|
Gedanken zu FileWatch
Für Tauschbörsen muss
man sich nirgends registrieren im Sinne von mit
persönlichen Daten anmelden. Zudem gibt es auch
P2P-Programme, die die in der Tauschbörse
verwendete ID-Nr. bei jedem Programmstart
ändern. Das Anbieten von Dateien ist keine
Voraussetzung für die Teilnahme bei einer
Tauschbörse; man kann bei Null anfangen oder als
"Leecher" nur Downloaden.
Das es möglich ist direkt von einer anderen
Festplatte per P2P laden ist stark übertrieben: Involviert sind
P2P-Programme, Betriebssysteme, Firewalls, meist Router, Modems, evtl.
Proxys usw..
Ein direkter Zugriff ist möglich z. B. über den
zweiten SAS-Port bei einer SAS-Festplatte oder bei einer ausgebauten
Festplatte (bei beschlagnahmten PCs wird so verfahren), aber bei P2P
sind selbst kaum nachweisbare Honeypots und Man-In-The-Middle-Angriffe
nicht ausgeschlossen.
Hashwerte sind nur statistisch sicher; eine
Kollision ist nicht ausgeschlossen, einfache Hash-Funktionen lassen sich
leicht fälschen und vertrauenswürdig sind nur stark kollisionsresistente
Hashfunktionen. Verwendet wird laut dem PDF nur der Hash-Wert, den das
P2P-Programm anderen P2P-Teilnehmern meldet; was tatsächlich vorhanden
ist weiß man damit nicht! Der Hash-Wert ist nur so vertrauenswürdig wie
die Quelle. Übertragen auf das Identifizieren von Personen entspricht
der direkte Vergleich (von Dateien z. B. mittels diff) dem Vergleich
einer anwesenden Person mit deren Personalausweis oder einem ähnlich
vertrauenswürdigen Dokument; der Vergleich der Hash-Werte entspricht dem
Vergleich von einer Nummer wie der Kundennummer aus der Ferne, per
Telefon oder Email. Wie gesagt können sie beispielsweise einem
Tauschbörsen-Programm ein Dutzend Dateien zum Einstellen in Tauschbörsen
angeben, warten bis die Hash-Werte berechnet wurden und danach, bei
kurzzeitig beendetem Programm die Dateien mit Datenmüll so füllen, das
die I-Nodes, Zeitstempel und Größen der Dateien den ursprünglichen Wert
haben, so das aufgrund der Metadaten (d. h. auf den ersten Blick) keine
Änderung erkennbar ist. Dies kann auch durch einen Stromausfall oder
anderen Absturz passieren, der Dateien beschädigt, ohne dass man es auf
den ersten Blick erkennt. Normalerweise überprüft kein P2P-Programm nach
dem ersten Einlesen die Hash-Werte nochmals und dadurch bleiben solche
Änderungen gewöhnlich unentdeckt. Ansonsten bräuchte das Programm rund
eine Viertelstunde mit hoher CPU- sowie Festplatten-Auslastung um nur 50
GB an Dateien zu überprüfen; und das bei jedem Programmstart! Soviel
Aufwand treibt kein P2P-Programm. Zudem kann man P2P-Programme
manipulieren und "File Watch" hat sicherlich einige Fehler, durch die z.
B. IP-Adressen falsch zugeordnet werden können. Solche Fehler kann man
mit ein paarmal ausprobieren, wie in dem Gutachten beschrieben, nicht
ausschließen. Um Fehler auszuschließen braucht man nur die Datenpakete
mit einem Packet-Sniffer aufzeichnen; damit hat man eine einfache und
sehr billige Möglichkeit der Überprüfung, denn Packet-Sniffer wie z. B.
Wireshark sind kostenlos und sehr einfach zu bedienen. Damit kann ein
Gutachter überprüfen ob die Ausgaben von "File Watch" mit den
aufgezeichneten Datenpakten übereinstimmen, ohne das Programm selbst zu
benötigen. Wenn so ein elementares Mittel der Beweisssicherung fehlt,
ist das nicht vertrauenswürdig.
