Hallo zusammen, ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen anderen Rechner kopieren möchte. Das Problem: Die üblichen Methoden fallen alle flach. Das heißt: - Kein USB - Kein Netzwerk (inkl. Internet) - Kein Umstecken der Festplatte Zusätzlich ist die Installation von Spezialprogrammen verboten. Vorhanden sind allerdings typische Entwicklerprogramme, im Wesentlichen also Hex-Editor (Notepad++) oder Python. Habt ihr eine Idee? Eine sichere funktionierende Möglichkeit wäre, sich die Datei im Hex-Editor anzeigen zu lassen und den Inhalt manuell abzutippen. Allerdings ist das bei der Dateigröße kaum praktikabel. Eine weitere Möglichkeit wäre nun, den Vorgang zu automatisieren. Also etwa den Bildschirm per Webcam zu filmen, Bilder zu extrahieren und dann die Hex-Werte per OCR automatisch zu konvertieren. Alternativ könnte man wohl die Soundkarte verwenden, um die Daten per Ton zu übertragen. Ist mein Problem gängig, bspw. im Bereich Hacking? Gibt es dazu Lösungen? Ein Paper? Oder evtl. sogar fertige Programme? Grüße Steffen
Wie ist die Tastatur angeschlossen? USB? Dann könnte ein kleiner Rechner mit einem USB Device/OTG sich als HID und Tastatur ausgeben und die Scancodes senden. Auch bei PS/2 wäre diese Möglichkeit gegeben, wenngleich hier noch etwas mehr Bastelarbeit nötig wäre. fchk
auf eine CD kopieren falls das ding noch ein CD LW hat. Per Audio oder Webcam ist zwar theoretisch machbar, aber sicher nicht bei 100MB. Da bist du in 100 Jahren noch beschäftigt.
In die andere Richtung könntest Du schauen, ob Du QR-Codes erzeugen kannst, die Du abfotografieren kannst. https://towardsdatascience.com/generate-qrcode-with-python-in-5-lines-42eda283f325 Ist ein Drucker installiert? Dann wäre das eine Möglichkeit. fchk
Unter MS-DOS kann man die serielle Schnittstelle zum Datei übertragen verwenden. Das Programm hiess laplink oder so.
Das zielsystem ist ein Rechner ganz ohne irgendeine Schnittstelle?
Helge schrieb: > Das zielsystem ist ein Rechner ganz ohne irgendeine Schnittstelle? Es ist anders herum: Ich muss von einer Quelle lesen, ohne gängige Datenschnittstellen zu verwenden. Serielle Schnittstelle und CD-Laufwerk gibt es leider nicht.
Welche Schnittstellen hat die Maschine, von welcher du die Datenübertragen willst eigentlich? Ich würde die Daten per Ton übertragen.
Sehr geheimnisvoll. Soll das Beihilfe zur Spionage werden oder warum hat der Quellrechner keinerlei Schnittstelle, aber trotzdem "musst" du die Daten kopieren?
Da es ein Laptop ist, nehme ich mal an, dass auch keine serielle oder parallele Schnittstelle zur Verfügung steht. Hat das Laptop wirklich kein WLAN Gerät? Hat es vielleicht andere Schnittstellen, wie bspw. Infrarot, Firewire und dergleichen? Ansonsten, wenn du nur den Bildschirm zur Verfügung hast, dann hast du zwei Möglichkeiten. 1. Du wandelst die Daten in eine Sammlung von 2d Code Bilder um und filmst das ganze dann mit der Webcam ab. Da gibt es verschiedene Lösungen. Bei einem QR Code passt nicht viel drauf, aber es gibt Alterantiven. Für deinen Anwendungsfall würde z.b. folgender 2d Code gehen: https://de.wikipedia.org/wiki/JAB-Code Das Problem ist hier aber, dass du die Software selber schreiben musst und das ist IMO zu viel Aufwand. Deswegen geht's weiter mit Punkt 2. 2. Du liest die Daten mit einem Programm als seriell stream ein und wandelst den Stream in einen "langsamen" Flickercode um. Auf der andere Seite filmst du das per Webcam und wandelst den Code wieder in Daten zurück. Der Vorteil des ganzen ist, dass sich so etwas einfacher programmieren lässt, als irgendeine Implementierung einer QR Code Software. Vor allem würde es auch ohne Webcam gehen. Du kannst dich ja auf die Darstellung weiß und schwarz begrenzten, so dass schon eine Fotodiode ausreicht um die Daten einzulesen. Der Nachteil von dieser Variante ist, dass es viel länger dauert. 3. Und das ist wohl die einfachste Variante. Schraub das Laptop auf, bau die Festplatte aus und schließe sie an ein anderes Gerät an. Wenn die Platte nicht per Hardware vom Laptop (Stichwort TPM) verschlüsselt sein sollte, dürfte das funktionieren.
Wenn das Gerät einen Lautsprecher hat, könntest Du speichern wie vor knaop vierzig Jahren noch üblich: per FSK mit 300 baud oder so auf Tonträger. Das dauert alkerdings "mehrere" Minuten. Sicherheitshalber solltest Du das HEX-Format wählen ...
:
Bearbeitet durch User
100Ω W. schrieb: > Welche Schnittstellen hat die Maschine, von welcher du die > Datenübertragen willst eigentlich? Es ist ein moderner Laptop (2021). Dementsprechend sparsam sind die Schnittstellen: Keine CD/DVD und kein COM- oder PARPORT. Auch nicht an der Docking-Station. USB und Netzwerk gibt es, sind aber gesperrt. Das heißt, auch kein portables CD/DVD-Laufwerk nutzbar. Verwendet werden können dagegen: - HDMI - Kopfhörer/Lautsprecher - Netzstecker (Stromaufnahme?)
Schönen Dank für Eure Tipps schonmal! Da sind einige spannende Ideen dabei :-)
Steffen H. schrieb: > USB und Netzwerk gibt es, sind aber gesperrt. Und das wohl nicht ohne Grund. Wenn es einen legitimen Grund gibt, Daten übertragen zu müssen, wird der Sysadmin gerne behilflich sein.
fchk schrieb: > Wie ist die Tastatur angeschlossen? USB? Steffen H. schrieb: > - Kein USB Keine USB-Tastatur? Vielleicht verrätst du dann mal, über was der Rechner als Interface zur Außenwelt verfügt.
Thomas Z. schrieb: > Per Audio oder Webcam ist zwar theoretisch machbar, aber sicher nicht > bei 100MB. Da bist du in 100 Jahren noch beschäftigt. 16k Modem mit Akkustikkoppler war im Prinzip auch Audio
Stromverbrauch wird sich von der Datenrate her verbieten. Das einfachste wird die Soundkarte sein. Für Linux gibts einige soundkarten-Modems, aber sowas in python selber zu stricken sollte für niedrige Geschwindigkeiten auch kein Problem sein. Allzu kompliziert kann das eh nicht sein weil mans ja eintippen muss. Wird halt 1-2 Tage laufen um alles zu übertragen. Manche Hardware spricht auch S/PDIF über die Kopfhörerbuchse, das könnte auch gehen und wäre sicher schneller als ein Modem. Andere Möglichkeit wären der DDC Kanal im HDMI, im Prinzip ist das i2c mit 100kHz. QR Code auf Bildschirm wurde schon erwähnt.
Da gabs auch mal ein Verfahren (ich glaub zu Synchronisation eine Timex Uhr), da wurden die Daten über das Flackern des Bildschirms mit einer Photodiode aufgenommen. VG egberto
Guest schrieb: >> USB und Netzwerk gibt es, sind aber gesperrt. > > Und das wohl nicht ohne Grund. > Wenn es einen legitimen Grund gibt, Daten übertragen zu müssen, wird der > Sysadmin gerne behilflich sein. Es geht wohl eher um den umgekehrten Weg: das Einschleusen von Viren über USB oder Netzwerk soll verhindert werden.
Nano schrieb: > 16k Modem mit Akkustikkoppler war im Prinzip auch Audio Akkustikkoppler waren 300Baud bei einer Direktverbindung kann man eventuell 600 Baud oder 1200 Baud erreichen. Ein Rechenbeispiel 1200 Baud sind ungefähr 130 Bytes/s Rohdaten. Mit Blocksicherung vermutlich < 100 Bytes/s. Bei 100Mb also weit über 1 Mio sec. Da ist der Overhead noch gar nicht eingerechnet -> aussichtslos. Bis die Übertragung fertig ist, wird der TO schon lange keinen Zugriff mehr auf den Laptop haben weil er vorher erwischt wurde.
Thomas Z. schrieb: > Nano schrieb: >> 16k Modem mit Akkustikkoppler war im Prinzip auch Audio > > Akkustikkoppler waren 300Baud bei einer Direktverbindung kann man > eventuell 600 Baud oder 1200 Baud erreichen. > Ein Rechenbeispiel 1200 Baud sind ungefähr 130 Bytes/s Rohdaten. Mit > Blocksicherung vermutlich < 100 Bytes/s. Bei 100Mb also weit über 1 Mio > sec. Da ist der Overhead noch gar nicht eingerechnet -> aussichtslos. > Bis die Übertragung fertig ist, wird der TO schon lange keinen Zugriff > mehr auf den Laptop haben weil er vorher erwischt wurde. Okay, ich habe es jetzt nicht nachgerechnet. Früher zu ISDN Zeiten konnte ich mit ISDN und einem Kanal etwa 1 MB alle < 4 min übertragen.
Harald W. schrieb: > das Einschleusen von > Viren über USB oder Netzwerk soll verhindert werden. Auch dann sollte der SysAdmin behilflich sein können, spätestens mittels Ausbau der Platte. Den SysAdmin möchte der TO aber offenbar nicht behelligen. Dazu sollte der TO erst einmal Stellung nehmen.
:
Bearbeitet durch Moderator
Steffen H. schrieb: > USB und Netzwerk gibt es, sind aber gesperrt. Das > heißt, auch kein portables CD/DVD-Laufwerk nutzbar. Könntest du von einem USB Stick booten?
Steffen H. schrieb: > Habt ihr eine Idee? Derjenige der sich solch eine eingeschränkte Maschine ausdenkt soll es vom Notepad aus abtippen. So viel Dummheit gehört bestraft. Oder du holst die Daten aus dem letzten Backup. Michael
Betriebsinterne Daten dürfen Deinen Arbeitsplatz nicht verlassen!
Frank M. schrieb: > Harald W. schrieb: >> das Einschleusen von >> Viren über USB oder Netzwerk soll verhindert werden. > > Auch dann sollte der SysAdmin behilflich sein können, spätestens mittels > Ausbau der Platte. Den SysAdmin möchte der TO aber offenbar nicht > behelligen. > > Dazu sollte der TO erst einmal Stellung nehmen. Jetzt wo du es sagst. Bin da gar nicht auf die Idee gekommen. Vielleicht ist er Chinese und will Industriespionage betreiben? Dann wäre es wohl besser den Thread zu löschen.
Wolfgang schrieb: > fchk schrieb: > >> Wie ist die Tastatur angeschlossen? USB? > > Steffen H. schrieb: > >> Kein USB > > Keine USB-Tastatur? > Vielleicht verrätst du dann mal, über was der Rechner als Interface zur > Außenwelt verfügt. Steffen H. schrieb: > Laptop Steffen H. schrieb: > HDMI > Kopfhörer/Lautsprecher > Netzstecker (Stromaufnahme?) Hat der TO alles bereits beantwortet.
Frank M. schrieb: > Harald W. schrieb: >> das Einschleusen von >> Viren über USB oder Netzwerk soll verhindert werden. > > Auch dann sollte der SysAdmin behilflich sein können, spätestens mittels > Ausbau der Platte. Den SysAdmin möchte der TO aber offenbar nicht > behelligen. > > Dazu sollte der TO erst einmal Stellung nehmen. Da es vom Moderator gewünscht ist: Ich selbst bin der SysAdmin. Damit sollte auch der Hintergrund meiner Frage klar sein.
Thomas Z. schrieb: > Bis die Übertragung fertig ist, wird der TO schon lange keinen Zugriff > mehr auf den Laptop haben weil er vorher erwischt wurde. Das war nicht die Frage. Abtippen aus,Hex-Editor hielt er für nicht praktikabel, was ich nachvollziehen kann. Aber selbst 300 bd sind um Größenordnungen schneller und körperlich deutlich weniger belastend. Irgendwelche Zeitvorgaben konnte ich bisher nicht entdecken. ● Des I. schrieb: > Betriebsinterne Daten dürfen Deinen > Arbeitsplatz nicht verlassen! Das wird doch eh nix!
Nano schrieb: > Könntest du von einem USB Stick booten? Leider nein. Wobei ich mir gerade nicht 100%ig sicher bin. Du meinst, um aus Spezialprogramme zugreifen zu können, nicht wahr?
Ich frage mich die ganze Zeit, wie konnten auf diesem ach so eingeschraenkten Laptop 100MB an Daten entstehen? Per Tastatur eingetippt? Aufzeichnung des Maus-(Trackpad-)weges? Falls algorithmisch (per Programm): dasselbe Programm auf der "anderen Seite der inexistenten Schnittstelle" nochmals laufen lassen. Ev. Dasselbe Programm nochmal abtippen: könnte weniger als 100MB sein...
wie sind denn die genannten Schnittstellen blockiert? Im UEFI / BIOS abgeschaltet und das BIOS per Passwort geschützt?
Da nach den Zeitvorgaben gefragt wurde: Über den Daumen gepeilt dürfte alles ab 300 kB/s (inkl. ECC) als praktikabel gelten. Es ist aber ganz klar eine weiche Grenze.
Steffen H. schrieb: > Nano schrieb: >> Könntest du von einem USB Stick booten? > > Leider nein. Wobei ich mir gerade nicht 100%ig sicher bin. Du meinst, um > aus Spezialprogramme zugreifen zu können, nicht wahr? Um WLAN benutzen zu können. Auf einem anderen OS ist das nicht gesperrt. Und wenn du Sysadmin bist, hast du sicherlich auch Zugriff auf das UEFI, dass du von der USB Schnittstelle booten kannst.
Ein Rechner, der keine Schnittstellen hat, auf den läßt sich auch nix installieren. Sowas wie soundkarten-Modem-Software ist da sicher auch nicht drauf. Also wird nix.
● Des I. schrieb: > wie sind denn die genannten Schnittstellen blockiert? > Im UEFI / BIOS abgeschaltet und das BIOS per Passwort geschützt? Der Zugriff wird überwacht und protokolliert.
Beim Flickercode muss man die Reaktionszeit des Bildschirms beachten. So ein typischer Office Bildschirm hat im Worst Case Fall Reaktionszeiten von 25 ms. Damit wären 1s/0,025 ms = 40 Umschaltungen zwischen schwarz und weiß möglich. Nimmt man eine Kamera, könnte man mehrere Bits auf einmal über mehrere Pixel parallelisiert übertragen. Auf Seiten der Webcam ist die Framerate zu beachten. Bei der Auflösung wird's sicher irgendwas deutlich kleiner als FullHD sein. Damit man keine Moire Effekte usw. hat. Man muss also definitiv die Information für ein Bit mehrere Pixel groß machen, damit es bei der Aufnahme und Übertragung keine Probleme gibt. ECC ist Pflicht. Und die Daten sollte man über OpenGL oder Direct3D auf dem Bildschirm anzeigen. Denn GDI und Co könnte zu langsam sein.
Steffen H. schrieb: > ● Des I. schrieb: >> wie sind denn die genannten Schnittstellen blockiert? >> Im UEFI / BIOS abgeschaltet und das BIOS per Passwort geschützt? > > Der Zugriff wird überwacht und protokolliert. Und was ist mit Festplatte/SSD ausbauen?
Udo S. schrieb: > Soll das Beihilfe zur Spionage werden oder warum hat der Quellrechner > keinerlei Schnittstelle, aber trotzdem "musst" du die Daten kopieren? Ja, was hier gefragt wird klingt nach Beiheilfe zur Cybercriminalität - das ist strafbar. https://www.gesetze-im-internet.de/stgb/__27.html -- Timex hatte 1994 sowas, ob es damit zu tun hat, das Spione gerne Timex trugen? https://en.wikipedia.org/wiki/Timex_Datalink https://www.golem.de/news/timex-data-link-im-retro-test-bill-gates-astronauten-smartwatch-1906-141911.html
Selbst wenn es ein Tool gäbe, mit welchem du die Daten übertragen könntest, hättest du noch folgende Probleme: 1. Woher weißt du, dass das Tool vertrauenswürdig ist und dir nicht deine Daten manipuliert 2. Wie bekommst du das Tool ohne Schnittstellen auf den Rechner Wenn du selbst ein Tool auf dem Rechner entwickeln willst, müssten die entsprechenden Entwickler Tools und speziell die benötigten Libraries bereits installiert sein oder du entwickelst die auch noch selbst. Michael
>Ein Verfahren, da wurden die Daten über das Flackern des Bildschirms >mit einer Photodiode aufgenommen so ähnlich war VIDEODAT des WDR-Computerclub: https://www.stcarchiv.de/stc1991/02/videodat "Dieses erste Verfahren (Name „VD 300") benutzte jeweils 13 Zeilen unterhalb der Austastlücken (also im echten Bildbereich), allerdings nicht in der vollen Zeilenbreite, was auf dem Schirm nur etwa 5 cm (von links) ausmachte (siehe Bild 2). Zeile 25 bzw. 338 war immer ein Weißsignal als Start-Bit, die Zeilen 26 bis 33 und ihr Äquivalent die Zeilen 339 bis 346 bildeten die 8 Informations-Bits (wer weiß es? richtig: 1 Byte!), gefolgt von zwei Stop-Bits (immer schwarz). Für DFÜ-Spezialisten im Kurzcode: „8.N.2“. Jedes Halbbild trug auf diese Weise immer ein Byte, was 50 Bytes pro Sekunde entspricht, oder umgerechnet 400 Bits pro Sekunde, gleich 400 Baud. Das würde bei völliger Fehlerfreiheit in der Übertragung während einer 30-Minuten-Sendung 90.000 gesendeten Zeichen entsprechen, das sind etwa 40 vollgeschriebene DIN A4-Seiten!"
Steffen H. schrieb: > Der Zugriff wird überwacht und protokolliert. Also ist der von dir gewünschte Zugriff illegal und ggf. sogar strafbar. Steffen H. schrieb: > Da es vom Moderator gewünscht ist: Ich selbst bin der SysAdmin. Damit > sollte auch der Hintergrund meiner Frage klar sein. Nein definitiv nicht, eher wird das "Problem" noch undurchsichtiger.
Da die Diskussion teilweise in die Richtung läuft, warum das praktiziert werden soll: Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und Netzwerkschnittstelle. Ich möchte herausfinden, wie derjenige das geschafft hat, ohne Spuren zu hinterlassen! Mir ist klar, dass es da mehrere Möglichkeiten gibt. Beispielsweise, indem er die Schutzmaßnahmen umgangen oder ausgeschaltet hat. Diesen Möglichkeiten gehe ich getrennt auch nach. Aber meine Frage an Euch als Experten im µC.net Forum aber ist: Angemommen, er hat die Schutzmaßnahmen nicht ausgeschaltet. Angenommen, er hat einen anderen Weg gefunden. Welcher könnte das sein? Eure (sehr guten Ideen!) bis jetzt: - Akustisch (ca. 100 Byte/s) - Optisch (QR Code, vielleicht 3kByte/s (bei QR Version 40)) - Elektrisch per Audioschnittstelle, entweder analog (geschätzt 2x 500 Byte/s??) oder digital (DDC; geschätzt 8 kByte/s??)
Steffen H. schrieb: > Da es vom Moderator gewünscht ist: Ich selbst bin der SysAdmin. Was hindert Dich dann daran, eine der gesperrten Schnittstellen freizugeben und die Datei dann zu kopieren? > Damit sollte auch der Hintergrund meiner Frage klar sein. Leider nein, denn Du schriebst im Eröffnungsbeitrag: > ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen > anderen Rechner kopieren möchte. Betonung liegt hier auf "ich" - also "ich der SysAdmin"?!?
Frank M. schrieb: > Steffen H. schrieb: > >> Da es vom Moderator gewünscht ist: Ich selbst bin der SysAdmin. > > Was hindert Dich dann daran, eine der gesperrten Schnittstellen > freizugeben und die Datei dann zu kopieren? >> Damit sollte auch der Hintergrund meiner Frage klar sein. > > Leider nein, denn Du schriebst im Eröffnungsbeitrag: >> ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen >> anderen Rechner kopieren möchte. > > Betonung liegt hier auf "ich" - also "ich der SysAdmin"?!? Übersetze das einfach in "Was könnte man tun, um X zu erreichen?" Dass hier jemand wissen möchte, wie sicher sein System gegen welche Angriffe ist, war eigentlich recht naheliegend.
:
Bearbeitet durch User
Frank M. schrieb: > Steffen H. schrieb: >> Da es vom Moderator gewünscht ist: Ich selbst bin der SysAdmin. > > Was hindert Dich dann daran, eine der gesperrten Schnittstellen > freizugeben und die Datei dann zu kopieren? > >> Damit sollte auch der Hintergrund meiner Frage klar sein. > > Leider nein, denn Du schriebst im Eröffnungsbeitrag: > >> ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen >> anderen Rechner kopieren möchte. > > Betonung liegt hier auf "ich" - also "ich der SysAdmin"?!? Da ist gar keine Betonung. Das ist eine einfache Abstraktion, um die Frage zu fokussieren. Die momentane Diskussion nach dem "Warum" hilft mir nämlich leider nicht weiter. Einen Nachweis, dass ich zu "den Guten" gehöre, werde ich Dir nicht bringen können. Soviel Lebensrisiko bitte ich Dich zu tragen.
:
Bearbeitet durch User
Steffen H. schrieb: > Ich möchte herausfinden, wie derjenige das geschafft hat, ohne Spuren zu > hinterlassen! Um nur ein Beispiel zu nennen: https://www.spiegel.de/netzwelt/web/hackerattacke-per-powerhammer-angriff-aus-der-steckdose-a-1202849.html Wenn die Hacker physischen Zugang zum Rechner haben, würde ich auch der Intrusion Detection nicht trauen. Michael
Steffen H. schrieb: > Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu > "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und > Netzwerkschnittstelle. Da stellt sich die,Frage, ob tatsächlich die Datei vom Laptop abgeschöpft wurde, oder ob bereits bei der Genese der Daten eine parallele Aufzeichnung auf einem anderen System erfolgt ist.
:
Bearbeitet durch User
Steffen H. schrieb: > Ist per TPM und Bitlocker gesichert. Und konnte der Angreifer den Laptop aufschrauben, und mit einem LA den Bitlocker-Key auslesen, während der vom TPM rausgegeben wird? Erster Schritt von dem Angriff hier: https://heise.de/-6151527
Steffen H. schrieb: > Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu > "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und > Netzwerkschnittstelle. > > Ich möchte herausfinden, wie derjenige das geschafft hat, ohne Spuren zu > hinterlassen! Mir ist klar, dass es da mehrere Möglichkeiten gibt. > Beispielsweise, indem er die Schutzmaßnahmen umgangen oder ausgeschaltet > hat. Diesen Möglichkeiten gehe ich getrennt auch nach. > > Aber meine Frage an Euch als Experten im µC.net Forum aber ist: > Angemommen, er hat die Schutzmaßnahmen nicht ausgeschaltet. Angenommen, > er hat einen anderen Weg gefunden. Welcher könnte das sein? > > Eure (sehr guten Ideen!) bis jetzt: > - Akustisch (ca. 100 Byte/s) > - Optisch (QR Code, vielleicht 3kByte/s (bei QR Version 40)) > - Elektrisch per Audioschnittstelle, entweder analog (geschätzt 2x 500 > Byte/s??) oder digital (DDC; geschätzt 8 kByte/s??) Okay, er könnte das Laptop auch über die HDMI Schnittstelle an einen HDMI Rekorder angeschlossen haben und die Daten als Bildsignale ausgegeben und die Aufzeichnung dann nachher ausgewertet haben. Ich denke, damit kann man auch am meisten Daten/s übertragen. Mit ECC und ausreichender Redundants (Reed-Solomon-Code) geht das auch recht fehlerfrei.
Und ein HDMI Rekorder kann heute sich auch ein Smartphone sein.
Steffen H. schrieb: > Nano schrieb: >> Und was ist mit Festplatte/SSD ausbauen? > > Ist per TPM und Bitlocker gesichert. Ist Bitlocker auch mit einem Passwort geschützt? Ohne ist die Verschlüsselung witzlos, das wurde letztens praktisch bewiesen. Michael
100 MB im Hexeditor ist schon eine Menge. Mittels externem HDMI-Capture könnte man das aufzeichnen und dann einzelne Standbilder aus dem Video durch die OCR schicken. Aber das dauert...
Percy N. schrieb: > Dass hier jemand wissen möchte, wie sicher sein System gegen welche > Angriffe ist, war eigentlich recht naheliegend. Eigentlich nicht, weil im szenario bereits ein erfolgreiche Angriff (erlangung physischen Zugriffs Rechenanlage) vorausgesetzt ist.. In diesem Fall würde man den Rechner einfach einpacken und Mitnehmen. Und wenn man nicht in den Raum gelangt wäre noch eine Seitenkanalattacke wie das Van-Eck-Phreaking denkbar. Aber wie bereits geschrieben, solche Tipps sind im Graubereich der Beihilfe zu einer Straftat. https://de.wikipedia.org/wiki/Van-Eck-Phreaking
Das OS zeichnet vielleicht auf, was für HDMI Geräte angeschlossen wurden. Da musst du mal in den Logdateien nachschauen.
Steffen H. schrieb: > Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu > "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und > Netzwerkschnittstelle. nun am wahrscheinlichsten wird wohl sein dass deine Überwachung für den A... ist. Was für ein SysAdmin bist du wenn du nicht sagen kannst ob das Booten über UsbSticks gesperrt ist?
Steffen H. schrieb: > Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu > "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und > Netzwerkschnittstelle. Okay, aber warum schreibst Du das nicht direkt im Eröffnungsbeitrag? Wie wurden denn "USB- und Netzwerkschnittstelle" überwacht? Das Naheliegendste wäre eine Schwachstelle im verwendeten Überwachungssstem. Sonst: Man kann auch Monitore abhören. Nicht umsonst werden Monitore in heiklen Anwendungen mit einem feinen Drahtgitter umgeben.
Percy N. schrieb: > Steffen H. schrieb: >> Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu >> "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und >> Netzwerkschnittstelle. > > Da stellt sich die,Frage, ob tatsächlich die Datei vom Laptop > abgeschöpft wurde, oder ob bereits bei der Genese der Daten eine > parallele Aufzeichnung auf einem anderen System erfolgt ist. Das entspricht in etwa dem was ich mich weiter oben frug... -.- Denkbar ist auch, dass der Datenabzügler einen Bug im installierten OS/Rechtemanagement nutzen konnte. Besonders Nutzern von kommerziellen OSe & zugehörigen "Sicherungsprodukte" soll immer mal wieder passieren dass sie des Herstellers Lobhudelei zu viel Vertrauen schenken... Letztlich kann so ein Laptop ganz ohne Netzwerkzugang sich ja auch keine Aktualisierungen seiner Systemprogramme ziehen und muss daher als kompromittiert gelten gelten sobald er unbeaufsichtigt benutzt wird, ja?
Hat das TPM nicht auch eine Hintertür, die es "berechtigten Stellen" erlaubt, die Verschlüsselung der Festplatte aufzuheben?
@TE, wie schaetzt du den Angreifer ein, ist viel Geld im Spiel? Gehst du von der Tat eines Einzelnen aus, oder einer Gruppe Spezialisten/Geheimdienst etc. Ist USB wirklich komplett gesperrt, oder koennte es nicht sein, dass ein FTDI bspw. doch per Plug&Play funktioniert?
Trolltherapeut schrieb: > Das entspricht in etwa dem was ich mich weiter oben frug... Wir dürfen ja auch noch anderes raten: 1. Wie ist die Angekegenheit überhaupt aufgeflogen? Sind die unverwechselbaren Daten irgendwo aufgetaucht, wo sie nicht hingehören? 2. Sind tatsächlich Daten im Umfang von 100 MB vollständig kopiert worden, oder ist nur bekannt, dass einzelne Datensätze aufgetaucht sind, die sich zweifelsfrei dieser Quelle zuordnen lassen? 3. In welchem Umfang wurde der betroffene Laptop von wie vielen Benutzern für welche Zeiträume unbeaufsichtigt genutzt? Wie ausgelastet war das System mit der Erledigung seiner eigentlichen Aufgaben?
Steffen H. schrieb: > Ich möchte herausfinden, wie derjenige das geschafft hat, ohne Spuren zu > hinterlassen! Mir ist klar, dass es da mehrere Möglichkeiten gibt. > Beispielsweise, indem er die Schutzmaßnahmen umgangen oder ausgeschaltet > hat. Diesen Möglichkeiten gehe ich getrennt auch nach. Also auch wenn er die Datei über Video- oder Audio exfiltriert hat wird das Spuren hinterlassen haben, vor allem dann, wenn keine Adminstrator-Rechte vorhanden waren -> Abbild von Festplatte machen und forensisch untersuchen (lassen). Audio ist sicher mit 1000 Zeichen pro Sekunde und mehr möglich, bei direkter Kabelverbindung nochmal um Faktor 10 bis 100 mehr, je nach Hardware und Kompetenz des "Angreifers". Aber prinzipiell ist es so, dass es sehr schwierig ist, einen Angreifer abzuwehren wenn er physischen Zugriff auf die Maschine hat. Wenn das Gerät eine USB Schnittstelle hat reicht es u.U. eine Maus einzustecken um Administrator-Rechte zu erlangen.
Melba schrieb: > Warum gebt ihr euch mit einem Troll ab? Die Geschichte wird immer unplausibler. Bleibe bei meiner ersten Einschätzung: Troll.
Michael D. schrieb: > Ist Bitlocker auch mit einem Passwort geschützt? Ja, ein Passwort wurde verwendet. Nano schrieb: > Das OS zeichnet vielleicht auf, was für HDMI Geräte angeschlossen > wurden. > Da musst du mal in den Logdateien nachschauen. Ah, danke für den Tipp! Thomas Z. schrieb: > Was für ein SysAdmin bist du wenn du nicht sagen kannst ob das > Booten über UsbSticks gesperrt ist? Ein ganz, ganz Schlechter. Aber ich habe ja nie etwas anderes behauptet. Frank M. schrieb: > Okay, aber warum schreibst Du das nicht direkt im Eröffnungsbeitrag? Um die Enthropie hoch zu halten. Ich mag Menschen, die auf den Punkt kommen. Dass Euch das "Warum" so sehr interessiert, hatte ich nicht geahnt. > Wie wurden denn "USB- und Netzwerkschnittstelle" überwacht? Das > Naheliegendste wäre eine Schwachstelle im verwendeten Überwachungssstem. Ich gehe drei Punkten nach: - Wurde die Überwachung umgangen? - Wurde die Datei auf anderem Wege abgefischt? - Gab es tatsächlich eine Übertragung, die unter dem Radar blieb. Bei den beiden ersten Punkten könnt ihr mir wenig helfen. Da käme ich vom Hundertsten ins Tausendste (komme ich ja jetzt schon ;-) ). Maxe schrieb: > wie schaetzt du den Angreifer ein, ist viel Geld im Spiel? Gehst du > von der Tat eines Einzelnen aus, oder einer Gruppe > Spezialisten/Geheimdienst etc. Der Angreifer ist max. leidenschaftlicher Hacker. Gegen mehr brauche ich mich nicht schützen. Analyse des TPM Datenverkehrs (Danke für den Link!) oder Van-Eck Phreaking (spannendes Thema) bleiben daher irrelevant.
:
Bearbeitet durch User
Wenn es einen HDIM-Anschluss gibt, warum nicht die Daten dort ausgeben und aufzeichnen? Da reicht es ggf. die Textdatei durchzuscrollen. Hinterher hat man Zeit und OCR funktioniert sauber.
Percy N. schrieb: > Wir dürfen ja auch noch anderes raten: Nachfragen genügt. > 1. Wie ist die Angekegenheit überhaupt aufgeflogen? Sind die > unverwechselbaren Daten irgendwo aufgetaucht, wo sie nicht hingehören? Ja, richtig. > 2. Sind tatsächlich Daten im Umfang von 100 MB vollständig kopiert > worden, oder ist nur bekannt, dass einzelne Datensätze aufgetaucht sind, > die sich zweifelsfrei dieser Quelle zuordnen lassen? Die Prüfsumme stimmt überein. > 3. In welchem Umfang wurde der betroffene Laptop von wie vielen > Benutzern für welche Zeiträume unbeaufsichtigt genutzt? Wie ausgelastet > war das System mit der Erledigung seiner eigentlichen Aufgaben? Ein Benutzer, ca. 4 Tage. Er war vorbereitet (Zeitpunkt der Übergabe war bekannt). Was er mit dem Laptop in der Zeit getan hat, weiß ich nicht. Jetzt habe ich aber eine Gegenfrage: Warum möchtest Du das überhaupt wissen? Hilft Dir das denn wirklich, mir weiterzuhelfen?
rµ schrieb: > Also auch wenn er die Datei über Video- oder Audio exfiltriert hat wird > das Spuren hinterlassen haben, vor allem dann, wenn keine > Adminstrator-Rechte vorhanden waren -> Abbild von Festplatte machen und > forensisch untersuchen (lassen). Mein Ziel ist es zu erschweren, dass das nochmal passiert. Präventiv. > Audio ist sicher mit 1000 Zeichen pro Sekunde und mehr möglich, bei > direkter Kabelverbindung nochmal um Faktor 10 bis 100 mehr, je nach > Hardware und Kompetenz des "Angreifers". Du meinst Audio (Analogsignal) oder Audioschnittstelle (DDC)? Also 2x 5kByte/s? Bei 44,1kHz sollten max. 2x 20kBaud/s möglich sein. Minus ECC.
Steffen H. schrieb: > Ich gehe drei Punkten nach: > > Wurde die Überwachung umgangen? > Wurde die Datei auf anderem Wege abgefischt? > Gab es tatsächlich eine Übertragung, die unter dem Radar blieb. > > Bei den beiden ersten Punkten könnt ihr mir wenig helfen. Dann nenne bitte das Überwachungstool. Mit SOUNDRX konnte ich immerhin 2KB/sec vom PC aus über die Soundkarte ohne Störungen an einen ATmega übertragen. Bei 100MB wären das dann knapp 14 Stunden. Wobei ich jetzt nicht mehr weiß, ob das Flashen ansich vielleicht die Übertragungsgeschwindigkeit limitierte. Es könnte durchaus sein, dass man mit höheren Frequenzen auch noch mehr hinbekommt. Ein SmartPhone als Empfänger ist gewiss leistungsfähiger. Liegen 14 Stunden Zugriff - nicht unbedingt ununterbrochen - überhaupt im möglichen Rahmen?
:
Bearbeitet durch Moderator
Steffen H. schrieb: > Vorhanden sind allerdings typische Entwicklerprogramme, im Wesentlichen > also Hex-Editor (Notepad++) oder Python. serielle Schnittstelle? Dann braucht man kein weiteres Programm
Frank M. schrieb: > Liegen 14 Stunden Zugriff überhaupt im möglichen Rahmen? Steffen H. schrieb: > Ein Benutzer, ca. 4 Tage. Er war vorbereitet (Zeitpunkt der Übergabe war > bekannt). Was er mit dem Laptop in der Zeit getan hat, weiß ich nicht.
Karl schrieb: > Frank M. schrieb: > >> Liegen 14 Stunden Zugriff überhaupt im möglichen Rahmen? > > Steffen H. schrieb: > >> Ein Benutzer, ca. 4 Tage. Er war vorbereitet (Zeitpunkt der Übergabe war >> bekannt). Was er mit dem Laptop in der Zeit getan hat, weiß ich nicht. Danke, die Info hatte sich mit meinem Beitrag zeitlich überschnitten.
Steffen H. schrieb: > Hilft Dir das denn wirklich, mir weiterzuhelfen? Ja. So ist jetzt klar, dass es eine definierte zeitliche Obergrenze für den Angriff gab; und dies ist bedeutsam im Hinblick darauf, dass wohl tatsächlich 100 MB transferiert wurden, was wiederum die mindestens erforderliche Datenübertragungsrate determiniert. Wir reden also über mehr als 1 MB/h, was nur dann ausreicht, wenn die Kiste die gesamten 96 Stunden durchgelaufen ist. Diese Überlegung sollte Dir helfen. EDIT Ok, überholt.
:
Bearbeitet durch User
Steffen H. schrieb: > Jetzt habe ich aber eine Gegenfrage: Warum möchtest Du das überhaupt > wissen? Hilft Dir das denn wirklich, mir weiterzuhelfen? Auf jeden Fall helfen diese Infos weiter. Wenn es sich nur um einen Auszug der Datei gehandelt hätte, bsp. "Hello, World!", hätte schon ein Foto gereicht. Nun wissen wir, dass zweifelsfrei 100 MB kopiert wurden. Die Aussage "4 Tage" gibt ebenso den Hinweis, dass eine Audio-Verbindung durchaus ausreichend gewesen wäre. Dein Zusatz "Was er mit dem Laptop in der Zeit getan hat, weiß ich nicht." zeigt auch, dass er selbst während der 4 Tage unbeobachtet war und mit dem Laptop machen konnte, was er wollte - zum Beispiel das Gerät aufschrauben. Von daher sind auch Infos zweckdienlich, die Dir selbst als nebensächlich erscheinen.
:
Bearbeitet durch Moderator
Frank M. schrieb: > Die Aussage "4 Tage" gibt ebenso den Hinweis, dass eine > Audio-Verbindung durchaus ausreichend gewesen wäre. Warum sollte man eine analoge Audioverbindung nehmen, wenn man einen Monitor und sogar einen HDMI-Ausgang hat. In ein HD-Bild bekommt man 921.600 Byte = 0,879 MB -> Die 100 MB lassen sich also in ca. 100 Bildern übertragen, dass könnte man sogar händisch abfotografieren. Und in Python ist ein Skript, dass aus einem Byte-Strom ein Bild macht sicher in ein paar Minuten geschrieben.
Steffen H. schrieb: > Mein Ziel ist es zu erschweren, dass das nochmal passiert. Präventiv. Da muss man wohl oder übel in der Firma einen Leseraum einführen, wo der Einsichtnehmende mit Aufsicht und ohne elektronische Geräte sich das Material anschauen darf.
Karl schrieb: > Die 100 MB lassen sich also in ca. 100 Bildern übertragen, dass könnte > man sogar händisch abfotografieren. Ganz so einfach ist das nun wieder nicht.
DdDdD schrieb: > wurde bisher gar nicht gefragt: welches OS ? Windows 10. Karl schrieb: > Da muss man wohl oder übel in der Firma einen Leseraum einführen, wo der > Einsichtnehmende mit Aufsicht und ohne elektronische Geräte sich das > Material anschauen darf. Das würde ich machen, wenn ich es verhindern müsste.
Ich neige entweder zu den QR-Codes (mit dem Smartphone o.ä. abfotografiert oder ausgedruckt) oder zur Lösung über die Soundkarte: bei den Amateurfunkern gibt es Packet Radio, etabliert ist dort 1200 Bps, möglich sind jedoch auch 9600 Bps. Beides geht problemlos mit Python. Oder Bluetooth, die Laptops haben so etwas doch schon seit Jahren eingebaut.
Ich vermute ja es ist (wenn nicht sogar an anderer Stelle abgegriffen) irgend etwas Einfaches. Wir wissen auch gar nicht, was fuer Programme alles drauf sind. "Entwicklerprogramme", vielleicht wuerde die Datei einfach auf einen Mikrocontroller geflasht :)
Steffen H. schrieb: > Michael D. schrieb: >> Ist Bitlocker auch mit einem Passwort geschützt? > > Ja, ein Passwort wurde verwendet. Aber der Verdächtige war ja der vorgesehene Nutzer des Geräts und kannte folglich das Bitlocker-Passwort? d.H. Festplatte ausbauen & Auslesen ist immer noch plausibel. Und zu Bluetooth hast du noch nichts gesagt, war das auch verrammelt?
Beitrag #6805259 wurde vom Autor gelöscht.
Steffen H. schrieb: > Eure (sehr guten Ideen!) bis jetzt: > - Akustisch (ca. 100 Byte/s) Ein bisschen schneller bekommt man das heute schon hin, wenn die Quellkiste kein 286er mehr ist. https://jontio.zapto.org/hda1/paradise/QAM.htm
zumindest die protokollierung lässt sich verhindern, einfach im cleanen zustand ein image ziehen, und dann nach dem Einbruch zurückspielen. Sämtliche spuren sind dann weg, man konnte frei alle schnittstellen einschalten, ohne im protokoll spuren zu hinterlassen.
Frank M. schrieb: > Steffen H. schrieb: >> Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu >> "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und >> Netzwerkschnittstelle. > Okay, aber warum schreibst Du das nicht direkt im Eröffnungsbeitrag? Steffen H. schrieb: > Der Angreifer ist max. leidenschaftlicher Hacker. Seeehr dubios das Ganze. Und dann: Steffen H. schrieb: > Einen Nachweis, dass ich zu "den Guten" gehöre, werde ich Dir nicht > bringen können. Soviel Lebensrisiko bitte ich Dich zu tragen. Soll ich Dir was sagen? Du hast eine ganz gehörige Meise, die wohl lange nicht gefuttert wurde. Tipps haben wollen aber dann der Spruch "Soviel Lebensrisiko bitte ich Dich zu tragen"? Mir gefällt das gaaar nicht. Du suchst sehr offensichtlich nur selber nach einem Weg, Daten abzugreifen.
DdDdD schrieb: > Ich neige entweder zu den QR-Codes in einen QR-Code passen nur 2.956 Byte. Das macht dann ca. 35.500 Bilder.
Percy N. schrieb: > Karl schrieb: >> Die 100 MB lassen sich also in ca. 100 Bildern übertragen, dass könnte >> man sogar händisch abfotografieren. > > Ganz so einfach ist das nun wieder nicht. Klar ist das einfach, bereits 1994 gab es die Paperdisk, kbytes als schwarz/weiss auf Zeitungspapier gedruckt und easy mit Handscanner eingelesen: https://www.peterkernwein.de/Rechengeraete-Sammlung/paperdisk.htm Mit ein Bißchen Hirnschmalz, lässt sich da was mit Taktrückgewinnung und Komprimierung ausdenken. wenn auch 16Mbit per pixel, dann aber doch 512 (3bit pro Farbkanal) auf einen Pixel. https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwj1n6uD-9jyAhUCHOwKHRQnD5sQFnoECAwQAQ&url=https%3A%2F%2Farxiv.org%2Fpdf%2F1704.06447&usg=AOvVaw3TMCbaVK8-cRKc97zS12Mu
Εrnst B. schrieb: > Aber der Verdächtige war ja der vorgesehene Nutzer des Geräts und kannte > folglich das Bitlocker-Passwort? d.H. Festplatte ausbauen & Auslesen ist > immer noch plausibel. Wenn der Schlüssel im TPM liegt wird es komplizierter.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Nicht wenn der Schlüssel im TPM liegt. https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network https://heise.de/-6151527 So ein Saleae-Logic(-Klon) kostet nicht die Welt. Dort war kein Passwort für den Bitlocker gesetzt, nur TPM. Hier haben wir TPM+(bekanntes!) Passwort. Könnte mir gut Vorstellen, dass man damit auch reinkommt, egal ob das Passwort zum "Freischalten" des TPMs verwendet wird, oder ob der TPM-Schlüssel mit dem Passwort nochmal verwurstet wird, bevor Bitlocker ihn verwendet.
:
Bearbeitet durch User
Klar, aber die ausgebaute Platte allein ist nutzlos. Ebenso ein schnell kopierter Klon.
:
Bearbeitet durch User
Also beim kompromittierten Rechner war wirklich alles aus? Booten über USB, Netzwerk, USB, WLAN, Bluetooth? Card drive auch? falls vorhanden? Auch vor Betriebssystem-Start? (Wofür ist ein Rechner gut, der mit überhaupt nix kommunizieren kann?)
Steffen H. schrieb: > Der Angreifer ist max. leidenschaftlicher Hacker. Steffen H. schrieb: > Ein Benutzer, ca. 4 Tage. Er war vorbereitet (Zeitpunkt der Übergabe war > bekannt). Was er mit dem Laptop in der Zeit getan hat, weiß ich nicht. Hat da der Sohnemann auf Klassenfahrt Papas P...osammlung kopiert? wendelsberg
Karl schrieb: > in einen QR-Code passen nur 2.956 Byte. Das macht dann ca. 35.500 > Bilder. Na und? Die Bilder mit 10 oder 5 Frames/s abgespielt und mit den Handy mitgeschnitten. Bei 10 Frames/s sind das 1 Stunde.
Helge schrieb: > Also beim kompromittierten Rechner war wirklich alles aus? Booten über > USB, Netzwerk, USB, WLAN, Bluetooth? Der TO hat ja noch nichtmals mitgeteilt, welches Tool er zum "Überwachen" der USB-Schnittstellen genutzt hat. Von daher gehe ich von einer Schwachstelle in eben diesem Tool aus.
Nur zum Sichergehen, stimmt meine Zusammenfassung so: Es gibt/gab einen Laptop mit "sicherheitskritischen" Daten, u.a. einer 100MB-Datei. Dieser Laptop wurde jemandem für 4 Tage überlassen. Dieser Jemand gehörte nicht zum vertrauenswürdigem Personenkreis, darf den Laptop aber trotzdem für die genannte Zeit nutzen (Beispiel: Audit eines sicherheitskritischen Bereichs durch Extern; Demonstration einer bestimmten Software o.ä.) und hatte auch die notwendigen Zugangsdaten. Deswegen wurde der Laptop sicherheitshalber möglichst weit abgeschottet: Sperrung der normalen Schnittstellen und des Netzwerks; verschlüsselte Festplatte. Aufgrund der Nutzungsgründe waren trotzdem einige Entwicklertools vorhanden. Einige Zeit nach der Rückgabe sind Daten von diesem Laptop an anderer Stelle aufgetaucht. a) Wie gut ließe sich die 100MB-Datei komprimieren? b) Wie lange nach der Rückgabe sind denn die Dateiinhalte aufgetaucht?
De-Archivator schrieb: > Klar ist das einfach, bereits 1994 gab es die Paperdisk, kbytes als > schwarz/weiss auf Zeitungspapier gedruckt und easy mit Handscanner > eingelesen: > https://www.peterkernwein.de/Rechengeraete-Sammlung/paperdisk.htm Du lebst hinter dem Mond; so etwas gab es schon deutlich früher in der mc. > Mit ein Bißchen Hirnschmalz, lässt sich da was mit Taktrückgewinnung und > Komprimierung ausdenken. wenn auch 16Mbit per pixel, dann aber doch 512 > (3bit pro Farbkanal) auf einen Pixel. Ja, unter Laborbedingungen klappt das bestimmt ganz prima, ohne Moiree und Quantisierungsfehler. > https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwj1n6uD-9jyAhUCHOwKHRQnD5sQFnoECAwQAQ&url=https%3A%2F%2Farxiv.org%2Fpdf%2F1704.06447&usg=AOvVaw3TMCbaVK8-cRKc97zS12Mu
Ist sichergestellt, dass die Daten wirklich nur vom Laptop stammen können, und nicht aus einer anderen Quelle? War dem Angreifer bekannt, wie viel er ungefähr kopieren müsste? P.S.: Wie sieht es eigentlich mit dem Schutz der internen Schnittstellen aus, die es so in einem Laptop gibt? Was passiert, wenn man intern noch eine weitere Festplatte anklemmt, oder das WLAN-Modul tauscht?!
Mit etwas Glück hat das Gerät USB-C Thunderbolt, das vielleicht zumindest in der Startphase nutzbar ist, bevor Sicherheitsmechanismen des Betriebssystems greifen. https://en.wikipedia.org/wiki/Thunderbolt_(interface)#Security_vulnerabilities
:
Bearbeitet durch User
Percy N. schrieb: > Ja, unter Laborbedingungen klappt das bestimmt ganz prima, ohne Moiree > und Quantisierungsfehler. Naja, wenn ein Foto-Stativ für Dich schon Laborbedingungen sind ... Und Moiree entfernen ist eine Standard-aufgabe für ne Bildbearbeitung. Wobei die Frage ist, ob Heutige Monitore mit ihrer Subpixel-struktur überhaupt zu Moiree neigen wie die früheren Streifenmasken. http://lcdtech.info/de/tests/lcd.pixels.structure.htm
Karl schrieb: > Warum sollte man eine analoge Audioverbindung nehmen, wenn man einen > Monitor und sogar einen HDMI-Ausgang hat. In ein HD-Bild bekommt man > 921.600 Byte = 0,879 MB -> Die 100 MB lassen sich also in ca. 100 > Bildern übertragen, dass könnte man sogar händisch abfotografieren. Und > in Python ist ein Skript, dass aus einem Byte-Strom ein Bild macht > sicher in ein paar Minuten geschrieben. Allerdings ist die Sache mit der Bildverarbeitung schon etwas mühsam. HDMI überträgt aber auch Ton, dann wirds einfacher. Wenn das Board einen SPDIF-Ausgang hat oder man einen SPDIF-Extraktor für HDMI hat (15EUR), reicht es, das Binärfile auf die Soundkarte auszugeben und geeignet digital wieder aufzunehmen. Sind im simpelsten Fall 48kHz/Stereo schon 192kByte/s. Und man muss am anderen Ende nur mit Audacity umgehen können.
DdDdD schrieb: > Ich neige entweder zu den QR-Codes (mit dem Smartphone o.ä. > abfotografiert oder ausgedruckt) DdDdD schrieb: > Na und? Die Bilder mit 10 oder 5 Frames/s abgespielt und mit den Handy > mitgeschnitten. Bei 10 Frames/s sind das 1 Stunde. Eben wolltest du noch drucken oder fotografieren? Da hat wohl wieder wer erst geschrieben und dann gedacht?
Die Firma fuer die ich taetig bin, hat bei meinem Buero-PC auch die USB-Ports fuer Massenspeicher gesperrt. Wenn ich groessere Detenmengen von diesem Rechner brauche, nehme ich meinen Laptop. Der bekommt die IP-Adresse vom Default Gateway und hat einen DHCP-Daemon der den PC kennt, und ihm "seine" IP-Adresse zuweist. Ein einfaches Patchkabel verbindet dabei beide Rechner. Dann kann ich in aller Ruhe die Daten per FTP auf mein Notebook kopieren. Da ich projektbezogen Bilder einer Digitalkamera verarbeiten muss, hat der PC jetzt einen SD-Kartenleser. Den Umweg ueber das Netz kann ich mir jetzt sparen :-). Einen Bluetoothstick habe ich noch nicht probiert, aber wenn das Betriebssystem einen Treiber fuer diesen bereithaelt, sollte eine automatische Installation auch funktionieren. 100 MB per Bluetooth "dauern" zwar etwas, werden aber doch fertig. Was ich nicht verstehe, warum der TO noch nicht die wirklich reichlich vorhandenen Logs des Betriebssystems ausgewertet hat. Im uebrigen haette er die kritischen Daten in ein eigenes Volume legen koennen, und dort das Audit einschalten... Vermutlich ist er zu doof.
De-Archivator schrieb: > Percy N. schrieb: > >> Ja, unter Laborbedingungen klappt das bestimmt ganz prima, ohne Moiree >> und Quantisierungsfehler. > > Naja, wenn ein Foto-Stativ für Dich schon Laborbedingungen sind ... Es war von "händisch" dir Rede gewesen. > Und Moiree entfernen ist eine Standard-aufgabe für ne Bildbearbeitung. Stimmt auffallend. Das Bild sieht hinterher auch sicherlich hübscher aus. Nir sind keider massenhaft interpolierte Pixel dabei, die als Informationsträger im hiesigen Sinne unbrauchbar sind. > Wobei die Frage ist, ob Heutige Monitore mit ihrer Subpixel-struktur > überhaupt zu Moiree neigen wie die früheren Streifenmasken. > http://lcdtech.info/de/tests/lcd.pixels.structure.htm Jedes Raster kann Moirees erzeugen, wenn es auf Raster abgebildet wird. Da hilft nur gnadenloses Oversampling, sprich, minimal 20 MPixel, und die dann bitteschön rauschfrei. Außerdem braucht es eine exakt ausgerichtete und fest montierte Kamera, die exakt das Monitorbild erfasst. Dazu gehören definierte Lichtverhältnisse, am Besten ein verdunkelter Raum. Die Kamera muss es erlauben, den Weißabgleich und die Belichtungswerte abzuspeichern und für die gesamte Serie beizubehalten. Dann könnte es klappen, sogar notfalls ohne optische Bank, wenn sich der Monitor im Verhältnis zur Kamera hinreichend sicher fixieren lässt. Nur klappt das nicht mal eben improvisiert am Küchentisch, und es hat dann auch nichts mehr mit "händisch" zu tun.
sollte denn nicht die "Windows Ereigniss-Anzeige" jeden Start und Ende von Windows dokumentieren/protokollieren? Damit könnte man doch schon mal identifizieren, wie lange der kompromittierte Rechner wirklich "unter Strom" war.
:
Bearbeitet durch User
Ich denke das mit dem HEX Editor und OCR erscheint mir am machbarsten. 1. Macro schreiben das man durch den Text Scrollt. 2. Über HDMI Video Grabben. 3. Dann Video OCR Datei wieder zusammen basteln. Wenn ich mich jetzt nicht verrechnent habe, sollte das Zahlen Video 1-2 Stunden sein, und Schritt 3 ist komplitzierter 1+2 würde ich als trivial bezeichnen.
Das Ereignisprotokoll wäre zumindest mal ein Anhaltspunkt welche Wege gegangen wurden... Aber eigentlich sind es doch zwei Fragen die hier relevant sind: 1.) welche Schnittstelle wurde verwendet? Da bleiben eigentlich nur die üblichen Schnittstellen für den Datenaustausch (USB, seriell, Netzwerk, Bluetooth). Die wurden nach dem vorliegenden Angaben aber verbarrikadiert so dass diese nur bei Umgehung des Schutzes verwendet erden konnten. Ansonsten sind noch Audio / Video übrig. Da können einige Daten drüber gehen, aber mit Win10 Bordmitteln wird das wohl eher schwierig. Zumal bei 100MB keinerlei Bitfehler vorliegen (Prüfsumme stimmt wohl)... Mit Video / QR Code könnte man zumindest das Bitfehler-Problem weitgehend aus dem Weg schaffen. 2.) Wie hat der Angreifer es geschafft die erforderlichen programme / Skripte auf den Rechner zu bekommen OBWOHL er nicht an die Daten-Schnittstellen rankam. Da wäre ein stumpfes Abtippen von Skripten aus dem Internet möglich, die dann lokal gespeichert werden. Das würde aber bedeuten dass er die vorhandenen (installierten) Interpreter verwendet. QR Codegeneratoren in python sind vermutlich im Internet zu finden und bei passender Vorbereitung (programmieren / debuggen im Vorfeld) sollten die Skripte auch abtippbar sein. Dann die 100MB in kleinere Teile schneiden und jeweils mit einer Prüfsumme versehen um eventuelle Übertragungsfehler zu erkennen - das scheint mir in 4 Tagen durchführbar. Also erstmal die Ereignisprotokolle (Power On / neue Geräte) auswerten, anschließend die gesamte Festplatte nach Dateien durchsuchen die in den Zeitraum erstellt / geändert wurden wurden (sind vielleicht noch Fragmente vorhanden) und dann schauen welcher Weg plausibel erscheint.
Google mal nach: FROM STOLEN LAPTOP TO INSIDE THE COMPANY NETWORK und denke dann über Bitlocker & TPM nach :-) Als Einstieg: https://techdirectarchive.com/2021/08/04/bitlocker-back-door-tpm-only-from-stolen-laptop-to-inside-the-company-network/
:
Bearbeitet durch User
Icke schrieb: > 2.) Wie hat der Angreifer es geschafft die erforderlichen programme / > Skripte auf den Rechner zu bekommen OBWOHL er nicht an die > Daten-Schnittstellen rankam. Versehentlich aktivierte, integrierte Webcam und aus Unachtsamkeit vorhandenes OCR oder QR-Code Leseprogramm, dass irgendwo, gegebenenfalls in Form einer Bibliothek dabei ist. Steffen H. schrieb: > Verwendet werden können dagegen: > - HDMI > - Kopfhörer/Lautsprecher Warum ist HDMI und die Audio Ein/Ausgabe aktiv? Ansonsten findest du hier eine Auflistung, was bereits (im Labor) gelungen ist. Das Meiste sollte unpraktikabel sein: https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-screen-brightness-variations/
Udo S. schrieb: > Steffen H. schrieb: > >> Der Zugriff wird überwacht und protokolliert. > > Also ist der von dir gewünschte Zugriff illegal und ggf. sogar strafbar. Wieso das? Eine Zugangssicherung iSd § 202a StGB sehe ich da nicht. De-Archivator schrieb: > Und wenn man nicht in den Raum gelangt wäre noch eine Seitenkanalattacke > wie das Van-Eck-Phreaking denkbar. > Aber wie bereits geschrieben, solche Tipps sind im Graubereich der > Beihilfe zu einer Straftat. In dem Fall könnte § 202b StGB in Frage kommen.
Beitrag #6805509 wurde von einem Moderator gelöscht.
Karl schrieb: > Steffen H. schrieb: >> Mein Ziel ist es zu erschweren, dass das nochmal passiert. Präventiv. > > Da muss man wohl oder übel in der Firma einen Leseraum einführen, wo der > Einsichtnehmende mit Aufsicht und ohne elektronische Geräte sich das > Material anschauen darf. Microsoft macht das so beim Windows Quellcode.
Percy N. schrieb: > Dazu gehören definierte Lichtverhältnisse, am Besten ein verdunkelter > Raum. Die Kamera muss es erlauben, den Weißabgleich und die > Belichtungswerte abzuspeichern und für die gesamte Serie beizubehalten. Die Kamera muss nur alt genug sein oder über einen "Manuell"-Mode verfügen. Früher (tm) war es völlig normal, dass man die Kamera auf bestimmte Aufnahmeparameter einschließlich Fokus eingestellt hat und sie nicht dauern an allen möglichen Werten selbständig rumgedreht hat.
Lin schrieb: > Ich denke das mit dem HEX Editor und OCR erscheint mir am machbarsten. > 1. Macro schreiben das man durch den Text Scrollt. > 2. Über HDMI Video Grabben. > 3. Dann Video OCR Datei wieder zusammen basteln. > > Wenn ich mich jetzt nicht verrechnent habe, sollte das Zahlen Video 1-2 > Stunden sein, und Schritt 3 ist komplitzierter 1+2 würde ich als trivial > bezeichnen. Daten als größere Farbpixel zu übertragen ist weitaus einfacher und fehlerfreier zu rekonstruieren. Außerdem ist auch die Datenrate größer.
Mal eine andere Frage. Ist denn überhaupt gesichert, dass er die 100 MB Daten aus dem Laptop genommen hat? Es wäre auch ein anderes Szenario möglich. Z.B. dass das Laptop, zu dem er ja Zugang hatte, wichtige Daten enthielt, die ihm Zugang zum Firmennetzwerk verschafften. Dann wären die Daten vom Firmennetzwerk geholt worden und nicht vom Laptop. Das würde dann auch 4 Tage später noch gehen. Natürlich setzt das voraus, dass das Firmennetzwerk von außen erreichbar ist und die Daten so auch zugänglich sind. Eine weitere Möglichkeit wäre, dass er in das Laptop Schadsoftware mitsamt Trojaner durch Abtippen eingebaut hat und der Abgriff der Daten dann erst später, als das Laptop schon längst wieder im Firmennetzwerk war, erfolgte. War die 100 MB Datei auf dem Laptop wenigstens mit einem Marker versehen, so dass sie sich von der gleichen 100 MB Datei im Firmennetzwerk unterscheidet? Und hast du das Laptop mal aufgeschraubt? Wurde die HW des Latop manipuliert? Vielleicht hat er auch dort direkt über die Hardware die Daten abgreifen können. Und hast du mal versucht alle gelöschten Dateien auf dem Laptop wiederherzustellen? Wenn er Schadsoftware oder ein Programm zum Datenklau per Flickercode usw. in das Laptop programmiert haben sollte, dann wird er die Daten ja auf die Platte geschrieben und später wieder gelöscht haben. Vielleicht wäre es möglich, diese zu rekonstruieren. Eigenen Code könnte man übrigens auch in den Alternate data streams verstecken. Also solltest du auch da suchen, nicht nur nach einzelen Dateien. Und dann gibt's noch die Möglichkeit nachzusehen, wann auf welche Dateien zugegriffen wurde. Das solltest du dir auch mal ansehen. So kannst du eventuell rekonstruieren, welche Programme er benutzt hat.
Nochmal: Wenn die Angreiferin die Platte vor dem Einbruch gespiegelt und danach einfach sauber zurückgespielt hat, gibt es keine Spuren. Kein Ereignisprotokoll. Keine Dateimetadaten.
Falls die Daten tatsächlich von diesem Gerät stammen, muss der Bitlocker-Key dort ausgelesen worden sein. Da der Benutzer die PIN kannte, kann er damit auch den TPM freischalten und so an den Bitlocker-Key kommen. U.A. Heise hat es vorgeführt. Da war aber keine PIN gesetzt. Eine bekannte PIN ist equivalent. Ich glaube jetzt nicht (weiß es nicht sicher), dass sich ein normaler Nutzer den Wiederherstellungsschlüssel der HD anzeigen lassen kann. Falls doch, wäre das ein Angriffsvektor. Der "Hacker" konnte ja angeblich keine eigenen Programme auf diesen Rechner bekommen. Außer das, was er dort selber abgetippt hat. Einen Flickercode, QR-Film oder eine Audio-Übertragung hätte man vielleicht in relativer Zeit zusammentippen können. Es ist aber noch die Frage offen, wie USB und Netzwerk gesperrt wurden. Einfach mit Heißkleber verplombt? USB gibt es auch intern. Dazu muss nur das Gehäuse geöffnet werden. Hinweis für später: Gehäuse verplomben, damit unerlaubtes Öffnen erkennbar wird. Was ist mit SD-Karte? Oder eine SIM? Da könnte man auch die Schnittstellen für etwas anderes verwenden.
Wolfgang schrieb: > Percy N. schrieb: > >> Dazu gehören definierte Lichtverhältnisse, am Besten ein verdunkelter >> Raum. Die Kamera muss es erlauben, den Weißabgleich und die >> Belichtungswerte abzuspeichern und für die gesamte Serie beizubehalten. > > Die Kamera muss nur alt genug sein oder über einen "Manuell"-Mode > verfügen. Früher (tm) war es völlig normal, dass man die Kamera auf > bestimmte Aufnahmeparameter einschließlich Fokus eingestellt hat und sie > nicht dauern an allen möglichen Werten selbständig rumgedreht hat. Und das erzeugt dann die konstanten definierten Lichtverhältnisse? Und nein, nicht jede beliebige alte Knipse bietet gleichzeitig rauscharme 20 MP und fixierbare Einstellungen. Den Weißabgleich wird eh niemand manurll vornehmen wollen.
Steffen H. schrieb: > Alternativ könnte man wohl die Soundkarte verwenden, um die Daten per > Ton zu übertragen. Das scheint mir wohl das Einfachste zu sein. Muss allerdings digital und unkomprimiert sein. Und es braucht eine Software, die die Daten in ein WAV verpackt. Soweit ich das kenne, ist das aber nur ein header mit danach permanent 32 Bit Daten in Integer. Also ASCII->HEX, "save" *.wav und header davon kopieren. Die Daten müssten dann digital mitgeschnitten und gespeichert werden. Thomas Z. schrieb: > Per Audio oder Webcam ist zwar theoretisch machbar, aber sicher nicht > bei 100MB. Da bist du in 100 Jahren noch beschäftigt. 100MB mit 8 Bit sind als 24 Bit Daten gerade mal 700 Sekunden. Mit overhead 15min.
Beitrag #6805659 wurde vom Autor gelöscht.
Percy N. schrieb: > Und das erzeugt dann die konstanten definierten Lichtverhältnisse? Monitore sind selbstleuchtend (ggf. mit eigener Hintergrundbeleuchtung). Raumlicht ist nur hinderlich. Aber dafür gibt es Lichtschalter ;-)
Rainer Z. schrieb: > Soll ich Dir was sagen? Du hast eine ganz gehörige Meise, die wohl lange > nicht gefuttert wurde. Tipps haben wollen aber dann der Spruch "Soviel > Lebensrisiko bitte ich Dich zu tragen"? Vielleicht habe ich eine Meise. Aber meine Kinderstube war besser als Deine. Deine Antwort war dabei noch nicht einmal die Beleidigenste in diesem Thread. Macht aber nichts, denn überstrahlt wird das alles von den wirklich sehr, sehr hilfreichen Beiträgen der anderen Poster! Vielen, vielen Dank für Eure Tipps und Links!
Helge schrieb: > Also beim kompromittierten Rechner war wirklich alles aus? Booten > über > USB, Netzwerk, USB, WLAN, Bluetooth? Card drive auch? falls vorhanden? Nicht aus, aber überwacht. Die Überwachung hat aber nicht angeschlagen. DdDdD schrieb: > Bluetooth ist immer noch nicht geklärt. Guter Punkt. Bluetooth fällt ebenfalls flach. Frank M. schrieb: > Der TO hat ja noch nichtmals mitgeteilt, welches Tool er zum > "Überwachen" der USB-Schnittstellen genutzt hat. Von daher gehe ich von > einer Schwachstelle in eben diesem Tool aus. Möglich, aber wie geschrieben soll das nicht Thema dieser Diskussion sein. Und um sie nicht in diese Richtung zu lenken, hat deshalb "der Threadersteller" nichts dazu geschrieben. Achim H. schrieb: > Nur zum Sichergehen, stimmt meine Zusammenfassung so: Ja, so stimmt es. Achim H. schrieb: > a) Wie gut ließe sich die 100MB-Datei komprimieren? Ah ja, da hatte ich ebenfalls noch nicht dran gedacht! Komprimiert ist die Datei etwa 60 MByte groß. Danke! Achim H. schrieb: > Wie lange nach der Rückgabe sind denn die Dateiinhalte aufgetaucht? 2,5 Tage (Freitagabend war Rückgabe, Montagmorgen war klar, dass er die Datei hat). Achim H. schrieb: > Ist sichergestellt, dass die Daten wirklich nur vom Laptop stammen > können, und nicht aus einer anderen Quelle? Nein, aber das untersuche ich getrennt. Achim H. schrieb: > War dem Angreifer bekannt, wie viel er ungefähr kopieren müsste? Nein. Nur die Vermutung, dass es maximal 1 GByte sein dürfte, lag nahe. (prx) A. K. schrieb: > Mit etwas Glück hat das Gerät USB-C Thunderbolt, das vielleicht > zumindest in der Startphase nutzbar ist, bevor Sicherheitsmechanismen > des Betriebssystems greifen. Ja, ist der Fall. Hmm. Nano schrieb: > War die 100 MB Datei auf dem Laptop wenigstens mit einem Marker > versehen, so dass sie sich von der gleichen 100 MB Datei im > Firmennetzwerk unterscheidet? Ja, die Prüfsumme unterscheidet sich. Nano schrieb: > Und hast du das Laptop mal aufgeschraubt? > Wurde die HW des Latop manipuliert? Das kann ich nicht ausschließen, etwaige äußerliche Spuren könnten auch von anderen Vorbenutzern kommen. Im Innenleben (Schnittstellen etc.) erkenne ich aber keine Spuren. Nano schrieb: > Und hast du mal versucht alle gelöschten Dateien auf dem Laptop > wiederherzustellen? Nichts zu entdecken. Nano schrieb: > Und dann gibt's noch die Möglichkeit nachzusehen, wann auf welche > Dateien zugegriffen wurde. > Das solltest du dir auch mal ansehen. Gute Idee, danke! Flip B. schrieb: > Nochmal: Wenn die Angreiferin die Platte vor dem Einbruch > gespiegelt und > danach einfach sauber zurückgespielt hat, gibt es keine Spuren. Kein > Ereignisprotokoll. Keine Dateimetadaten. Oha, daran habe ich noch gar nicht gedacht! So hätte er beliebig ausprobieren können und mir kurz vor Ablauf der 4 Tagen einfach die Spiegelung zurückgespielt. Man... Vielen Dank für den Tipp! Christian H. schrieb: > Was ist mit SD-Karte? Oder eine SIM? Beides nicht vorhanden.
und was ist mit dem Ereignis-Protokoll im genannten Zeitraum?
Wegstaben V. schrieb: > und was ist mit dem Ereignis-Protokoll im genannten Zeitraum? Dort erscheint für mich alles plausibel. Aber mit dem Hinweis von Flick B. erübrigt sich das ja. Einfach spiegeln und dann mit der Kopie arbeiten. Wobei sich der Zeitraum des Angriffs - wenn er es denn so gemacht hat - reduziert. Denn Zeitmarken sind auf der HD schon vorhanden. Das heißt, die HD mit dem Original muss kurzzeitig wieder eingebaut worden sein, sonst wären die Zeitmarken nicht da.
:
Bearbeitet durch User
Wolfgang schrieb: > Percy N. schrieb: > >> Und das erzeugt dann die konstanten definierten Lichtverhältnisse? > > Monitore sind selbstleuchtend (ggf. mit eigener Hintergrundbeleuchtung). > Raumlicht ist nur hinderlich. Aber dafür gibt es Lichtschalter ;-) Na sowas! Was hilft das im Hochsommer tagsüber? Warum schrieb da oben jemand was von Verdunkelung? Was willst Du überhaupt? Kaum etwas von dem, was Du meinst, hier unbedingt zum Vortrag bringen zu müssen, steht im Widerspruch zu meinen Ausführungen, und wo doch, ist es Blödsinn, wie zB die Nummer mit dem Lichtschalter.
M. W. schrieb: > 100MB mit 8 Bit sind als 24 Bit Daten gerade mal 700 Sekunden. Mit > overhead 15min. das mit den 15 min kann in etwa hinkommen eine CD hat ja um die 700 MB und das reicht für knapp 60 Minuten Audio bei 16 Bit PCM 44k1. Deine Rechnung ist trotzdem grundlegend falsch. Du kannst nicht die vollen 16 / 24 Bit für die Rechnung verwenden. Wir hatten mal Versuche gemacht das LSB eines PCM Streams zur Datenübertragung zu nutzen. Das wären immerhin bei 48k in Stereo 96kBit/s gewesen, das hat auf Digitalebene erstaunlich gut funktioniert. Sobald der Stream in Windows war hat aber der kmixer mit seinen SR konvertern das Ganze zerhäxelt. Es ist ja nicht nur die Ausgabe die funktionieren muss sondern auch die Aufnahme die funktionieren muss. Ganz so einfach wie du glaubst ist das dann nicht.
Steffen H. schrieb: > Wegstaben V. schrieb: >> und was ist mit dem Ereignis-Protokoll im genannten Zeitraum? > > Dort erscheint für mich alles plausibel. plausibel bedeutet was? Anhand der Startprotokolle kannst du ja Start- und runterfahr-Zeitpunkt für die vermuteten 4 Tage ermitteln. -> Entsprechen die Nutzungszeitpunkte und Dauer deiner Erwartung? Sowohl "außergewöhnliche Zeitdauer" als auch "außergewöhnlicher Zeitpunkt" wären ja schon mal Indikatoren. -- und mal generell: ist es denn belegt, DASS da was runter kam (genau diese eine 100 MB Datei), und DASS es genau von diesem Rechner war? Ist die Datei im Ursprung noch vorhanden?
:
Bearbeitet durch User
noch zwei Fragen: Kannte der Angreifer das genaue Laptopmodel schon vorher? Konnte es sich deshalb vorher schon ein Angriffszenario erarbeiten? Hat der Laptop einen SPDIF Out? (Kombibuchse mit Kopfhöherbuchse)
Ich vermute einen Angriff folgendermaßen: Irgendein Linux vom USB-Stick booten. Mit Rescue-Stick-OS z.B. läßt sich bei bekannten Zugangsdaten auch bitlocker öffnen. Datei auf Stick schreiben. Oder wäre das abgesichert?
Steffen H. schrieb: > Vielleicht habe ich eine Meise. Aber meine Kinderstube war besser als > Deine. Deine Antwort war dabei noch nicht einmal die Beleidigenste in > diesem Thread. Ich habe mir den Eingangspost nochmal zu Gemüte geführt: Steffen H. schrieb: > Hallo zusammen, > > ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen > anderen Rechner kopieren möchte. Das Problem: Die üblichen Methoden > fallen alle flach. Das heißt: > - Kein USB > - Kein Netzwerk (inkl. Internet) > - Kein Umstecken der Festplatte > > Zusätzlich ist die Installation von Spezialprogrammen verboten. Steffen H. schrieb: > Es ist anders herum: Ich muss von einer Quelle lesen, ohne gängige > Datenschnittstellen zu verwenden. > > Serielle Schnittstelle und CD-Laufwerk gibt es leider nicht. "... gibt es leider nicht." Steffen H. schrieb: > Nano schrieb: >> Könntest du von einem USB Stick booten? > > Leider nein. Wobei ich mir gerade nicht 100%ig sicher bin. Du meinst, um > aus Spezialprogramme zugreifen zu können, nicht wahr? "*Leider nein.*" Steffen H. schrieb: > Da die Diskussion teilweise in die Richtung läuft, warum das praktiziert > werden soll: > > Irgendjemand hat es geschafft, eine Datei von ~100 MByte Größe zu > "stehlen". Überwacht wurden, wie mehrfach geschrieben, USB- und > Netzwerkschnittstelle. Steffen H. schrieb: > Frank M. schrieb: >> Steffen H. schrieb: [...] >>> ich habe auf einem Laptop eine Datei (100 MB), die ich gerne auf einen >>> anderen Rechner kopieren möchte. >> >> Betonung liegt hier auf "ich" - also "ich der SysAdmin"?!? > > Da ist gar keine Betonung. Das ist eine einfache Abstraktion, um die > Frage zu fokussieren. Die momentane Diskussion nach dem "Warum" hilft > mir nämlich leider nicht weiter. > > Einen Nachweis, dass ich zu "den Guten" gehöre, werde ich Dir nicht > bringen können. Soviel Lebensrisiko bitte ich Dich zu tragen. So, so, "einfache Abstraktion, um die Frage zu fokussieren". Einen Nachweis zu bringen, dass Du zu "den Guten" gehörst, ist Dir ganz sicher möglich. Dazu müsstest Du allerdings mehr Details zu Deiner Funktion, zum angegriffenen System, zur Art der abgefangenen Daten preisgeben, was Du - berechtigterweise! - nicht möchtest. Zugegebenermaßen wäre es außerordentlich dreist, wenn in einem Forum tatsächlich ein Hacker Hilfe sucht. Ausschließen kann es dennoch niemand, die Fälle sind häufig und vielseitig, das Unrechtsempfinden kaum vorhanden. Hier geht es um Kundendateien, Mitarbeiterdaten oder Finanzgeheimnisse ebenso wie um aufwendige Werke, Zeichnungen, Entwicklungen, Berechnungen... Dann ist es allerdings kontraproduktiv, im Eingangspost in die Rolle des Hackers zu schlüpfen und später uns zu "bitten", das Lebensrisiko doch selber zu tragen. §§ 202b, 27 StGB stehen im Raum. Steffen H. schrieb: > Ich mag Menschen, die auf den Punkt kommen. Das wäre besser gewesen.
Wolfgang schrieb: > Percy N. schrieb: >> Dazu gehören definierte Lichtverhältnisse, am Besten ein verdunkelter >> Raum. Die Kamera muss es erlauben, den Weißabgleich und die >> Belichtungswerte abzuspeichern und für die gesamte Serie beizubehalten. > > Die Kamera muss nur alt genug sein oder über einen "Manuell"-Mode > verfügen. Früher (tm) war es völlig normal, dass man die Kamera auf > bestimmte Aufnahmeparameter einschließlich Fokus eingestellt hat und sie > nicht dauern an allen möglichen Werten selbständig rumgedreht hat. Es gibt auch Apps die auf Handy kameras manuelle feste Einstellungen ermöglichen, früher war die 'Camera FV-5 Lite' eine empfehlenswerte App. Hier sollte man die belichtungszeit auf 1/10 drücken (wegen der Framrate 30 fps) die Empfindlichkeit (ASA-Wert) eher in den geringen Bereich (kleiner 100). Die Helligkeit am Moni eher runterdrehen. Gegen das Umgebungslicht hatt man einen LichtdichtePlane mitgebracht, notfalls improvisiert man indem man das Hemd Auszieht oder die Jacke und da benutzt, sowie den eigenen Schattenwurf benutzt. > Den Weißabgleich wird eh niemand manurll vornehmen wollen. Den Weissabgleich braucht man bei diesen Motiv (Kontrastoptimiertes Schachbrettähnliches wie QR-Code) eh nicht, und wenn kann da auch die Nachbearbeitung einiges rausholen. Wichtig ist lediglich, das das die Aufnahme nicht überbelichtet ist. Es kann auch hilfreich sein , vor dem Monitor eine Rasterfolie anzubringen, um einzelne Bildkaros stärker von einander zu trennen, oder Passmarken, Grauwertkeile für den späteren Abgleich miteinzubringen. Ein guter IR-Stoppfilter als Linsenvorsatz könnte auch helfen, ist aber eher zuviel des guten. Gute Tipps kann man auch unter dem Thma "Analog-Scope-bilder abfotografieren" finden. Da beispielsweise wird ne Plastikkiste als Abdunkelung und Fixierung benutzt: https://hackaday.com/2013/08/06/bench-equipment-tip-screenshot-of-old-oscilloscopes/ Oder hier https://www.eevblog.com/forum/projects/quick-and-simple-oscilloscope-camera/ Und warum lange nach Anleitungen suchen, einfach mal daheim aufbauen und Testreihen machen. Mit mäßigen' erfolg habe ich vor Jahren mal einen Raspi mit Kamera für sowas eingesetzt.
Der HDMI anschlusz hat auch die moeglichkeit um als ethernet zu benutzen, das nennt dich "HEC". Ich weisz aber nicht ob diese option ueberhaupt bei bestimmte geraete verfuegbar ist... https://www.cmple.com/learn/learning-center-hdmi-cables-with-ethernet
Wegstaben V. schrieb: > -> Entsprechen die Nutzungszeitpunkte und Dauer deiner Erwartung? Ja, durchaus. Es sticht nichts hervor, wo man mißtrauisch werden könnte. Wegstaben V. schrieb: > und mal generell: ist es denn belegt, DASS da was runter kam (genau > diese eine 100 MB Datei), und DASS es genau von diesem Rechner war? Ist > die Datei im Ursprung noch vorhanden? Wie gesagt: Danke, völlig richtig - aber anderes Thema. Ich gehe dem getrennt nach. Thomas Z. schrieb: > Kannte der Angreifer das genaue Laptopmodel schon vorher? Konnte es sich > deshalb vorher schon ein Angriffszenario erarbeiten? Ja, er kannte es. Das Erarbeiten wäre möglich gewesen. Thomas Z. schrieb: > Hat der Laptop einen SPDIF Out? (Kombibuchse mit Kopfhöherbuchse) S/PDIF ist halt in jedem Fall in HDMI drin, wie rµ und Georg A. schrieben. Insofern: Ja, S/PDIF könnte er verwendet haben. Helge schrieb: > Irgendein Linux vom USB-Stick booten. Mit Rescue-Stick-OS z.B. läßt sich > bei bekannten Zugangsdaten auch bitlocker öffnen. Datei auf Stick > schreiben. Die Fpgakuechle K. schrieb: > Es gibt auch Apps die auf Handy kameras manuelle feste Einstellungen > ermöglichen, früher war die 'Camera FV-5 Lite' eine empfehlenswerte App. Tja, das Bild liegt eh digital am HDMI Ausgang vor. Wenn man es mit dem - bereits schon vorgeschlagenen - HDMI Recorder aufnimmt, kann man sich die Bildschirm -> Kamera Wandlung sparen.
Rainer Z. schrieb: > So, so, "einfache Abstraktion, um die Frage zu fokussieren". Die ganze Diskussion hat sich gedreht. Schau Dir meinen Eröffnungspost an und Du wirst feststellen, dass er meine Frage weiterhin prägnant beschreibt. Ich hätte es gerne dabei belassen, aber die Moderation hat sich mehr Background gewünscht. Den hab ich gegeben und damit zwangsweise den Stil geändert. Und diese Stiländerung wird nun von Dir auseinander genommen, um irgendwelche Anhaltspunkte zu finden. Ich werde Dich eh nicht zufriedenstellen können, also was solls.
Patrick C. schrieb: > Der HDMI anschlusz hat auch die moeglichkeit um als ethernet zu > benutzen, das nennt dich "HEC". Interessant, wenn er aber an HDMI kommt, dann kann er auch einen HDMI-Videorekorder anstöpseln. Beispiel: https://www.amazon.de/Videoaufnahmekarte-Videospielaufnahme-Capture-Li[v]e-Streaming-Video-Streaming/dp/B08K43M3ZB/ (Bitte aus [v] mit v ersetzen (Klammern löschen), die Spam-protection des Forums zwingt zu dieser lächerlichen URL-Veränderung)
Steffen H. schrieb: > Tja, das Bild liegt eh digital am HDMI Ausgang vor. Wenn man es mit dem > - bereits schon vorgeschlagenen - HDMI Recorder aufnimmt, kann man sich > die Bildschirm -> Kamera Wandlung sparen. Naja, es schadet aber auch nicht, sich was für den Fall zu überlgene, das man nicht an die Monitorschnittstelle rankommt oder diese deaktiviert ist (Per Software oder zugekleistert oder aufgebohrt ) oder wenigstens versiegelt (Siegellack) ist, sodas nachträglich Benutzung durch Bruch des Siegels erkennbar ist. Abfotografieren hinterlässt keine Spuren...
Flip B. schrieb: > zumindest die protokollierung lässt sich verhindern, einfach im > cleanen > zustand ein image ziehen, und dann nach dem Einbruch zurückspielen. Ich gebe zu bedenken, dass ja die Schnittstellen gesperrt waren. Er hätte also zuerst manipulieren müssen, dann ein Image ziehen. Nach dem Zurückspielen hätte er dann zumindest die erste Manipulation händisch verwischen müssen.
Steffen H. schrieb: > Tja, das Bild liegt eh digital am HDMI Ausgang vor. Wenn man es mit dem > - bereits schon vorgeschlagenen - HDMI Recorder aufnimmt, kann man sich > die Bildschirm -> Kamera Wandlung sparen. Des weiteren lautet aber das Threadthema " ... ohne Schnittstellen", insofern sind die HDMI-Recorder hier Off-topic. Und ein Handy kann man leichter mit überzeugender Unschuldsmiene und Verweis auf persönliche Daten darauf und eigene Erreichbarkeit 'schmuggeln' - als einen Stick, bei denen die 'kriminellen' Absichten so naheliegenden sind wie beim Führen einer Waffe ;-) Insofern sollte man Unberechtigte eh nicht an den Rechner lassen und wenn doch dann nackt plus Rektalinspektion ;-)
Das Image kann man direkt von der Platte in einer anderen Maschine ziehen, die ist bei nicht-Consumer-Laptops gut zugänglich.
Mich würden nochmal die Entwicklertools interessieren. Welche waren es? Was für ein Python wurde genutzt. Bare? Anaconda? WinPython?...
Thunderbolt ist PCIe über Kabel. Da lässt sich prinzipiell jedes PCIe Devie anschließen. Also z.B. auch eine NVMe-SSD oder eine Netzwerkkarte. Ist das bei der Schnittstellen/USB-Absicherung auch mit abgedeckt? Hat der Laptop noch einen freien M.2 Steckplatz? Die Webcam ist üblicherweise über USB angeschlossen. An das Kabel lässt sich vielleicht ein anderes USB Device anschließen, wenn die Portabsicherung sich nur auf einzelne physische Anschlüsse bezieht.
Fpgakuechle K. schrieb: > Des weiteren lautet aber das Threadthema " ... ohne Schnittstellen", > insofern sind die HDMI-Recorder hier Off-topic. Die Überschrift bezog sich auf die typischen Datenschnittstellen (USB, Netzwerk). BeBe schrieb: > Mich würden nochmal die Entwicklertools interessieren. > Welche waren es? Installiert waren Anaconda, Visual Studio Tools und Matlab. rossi schrieb: > Thunderbolt ist PCIe über Kabel. Da lässt sich prinzipiell jedes PCIe > Devie anschließen. Also z.B. auch eine NVMe-SSD oder eine Netzwerkkarte. > Ist das bei der Schnittstellen/USB-Absicherung auch mit abgedeckt? Ja, wird überwacht. rossi schrieb: > Hat der Laptop noch einen freien M.2 Steckplatz? Nicht vorhanden. rossi schrieb: > [...] wenn die > Portabsicherung sich nur auf einzelne physische Anschlüsse bezieht. Die Überwachung ist nicht auf bestimmte USB Anschlüsse begrenzt.
