Nieuws
image

VS vindt Assange chat op Manning Macbook

dinsdag 20 december 2011, 13:20 door Redactie, 22 reacties

Amerikaanse forensische experts hebben op de Macbook Pro van de verdachte WikiLeaks tipgever Bradley Manning, communicatie tussen hem en WikiLeaks-oprichter Julian Assange ontdekt. Manning zou duizenden geheime diplomatieke documenten naar de klokkenluidersite hebben gestuurd. De Amerikaanse overheid had in eerste instantie geen bewijs dat Manning en Assange contact met elkaar hebben gehad, maar daar is nu verandering in gekomen.

Experts vonden een IJslands telefoonnummer van Assange en een chatgesprek met een hacker waarin Manning zegt dat hij de bron van de “Collateral Murder” video is. De video laat zien hoe de bemanning van een Apache helikopter een aantal mensen doodschiet. De FBI bezat alleen maar chatgesprekken die ex-hacker Adrian Lamo aan de opsporingsdienst had doorgespeeld.

Volgens Mark Johnson, een forensische aannemer die voor een eenheid van het Amerikaanse leger werkt, vond hij veertien a vijftien pagina's aan chatgesprekken op ongealloceerde ruimte op de harde schijf van Manning's Macbook. De gesprekken gaan tussen Manning en iemand waarvan wordt gedacht dat het Assange is.

Wissen
De chatlogs waren versleuteld. Johnson wist het inlogwachtwoord van de MacBook te achterhalen, en ontdekte dat hetzelfde wachtwoord "TWink1492!!" ook als encryptiesleutel werd gebruikt. De naam van Assange was gekoppeld aan het chat alias "dawgnetwork@jabber.ccc.de", die in de vriendenlijst van Manning's chatprogramma Adium stond. Het Jabber-adres gebruikt hetzelfde domein dat Manning ook in de chatgesprekken noemt die Lamo aan de FBI gaf.

Verder werden er SSH-logs op Manning's computer gevonden, met een SFTP-verbinding van een IP-adres dat van Manning zijn tante is, naar het IP-adres van een Zweedse ISP, die banden met WikiLeaks zou hebben. Johnson vond twee pogingen om gegevens van Manning zijn laptop te verwijderen. In januari 2010 werd het besturingssysteem opnieuw geïnstalleerd. Op 31 januari probeerde iemand de schijf 35 keer met enen en nullen te overschrijven.

De opdracht werd echter geannuleerd. De opdracht werd later weer gegeven, maar toen werd de informatie eenmalig overschreven. Alle gegevens die Johnson uit de ongealloceerde ruimte wist te achterhalen, zijn van na deze "wipe" afkomstig. Ook op een SD-kaartje en externe harde schijf van Manning werden gegevens gevonden, zo meldt Wired.

Reacties (22)
20-12-2011, 13:40 door SLight
FDE met een wachtwoord van +14 willekeurige tekens, VPN die niet logt en het 35x overschrijven van een HDD is genoeg. En zeker geen flash geheugen gebruiken in de vorm van SSD, SD, USB. Deze kan in vergelijking met een HDD zeer gemakkelijk onderzocht worden zelfs na overschrijven en encryptie instellen.
20-12-2011, 13:48 door Bert de Beveiliger
Een forensisch expert van het leger... hoe betrouwbaar is de vondst daarmee? Gevalletje WC-Een, me dunkt.
Een extern expert was betrouwbaarder geweest.
20-12-2011, 14:25 door SLight
dat is aan de jury en aan de rechter om dat te bepalen. Maar aangezien Obama hem ook al schuldig pleit. --> 'Schuldig, 150 jaar'
20-12-2011, 14:30 door Bitwiper
Daar gaan we weer, 1x overschrijven zou niet genoeg zijn. Zucht. En het wordt nog gekker...

http://www.wired.com/threatlevel/2011/12/manning-assange-laptop/: Mark Johnson, a digital forensics contractor for ManTech International who works for the Army’s Computer Crime Investigative Unit, examined an image of Manning’s personal MacBook Pro and said he found 14 to 15 pages of chats in unallocated space on the hard drive
[...]
Johnson testified that he found two attempts to delete data on Manning’s laptop. Sometime in January 2010, the computer’s OS was re-installed, deleting information prior to that time. Then, on or around Jan. 31, someone attempted to erase the drive by doing what’s called a “zerofill” — a process of overwriting data with zeroes. Whoever initiated the process chose an option for overwriting the data 35 times — a high-security option that results in thorough deletion — but that operation was canceled. Later, the operation was initiated again, but the person chose the option to overwrite the information only once — a much less secure and less thorough option.

