Der paranoide Hacker

Eine kurze, fiktive Geschichte zur Anonymität im Netz

Ein junger Hacker steigt nachts an einem Vorstadbahnhof in seinen Regionalzug ein. Müde lässt er sich im komplett leeren Waggon auf einen der Sitze fallen. Als er seinen Rucksack auf den Boden stellen will, fällt ihm ein Schnellhefter auf, der auf dem Boden liegt. Vorsichtig hebt ihn auf. Er sieht sich um, weit und breit niemand zu sehen. Die erste Seite ist leer mit einem roten diagonalen Streifen, doch als er umblättert, sieht er sofort die großen Markierungen in roter Farbe: GEHEIM – amtlich geheimgehalten.

Beim Blättern sieht er, dass es sich um genaue Pläne zum Aufbau einer totalen Überwachung und Zensur des Internets handelt. Ihm ist klar, dass das Material so schnell wie möglich an die Öffentlichkeit muss. Er macht sich jedoch keine Illusionen – wenn derjenige erwischt wird, der das Material veröffentlicht hat, wird ihm das nicht gut tun. Nervös sieht er sich um. Keine Überwachungskameras im Zug. Am Bahnhof, wo er eingestiegen ist, auch nicht, und seitdem fährt der Zug durch den Wald. Gesehen hat ihn niemand. An seinem Heimatbahnhof wird um diese Uhrzeit auch niemand sein, und die einzige Überwachungskamera dort wurde noch nicht repariert, seit er sie eigenhändig sabotiert hat. Sein Handy hatte er eingeschaltet auf dem Schreibtisch vergessen.

Er packt seine Digitalkamera aus und stellt erfreut fest, das der Akku noch fast voll ist und die Speicherkarte noch mehr als genug Platz bietet. Er vergewissert sich nochmal, allein im Waggon zu sein und fotografiert die Seiten ab. Dann lässt er die Akte in seinem Rucksack verschwinden. Er weiß, dass um diese Zeit eine Station nach der, wo wo er aussteigt, jede Menge hoffnungslos betrunkener Fußballfans auf ihren Zug warten, die den Zug meist übel zurichten – wenn jemand die Akte vermisst, wird er sie zuerst bei denen suchen.

Als er aus dem Zug aussteigt, überlegt er, wie er die Akte loswerden könnte. Er nimmt das Papier aus dem Schnellhefter, wirft beides in einen Papierkorb am verlassenen Bahnsteig und zündet ihn an. Brennende Papierkörbe sind in der Gegend nichts, was irgendwie auffällig wäre. Mit einem Stock zerkleinert er die Asche. Zufrieden sieht er beim Weg nach Hause die Überwachungskamera, die immer noch eine dicke Schicht schwarzer Farbe auf der Linse hat, und freut sich, dass der aufziehende Regen nicht nur viele Spuren verwischen wird, sondern auch die Asche im Papierkorb endgültig in eine schmutzige Brühe verwandelt.

Daheim angekommen, packt er die Digitalkamera aus, startet eine Live-CD, um keine Spuren auf der Festplatte zu hinterlassen, und entfernt sorgfältig die EXIF-Daten in den JPEG-Dateien. Die bereinigten Kopien landen wieder auf der Speicherkarte, und zwar auf oberster Ebene, falls der Browser den Pfad mitsendet. Dann versteckt er die Speicherkarte und wartet einige Tage ab, bevor er wieder von der Live-CD startet. Kurze Zeit später hat er sich über TOR zu einer kostenlosen JAP-Kaskade verbunden. Nachdem er nochmals mit einem Hexeditor überprüft hat, dass die Bilder keine EXIF-Metadaten mehr enthalten, startet er einen BitTorrent-Client, welcher wahllos über seine Anonymisierungskette Daten hoch- und herunterlädt, um Traffic zu erzeugen. Er lädt die Bilder bei einem Bilderhoster hoch und schickt die Links über einen anonymen Web-to-News-Dienst an einige Newsgroups. Danach überschreibt er die Speicherkarte 35 mal mit Zufallsdaten. Er überzeugt sich in den Logs der Firewall, dass nichts auch nur versucht hat, an der Anonymisierungkette vorbei Daten zu versenden, schaltet den Laptop aus, trennt ihn vom Netz und entfernt den Akku. Sicherheitshalber entnimmt er die Speicherkarte, legt diverse viel zu hohe Spannungen daran an, schlägt sie klein und spült die Reste in der Toilette herunter. Dann startet er wieder seinen Rechner und wirft memtest86 an, bevor er sich schlafen legt. Die ganze Nacht lang regnet es in Strömen.

Eine Woche später ist im Internet eine hitzige Diskussion über die Dokumente entbrannt. Trotzdem wiedersteht der paranoide Hacker der Versuchung, auch nur die geringste Andeutung zu machen, die ihn verraten könnte. Zufrieden grinsend will er sich übermüdet ins Bett legen – es ist schließlich schon sechs Uhr früh -, als jemand an der Tür klopft. Bevor er zur Tür kommt, kommt diese ihm schon mit lautem Splittern entgegen. Zwei Stunden später, vor Müdigkeit inzwischen alles doppelt sehend, wiederholt er auf dem Polizeirevier auf jede Frage immer wieder den Satz „Ich mache von meinem Aussageverweigerungsrecht Gebrauch.“

Durch welchen Fehler hat der Hacker seine Anonymität zerstört, wie ist man ihm auf die Schliche gekommen? Welchen Sinn hatten die einzelnen Schritte, die er unternommen hat? (Antworten bitte über die Kommentarfunktion.)

Ich rechne damit, dass es mehr als eine Lösung geben wird, da ich sicher auch nicht an alles gedacht habe. Die Geschichte und die (hoffentlich zahlreichen) Antworten sollen zeigen, dass wirklich gute Anonymität schwer zu erreichen ist, und ein paar wenig Punkte aufzeigen, an denen sowas schief gehen kann.

