1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Perfect Privacy: Polizei…

RAM Kopieren?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. RAM Kopieren?

    Autor: AlexanderSchäfer 05.09.16 - 17:28

    Ist es nicht möglich den RAM im laufenden Betrieb zu kopieren um die entsprechenden Zertifikate zu extrahieren. Damit könnte man dann einen eigenen VPN-Server aufsetzen und auf diesen gezielt Verdächtige umleiten.

  2. Re: RAM Kopieren?

    Autor: Wallbreaker 05.09.16 - 17:50

    Bitte was ist nicht möglich? Es ist sogar ziemlich einfach RAM-Inhalte im Betrieb zu kopieren. Das Problem an der Sache ist jedoch das Herankommen an den RAM-Speicher von aussen. Sprich das laufende Betriebssystem müsste erfolgreich kompromittiert werden, oder eine z.B. Firewire oder Thunderbolt-Schnittstelle wäre auch überaus hilfreich, um das zu umgehen. Zumindest könnte man Aktionen wie das Vereisen der RAM-Bausteine heute vergessen, wenn bei DDR3 bereits nach etwas über 3 Sekunden nach dem Herunterfahren, die Ladung flöten geht. Bei DDR4 wäre es noch weniger.

  3. Re: RAM Kopieren?

    Autor: Gelegenheitssurfer 05.09.16 - 19:34

    Du hast nicht den Artikel nicht gelesen, oder? Strom aus, Daten vom Ram weg (für 95% aller User). Im RAM können nur Daten gespeichert werden, wenn Spannung anliegt, Spannung weg = Daten können nicht gespeichert werden.... Da kann auch kein kompromittiertes OS was dran rütteln.

  4. Re: RAM Kopieren?

    Autor: Everest 05.09.16 - 19:41

    Die Server dürften VMs sein.

  5. Re: RAM Kopieren?

    Autor: dahana 05.09.16 - 19:46

    Gelegenheitssurfer schrieb:
    --------------------------------------------------------------------------------
    > Du hast nicht den Artikel nicht gelesen, oder? Strom aus, Daten vom Ram weg
    > (für 95% aller User). Im RAM können nur Daten gespeichert werden, wenn
    > Spannung anliegt, Spannung weg = Daten können nicht gespeichert werden....
    > Da kann auch kein kompromittiertes OS was dran rütteln.

    Ein paar Volt Spannung findet man in fast jedem Elektronikladen...
    Im Artikel steht auch nichts davon, dass die Server ausgeschaltet wurden.

  6. Re: RAM Kopieren?

    Autor: AlexanderSchäfer 05.09.16 - 19:46

    Gelegenheitssurfer schrieb:
    --------------------------------------------------------------------------------
    > Du hast nicht den Artikel nicht gelesen, oder? Strom aus, Daten vom Ram weg
    > (für 95% aller User).

    Man muss den Server ja nicht ausschalten, sondern kann es evtl. auch auf Hardwareebene über DMA durchführen. Zugriff auf die Hardware bekommt die Polizei ja mit Gerichtsbeschluss ohne Probleme.

  7. Re: RAM Kopieren?

    Autor: serra.avatar 05.09.16 - 19:49

    wie kommt ihr drauf das die abgeschaltet wurden ;p ... sind keine Deutschen Polizisten ,p ...was glaubt ihr wohl warum die direkt ins Rechencenter sind ;p

    AlexanderSchäfer wenigstens einer der klarsieht ... die haben durch den Zugriff auf die Hardware alles was sie brauchen ... nach erfolgreichem Dump wird abgeschaltet und eingepackt!

    _________________________________________________________________
    Gott vergibt, ich nicht!



    1 mal bearbeitet, zuletzt am 05.09.16 19:57 durch serra.avatar.

  8. Re: RAM Kopieren?

    Autor: Apfelbrot 05.09.16 - 19:51

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Gelegenheitssurfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Du hast nicht den Artikel nicht gelesen, oder? Strom aus, Daten vom Ram
    > weg
    > > (für 95% aller User).
    >
    > Man muss den Server ja nicht ausschalten, sondern kann es evtl. auch auf
    > Hardwareebene über DMA durchführen. Zugriff auf die Hardware bekommt die
    > Polizei ja mit Gerichtsbeschluss ohne Probleme.

    Ja und du glaubst dass die dann vor Ort sauber die Server herausziehen, und dann erst mal daran herum basteln um den RAM auszulesen?