Logg-Firmen wie Logistep machen sogar Werbung
damit, dass der Hashwert durchaus fälschbar ist und bezeichnen die
gefälschten Dateien als Täuschungsdateien/Killer-Fake:
"Die Logistep AG kann Täuschungsdateien
(Fake-Dateien) ins Internet stellen, welche durch eine Verifizierung
nicht auffallen. Wir nennen diese Form unserer Täuschungsdatei auch
"Killer-Fake", denn eine solche Datei wird durch alle P2P-Plattformen
akzeptiert und verbreitet sich anschließend wie ein Virus. Es besteht
auch keine Möglichkeit seitens der P2P-Plattformen einen solchen Effekt
zu unterbinden."
Zitiert aus:
(1)
http://www.ifj.ch/portrait/files/raw/00042937-logistep.pdf , Kapitel
3.5
(2)Als html - auch unter:
http://dontknow.me/at/?http://209.85.129.132/search%3Fq=cache:PB6TAZKa23gJ:www.ifj.ch/portrait/files/raw/00042937-logistep.pdf%2Bhttp://www.ifj.ch%2Blogistep%26amp
Damit ist sind die Hash-Werte, insbesondere von
nicht komplett downgeloadeten Dateien, die ja nicht durch direkten
Datei-Vergleich überprüft werden können, wertlos; das Gutachten zu "File
Watch" ist veraltet. Gegenüber Filesharer und Gerichten behaupten die
Logg-Firmen also das Hashwerte völlig ausreichen und gegenüber den
Kunden behaupten sie das Hashwerte leicht fälschbar sind und das es
zudem praktisch nicht nachweisbar ist. Dies ist ein gutes Beispiel für
zielgruppenorientiertes Marketing.
Prof. Dr. Thomas Hoeren - Münster, NJW 43/2008
3099 (3100):
“So taucht gleich von Beginn die Frage auf, ob
überhaupt schon der Akt der Ermittlung der IP-Adresse durch private
Unternehmen von der Rechtsordnung gedeckt ist. Zwar ist eine dynamische
IP-Adresse aus Sicht der privaten Ermittler für sich gesehen noch kein
personengebundenes Datum, da ohne weitere Zusatzinformationen ist
normalen Mitteln eine Personenbezug nicht hergestellt werden kann (siehe
Köcher, MMR 2007, 80 (801); Gola/Schomerus, BDSG, 9. Aufl. (2007), § 3
Rdnr. 10; a.A. LG Berlin, MMR 2007, 799). Dennoch ist es unzulässig, zum
Beispiel Spähdateien so einzurichten, dass diese IP-Adresse des P2P
Nutzers mit protokollieren. Hierbei handelt es sich um Dateien, die den
Eindruck erwecken, dass sie bestimmte vom Tauschbörsennutzer gesuchte
Medien enthalten. Dies ist aber nicht der Fall. Die Datei enthält in
Wirklichkeit keinen oder nur einen unbrauchbaren Inhalt. Vielmehr soll
durch die Spähdatei die IP-Adresse des Interessenten ermittelt werden.
Durch das Herunterladen dieser nicht erwünschten Daten wird
festplattenspeicher des Nutzers belegt. Da hierfür auf Grund der
Täuschung des Nutzers über den Inhalt kein Einverständnis angenommen
werden kann, liegt eine Besitzstörung vor, so dass § 826 BGB greift.“
Zum Gutachten FileWatch:
Das Gutachten ist nur
die Beschreibung von einem kurzen Ausprobieren
von FileWatch. Es zeigt nur, dass dieses
Programm "im Prinzip" funktioniert, weil sie in
vier Fällen korrekt funktioniert hat. Allerdings
ist es ein Gefälligkeits-Gutachten:
- Es wird nur eine
Installation erwähnt. Damit ist nichts über die
Lauffähigkeit ausgesagt, weil es sein kann das
das Programm zwar unter einem gewöhnlichen
32-Bit Microsoft Windows funktioniert, aber
schon beim Start abstürzt wenn PAE aktiviert ist
http://www.microsoft.com/whdc/system/platform/server/PAE/pae_os.mspx#EID.
