[heise] Die weltweite Polizeiorganisation Interpol hat ein forensisches Gutachten
(PDF-Datei) veröffentlicht, das in einem Streit zwischen Kolumbien,
Ecuador und Venezuela klären sollte, ob Computerdateien gefälscht
wurden. Nun entpuppt sich das Gutachten zumindest im öffentlich frei
verfügbaren Teil als Gefälligkeitsgutachten und der Streit geht weiter.
Im Umfeld des EU-Lateinamerikagipfels
sorgen drei Toshiba Satellite-Laptops, zwei externe LaCie-Festplatten
und drei USB-Sticks für Aufregung. Diese acht Geräte wurden am 1. März
von kolumbianischen Militärs erbeutet, als diese ein Lager der
FARC-Guerilla stürmten, das 1,2 Meilen von der kolumbianischen Grenze
in Ecuador lag. Beim Sturm auf das Lager wurde Luis Edgar Silva alias
Kommandant Raúl Reyes getötet, zu dessen Besitz die IT gehören soll.
Anfang Mai erklärte ein amerikanischer Geheimdienstvertreter gegenüber
dem Wall Street Journal, dass man auf den Computern von Reyes
über 100 Dokumente gefunden habe, die eine Kooperation zwischen FARC
und Venezuela beweisen würden. Aus den Dokumenten soll hervorgehen,
dass Venezuela den kolumbianischen Rebellen die Nutzung eines Hafens
angeboten habe. Venezuela dementierte die Zusammenarbeit umgehend und
bezeichnete die Dokumente als Fälschung.
In dieser Situation beauftragte die kolumbianische Regierung
Interpol mit einer forensischen Untersuchung der acht Geräte, die erst
am 3. März von ausgebildeten Spezialisten in Bogotá forensisch
gesichert wurden. Interpol beauftragte zwei führende
Forensik-Spezialisten in Singapur und Australien mit der Untersuchung,
ob die Dateien auf den Geräten möglicherweise gefälscht sind, also
später hinzu kopiert wurden. Die nicht spanisch sprechenden
Spezialisten lieferten nun ein Gutachten ab, das nach dem Wortlaut der offiziellen Presseerklärung feststellt, dass keine Veränderungen auf den Geräten vorgenommen wurden.
Allerdings stellten die Forensiker fest, dass unmittelbar nach dem
Ende des Gefechts mit den FARC-Anhängern die Laptops gestartet, die
Festplatten angeschlossen und die USB-Sticks gesichtet wurden. Für
jedes einzelne Gerät legten sie Statistiken für die Benutzungszeit
zwischen dem 1. März und dem 3. März als Datum vor, an dem erstmals die
forensisch wichtigen Image-Dateien erstellt wurden. So lautet der
Befund für einen der drei Laptops:
- 1,479 system files were created
- 1,703 system and user files were accessed
- 5,240 system files were modified
- 103 system files were deleted
Dennoch attestieren die Forensiker dem Gerät, dass keine wichtigen
Dateien kompromittiert wurden, da nur Systemdateien vom Windows-Start
geändert worden seien. Gleichzeitig fanden die Forensiker auf den
externen Festplatten 4.212 Dateien mit Zeitstempeln aus dem Jahr 2009.
Diese Datumsangaben werden im Gutachten damit erklärt, dass
zwischenzeitlich offenbar ein Rechner mit falscher Systemzeit auf die
Festplatten zugriff. Eine Untersuchung, ob diese Dateien möglicherweise
zwischen dem 1. und 3. März erzeugt wurden, entfiel. Insgesamt fanden
die Forensiker 609,6 GByte Daten, aufgelistet als 37.872 Textdokumente,
452 Tabellen, 210.888 Bilddateien und 22.481 Webseiten sowie 10.537
Multimedia-Dateien. Außerdem konnten sie 7989 E-Mail-Adressen und 983
verschlüsselte Dateien ausmachen. Worin die Verschlüsselung bestand und
wie sie gebrochen wurde, ist als geheim klassifiziert. In der
Presseerklärung heißt es dazu: "To break the 983 encrypted files,
Interpol’s experts linked and ran 10 computers simultaneously 24 hours
a day / 7 days a week for two weeks."
Mit der Feststellung, dass die Rechner und Festplatten
zwischenzeitlich unkontrolliert gestartet, aber ganz sicher nicht
verändert wurden, bietet Interpol nach forensischen Gesichtspunkten
eine fragwürdige Analyse. "Ich würde als Forensiker nicht ausschließen
können, dass bei einem offensichtlich zwischenzeitlich gestarteten
Rechner nicht eine komplette Image-Datei eingespielt wurde, die in sich
widerspruchsfreie Zeitstempel, sehr wohl aber manipulierte Dateien
enthält", erklärte ein deutscher Fachmann gegenüber heise online.
"Leider sind auch die von Interpol genutzten Software-Werkzeuge zur
Verschlusssache erklärt worden, so dass man sich ohnehin kein genaues
Bild von der Untersuchung machen kann. Ich habe große Zweifel, ob diese
Untersuchung vor Gericht Bestand hat."
Venezuelas Präsident Chavez drückte sich nach einem YouTube-Schnipsel
weniger gewählt aus. "Man kennt ja Filme mit Interpol. Interpols
Kenneth Noble ist ein mordsmäßiger Schauspieler", beurteilte Chavez den
Leiter der Interpol-Untersuchung. Sein ehemaliger Vizepräsident Jorge
Rodriguez machte in einem weiteren Interview
auf den Umstand aufmerksam, dass nach Darstellung von Interpol die
inhaltliche Analyse der Dateien noch mehrere Monate brauche. Dennoch
habe man auf Anhieb noch im März 100 Dokumente gefunden, die Venezuelas
Verstrickung beweisen würden. (Detlef Borchers) /
(pmz/c’t)
Source: http://www.heise.de