All the data that Johnson was able to retrieve from un-allocated space came after that overwrite, he said.
Ik ken geen methode om een zodanige image van een harde schijf te maken dat je vervolgens van die image 1x overschreven data terug zou kunnen halen.

Ofwel het verhaal is incompleet (om de een of andere reden is genoemde unallocated space niet overschreven terwijl die space nog wel allocated was vóór januari 2010) ofwel de journaliste Kim Zetter weet niet waar de klepel hangt en heeft het "wat geromantiseerd".

Voor iedereen die hier tegenin gaat: verwijzingen naar wetenschappelijk bewijs graag dat je 1x overschreven data van een moderen HDD zou kunnen terugtoveren binnen een realistische tijdspanne (niet uitgedrukt in lichtjaren) en met voldoende zekerheid om als juridisch bewijs te kunnen dienen.
20-12-2011, 14:38 door Anoniem
@bitwiper: Hoewel het wel gesuggereerd wordt, wordt er niet daadwerkelijk gezegd dat die enkele 'zerofill' niet goed genoeg heeft gewerkt. Het lijkt mij dat die chatlogs simpelweg na de wipe-opdracht op disk zijn gekomen en alleen verwijderd maar niet gewiped zijn.
20-12-2011, 14:50 door SirDice
Door Bitwiper: binnen een realistische tijdspanne (niet uitgedrukt in lichtjaren)
Een lichtjaar is een afstand, geen tijdsaanduiding ;)
20-12-2011, 15:04 door SLight
@ Bitwiper

Is wikipedia ook goed genoeg?: http://en.wikipedia.org/wiki/Data_recovery#Overwritten_data

Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.
20-12-2011, 15:42 door Anoniem
Door SLight: @ Bitwiper
Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.

Je hebt gelijk - alleen wijst Bitwiper op de mededeling dat deze magnetische analyse is gedaan op een image van de schijf - en dus niet op de schijf zelf. Het idee van goed forensisch onderzoek is dat je het doet op een kopie van het echte bewijs - en niet op het bewijs zelf omdat je het daarmee wijzigt. Dat is dus lastig bij het recoveren
20-12-2011, 15:43 door Anoniem
@Slight

Kun je pointer naar wat achtergrondmateriaal bijvoegen ter ondersteuning van je statement dat flashgeheugen zeer gemakkelijk uitgelezen kan worden na "overschrijven" / "encryptie instellen" tov magnetic devices?
20-12-2011, 15:44 door rsterenb
examined an image of


Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.

Heel interessant: een magnetische analyse op een image loslaten. Ik ben echt geen forensisch expert, maar ik heb het idee dat je redenatie niet op gaat. Maar misschien staat er nu een forensisch expert op om te vertellen hoe zoiets dan werkt.
20-12-2011, 17:03 door Bitwiper
Door SLight: @ Bitwiper

Is wikipedia ook goed genoeg?: http://en.wikipedia.org/wiki/Data_recovery#Overwritten_data
Peter Gutmann's artikel waar steeds naar gerefereerd wordt is uit 1996. Lees zijn "Further Epilogue" onder http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html.

Heb je ook naar http://en.wikipedia.org/wiki/Data_recovery#References gekeken, bijv. http://computer-forensics.sans.org/blog/2009/01/15/overwriting-hard-drive-data/? "... the chance of guessing the prior value is 50%."

