Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 6

(Letzter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

 

Trojaner, Spyware und mehr: Malware identifizieren und analysieren

Trojaner oder Malware für Mobiltelefone gibt es schon viele Jahre – beispielsweise gab es bereits in den 90er Jahren viele Schädlinge für das Betriebssystem Symbian, das von Nokia entwickelt wurde. Diese dienten meist dazu, kostspielige Kurzmitteilungen an Mehrwertdienste zu versenden oder auch das Mikrofon als Wanze zu nutzen. Nun erscheinen allerdings zunehmend Meldungen von Trojanern für iPhones oder Android-Smartphones in den einschlägigen Medien, die gezielt Daten ausspionieren oder die zum Zwecke der Wirtschaftsspionage verbreitet werden.

Das Entdecken solcher Schädlinge ist immer noch den großen Anti-Viren-Herstellern vorbehalten. Herkömmliche Spyware wird dabei von den meisten Anti-Viren-Herstellern erkannt und kann relativ leicht entfernt werden. Voraussetzung hierfür ist allerdings, dass der Anwender eine Anti-Viren-Schutz-Software auf seinem Smartphone installiert hat und diese aktuell ist. Obwohl für alle bekannten Systeme von mobilen Endgeräten bereits Malware bekannt wurde, hat etwa der Hersteller Apple (Stand Mai 2015) Anti-Viren-Produkte aus seinem Store entfernen lassen. Man war der Meinung, dass es für das Apple-System, z.B. für iPhones keinen Sinn macht, die Programme anzubieten, da diese in einer Sandbox laufen und nicht nach Viren scannen können. Dass Schädlinge für iOS jedoch durchaus existieren, wurde zu Beginn 2015 aus China vermeldet, wo tausende Geräte infiziert wurden.

Malware gefunden
Malware gefunden

Es ist im übrigen gerade im Bereich der Forensik nicht ausreichend, sich bei der Entdeckung und dem Schutz vor Malware auf einen Anti-Viren-Hersteller zu verlassen. Dies wird beispielsweise relevant, wenn eine fremde Person unter Verwendung eines Trojaners über das eigene Smartphone eine Straftat begangen hat und die eigene Unschuld bewiesen werden soll. Oftmals werden Trojaner oder Spyware auch benutzt, um z.B. den Ehe-Partner auszuspionieren, was natürlich eine strafbare Handlung darstellt. Um derartige Spionageversuche nachzuweisen, helfen Methoden der mobilen Forensik.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 5

(Fünfter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Analyse mehrerer Geräte

Je nachdem, um was für eine Straftat es sich handelt, zeigen Täter und Opfer voneinander abweichende Verhaltensmuster. So können Kommunikationsdaten (z.B. in einem Fall von Belästigung durch Kurzmitteilungen) von Täter und Opfer miteinander abgeglichen werden. Mit Hilfe einer grafischen Analyse kann ein Ermittler umgehend erkennen, dass z.B. eine einseitige Kommunikation seitens des Täters stattgefunden hat, was den Tatverdacht der Belästigung erhärten würde. Aber auch bei anderen Straftaten lassen sich Muster ableiten, z.B. aus Positionsdaten, die eine mögliche Planung eines Verbrechens untermauern können.

Link Analyzer
Link Analyzer

Ein weiteres Beispiel für den Nutzen grafischer Analysen: Bei einer Durchsuchungsmaßnahme, die bei einigen Beschuldigten stattgefunden hat, werden dutzende mobile Endgeräte durch die Einsatzkräfte der Polizei sichergestellt. Hierbei handelte es sich um unterschiedliche Geräte, vom Smartphone über einfache Mobiltelefone bis hin zu SIM-Karten der sichergestellten Geräte, aber auch Navigationsgeräte.  Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 4

(Vierter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Zugriffe auf soziale Netzwerke und Cloud-Dienste

Der Zugriff auf Internetdienste wie z.B. GMail (E-Mail Dienst von Google), Dropbox (Datenablagedienst, Cloud), Facebook (Social Network) oder auch Twitter (Micro-Bloggingdienst) gestaltet sich erfahrungsgemäß als sehr problematisch. Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten nicht bekannt. Für Ermittler ist es somit oft schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende Beschlüsse für den Zugriff auf diese Internetdienste bieten den rechtlichen Rahmen, um diese Daten beschlagnahmen zu lassen. Die Umsetzung ist jedoch nicht immer unproblematisch, wenn entsprechende Dienste die Daten außerhalb des Zugriffs der europäischen oder deutschen Justiz vorhalten. In enger Zusammenarbeit mit Ermittlern ist der israelischen Firma Cellebrite Ltd. eine Möglichkeit des Zugriffs auf solche Daten gelungen. Ausgehend von der Fülle der Daten, die z.B. in einem Smartphone gespeichert werden, sollte es somit möglich sein, auch einen Zugriff auf Daten aus sozialen Netzwerken zu erhalten. Ein weiterer Grund für die Entwicklung dieser Software war, dass man mit einem Smartphone einen gegenwärtigen Datenstand erhalten kann, der mit dem ersten Einschalten eines Smartphones beginnt und mit dem Datum der Extraktion endet.

Cloud Analyzer – Timeline
Cloud Analyzer – Timeline

Wie aber verhält es sich, wenn das Smartphone sechs Monate vor dem Extrahieren vollständig zurückgesetzt wurde und keine Daten aus den sozialen Netzen mehr vorhanden sind, weil diese nicht vollständig synchronisiert wurden? Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 3

(Dritter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Königsdisziplin Dekodierung – zeigt her Eure Daten
Die wahre Kunst der mobilen Forensik ist das so genannte Dekodieren, also das Entschlüsseln von Informationen und das Erzeugen einer lesbare Darstellung. Die hohe Anzahl von Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung ist dabei eine enorme Herausforderung für Hersteller von forensischer Software und Hardware. Hersteller von mobilen Endgeräten benutzen unterschiedliche Betriebssysteme (z.B. iOS, BlackBerry OS, Android, Symbian), Filesysteme (z.B. NTFS, HFS, Ext) und Speichermethoden, um Daten aus den Geräten verfügbar zu machen. Daraus resultieren unterschiedliche Kodierungen für die Darstellung von Inhalten und auch Ort bzw. Art der Ablage von Daten. Einige Hersteller benutzen eigene Formate, während andere auf SQLite setzen. Dennoch ist es erheblich, dass wenn möglich alle Informationen aus einem mobilen Endgerät extrahiert werden … oder zumindest der größte Teil dieser Daten. Anschließend müssen die Daten nachgebaut und in eine lesbare Form interpretiert werden, was den wichtigsten Schritt des Dekodierens darstellt.
Weiterlesen