Darüber, was nach einer Hausdurchsuchung mit der beschlagnahmten IT-Infrastruktur passiert, ranken sich viele Gerüchte. In diesem Vortrags-Video zum Thema „Anti-Forensik“ erzählt ein IT-Forensiker von seiner Arbeit und gibt Tipps, wie man ihm seinen Kollegen das Leben schwer machen kann.
Auch sonderbare Leute können interessant sein
Bei jährlichen Kongress des Chaos Computer Clubs laufen aus einer emanzipatorischen Perspektive betrachtet auch einige sonderbare Leute herum. So etwa der Herr aus dem Vortrags-Video „Anti-Forensik“ vom 28C3. Beruflich ist er Computer-Forensiker. Und er hat den Eindruck, dass deutsche Gerichte um Angeklagte sehr bemüht seien. Aber um die Frage, ob der Herr nur Prozesse gegen Cops und SteuerhinterzieherInnen besucht, sei hier dahin gestellt. Es geht um sein eigentliches Thema, die Computer-Forensik.
IT-Forensik noch in den Kinderschuhen
Das, was er dabei erzählt, ist sehr interessant. Er führt zum einen aus, dass die IT-Forensik im Vergleich zu der IT-Sicherheit noch sehr in den Kinderschuhen stecke und die Comunity um die Tools viel kleiner sei. Dann zeigt er am Beispielen auf, dass in Forensik-Software haufenweise Fehler stecken würden, die in anderen Bereichen der IT-Branche längst behoben seien. So zeigt er z.B. auf, wie sich durch einfache html-Kommentare der Auswertungs-Rechner zum Absturz oder gleich ganz übernehmen lasse. Auch wenn viele dieser konkreten Lücken behoben sein dürften, zeigt das Video, wie unausgereift die IT-Forensik noch ist.
Neoliberaler Staat behindert IT-Forensik
Darüber hinaus umreist der Referent ein weiteres strukturelles Problem der Forensik: Das Paradigma des neoliberalen Staates. Dieses gesellschaftliche Realitäts-Deutungs- und Wahrheitsfindungsmuster führt dazu, dass die eigentlich im Sinne des Paradigmas des „souveränen Staates“ auf Omnipotenz gedrillte staatliche Bürokratie ihre Legitimität immer mehr aus Deutungsmustern aus der Ökonomie ziehen muss. In der Folge muss auch beim Staat alles immer billiger und effizienter mit geringeren Personalschlüsseln in den Behörden erledigt werden.
Wenig Zeit- Viele Aufträge
Konkret bedeutet das neoliberal Staatsparadigma die Folge, dass für die relativ große Anzahl an IT-Forensik-Aufträgen nur eine relativ kleine Zahl an AuswerterInnen zur Verfügung steht. Das führt zu einer Abstufung der Aufträge in „Wichtig“ und „nicht so Wichtig“. Dies determiniert die für die Auswertung der Systeme zur Verfügung stehende Zeit. Und die ist mitunter recht kurz. Und wenn ein Teil der zur Verfügung stehenden Zeit auch noch mit lustigen Blödsinn auf den von den Cops zusammen geklauten RechnerInnen und DatenträgerInnen vertan wird…
Vollverschlüsselung gerade bei IT-IdiotInnen nützlich
Zudem belegt der Vortrag die Nützlichkeit einer Vollverschlüsselung des Rechners gerade bei Leuten, die sich eher als IT-Deppen sehen würden. Im Vortrag wird das mehr oder weniger standardisierte Vorgehen der AuswerterInnen erläutert. Grund für die Standardisierung ist eine gewissen Sinnhaftigkeit, die sich aus dem neoliberalen Paradigma ergibt: Die Zeit ist knapp und es geht darum, schnell Ergebnisse zu produzieren. Dies führt dazu, dass einer der ersten Blicke in die Registry-Verzeichnisse des Betriebssystems gehen. In diesen Verzeichnissen speichert das Betriebssystem alles, was es so in letzter Zeit gemacht hat. Dies lässt sich zum einen auf „interessante Vorgänge“ untersuchen. Zum anderen dürften die wenigsten Leute wissen, dass es so etwas überhaupt gibt (und das dort z. B. steht, welche Dateien sie in letzter Zeit gelöscht haben und wie diese hießen und was man tun muss, um sie wieder herzustellen). Noch weniger Leute dürften wissen, wie man die registry manipuliert.
Passphrase?
Der Gag bei einer Vollverschlüsselung ist nun aber, dass der Rechner (oder die gespiegelte Kopie der Datenträger) ohne Passphrase gar nichts tut, also auch nicht die registry ausspuckt. In so einen Szenario hängt dann alles an der Qualität der Passphrase. Die nun bestimmt aufpoppende Frage, ob Leute, für die ihr Computer ein lustig blinkendes Spielzeug ist, eine gute Passphrase haben, ohne sie auf einem Zettel am Bildschirm kleben zu haben, der den Cops mit dem Rechner in die Hände gefallen ist, sei an dieser Stelle mal dahin gestellt.
Mehr Infos:
Das Video zum Vortrag „Anti-Forensik“ vom 28C3 (leider in der Youtube-Variante, bei ccc-media ist irgendwie gerade Großaufräumen…):
https://www.youtube.com/watch?v=OP9k-G2yq9I