VS vindt Assange chat op Manning Macbook
Amerikaanse forensische experts hebben op de Macbook Pro van de verdachte WikiLeaks tipgever Bradley Manning, communicatie tussen hem en WikiLeaks-oprichter Julian Assange ontdekt. Manning zou duizenden geheime diplomatieke documenten naar de klokkenluidersite hebben gestuurd. De Amerikaanse overheid had in eerste instantie geen bewijs dat Manning en Assange contact met elkaar hebben gehad, maar daar is nu verandering in gekomen.
Experts vonden een IJslands telefoonnummer van Assange en een chatgesprek met een hacker waarin Manning zegt dat hij de bron van de “Collateral Murder” video is. De video laat zien hoe de bemanning van een Apache helikopter een aantal mensen doodschiet. De FBI bezat alleen maar chatgesprekken die ex-hacker Adrian Lamo aan de opsporingsdienst had doorgespeeld.
Volgens Mark Johnson, een forensische aannemer die voor een eenheid van het Amerikaanse leger werkt, vond hij veertien a vijftien pagina's aan chatgesprekken op ongealloceerde ruimte op de harde schijf van Manning's Macbook. De gesprekken gaan tussen Manning en iemand waarvan wordt gedacht dat het Assange is.
Wissen
De chatlogs waren versleuteld. Johnson wist het inlogwachtwoord van de MacBook te achterhalen, en ontdekte dat hetzelfde wachtwoord "TWink1492!!" ook als encryptiesleutel werd gebruikt. De naam van Assange was gekoppeld aan het chat alias "dawgnetwork@jabber.ccc.de", die in de vriendenlijst van Manning's chatprogramma Adium stond. Het Jabber-adres gebruikt hetzelfde domein dat Manning ook in de chatgesprekken noemt die Lamo aan de FBI gaf.
Verder werden er SSH-logs op Manning's computer gevonden, met een SFTP-verbinding van een IP-adres dat van Manning zijn tante is, naar het IP-adres van een Zweedse ISP, die banden met WikiLeaks zou hebben. Johnson vond twee pogingen om gegevens van Manning zijn laptop te verwijderen. In januari 2010 werd het besturingssysteem opnieuw geïnstalleerd. Op 31 januari probeerde iemand de schijf 35 keer met enen en nullen te overschrijven.
De opdracht werd echter geannuleerd. De opdracht werd later weer gegeven, maar toen werd de informatie eenmalig overschreven. Alle gegevens die Johnson uit de ongealloceerde ruimte wist te achterhalen, zijn van na deze "wipe" afkomstig. Ook op een SD-kaartje en externe harde schijf van Manning werden gegevens gevonden, zo meldt Wired.
Een extern expert was betrouwbaarder geweest.
[...]
Johnson testified that he found two attempts to delete data on Manning’s laptop. Sometime in January 2010, the computer’s OS was re-installed, deleting information prior to that time. Then, on or around Jan. 31, someone attempted to erase the drive by doing what’s called a “zerofill” — a process of overwriting data with zeroes. Whoever initiated the process chose an option for overwriting the data 35 times — a high-security option that results in thorough deletion — but that operation was canceled. Later, the operation was initiated again, but the person chose the option to overwrite the information only once — a much less secure and less thorough option.
All the data that Johnson was able to retrieve from un-allocated space came after that overwrite, he said.
Ofwel het verhaal is incompleet (om de een of andere reden is genoemde unallocated space niet overschreven terwijl die space nog wel allocated was vóór januari 2010) ofwel de journaliste Kim Zetter weet niet waar de klepel hangt en heeft het "wat geromantiseerd".
Voor iedereen die hier tegenin gaat: verwijzingen naar wetenschappelijk bewijs graag dat je 1x overschreven data van een moderen HDD zou kunnen terugtoveren binnen een realistische tijdspanne (niet uitgedrukt in lichtjaren) en met voldoende zekerheid om als juridisch bewijs te kunnen dienen.
Is wikipedia ook goed genoeg?: http://en.wikipedia.org/wiki/Data_recovery#Overwritten_data
Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.
Magnetische analyse en het hoeft ook niet zo te zijn dat de hele harde schijf gerecovered is.
Je hebt gelijk - alleen wijst Bitwiper op de mededeling dat deze magnetische analyse is gedaan op een image van de schijf - en dus niet op de schijf zelf. Het idee van goed forensisch onderzoek is dat je het doet op een kopie van het echte bewijs - en niet op het bewijs zelf omdat je het daarmee wijzigt. Dat is dus lastig bij het recoveren
Kun je pointer naar wat achtergrondmateriaal bijvoegen ter ondersteuning van je statement dat flashgeheugen zeer gemakkelijk uitgelezen kan worden na "overschrijven" / "encryptie instellen" tov magnetic devices?
Heel interessant: een magnetische analyse op een image loslaten. Ik ben echt geen forensisch expert, maar ik heb het idee dat je redenatie niet op gaat. Maar misschien staat er nu een forensisch expert op om te vertellen hoe zoiets dan werkt.
Is wikipedia ook goed genoeg?: http://en.wikipedia.org/wiki/Data_recovery#Overwritten_data
Heb je ook naar http://en.wikipedia.org/wiki/Data_recovery#References gekeken, bijv. http://computer-forensics.sans.org/blog/2009/01/15/overwriting-hard-drive-data/? "... the chance of guessing the prior value is 50%."
@SirDice: je hebt gelijk, ik ga me even diep schamen (een lichtjaar duurt natuurlijk 1 jaar). Oops!
Heel interessant: een magnetische analyse op een image loslaten. Ik ben echt geen forensisch expert, maar ik heb het idee dat je redenatie niet op gaat. Maar misschien staat er nu een forensisch expert op om te vertellen hoe zoiets dan werkt.
@ anoniem
wetenschappelijk bewijs: http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf en in normale mensen taal; http://www.macworld.com/article/158061/2011/02/ssd.html
Ook TrueCrypt raadt SSD's af: http://www.truecrypt.org/docs/?s=wear-leveling, ik weet 't is niet belangrijk voor overschrijven, maar wel voor analyse van chips na encryptie
Heb je een jury bij een militaire rechtbank ? Hij komt immers voor de krijgsraad ?
Mocht je later Windows opnieuw installeren en je maakt geen gebruik meer van full disk encryptie, dan zijn de achtergebleven encrypted sectors nooit meer decrypten.
Proffesioneelmatig zweet ik bij fulldisk encryptie, als je bang bent voor performance verlies, die is er nagenoeg niet met aes256.
Een extern expert was betrouwbaarder geweest.
Juist, leger en veiligheidsdiensten van de VS staan namelijk onder een dermate grote druk om "bewijs" tegen Assange "te vinden" dat niet ondenkbaar is dat men het bewijs gewoon "maakt". Fluitje van een cent, zoals bij de weapons of mass destruction (WMD) in Irak. Hopelijk doen ze het nu weer net zo amateuristisch !
Slordige fout, die makkelijk was te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.