Hei. Har prøvd å finne en konkret prosedyre på hva politiet gjør når de beslaglegger pc/mobil. De tok nylig en windows maskin som de fikk tilgang til pga de fikk krypteringsnøkkelen (bitlocker). Regner med de speila hardisken men kunne likevel se at de hadde brukt den orginale ved at "mine" siste sider fra google chrome kunne gjenopplastes, der hadde de vært inne på logg, dropbox, og innstillinger. Sistnevnte sikkert for å slette logg. På denne maskinen kunne jeg også se siste filer de hadde åpna. Der var det en random video fra en usb minnepinne de beslagla, og i tilegg hadde de åpna en passord sniffer som jeg hadde på den usben. Vet ikke om de bruker passord snifer som standard prosedyre, eller om de gjorde det for morro skyld siden de tilfeldigvis fant ei slik fil.

Har også en macbook med kryptering fra filevault. Lurer på om de klarte komme seg inn på den. Eneste jeg merka på den var at når jeg skrudde den på så hadde det kommet en slags gjest bruker samt en bruker som het hardisk, men måtte fortsatt ha passord for å komme inn. Da jeg logde inn på min egen profil var programmet nøkkelringtilgang åpen, selv om macen ikke hadde vært i dvalemodus, men avslått. Har de vært inne, eller kommer det opp fordi de har skrudd fra hardisken eller noe?

Gitt at dem har kommet seg inn på både bitlocker og/eller filevault, så er det nesten garantert din egen feil. Det er meget lite sannsynlig at norsk politi har tilgang til avanserte sikkerhetshull/bakdører i bitlocker og filevault, det som er meget sannsynlig er at du har hatt en sløv passord håndtering. Enten brukt svake passord, skrevet ned passordene eller lagret passordene på ukrypterte lagringsenheter. Eventuelt at du har fortalt passordene til andre som igjen har fortalt politiet det.

På macbook'en kan du høyre klikke på mapper du har og "vis info" og der ser du når den mappen ble sist åpnet. Da finner du lett ut om de har vært inne på den, pass ofc. på at du ikke åpner den haha.

Hvordan mener du at svakt passord kan vært en årsak? De har aldri klart å gjette det hvertfall. Begge maskinene var egentlig formatert før de ble tatt så de har ikke spurt meg om noe innhold fordi de har ikke hatt noe å spørre om. De spurte bare om passord men det svarte jeg ikke noe på. Er bare veldig nysjerrig om de kan ha vært inne på macen pga symptomet som jeg fortalte. Tror også macen hadde nullstilt seg ved at skjermspareren slår seg på tidligere enn det jeg har satt den på tidligere men jeg kan ta feil. På windows maskinen visste jeg jo de fant gjenopprettingsnøkkelen på en usb så der hadde de slått av bitlocker. Vilevault er ikke slått av på macen. MEN så skal jo IT konsulentene egentlig bare klone hardisken og jobbe på en annen maskin slik at det ikke er spor etter hva dem har gjort, likevel va det spor på windowsen. Spørsmålet er bare om de kan ha komt seg inn på macen. Krypteringsnøkkelen til macen ligger muligens på icloud, lagra hvertfall ikke den på en usb.

Etter en endring av straffeprosessloven i august 2016 fikk Politiet nye hjemler til mer inngripende bruk av skjulte tvangsmidler (overvåkning) slik som installering av trojaner (ved f eks skjult innbrudd), MITM-angrep, keyloggers, falske basestasjoner osv. Med andre ord så kan det være slik at hvis Politiet sikter eller etterforsker deg for særlig alvorlige forbrytelser så bør du gå ut ifra at hvis Politiet har fått adgang til operativsystemet ditt så finnes det en trojan/keylogger installert. Det kan også være grunn til å anta at selve maskinen er kompromittert hvis Politiet har hatt fysisk adgang til den ved at de f eks har montert en hardware keylogger osv. Nå vet jeg ikke hva trådstarter har (eventuelt) gjort, men det er jo ikke ukjent at Politiet har et slepphendt forhold til norsk lov når det er gangelig for dem.

Er det ingen som kan si hva det betyr når flere innstillinger har gått tilbake til default? For eksempel ved at safari har blitt standard nettleter, skjermsparing er på 1 minutt selv om jeg har pleid å ha på hvertfall 10 minutter. Samt at det har komt en gjestebruker/ en bruker som heter harddisk. Trenger dette bety at de har komt seg inn på maskinen, eller er det bare standard at dette skjer når de kobler hardisken fra og på igjen?

Har du gitt dei bitlockerkey har det inga praktisk betydning om dei har passordet for brukeren din eller ikkje. Det er trivielt å finne ut kva som er på disken, gitt at du har nøkkelen.

Forøvrig bør du sjå på maskina som kompromitert, og ta ein reinstall. Er du paranoid kaster du den og kjøper ny.

Ble kanskje litt mye forklaringer og mistforståelse her. De har bare hatt krypteringsnøkkelen til en windows maskin som hadde bitlocker, her skrudde de av bitlockeren. På macbooken har jeg hatt full kryptering med filevault og har hatt krypteringsnøkkelen i icloud (som de ikke har komt inn på). Så derfor er spørsmålet om symptomene på macbooken har tegn på at de kan ha komt seg inn på macbooken.

Litt på siden:
Kan politiet ha installert spyware på maskiner før de leverer dem tilbake? Eller er det helt utenkelig?

Men tar de hensyn til garanti? Vet at den ryker så fort skruene mister litt av malingen, er forresten en måte man selv kan se om tingene ble åpna om man aldri gjorde det selv. Hvis du har garanti så få de til å fikse noe innvendig og om de oppdager noe så vet du.

Kan hvertfall se at den ene skrua på macbooken ikke er skrudd helt inn. Leverte den privat til en som fiksa skjermen for 3500 en gang så den har blitt skrudd i før likevel. Leste litt på internett at det ikke er mulig å ha hardware keylogger på macbook da det ikke er plass. Har kjørt virus program for å prøve å finne software keylogger både på windows maskinen og macen, men fant ikke noe. Vet noen hvordan jeg kan lete ytterligere?

Dersom du mistenker en eller annen form for keylogger anbefaler jeg å gjøre som vidarlo sa. Reinstaller maskinen.

Fant nettopp ut at macbooken kanskje ikke var kryptert likevel. Startet i recovery modus for å gå inn på disk utility og der stod valgene på disken om å ha journal, journal med kryptering, case sensitive, og case sensitive kryptert. Jeg har hatt vanlig case-sensitive, den som ikke hadde kryptert bak seg. Likevel har jeg jo hatt fileVault på med kryptering derfra mener jeg, og det tok tid å slå av vilefault for å dekryptere nå for å komme inn på disk utility der jeg nå holder på å formatere macen. Kan noen foklare hva slags kryptering jeg har hatt/ikke hatt?

Du kan ha eit kryptert image som vert montert. Då er det ikkje heile systemet som er montert, men kun ein del. Haken då er jo at nøkler og passord kan ende opp i swapfiler, avhengig av kor god implementasjon apple har av det i kjerna si.