Ich weiß nicht, ob Du meine Beiträge nicht richtig liest, oder Sie schlicht nicht verstehst, wie gesagt, die Unterscheidung liegt in der fachlichen Tiefe, d.h. ein Hacker weiß ganz klar, was er da tut. Ich weiß auch nicht, wieso Du meinst nach einer Klarstellung und Analyse der bis dahin liegen Informationen mir etwas davon erzählen zu müssen, wann ein Hausdurchsuchung durchgeführt werden kann und wann nicht, was hat das mit der wirklichen Beweislast der Daten zu tun. Und was will man mit Forensikwerkzeugen herausfinden, wenn man davon ausgeht, dass eine fachlich versierte Person, seine Festplatte komplett verschlüsselt hat und nach der Hausdurchsuchung einen ausgeschalteten Rechner vorliegen hat, der auch noch stromlos war und damit de flüchtige Speicher komplett geleert wurde. wenn Du meinst auf meine Ausführungen einzugehen, dann bitte richtig und nicht durch ignorieren, der von mir angeführten Argumente.
Fangen wir von Vorne an,
der Unterschied zwischen Hacker und Scriptkiddie liegt in der tiefe des fachlichen Wissens der Person. Aber vielleicht wird es Dir ja deutlicher durch das Lesen der Wikipediaeingeträge:
QUOTE [...] In der allgemeinen Öffentlichkeit wird er häufiger für Personen benutzt, die unbefugt Sicherheitsbarrieren umgehen und solche Lücken ausnutzen, wobei ‚Hacker’ abgrenzbar von ‚Skriptkiddie’ ist: Ein Hacker besitzt tiefe Grundlagenkenntnis, ein Skriptkiddie nicht. Innerhalb des Boulevardjournalismus und der Politik werden beide Ausdrücke gewöhnlich nicht unterschieden.
[...]
Quelle: http://de.wikipedia.org/wiki/Hacker
QUOTE Ein Skriptkiddie (von „Skript“ und „Kid“
ist ein Sinnbild für einen stereotypischen Jugendlichen, das sich alltagssprachlich auf den Bereich der Computersicherheit bezieht. Trotz mangelnder Grundlagenkenntnisse nutzt es vorgefertigte Automatismen, um (meist unter schriftlicher Anleitung) in fremde Computersysteme einzudringen oder sonstigen Schaden anzurichten. Die Bezeichnung hat Anklänge von unreifem Verhalten und Vandalismus.
Daneben besteht eine weitere Verwendung im Bereich der Computerprogrammierung. Dort nimmt das Wort Bezug auf eine Person, die fremden Quellcode für eigene Projekte zusammenkopiert, um deren Effekte zu nutzen, ohne jedoch den Code zu verstehen.
[...]
Quelle: http://de.wikipedia.org/wiki/Skriptkiddie
HDB
HoneyDanBer für HDB passt hier irgendwie nicht, wenn Du Abkürzungen benutzt, dann im allgemeinen Sprachgebrauch bekanntliche. Hab keine Lust nachdenken zu müssen, was es ggf. heißen könnte und dann immer noch nicht 100% zu wissen, ob es das nun heißt. Aber wie leicht eine Hausdurchsuchung begründet werden kann, ist mir wohl bekannt:
23C3: Sie haben das Recht zu schweigen
Aber was hat das hiermit nun zu tun, wenn wir davon ausgehen, dass die Hausdurchsuchung schon stattgefunden hat? Ein Hausdurchsuchung ist dermaßen leicht begründet, dass es eigentlich erschreckend ist.
Logs an anderen Stellen abgreifen
Klar, kann man Logs an anderen Stellen abgreifen, aber wir sind doch von einen Dump der Daten ausgegangen. Und selbst wenn man die Daten abgreift, ist immer noch die Frage in wie weit die daraus gewonnen IP-Adressen sauber sind, und die Daten nicht zwischen Proxy und Webserver, oder Botnetzrechner und Webserver stammen. Klar, hier wird auch etwas weiter gesponnen und Möglichkeiten durchgegangen, und letzteres lässt sich erst Du Analyse des Botnetzrechner ermitteln.
Doch Du und auch die Berichterstattung gehen davon aus, dass die Daten aus den Dump gezogen wurden, auf was ich mich bezogen hatte.
Computerforensik
Schön das Du die grundlegenden Dinge der Computerforensik aufzählst, die auch Personen wissen müssten, die so was nicht regelmäßig machen. Was ich nicht verstehe, dass Du es angeblich nicht ausführen darfst, da genug Abhandlungen dazu in Fachzeitschriften oder im Netz alle weiter gehen, als was Du bisher erzählt hast. Und selbst wenn Du es nicht darfst, die Erwähnung der Programme reicht doch, den Zusatz von der Art verstehe ich nicht. Aber davon mal abgesehen, wie soll die Verschlüsselung des System umgangen werden? Natürlich davon ausgehend, dass wir hier nicht die Software von irgendwelchen Quellen nehmen oder nicht sauber wissen, dass da nicht wirkliche Hintertüre (bspw. in Form von Masterpasswörtern) umgangen werden können. Wenn also der Computer heruntergefahren ist, und somit der Verschlüsselung aktiv und der flüchtige Speicher geleert ist, wie will man dann bitte noch wirklich an verwertbare Dateien kommen. Backups sind natürlich auch verschlüsselt und es gilt zu bedenken, dass der Arbeitsspeicher und CPU-Cache auf elektronische Schaltungen aufbauen, die sobald Sie stromlos sind, komplett die Daten verlieren. Einzige Abhilfe, wäre ein Angriff auf den entsprechenden PC, Stichwort Onlinedurchsuchung. Also nicht die klassische Hausdurchsuchung.
Rohdaten
Dann sind nun noch die Rohdaten über, nur woher möchtest Du ohne Analyse der Daten sagen können, das diese wirklich sauber sind? Und selbst wenn die Daten analysiert sind, woher willst Du wissen, dass die nicht manipuliert worden sind? Von der fachlichen Position würde ich diese Sachen erstmal nur als Indizien sehen, aber auch nicht mehr. Erst nach weiterer Analyse kann man mehr sagen. Und genau das habe ich angesprochen und nun bitte widerlege diese Aussagen auf fachlicher Ebene und nicht durch Ablenkungen auf andere Themenbereiche.
QUOTE (Marc Schuler @ So 29.11.2009, 13:34)[...]
Die braucht man gar nicht. Die Logs kann man auch direkt abgreifen an anderen Stellen. Im Verdachtsmoment und das war hier der Fall (da gem. Info Rohdaten vorlagen) wird eine Anschlussprotokollierung vorgenommen (liefert meist schon nach 1 Tag div. Fakten die einen HDB begründen und damit die Durchsetzung ermöglicht, sei es nur schon weil der Verdächtige gewisse Dienste nutzt, aber selbst ohne kann ein HDB angesetzt werden). Auf der Festplatte von solchen Kandidaten findet man (gem. meiner Kenntnis) eigentlich immer belastbares Material, z.B. gibt es bei den meisten Betriebssystemen von der Systemarchitektur die Möglichkeit nachzuweisen, wann welches Programm geöffnet war und mittels einer Suche nach Befehlssträngen findet man ja auch meist etwas auf der Festplatte ob man das jetzt mit X-Ways Software oder anderen Programmen macht unterscheidet sich von Fall zu Fall. Auf dieses Thema darf ich nicht weiter eingehen.
[...]
Ansonsten verstehe ich Deinen langen Beitrag nicht, wenn Du meine Aussage, dass es einen Unterschied macht, ob Hacker oder Scriptkiddie ist, bei Dir keine Rolle spielt. Mir kommt es eher so vor als ob Du nicht verstanden hast, was ich meinte.