  9. Re: RAM Kopieren?

    Autor: carnival 05.09.16 - 19:51

    man muss den server nicht ausschalten um ihn mitzunehmen...

    http://www.cru-inc.com/products/wiebetech/hotplug_field_kit_product/

    auch die polizei kann googeln...

  10. Re: RAM Kopieren?

    Autor: AlexanderSchäfer 05.09.16 - 20:01

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Ja und du glaubst dass die dann vor Ort sauber die Server herausziehen, und
    > dann erst mal daran herum basteln um den RAM auszulesen?

    Klar warum den nicht? Je nachdem welche Straftat (z.B. Terrorismus, Kinderpornografie) verfolgt wird, sind ja auch entsprechend kompetente Personen involviert.

    Wenn man es schaffen würde an die Zertifikate zu kommen, wäre es ja vollkommen egal ob die Server loggen oder nicht. Diesen könnte man dann zur Beweissicherung ja auch erst beschlagnahmen, wenn man schon alle Daten hat.

  11. Re: RAM Kopieren?

    Autor: GeINeSiiS 05.09.16 - 20:55

    Everest schrieb:
    --------------------------------------------------------------------------------
    > Die Server dürften VMs sein.

    Ich kann dir sagen, dass Perfect Privacy beim anmieten neuer Server expliziet nach dedizierten Server fragt und auch nur diese anmietet.

  12. Re: RAM Kopieren?

    Autor: GeINeSiiS 05.09.16 - 21:08

    Das BKA hat Möglichkeiten den RAM im laufenden Betrieb zu kopieren..

  13. Re: RAM Kopieren?

    Autor: Llame 06.09.16 - 00:46

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Apfelbrot schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja und du glaubst dass die dann vor Ort sauber die Server herausziehen,
    > und
    > > dann erst mal daran herum basteln um den RAM auszulesen?
    >
    > Klar warum den nicht? Je nachdem welche Straftat (z.B. Terrorismus,
    > Kinderpornografie) verfolgt wird, sind ja auch entsprechend kompetente
    > Personen involviert.

    Selbst wenn es um ein pädokriminelles Terroristen-Waffenschieber-Drogenkartell-Netzwerk das Welpen misshandelt geht, wäre das eine ziemlich bescheuerte vorgehensweise.

    A STRANGE GAME. THE ONLY WINNING MOVE IS NOT TO PLAY.

  14. Re: RAM Kopieren?

    Autor: chefin 06.09.16 - 08:12

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Ist es nicht möglich den RAM im laufenden Betrieb zu kopieren um die
    > entsprechenden Zertifikate zu extrahieren. Damit könnte man dann einen
    > eigenen VPN-Server aufsetzen und auf diesen gezielt Verdächtige umleiten.

    Und was hast du dann?

    Ein Abbild von ca 1Sec Datenübertragung von 100 Usern. Du kannst damit nichts feststellen ausser das der User gerade connected ist. Die Wahrscheinlichkeit das im RAM genau zum Zeitpunkt des Freeze für Ermittlungen wichtige Daten liegen ist extrem gering. Ein VPN reicht die Daten ja durch. Alles was länger als 1 Sec gespeichert ist, ist die Session als solches. Also die Session-ID und die dazu gehörigen Buffer und Variablen. Dort steht aber nur eine IP und einige belanglose Verwaltungsdaten für den Server.

    Man kann also sehen wer gerade connected war. Und man kann sehen welchen Server er gerade aufgerufen hat. Nichtmal welchen Inhalt, weil man nur ein oder ein paar wenige Datenpakete hat. Ein Datenpaket enthält 1500Byte, davon knapp 100 Overhead. Also um die 1400 byte Nutzdaten. Was genau kannst du also in 10 Paketen die du auslesen kannst weil es gerade mal etwas mehr gebuffert wurde erkennen? Selbst diese Webseite die du aufgerufen hast um mein Posting zu lesen kommt auf einige Hundert Kbyte. Vieleicht kann man eine reine Textseite ohne Bilder in 15Kbyte unterbringen.

    Ansonsten ist es eben nur ein abbild deiner Aktivität der letzten Sekunde. Wäre ich jetzt dort, würde gerade NICHTS über mich drin stehen, weil ich beim Schreiben keine Datenpakete empfange oder sende sondern mein Browser drauf wartet das ich "Beitrag absenden" klicke. Alles was vorher gelaufen ist ist lange gelöscht, weil die Buffer freigegeben werden und das RAM längst von anderen Usern neu beschrieben.