Wusstest du, …
… dass Browser beim Dateiupload den Dateinamen oder auch den ganzen Pfad mitsenden können?
… dass oft daran gedacht wird, die digitalen Spuren zu verwischen, die analogen (Fingerabdrücke, Zeugen) aber oft vergessen werden?
… dass viele Leute erwischt werden, weil sie prahlen oder sich verquasseln und dabei Täterwissen zeigen?
… dass Arbeitsspeicher teilweise noch Minuten nach dem Ausschalten nicht komplett gelöscht ist?
… dass verbrannte Dokumente oft noch rekonstruierbar sind, wenn die Asche nicht bewegt wurde?
… dass man bei der Polizei immer von seinem Aussageverweigerungsrecht Gebrauch machen sollte?

  1. 2010-01-15 um 09:44 UTC

    Hm, also auf den ersten Blick fällt mir echt nix auf, womit er sich verraten hat.. bin gespannt, was hier für Antworten kommen.

  2. pertain
    2010-01-15 um 09:55 UTC

    Was mir beim Lesen auffiel:

    1. Fingerabdrücke auf dem Stock, mit dem er die Asche zerkleinerte.
    2. Aus der Schilderung schließe ich, dass der Hacker nicht in einem Vorort oder einer Siedlung wohnt. Die Zahl der Anschlüsse mit hohem, nächtlichem upstream Traffic über Anonymisierungsdienste sollte daher gering sein.
    3. Analog zu 2 dürfte auch nur eine übersichtliche Anzahl von Personen für Vandalismus an Überwachungskameras verantwortlich sein. Wo hat er eigentlich die Spraydose entsorgt, die möglicherweise Fingerabdrücke enthält?
    4. Neben der EXIF-Daten geben auch Auflösung, Farbprofil und andere Metainformationen Aufschluss über die benutzte Kamera. Daher würde ich die Bilder eher mittels convert (Imagemagick) leicht verändert kopieren, statt die Originalbilder zu „bereinigen“.

    • pertain
      2010-01-15 um 10:38 UTC

      Korr.: dass der Hacker in einem Vorort oder einer Siedlung wohnt.

      • Jan
        2010-01-15 um 21:56 UTC

        1. War nicht das was ich gedacht habe, aber ggf. möglich. Wobei Fingerabdrücke auf rauhem Material nach Regen wohl kaum Spaß machen.

        2. Der Traffic war deutlich höher als die hochgeladenen Bilder und erst einige Tage später (unter anderem um eben das zu verschleiern). Außerdem gehe ich davon aus, dass der Hacker vorher nicht überwacht wurde, sonst hat er eh verloren.

        3. Das ist schon länger her und ich gehe davon aus dass er da auch paranoid war. Mal abgesehen davon besteht keine Verbindung zwischen dem Vandalismus und den geklauten Dokumenten.

        4. Richtige Richtung und absolut korrekter Tipp – der hätte ihn vor dem von mir gedachten Angriff gerettet.

  3. 2010-01-15 um 10:12 UTC

    Wahrscheinlich hat er eine Fahrkarte gelöst, oder er hat eine Monatskarte mit RFID-Chip. Zusammen mit dem Zeitpunkt der Veröffentlichung, fällt dann der Verdacht schnell auf ihn. Möglicherweise lässt sich sogar erkennen, dass die Aufnahmen im Zug gemacht wurden. Zudem enthält das Bild auch ohne EXIF-Daten Informationen über die Kamera und weitere Metadaten.

    • Jan
      2010-01-15 um 22:00 UTC

      Fahrkarten werden typischerweise bar bezahlt, und Regionalzüge haben oft Fahrkarten wo das Ziel nicht angegeben wird. Das mit RFID war auch nicht gemeint. Beides ist natürlich auch eine Möglichkeit, die man nicht vergessen darf. Die Tatsache, dass er auf der Strecke gefahren ist, ließe sich nachdem ein Anfangsverdacht da ist (und somit man weiß nach wem man sucht) aus den Fotos der Hackerkonferenz herleiten, auf denen er im Hintergrund zu sehen ist.

      Weitere Metadaten der Kamera sind das richtige Stichwort.

  4. 2010-01-15 um 10:24 UTC

    Vermutlich war er einfach der einzige Nutzer im Umkreis von 50 Kilometern, der einen Connect mit einem Tor-Server gemacht hat und ist damit ins Visier der Fahndung geraten.

    • Jan
      2010-01-15 um 22:04 UTC

      Unwahrscheinlich – bedenke, dass der Upload von einem JAP-Exit kam, während er zu einem TOR-Server verbunden hat. Außerdem gehe ich davon aus, dass er nicht vorher schon genauer überwacht wurde, es wäre also eine „wir überwachen jetzt schon alle Connects zu TOR“-Totalüberwachung nötig gewesen (nicht auszuschließen, insbes. im Geheimdienstbereich).

  5. 2010-01-15 um 10:29 UTC

    Andere paranoide Möglichkeit: Kamerahersteller registrieren die Geräte und fügen Wasserzeichen in die Bilder ein, die eindeutig zuzuordnen sind.
    Alternative: das Fehlerbild (Stuck- oder Hot-Pixel) wird als Fingerabdruck der Kamera verwendet und mit den Bildern abgeglichen (soweit diese die JPEG-Kompression überlebt haben). Die Kamera selbst wurde vielleicht im Internet bestellt, wodurch der Besitzer bekannt ist.

    • Jan
      2010-01-15 um 22:06 UTC

      An gezielte Wasserzeichen habe ich nicht gedacht, das mit dem Fehlerbild bzw. Sensorrauschen ist genau die richtige Richtung. Die Kamera wurde dem Besitzer noch anders zugeordnet – Amazon hat ja nicht von jeder Kamera das Fehlerprofil, man muss eh noch andere Bilder finden.

  6. Christoph
    2010-01-15 um 10:59 UTC

    – der „anonyme Web-to-News-Dienst“ war doch nicht so anonym (um die Verschwörer zu fangen gründe man selbst seine Untergrundgruppen…)
    – manchmal sind die Kameras in den Zügen eher minder-offensichtlich
    – Kopierer und Scanner haben schonmal Seriennummern und Ähnliches in der Ausgabe hinterlassen, warum nicht auch Kameras, mit etwas Steganografie?

    • Jan
      2010-01-15 um 22:09 UTC

      Wenn der anonyme Web-to-News-Dienst nicht anonym war, hat er jetzt die Adresse des JAP-Exits – die hat man aber auch aus den Logs des Bilderhosters. Wenn die JAP-Kaskade kompromittiert war, gibts sogar die Adresse eines TOR-Exit-Nodes ;-) Das ist es also nicht, deswegen auch die Verkettung mehrerer Dienste.

