. Schönes Beispiel: Welchen biografischen Informationen über Martin Luther King kann man trauen? Er zeigt erstmal nur die Web-Adressen (URLs) der Seiten:

  • martinlutherking.org
  • martinlutherking.tk
  • 213.198.79.178/members9/~melski/martinlutherking.htm
  • www.psd267.wednet.edu/~kfranz/SocialStudies/MLKJr/martinlutherking.htm

Die 213.198.79.178/etc.-Adresse ist unvollständig; wird nachgereicht, sobald Henk seine Präsentation schickt.

Erstes Beispiel: die .org-Domain wird erstellt von Stromfront, einer rechtsradikalen US-Organisation, denn jeder kann sich eine .org-Domain anmelden, die Registrierung ist „offen“. Die .tk-Seite zeigt er gar nicht, sondern charakterisiert die .tk-Registrierungsagentur als „die Kokaindealer des Webs“. „.tk“ steht für Tokelau; praktisch jeder Antragsteller bekommt dort eine Domain, es ist also höchste Vorsicht geboten. Bei der dritten URL schließlich deuten die Bestandteile „members9“ und die Tilde (~) darauf hin, dass es sich um eine private Homepage handelt. Bei der letzten schließlich zeigt die .edu-Domainendung, dass es sich um die Seite einer Bildungsinstitution handelt, denn .edu-Adressen bekommen nur Universitäten und Bildungseinrichtungen (zuerst nur die der USA und Kanadas, inzwischen auch in anderen Ländern – aber der Nachweis muss vorliegen, dass es sich um eine Bildungseinrichtung handelt). Mir fehlt der Hinweis, dass es sich auch bei der Seite mit .edu-Adresse um die Homepage eines Studenten handeln kann. Ob die dann glaubwürdiger ist als andere, muss nach anderen Kriterien beurteilt werden.

Jedenfalls sind .org-, .com- und .net-Domains niemals „geschützt“ gewesen, d.h. jeder konnte und kann sie sich registrieren lassen. Meine Anmerkung dazu: Auch die Abfragen der Domain-Inhaber führen häufig ins Leere, u.a. deshalb, weil es inzwischen so genannte Proxy(Stellvertreter-)-Dienste gibt, die nichts anderes tun, als für andere als Strohmann Domains anmelden und es damit ohne Unterstützung staatlicher Ermittler nahezu unmöglich machen, Domain-Inhaber zu identifizieren. Henk empfiehlt den „Social Engineering“-Ansatz: womöglich kommt man zum Erfolg, wenn man den technischen Admin anruft und nachfragt, wer die Domain registriert hat. Ist aber bei denjenigen, die es darauf anlegen, ihre Spuren zu verwischen, sehr unwahrscheinlich, damit zum Erfolg zu kommen. Eine gute Seite zur Abfrage von Registrierungsinformationen ist samspade.org.

Bei einer .de-Domain ist es aber noch in den meisten Fällen möglich, den Domaininhaber heraus zu bekommen, weil die Bestimmungen vorsehen, dass bei Denic (der deutschen Registrierungsagentur) verlässliche Daten hinterlegt werden, die über eine Domainabfrage bei Denic auch angezeigt werden. Allerdings ist es so, dass die Denic bzw. die privaten Anbieter, die Domains für Privatpersonen dort registrieren, bei Anmeldungen nicht verlangen, dass z.B. ein Personalausweis vorgelegt wird.

Schöner Hinweis auf Alexa Search, wo unter „Traffic Ranking“ für eine bestimmte Seite auch angezeigt wird, wer welche Websites registriert hat (etwa der Spiegel-Verlag mit spiegel.de, manager-magazin.de, wahreliebe.de und vielen anderen). Selbstverständlich können Anbieter auch diese Möglichkeit unterlaufen, wenn sie sich mit unterschiedlichen Angaben registrieren lassen. Die Chance, dennoch interessante Informationen zu bekommen, sollte man sich aber nicht entgehen lassen, denn viele Anbieter kennen die vielfältigen Möglichkeiten zur Recherche eben gar nicht.

