Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 3

(Dritter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Königsdisziplin Dekodierung – zeigt her Eure Daten
Die wahre Kunst der mobilen Forensik ist das so genannte Dekodieren, also das Entschlüsseln von Informationen und das Erzeugen einer lesbare Darstellung. Die hohe Anzahl von Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung ist dabei eine enorme Herausforderung für Hersteller von forensischer Software und Hardware. Hersteller von mobilen Endgeräten benutzen unterschiedliche Betriebssysteme (z.B. iOS, BlackBerry OS, Android, Symbian), Filesysteme (z.B. NTFS, HFS, Ext) und Speichermethoden, um Daten aus den Geräten verfügbar zu machen. Daraus resultieren unterschiedliche Kodierungen für die Darstellung von Inhalten und auch Ort bzw. Art der Ablage von Daten. Einige Hersteller benutzen eigene Formate, während andere auf SQLite setzen. Dennoch ist es erheblich, dass wenn möglich alle Informationen aus einem mobilen Endgerät extrahiert werden … oder zumindest der größte Teil dieser Daten. Anschließend müssen die Daten nachgebaut und in eine lesbare Form interpretiert werden, was den wichtigsten Schritt des Dekodierens darstellt.

Das Dekodieren von Daten aus Smartphones bietet auch die Möglichkeit, gelöschte Daten wiederherzustellen. Dies ist meistens möglich, wenn Speicherbereiche noch nicht mit neuen Daten überschrieben wurden. Die Hersteller von Smartphones nutzen im Betriebssystem die Möglichkeit, dass vom Benutzer gelöschte Daten nur mit einem sogenannten Flag versehen werden. Das Flag sagt dem Betriebssystem, dass diese Daten nicht mehr dargestellt werden und als gelöscht gelten. In sehr vielen Fällen ist dieser Umstand nutzbar und die Daten können problemlos rekonstruiert werden. Leider gibt es allerdings keine Garantie dafür, dass dies bei allen Geräten, Betriebssystemen oder Speichermedien so vorzufinden ist.

Besonderheiten von iOS – iPhones und iPads
Dem Hersteller Apple sei bescheinigt, dass er einiges unternommen hat, um Ermittlern den Weg zu den Daten in den iOS-Devices erheblich zu erschweren. Unterschiedliche und teilweise auch weitreichende Möglichkeiten an Extraktionen sind dennoch gegeben und auch das Umgehen von Sperrcodes einiger Geräte ist durchführbar. Ein paar Tipps und Tricks können insbesondere bei iOS-Devices hilfreich sein, um eine große Menge an Daten aus diesen mobilen Endgeräten erfolgreich extrahieren zu können: So ist es z.B. möglich, ein gesperrtes iPhone zu entsperren, selbst wenn ein Beschuldigter sich nicht kooperativ zeigt und den Gerätesperrcode nicht preisgeben will. Einzig wichtig dafür ist, dass man den Laptop oder den Computer des Beschuldigten ebenfalls beschlagnahmt hat, mit dem sich das iPhone einmalig oder permanent synchronisiert hat. Vorteil für jeden Ermittler ist, dass es ein Backup des Files gibt, welches den Sperrcode beinhaltet. Diese Datei, eine *.plist-Datei, kann man dann in einer speziellen Software dem iPhone während der Extraktion zuführen, um so die Sperre des Gerätes aufzuheben. Sofern das Backup – respektive die *.plist-Datei – nicht ebenfalls verschlüsselt ist.

Eine weitere Möglichkeit, Daten aus einem iOS-Device extrahieren zu können ist, dass ein iOS-Device bereits vom User bzw. vom Beschuldigten mit einem Jailbreak versehen wurde. Meistens wird dies durchgeführt, um auf einen weiteren App-Store (z.B. Cydia) zugreifen zu können, der viele Apps kostenlos bereitstellt. Dass hierbei auch die Sicherheitsmechanismen des Systems ausgehebelt werden, ist vielen Anwendern nicht bekannt. Auf diese Weise wird den Forensikern oder Ermittlern eine weitere Möglichkeit geboten, auf Daten in iOS-Devices zugreifen zu können. Über die frei verfügbare Software „usbmuxd“ kann man über USB oder SSH eine Verbindung unter Eingabe des sogenannten Root-Passwortes aufbauen. Da dieses Passwort bei den meisten Jailbreaks unverändert bleibt, hat man damit erfolgreich eine Verbindung zum iPhone hergestellt und benötigt keinen Sperrcode, selbst wenn dieser auf dem Gerät eingestellt ist.

Fortsetzung in Teil 4 des Beitrages am kommenden Dienstag…

 

(Der vollständige Artikel von Herrn Marko Rogge ist in der Printausgabe von „Der Kriminalist“ Ausgabe 06/2015 ab Seite 29 erschienen. Seine hier vorliegende Blogbeitragserie wurde mit freundlicher Genehmigung des Verlags von Herrn Rogge für unseren Blog aufbereitet.)

Informationen zum Autor finden sich unter Teil 1 des Beitrages von Herrn Rogge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code