    Auf diesem Weg bekommt man nichts. VPN muss man langfristig überwachen oder die Zertifikate kopieren und sich als MitM ausgeben um längere Zeit Daten zu protokollieren. Ein Anbieter wie dieser der es Ernst meint mit der Datensparsamkeit bietet keinen Ansatzpunkt.

    Ich vermute das die Polizei das so nicht geglaubt hat und daher davon ausgegangen ist, da ist mehr zu holen. Nun aber stellen sie fest, der Anbieter hat gut gearbeitet im Sinne seiner Kunden und da ist nichts zu holen (oder eben nicht...dann findet sie statistische Daten, Protokollierungen der Datenmenge, Verläufe etc). Das aber müsste eigentlich auf HDD aufgezeichnet werden, weil RAM-speicher dafür zu knapp ist. HDDs sind aber keine drin in diesen Servern. Gebootet wird von einem USB-Stick oder DVD und dort wird nichts drauf geschrieben.

  15. Re: RAM Kopieren?

    Autor: Fenix.de 06.09.16 - 08:40

    chefin schrieb:
    --------------------------------------------------------------------------------
    > AlexanderSchäfer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist es nicht möglich den RAM im laufenden Betrieb zu kopieren um die
    > > entsprechenden Zertifikate zu extrahieren. Damit könnte man dann einen
    > > eigenen VPN-Server aufsetzen und auf diesen gezielt Verdächtige
    > umleiten.
    >
    > Und was hast du dann?
    >
    > Ein Abbild von ca 1Sec Datenübertragung von 100 Usern. Du kannst damit
    > nichts feststellen ausser das der User gerade connected ist. Die
    > Wahrscheinlichkeit das im RAM genau zum Zeitpunkt des Freeze für
    > Ermittlungen wichtige Daten liegen ist extrem gering. Ein VPN reicht die
    > Daten ja durch. Alles was länger als 1 Sec gespeichert ist, ist die Session
    > als solches. Also die Session-ID und die dazu gehörigen Buffer und
    > Variablen. Dort steht aber nur eine IP und einige belanglose
    > Verwaltungsdaten für den Server.
    >
    > Man kann also sehen wer gerade connected war. Und man kann sehen welchen
    > Server er gerade aufgerufen hat. Nichtmal welchen Inhalt, weil man nur ein
    > oder ein paar wenige Datenpakete hat. Ein Datenpaket enthält 1500Byte,
    > davon knapp 100 Overhead. Also um die 1400 byte Nutzdaten. Was genau kannst
    > du also in 10 Paketen die du auslesen kannst weil es gerade mal etwas mehr
    > gebuffert wurde erkennen? Selbst diese Webseite die du aufgerufen hast um
    > mein Posting zu lesen kommt auf einige Hundert Kbyte. Vieleicht kann man
    > eine reine Textseite ohne Bilder in 15Kbyte unterbringen.
    >
    > Ansonsten ist es eben nur ein abbild deiner Aktivität der letzten Sekunde.
    > Wäre ich jetzt dort, würde gerade NICHTS über mich drin stehen, weil ich
    > beim Schreiben keine Datenpakete empfange oder sende sondern mein Browser
    > drauf wartet das ich "Beitrag absenden" klicke. Alles was vorher gelaufen
    > ist ist lange gelöscht, weil die Buffer freigegeben werden und das RAM
    > längst von anderen Usern neu beschrieben.
    >
    > Auf diesem Weg bekommt man nichts. VPN muss man langfristig überwachen oder
    > die Zertifikate kopieren und sich als MitM ausgeben um längere Zeit Daten
    > zu protokollieren. Ein Anbieter wie dieser der es Ernst meint mit der
    > Datensparsamkeit bietet keinen Ansatzpunkt.
    >
    > Ich vermute das die Polizei das so nicht geglaubt hat und daher davon
    > ausgegangen ist, da ist mehr zu holen. Nun aber stellen sie fest, der
    > Anbieter hat gut gearbeitet im Sinne seiner Kunden und da ist nichts zu
    > holen (oder eben nicht...dann findet sie statistische Daten,
    > Protokollierungen der Datenmenge, Verläufe etc). Das aber müsste eigentlich
    > auf HDD aufgezeichnet werden, weil RAM-speicher dafür zu knapp ist. HDDs
    > sind aber keine drin in diesen Servern. Gebootet wird von einem USB-Stick
    > oder DVD und dort wird nichts drauf geschrieben.

    +1, er hats erfasst.
    Die Jungs sind nicht umsonst in einschlägigen Szeneforen sehr bekannt und wissen daher ziemlich genau, was sie tun.