Ebenso kann es sein das das Programm die
beschriebenen Tests nicht bestehen würde, wenn statt einem
32-Bit-Windows ein 64-Bit-Windows verwendet wird oder wenn der PC
hardwareseitiges Multithreading hat (Multicore-CPU oder mehrere CPUs
oder Hyperthreading) und FileWatch hardwareseitiges Multithreading nicht
unterstützt. Es reicht auch schon eine andere kleine Änderung durch ein
Microsoft-Update aus, um das korrekte Funktionieren zu beeinträchtigen.
Ein Beispiel finden Sie hier:
http://www.netzwerk-internet.de/network-security/artikel/d/so-loesen-sie-das-dns-problem-und-surfen-wieder-problemlos-im-internet.html
Kurzgesagt ist das Kapitel 3.2, Prüfaufbau,
mangelhaft und das Gutachten bezieht sich nur auf diesen einen
mangelhaft dokumentierten Prüfaufbau beim Gutachter; die Ergebnisse des
Gutachters sind daher nicht übertragbar auf den Einsatz bei DigiProtect
und sie sind nicht einmal übertragbar auf danach durchgeführte
Betriebssystem-Updates. Zudem ist fraglich, ob der Test in den heutigen
Tauschbörsen überhaupt noch funktionieren würde, weil die P2P-Protokolle
ständig überarbeitet werden. Die Zusammenfassung "Die Software ist voll
funktionsfähig" ist daher
a) übertrieben und
b) nicht auf den Einsatz bei DigiProtect
übertragbar.
- Das grundlegende Problem ist das als Grundlage
nur VORGEBLICHE Werte verwendet werden, die nicht überprüft werden. Die
Dateien in den Tauschbörsen werden nur doppelt indirekt identifiziert,
anhand des Hash-Werts der in der Tauschbörse angezeigt, aber nicht
wirklich berechnet wird. Der Hashwert einer Datei lässt sich aber nur
dann wirklich ermitteln, wenn die Datei komplett vorliegt; Bruchstücke
reichen zur eindeutigen Hashwert-Ermittlung nicht und ob ein nur in der
Tauschbörse angezeigter Hashwert vertrauenswürdig ist, ist reine
Glaubenssache, weil der Hashwert von jemand anderem angegeben wird.
Deshalb wird ja für forensische Untersuchungen von beschlagnahmten
Festplatten erst mal eine
bitgenaue Kopie angefertigt, die anschließend untersucht wird; Hashwerte
die der Besitzer angibt reichen nicht. Zudem wird von FileWatch nur
geprüft ob die Datei im Prinzip downgeloadet werden kann; der Download
wird nur gestartet. Damit kann aber nicht einmal der Hashwert überprüft
werden. Die Ergebnisse von FileWatch sind daher prinzipiell nicht
vergleichbar mit der forensischen Untersuchung von Dateien auf (in der
Regel beschlagnahmten) Festplatten in forensischen Labors, wo die Daten
direkt gelesen werden und auch nachträglich unabhängig überprüfbar sind.
Wie früher erwähnt, lassen sich viele Hach-Werte zudem leicht fälschen
und Firmen wie Logistep bieten das sogar kommerziell an, mit dem
Versprechen das es auch in allen Tauschbörsen funktioniert (sogen.
"Killer-Fake"). Hinzu kommt bei Hashwerten immer das Problem von nicht
auszuschließenden Kollisionen; verschiedene Dateien können den gleichen
Hashwert haben.
Die Hashwerte sind daher
selbst von komplett
downgeloadeten Dateien nicht absolut zuverlässig und FileWatch ist daher
schon vom Prinzip her unsicher. Hinzu kommt, das FileWatch nicht die
Hashwerte von komplett downgeloadeten Dateien berechnet sondern sich mit
den in den Tauschbörsen angezeigten Werte begnügt; es findet keine
Überprüfung der Hashwerte statt und FileWatch kann leicht getäuscht
werden. Beispielsweise kann man durch Manipulation der Dateien oder auch
des P2P-Programms dafür sorgen kann, das falsche Hashwerte gemeldet
werden, selbst wenn keine P2P-Server manipuliert werden. Dagegen helfen
auch stark kollisionsresistente kryptologischen Hash-Funktionen nicht;
d. h. selbst wenn FileWatch "Killer-Fakes" mit hoher Sicherheit erkennen
könnte, würde es nicht erkennen ob ein Hashwert nur vorgetäuscht wird,
weil man den Hashwert nur anhand der komplett downgeloadeten Datei
überprüfen kann. Wie früher erläutert, gibt es deshalb zur Vortäuschung
falscher Hashwerte in Tauschbörsen u. A. zwei US-Patente.
Es fehlen bei dem
FileWatch drei grundlegende Eigenschaften:
a) Ein Protokollieren
der verwendeten Harde- und Software. Nur so
können die Ergebnisse von FileWatch reproduzierbar
sein. Dies erfordert nur minimalen Aufwand, z. B. mittels der Windows
WMI.
b) Ein komplettes
Downloaden der Datei, durch das direkt, also
ohne Hashwerte, überprüft werden kann ob es sich
wirklich um die Datei handelt oder nur um eine
Täuschung ("Killer-Fake") oder eine beschädigte
Datei/Fake, bei der nur der Anfang mit dem
Original übereinstimmt. Mit einer Flatrate und
kostenlosen Programmen wie diff verursacht das
keine zusätzlichen Kosten. Bei einer
forensischen Untersuchung einer Festplatte wird
schließlich auch direkt mit den kompletten
Dateien nur nicht nur mit deren Hashwerten oder
nur mit Teilen von Dateien gearbeitet.
c) Ein unabhängiges
Protokollieren, mit dem das korrekte
Funktionieren von FileWatch überprüft werden
kann, beispielsweise von einem Zweit-Gutachter.
Hierfür reicht schon ein gewöhnlicher
kostenloser Packet-Sniffer wie Wireshark. Sofern
kein Speicherplatzmangel vorhanden ist, werden
dadurch ebenfalls keine Kosten verursacht und
selbst wenn, liegen sie im Bereich weniger (<10)
Cent pro Gigabyte. Schließlich wird bei einer
forensischen Untersuchung einer Festplatte das
Original als Beweismittel aufbewahrt; von über
ein Netzwerk aufgezeichneten Daten ist daher
zumindest eine komplette Kopie zu fordern.
Dr. Rolf Freitag
 |
8.12.1968 Geboren in Cuxhaven an der Elbe
1975-1989
Grundschule, Gesamtschule, Hauptschule,
Höhere
Handelsschule, Fachgymnasium Technik,
Teil
nahmen bei Jugend Forscht
1990-1996
Physik-Studium an der Uni Bremen,
Diplom-
Arbeit: Diffusive dynamische
Lichtstreuung von Subs
tanzen am kritischen Punkt
1995 - 2001
Teilzeit-Zusatz-Aufbau-Studium an der
Fernuni
Hagen: Praktische Informatik
1997-2001
Promotion an der Uni Ulm: Korrelationsmethoden
für hoch dynamische
Zeitauflösung in der Foto- und
Kathodolumineszenz
|
2001 Kryptografics GmbH
Nürnberg: Anwendung u. Zertifizierung von echten
Zufallszahlengeneratoren
2002-9/2004 Daum
Electronic GmbH Fürth: Hard- u.
Software-Entwicklung zu Ergometern
Seit 2003
CCC-Mitgliedschaft Seit 2006 bei Siemens.
|
