Montag, Mai 19, 2008

Interpol-Forensiker zwischen den Fronten

Die weltweite Polizeiorganisation Interpol hat ein forensisches Gutachten (PDF-Datei) veröffentlicht, das in einem Streit zwischen Kolumbien, Ecuador und Venezuela klären sollte, ob Computerdateien gefälscht wurden. Nun entpuppt sich das Gutachten zumindest im öffentlich frei verfügbaren Teil als Gefälligkeitsgutachten und der Streit geht weiter.
Im Umfeld des EU-Lateinamerikagipfels sorgen drei Toshiba Satellite-Laptops, zwei externe LaCie-Festplatten und drei USB-Sticks für Aufregung. Diese acht Geräte wurden am 1. März von kolumbianischen Militärs erbeutet, als diese ein Lager der FARC-Guerilla stürmten, das 1,2 Meilen von der kolumbianischen Grenze in Ecuador lag. Beim Sturm auf das Lager wurde Luis Edgar Silva alias Kommandant Raúl Reyes getötet, zu dessen Besitz die IT gehören soll. Anfang Mai erklärte ein amerikanischer Geheimdienstvertreter gegenüber dem Wall Street Journal, dass man auf den Computern von Reyes über 100 Dokumente gefunden habe, die eine Kooperation zwischen FARC und Venezuela beweisen würden. Aus den Dokumenten soll hervorgehen, dass Venezuela den kolumbianischen Rebellen die Nutzung eines Hafens angeboten habe. Venezuela dementierte die Zusammenarbeit umgehend und bezeichnete die Dokumente als Fälschung.
In dieser Situation beauftragte die kolumbianische Regierung Interpol mit einer forensischen Untersuchung der acht Geräte, die erst am 3. März von ausgebildeten Spezialisten in Bogotá forensisch gesichert wurden. Interpol beauftragte zwei führende Forensik-Spezialisten in Singapur und Australien mit der Untersuchung, ob die Dateien auf den Geräten möglicherweise gefälscht sind, also später hinzu kopiert wurden. Die nicht spanisch sprechenden Spezialisten lieferten nun ein Gutachten ab, das nach dem Wortlaut der offiziellen Presseerklärung feststellt, dass keine Veränderungen auf den Geräten vorgenommen wurden.

Allerdings stellten die Forensiker fest, dass unmittelbar nach dem Ende des Gefechts mit den FARC-Anhängern die Laptops gestartet, die Festplatten angeschlossen und die USB-Sticks gesichtet wurden. Für jedes einzelne Gerät legten sie Statistiken für die Benutzungszeit zwischen dem 1. März und dem 3. März als Datum vor, an dem erstmals die forensisch wichtigen Image-Dateien erstellt wurden. So lautet der Befund für einen der drei Laptops:

  • 1,479 system files were created
  • 1,703 system and user files were accessed
  • 5,240 system files were modified
  • 103 system files were deleted
Dennoch attestieren die Forensiker dem Gerät, dass keine wichtigen Dateien kompromittiert wurden, da nur Systemdateien vom Windows-Start geändert worden seien. Gleichzeitig fanden die Forensiker auf den externen Festplatten 4.212 Dateien mit Zeitstempeln aus dem Jahr 2009. Diese Datumsangaben werden im Gutachten damit erklärt, dass zwischenzeitlich offenbar ein Rechner mit falscher Systemzeit auf die Festplatten zugriff. Eine Untersuchung, ob diese Dateien möglicherweise zwischen dem 1. und 3. März erzeugt wurden, entfiel. Insgesamt fanden die Forensiker 609,6 GByte Daten, aufgelistet als 37.872 Textdokumente, 452 Tabellen, 210.888 Bilddateien und 22.481 Webseiten sowie 10.537 Multimedia-Dateien. Außerdem konnten sie 7989 E-Mail-Adressen und 983 verschlüsselte Dateien ausmachen. Worin die Verschlüsselung bestand und wie sie gebrochen wurde, ist als geheim klassifiziert. In der Presseerklärung heißt es dazu: "To break the 983 encrypted files, Interpol's experts linked and ran 10 computers simultaneously 24 hours a day / 7 days a week for two weeks."
Mit der Feststellung, dass die Rechner und Festplatten zwischenzeitlich unkontrolliert gestartet, aber ganz sicher nicht verändert wurden, bietet Interpol nach forensischen Gesichtspunkten eine fragwürdige Analyse. "Ich würde als Forensiker nicht ausschließen können, dass bei einem offensichtlich zwischenzeitlich gestarteten Rechner nicht eine komplette Image-Datei eingespielt wurde, die in sich widerspruchsfreie Zeitstempel, sehr wohl aber manipulierte Dateien enthält", erklärte ein deutscher Fachmann gegenüber heise online. "Leider sind auch die von Interpol genutzten Software-Werkzeuge zur Verschlusssache erklärt worden, so dass man sich ohnehin kein genaues Bild von der Untersuchung machen kann. Ich habe große Zweifel, ob diese Untersuchung vor Gericht Bestand hat."
Venezuelas Präsident Chavez drückte sich nach einem YouTube-Schnipsel weniger gewählt aus. "Man kennt ja Filme mit Interpol. Interpols Kenneth Noble ist ein mordsmäßiger Schauspieler", beurteilte Chavez den Leiter der Interpol-Untersuchung. Sein ehemaliger Vizepräsident Jorge Rodriguez machte in einem weiteren Interview auf den Umstand aufmerksam, dass nach Darstellung von Interpol die inhaltliche Analyse der Dateien noch mehrere Monate brauche. Dennoch habe man auf Anhieb noch im März 100 Dokumente gefunden, die Venezuelas Verstrickung beweisen würden.(Quelle:Heise.de)

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite