Stora tråden om polisbeslag och IT-forensik [/Mod]

---------------------------------------------------------------------------------------------------- -----------

Det var ungefär 10-12 adresser som blev uppmärksammade.

Dom fick tag i nån adress när min dator blev beslagtagen. Därifrån nystade dom vidare.

Det var mest Windows men även Mac i ngt fall. Även UBUNTU, fast den personens utredning blev skött separat av olika skäl.

Lösenorden fanns ej nerskrivna fysiskt någonstans. Det fanns både svaga (10-12 tecken) till bättre med runt 20st med kraftig blandning av specialtecken m.m. Lite beroende på vilken typ av användningsområde kontot hade. Huruvida dom knäckte lösenorden utifrån eller tog fram materialet på annat sätt efter dom gjort husrannsakan är ju oklart.

Slutsatsen är ju hursomhelst att dom ju INTE var nöjda med vad dom fick fram bara genom våra beslagtagna datorer, utan gick vidare för att få ut mer. Vilket dom också lyckades med.

Kontot med USB nyckel var dom jävligt sugna på så jag vet med säkerhet att dom ej fick upp det.
Dom fick ej reda på vilken person som handhade det kontot. Dom hittade ej usb nyckeln.

Generellt sett så gjordes det en hel del misstag från vår sida gällande säkerheten det finns det inget att säga ngt om.

MEN det anmärkningsvärda var att dom fick fram deletat material. Alltså både slängt o tömt papperskorgen.

Mig veterligen har det väl inte hänt ofta eller alls att en mailoperatör fått en husrannsakan på detta sätt förut. Därav det lite speciella läget.

Tex: dom hade delar av en konversation, där dom sen fick/tog fram de delar av konversationen som var både slängt o tömt.

Svårt att säga vad dom gjorde specifikt naturligtvis. Det avslöjas ju ingenting i fup:en. Bara mailen som återskapades finns med där som underlag till vad dom ville bevisa.

Ja det om det. Kör med usb sticka. Då verkar det vara lugnt iaf. Det är min slutsats. Eller en mailoperatör från annat land.

Gick CM vid tidpunkten själva ut med att dom varit utsatta för husrannsakan, eller sopade dom det under mattan?

Extremt intressant detta. Hade det handlat om 1 eller 2 CM konton så hade man ju kunnat dra andra slutsatser, men att de kom in på konton med starka lösenord tyder på helt andra metoder.
Att det över huvud taget var möjligt är enligt mig ett stort bombnedslag.

Håller själv ej på med 'känsliga' eller olagliga saker, och hade jag gjort det så hade jag ej använt mig av CM, det finns ju dock människor som gör det och de bör enligt mig i så fall fundera på om CM verkligen är en sådan säker tjänst som de påstår sig vara.

Eftersom SÄPO var inblandade gissar jag på att de kanske fått hjälp av utländska säkerhetstjänster.

Hade det varit krypteringslösningen som fallerat hade det inte hjälp med USB-sticka, då den som sagt bara ökar nyckellängden och kör portabel browser. Jag tycker det verkar troligt att man i detta fall kommit över krypteringsnycklarna från de beslagtagna datorerna.

Angående Countermail.

Kanske ett inlägg som passar i ämnet och som säkert intresserar en o annan:
...

USB agerar mer som 2FA, skriver man in rätt lösenord så kommer man ändå inte in utan filen. Man kan välja USB sticka själv, filen låses då till stickans HWID. Eller har jag missförstått dig?

Att de hittar nycklar till 10-12 mejlkonton på datorerna låter väldigt osannolikt.

Visst skulle de kunna ta hem det obemärkt, men det ska nog vara något jävligt ovanligt för att det inte ska vara slentrian för dem.

Om du försätter din dator i sleep istället för att stänga av den eller sätta den i hibernate fortsätter diskarna vara upplåsta, och beroende på krypteringslösning kommer nycklarna liggar kvar i RAM.

Om systemdisken är okrypterad, men den andra disken krypterad, kan man ändå få fram duktigt mycket material som lagras på den krypterade disken. Dessutom kommer din hibernation-fil oftast lagras på systemdisken, och alltså okrypterad, och där finns ofta din krypteringsnyckel...

Som sagt, har man gjort allt rätt är fulldiskkryptering ett stort hinder för forensikerna, men de flesta lämnar luckor öppna överallt, som kommer nyttjas om det kan tänkas finnas något _viktigt_ material på disken.

Det är grymt att du finns i tråden! Om det nu är sant att du är IT-forensiker!
Skulle vilja be dig om tips vad vi borde göra mer än just ang kryptering, hibernate, sleep?

Det handlar ju om hotbild, men då det uteslutande verkar vara polisen man är rädd för här räcker korrekt hanterad fulldiskkryptering långt.

I övrigt, använd en krypterad VPN-förbindelse för all trafik, genom en leverantör som kör disklösa servrar och inte loggar. Använd en lösenordshanterare med ett mycket starkt huvudlösenord (tänk lösenordsfraser på 30 tecken och uppåt) och använd uteslutande den för att generera och lagra lösenord med hög komplexitetsgrad.

Använd GPG för all kommunikation, signera alla mail, och skydda din nyckel med en lång nyckelfras.

För jabber osv, använd en portabel variant och slå av all historik osv.

Koppla all utrustning på ett grenuttag med strömbrytare så du lätt kan bryta strömmen till allt i nödfall. Laptop kör du utan batteri, om du inte är helt hundra på att lid close och strömknapp sätter datorn i hibernate omedelbart och i alla konfigurationer.

Basic-grejer räcker långt, utan att gå in på grejer som att täppa igen portar med epoxy och limma minneskretsar.

Okej, då kan jag känna mig hyfsat säker då min setup är allt de du nämner och lite till.
Men det är ju alltid roligt med overkill

Du får nog dela med dig av FUP:en, eller stad + målnummer så någon driftig person kan begära ut den. Vill inte misstro din berättelse, men den står i bjärt kontrast till hur andra husrannsakan genomförts mot CM i mål med betydligt högre straffvärde.

Just sayin'

Det är grymt att du finns i tråden! Om det nu är sant att du är IT-forensiker!
Skulle vilja be dig om tips vad vi borde göra mer än just ang kryptering, hibernate, sleep?

Angående Countermail.

Kanske ett inlägg som passar i ämnet och som säkert intresserar en o annan:

Satt åtalad i ett stort mål som gick av stapeln andra halvan av 2015 (id-ligan, bedrägerihärva från -13, häktade hela -14). Vi hade använt oss av Countermail i stor utsträckning av olika anledningar. Vi skapade konton för kommunikation med folk som gjorde oss diverse tjänster, vi hade konton som vi inte skickade ngn post ifrån utan bara körde "drafts" med för att hålla oss uppdaterade när vi befann oss i olika delar av landet (huvudmännen). Hursomhelst, när vi tillslut blir häktade så blir det ett jävla stort pådrag. Fup:en landade på 12,000 sidor och dom tog i från tårna för att reda ut allt vi hittat på.

Dom gör bla husrannsakan hos Countermail i deras serverhallar. Tar med sig vad dom ville ha.

Dom "skröt" under utredningens gång om att dom knäckt delar av CM:s krypteringar för att komma åt mail som både fanns kvar på många av adresserna men också att dom lyckades återskapa en jävla massa material som vi deletat. Vilket var jävligt irriterande. Jag kan med säkerhet säga att det dök upp en helvetes massa mail som inte skulle funnits där. Dom var omöjligen hittade lokalt då jag hade en ny dator sen en månad tillbaka när dom tog mig.

Jag har av ngn bekant som hört av sig till CM fått höra av dom varit förvånade över att detta gick att göra. Detta uttalande kan dock inte vidimeras.

Åklagaren uttryckte dock att det var med SÄPOS hjälp denna del av utredningen genomfördes (forcerandet av krypteringar m.m), inte FRA som vissa här påtalat är dom som sköter det. Men det kan kanske vara ngt han bara sa. Jag vet inte. Det finns naturligtvis inte ett spår av info i utredningen vad dom egentligen gjorde. Bara en jävla massa mailinformation som ej skulle sett dagens ljus igen.

Ett konto som tillhörde en person var dock säkrat med CM:s funktion med extra usb nyckel krav för att logga in. Detta konto kom dom inte åt. Erkännes att det var lite lojt av oss andra att inte begagna oss av det. Men dock trodde man väl att ett deletat mail på CM ska förbli väck om du inte har spår av det lokalt.

Det användes samtidigt ett filkrypteringsprogram AxCrypt, det höll inte i en kvart. Jag fördjupade mig inte i krypteringstekniker så mkt utan bytte helt enkelt datorer stup i kvarten.

Vad CM gjort åt det här sen dess har jag ingen aning om. Men det kan ju vara av intresse för folk att veta vad som hände då snutarna verkligen tog i.