      Bezüglich der Kameras gehe ich davon aus, dass unser paranoider Hacker darin geübt ist. „Spionage-Kameras“ die gezielt unsichtbar platziert werden sind in Zügen und Bahnhöfen afaik nicht üblich (oder sogar illegal).

      Das Wasserzeichen im Bild ist eine Möglichkeit, aber nicht die Gedachte. Das Kameramodell wurde aber aus dem Bild ermittelt.

  7. 2010-01-15 um 11:00 UTC

    Also wir haben hier mehrere Vorschläge der Fehler:

    * Kamera übersehen: Beim einsteigen, bevor er die Akte gefunden hat. (Status dazu: teils verworfen, da im Text ausgeschlossen, aber er erst „paranoid“ agierte, *nachdem* er die Dokumente fand.)

    *IPTC, da nur Exif ausgeschlossen wurde.

    *Tor -> Man in the Middle oder Supernode

    *Und nun unsere absoluter Knüllertip: DNS. Wird nicht über Tor geschleift, wenn mans nicht explizit zurechtbiegt, was umständlich und kompliziert ist.

    (Wenn uns noch was einfällt, kommen wir wieder. *droh* :o))

    • Jan
      2010-01-15 um 22:15 UTC

      Kamera übersehen war nicht gemeint.

      IPTC ist ein gutes Stichwort, aber schreiben Kameras tatsächlich IPTC-Infos in die Dateien? (Wenn ja, dürfte aber auch nicht mehr als das Datum drinstehen).

      TOR: Deswegen zwei Dienste – erst TOR, dann JAP. Selbst eine komplett kompromittierte TOR-Kette (ein Node reicht ja nicht, um die Anonymität zu zerstören) würde nur die JAP-Kaskade entdecken lassen.

      DNS: Guter Hinweis, typische Anonymisierungs-Setups (also Firefox-Profile zu diesem Zweck) kümmern sich aber darum. Ist gar nicht mal so umständlich, man muss AFAIK nur die richtige SOCKS-Version einstellen. Ist aber ein sehr guter Punkt, an dem man Leuten erklären kann, warum sie nicht selbst frickeln sollten, wenn sie nicht sehr genau wissen was sie tun. Im genannten Beispiel war die Firewall gezielt dazu da, um zu verhindern, dass die Anonymität kaputt geht, wenn eine Fehlkonfiguration z. B. beim DNS passiert.

  8. 2010-01-15 um 11:17 UTC

    Ein seriös wirkender, unscheinbarer Mann kommt nach einer ausführlichen Sitzung gerade aus dem Zugklo, als der Zug in einen Bahnhof einfährt. Er blickt durch den Waggon: Ein junger Mann steigt aus, läuft durch die Nacht. Im Vorbeigehen schmeißt er einen Ordner in einen Papierkorb, bleibt daneben stehen. Der Zug rollt bereits wieder an.

    Der Zugreisende geht zu seinem Abteil zurück, schlägt seine Aktentasche auf. Sucht. Wird nervös. Versteht. Telefoniert.

    Die Polizei teilt mit, dass just der Mülleimer, an welchem der junge Mann stehengeblieben war, angezündet wurde. Durch die schnelle Benachrichtigung konnten vor Beginn des nächtlichen Unwetters noch winzige Fragmente eines Ordners wieder kenntlich gemacht werden.

    Ermittlung: Hat jemand ein Zugticket für den besagten Zug bis zur entsprechenden Station gekauft? Nur eine Person. Kurz vorher am Automaten gelöst, Bimmelbahnhof A bis B. Mit EC-Karte bezahlt. Damit namentlich bekannt.

    Recherchen ergeben: Besagte Person betreibt ein eigenes Blog, in welchem mehrfach über Verschlüsselungstechnik geschrieben wurde. Hat die Online-Petitionen gegen Internetzensur, gegen Nacktscanner und gegen ELENA mitgezeichnet. Ist Mitglied eines mit Datenschutz befassten Vereins; hat an verschiedenen entsprechenden Veranstaltungen teilgenommen. Ist auf einem Video dieser Veranstaltungen zu sehen. Entspricht von Körperproportionen und Alter in etwa der Person, die der „Dokumentenverlierer“ kurz gesehen hat.

    Damit mindestens hinreichend verdächtig für ein Verhör.

    Mindestens in einem Sonntagabendkrimi würde diese Lösung wohl sogar ohne das Vorgeplänkel der optischen Identifizierung durch den „Verlierer“ und die Dokumentenfragmente im Mülleimer funktionieren – also nur EC-Karte, damit namentliche Feststellung, dann Recherchen zur Person und anschließend Ausgequetsche. Dann bliebe allerdings die Frage des möglichen Beweises offen..

    Bin gespannt, was andere sich hierzu so ausdenken.

    • Jan
      2010-01-15 um 22:19 UTC

      War nicht gemeint, ich hätte natürlich erwähnen sollen dass der Zug längst weg ist und sich der Hacker ausführlich umschaut, bevor er den Kram auspackt und anzündet.

      Zum Zugticket siehe oben – Regionalzug, d.h. eher anonym gekauftes Nahverkehrsticket ohne genaue Zielangabe oder eh Studententicket (ohne RFID).

  9. 2010-01-15 um 11:19 UTC

    Pixelfehler in den Digitalbildern, die man auch bei seinen Bildern bei flickR o. ä. finden konnte?

    • Jan
      2010-01-15 um 22:20 UTC

      Treffer. Ich dachte neben den Fehlern auch an Sensorrauschen und statt an Flickr an Wikipedia Commons. Alle Bilder zu vergleichen könnte aber (gerade bei Sensorrauschen) zu ungenau sein. Deswegen wurde vorher der genaue Kameratyp und die Firmwareversion ermittelt.