Flip B. schrieb: > Wenn die Angreiferin die Platte vor dem Einbruch gespiegelt und > danach einfach sauber zurückgespielt hat, gibt es keine Spuren. Die Festplatte ist nicht mit dem TPM verbandelt? Damit meine ich, es überpüft nicht ihre Authentizität (Signatur über Seriennummer o.ä.)?
d.H. USB war nicht "aus", sondern nur "überwacht"? Platte ausbauen Platten-Image ziehen Platte einbauen Booten USB-Stick anstecken Datei Kopieren Überwachungstool schreibt böse Meldung ins Log (da kein Netzwerk, nirgendwo sonst hin) Image zurückspielen Meldung ist wieder weg. Klappt auch mit einer verschlüsselten Platte, das Image ist dann halt ciphertext. Fällt noch nicht mal groß an den SMART / TBW-Werten der Platte auf, wenn das Image-Zurückschreiben intelligent gemacht wird (nur geänderte Blöcke zurücksetzen)
:
Bearbeitet durch User
Steffen H. schrieb: > Fpgakuechle K. schrieb: >> Des weiteren lautet aber das Threadthema " ... ohne Schnittstellen", >> insofern sind die HDMI-Recorder hier Off-topic. > > Die Überschrift bezog sich auf die typischen Datenschnittstellen (USB, > Netzwerk). Dann schreibt man "ohne Datenschnittstellen" nicht "ohne Schnittstellen". Aber vielleicht ist es ja eine Frage nach dem fachlichen Hintergrund des Lesers/TO. Einem Informaticker mag bei Schnittstellen nur die für Massenspeicher einfallen, während ein Elektrotechniker, zu den Schnittstellen/Interfaces natürlich auch die Monitoranschlüße inkludiert. Und jegliche Seitenkanäle wie TEMPEST https://www.computerweekly.com/de/definition/Tempest Hinzukommt, das im allersten Posting explizit auf 'abfilmen' eingegangen wird, also ist es im Sinne des Threads schon zielführend sich dem Aspekt der Datenerhaltenen Abfotografierens zu widmen. Und wenn eine physikalische Schnittstelle vorhanden ist, heisst es nicht, das sie aktiv ist, Laptops haben da gern eine Testenkombi oder Einstellmöglichkeiten um den Moniausgang zu aktivieren, gern unter der Option "Anschluss an Projektor" versteckt. PS: Und was die Untersuchung des Stromverbrauches betrifft, ja man kann an der Netzdose messen, ob der Moni grade viel Licht abgibt oder nicht und Wechsel in der Auflösung machten sich bei Röhrenmoni mit ein paar Watt bemerkbar, aber das sollte wit unter der effizenz des Abfilmens liegen. Auch hier gilt: "Probieren geht über studieren", einfach mal einen Verbrauchsmesser anschliessen und ne Diashow mit Bildern unterschiedlicher Helligkeit laufen lassen.
Εrnst B. schrieb: > d.H. USB war nicht "aus", sondern nur "überwacht"? Korrekt. USB musste angeschaltet bleiben, sonst wäre der Laptop nutzlos. Da hängt alles dran: Tastatur, Maus, Programmieradapter, Headset, USB-Cam (intern), ...
Fpgakuechle K. schrieb: > Dann schreibt man "ohne Datenschnittstellen" nicht "ohne > Schnittstellen". Du, das war ne Überschrift. Die soll auf das Thema einstimmen und es wiedererkennbar machen.
Steffen H. schrieb: > Korrekt. USB musste angeschaltet bleiben, sonst wäre der Laptop nutzlos. > Da hängt alles dran: Tastatur, Maus, Programmieradapter, Headset, ^^^^^^^^^^^^^^^^^^ Na das ist doch ein Schleusentor das noch garnicht erötert wurde. Es sollte nicht sonderlich schwierig sein über einen (FPGA/µC?) Programmieradapter Daten abfließen zu lassen.
Es ist konfiguriert, welche Datenmengen wo hinfließen dürfen. Andernfalls wird Alarm geschlagen.
Steffen H. schrieb: > Fpgakuechle K. schrieb: >> Dann schreibt man "ohne Datenschnittstellen" nicht "ohne >> Schnittstellen". > > Du, das war ne Überschrift. Die soll auf das Thema einstimmen und es > wiedererkennbar machen. dann hätte man aber auch im ersten Artikel mit dieser Überschrift alle Schnittstellen nennen müßen und nicht Stunden später mittendrin. Auch wenn eine solche Salamitaktik in diesem Forum üblich ist - damit vergrault man die willigen Antworter, die sich durch die beliebige Veränderung der Informationslage verarscht vorkommen müßen.
Klingt nach einem epischen Knieschuss. Es kann zwar keiner Daten klauen, aber man kann auch kein Backup machen. Daten von denen es kein Backup gibt, sind wertlos - weil deren Vorhandensein an ein bischen billigst gebauter Consumerelektronik hängt. Somit ist sämlichte Arbeit, die auf der Maschiene passiert per Definition für die Würste. Wozu soll das Ganze gut sein? Frag das den IT-Trottel mal, der sowas entscheidet... Wir haben auch so tolle IT-Trottel bei uns in der Firma, wir haben nämlich Entwickler-PCs ohne (lokalen) Admin-Account. Blos braucht man für Hwardware- und Firmwareentwicklung Dinge wie selber erstellte Treiber, Treiber für Debug-Hardware, diverse Tools die die IT nicht installieren will und dergleichen mehr. Nicht mal Putty gibts von den Trotteln. Konsequenz: Es werden PCs aus Schwarzbeständen verwendet, die nicht von der IT gemanaged werden. Sicherheit beim Teufel UND Produktivität beim Teufel.
Fpgakuechle K. schrieb: > dann hätte man aber auch im ersten Artikel mit dieser Überschrift alle > Schnittstellen nennen müßen und nicht Stunden später mittendrin. Im Eröffnungspost steht, das USB (+Netzwerk) flach fällt. Was die übrigen Schnittstellen betrifft, so war die Diskussion durchaus gewünscht, da mir die Einfallstore teilweise selbst nicht klar waren. Name: schrieb: > Es kann zwar keiner Daten klauen, aber man kann auch kein Backup machen. Backups werden regelmäßig durchgeführt. Allerdings nicht vom Anwender.
:
Bearbeitet durch User
Steffen H. schrieb: > Es ist konfiguriert, welche Datenmengen wo hinfließen dürfen. Wie? Womit? PS: Und es wäre hilfreich, wenn der TO nur unter einem account schreiben würde, nicht unter Gast und angemeldet - auch wenn die Nicks buchstäblich gleich ausschauen. Wiedererkennbarkeit wird auch durch korrekte Authentifizierung erreicht.
Steffen H. schrieb: > Backups werden regelmäßig durchgeführt. Allerdings nicht vom Anwender. Achso? Das macht jetzt aber schon einen großen Unterschied, weil das dann ein organisatorisches Problem ist, kein technisches und somit die Frage im falschen Forum steht.
Name: schrieb: > Es kann zwar keiner Daten klauen, aber man kann auch kein Backup machen. > Daten von denen es kein Backup gibt, sind wertlos Genau! Wenn es wichtige Daten waren, IST ein Backup vorhanden, sonst sind es KEINE wichtige Daten! Also muss man sich auch auf den Ort konzentrieren, wo das Backup angelegt ist! Gruss Chregu
Εrnst B. schrieb: > Platte ausbauen > Platten-Image ziehen > Platte einbauen > Booten > USB-Stick anstecken > Datei Kopieren > Überwachungstool schreibt böse Meldung ins Log (da kein Netzwerk, > nirgendwo sonst hin) > Image zurückspielen > Meldung ist wieder weg. Zwar theoretisch möglich, aber sehr risikobehaftet. Images hin&her-Spielen ist eine Operation am offenen Herzen. Wenn es da während der Übertragung Probleme gibt oder der betreffende Rechner danach nicht mehr läuft wird relativ schnell ersichtlich, dass es Manipulationsversuche gab. Nicht umsonst arbeitet man ja auch bei Datenrettung mit geklonten Images und fasst die Originalplatte nicht an.
Ist der "Hacker" einigermaßen erfahren im Handling von Notebook Hardware? Dann ist die Variante von Εrnst B. im Beitrag #6805909 das naheliegenste. Ich persönlich hätte vermutlich den Weg über den Hex Editor genommen. Aber ob der Mann innerhalb von 2 Tage die Empfängerseite zusammengenagelt hat...? Noch ne Frage: Kennt der Hacker die Software, die alle Schnittstellen überwacht? Hat er mitbekommen was Ihr nutzt?
Name: schrieb: > Steffen H. schrieb: >> Backups werden regelmäßig durchgeführt. Allerdings nicht vom Anwender. > > Achso? Das macht jetzt aber schon einen großen Unterschied, weil das > dann ein organisatorisches Problem ist, kein technisches und somit die > Frage im falschen Forum steht. Heul doch...
Fpgakuechle K. schrieb: > Und es wäre hilfreich, wenn der TO nur unter einem account schreiben > würde, nicht unter Gast und angemeldet - auch wenn die Nicks > buchstäblich gleich ausschauen. Wiedererkennbarkeit wird auch durch > korrekte Authentifizierung erreicht. Stimmt. Man kann auch besser die Beiträge suchen, wenn der Nick identisch bleibt. Man kann als Gast nur 3 Beiträge pro Stunde schreiben. Wenn mir das vorher bekannt gewesen wäre, hätte ich darauf geachtet. Fpgakuechle K. schrieb: > Wie? Womit? Mit einer Überwachungssoftware. Nach dem Namen wurde bereits gefragt, siehe oben. Christian M. schrieb: > Also muss man sich auch auf den Ort > konzentrieren, wo das Backup angelegt ist! Die Datei wurde vom Laptop "gestohlen", nicht vom Backup-Server. Le X. schrieb: > Zwar theoretisch möglich, aber sehr risikobehaftet. Das entscheidende Original wird nur ein einziges Mal angefasst. Nämlich beim Klonen. Das Risiko dürfte überschaubar sein. BeBe schrieb: > Noch ne Frage: Kennt der Hacker die Software, die alle Schnittstellen > überwacht? Hat er mitbekommen was Ihr nutzt? Gute Frage... Ich denke nein. Aber am Ende läuft es darauf hinaus, ob er die Überwachung überlisten konnte. Und diesem Punkt gehe ich, wie schon erwähnt, getrennt nach. Danke. BeBe schrieb: > Ist der "Hacker" einigermaßen erfahren im Handling von Notebook > Hardware? > Dann ist die Variante von Εrnst B. im Beitrag #6805909 das > naheliegenste. Ernst B. - und Flip B., er war gestern sogar noch eine Idee früher. Ja, das vermute ich momentan ebenfalls. Krass, die Lücke ist groß wie ein Scheunentor! Da nutzt die ganze Überwachungssoftware nichts, wenn ich durchs Klonen unter dem Radar bleiben kann. Nochmal die Frage: Ist das denn wirklich so einfach möglich? Die Festplatte ist nicht mit dem TPM verheiratet, nein? Das TPM prüft also nicht, ob die Festplatte getauscht wurde? Sogar Windows meckert wegen seiner Lizenz, wenn ich die Hardware tausche.
Steffen H. schrieb: > Das TPM prüft also > nicht, ob die Festplatte getauscht wurde? Nein. Steffen H. schrieb: > Sogar Windows meckert wegen seiner Lizenz, wenn ich die Hardware > tausche. Ist halt Spyware. Nach hause telefonieren. Warscheinlich hat MS eh schon alle deine Daten. Wenn du was abhörsicheres willst ist Windows 10 das Falsche. Open source ist hier dringend empfohlen.
Steffen H. schrieb: > Die > Festplatte ist nicht mit dem TPM verheiratet, nein? Das TPM prüft also > nicht, ob die Festplatte getauscht wurde? Geht ja auch mit der Original-Platte, wenn man die nachher wieder auf den Ursprungszustand zurückbringt. Ganz blöde Idee: Reicht es beim Systemboot die Magische Taste zu drücken, und dann "Letzter Wiederherstellungspunkt" zu wählen, um das Überwachungssoftware-Log loszuwerden?
Εrnst B. schrieb: > Geht ja auch mit der Original-Platte, wenn man die nachher wieder auf > den Ursprungszustand zurückbringt. Ja, stimmt. > Ganz blöde Idee: Reicht es beim Systemboot die Magische Taste zu > drücken, und dann "Letzter Wiederherstellungspunkt" zu wählen, um das > Überwachungssoftware-Log loszuwerden? Nein, kein Treffer hier.
Εrnst B. schrieb: > Platte ausbauen > Platten-Image ziehen * Platten-Image noch einmal mit Kopie vergleichen > Platte einbauen > Booten > USB-Stick anstecken > Datei Kopieren > Überwachungstool schreibt böse Meldung ins Log (da kein Netzwerk, > nirgendwo sonst hin) > Image zurückspielen * Platteninhalt noch einmal mit Image vergleichen > Meldung ist wieder weg. + Originalplatte wieder einbauen + PC "normal" benutzen zur Verschleierung So würde ich es auch vermuten. Die meisten denken viel zu kompliziert; oft sind es gerade die einfachen Dinge, die zum Ziel führen. Le X. schrieb: > Zwar theoretisch möglich, aber sehr risikobehaftet. > Images hin&her-Spielen ist eine Operation am offenen Herzen. Das mache ich jeden Tag. Und die Fehlerquote ist extrem niedrig. Wenn der Angreifer sehr vorsichtig ist, kann der die * eingefügten Punkte hinzufügen.
Michael D. schrieb: > Derjenige der sich solch eine eingeschränkte Maschine ausdenkt soll es > vom Notepad aus abtippen. So viel Dummheit gehört bestraft. Quatsch. Wenn ich User hätte, den ich nicht traue, und bevor die mir mein internes Netzwerk versauen, mache ich den Rechner GENAU SO zu. Ich würde mal frech auf einen Service-Laptop tippen. Und der TO will die Datendatei herunter holen. Wofür ihn der Sys-OP die Kündigung besorgt. Ich als EDV-Chef damals hätte ihm die Kündigung besorgt. ALLES hat einen Grund. Und wenn ein eine Sache stört, sucht man das Gespräch mit den Vorgesetzten / Sys-OP oder einen neuen Job.
kleiner Admin schrieb: > So würde ich es auch vermuten. Die meisten denken viel zu kompliziert; > oft sind es gerade die einfachen Dinge, die zum Ziel führen. JA, inkl. Siegelbruch. Oder glaubt ihr ernsthaft, das wäre nicht versiegelt. Bei der nächsten Kontrolle des Teils hat der User ein Mega-Problem. Da könnte die Kündigung noch das harmloseste sein.
Hier eine Übersicht über möglicherweise verwendete Angriffsmethoden: + Festplatte spiegeln und Datei aus Spiegelung herauskopieren. _Optisch:_ - QR Code - JAB Code - Flicker - Hex-Code + OCR _Akustisch:_ - Soundkarte (linear, FSK, QAM) - S/PDIF _Andere (leicht):_ - Drucker (Paperdisk) - Interne Schnittstellen _Andere (komplex):_ - DDC (Datenkanal in HDMI) - HEC (ebenfalls via HDMI) - Van-Eck Phreaking - Hacking TPM (Plus die Liste, die qq freundlicherweise verlinkt hat: https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-screen-brightness-variations/) Getrennt betrachte ich, wie mehrfach geschrieben, außerdem: - Abgreifen der Daten an anderer Stelle - Umgehen der Überwachung (bspw. getarnt als µC Flash, Bug in OS / Thunderbolt)
:
Bearbeitet durch User
Schlaumaier schrieb: > JA, inkl. Siegelbruch. Oder glaubt ihr ernsthaft, das wäre nicht > versiegelt. Nein, ist derzeit tatsächlich nicht versiegelt...
Schlaumaier schrieb: > JA, inkl. Siegelbruch. Oder glaubt ihr ernsthaft, das wäre nicht > versiegelt. Der TO hat von Versiegelung nix erwähnt. Seine Infos sind zwar spärlich, aber im Zusammenhang mit der Spiegelung der HDD hätte er vermutlich die Versiegelung erwähnt, wenn eine vorhanden war. Aber auch hier kann ich dank der rudimentären Infos des TO's nur spekulieren. EDIT: Beitrag obsolet, TO hat es während des Verfassens aufgeklärt.
:
Bearbeitet durch User
Εrnst B. schrieb: > d.H. USB war nicht "aus", sondern nur "überwacht"? > > Platte ausbauen > Platten-Image ziehen > Platte einbauen > Booten > USB-Stick anstecken > Datei Kopieren > Überwachungstool schreibt böse Meldung ins Log (da kein Netzwerk, > nirgendwo sonst hin) > Image zurückspielen > Meldung ist wieder weg. > > > Klappt auch mit einer verschlüsselten Platte, das Image ist dann halt > ciphertext. > > Fällt noch nicht mal groß an den SMART / TBW-Werten der Platte auf, wenn > das Image-Zurückschreiben intelligent gemacht wird (nur geänderte Blöcke > zurücksetzen) Könnte man nicht einfach auch mit dem kopierten Image in der gleichen Hardware arbeiten? Oder lässt das TPM nicht zu, weil es als Schlüssel vielleicht noch die Seriennummer der SSD/Festplatte nimmt? Wenn das nämlich geht, könnte er mit der Kopie arbeiten und müsste, um alles wieder wie vorher herzustellen, lediglich die Original Platte wieder ins Laptop stecken. Der Aufwand wäre deutlich geringer, als zweimal Daten hin und her zu kopieren und SMART wäre damit auch komplett ausgehebelt. Er bräuchte lediglich ne eigene SSD/Festplatte, die er vollschreiben kann.
Steffen H. schrieb: > Εrnst B. schrieb: >> d.H. USB war nicht "aus", sondern nur "überwacht"? > > Korrekt. USB musste angeschaltet bleiben, sonst wäre der Laptop nutzlos. > Da hängt alles dran: Tastatur, Maus, Programmieradapter, Headset, > USB-Cam (intern), ... Wenn ein Programmieradapter dranhängt, dann kann man auch über den Daten nach draußen schaffen.
Steffen H. schrieb: > Hier eine Übersicht über möglicherweise verwendete > Angriffsmethoden: > .... Wenn du herausbekommen willst, wie es der Hacker gemacht hat, dann gehst du jetzt am besten zum Baumarkt, dort kaufst du dir den größten Schraubenschlüssel und dann machst du das beim Hacker wie da: https://xkcd.com/538/ ^^
Fpgakuechle K. schrieb: > Den Weissabgleich braucht man bei diesen Motiv (Kontrastoptimiertes > Schachbrettähnliches wie QR-Code) eh nicht, und wenn kann da auch die > Nachbearbeitung einiges rausholen. Dazu müsste man wissen, wie es aussehen soll. Das geht bei den Fotos von Onas Geburtstagskaffee, bei denen man Rot so lange etwas zurücknimmt, bis Tante Waltraud wieder etwas gesünder aussieht. Hier aber ist dieses Verfahren ohne weitere Maßnahmen eher kontrapriduktiv > Wichtig ist lediglich, das das die > Aufnahme nicht überbelichtet ist. Vorsicht, Unterbrlichtung ist ebenfalls schädlich. > Es kann auch hilfreich sein , vor dem Monitor eine Rasterfolie > anzubringen, um einzelne Bildkaros stärker von einander zu trennen, oder > Passmarken, Grauwertkeile So langsam näherst Du Dich dem Knackpunkt. Ein Graukeil wäre tatsächlich hilfreich, um sicherzustellen, dass die Graustufen der Quelle sämtlich abgebildet werden. Dazu drei Farbkeile und am besten noch jeweils ein Feld für jeden der 256 Werte als Referenz. Jetzt braucht es nur noch eine halbwegs brauchbare Gamma-Rinstellung ... > für den späteren Abgleich miteinzubringen. > Ein guter IR-Stoppfilter als Linsenvorsatz könnte auch helfen, ist aber > eher zuviel des guten. Die Sinnhaftigkeit des Aufwandes sollte sicherlich immer überdacht werden. Hier geht es darum, dass bei einer Datei von 100 MB im Zweifel nicht ein einziges Bit kippen darf, so lange wir nicht wissen, was die Datei enthält und wie redundant sie sein mag. Mit dem Handy aus der Hüfte bei zufälligem Umgebungslicht mal eben 1 MB pro Bild auf 100 Aufnahmen zuverlässig zu kopieren wird eher nichts werden.
