Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Eine häufig genutzte technische Lösung bei der forensischen Datengewinnung ist der Zugriff über so genannte Wartungs- oder Service-Modi, den die meisten Hersteller von mobilen Geräten vorsehen, um im Service-Fall Zugriff zu erhalten. Diese Wartungs- oder Service-Modi können über bestimmte Tastenkombinationen auch von IT-Forensikern für die Datenakquise genutzt werden. Bei einigen Smartphones, die das System Android nutzen, kann man z.B. das Smartphone ausschalten und mit der Tastenkombination „Lautstärke verringern + Einschalttaste“ in den Modus gelangen, um auf das System einen Bootloader einzuspielen (Ein Bootloader ist ein Startprogramm, welches die Firmware eines Smartphones oder Handys lädt und anschließend Teile des Betriebssystems, wie zB. den Kernel.). Aber, das trifft nicht auf alle Geräte zu und ein Zugriff ist damit auch noch nicht gewährleistet. Hersteller von spezieller Forensik-Hardware müssen daher teilweise eigene Bootloader programmieren. Eine weitere Möglichkeit ist, das JTAG (Join Test Action Group) durchzuführen. Dabei handelt es sich um eine Hardwareschnittstelle, die entwickelt wurde, um Schaltkreise und Hardware von Geräten zu testen und diese zu analysieren (debuggen). Verfügt man über diese spezielle Ausrüstung, kann man über diese Schnittstelle ebenfalls sehr viele Daten gewinnen, vergleichbar mit einer „Physical Extraction“, zu der im Weiteren noch Bezug genommen wird.

Aus einer Extraktion mittels JTAG die Daten im Klartext lesbar zu dekodieren, stellt sich häufig als problematisch dar. Das Dekodieren der Roh-Daten von mobilen Endgeräten ist eine Königsdisziplin und wird von sehr wenigen Herstellern mobiler Forensik-Hard- und Software ausreichend gut unterstützt. Beim Dekodieren werden die Roh-Daten aus den mobilen Endgeräten so aufbereitet, dass die wichtigsten Informationen für Ermittler lesbar und übersichtlich ausgewertet werden können. Nach diesem Prozess liegen die Informationen z.B. aus einem Smartphone in der Form vor, wie sie auch auf einem mobilen Endgerät sichtbar wären. Der einzige Unterschied ist, dass auch Daten aus gelöschten Bereichen rekonstruiert werden können.

Oftmals sind Beschuldigte von einer Durchsuchungsmaßnahme so überrascht, dass diese „versehentlich“ ein Mobiltelefon fallen lassen, um es zu zerstören. Häufig geht dabei das Display zu Bruch und es wird schwierig, aus dem Gerät brauchbare Resultate zu erzielen. Jedoch gibt es auch hierfür technische Möglichkeiten, denn bei sehr vielen Mobiltelefonen oder Smartphones lassen sich die Hauptplatinen mit den aufgelöteten Speicherbausteinen ausbauen. Die entnommenen Kernelemente können dann in ein weiteres Gehäuse verbaut werden, um über die Datenschnittstelle eine erfolgreiche Extraktion durchzuführen, sofern man nicht über eine JTAG-Ausrüstung verfügt.

Unabhängig davon gibt es grundsätzlich vier Möglichkeiten der Datenextraktion von mobilen Geräten:
1. Physical Extraction
2. Filesystem Extraction
3. Advanced Logical Extraction
4. Logical Extraction

Bei der „Physical Extraction“ wird eine eins-zu-eins-Kopie des Speicherinhaltes erstellt, man spricht auch von einer bitweisen Kopie eines Speichermediums. Dabei können fast alle Daten aus einem mobilen Gerät extrahiert werden. Ein großer Vorteil der „Physical Extraction“ ist das Wiederherstellen von sehr vielen gelöschten Daten, da es bei Flash-Speichern nicht das vergleichbare Überschreiben wie bei Festplatten gibt, sondern die Speicherverwaltung anders aufgebaut ist. Bei diversen Modellen von Smartphones oder Mobiltelefonen ist der Erfolg einer „Physical Extraction“ abhängig davon, ob dem Forensiker oder Ermittler der Entsperrcode von einem Beschuldigten ausgehändigt wurde. Löscht ein Beschuldigter Informationen auf einem Smartphone oder auf einem anderen mobilen Endgerät, so kann der Ermittler dennoch auf diese Daten zugreifen.

Bei der so genannten „Filesystem Extraction“ kann ein Großteil des Filesystems zusätzlich zu den Benutzerdaten extrahiert werden. Diese Art der Extraktion wird meistens dann angewandt, wenn eine „Physical Extraction“ nach dem aktuellen Stand der Technik nicht möglich ist. Nicht alle mobilen Endgeräte lassen sich vollständig auslesen. Man hat unter anderem auch die Möglichkeit, von einer SIM-Karte eine Filesystem-Extraktion durchzuführen, um eventuell damit an Daten zu gelangen, die mit einer rein logischen Extraktion nicht gewonnen werden können.

Bei der „Advanced Logical Extraction“ können bei iOS (iPhones etc.) die logisch vorhandenen Daten extrahiert werden, jedoch zusätzlich auch Teile aus dem System des iOS-Gerätes. Eine weitere Extraktion ist die „Logical Extraction“. Dabei kann lediglich auf die vom Benutzer erstellten Daten zugegriffen werden. Gelöschte oder versteckte Daten sind bei der „Logical Extraction“ nicht extrahierbar. Es empfiehlt sich, sofern technisch machbar, immer die bestmögliche Extraktion mit der höchst möglichen Datenausbeute auszuwählen und durchzuführen. Bei den unterschiedlichen Extraktionen kann z.B. das UFED Touch oder der UFED4PC-Phone-Adapter der Firma Cellebrite Ltd. zum Einsatz kommen. Insbesondere die UFED-Serie von Cellebrite hat sich im Umfeld der Ermittlungsbehörden stark etabliert und liefert hervorragende Ergebnisse.

Es gibt natürlich noch weitere Möglichkeiten, Daten aus einem mobilen Endgerät zu extrahieren. Hierauf soll nur kurz eingegangen werden, da diese nicht so häufig genutzt werden. Ein Grund hierfür ist zumeist die unverhältnismäßige Höhe der Kosten dieser speziellen Extraktionen. Oftmals hat ein Straftäter noch die Chance, während einer Flucht sein Smartphone auszuschalten oder zu zerstören. Dabei können Teile unbrauchbar werden. Sofern z.B. die Datenschnittstelle noch vorhanden und intakt aussieht, kann man bei vielen Geräten das Gehäuse vorsichtig öffnen, um an die Platine im Inneren eines Gerätes zu gelangen. Mittels Austausch einzelner Bestandteile eines Smartphones, wie z.B. des Displays durch neue Bauteile, hat man wiederum die Möglichkeit, auf die Daten zugreifen zu können. Die modulare Aufbauweise vieler mobiler Endgeräte ermöglicht es, dass diese auseinander- und wieder zusammensetzbar sind. Ein weiterer Weg an die Daten zu gelangen, die auf den Flash-Speichermodulen abgelegt werden, ist das sogenannte „Chip-Off“ Verfahren. Dabei werden ganze Speicherbausteine von der Platine des Gerätes entfernt und über zusätzliche Hardware wieder angeschlossen.

Fortsetzung in Teil 3 des Beitrages am kommenden Montag …

 

(Der vollständige Artikel von Herrn Marko Rogge ist in der Printausgabe von „Der Kriminalist“ Ausgabe 06/2015 ab Seite 29 erschienen. Seine hier vorliegende Blogbeitragserie wurde mit freundlicher Genehmigung des Verlags von Herrn Rogge für unseren Blog aufbereitet.)

Informationen zum Autor finden sich unter Teil 1 des Beitrages von Herrn Rogge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code