  10. poncho
    2010-01-15 um 11:50 UTC

    MAC-Adresse nicht geändert. vorratsdatenspeicherung des ISP -> daher nie so etwas von zuhaus aus machen (!!!auch nicht über das wlan der nachbarn!!! (stichwort rasterpfandung – wer im umkreis von 50-100m hat die fähigkeiten so etwas zu bewerkstelligen?) )

    • Jan
      2010-01-15 um 22:23 UTC

      Der Hinweis, dass der Hacker es möglichst nicht von daheim sondern aus einem mit gefaketer MAC gehackten W-LAN weit weg von zuhause hätte machen sollen, ist richtig. Daheim die MAC ändern dürfte recht sinnlos sein. Vorratsdatenspeicherung erfasst nicht wohin er wie viele Daten verschickt hat, und selbst wenn, wäre da die Anonymisierungskette (aus genau diesem Grund). Trafficanalyse hat er durch das Torrent ziemlich ungemütlich gemacht, falls tatsächlich entgegen den bisher öffentlich bekannten Tatsachen Kommunikationsinhalte verdachtlos analysiert würden.

  11. 2010-01-15 um 13:07 UTC

    Sollte er eine Karte gelöst haben (als vorbildlicher Bürger macht man das so), dann hinterläßt er schon Spuren (Wo und wann eingestiegen, wo wieder ausgestiegen…), diese Informationen mit dem brennenden Papierkorb -> Indiz

    Am Fundort des Ordners wird er Spuren hinterlassen haben (Tappsen, Haare etc. auf der Sitzbank, Fenster, Türgriffe…). Sollte die Fußballbande nicht für totale Zerstörung dieser Spuren gesorgt haben (was ziemlich unwahrscheinlich ist, es sei denn sie fakeln den ganzen Zug ab) und unser freundlicher Hacker schon mal erkennungsdienstlich behandelt worden sein (kann man aber auch nachträglich machen, wenn man erst mal einen Namen hat) -> Indiz

    Diese beiden Infos zusammen sind schon ziemlich eindeutig. Sollte die Fahrkarte mit EC-Karte oder über Internet bezahlt worden sein -> Jetzt haben sie einen Namen

    Die verwendete Digitalkamera hinterlässt ein typisches Störungsmuster in den Bildinformationen (unterschiedliche Pixelempfindlichkeiten des Bildsensors). Dieses kann bei ausreichender Anzahl von Bildmaterial rekonstruiert und mit Vergleichsbildern die z.B. auf Flickr hochgeladen wurden (ohne diesen ganzen Aufwand vorher) abgeglichen werden -> ziemlich eindeutiges, reproduzierbares Indiz
    Einen Namen bekommen sie mit Sicherheit raus (dank Vorratsspeicherung).

    Dazu ein wenig klassische Ermittlungsarbeit (Indizien abgleichen, Spuren aufnehmen [Fahrkartenautomat, Sitzbank etc…], Datenbanken abfragen…) und der Kanditat darf nach seinem Anwalt fragen. Ist zwar viel Arbeit für die Ermittlungsbehörden, aber auf jeden Fall machbar. Jeder hinterlässt Spuren. Keine (offensichtlichen) Spuren zu hinterlassen ist auffällig (per se schon eine Spur) und läßt die Ermittler tiefer forschen.

    • Jan
      2010-01-15 um 22:29 UTC

      Die Fahrkarte wäre eine Möglichkeit, war aber nicht gedacht, siehe oben.

      Eine Analyse der Spuren halte ich für unwahrscheinlich. Damit kann man nur herausfinden, dass er den Zug genommen hat, das kann man auch einfacher haben (siehe oben). Der Ordner wird nie gefunden, und außerhalb des Zuges wird die Spurensuche durch den Regen massiv erschwert. Die Fußballbande hat erstens den Zug ziemlich verwüstet und die daraufhin nötige gründliche Reinigung hat nochmals nachgeholfen, außerdem erhöht sie massiv die Menge der Leute, die es gewesen sein könnten.

      Das Störungsmuster und öffentliche Vergleichsbilder sind ein Volltreffer. Allerdings dürfte es schwierig sein, das mit allen Bildern von Flicker/Wikipedia (an letzteres hatte ich gedacht) zu machen. Der Kameratyp muss also erstmal bestimmt werden.

  12. 2010-01-15 um 13:10 UTC

    Das ist einfach: Der Fehler liegt beim Schwärzen der Kameralinse. Dadurch wird zwar das sichtbare Licht ausgesperrt, aber nicht die Infrarotstrahlung auf die die Kamera auch reagiert. Durch seinen Feuerzauber beim Verbrennen der Akte lieferte er genug Helligkeit, damit er selbst bei geschwärzter Linse gut erkennbar wurde, ähnlich wie bei einem Nachtsichtgerät.

    Das es zudem dämlich war, diesen Stunt auf seinem Heimatbahnhof durchzuführen, ist da schon fast nur noch am Rande interessant.

    • Jan
      2010-01-15 um 22:30 UTC

      Ja, an die Möglichkeit hatte ich auch gedacht, allerdings habe ich meine Zweifel, dass eine dicke Schicht schwarzer Sprühfarbe tatsächlich noch viel IR-Strahlung durchlässt. Experiment, anyone?

      Darüber hinaus war es so gedacht, dass die Kamera nicht das Feuer sondern den Ausgang des Bahnhofs filmt, selbst wenn sie nicht kaputt wäre.

  13. 2010-01-15 um 14:34 UTC

    Tolles Rätsel!
    Meine Gedanken dazu:
    – GPS-Sender im Schnellhefter, der den Polizisten Aufschluss darüber gegeben hat, wo der Hacker sitzt?
    – Die Tor-Nodes waren infiltiert?
    – Der Schnellhefter wurde absichtlich abgelegt, als Falle?
    – Jemand hat ihm am Zielbahnhof beobachtet, da hat er ja sich ja nicht explizit umgeschaut?

    Btw: Was für eine Live-CD ist das bitte, die eine loggende Firewall dabei hat?

    Grüße,
    Raphael

    • Jan
      2010-01-15 um 22:39 UTC

      GPS-Sender: Ich wollte eigentlich reinschreiben dass der Hacker den Schnellhefter auf sowas prüft, habe ich anscheinend vergessen.

      TOR: Deswegen noch JAP dahinter. So müssten drei TOR-Nodes und eine JAP-Kaskade infiltriert sein.

      Falle: Ja, eine Möglichkeit, die man nicht ausschließen sollte.

      Beobachtung am Zielbahnhof: Ich hab den verlassenen Bahnsteig erwähnt, das wollte ich damit ausschließen.

      Live-CD mit Firewall: Vermutlich müsste sowas selbstgebastelt werden. Gibt es unter Linux eingentlich ne *einfache* Möglichkeit einzustellen, dass außer der TOR-Executable nix aufs Netzwerk zugreifen darf?

  14. 2010-01-15 um 16:47 UTC

    Puh, ich bin Hexenmeister und kein Hacker. Aber immerhin paranoid.

    Ein paar Vermutungen:

    1.) soweit ich mal gehört habe, ist TOR nicht 100% sicher, aber das wissen Experten wohl besser.

    2.) Die Fussballfans sind ja ganz nett, aber wenn man wirklich nach Dokumenten sucht findet man Asche in nahe gelegenen Mülleimern und kann die Reste (notfalls chemisch) identifizieren. Die Suche nach geografisch nahe liegenden Hackern oder einfach Leuten, die sich auch nur für die losgetretene Diskussion interessieren könnte durchaus Anhaltspunkte liefern.

    Ob zusätzlich Fingerabdrücke Feuer und Regen überleben, weiss ich nicht, aber als paranoider Hacker würde ich mich darauf natürlich nicht verlassen.

    3.) Kameras und Zeugen in der Nähe von Bahnhöfen können auch den Kreis der Leute einschränken, die nachts mit bestimmten Vorortzügen gefahren sind.

    4.) Hoffentlich hat ihn keiner angerufen, als sein Handy zuhause lag. Denn bestimmt läßt sich nachvollziehen, dass nur die mailbox rangegangen ist.

    • Jan
      2010-01-15 um 22:42 UTC

      1) Deswegen sicherheitshalber TOR+JAP. Sollte reichen.

      2) Wenn man in dem Mülleimer sucht, und zwar bevor der Inhalt entsorgt wurde. Feuer dürfte für Fingerabdrücke und DNA-Spuren ziemlich ungesund sein ;-)

      3+4) Siehe oben, Fotos von der Hackerkonferenz + sein Wohnort lassen Rückschlüsse darauf zu, dass er wohl mit diesem Zug gefahren ist – aber erst wenn man konkret ihn im Verdacht hat (ein mitgenommenes Handy hingegen würde ihn evtl. bei „gib mir alle Leute die mit dem Zug gefahren sind“ ausspucken).

  15. CSD
    2010-01-15 um 18:03 UTC

    Der Zug und dessen Wagen in dem die Akte vergessen (davon gehe ich aus) wurde dürften bekannt sein, mit etwas Glück/Pech auch der Sitz. Dort dürfte wohl nach Faserspuren von Kleidung sowie Fußabdrücken gesucht worden sein, was aufgrund der Umstände (leerer Zug/Wagen, Nachts = keine weiteren Fahrgäste die Spuren verwischen könnten zu erwarten). Aufgrund dieser Spuren könnte man sich ein ziemlich gutes Bild von der äußeren Erscheinung (Schuhgröße-, typ und Marke, Kleidungsart und Farbe) machen, mit dem man dann in den entsprechenden Gegenden (=Haltestellen des Zuges) recherchieren könnte, z.B. durch Aushänge, Befragung von potentiellen Zeugen, ggf. auch Überwachungsbändern von öffentlichen Plätzen. Scheint im Wesentlichen eine Frage der zur Verfügung stehenden Ressourcen zu sein, aber der Sachverhalt ist ja offenbar auch auf eine „Kosten spielen keine Rolle“-Situation angelegt. Noch einfacher wird’s, wenn unser Hacker regelmäßig den gleichen Weg mit dem Zug zurücklegt (Indiz im SV: „SEINEN Regionalzug“), das erspart die Hinzuziehung von Dritten, indem man einfach in dem betreffenden Zug ausschau nach jemandem hält, auf den die oben festgestellten Merkmale (Kleidung + Schuhe) zutreffen.

    Zur Motivation bei den übrigen Sicherungsmaßnahmen:
    – vergessenes Handy auf dem Schreibtisch (eher ein Zufall, aber trotzdem): Verhinderung der Lokalisierung durch IMSI-Catcher (wäre von Bedeutung, sofern schon nach der verlorenen Akte gesucht wird)
    – Verbrennen der Akte mit Inhalt: Beseitigung von Fingerabdrücken
    – Beseitigung der EXIF-Tags: verhindert, dass mitgespeicherte sensible Daten wie die Seriennummer der Kamera mitveröffentlicht werden (so das reicht – es wäre denkbar, dass manche Hersteller solche Informationen stenografisch in die Bildinformationen direkt einarbeiten, wie es bei machen Farbkopierern auch schon beobachtet wurde)
    – Abwarten vor dem Hochladen der Bilder: Zerstörung des zeitlichen Zusammenhangs zwischen Fund (daraus ließe sich je nach bekannten Informationen z.B. rekonstruieren, an welchem Bahnhof der Hacker ausgestiegen sein könnte, oder (wenn das bekannt ist) in welcher Entfernung zum Bahnhof er maximal wohnen könnte)
    – Benutzen von JAP und TOR: Verhindern der Speicherung der eigenen IP auf Seiten des Providers/Sharehosters/Web-to-NNTP-Dienstes
    – Überschreiben der Speicherkarte: Zerstörung der Rekonstruierbarkeit der Bilder (ebenso Zerschlagen, Spannungen anlegen, in Toilette runterspülen, nicht unbedingt in dieser Reihenfolge ;) )

    So, ich hoffe das lag nicht zu weit daneben. ;)
    Gute Geschichte, muss ich schon sagen. Hat mich neugierig gemacht auf die „richtige“ bzw. die anderen Lösungen :)

    • Jan
      2010-01-15 um 22:46 UTC

      Bei „keine weiteren Fahrgäste“ hast du die Horde besoffener Fußballfans gesehen, und die danach fällige Reinigung. Genau wegen der von dir erwähnten Spuren waren die ja da *g*

      – Handy: Richtig. Bei eigentlich illegalem Speicherungsumfang oder falls er während der Fahrt angerufen worden wäre hätte man ihn evtl. auch bei einer Suche nach Handies, die im Zug waren, finden können.

      – Verbrennen: Richtig, auch noch DNA-Spuren.

      – EXIF, Abwarten, JAP+TOR, Speicherkarte: vollkommen Richtig.

  16. Sebastian
    2010-01-15 um 18:23 UTC

    „It’s Tor not TOR“.

  17. 2010-01-15 um 18:58 UTC

    erstmal: sehr coole Story und Idee(n)!

    und mein erster spontaner Tipp: Der Schnellhefter brennt nicht genug oder schmilzt nur auf den Außenseiten an und auf der Innenseite sind noch Fingerabdrücke.

    Tipp 2: Er war der einzige im ganzen Zug und daher der einzige der eine Fahrkarte dafür hatte.

    • Jan
      2010-01-15 um 22:47 UTC

      Möglich, war aber nicht gemeint. Ich hab auch nicht erwähnt dass der Papierkorb leer wäre ;-)

  18. Dirk
    2010-01-15 um 19:12 UTC

    Stichworte Rauschverhalten der Kamera und eventuelle „Kopierschutzinformationen“ in den Bildern? Sollte sich durch RAW-Fotos mit anschließendem Schärfen, minimalem Drehen, Weichzeichner, Zufallsrauschen, Größenänderung und mehr in Kombination verhindern lassen. Wobei er dazu schon einmal Fotos dieser Kamera weniger anonym veröffentlicht haben müsste oder seine Kamera mit Seriennummer beim Hersteller registriert hat.

    • Jan
      2010-01-15 um 22:47 UTC

      Treffer, siehe oben.

      • Dirk
        2010-01-17 um 13:14 UTC

        convert -strip streicht eigentlich auch Firmware-Version und co. copy-paste, resize,… auf jeden Fall. Du erwähnst aber unten, dass das wohl alles noch nicht ausreicht. Was könnte man nach dem von mir beschriebenen noch rekonstruieren?

  19. Martin
    2010-01-15 um 19:44 UTC

    Spontan fällt mir ein, das Digitalkameras über das Rauschmuster ihres Bildsensors identifiziert werden können. Hat der Hacker mit der gleichen Kamera schon Bilder veröffentlicht, die ihm zugeordnet werden können, hat man über das gleiche Rauschmuster eine Verbindung zu ihm.

    • Jan
      2010-01-15 um 22:47 UTC

      Treffer, siehe oben – Kameramodell sollte vorher noch identifiziert werden.

  20. 2010-01-15 um 20:44 UTC

    Wirklich feine Uebung. Missi hat nebenan schon einiges getippert, wo mich DNS und IPTC gruebeln liessen.
    Zugegebenermassen halte ich aber das Szenario wie dargestellt fuer unrealistisch dahingehend, dass was mir auch immer an Indizien einfaellt, imo nicht ausreichen wuerde, um auch nur ansatzweise eine HD zu ermoeglichen. Physikalischer Keylogger wird beim Laptop schwierig, waere aber denkbar, dito natuerlich, wenn aus einiger Entfernung ein Auslesen des Bildschirminhalts noch möglich wäre. Dazu muss unser Hacker aber bereits unter sehr gezielter Ueberwachung stehen… Aber davon, dass er vor seinen Rechneraktivitaeten den Rolladen runterliess, steht jedenfalls nichts da :o)

    • Jan
      2010-01-15 um 22:55 UTC

      Vorherige Überwachung war nicht gemeint, dann hat man eh verloren – siehe diese Vortragsfolien von einem meiner Workshops.

      Hausdurchsuchungen werden teilweise auch genehmigt, obwohl die Indizien nicht ausreichen, außerdem gibt es ja auch noch die allseits beliebte „Gefahr im Verzug“…

      Da in einem Szenario, wo man anonymisieren muss, unter Umständen Besuch von der Polizei noch zu den angenehmeren Varianten zählt, sind mangelnde Beweise zwar schön, aber nicht ausreichend. Jemanden, der nicht viel von Gesetzen hält, wird das nicht unbedingt daran hindern, den Hacker verschwinden zu lassen oder zu Foltern.

  21. know all
    2010-01-15 um 21:09 UTC

    …er wurde von einem nachbarn mit dem fernglas beobachtet…

    • Jan
      2010-01-15 um 22:56 UTC

      Auch das war zwar nicht gemeint, ist aber auch eine gute Idee!

  22. neslob
    2010-01-15 um 21:42 UTC

    … dass Browser ein Cookie auch über TOR schicken?
    … dass TOR und JAP (aka JonDonym, AN.ON) exit node Probleme haben können? Der letzte kann den unverschlüsselten Verkehr lesen.
    … dass man sich dagegen mit einer vertrauensvollen HTTPS/SSL-Verbindung schützen sollte/muss?

    • Jan
      2010-01-15 um 23:00 UTC

      Cookies: Ja. Und? Das Cookie kann nur feststellen, dass alles was er innerhalb der Sitzung gemacht hat von einer Person kommt. Dank Live-CD kein großes Problem.

      Exitnode: Ja. Und? Der Exitnode weiß nicht woher die Daten kommen.

      Ich bin übrigens immer wieder überrascht, wie viele Leute TOR nicht kapieren und sich wundern wenn sie hören dass der Exitnode sniffen kann (obwohl es eigentlich logisch ist). Zeigt aber schön, dass man ohne viel Ahnung vom Thema wenig Chancen hat sinnvoll anonym zu arbeiten. Der Hinweis auf SSL ist natürlich richtig, in diesem Fall aber nicht nötig – er gibt ja keine Passwörter oder so ein. Im Worstcase (d.h. nur wenn der JAP-Exitnode bösartig ist) verliert er einen Hop an Anonymität weil der Exit weiß, was hochgeladen wurde. Andererseits würde die Info „SSL-Verbindung von X zu Imagehoster um (Timestamp) mit viel Upload“ in Verbindung mit den Logs des Hosters diese Info auch liefern.

      EDIT: Sorry. Hab jetzt erst gemerkt dass das wohl als Ergänzung der „Schon gewusst“-Liste ist und keine Begründung, warum der Hacker erwischt wurde. Gute Anmerkungen. Cookies werden allerdings von den Standard-Anonymisierungsprofilen für Firefox (die man verwenden sollte) blockiert.