:
Bearbeitet durch User
Steffen H. schrieb: > Nicht aus, aber überwacht. Die Überwachung hat aber nicht angeschlagen. Interesehalber: würde die Überwachung eine Maus anmotzen/sperren? Habe vor kurzem gelesen, das Windows 10 bei manchen Mäusen bzw. sogar deren Funkempfänger netterweise einen Installer startet, damit das Ding auch beim Einloggen schon funktioniert. Wenn die Maus nur komplex genug ist, könnte der Installer z.B. fragen, ob er das Batteriepegel-Anzeigetool installieren soll, was den Installer interaktiv macht. Von da ist es nur ein kleiner Schritt bis zum aus der Hilfe gestarteten CMD-Fenster, das dann mit vererbten Systemrechten läuft. War ein Teil von Razer, Infos z.B. unter https://lifehacker.com/you-can-gain-admin-privileges-to-any-windows-machine-by-1847537634 Le X. schrieb: > Nicht umsonst arbeitet man ja auch bei Datenrettung mit geklonten Images > und fasst die Originalplatte nicht an. Dann -Image machen -Platte gegen Kopie tauschen -Maschine booten und soviel hacken und kopieren wie man will -Original wieder rein. Keine Betriebsstunden, keine TBW, keine Logs, kein Risiko (außer das die Kopie oder Zeit nicht reicht) Ich wüsste gerne, mit welcher Software man Windows 10 angeblich so zumachen kann. Und was da letztendlich geklaut wurde. Ich mein, woher weiß der Admin, das jemand eine Datei hat? Dazu müsste der ja wieder Zugriff auf die Zielmaschine haben. Wer so Daten abschnorchelt, ist doch nicht so doof de jemand anderem wieder zuzuspielen ("Checksumme ist gleich"). Oder reden wir hier von Werkssicherheitsdienstfestnahme und Beschlagnahme von Datenträgern? Sofern die das überhaupt dürften...
:
Bearbeitet durch User
Steffen H. schrieb: > Christian M. schrieb: > >> Also muss man sich auch auf den Ort >> konzentrieren, wo das Backup angelegt ist! > > Die Datei wurde vom Laptop "gestohlen", nicht vom Backup-Server. Und woher weisst Du das so genau? Komm, hören wir doch auf, um völlig utopische vom-Bildschirm-filmen und anderem hirnrissigen Quatsch herumzuspekulieren. Wir sind doch hier nicht bei Mission imposible! Der Typ hat die Datei sicher_ _nicht von Deinem Laptop runtergeholt! Die hat er vom Backup-Server geleecht oder von einem Deiner Kollega! Gruss Chregu
Also ich würde es wie folgt machen: - die Datei mit Python einlesen - eingelesene Daten in Blöcke von 1920x1080x3 Byte teilen - Blöcke als BMP speichern. Bei 100MB müssten etwa 17 Bilder entstehen. - die Bilder nacheinander auf einem über HDMI angeschlossenen Recorder anzeigen und aufzeichnen - die Bilder als BMP aus dem aufgezeichneten Video extrahieren - mit Python die BMP Header entfernen - alles wieder aneinander hängen Fertig. Soweit ich es verstanden habe, dürften dadurch keine Überwachungsmechanismen getriggert werden. Das dazugehörige Python Skript dürfte nur wenige Zeilen lang werden. Zur Not kann man die BMPs auch händisch mit einem HEX Editor erstellen. Wenn man in der Lage ist 4k Video aufzuzeichnen und die Daten zuvor komprimiert würden sogar 4 Einzelbilder genügen um die komplette Datei zu übertragen. Wichtig ist nur eine verlustfreie Aufzeichnung des Bilds oder eine gute Fehlerkorrektur.
FL schrieb: > Fertig. Soweit ich es verstanden habe, dürften dadurch keine > Überwachungsmechanismen getriggert werden. soweit so gut... - wer garantiert dir dass die Video Hardware das Bild Pixelgenau wiedergibt? - wer garantiert die dass der Bildschirm das Bild Pixelgenau darstellt? - die meisten Bildschirme die ich kenne lösen keine 24Bit auf dann weiter bei der Video Aufnahme - wer garantiert dir dass die Aufnahme HW keine dead Pixel hat? - welchen Aufwand willst du treiben um 24 Bit Pixeldaten genau aufzuzeichnen - .... Das ganze ist völliger Humbug. So geht das nicht. Das ist übrigens das gleiche Problem bei Audio. Ohne entsprechende Codierung der Eingangsdaten geht da nichts. Bei Video genau wie bei Audio fehlt immer ein Rückkanal zur Statusmeldung, weshalb die Daten aufwändig und fehlersicher (ECC) codiert werden müssen. Typisch für die alles kein Problem Fraktion
:
Bearbeitet durch User
Thomas Z. schrieb: > Bei Video genau wie bei Audio fehlt immer > ein Rückkanal zur Statusmeldung, weshalb die Daten aufwändig und > fehlersicher (ECC) codiert werden müssen. > Typisch für die alles kein Problem Fraktion Na und dein Kommentar ist typisch für die Fraktion "Zuwenig Hirnschmalz für Problemlösung komplexer als 1 + 1 = ?". Was ist an einer Fehlercodierung aufwendig?! Das bisserl XOR für CRC und ECC ist auch in Python 1,2,3 hingeschrieben. Wenn man das Polynom dafür nicht im Kopf hat, kann man es auch gerne vom Blatt tippen. https://newbedev.com/crc-ccitt-16-bit-python-manual-calculation
Thomas Z. schrieb: > - wer garantiert dir dass die Video Hardware das Bild Pixelgenau > wiedergibt? HDMI ist digital, das passt schon. Thomas Z. schrieb: > - wer garantiert die dass der Bildschirm das Bild Pixelgenau darstellt? > - die meisten Bildschirme die ich kenne lösen keine 24Bit auf > > dann weiter bei der Video Aufnahme > - wer garantiert dir dass die Aufnahme HW keine dead Pixel hat? > - welchen Aufwand willst du treiben um 24 Bit Pixeldaten genau > aufzuzeichnen > - .... Das ist alles irrelevant, Bildschirm und Video werden gar nicht gebraucht, da digitale HDMI-Aufnahme.
De-Archivator schrieb: > Na und dein Kommentar ist typisch für die Fraktion "Zuwenig Hirnschmalz > für Problemlösung komplexer als 1 + 1 = ?". > > Was ist an einer Fehlercodierung aufwendig?! Das bisserl XOR für CRC und > ECC ist auch in Python 1,2,3 hingeschrieben. Wenn man das Polynom dafür > nicht im Kopf hat, kann man es auch gerne vom Blatt tippen. > > https://newbedev.com/crc-ccitt-16-bit-python-manual-calculation CRC != ECC es hilft dir nichts wenn du erkennst dass der CRC nicht stimmt. Dann weist du nur dass dein Ergebnis falsch ist. 1+1=?
Knorre schrieb: > Das ist alles irrelevant, Bildschirm und Video werden gar nicht > gebraucht, da digitale HDMI-Aufnahme. j aber nur dann wenn alle involvierten Treiber auf dem win System die Daten Bitgenau weitergeben. Bei Audio ist bekannt dass es nicht so ist wegen kmixer.sys. Digital heist noch lange nicht bitgenau.
Thomas Z. schrieb: > CRC != ECC > es hilft dir nichts wenn du erkennst dass der CRC nicht stimmt. Dann > weist du nur dass dein Ergebnis falsch ist. 1+1=? Doch es ist hilfreich zu wissen, das es einen Fehler gab, dann startet man die Übertragung eben neu. Und die Berechnungsverfahren für CRC und ECC unterscheiden sich nicht prinzipiell, eine CRC kann auch als ECC Fehler berichtigen, wenn die Hamming-Distanz größer eins ist. Aber bei Dir reicht es offensichtlich grad so für 1+1 ... Beschäftige dich LAO erst mal mit den Grundlagen der Codierungstheorie, bevor du hier von 'aufwendig# trötest. https://www.google.de/books/edition/Fehlerkorrigierende_Block_Codierung_f%C3%BCr/GWGnBgAAQBAJ?hl=de&gbpv=1&dq=Hamming+distanz&printsec=frontcover > soweit so gut... >- wer garantiert dir dass die Video Hardware das Bild Pixelgenau wiedergibt? > - wer garantiert die dass der Bildschirm das Bild Pixelgenau darstellt? >- die meisten Bildschirme die ich kenne lösen keine 24Bit auf Wer zwingt Dich den den Kompletten Farbraum von 24bit zu vwerwenden? Es ist dir überlassen, das File in (Pixel-) Symbole mit weniger bit Auflösung zu encodieren. Siehe Stantard-QR-Codes, da wird nur 1 bit verwendet. Natürlich gibt es auch farbige QR-Codes. Und 1 Symbol kann auch mehr als 1x1 Pixel umfassen, beispielsweise 3x3. alles kein Problem mit ein paar zeilen python. Und python ist auf der fraglichen Maschine installiert.
De-Archivator schrieb: > Beschäftige dich LAO erst mal mit den Grundlagen der Codierungstheorie, > bevor du hier von 'aufwendig# trötest. ob mit oder ohne Codierungstheorie zeig doch einfach mal ein Programm was ohne externe Python libs auskommt und sagen wir mal 1 MB codiert. Ob Video oder Audio kannst du dir raussuchen. Da ist nichts mit deinen paar Zeilen. Die Sache mit den QR codes gilt allerdings nicht wird aber vermutlich auch nicht ohne ext lib gehen. Zur Erinnerung das ganze muss in 4 Tagen über die Bühne gehen inc tippen und debuggen des Scripts. Es gibt ja keinen Weg fertige Scripte unbemerkt auf den Laptop zu bekommen, und wenn doch gibts viel einfachere Verfahren die Daten zu übertragen.
Also wenn ich die Aufgabe hätte, in vier Tagen 100 MB von einem Rechner auszulesen, aus dem ich weder Drucker, Bluetooth, LAN nutzen dürfte und auch keine Tastatur anstöpseln dürfte, hätte ich mir auf einem billigen BluepillBoard eine Maus programmiert. Sinnvollerweise mit den USB IDs der mitgelieferten, dann fällt das nicht auf. Dann kann ich über die Bildschirmtastatur jedes Programm, das ich brauche, über die Powershell "eintippen". Dann haben wir den Kanal in eine Richtung. Für die Rück-Richtung würde ich wahrscheinlich die Caps-Lock-LED nutzen. Die kann man eh für nichts Anderes brauchen. Oder in der Konsole seitenweise ausgeben und abfilmen mit more oder type. Vielleicht sicherheitshalber mit 7plus oder einem anderen 8-zu-7-Bit-Encoder behandeln.
:
Bearbeitet durch User
Walter T. schrieb: > hätte ich mir auf einem billigen > BluepillBoard eine Maus programmiert. Sinnvollerweise mit den USB IDs > der mitgelieferten, dann fällt das nicht auf. Nur blöd, wenn der Laptop keine braucht.
FL schrieb: > Also ich würde es wie folgt machen: > > - die Datei mit Python einlesen > - eingelesene Daten in Blöcke von 1920x1080x3 Byte teilen > - Blöcke als BMP speichern. Bei 100MB müssten etwa 17 Bilder entstehen. > - die Bilder nacheinander auf einem über HDMI angeschlossenen Recorder > anzeigen und aufzeichnen > - die Bilder als BMP aus dem aufgezeichneten Video extrahieren > - mit Python die BMP Header entfernen > - alles wieder aneinander hängen > > Fertig. Soweit ich es verstanden habe, dürften dadurch keine > Überwachungsmechanismen getriggert werden. Das dürfte so nicht funktionieren. Beachte bitte, dass dein Videorecorder sehr wahrscheinlich eine verlustbehaftete Kompression verwendet. Du musst also künstlich große Pixel in deine 1920x1080 Auflösung machen, wobei dann jedes Pixel für einen bestimmten Wert gilt. Wenn man da Farben dazu nimmt, kann man also pro künstlichem Pixel mehr Daten speichern. Den großen Pixel wird die verlustbehaftete Kompression dann definitiv nicht mehr wegoptimieren. Aber das sagte ich schon oben im Thread, dass man große Pixel machen muss. > Wichtig ist nur eine verlustfreie Aufzeichnung des Bilds > oder eine gute Fehlerkorrektur. Eben. Deswegen anderer Ansatz wählen und künstliche Pixel machen. Sagen wir mal 8x8 echte Pixel = 1 großer Pixel. JPEG verwendet nämlich bsw. 8x8 große Blöcke, daran kann man sich orientieren. Zwar werden neue Kompressionsformate eine Waveletkomprimierung verwenden, aber wenn man JPEG abdeckt, dann wird's mit denen nur besser.
Thomas Z. schrieb: > Zur Erinnerung das ganze muss in 4 Tagen über die Bühne gehen inc tippen > und debuggen des Scripts. Es gibt ja keinen Weg fertige Scripte > unbemerkt auf den Laptop zu bekommen, und wenn doch gibts viel > einfachere Verfahren die Daten zu übertragen. Es gäbe die Möglichkeit, dass der Hacker sich vorher vorbereitet. Also die Python Anwendung vorher auf seinem Rechner entwickelt und ausgiebig testet. Dann muss er den Code nur noch abtippen, wenn er das Laptop bekommt. Wenn er es darauf abgesehen oder erwartet hat, dass er in ein paar Tagen einen Laptop mit Daten drauf kriegt, dann wäre das ne Möglichkeit. Eventuell hat er sich so etwas für den Fall der Fälle erstellt, falls er öfters solche Gelegenheiten hat.
Steffen H. schrieb: > Der Angreifer ist max. leidenschaftlicher Hacker. Gegen mehr brauche ich > mich nicht schützen. Analyse des TPM Datenverkehrs (Danke für den Link!) > oder Van-Eck Phreaking (spannendes Thema) bleiben daher irrelevant. Wie kam es eigentlich dazu, dass er von euch ein Laptop mit sensiblen Daten übers Wochenende ausgeliehen bekam und warum? Ist das vielleicht so ne Art beauftragter Sicherheitspenetration Test mit dem Auftrag, dass er dir vom Laptop Daten stehlen soll, ohne das du es bemerkst um deine Einstellungen, ob du dein Laptop wirklich sicher kriegst zu testen. Und du hast jetzt gedacht, es wäre sicher und er hat die Daten trotzdem bekommen und jetzt steht du mit heruntergelassenen Hosen da und willst wissen, wie er es gemacht hat? Falls ja, warum fragst du ihn nicht?
Steffen H. schrieb: > Nochmal die Frage: Ist das denn wirklich so einfach möglich? Die > Festplatte ist nicht mit dem TPM verheiratet, nein? Das TPM prüft also > nicht, ob die Festplatte getauscht wurde? Wenn die Festplatte als externe Platte an einem anderen System hängt kann das TPM nichts prüfen - wie auch.
(prx) A. K. schrieb: > Nur blöd, wenn der Laptop keine braucht. Wenn. Aber eine Maus ist bei den meisten Laptop-Nutzern ein absolutes Muss und schwer abgewöhnbar. Nebenbei: Das eingebaute Touchpad oder die eingebaute Tastatur sprechen oft PS/2. Das ist noch weniger Arbeit, als sich ins USB einzuarbeiten. Mist. Jetzt habe ich gerade Lust, einen alten Laptop aufzuschrauben und genau das auszuprobieren. Wahrscheinlich kommt man sogar noch leichter an den Folienleiter dran. Bei den meisten Thinkpads ist das eine Schraube. So kompliziert kann die Matrix ja nicht sein. Fancy Folienstecker. Müsste man eine Tastatur für opfern. Doch keine Lust mehr. Für jeden Hacker, der keine 30 Euro für eine Ersatz-Tastatur ausgeben will, ist dieser Angriffsweg also versperrt. Anderseits: Wenn man irgendwie 4 Tage totschlagen muss....
:
Bearbeitet durch User
Hugo H. schrieb: > Steffen H. schrieb: >> Nochmal die Frage: Ist das denn wirklich so einfach möglich? Die >> Festplatte ist nicht mit dem TPM verheiratet, nein? Das TPM prüft also >> nicht, ob die Festplatte getauscht wurde? > > Wenn die Festplatte als externe Platte an einem anderen System hängt > kann das TPM nichts prüfen - wie auch. Du hast ihn nicht verstanden. Tipp: 2 Platten, 1 Rechner
Sei doch bitte so vernünftig und mach ein Foto von dem Laptop.
Walter T. schrieb: > Nebenbei: Das eingebaute Touchpad oder die eingebaute Tastatur sprechen > oft PS/2. Das ist noch weniger Arbeit, als sich ins USB einzuarbeiten. Und auch, wenn kein CD vorhanden ist, können die PIN dafür als USB oder SATA vorhanden sein. Vielleicht ist es auch nur ein SD-Card Schacht, den der TO übersehen hat. Oder ein Erweiterungsschacht. Gibt es eigentlich RAM-Module, welche ihre Daten behalten? Alles sehr lustig.
Thomas Z. schrieb: > - wer garantiert dir dass die Video Hardware das Bild Pixelgenau > wiedergibt? > - wer garantiert die dass der Bildschirm das Bild Pixelgenau darstellt? > - die meisten Bildschirme die ich kenne lösen keine 24Bit auf > > dann weiter bei der Video Aufnahme > - wer garantiert dir dass die Aufnahme HW keine dead Pixel hat? > - welchen Aufwand willst du treiben um 24 Bit Pixeldaten genau > aufzuzeichnen > - .... > > Das ganze ist völliger Humbug. So geht das nicht. Klar, ganz so wie der Vorposter das machen will, gehts nicht ganz, aber wer sagt, daß ich die Daten in 24 Bit darstellen und aufzeichnen, oder es pixelgenau haben muß? Wenn ich je zwei Bit in die Farben "weiß", "rot", "grün" und "blau" kodiere und jeweils als 3x3 Pixel darstelle, dazu noch ein Feld für Synchronisierung und Kalibrierung... Natürlich, das erhöht die Anzahl an "Bildern" Deines Vorposters. Aber wenn man ein Video macht und dann mit dem Lage- und Synchronisierungssignal Frame für Frame mit zB. OpenCV analysiert und dekodiert, und dazu vielleicht ein Naive Bayes Classifier oder eine Fuzzy-Logik für ein bisschen Unschärfe in der Farberkennung -- da geht schon was. Sei mal ein bisschen kreativer... ;-)
Wenn ich lese Programmieradapter ... und dann die geklaute Datei noch zufällig das ist was über den Adapter beim programmieren geschickt wird, würde ich einfach das passende Programm aufrufen, auf die Taste "Progammiere" drücken und den Datenstrom am Adapter mitschneiden ... Und da mir der Laptop dafür geliehen wurde, ist der Log nicht auffällig.
Sheeva P. schrieb: > da geht schon was. Sei mal ein bisschen > kreativer... ;-) einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel kommt. Ich verstehe halt die Leute nicht, die das alles mit einem 3 Zeiler mal so eben schnell den Encoder runterprogramieren. Nach dem Moto das mach ich schnell mal in einer halben Stunde ist ja kein Problem.
Thomas Z. schrieb: > Sheeva P. schrieb: >> da geht schon was. Sei mal ein bisschen >> kreativer... ;-) > > einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel > kommt. > Ich verstehe halt die Leute nicht, die das alles mit einem 3 Zeiler mal > so eben schnell den Encoder runterprogramieren. Nach dem Moto das mach > ich schnell mal in einer halben Stunde ist ja kein Problem. So etwas ergibt keinen Encoder. Du machst den Denkfehler weil du glaubst, dass du ein Video auf dem Endgerät erstellen müsstest und dafür einen Encoder programmieren müsstest. Tatsache ist aber, dass du nur ein grafisches Fenster, idealerweise im Vollbildmodus, generieren musst und in dem musst du dann der Reihe nach ein paar Bilder anzeigen musst, die aus den Daten der 100 MB Datei gespeist werden. Das ist jetzt nicht so schwer zu programmieren. Auch die Fehlerkorrektur ist machbar. Der Encoder ist ganz woanders, nämlich auf der anderen Seite im HDMI Recorder. Den musst du aber nicht programmieren, der ist schon da. Ebenso wird es dort Decoder geben, die dir aus dem Videostream Bitmapbilder machen. Und aus denen musst du dann nur noch die Daten extrahieren. Gegebenenfalls musst du noch vorher nen Scharfzeichner, Rauschentferner usw. drüberlaufen lassen, aber das gibt's schon alles fertig.
Nano schrieb: >> einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel >> kommt. Siehste... ;-) >> Ich verstehe halt die Leute nicht, die das alles mit einem 3 Zeiler mal >> so eben schnell den Encoder runterprogramieren. Nach dem Moto das mach >> ich schnell mal in einer halben Stunde ist ja kein Problem. Naja, der Denkansatz stimmt schon, da muß man nur noch ein bisschen Gehirn hineinstecken. Dein Vorposter wird -- wenn er keine hohle Frucht ist -- bei wenigen Bytes Übertragung schon merken, daß da irgendwas nicht stimmt, und er eine gewisse... Unschärfe braucht. > Du machst den Denkfehler weil du glaubst, dass du ein Video auf dem > Endgerät erstellen müsstest und dafür einen Encoder programmieren > müsstest. > > Tatsache ist aber, dass du nur ein grafisches Fenster, idealerweise im > Vollbildmodus, generieren musst und in dem musst du dann der Reihe nach > ein paar Bilder anzeigen musst, die aus den Daten der 100 MB Datei > gespeist werden. Es reicht doch ein Video. OpenCV kann ein Video prima in ein numpy.ndarray zerlegen, danach einen trainierten Classifier oder meinetwegen eine Fuzzy-Logik...
