Probleme bei Dateiverschlüsselungen
|
|
|
|
|
|
INFO & WISSEN
|
|
|
|
|
 Beim Einsatz von File Encryption, egal welcher Methode muss auch
bedacht werden, dass die Informationen bei der Verarbeitung, bzw. in
ihrem Lebenszyklus auch an anderen Plätzen vorliegen. Vor allem
befinden sich Kopien in temporären Ordner, in Swap-Files, auch im
RAM-Abbild des Hibernation Mode oder schlicht
dem Papierkorb. Zusätzlich können durch File-Slacks
mit forensischen Techniken sensitive Daten offen gelegt werden. File Slacks sind zufällige Daten aus dem RAM mit denen
Windows die nicht benötigten Speicherbereiche, eines von Datei nicht
mehr vollständig belegten Clusters, auffüllt.
|
Temporäre Dateien
|
|
Viele kommerzielle
Softwarepakete erzeugen temporäre Dateien um entweder Zwischenergebnisse
abzulegen oder darin eine Kopie des Originals mit den letzen Änderungen
für den Fall eines unerwarteten Absturzes zu speichern. Diese Files
sind zwar oft extrem nützlich, aber auch ein ebenso großes
Sicherheitsrisiko bei sensitiven Daten.
|
Auslagerungsdateien
|
|
Werden in modernen
Betriebssystemen stark verwendet um die Knappheit von Arbeitsspeicher
auszugleichen. Dabei werden Speicherinhalte auf die Festplatte
geschrieben um Platz für andere Anwendungen zu schaffen. Sobald diese
Inhalte wieder benötigt werden, kommen sie zurück an ihre alte
Position.
|
Papierkorb
|
|
Wenn eine Datei im System
gelöscht wird, kommt sie zuerst in den Mistkübel. Bis dieser geleert
wird, können die Daten jederzeit wieder hergestellt werden. Aber selbst
dann verweilen die darin enthaltenen Informationen auf der Festplatte,
solange sie nicht von einer anderen Datei überschrieben werden. Mit
vielen Software Werkzeugen können Sie gefunden und gelesen werden.
|
Windows Registry
|
|
Viele Windows-Anwendungen
legen wertvolle Information in der Registry
ab, wie zum Beispiel Username /Passwort-Kombinationen für Websites.
Aber auch deren unauthorisierte Manipulation
kann, zu erheblichen Sicherheitslöchern führen, z.B. das kommerzielle
Tool ERD Commander , kann die Registry
verändern und das Administrator Passwort des Zielsystems neu setzen.
|
 Hibernation und Sleep
Mode
|
|
Diese Modi werden oft bei Notebooks verwendet
um Batterie zu sparen wenn der Computer noch eingeschaltet ist. Dabei
wird der gesamte Inhalt des Arbeitsspeichers inklusive aller enthaltenen
sensitiven Daten auf die Festplatte gespeichert. Dadurch lässt sich
beim nächsten Hochfahren der exakte Zustand wiederherstellen.
|
File Stacks
|
|
Windows organisiert seine
File Systeme in so genannten Clusters, die wiederum aus bis zu 64
Sektoren bestehen. Auch wenn eine Datei nur wenige Byte lang ist,
belegt diese immer einen ganzen Cluster (meist viele Kilobyte). Der
letzte von Nutzdaten angefangene Sektor ist mit willkürlichen Daten aus
dem RAM aufgefüllt – das können selbstverständlich auch Passwörter oder
Inhalte der gerade bearbeiteten E-Mail sein! Es gibt eigene Werkzeuge
welche mit forensischen Methoden diese Daten auswerten können.
|
Versteckte Partitionen
|
|
Das sind Teile der Hard Disk, die das
Betriebssystem nicht erkennt und anzeigt. Dennoch verwenden einige
Anwendungen diesen Platz um Daten am System vorbei abzulegen.
|