Im nächsten Teil zeigte Henk, wie man herausfinden kann, was die Anbieter von bestimmten Informationen gerne verbergen würden. Sein spektakulärster Fall: der Calipari-Report, in dem untersucht wird, wie es dazu kommen konnte, dass italienischen Geheimdienstmitarbeiter im Irak von US-Soldaten erschossen wurde. Das Dokument wurde als PDF-Fassung mit geschwärzten Stellen veröffentlicht. Kopierte man den Text jedoch in ein Word-Dokument, verschwanden die Schwärzungen. Zum Vorschein kamen u.a. Angaben dazu, wie viele US-Soldaten (?) bis dahin im Irak ums Leben gekommen waren, Informationen also, die zu dem Zeitpunkt noch als vertraulich behandelt wurden.

Auch der Hinweis auf die Meta-Daten in Dateien (etwa in Word-Dokumenten) durfte nicht fehlen. Wie findet man zum Beispiel heraus, wer der Autor eines Dokuments ist? Indem man das Menü „Datei, Eigenschaften“ aufruft. Hat der Autor vergessen, die Informationen zu löschen, kann man dort neben dem Namen bisweilen auch die E-Mail-Adresse herausfinden. Schöne Anmerkung Henks: Sollte jemandem jemals dieses Informationen helfen, um einem Autor auf die Spur zu kommen, und der fragt, woher man die Informationen habe: nicht verraten! Denn je weniger davon wissen, desto geringer wird die Wahrscheinlichkeit, auf diese Art an verwertbare Information zu kommen. Außerdem empfiehlt Henk aus derartigen Gründen Kollegen, sich möglichst immer (auch) die elektronische Ausgaben eines Dokuments geben zu lassen.

Zusätzlich sollte man immer kontrollieren, ob ein Dokument in verschiedenen Versionen abgespeichert ist (Word bettet üblicherweise verschiedene Bearbeitungsstufen in ein Dokument ein, die nachträglich sichtbar gemacht werden können, wenn der Autor vergessen hat, sie zu löschen). Henks Beispiel für einen Geschichte, die daraus entstand, war die einer Stellungnahme (die Details habe ich leider nicht mitbekommen), in deren veröffentlichtem Text man lesen konnte, dass der Premierminister eine bestimmte Haltung unterstützt. In einer früheren Version des Dokuments ist zu lesen, dass das Kabinett sie unterstützt. Anhand der Tatsache, dass diese Passage wieder gestrichen wurde, konnte man zumindest schließen, dass das Kabinett die Unterstützung verweigert hatte. Ich komme im Moment nicht darauf, welche Aufsehen erregende Geschichte in Deutschland darauf beruhte, dass der Autor eines Dokuments vergessen hatte, die Versionen zu bereinigen. Vielleicht kann das einer der Kollegen ergänzen – oder unsere Leser, indem es jemand als Kommentar einfügt. Bitte recherchieren! (Ich kann grad’ nicht, sitze offline im Zug …)

Seine Buchempfehlung zum Thema: „Internet Forensics“, erschienen bei O’Reilly.

Henks Präsentation als PDF (1,1 Mb, Englisch).

Tags: , , , , , , , , , , , ,

2 Responses to “Henk van Ess – Forensic Searching”

  1. Torsten Says:

    Berühmte Metadaten-Geschichte war eine Machbarkeitsstudie zum Metrorapid, in dem zu sehen war, wie die Investition schöngerechnet wurde.

    http://www.heise.de/kiosk/archiv/ct/2002/5/41

    Übrigens würde ich mich davor hüten, eine Änderung so monokausal zu erklären wie oben beschrieben. In komplexen Organisationen gibt es viele Erklärungen für eine solche Änderung - ein Anlass für eine verschärfte Nachfrage ist es aber allemal.

  2. Pascal Says:

    Wo findet man denn die verschiedenen Bearbeitungsstufen eines Worddokumentes?