Mal eine andere Frage : Wie sieht denn der Laptop aus ? Ist der aufschraubbar oder hat der sogar eine Klappe, wo man die Festplatte und das RAM rausnehmen kann ? Ich hatte mal so einen, bei dem man mit einer Schraube einen Kunststoffdeckel abnehmen konnte und somit an die Festplatte und das RAM kommen konnte. War zum Auswechseln für größere Platte oder RAM gedacht. Auch hatte ich vom großen "C" einen Festplattenadapter zu USB, sogar mit eigener Stromversorgung. Damit konnte man die Festplatte als USB-Laufwerk auf einem anderen PC sehen und bearbeiten (Kopieren usw.). Da bekäme der original Laptop gar nichts mit, weil er erst gar nicht eingeschaltet werden muß und der Hacker kann seine Datei in Ruhe kopieren. Mit seinem PC hat er nun alle Zeit der Welt, um die Datei zu lesen bzw. zu knacken.
:
Bearbeitet durch User
Nano schrieb: > Deswegen anderer Ansatz wählen und künstliche Pixel machen. > Sagen wir mal 8x8 echte Pixel = 1 großer Pixel. > > JPEG verwendet nämlich bsw. 8x8 große Blöcke, daran kann man sich > orientieren. Njein, schau dir einfach mal ein JPEG-bild an. Ist da alles aus 8x8 Blöcken zusammengesetzt? Doch wohl eher nicht. das geht Helligkeitsabhjängig schon bis auf Einzelpixel runter. JPEG fasst vornehmlich Pixel nahezu gleicher Farbwerte zu Blöcken zusammen. Also muß die Binärdate vor dem Senden so umkdiert werden, das es zwischen benachtbarten Pixel zu einem deutlichen Signalwechsel kommt, also es zu keinen langen strom gleicher Werte kommt - das ist in der Nachrichtentechnik ein alter Hut, macht man beispielsweise bei der Manchester Codierung. Nebenbei hat man den Vorteil der Taktrückgewinnung. https://de.wikipedia.org/wiki/Differentieller_Manchester-Code Und ferner muß beim Abfilmen daran gedacht werden, das es nicht nur die Pixel am Monitor gibt, sondern auch die in der Kamera. Und es sind die Kamerapixel die JPEG usammenfasst. Und davon haben heutige Kameras deutlich mehr als ein Monitor (ca. 2MP), beim Galaxy A7 bspw 24 MP, also zwölfmal mehr. Deshalb sollte 3x3 Monitorpixel genügen. Bildschirmen füllende Bilder sind eher ungünstig (Abschattungen durch die Einfassungen) und es brauchr auch Passermarken (möglichst an den Kanten) für die Korrektur der Aufnahmeverzehrungen, also sollte man schon einen Pixelrand bspw Gray encodiert wie bei Nivelierlatten vorsehen. Bsp:https://leica-geosystems.com/-/media/images/leicageosystems/products/uncategorized-products/accessories_dna_levelling_staffs_pic_2360x714.ashx?h=714&la=de-DE&w=2360&hash=FDEF54C40DC1AE3C5E2627B2D567E845
Heinz B. schrieb: > Mit seinem PC hat er nun alle Zeit der > Welt, um die Datei zu lesen bzw. zu knacken. Das geht nicht so einfach, die Platte ist verschlüsselt, und zwar mit einem Key den der TPM-Chip auf dem Mainboard nach Passworteingabe freigibt. d.H. entweder (ganz ganz oben mehrfach verlinkt) Logic-Analyzer an den SPI-Bus und den Datenstrom vom TPM-Chip mitlesen um an die Key-Bits zu kommen, oder das ganze muss "in vivo" erfolgen, also Platte bleibt im Laptop. Ok, mit "aller Zeit der Welt" könnte das auch extern mit Ausprobieren gehen. AES256 hat ja nicht soooo viele Kombinationen. Mit 4 Tagen eher nicht.
:
Bearbeitet durch User
Thomas Z. schrieb: > De-Archivator schrieb: >> Beschäftige dich LAO erst mal mit den Grundlagen der Codierungstheorie, >> bevor du hier von 'aufwendig# trötest. > > ob mit oder ohne Codierungstheorie zeig doch einfach mal ein Programm > was ohne externe Python libs auskommt und sagen wir mal 1 MB codiert. Also da wurden doch genüg Code-beispiele verlinkt, sogar in python, da brauchste nur die Zeilen zu zählen?!. Mehr als ein paar Bitoperation ist ECC nicht, die Algorithmen wurde gerade auf einfache Implementierung optimiert so das man das auch mit der Consumer-Technik der 80er (74 TTL, 8bit controller ) realisieren kann. Bspw. CD-rom, die kann Fehler wie Löcher auf die Scheibe in mm-Größe korrigieren und Kompensieren, dank scrambling und Reed-Solomon. Du kannst ja mal als Fingerübung die parity-codierung von RS232 nachprogrammiern, das ist simples Zählen' von '1'.
Εrnst B. schrieb: > Das geht nicht so einfach, die Platte ist verschlüsselt, und zwar mit > einem Key den der TPM-Chip auf dem Mainboard nach Passworteingabe > freigibt. Ich denke, wenn da genug kriminelle Energie dahinter steckt, schafft der auch das. Ich denke da z.B. an die Kripo, die mit Spezialisten Festplatten mit sexuellen Inhalten mit speziellen Tools knacken und somit Beweise sichern. Solche Tools bekommt man auch bestimmt über einschlägige Seiten im Netz. Ansonsten hätten die "bösen Buben" ja leichtes Spiel, wenn sie ihre Platte(n) derart verschlüsseln. Die Kripo käme nie an die Videos bzw. Bilder ran und hätten somit keine Beweise.
Thomas Z. schrieb: > Ich verstehe halt die Leute nicht, die das alles mit einem 3 Zeiler mal > so eben schnell den Encoder runterprogramieren. Nach dem Moto das mach > ich schnell mal in einer halben Stunde ist ja kein Problem. Ohne es getestet zu haben würde ich behaupten, dass man max 20 Zeilen braucht um in Python eine Datei einzulesen, in Blöcke beliebiger Größe zu teilen, mit dem BMP Header (der übrigens bei jedem Bild gleich sein kann) zu versehen und dann das fertige BMP File zu speichern. Wenn man Kodierung und Fehlerkorrektur berücksichtigt kommen noch ein paar Zeilen hinzu. Anzeigen kann man das ganze dann mit einem beliebigen Programm zur Bildanzeige oder dem Webbrowser. Testweise habe ich sogar mal eben ein 1920x1080 BMP mit Paint erstellt. Das dann mit einem HEX Editor geöffnet und ein ebenfalls mit dem HEX Editor geöffnetes PDF in den Datenblock des BMP kopiert. Ergebnis ist ein Bild, dass an Bildrauschen eines analogen TV Signals erinnert, nur eben in Farbe. Leider habe ich keine HDMI Recorder Hardware zur Hand um die Übertragung zu testen. Nano schrieb: > Das dürfte so nicht funktionieren. > Beachte bitte, dass dein Videorecorder sehr wahrscheinlich eine > verlustbehaftete Kompression verwendet. Berechtigter Einwand. Ich muss zugeben, dass ich keine Ahnung von Videokompression habe. Die genannte Auflösung habe ich nur als Rechenbeispiel genommen, kleinere Auflösung wären naturlich auch möglich. Mit geeigneter Hardware auf der Empfängerseite wäre Kompression jedoch nicht mal nötig. Mit einem FPGA mit HDMI Input könnten man sicher problemlos (entsprechendes Fachwissen über HDMI und FPGA vorrausgesetz) Einzelbilder extrahieren und verlustfrei speichern. Bei 30fps hätte man sicher auch genug Frames vom gleichen BMP um fehlerhafte Bereich wenigstens erkennen zu können. Fpgakuechle K. schrieb: > Und ferner muß beim Abfilmen daran gedacht werden, das es nicht nur die > Pixel am Monitor gibt, sondern auch die in der Kamera. Und es sind die > Kamerapixel die JPEG usammenfasst. Und davon haben heutige Kameras > deutlich mehr als ein Monitor (ca. 2MP), beim Galaxy A7 bspw 24 MP, also > zwölfmal mehr. Deshalb sollte 3x3 Monitorpixel genügen. Anstatt abzufilmen kann man das Smartphone doch direkt per HDMI anschließen: https://hackaday.com/2020/07/18/an-hdmi-monitor-from-your-phone/ Dadurch hat man keine Abschattung, keine Verzerrung usw.
Nano schrieb: > Aber das sagte ich schon oben im Thread, dass man große Pixel machen > muss. Außerdem sollte man sich von der Idee verabschieden, videotypische Frameraten verwenden zu können. Videosignale sind darauf optimiert, Folgen von Bildern zu übertragen, die einander ähnlich sind ind sich nur in Details unterscheiden. Auch innerhalb der jeweiligen Bilder stehen die Pixel in einem Zusammenhang zu den jeweiligen Nachbarpixeln. Daher werden bevorzugt Verfahren eingesetzt, die die zu bewältigende Datenmenge drastisch eindampfen, indem nach Möglichkeit lediglich Differenzsignale verwendet werden Die "Bilder", um die es hier geht, sind aber voneinander und auch intern völlig stochastisch; hierdurch entspricht die Bildfolge eher einer Diashow oder einer Folge harter Schnitte mit der Darstellung von Bildrauschen als einem Video. Was das Kompressionsverfahren des eingesetzten Systems damit anstellt, muss vorher hinreichend gründlich überprüft werden. Die anfallende Datenmege dürfte auf jeden Fall deutlichch höher sein als bei den von Video bekannten "bewegten Bildern".
Heinz B. schrieb: > Ich denke, wenn da genug kriminelle Energie dahinter steckt, > schafft der auch das. [...] Solche Tools > bekommt man auch bestimmt über einschlägige Seiten im Netz. Selbst wenn es außerhalb der NSA Tools gäbe, um 128-Bit AES zu knacken: Warum sollte er das tun? Er hat das Passwort, und kann die Platte ganz "legal" entschlüsseln. Nur eben nicht "einfach so" wenn die außerhalb des Notebooks in einem USB-Adapter steckt. Heinz B. schrieb: > Ansonsten hätten die "bösen Buben" ja leichtes Spiel, wenn sie > ihre Platte(n) derart verschlüsseln. Die Kripo käme nie an die > Videos bzw. Bilder ran und hätten somit keine Beweise. Du kennst die neuesten "Verbesserungen" der Strafprozessordnung (u.a. §70) noch nicht, Seehofer hat ganze Arbeit geleistet... Wenn du das Passwort zum Festplattenentschlüsseln nicht rausgibst, setzt's erstmal schicke 6 Monate Erzwingungshaft, und wenn du die durchhältst musst anschließend alle Kosten, die durch deine Weigerung entstanden sind, tragen. d.H. wenn die Staatsanwaltschaft auf die Idee kommt, einen 100 Mio € teuren Supercomputer zu bauen, um damit dein Passwort auszuprobieren, geht das auf deine Kappe. Auch wenn auf der Festplatte anschließend nix zu finden war.
Εrnst B. schrieb: > Du kennst die neuesten "Verbesserungen" der Strafprozessordnung (u.a. > §70) noch nicht, Seehofer hat ganze Arbeit geleistet... Magst Du Dich vielleicht gelegentlich mit der unterschiedlichen Situation von Zeugen und Beschuldigten vertraut machen?
Sheeva P. schrieb: >>> einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel >>> kommt. Na also. Dann hast du jetzt etwas gelernt. > Nano schrieb: >> Du machst den Denkfehler weil du glaubst, dass du ein Video auf dem >> Endgerät erstellen müsstest und dafür einen Encoder programmieren >> müsstest. >> >> Tatsache ist aber, dass du nur ein grafisches Fenster, idealerweise im >> Vollbildmodus, generieren musst und in dem musst du dann der Reihe nach >> ein paar Bilder anzeigen musst, die aus den Daten der 100 MB Datei >> gespeist werden. > > Es reicht doch ein Video. OpenCV kann ein Video prima in ein > numpy.ndarray zerlegen, danach einen trainierten Classifier oder > meinetwegen eine Fuzzy-Logik... Und wie bitteschön willst du OpenCV auf das Laptop kriegen, wenn da alles verbarrikadiert ist? Das Problem ist doch hier, dass er nur das nutzen kann, was auf dem Laptop schon drauf ist und vom Admin installiert wurde. Also z.B. Python.
Percy N. schrieb: > Magst Du Dich vielleicht gelegentlich mit der unterschiedlichen > Situation von Zeugen und Beschuldigten vertraut machen? Du meinst, weil die Person mit den Bildern auf der Festplatte Zeuge eines (auf eben diesen Bildern dokumentierten) Verbrechens war?
Εrnst B. schrieb: > Percy N. schrieb: > >> Magst Du Dich vielleicht gelegentlich mit der unterschiedlichen >> Situation von Zeugen und Beschuldigten vertraut machen? > > Du meinst, weil die Person mit den Bildern auf der Festplatte Zeuge > eines (auf eben diesen Bildern dokumentierten) Verbrechens war? Nein, ich will darauf hinaus, dass Zwangsmittel und Kostenpberwälzung nicht den Beschuldigten treffen, sondern ausschließlich den Zeugen. Vgl hierzu auchc§ 51 StPO. So richtig neu ist das aber nicht. Zudem geht es bei den Kosten auch nicht darum, die Aufwendungen für anderweitige Beweiserhebung abzudecken, sondern um die frustrierten Aufwendungen zB für einen anberaumten Sitzungstag. Letzteres kann bei einem Verfahren gegen mehrere verteidigte Beschuldigte aber auch ganz nett ins Geld gehen. Nur trifft all das nicht den Beschuldigten. Im Gegenteil: Im Falle seiner Verurteilung müsste er auch die Kosten des Verfahrens tragen. Da wäre es ungerecht, wenn er auch diejenigen Kosten zu tragen hätte, die allein durch die Unbotmäßigkeit eines Zeugen entstanden sind. §§ 51 und 70 StPO verschieben daher die Kostenlast auf den Verursacher.
Fpgakuechle K. schrieb: > Nano schrieb: > >> Deswegen anderer Ansatz wählen und künstliche Pixel machen. >> Sagen wir mal 8x8 echte Pixel = 1 großer Pixel. >> >> JPEG verwendet nämlich bsw. 8x8 große Blöcke, daran kann man sich >> orientieren. > > Njein, schau dir einfach mal ein JPEG-bild an. Ist da alles aus 8x8 > Blöcken zusammengesetzt? Doch wohl eher nicht. das geht > Helligkeitsabhjängig schon bis auf Einzelpixel runter. JPEG ist blockoriertiert und diese Blöcke sind bei JPEG 8x8 Pixel groß. Alles was innerhalb dieser Blöcke liegt hat bei verlustbehafteter Kompression definitiv Verluste hinzunehmen. Bei 8x8 großen Blöcken, die dazu noch einfarbig sind, wird dir da also kaum noch etwas wegoptimiert und dieses Ziel sollte erreicht werden. > JPEG fasst > vornehmlich Pixel nahezu gleicher Farbwerte zu Blöcken zusammen. Die Blöcke werden nicht frei plaziert im Image verteilt, sondern das fängt oben in einer Ecke an und geht dann es mit weiteren Blöcken über die ganze Zeile und dann geht es einen Block darunter nach dem gleichen Prinzip weiter bis irgendwann das untere gegenüberliegende Eck im Bild erreicht wurde. Die Blöcke sind also gleichmäßig. Da wird nicht selektiv nach einer gleichen Farbfläche gesucht und dann ein Block drum rum gemacht, wie du es behauptest. > Und ferner muß beim Abfilmen daran gedacht werden, das es nicht nur die > Pixel am Monitor gibt, sondern auch die in der Kamera. Man filmt nicht ab. Man schließt den HDMI Rekorder an den HDMI ausgang an und speist das Signal direkt in den Rekorder ein. So umgeht man Verluste aus der Realwelt. > Bildschirmen füllende Bilder sind eher ungünstig (Abschattungen durch > die Einfassungen) Nicht beim direkt übertragen. Da sind sie von Vorteil, weil du dann gleich weißt, wo du mit dem Auslesen der Daten anfangen musst. Hättest du nur ein Fenster, dann müsstest du beim Auswerten darauf achten, den Desktophintergrund und die Taskleiste zu ignorieren. Das ist ein Mehraufwand, den man vermeiden kann, in dem man die Daten im rahmenlosen Vollbildmodus darstellt, wo dann auch nichts mehr stört. > und es brauchr auch Passermarken (möglichst an den > Kanten) für die Korrektur der Aufnahmeverzehrungen, Du brauchst lediglich an jedem Zeilenende ein paar Blöcke für die Fehlererkennung und Fehlerkorrektur. Da es sehr einfach sein soll, würde ich das folgendermaßen machen. Es bietet sich an, pro Block 16 Farben zu verwenden, so wie man es früher bei EGA hatte. Dadurch hat man eine klare und ausreichende Abgrenzung der Farben. Diese 16 Farben stellen 2^4 Bit da. Und das macht sie so elegant. Denn dadurch braucht man nur 2 Blöcke um 1 Byte aus dem Datenstrom der zu übertragenden Datei darzustellen. 1 Byte hat Binär 8 stellen. Z.B. 01010011 und aufgeteilt auf 2^4 Bit sind das also 0101 und 0011. Beide vierstelligen Werte geben genau einen Farbwert aus dem EGA Farbraum aus. Wobei man den natürlich auch gezielt auswählen könnte. Da die Blöcke 8x8 Pixel groß werden sollen, sind das also 1920/8 = 240 Blöcke in der horizontalen Richtung und 135 Blöcke in der vertikalen Richtung. Bei einem FullHD Bild macht das also insgesamt 240x135 Blöcke = 32400 Blöcke Und da ich pro Byte 2 Blöcke brauche, sind das somit 32400/2 = 16200 Bytes die ich pro Bild so übertragen könnte. Wenn wir die 100 MB mit den Bordmitteln von Windows packen, also via Zip sind die Daten, wie der TS sagte irgendwas um die 70 MB groß. Gehen wir davon aus, dass wir noch ca. 20 % zusätzlich für die Fehlerkorrektur brauchen, dann sind das 70 MB * 1.2 = ca. 84 MB Das ganze macht dann somit: (84 MB * 1024^2 ) 16200 Bytes = 5437,07 = 5438 Bilder Da die typischen Videocodecs mit 24 bis 60 frames/s arbeiten kann ich das so machen, dass ich auf Nummer sicher gehe und alle 1/10 s das Bild ändere und zum nächsten Bild umschalte. Außerdem muss das nächste Bild ja aus dem Datenstrom berechnet werden, während das andere angezeigt wird. Es macht hier also Sinn, einen Doublebuffer zu verwenden, den man dann einfach hin und herschaltet, sobald er fertig ist. Ich gehe jetzt mal einfach davon aus, dass das Berechnen in 1/10 s geht, wenn nicht, dann muss man halt die Framerate weiter reduzieren. Auf jedenfall wäre das somit in (5438 Bilder / 10 s)/60 s = 9,063 min erledigt. Die Software ist so sehr einfach zu implementieren und die 10 min nicht die Welt. Klar könnte man pro Block durch mehr Farben noch mehr Informationen unterbringen, aber das macht den ganzen Algorithmus dann nur unnötig komplex und wenn man in 10 min so die Daten hat, dann reicht das völlig.
Nano schrieb: > Auf jedenfall wäre das somit in > (5438 Bilder / 10 s)/60 s = 9,063 min erledigt. Korrektur, es muss natürlich (5438 Bilder / 10 fps/s) / 60 s = 9,063 min heißen. Also 10 Bilder pro Sekunde. Und noch etwas. Falls auf dem Rechner andere Packer vorinstalliert sein sollte. Z.B. 7z oder RAR, dann könnte man ein Kompressionsformat verwenden, das die Fehlerkorrektur gleich schon mitliefert. Das spart dann noch einmal deutlich an Aufwand. ZIP bietet meines Wissens nach nur eine Fehlererkennung und kann nur ein einzelnes Bit korrigieren, sobald mehr Bits kaputt sind, reicht hier ZIP nicht mehr. Aber RAR kann hier deutlich mehr. Es bietet eine zum Reed-Solomon Code vergleichbare Fehlerkorrektur. Bei 7z bin ich mir momentan nicht sicher, aber ich glaube, man kann die da dazuschalten. Auf jeden Fall würde so ein Packer erheblich den Aufwand reduzieren. Dann muss man nur noch die Rohdaten übertragen. So ein Algorithmus, wie ich in meinem vorherigen Kommentar beschrieben habe, ist sicherlich in unter 2000 Zeilen programmierbar. Wahrscheinlich braucht man noch viel weniger.
Nano schrieb: > Beide vierstelligen Werte geben genau einen > Farbwert aus dem EGA Farbraum aus. Korrektur. Ich meine natürlich, dass beide vierstelligen Werte jeweils genau einen Farbwert aus dem EGA Farbraum darstellen. Also pro 4 Bit = 1 Farbe und 1 Block entspricht diesen 4 Bit.
Εrnst B. schrieb: > Selbst wenn es außerhalb der NSA Tools gäbe, um 128-Bit AES zu knacken: > Warum sollte er das tun? Er hat das Passwort, und kann die Platte ganz > "legal" entschlüsseln. Dann würde ja auch bestimmt dokumentiert werden, was und wer alles auf dem Laptop tut.
