(Kurze Notizen vom 15. DFN-Workshop „Sicherheit in vernetzen Systemen“ – einer Konferenz, die entgegen des ersten Eindruckes ziemlich viel für recherchierende Journalisten zu bieten hat.
Den Konferenzband gibts bei BoD:
15. DFN Workshop „Sicherheit in vernetzen Systemen“ / hrsg. v. Christian Paulsen
© Hamburg : DFN-CERT GmbH, 2008
ISBN 978-3-8334-7381-4 )
[AUde]
Frank Rieger (CCC)
Risiken elektronischer Wahlverfahren
Als Auftakt (heute heißt das „Keynote“) des 15. DFN-Workshop sprach Frank Rieger vom CCC über die Sicherheitsrisiken von Wahlcomputern. Das zeigte deutlich, dass diese Sicherheitskonferenz keine unpolitische Veranstaltung ist.
Da das aber kein Recherche-Thema im engeren Sinn ist, beschränke ich mich auf den Link auf weiterführendes Material:
https://berlin.ccc.de/wiki/wahlcomputer
und sein Resemeé:
„Wir wissen zu viel über Computer, um ihnen die letzten Reste von Demokratie anzuvertrauen.“
Zudem: Wie Wahlen durchgeführt werden müssen – frei, gleich, geheim, transparent, nachvollziehbar und für den Wähler verständlich – das hat Verfassungsrang. Ökonomisierung der Wahl durch Computerisierung nicht.
Andreas Schuster:
File Carving – Grundlagen und neue Techniken
File Carving („Dateien herausschnitzen“) sind Techniken zur Wiederherstellung gelöschter Daten. Wer also Daten verläßlich Löschen sollte (Kommunikationssicherheit!) sollte ein wenig davon verstehen.
Dateien bestehen aus den „Nutzdaten“ (ihrem für den Nutzer sichtbaren Inhalt) und Metadaten. Die Metadaten sind oft nicht in der Datei selbst gespeichert, sondern in speziellen Verzeichnissen des Dateisystems, z.B. im FAT oder NTFS. Löschen bedeutet normalerweise nicht „ausradieren“ sondern schlicht, dass der Platz der Datei als ‚unbenutzt‘ gekennzeichnet wird – frei für künftiges Überscheiben. Je nach Nutzung des Systems können die Daten also noch sehr lange vorhanden sein. Hier setzt File Carving an.
In der Praxis ist File Carving (z.B. wegen fragmentierten oder eingebetteten Dateien) nicht trivial. Seit 2006 gibt es neue (linuxbasierte) Techniken, als Zero-Space-Carving, In-Line C. oder In-Place C. bezeichnet. Es gibt wohl einen eigenen Wettbewerb zum Thema: DFRWS File Carving Challenge 2006 und 2007
Fazit (unter Überspringen aller technischen Details):
File Carving ist Spezialistenaufgabe, wird aber zunehmend leichter und erfolgreicher. Neuere Carver brauchen weniger Speicherplatz, weniger IO-Zeit und spezialisieren sich auf bestimmte Dateiformate.
Sicheres Löschen ist ein Thema, das Journalisten auf die Tagesordnung setzen sollten. Derzeit ist – bei Festplatten – der größte Feind des Carvens nicht das Formatieren, sondern das Defragmentieren!
Weiteres im Blog des Referenten:
computer.forensikblog.de
„Verschlüsselung ist der ärgste Feind des Forensikers.„
H.C. Pöhls, Lars Westphal:
Gefahren neuer XML-Formate
XML-Dateiformate transportieren Daten, die andere nicht sehen sollen: Metadaten, Metadaten eingebetter Objekte, Rohdaten eingebetteter Objekte.
Es geht z.B. um die Open-Office-Dateiformate .odt und um die neuen Microsoft-Formate .docx, .pptx, .docm, .pptm (die mit m am Ende können Makros enthalten). Diese Dateiformate arbeiten mit Containern, deren Inhalt im WYSIWYG-Modus nicht unbedingt sichtbar ist (faktisch also simple Steganographie). Der Clou bzw. die Gefahr: z.B. E-Mail Filter lassen bestimmte Inhalte (etwa ZIP-Dateien oder Executables) nicht durch. Als Teil einer .odt-Datei aber schon!
Wer tiefer einsteigt, kann selbstverständlich im XML-Dokument an den Tags herumfriemeln. Und das auch nach einer digitalen Signatur.
Eingebettete Objekte (Bilder in Textdateien) werden als Rohdaten gespeichert. Werden sie im Textdokument bearbeitet (z.B. skaliert oder nur ein Ausschnitt gewählt), bleibt das Ur-Bild dennoch unverändert im XML-Container.
MS-Offive hat mittlerweile fünf verschiedene Dateiansichten. Keine zeigt alle Inhalte einer Datei verläßlich an. Man sollte also immer einen Hex-Editor am Start haben.
Live-Demo:
In einem digital signierten MS-Word-Dokument (.docx) wird der Verfassername in den Metadaten und Link-Ziele geändert. Klappt. Und bei Open-Office soll das auch gehen. Das sind ja schöne Aussichten.
Morgen mehr, der Rest der Konferenz sind Themen mit geringem Recherche-Bezug.
[AUde]
Tech Question:
Q