  16. Re: RAM Kopieren?

    Autor: sn0 06.09.16 - 08:46

    carnival schrieb:
    --------------------------------------------------------------------------------
    > man muss den server nicht ausschalten um ihn mitzunehmen...
    > www.cru-inc. com

    Haha, also so wie das im Video vorgeführt wird, wird das in Deutschland nie und nimmer von der VDE zugelassen. Dort wird ein Stecker (dessen Kontakte frei berührbar sind) vorübergehend unter Spannung gesetzt (rückeinspeisung). Absolut lebensgefährlich.

    Dazu kommt der Fakt das die wenigsten Server an einer Steckdosenleiste hängen die man mal so eben mitnehmen kann :)

    Es gibt allerdings Server mit zwei Netzteilen (für den Fall das einer der beiden Stromkreise versagt). Das könnte man dann ausnutzen um den Server im Live-Betrieb wegzutragen.

    Dann kann man aber immer noch ein Script basteln das den RAM leert und Prozesse beendet sobald der Netzwerkstecker gezogen wird.

    if(eth0.state==down){flushRAM();} ...oder so :-)



    2 mal bearbeitet, zuletzt am 06.09.16 08:52 durch sn0.

  17. Re: RAM Kopieren?

    Autor: Werni 06.09.16 - 10:23

    Jupp,

    das mit den Doppelnetzteilen ist die ganz einfache Lösung. Und jeder gescheite Server hat ein doppeltes Netzteil...

    Dann habe ich die Kiste also ausm Rack raus und kann basteln... Mit komplettem physikalischem Zugriff kommt man sicher auch an die RAM Inhalte heran.

    Nur, was will man da finden? Eigentlich sind doch nur die Schlüssel der VPN-Verschlüsselung interessant. Die sollten dort jetzt dringend getauscht werden.

  18. Re: RAM Kopieren?

    Autor: AlexanderSchäfer 06.09.16 - 10:25

    Werni schrieb:
    --------------------------------------------------------------------------------
    > Nur, was will man da finden? Eigentlich sind doch nur die Schlüssel der
    > VPN-Verschlüsselung interessant. Die sollten dort jetzt dringend getauscht
    > werden.

    Vielleicht haben die den Traffic der letzten Wochen aber schon mitgeschnitten.

  19. Re: RAM Kopieren?

    Autor: derh0ns 06.09.16 - 13:08

    AlexanderSchäfer schrieb:
    --------------------------------------------------------------------------------
    > Werni schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nur, was will man da finden? Eigentlich sind doch nur die Schlüssel der
    > > VPN-Verschlüsselung interessant. Die sollten dort jetzt dringend
    > getauscht
    > > werden.
    >
    > Vielleicht haben die den Traffic der letzten Wochen aber schon
    > mitgeschnitten.

    Bringt durch PFS auch nix.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager Digitalisierungsprojekte (m/w/d)
    Helios IT Service GmbH, Berlin, deutschlandweit
  2. Senior Solution Architect (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
  3. Frontend-Entwickler (m/w/d)
    DFN-CERT Services GmbH, Hamburg-Hammerbrook
  4. IT-Administrator (m/w/d) Schwerpunkt MS Exchange
    ARNECKE SIBETH DABELSTEIN Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB, Frankfurt am Main, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

  1. NFTs Pyramidensystem für Tech-Eliten
  2. Nach Krypto-Betrug Kryptobörse will Squid-Game-Scammer finden
  3. Krypto-Betrug Meme-Coin-Projekt lässt 60 Millionen Dollar verschwinden

Discovery Staffel 4: Star Trek mit viel zu viel Pathos
Discovery Staffel 4
Star Trek mit viel zu viel Pathos

Die ersten beiden Folgen der neuen Staffel von Star Trek Discovery bieten zwar interessante Story-Ansätze, gehen aber in teils unerträglichen Gefühlsduseleien unter. Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Pluto TV Star Trek Discovery kommt doch schon nach Deutschland
  2. Star Trek Discovery kommt nicht mehr auf Netflix

In eigener Sache: Wo ITler am besten arbeiten
In eigener Sache
Wo ITler am besten arbeiten

Gutes Gehalt, cooler Tech-Stack - aber wie ist das Unternehmen wirklich? Golem.de hilft: Hier sind die Top-50-Arbeitgeber für IT-Profis.

  1. Holacracy Die Hierarchie der Kreise
  2. Arbeitsgericht Berlin Gorillas-Chefs können Betriebsratsgründung nicht stoppen
  3. ITler als Beamte Job und Geld auf Lebenszeit