  23. Anonymous
    2010-01-15 um 22:18 UTC

    Wie wärs hiermit (zusätzlich zu schon genanntem): Es ist aufgefallen, dass er sich nicht an der Diskussion über die Herkunft der Dokumente beteiligt hat, obwohl er sich aufgrund seines Profils (bekannter Hacker?) dafür hätte interessieren müssen.

  24. Jan
    2010-01-15 um 23:14 UTC

    Danke für die vielen genialen Einsendungen, viele kommen schon sehr nahe an das, was ich gedacht hab, und noch mehr verraten andere Gefahren, die der Hacker hätte beachten müssen.

    Der wenig bekannte Kernpunkt allerdings, wegen dem ich diese Geschichte überhaupt geschrieben habe, wurde noch nicht genannt: Wie wurde der Kameratyp des Hackers identifiziert? (Stochastische Analysen auf das Bildrauschen etc. sind nicht nötig. Metadaten, in denen ausdrücklich der Typ oder eine Seriennummer gespeichert wird, sind aber auch nicht gemeint.)

    • Christopher
      2010-01-16 um 10:00 UTC

      vielleicht einfach über die Pixelzahl? Sofern er die Größe nicht verändert hat ist die Pixelzahl ja gleich der Originalaufnahme. WEnn ich mir die Größe meiner Bilder anschaue dann hat die mit einer Auflösung von 4752×3168 doch ein recht ungewöhnliches Format.
      Wenn ich diese Größe eingebe komme ich zumindest schon mal zum Hersteller der Kamera.

      • Jan
        2010-01-16 um 13:57 UTC

        Exakt. Ein weiterer Faktor. Gemeint ist aber noch was fieseres und genaueres.

  25. Horst
    2010-01-16 um 10:12 UTC

    Warum hat er den Ordner überhaupt verbrannt, und ihn nicht einfach im Zug gelassen damit die Spuren wirklich zu den Fußballfans führen?
    So Paranoid wie der Hacker ist, hat er doch sicher Handschuhe verwendet um im Ordner zu Blättern. Und die Handschuhe hätte er ja dann verbrennen können, was eine Zuordnung der Handschuhe unmöglich gemacht hätte.

    • Jan
      2010-01-16 um 13:57 UTC

      DNA-Spuren, Faserspuren von der Kleidung, …

  26. 2010-01-16 um 11:37 UTC

    Hallo,
    sehr spannende Geschichte.
    Ich hätte noch etwas anzubieten, allerdings eher analog und hat nichts mit der Kamera zu tun:

    Er sitzt direkt hinter dem Fahrer bzw. es gibt nur einen einzigen Waggon. Der Fahrer ist allerdings nicht der Fahrzeugführer, weil die Bahn per Computer gesteuert wird. Somit sitzt der Fahrer vorne nur zur Beruhigung der Fahrgäste.
    Der Fahrer ist mit dem Waggon verbunden, und zwar mit einer Tür, die links von ihm ist. Um zu ihm zu kommen, muss man eine kleine Treppe nach oben gehen, und die Tür öffnen.
    Was der Hacker aber nicht weiß: hinter dem Fahrer befindet sich ein Glas (halbdurchlässiger Spiegel), welches aus Passagiersicht aussieht wie ein Spiegel, der Fahrer kann aber nach hinten in den Waggon gucken, ohne dass er aus der Tür heraustreten muss. Somit könnte er die Polizei alarmiert haben.
    Diese benachrichtigt den Verfassungsschutz (nein, nicht der BND, der ist der Auslandsgeheimdienst) und dieser verfolgt den Hacker mit einem Tarnkennzeichen, sodass er nicht anhand des Kennzeichens bemerkt, dass etwas faul ist. Vielleicht auch mit einem Fahrrad, aber Beamte sind ja angeblich nicht so sportlich.

    Wenige Tage später besucht die Polizei den Hacker. Sie hat absichtlich länger gewartet, damit der Hacker den Eindruck bekommt, alles sei im grünen Bereich.

    Andere Möglichkeit: Er wohnt in einem Altbau und er verwendet Powerline (Internet aus der Steckdose). Weil die Leitungen für den elektrischen Strom schlecht gelegt sind, kann der Nachbar (einer vom VS) seine Netzwerkströme abhorchen.
    Das geht genauso auch, wenn er LAN verwendet und diese Kabel eben schlecht gelegt wurden. In Altbauten ist das kein Wunder, sondern zu analogen Zeiten auch für die Kostensparung auch üblich gewesen.

    Für den Kameratyp fiele mir noch eine spezifische Auflösung ein, die nur selten für Bilder verwendet wird, etwa 1:1.5 (Fotografenbranche) oder 16:9 (Fernsehen).

    Oder: Alles war geplant. Der angezündete Papierkorb war prepariert mit einer Funkkamera, welche mikroskopisch klein gewesen ist. Die konnte alles sehen, bis sie verbrannt wurde. Davor wurden ja aber noch Daten gesendet ;-)

    Ich bin wirklich gespannt auf die Lösung, wenn es denn eine gibt.

    Gruß,
    Max

    • 2010-01-17 um 15:38 UTC

      Der Fahrer würde nicht die Polizei rufen, denn er weiss ja nicht, dass der Mensch da hinten im Wagen in geheimen, ihn nichts anzugehenden Dokumenten blättert und diese fotografiert. Als späterer Zeuge wäre er in Deinem Szenario natürlich denkbar.

      ˜˜˜

      Kann es sein, dass die Kamerahersteller zusätzlich zu den unterschiedlichen Pixelzahlen bei der Auflösung auch unterschiedliche Parameter bei der JPEG-Kodierung der Bilder anwenden und man so auf den Hersteller käme?

      Ich hoffe mal, dass der Hacker die Dateinamen angepasst hat. (Eben nicht DSC01234.JPG, IMG_1234.JPG, SANY1234.JPG, die Hinweise auf Hersteller geben können.)

      • Jan
        2010-01-18 um 01:20 UTC

        „This“ war ein bisschen schneller (dank Kommentarmoderation ist aber klar, dass du nicht da abgeschrieben hast) – herzlichen Glückwunsch, das mit der JPEG-Kompression war die geplante Lösung.

        Angesichts der Tatsache, dass er den Pfad verschleiert hat, wär der Hacker selten dämlich, wenn er den Dateinamen hätte stehen lassen, man kann also davon ausgehen, dass er daran gedacht hat.

        • Dirk
          2010-01-21 um 22:25 UTC

          Schade, JPEG-Kompression habe ich komplett ignoriert, da ich die erst am Rechner durchführe. Deshalb auch in meiner ersten Antwort „RAW“ als Vorschlag.

  27. 2010-01-17 um 02:25 UTC

    nein eine loesung gibt es glaube ich nicht,ich denke aber,warum sollte ich eigentlich den hefter verbrennen? Warum sollte ich in filmen oder fotografieren?
    Ich wuerde ihn einfach mit nach hause nehmen da laege er dann auf meinem schreibtisch
    ,oder sofa,oder fussboden,
    sollte ich eine kopie davon wollen,warum nicht mit irgenteiner digitalkamara die ich mir mal kurz in der bar ausleihe,die sd-karte kann ich auch bei einer nicht-freundin lassen….natuerlich muss ich ueberhaupt keine digitalkamara auspacken ich fotografiere und habe sie schon zur hand…….natuerlich koennten sie mich finden..aber die kopie des hefters?warum haette ich eine kopie machen sollen???
    ich habe ueberhaupt keine ahnung,ach ja rote geheimhaltung,koennen auch kleine kinder heute am computern prodozieren…mein rucksack ist voll von usbschluesseln
    es gibt ein netbook wer will ueberhaupt sagen das ich ein hacker bin?
    Ach ja ich habe einen hefter gefunden,wo ist er? liegt vieleicht auf dem schreibtisch……warum sollte ich soetwas kopieren?
    In der ubahn bin ich sowieso gefilmt worden auch in den ubanhoefen
    und von meinem nachbarn der ein optikgeschaeft hat und seine werte ueberwachen muss
    ,bin eine unter vielen……vieleicht kopiere ich den hefter gar nicht und lehrne in auswendig….
    gruss regido

  28. 2010-01-17 um 11:23 UTC

    Na ja, ich komm aus der DDR. Ganz ehrlich, es hat sich nicht viel verändert. Die Überwachung ist nur subtiler. Aber die Überwacher sind genau so wiederlich wie damals.

  29. this
    • Jan
      2010-01-18 um 01:03 UTC

      Wir haben einen Gewinner, herzlichen Glückwunsch! ;-)

      Genau das mit den Kompressionssignaturen war gemeint, Volltreffer. Bis vor kurzem kannte ich diese Gefahr nicht, erfahren habe ich das erst bei meinen Versuchen, JPEG-Bilder verlustfrei zu komprimieren, bei denen ich mich zwingend mit dem Format auseinandersetzen musste und auch das im verlinkten Artikel gezeigte JPEGsnoop gefunden habe. (BTW: 5-7% sind – komplett verlustfrei, im Sinn von „Datei nachher 1:1 binär identisch“ – drin.)

      Auf der Website zu JPEGsnoop finden sich übrigens noch viele interessante Hintergrundinfos zum JPEG-Format, wer sich damit beschäftigen will, sollte da lesen.

      Vor den Kompressionssignaturen schützt offensichtlich eine Neukodierung. Schon wegen der anderen Metadaten sollte man Daten grundsätzlich durch ein oder mehrere Konvertierungen jagen, z. B. Kamera-JPEG->PNG->BMP->PNG->JPEG (die Schritte in der Mitte sind verlustfrei) und daran denken, dass das letzte Programm Metadaten hinterlassen wird. Die anderen Tipps, die hier auch durch die Antworten zutage gekommen sind, müssen natürlich auch beachtet werden.

  30. 2010-01-17 um 21:35 UTC

    bloed da ist mir noch eingefallen….ich veroeffentliche ihn sofort im netz,schicke kopien an alle meine freundinnen…..wer soll mir dann noch was tuen? ich bin doch nur ein ganz kleines licht
    gruss regido

    • Jan
      2010-01-18 um 01:17 UTC

      Frag das doch den da. Strafrechtlich könnte man dir vermutlich über das Urheberrecht oder § 246 StGB (Unterschlagung) an den Karren fahren. Da das Szenario nur als Beispiel gedacht war, wollte ich ihm keinen allzu dramatischen Ausgang verpassen und von der eigentlichen Sache ablenken. Es kann durchaus Veröffentlichungen geben, wo jemand genau wissen will, was man sonst noch weiß, oder ein abschreckendes Beispiel aufstellen. Nicht jeder hält sich an Gesetze, und es haben schon Hacker Selbstmorde begangen, bei denen das „Selbst“ bis heute angezweifelt wird.

  31. Frank
    2010-01-17 um 22:32 UTC

    Oder er hat auf der LiveCD den Firefox 3.5 genutzt, welcher DNS queries leakt:
    http://edge.i-hacked.com/firefox-35-dns-leaks-like-a-waterfall

  32. 2010-01-17 um 22:46 UTC

    Die Bilder haben noch mehr charakteristische Eigenschaften, z.B. die Linsenverzerrung, chromatische Aberrationen, die Reaktion des Weißabgleichs auf die im Zug verwendeten Neonröhren und/oder halogenlichter, sowie das Namensschema der JPEGs.

    • Jan
      2010-01-18 um 00:54 UTC

      Noch ein schöner Haufen Sachen, an die ich nicht gedacht hatte!

  33. 2010-01-23 um 18:13 UTC

    so dies und jenes habe ich hier wohl gelernt,ich wede mir das jetzt mal speichern,danke,
    und hoffe ich finde nicht irgentwelche hefter,,,,:-)gruss regido

  34. 2010-02-15 um 15:35 UTC

    1.) Der Ordner wurde absichtlich dahingelegt.
    2.) Gerade weil er sich so passiv verhielt, machte er sich verdächtig.

  35. fantomas
    2010-07-19 um 14:05 UTC

    ich denke wenn er ein „Dokument“ über die „Totalüberwachung des Internets“ findet dann kann man sich ja sicher sein, dass es bereits ein ähnliches Konzept existiert hat. der „Hacker“ war einfach nur schon bekannt. Es heisst ja auch ÜBERWACHUNG und nicht „wer könnte der Übeltäter sein“.

  1. 2010-01-15 um 10:28 UTC
  2. 2010-01-15 um 10:59 UTC
  3. 2010-01-15 um 11:09 UTC

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: