Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 6

(Letzter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

 

Trojaner, Spyware und mehr: Malware identifizieren und analysieren

Trojaner oder Malware für Mobiltelefone gibt es schon viele Jahre – beispielsweise gab es bereits in den 90er Jahren viele Schädlinge für das Betriebssystem Symbian, das von Nokia entwickelt wurde. Diese dienten meist dazu, kostspielige Kurzmitteilungen an Mehrwertdienste zu versenden oder auch das Mikrofon als Wanze zu nutzen. Nun erscheinen allerdings zunehmend Meldungen von Trojanern für iPhones oder Android-Smartphones in den einschlägigen Medien, die gezielt Daten ausspionieren oder die zum Zwecke der Wirtschaftsspionage verbreitet werden.

Das Entdecken solcher Schädlinge ist immer noch den großen Anti-Viren-Herstellern vorbehalten. Herkömmliche Spyware wird dabei von den meisten Anti-Viren-Herstellern erkannt und kann relativ leicht entfernt werden. Voraussetzung hierfür ist allerdings, dass der Anwender eine Anti-Viren-Schutz-Software auf seinem Smartphone installiert hat und diese aktuell ist. Obwohl für alle bekannten Systeme von mobilen Endgeräten bereits Malware bekannt wurde, hat etwa der Hersteller Apple (Stand Mai 2015) Anti-Viren-Produkte aus seinem Store entfernen lassen. Man war der Meinung, dass es für das Apple-System, z.B. für iPhones keinen Sinn macht, die Programme anzubieten, da diese in einer Sandbox laufen und nicht nach Viren scannen können. Dass Schädlinge für iOS jedoch durchaus existieren, wurde zu Beginn 2015 aus China vermeldet, wo tausende Geräte infiziert wurden.

Malware gefunden
Malware gefunden

Es ist im übrigen gerade im Bereich der Forensik nicht ausreichend, sich bei der Entdeckung und dem Schutz vor Malware auf einen Anti-Viren-Hersteller zu verlassen. Dies wird beispielsweise relevant, wenn eine fremde Person unter Verwendung eines Trojaners über das eigene Smartphone eine Straftat begangen hat und die eigene Unschuld bewiesen werden soll. Oftmals werden Trojaner oder Spyware auch benutzt, um z.B. den Ehe-Partner auszuspionieren, was natürlich eine strafbare Handlung darstellt. Um derartige Spionageversuche nachzuweisen, helfen Methoden der mobilen Forensik.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 5

(Fünfter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Analyse mehrerer Geräte

Je nachdem, um was für eine Straftat es sich handelt, zeigen Täter und Opfer voneinander abweichende Verhaltensmuster. So können Kommunikationsdaten (z.B. in einem Fall von Belästigung durch Kurzmitteilungen) von Täter und Opfer miteinander abgeglichen werden. Mit Hilfe einer grafischen Analyse kann ein Ermittler umgehend erkennen, dass z.B. eine einseitige Kommunikation seitens des Täters stattgefunden hat, was den Tatverdacht der Belästigung erhärten würde. Aber auch bei anderen Straftaten lassen sich Muster ableiten, z.B. aus Positionsdaten, die eine mögliche Planung eines Verbrechens untermauern können.

Link Analyzer
Link Analyzer

Ein weiteres Beispiel für den Nutzen grafischer Analysen: Bei einer Durchsuchungsmaßnahme, die bei einigen Beschuldigten stattgefunden hat, werden dutzende mobile Endgeräte durch die Einsatzkräfte der Polizei sichergestellt. Hierbei handelte es sich um unterschiedliche Geräte, vom Smartphone über einfache Mobiltelefone bis hin zu SIM-Karten der sichergestellten Geräte, aber auch Navigationsgeräte.  Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 4

(Vierter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Zugriffe auf soziale Netzwerke und Cloud-Dienste

Der Zugriff auf Internetdienste wie z.B. GMail (E-Mail Dienst von Google), Dropbox (Datenablagedienst, Cloud), Facebook (Social Network) oder auch Twitter (Micro-Bloggingdienst) gestaltet sich erfahrungsgemäß als sehr problematisch. Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten nicht bekannt. Für Ermittler ist es somit oft schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende Beschlüsse für den Zugriff auf diese Internetdienste bieten den rechtlichen Rahmen, um diese Daten beschlagnahmen zu lassen. Die Umsetzung ist jedoch nicht immer unproblematisch, wenn entsprechende Dienste die Daten außerhalb des Zugriffs der europäischen oder deutschen Justiz vorhalten. In enger Zusammenarbeit mit Ermittlern ist der israelischen Firma Cellebrite Ltd. eine Möglichkeit des Zugriffs auf solche Daten gelungen. Ausgehend von der Fülle der Daten, die z.B. in einem Smartphone gespeichert werden, sollte es somit möglich sein, auch einen Zugriff auf Daten aus sozialen Netzwerken zu erhalten. Ein weiterer Grund für die Entwicklung dieser Software war, dass man mit einem Smartphone einen gegenwärtigen Datenstand erhalten kann, der mit dem ersten Einschalten eines Smartphones beginnt und mit dem Datum der Extraktion endet.

Cloud Analyzer – Timeline
Cloud Analyzer – Timeline

Wie aber verhält es sich, wenn das Smartphone sechs Monate vor dem Extrahieren vollständig zurückgesetzt wurde und keine Daten aus den sozialen Netzen mehr vorhanden sind, weil diese nicht vollständig synchronisiert wurden? Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 3

(Dritter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Königsdisziplin Dekodierung – zeigt her Eure Daten
Die wahre Kunst der mobilen Forensik ist das so genannte Dekodieren, also das Entschlüsseln von Informationen und das Erzeugen einer lesbare Darstellung. Die hohe Anzahl von Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung ist dabei eine enorme Herausforderung für Hersteller von forensischer Software und Hardware. Hersteller von mobilen Endgeräten benutzen unterschiedliche Betriebssysteme (z.B. iOS, BlackBerry OS, Android, Symbian), Filesysteme (z.B. NTFS, HFS, Ext) und Speichermethoden, um Daten aus den Geräten verfügbar zu machen. Daraus resultieren unterschiedliche Kodierungen für die Darstellung von Inhalten und auch Ort bzw. Art der Ablage von Daten. Einige Hersteller benutzen eigene Formate, während andere auf SQLite setzen. Dennoch ist es erheblich, dass wenn möglich alle Informationen aus einem mobilen Endgerät extrahiert werden … oder zumindest der größte Teil dieser Daten. Anschließend müssen die Daten nachgebaut und in eine lesbare Form interpretiert werden, was den wichtigsten Schritt des Dekodierens darstellt.
Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 1

Nachdem der Beitrag „Digitale Ermittlungen“ von Marko Rogge am 23. Februar diesen Jahres so gut bei unseren Lesern angekommen ist, hat sich Herr Rogge bereit erklärt, seinen Einblick in das Feld der digitalen Forensik mit einer Serie von Beiträgen für unseren Blog zu erweitern. Diese werden ab heute wöchentlich erscheinen:

Die mobile Forensik ist eine junge und herausfordernde Form der IT-Forensik. Je weitreichender und detaillierter ein Beschluss z.B. zur Beschlagnahme von EDV-Geräten und mobilen Geräten gefasst ist, umso erfolgreicher ist in der Regel das Ergebnis einer mobilen Forensik-Maßnahme. Meine Serie von Beiträgen befasst sich in diesem Kontext zum größten Teil mit den grundlegenden forensischen Arbeitsmöglichkeiten für Strafverfolgungs- und Ermittlungsbehörden. Auf rein technischer Ebene sind zwar noch deutlich mehr Möglichkeiten gegeben, um Daten aus mobilen Endgeräten zu erlangen – jene Methoden sind bislang aber noch nicht von den Gerichten anerkannt.

Mobile Endgeräte wie Smartphones, Tablets aber auch Navigationsgeräte sind heutzutage aus dem alltäglichen Leben nicht mehr wegzudenken. In der Strafverfolgung spielen aber auch herkömmliche Mobiltelefone (z.B. Pre-Paid-Handys) weiterhin eine wesentliche Rolle bei der Aufklärung von Straftaten.

Mobile Forensik

Planung und Verabredungen zu Straftaten werden dabei häufig noch über herkömmliche Kommunikationswege getätigt, wie z.B. über Kurzmitteilungen (SMS). Sehr wichtig sind daher bei den diversen Deliktsbereichen immer noch Anruflisten, da diese deutlich zeigen, wer mit wem in Kontakt stand. In den europäischen Breitengraden werden nach wie vor SIM-Karten in mobilen Geräten eingesetzt, was allerdings nicht mehr überall auf der Welt der Fall ist. Auch diese enthalten eine Fülle an Daten, die für Ermittler von enormer Bedeutung sein können. Für eine Auswertung ist es dabei natürlich wichtig, dass Rufnummern zuverlässig einem Beschuldigten zugeordnet werden können.

Weiterlesen

Digitale Ermittlungen: Tipp für die mobile Forensik

Der folgende Blogbeitrag von Herrn Marko Rogge bietet einen kleinen Einblick in das weite Feld der digitalen Forensik. Herr Rogge beschreibt darin eine Möglichkeit, im Rahmen von Ermittlungen auf Daten zugreifen zu können, die sich auf SIM-Karten von Mobiltelefonen befinden – auch wenn die PIN-Nummer nicht bekannt ist:

Eine besondere Stellung in der Kriminalistik nimmt zweifelsfrei der Bereich der digitalen Ermittlungen ein. Insbesondere die stark zunehmende Verkleinerung der Technik macht es immer häufiger notwendig, spezielle Technologien einzusetzen, um digitale Ermittlungen voran zu treiben. Eine besondere Form dieser Problematik spiegelt die mobile Forensik wieder. Smartphones werden immer mehr zu Allroundern im Alltag, haben immer umfassendere technische Möglichkeiten und können immer größere Mengen an Daten speichern. Viele Nutzer wissen die immer vielfältiger werdende Einsatzmöglichkeiten der mobilen Wegbegleiter zu schätzen – aber auch Straftäter sind durchaus in der Lage, dieses Potential zu erkennen.

Die Praxis zeigt, dass Straftäter häufig ältere Handymodelle nutzen, die leicht ausgetauscht werden können. Dabei werden SMS und Anruflisten oft direkt auf die SIM-Karte gespeichert. Deren Speichermenge ist zwar überschaubar, doch benötigen SMS und Anruflisten auch nur wenig Speicherplatz und können mit der SIM-Karte leicht von einem Handy zum nächsten mitgenommen werden. Die SIM-Karte ist allerdings meist mit einer PIN-Nummer gesichert, sodass der Weg zu den relevanten Daten ohne Kenntnis der PIN-Nummer zunächst versperrt ist.

Bildschirm des UFED Touch von Cellebrite – Eingabe der neuen PIN nach erfolgreicher Eingabe des PUK.
Bildschirm des UFED Touch

Weiterlesen

Kurzinfo: DDoS-Angriff kostet Opfer halbe Million

Eine Studie des Sicherheitsunternehmens Incapsula befragte 250 Organisationen (mit je 250 bis mehr als 10.000 Beschäftigten) nach Erfahrungen als Opfer von DDoS-Angriffen. Etwa 45% berichteten von entsprechenden Ereignissen, wobei die Hälfte dieser Angriffe zwischen 6 und 24 Stunden andauerte. Bei einem geschätzten Schaden von 40.000 US Dollar pro Stunde erreichen die durchschnittlich verursachten Kosten somit schnell den Bereich einer halben Million US Dollar. Weitere spannende Informationen zur Einschätzung der Wirkung von DDoS-Angriffen finden sich im PDF-Bericht zur Studie.

Kurzinfo: Spambericht von Kaspersky

Nach einer aktuellen Studie des russischen Softwareunternehmens Kaspersky Lab hält Deutschland zur Zeit den internationalen Rekord als Ziel von (Kaspersky Lab bekannt gewordenen) E-Mails mit gefährlichen Anhängen. Während im September 2014 rund zwei Drittel aller Nachrichten im weltweiten E-Mail-Verkehr Spam-Mails waren, wurden gut 9% der mit Schadsoftware versehenen Anhänge nach Deutschland gesandt. Weitere besonders beliebte Ziele sind Großbritannien und die USA. Interessante Einzelheiten zur Analyse von Kaspersky Labs finden sich in ihrer Pressemitteilung und auf Viruslist.

Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgeführt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schützen und keine Blaupausen für kriminelle Aktivitäten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren Beiträgen unterstützen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprägt, immer und überall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein größerer Bildschirm zum Surfen benötigt wird, geht man in das nächste Internet Cafe, nutzt öffentliche Rechner der Schule, Universitäten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die Ratschläge der Profis befolgt, der besitzt für alle Zugänge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafür, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgeführt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusätzlich einen begleitenden Facebook-Account eröffnet (was natürlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wäre). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlüsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich überall ordnungsgemäß aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prüfen, ob das tatsächlich der Fall war:

Weiterlesen