Steffen H. schrieb: >> Wie lange nach der Rückgabe sind denn die Dateiinhalte aufgetaucht? > > 2,5 Tage (Freitagabend war Rückgabe, Montagmorgen war klar, dass er die > Datei hat). Also ist derjenige am Montag morgen zu Dir hingekommen und hat Dir brav gebeichtet das er die Daten hat oder wie soll man das verstehen. Oder suchst Du jeden Montag morgen erst einmal nach geleakten Daten? Ich konnte den Namen Deiner Überwachungssoftware nicht finden, nur das du sagt das die frage bereits gestellt wurde. Wie sollte die Software z.B: ein Bitbang auf irgendwelchen vorhandene (pseudo-deaktiviern Ports) erkennen? Im Zweifel kann man Daten seriell durch einen Blinkenden Pixelblock auf dem Bildschirm senden und als Rückkannal zur Übertragungskontrolle einen "Maustastendruck" (draht an taster gelötet) verwenden. Die Fragen rund um den Programmieradapter stehen auch noch im Raum. Wie erkennt die Software was/wieviel dort übertragen wird. Wie auch immer, ich glaube immer an den einfachsten weg und der ist einfach: 1. die Tatsache das du es nicht gemerkt hast oder der Schutz nicht aktiv war- persönliches Versagen. 2. die Software hat eine Lücke oder wurde umgangen in dem ein Übertragungsweg genommen wurde der nicht aufgefallen ist. z.B: http request per webupload, text-Transper per uralt telnet oder so. 3. Du bist ein Troll oder versucht gerade selbst die Daten zu stehlen 4. Du überschätzt Deine Fähigkeiten zum verstehen der vorliegenden Logdaten und Komplexität Auch wenn die Fragestellung sehr interessant ist weil man sich geistig austoben kann, ich glaube das hier ist alles nur fake.
@TS Windows bietet mit Bordmitteln die Möglichkeit alle Prozesse, die gestartet wurden mit Datum, Zeit und Dauer, vielleicht auch noch mit Prüfsummen der EXE, aufzuzeichnen. Warum hast du diese Funktion nicht eingeschaltet? Und falls doch, dann müsstest du in den Evenanzeige ja sehen können, ob der Hacker irgendwas gestartet hat, was dubios erscheint. Problematisch könnte höchstens sein, wenn er Python als Interpreter benutzt hat. Da dürfte man dann, wenn ich mich nicht irre, nur Python in der Prozesseventanzeige sehen, nicht aber, was für ein Code da lief. Das gleiche dürfte für ein Javascript Programm in einer Browserumgebung gelten. Bei .NET bin ich mir nicht sicher. Die werden glaube ich aufgezeichnet.
Gtx F. schrieb: > Wie auch immer, ich glaube immer an den einfachsten weg und der ist > einfach: 0. Kein system ist sicher sobald man physischen Zugriff darauf hat. Deshalb ist ja die oberste Direktive beim Geheimnisschutz, keine Geheimnisse enstehen zu lassen. Und wenn, dann nur den absolut notwendigen Kreis darauf Zugriff resp. Nähe gewähren -> 'Need to know' Prinzip https://de.wikipedia.org/wiki/Need-to-know-Prinzip > Auch wenn die Fragestellung sehr interessant ist weil man sich geistig austoben kann, ACK > 3. Du ... versucht gerade selbst die Daten zu stehlen Vermute ich ebenfalls. Deshalb könnte man diesen Thread auch als 'Beihilfe zu einer Straftat' bewerten. Aber darauf (§27 StGB) wies ich bereits hin: Beitrag "Re: Datenübertragung ohne Schnittstellen"
De-Archivator schrieb: > Deshalb könnte man diesen Thread auch als 'Beihilfe zu einer Straftat' > bewerten. Der TO hat sich zumindest angemeldet und kommuniziert nicht als Gast. Lasst Mal die Kirche im Dorf. Ich kann bisher alles von ihm nachvollziehen. Auch ich hab schon externe Mitarbeiter benötigt, die ein Notebook als Arbeitsgerät bekommen haben. Zwar arbeitet man mit entsprechenden Verträgen und Geheimhaltungsvereinbarungen, aber letztlich ist Vertrauen gut, Kontrolle aber auch hilfreich.
BeBe schrieb: > Ich kann bisher alles von ihm nachvollziehen. Ich nicht. Steffen H. schrieb: > Achim H. schrieb: > >> Wie lange nach der Rückgabe sind denn die Dateiinhalte aufgetaucht? > > 2,5 Tage (Freitagabend war Rückgabe, Montagmorgen war klar, dass er die > Datei hat). > Achim H. schrieb: > >> Ist sichergestellt, dass die Daten wirklich nur vom Laptop stammen >> können, und nicht aus einer anderen Quelle? > > Nein, aber das untersuche ich getrennt. Hier ist die Geschichte eigentlich zunächst zu Ende. Aber es stellt sich zumindest die Frage, wer alles wusste, dass 1. der Laptop außer Haus gegeben wurde 2. dieser Laptop die fragliche Datei enthielt. Doch auch dann bleibt im Dunkeln, worauf sichcdue Erkenntnis stützen soll, dass "er" die Datei hat.
BeBe schrieb: > Der TO hat sich zumindest angemeldet und kommuniziert nicht als Gast. Nein, der erste Artikel in diesem Thread wurde nicht von einem angemeldeten User geschrieben.
De-Archivator schrieb: > BeBe schrieb: > >> Der TO hat sich zumindest angemeldet und kommuniziert nicht als Gast. > > Nein, der erste Artikel in diesem Thread wurde nicht von einem > angemeldeten User geschrieben. Das trifft insbesondere auch auf einige Beiträge unter Deinem Nick zu, wer auch immer die verfasst haben nag.
Percy N. schrieb: > Doch auch dann bleibt im Dunkeln, worauf sichcdue Erkenntnis stützen > soll, dass "er" die Datei hat. Das frage ich mich während der gesamten Laufzeit des Threads auch schon, also woher der TO überhaupt die Gewissheit nimmt, dass Daten in einer Größenordnung von 100 MB abgegriffen wurden. Ich meine, der "Beschuldigte" wird doch nicht damit geprahlt haben?
Rainer Z. schrieb: > Das frage ich mich während der gesamten Laufzeit des Threads auch schon, > also woher der TO überhaupt die Gewissheit nimmt, dass Daten in einer > Größenordnung von 100 MB abgegriffen wurden. Nach seinen bisherigen Bekundungen ist die komplette Datei an einer Stelle aufgetaucht, wo sie nicht hingehört; und sie scheint vollständig zu sein, da die Prüfsumme stimmen soll. So lange man nicht weiß, wo sie aufgetaucht ist, und woher man zu wissen glaubt, dass sie vorher außer Haus nicht verfügbar war, bleibt das hier ein heiteres Leakage-Raten. Für mich ist die Sache tot, so lange nicht zweifelsfrei feststeht, dass ausschließlich der Verdächtigte als Leaker in Frage kommt, obwohl es selbstverständlich nicht schaden kann, sich unanjängig davon Gedanken darüber zu machen, welche Gefahren bestehen, wenn man einen Laptop mit sensiblen Daten aus der Hand gibt.
:
Bearbeitet durch User
Nano schrieb: > Sheeva P. schrieb: >>>> einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel >>>> kommt. > > Na also. Dann hast du jetzt etwas gelernt. Da scheint einer von uns das mit dem Quoting verbaselt zu haben. Das Zitat ist von Thomas Z. aus diesem Beitrag: Beitrag "Re: Datenübertragung ohne Schnittstellen" ... und ich war nicht der, der etwas gelernt hat, sondern jener, der ihn darauf hingewiesen hat, daß das im Prinzip ganz ähnlich funktionieren könnte. Nano schrieb: > Sheeva P. schrieb: > >> Es reicht doch ein Video. OpenCV kann ein Video prima in ein >> numpy.ndarray zerlegen, danach einen trainierten Classifier oder >> meinetwegen eine Fuzzy-Logik... Das wiederum war dann tatsächlich von mir. ;-) > Und wie bitteschön willst du OpenCV auf das Laptop kriegen, wenn da > alles verbarrikadiert ist? Muß ich ja gar nicht, auf dem betreffenden Laptop muß ich das "Video" ja nur erstellen und anzeigen. Von einem zweiten Gerät (das natürlich keine solchen Restriktionen hat) aus filme ich das dann ab und analysiere es frameweise.
Sheeva P. schrieb: > Nano schrieb: >> Sheeva P. schrieb: >>>>> einverstanden. Mir ist auch klar dass man so oder ähnlich zum Ziel >>>>> kommt. >> >> Na also. Dann hast du jetzt etwas gelernt. > > Da scheint einer von uns das mit dem Quoting verbaselt zu haben. Dann solltest du lernen richtig zu zitieren.
Ich möchte gerne die letzten Fragen klären: Jens M. schrieb: > Interesehalber: würde die Überwachung eine Maus anmotzen/sperren? > Habe vor kurzem gelesen, das Windows 10 bei manchen Mäusen bzw. sogar > deren Funkempfänger netterweise einen Installer startet, damit das Ding > auch beim Einloggen schon funktioniert. Es wird überwacht, wie viel Daten an welches USB Gerät geleitet werden. Wenn ein Gerät der Kategorie "Human Interface Device" vom Typ Maus in kurzer Zeit 100 MB Daten erhält, wird eine Warnung generiert. Hans-Georg L. schrieb: > und dann die geklaute Datei noch zufällig das ist was über den Adapter > beim programmieren geschickt wird, würde ich einfach das passende > Programm aufrufen, auf die Taste "Progammiere" drücken und den > Datenstrom am Adapter mitschneiden ... Obiges gilt auch für den Programmieradapter. Wobei es es hier, mit passender Stückelung und vier Tagen Zeit, tatsächlich durchrutschen könnte. Nano schrieb: > Windows bietet mit Bordmitteln die Möglichkeit alle Prozesse, die > gestartet wurden mit Datum, Zeit und Dauer, vielleicht auch noch mit > Prüfsummen der EXE, aufzuzeichnen. Danke für den Hinweis!
Gtx F. schrieb: > Auch wenn die Fragestellung sehr interessant ist weil man sich geistig > austoben kann, ich glaube das hier ist alles nur fake. Im Mittelalter haben sie "Hexe" geschrieen und die Beschuldigte konnte lebend nie das Gegenteil beweisen. Die "Troll" Rufe scheinen eine moderne Variante von diesem Mechanismus zu sein. Die "Troll"-Rufenden mögen bitte hinzufügen, wie ich den Vorwurf praktikabel ausräumen soll.
Angehängte Dateien:
-
Unbenannt.png
432 Bytes
So wie es Homebanking Software macht - lässt sich extrem leicht als Video in C oder Python oder auch basic umsetzen. 9 Balken auf dem Bildschirm: 1 Balken als Timing und die restlichen 8 Balken als Datenbit. Dieses dann mit einer Webcam abfilmen und wieder umwandeln. Mit OpenCV auch kein Problem.
Steffen H. schrieb: > Die "Troll"-Rufenden mögen bitte hinzufügen, wie ich den Vorwurf > praktikabel ausräumen soll. Du hättest Dich eben nicht wie ein Troll verhalten: -schreiben mit mehreren accounts (angemeldet und unangemeldet) -Salamitaktik, nur stückweise preisgabe von Informationen -Vortäuschung von Information, wie die Nicht-nennung der angeblichenÜberwachungssoftware -Betteln nach kostenfreier Software statt wenigstens den versuch zu unternehmen es selbst mit scripten zu machen -Wechseln der definition 'Schnittstelle' und damit der 'Aufgabenstellung' nach Belieben ... Jetzt wo der Troll offensichtlich ist, hilft nur ein glaubhafter neuanfang. Am besten indem Du die gemachten Vorschläge selbstständig (HDMI-Recorder, Festplatten-Clone, ...) abarbeitest resp. praktisch antestest und hier Deine Ergebnisse präsentierst.
Steffen H. schrieb: > Gtx F. schrieb: > >> Auch wenn die Fragestellung sehr interessant ist weil man sich geistig >> austoben kann, ich glaube das hier ist alles nur fake. > > Im Mittelalter haben sie "Hexe" geschrieen und die Beschuldigte konnte > lebend nie das Gegenteil beweisen. Die "Troll" Rufe scheinen eine > moderne Variante von diesem Mechanismus zu sein. > Die "Troll"-Rufenden mögen bitte hinzufügen, wie ich den Vorwurf > praktikabel ausräumen soll. Wenn Du schon die Parallele zu Hexenverfolgungen (ind evtl auch anderen Pogromen) ziehst, dann solltest Du auch berücksichtigen, dass es dabei regelmäßig nicht um Tatsachen ging, sondern um die Demonstration von Macht. Die Möglichkeit einer Widerlegung wäre in diesem Zusammenhang widersinnig.
Ich habe eine Parallele zu den Mechanismen gezogen: Eine kostenlose Behauptung aufstellen, die nicht praktikabel widerlegt werden kann.
Steffen H. schrieb: > Ich habe eine Parallele zu den Mechanismen gezogen: Eine kostenlose > Behauptung aufstellen, die nicht praktikabel widerlegt werden kann. Doch, ein Nicht-Troll oder gar 'Hacker' könnte schon durch Dokumentation seiner Fähigkeiten die Zuweisung "Troll" resp."Script-kiddie" widerlegen. Da ein Merkmal eines Trolls dessen nicht enden wollende Penetranz ist, wäre auch schon ein Gegenbeweis das simple "für längere Zeit die Füße still halten" ...
In diesem Sinne: Vielen Dank an alle, die mir weitergeholfen haben! Es waren viele sehr plausible Vorschläge dabei! Außerdem gab es Tipps, wie sich das Risiko zukünftig verringern lässt (Siegel, Protokollierung erweitern, ...). Steffen
:
Bearbeitet durch User
Steffen H. schrieb: > Nano schrieb: >> Windows bietet mit Bordmitteln die Möglichkeit alle Prozesse, die >> gestartet wurden mit Datum, Zeit und Dauer, vielleicht auch noch mit >> Prüfsummen der EXE, aufzuzeichnen. > > Danke für den Hinweis! Du willst ernsthaft behaupten das ihr die Hardware des Notebooks verrammelt habt und den USB Zugriff aufzeichnet aber diese simple Möglichkeit nicht kennt? Ist heute eigentlich Freitag? Auf dem Niveau hat euer Datendieb wahrscheinlich kein HDMI Frame Grabbing gemacht sondern ne WLAN Karte eingesteckst (ist ja kein USB).
De-Archivator schrieb: > Doch, ein Nicht-Troll oder gar 'Hacker' könnte schon durch Dokumentation > seiner Fähigkeiten die Zuweisung "Troll" resp."Script-kiddie" > widerlegen. Und dadurch würde er sich der Machtforderung des Anderen unterwerfen und damit den erhobenen Machtanspruch bestätigen. Steffen H. schrieb: > Ich habe eine Parallele zu den Mechanismen gezogen: Eine > kostenlose Behauptung aufstellen, die nicht praktikabel widerlegt werden > kann. Ja; eine Demonstration von - angemaßter - Macht.
Percy N. schrieb: > Ja; eine Demonstration von - angemaßter - Macht. Percy, wir wissen dass du die macht hast jeden Thread zu kapern, die Diskussion auf dein übliches Niveau herabzuziehen und dann mit deiner Erfahrung alle qualifizierten Teilnehmer in die flucht zu schlagen. Steffen H. schrieb: > In diesem Sinne: Vielen Dank an alle, die mir weitergeholfen haben! Ja hast glück gehabt, dass der Mob lange wo anders beschäftigt war.
Mucky F. schrieb: > Auf dem Niveau hat euer Datendieb wahrscheinlich kein HDMI Frame > Grabbing gemacht sondern ne WLAN Karte eingesteckst (ist ja kein USB). Sollte Networking per Richtlinie verboten sein, dann ist seine WLan, Lan, BT oder USB NIC genauso sinnvoll wie ein Arschloch am Ellenbogen - nämlich überhaupt nicht. Networking ist tot, egal über welchen Adapter oder Verbindung.
Steffen H. schrieb: > In diesem Sinne: Vielen Dank an alle, die mir weitergeholfen haben. Dank zurück. War ein unterhaltsamer Thread. Und ein paar Ideen kann ich mitnehmen. Die "das ist ein Troll" Fraktion blieb im Rahmen. Wobei schon noch interessant gewesen wäre wie ihr den Diebstahl eigentlich erkannt habt.
War auch nur ein Beispiel, battery bufferrd ram reinstecken ginge auch. SATA parallel ist ebenso exotisch aber möglich hexdump filmen und OCR oder als Barcode, Soundkarte 2x 44 k Modem logic analyzer am Docking Port, hdd Clone mit 2. unverschlüsselter Partition oder am dock Port usw usf. Echte Sicherheit bedeutet auf elektronische Geräte zu verzichten.
Draco schrieb: > Sollte Networking per Richtlinie verboten sein, War als Antwort auf diesen Beitrag gemeint.
Steffen H. schrieb: > In diesem Sinne: Vielen Dank an alle, die mir weitergeholfen haben! Es > waren viele sehr plausible Vorschläge dabei! Außerdem gab es Tipps, wie > sich das Risiko zukünftig verringern lässt (Siegel, Protokollierung > erweitern, ...). > > Steffen Und wie hat er die Daten jetzt gestohlen? Hast du das jetzt herausgefunden? Bzw. was ist die wahrscheinlichste Variante? Hat er sich ein Python Skript geschrieben und auf dem Rechner gespeichert? Wie sieht's mit einer RAM Disks aus, für das Zwischenspeichern von Dateien im RAM?
Percy N. schrieb: > Wenn Du schon die Parallele zu Hexenverfolgungen (ind evtl auch anderen > Pogromen) ziehst, dann solltest Du auch berücksichtigen, dass es dabei > regelmäßig nicht um Tatsachen ging, sondern um die Demonstration von > Macht. Das ist hier doch nicht anders.
De-Archivator schrieb: > Da ein Merkmal eines Trolls dessen nicht enden wollende Penetranz ist, > wäre auch schon ein Gegenbeweis das simple "für längere Zeit die Füße > still halten" ... Genau. Also halt' doch einfach mal die Klappe, kleiner Troll.
BeBe schrieb: > Wobei schon noch interessant gewesen wäre wie ihr den Diebstahl > eigentlich erkannt habt. Ja, berechtigte Frage, denn sonst bleibt alles weiter sehr dubios.
Mich (und ich denke, einige andere auch) würde jetzt doch interessieren, ob der TE mit den ganzen Ideen rekonstruieren konnte, was passiert ist.
Und das werden wir - wie immer - NIEMALS erfahren... Gruss Chregu
Random .. schrieb: > Mich (und ich denke, einige andere auch) würde jetzt doch > interessieren, > ob der TE mit den ganzen Ideen rekonstruieren konnte, was passiert ist. ++
Der TO hat wohl Möglichkeiten gesucht - aber nichts gefunden, was seinen Fähigkeiten nahe kommt :-)
Hmmm ... erst heissmachen und jetzt totenstille. War seit langem mal wieder ein interessanter Thread ...
Ohne jetzt alle Beträge zu lesen, ganz einfache Methode dies zu verhindern guibt es schon: Gebt den Etnwicklern einen Rechenschieber und Blatt und Papier, dann kann da nix mehr schief gehen. So wie früher eben. Ansonsten gehört auch etwas Vertrauen zu einer Geschäftbeziehuhg AG<>AN. Und heutzutage ist es nicht ungewöhnlich, dass man sich auch Aufzeichnungen macht. Wenn es um Haftungsrechtliche Fragen geht, schafft man es sicherlich sich als Unternehmer herauszuwinden - zb Lizenzen oä. Daher ist das hier eine nette Bingo-Veranstaltung, aber auch nicht mehr.
Joe J. schrieb: > Gebt den Etnwicklern einen Rechenschieber und Blatt und Papier, dann > kann da nix mehr schief gehen. So wie früher eben. dann gibts auch keine Probleme mehr mit nicht lesbaren Laptopdisplays am Strand
Joe J. schrieb: > Ohne jetzt alle Beträge zu lesen > .... > Daher ist das hier eine nette Bingo-Veranstaltung, aber auch nicht mehr. Aha. Ich empfehle trotzdem zuerst lesen dann schreiben. Du hast nichts Neues zum Thema beigetragen.
Joe J. schrieb: > Ohne jetzt alle Beträge zu lesen, ganz einfache Methode dies zu > verhindern guibt es schon: > Gebt den Etnwicklern einen Rechenschieber und Blatt und Papier, dann > kann da nix mehr schief gehen. So wie früher eben. > > Ansonsten gehört auch etwas Vertrauen zu einer Geschäftbeziehuhg AG<>AN. > Und heutzutage ist es nicht ungewöhnlich, dass man sich auch > Aufzeichnungen macht. Wenn es um Haftungsrechtliche Fragen geht, schafft > man es sicherlich sich als Unternehmer herauszuwinden - zb Lizenzen oä. > Daher ist das hier eine nette Bingo-Veranstaltung, aber auch nicht mehr. Das kannst Du jetzt kopieren und in jeden Thread reinwerfen - das passt überall genau so gut wie hier.
Ich grab hier mal aus - wie ist die Sache denn nun weitergegangen?
Schon mal an den abgesicherten modus gedacht ? In dem Modus wird die Überwachungs software höchstwahrscheinlich nicht aktiv als Treiber geladen. "während des Startvorgangs noch vor dem Erscheinen des Windows-Zeichens die Tastenkombination Strg + F8 drücken. Somit wird der Start-Manager aufgerufen und Sie können den Rechner im abgesicherten Modus starten."
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.