@SirDice: je hebt gelijk, ik ga me even diep schamen (een lichtjaar duurt natuurlijk 1 jaar). Oops!
20-12-2011, 17:16 door Anoniem
En weer wordt er overdreven gedaan met het decrypten van data, terwijl het (ook hier) om een user-fout gaat. Hij heeft hetzelfde wachtwoord voor zijn gecrypte files/fs gebruikt als voor zijn machine zelf. Had hij dat niet gedaan dan was alle effort van de FBI zinloos geweest. En het wissen van vrije ruimte heeft wel zin, mits je de iteratie maar afmaakt. Ze stellen immers dat er van de vòòr de OS herinstallatie niks meer te recoveren was.
20-12-2011, 17:30 door SirDice
Door rsterenb:
examined an image of

Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.

Heel interessant: een magnetische analyse op een image loslaten. Ik ben echt geen forensisch expert, maar ik heb het idee dat je redenatie niet op gaat. Maar misschien staat er nu een forensisch expert op om te vertellen hoe zoiets dan werkt.
Dat gaat inderdaad niet werken. Een image neemt immers alleen de huidige data over. Wat die magnetische analyse doet is sporen van data zoeken omdat de lees/schrijfkop nooit helemaal exact in hetzelfde spoor loopt.
20-12-2011, 19:05 door SLight
Dat over een image was me even ontgaan

@ anoniem
wetenschappelijk bewijs: http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf en in normale mensen taal; http://www.macworld.com/article/158061/2011/02/ssd.html

Ook TrueCrypt raadt SSD's af: http://www.truecrypt.org/docs/?s=wear-leveling, ik weet 't is niet belangrijk voor overschrijven, maar wel voor analyse van chips na encryptie
20-12-2011, 19:43 door Anoniem
"dat is aan de jury en aan de rechter om dat te bepalen."

Heb je een jury bij een militaire rechtbank ? Hij komt immers voor de krijgsraad ?
20-12-2011, 22:27 door spatieman
ik vraag me af welk laatje met bewijsmateriaal ze hebben opengetrokken.
20-12-2011, 22:48 door Anoniem
Echt ongelovelijk hoeveel geld en moeite er wordt gestoken in iemand schuldig maken terwijl die alleen maar de waarheid heeft laten zien. Owja, die mogen wij burgers helemaal niet weten, en wij moeten een recessie in om dit allemaal mogelijk te maken. Bravo ... mensheid :s
20-12-2011, 23:30 door Sokolum
Het beste manier om een forenisch onderzoek te dwarsbomen, is full disk encryption.
Mocht je later Windows opnieuw installeren en je maakt geen gebruik meer van full disk encryptie, dan zijn de achtergebleven encrypted sectors nooit meer decrypten.

Proffesioneelmatig zweet ik bij fulldisk encryptie, als je bang bent voor performance verlies, die is er nagenoeg niet met aes256.
21-12-2011, 02:27 door Anoniem
Door AlexK: Een forensisch expert van het leger... hoe betrouwbaar is de vondst daarmee? Gevalletje WC-Een, me dunkt.
Een extern expert was betrouwbaarder geweest.

Juist, leger en veiligheidsdiensten van de VS staan namelijk onder een dermate grote druk om "bewijs" tegen Assange "te vinden" dat niet ondenkbaar is dat men het bewijs gewoon "maakt". Fluitje van een cent, zoals bij de weapons of mass destruction (WMD) in Irak. Hopelijk doen ze het nu weer net zo amateuristisch !
21-12-2011, 09:28 door Anoniem
Door Sokolum: Proffesioneelmatig zweet ik bij fulldisk encryptie,
zo'n uitspraken komen niet echt professioneel over.
21-12-2011, 10:16 door Anoniem
@Sokolum: zeker niet wanneer je een i7 CPU gebruikt, aangezien die een dedicated AES kern heeft, waardoor het hele cryptie proces hardwarematig versneld wordt.
21-12-2011, 22:27 door Charley51
Door Anoniem: En weer wordt knip... knip... Ze stellen immers dat er van de vòòr de OS herinstallatie niks meer te recoveren was.
Precies. Bij een herinstallatie wordt gebruikelijk de oude partitie weggegooid en een nieuwe aangemaakt en de boel geformatteerd. De nieuwe partitie zal net iets kleiner zijn geworden en ik wil wedden, dat de gevonden informatie. die in de niet-gealloceerde ruimte is gevonden, pal achter de her-installatie (lees: partitie) zal staan.
Slordige fout, die makkelijk was te voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure