Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 6

(Letzter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

 

Trojaner, Spyware und mehr: Malware identifizieren und analysieren

Trojaner oder Malware für Mobiltelefone gibt es schon viele Jahre – beispielsweise gab es bereits in den 90er Jahren viele Schädlinge für das Betriebssystem Symbian, das von Nokia entwickelt wurde. Diese dienten meist dazu, kostspielige Kurzmitteilungen an Mehrwertdienste zu versenden oder auch das Mikrofon als Wanze zu nutzen. Nun erscheinen allerdings zunehmend Meldungen von Trojanern für iPhones oder Android-Smartphones in den einschlägigen Medien, die gezielt Daten ausspionieren oder die zum Zwecke der Wirtschaftsspionage verbreitet werden.

Das Entdecken solcher Schädlinge ist immer noch den großen Anti-Viren-Herstellern vorbehalten. Herkömmliche Spyware wird dabei von den meisten Anti-Viren-Herstellern erkannt und kann relativ leicht entfernt werden. Voraussetzung hierfür ist allerdings, dass der Anwender eine Anti-Viren-Schutz-Software auf seinem Smartphone installiert hat und diese aktuell ist. Obwohl für alle bekannten Systeme von mobilen Endgeräten bereits Malware bekannt wurde, hat etwa der Hersteller Apple (Stand Mai 2015) Anti-Viren-Produkte aus seinem Store entfernen lassen. Man war der Meinung, dass es für das Apple-System, z.B. für iPhones keinen Sinn macht, die Programme anzubieten, da diese in einer Sandbox laufen und nicht nach Viren scannen können. Dass Schädlinge für iOS jedoch durchaus existieren, wurde zu Beginn 2015 aus China vermeldet, wo tausende Geräte infiziert wurden.

Malware gefunden
Malware gefunden

Es ist im übrigen gerade im Bereich der Forensik nicht ausreichend, sich bei der Entdeckung und dem Schutz vor Malware auf einen Anti-Viren-Hersteller zu verlassen. Dies wird beispielsweise relevant, wenn eine fremde Person unter Verwendung eines Trojaners über das eigene Smartphone eine Straftat begangen hat und die eigene Unschuld bewiesen werden soll. Oftmals werden Trojaner oder Spyware auch benutzt, um z.B. den Ehe-Partner auszuspionieren, was natürlich eine strafbare Handlung darstellt. Um derartige Spionageversuche nachzuweisen, helfen Methoden der mobilen Forensik.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 5

(Fünfter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Analyse mehrerer Geräte

Je nachdem, um was für eine Straftat es sich handelt, zeigen Täter und Opfer voneinander abweichende Verhaltensmuster. So können Kommunikationsdaten (z.B. in einem Fall von Belästigung durch Kurzmitteilungen) von Täter und Opfer miteinander abgeglichen werden. Mit Hilfe einer grafischen Analyse kann ein Ermittler umgehend erkennen, dass z.B. eine einseitige Kommunikation seitens des Täters stattgefunden hat, was den Tatverdacht der Belästigung erhärten würde. Aber auch bei anderen Straftaten lassen sich Muster ableiten, z.B. aus Positionsdaten, die eine mögliche Planung eines Verbrechens untermauern können.

Link Analyzer
Link Analyzer

Ein weiteres Beispiel für den Nutzen grafischer Analysen: Bei einer Durchsuchungsmaßnahme, die bei einigen Beschuldigten stattgefunden hat, werden dutzende mobile Endgeräte durch die Einsatzkräfte der Polizei sichergestellt. Hierbei handelte es sich um unterschiedliche Geräte, vom Smartphone über einfache Mobiltelefone bis hin zu SIM-Karten der sichergestellten Geräte, aber auch Navigationsgeräte.  Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 4

(Vierter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Zugriffe auf soziale Netzwerke und Cloud-Dienste

Der Zugriff auf Internetdienste wie z.B. GMail (E-Mail Dienst von Google), Dropbox (Datenablagedienst, Cloud), Facebook (Social Network) oder auch Twitter (Micro-Bloggingdienst) gestaltet sich erfahrungsgemäß als sehr problematisch. Oftmals sind die Benutzernamen oder Passwörter der Accounts von Beschuldigten nicht bekannt. Für Ermittler ist es somit oft schwierig, an Daten zu gelangen, die in solchen Internetdiensten gespeichert werden. Entsprechende Beschlüsse für den Zugriff auf diese Internetdienste bieten den rechtlichen Rahmen, um diese Daten beschlagnahmen zu lassen. Die Umsetzung ist jedoch nicht immer unproblematisch, wenn entsprechende Dienste die Daten außerhalb des Zugriffs der europäischen oder deutschen Justiz vorhalten. In enger Zusammenarbeit mit Ermittlern ist der israelischen Firma Cellebrite Ltd. eine Möglichkeit des Zugriffs auf solche Daten gelungen. Ausgehend von der Fülle der Daten, die z.B. in einem Smartphone gespeichert werden, sollte es somit möglich sein, auch einen Zugriff auf Daten aus sozialen Netzwerken zu erhalten. Ein weiterer Grund für die Entwicklung dieser Software war, dass man mit einem Smartphone einen gegenwärtigen Datenstand erhalten kann, der mit dem ersten Einschalten eines Smartphones beginnt und mit dem Datum der Extraktion endet.

Cloud Analyzer – Timeline
Cloud Analyzer – Timeline

Wie aber verhält es sich, wenn das Smartphone sechs Monate vor dem Extrahieren vollständig zurückgesetzt wurde und keine Daten aus den sozialen Netzen mehr vorhanden sind, weil diese nicht vollständig synchronisiert wurden? Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 3

(Dritter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Königsdisziplin Dekodierung – zeigt her Eure Daten
Die wahre Kunst der mobilen Forensik ist das so genannte Dekodieren, also das Entschlüsseln von Informationen und das Erzeugen einer lesbare Darstellung. Die hohe Anzahl von Herstellern, unterschiedlichen Systemen und Schnittstellen zur Datengewinnung ist dabei eine enorme Herausforderung für Hersteller von forensischer Software und Hardware. Hersteller von mobilen Endgeräten benutzen unterschiedliche Betriebssysteme (z.B. iOS, BlackBerry OS, Android, Symbian), Filesysteme (z.B. NTFS, HFS, Ext) und Speichermethoden, um Daten aus den Geräten verfügbar zu machen. Daraus resultieren unterschiedliche Kodierungen für die Darstellung von Inhalten und auch Ort bzw. Art der Ablage von Daten. Einige Hersteller benutzen eigene Formate, während andere auf SQLite setzen. Dennoch ist es erheblich, dass wenn möglich alle Informationen aus einem mobilen Endgerät extrahiert werden … oder zumindest der größte Teil dieser Daten. Anschließend müssen die Daten nachgebaut und in eine lesbare Form interpretiert werden, was den wichtigsten Schritt des Dekodierens darstellt.
Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 1

Nachdem der Beitrag „Digitale Ermittlungen“ von Marko Rogge am 23. Februar diesen Jahres so gut bei unseren Lesern angekommen ist, hat sich Herr Rogge bereit erklärt, seinen Einblick in das Feld der digitalen Forensik mit einer Serie von Beiträgen für unseren Blog zu erweitern. Diese werden ab heute wöchentlich erscheinen:

Die mobile Forensik ist eine junge und herausfordernde Form der IT-Forensik. Je weitreichender und detaillierter ein Beschluss z.B. zur Beschlagnahme von EDV-Geräten und mobilen Geräten gefasst ist, umso erfolgreicher ist in der Regel das Ergebnis einer mobilen Forensik-Maßnahme. Meine Serie von Beiträgen befasst sich in diesem Kontext zum größten Teil mit den grundlegenden forensischen Arbeitsmöglichkeiten für Strafverfolgungs- und Ermittlungsbehörden. Auf rein technischer Ebene sind zwar noch deutlich mehr Möglichkeiten gegeben, um Daten aus mobilen Endgeräten zu erlangen – jene Methoden sind bislang aber noch nicht von den Gerichten anerkannt.

Mobile Endgeräte wie Smartphones, Tablets aber auch Navigationsgeräte sind heutzutage aus dem alltäglichen Leben nicht mehr wegzudenken. In der Strafverfolgung spielen aber auch herkömmliche Mobiltelefone (z.B. Pre-Paid-Handys) weiterhin eine wesentliche Rolle bei der Aufklärung von Straftaten.

Mobile Forensik

Planung und Verabredungen zu Straftaten werden dabei häufig noch über herkömmliche Kommunikationswege getätigt, wie z.B. über Kurzmitteilungen (SMS). Sehr wichtig sind daher bei den diversen Deliktsbereichen immer noch Anruflisten, da diese deutlich zeigen, wer mit wem in Kontakt stand. In den europäischen Breitengraden werden nach wie vor SIM-Karten in mobilen Geräten eingesetzt, was allerdings nicht mehr überall auf der Welt der Fall ist. Auch diese enthalten eine Fülle an Daten, die für Ermittler von enormer Bedeutung sein können. Für eine Auswertung ist es dabei natürlich wichtig, dass Rufnummern zuverlässig einem Beschuldigten zugeordnet werden können.

Weiterlesen

Kinder- und Jugendschutz 2.0 – ein Spiel entsteht

André Schmitz, Geschäftsführer der waza! UG, nimmt in seinem heutigen Gastbeitrag Bezug auf die Entwicklung einer Präventionslösung für den Kinder- und Jugendmedienschutz, die bei einer Tagung an der Fachhochschule der Polizei des Landes Brandenburg ihren Ausgangspunkt hatte:

Am 05. Juni 2014 traf man sich in Oranienburg um den Medienschutz für die Jüngsten in unserer Gesellschaft von allen Seiten fachlich zu begutachten. Meine Aufgabe war es dabei, die Perspektive der Medienbranche einzubringen. Warum dieser Tag dazu führte, dass knapp ein Jahr später die ehemalige Bundesministerin der Justiz ein Spiel empfahl, soll hier erzählt werden.

Titelmenü des gemeinsamen Spiels der waza! UG und der Deutschen Kinderhilfe e.V.
Titelmenü des gemeinsamen Spiels der waza! UG und der Deutschen Kinderhilfe e.V.

Als die Grußworte der Fachhochschule und des Innenministers verklungen waren, schlossen sich zunächst Einzelvorträge der anwesenden Experten an – unter anderem von meinem Kollegen Eric Jannot. Nach der Mittagspause folgte das „EXPERTEN-KARUSSELL“ als nächster Programmpunkt. Auch wenn sich der kindliche Teil in mir darunter vorstellte, die versammelten Experten auf ein Jahrmarkt-Karussell zu verfrachten und im Kreis drehen zu lassen, war die Realität bedeutend produktiver. Weiterlesen

Die App zur Tagung: „re:publica 2015“

Vom 5. bis 7. Mai ist es wieder soweit: die re:publica öffnet in Berlin ihre Tore. Als eines der „weltweit wichtigsten Events zu den Themen der digitalen Gesellschaft“ diskutieren dort 6.000 Teilnehmer über den Stand und die Zukunft der Wissensgesellschaft. Publikum wie Vortragende sind dabei keineswegs homogen: Neben Wissenschaftlern beteiligen sich auch Unternehmer, Künstler, Journalisten, Blogger, Bürgerrechtler, Hacker und andere Social Media-Experten an den Diskussionen.

Mit gut 350 Stunden ist das Programm der diesjährigen re:publica umfangreich – so werden 450 Redner aus 45 Ländern erwartet, die auf 17 Bühnen vortragen. Das ist nicht nur für die Organisatoren eine herausfordernde Aufgabe – auch der Besucher kann bei diesem Umfang teilweise zeitgleich stattfindender Veranstaltungen schon mal den Überblick verlieren. Einige iOS– und Android-Developer haben Lösungen gefunden und (inoffizielle) KonferenzApps erstellt, die neben einer Sessions-Übersicht als Kalender oder Liste auch verschiedene Filter für die Suche nach Veranstaltungen im Rahmen der re:publica 2015 bieten.

Für Android sticht hier die App von Alexander Graesel hervor, mit der der Besuch der Konferenz optimal vorbereitet werden kann. Informationen über Speaker sind abrufbar und selbst Twitter-, Flickr- und YouTube-Clients wurden gleich in die App integriert. So findet man z.B. Ankündigungen zu Julia Schramm & Laura Piotrowskis „Vernetzungsstrategien von Neonazis und Wutbürgern„, Thomas Fischers „Strafrecht und Öffentlichkeit„, Jillian York und Eric Grosses „Quo vadis Cyber Security„, Mat Sayers „Big Data and Pre-Crime“ oder auch zu einen Beitrag über „Hacktivism“ von Stefania Milan, Gabriella Coleman, Frank Rieger und Oxblood Ruffin. Es wird also spannend – wir sehen uns dort.

Tagung ‚Strafverfolgung im digitalen Zeitalter‘

Am Mittwoch, den 17. Juni thematisiert das dritte Trierer Forum zum Recht der Inneren Sicherheit (TRIFORIS) in der Mainzer Staatskanzlei aktuelle Themen rund um das Thema Cybercrime. Hierzu zählen etwa neue Entwicklungen der Internetkriminalität, Herausforderungen für das Sicherheitsrecht, Ermittlungen in sozialen Netzwerken oder die Strafverteidigung im Zeitalter der Informationstechnologie.

Unter der Überschrift „Strafverfolgung im digitalen Zeitalter“ wird die Tagung gemeinsam vom Institut für Deutsches und Europäisches Strafprozessrecht und Polizeirecht (ISP) und dem Landeskriminalamt Rheinland-Pfalz veranstaltet und soll den Dialog zwischen Wissenschaft und Praxis fördern.

Unter anderem trägt dort Prof. Dr. Fredrik Roggan (FHPolBB) zum Thema „Das Verbot der Gesetzgebung ‚auf Vorrat‘ und seine Folgen für die Quellen-TKÜ“ vor. Weitere Referenten sind z.B.: Prof. Dr. Mark Zöller (Direktor des Instituts für Deutsches und Europäisches Strafprozessrecht und Polizeirecht an der Universität Trier), Jörg Ziercke (Präsident des Bundeskriminalamts a.D.) und Prof. Dr. Marco Gercke (Direktor des Instituts für Medienstrafrecht der Universität zu Köln). Die Anmeldung zur Teilnahme an der Tagung wird bis zum 10. Juni 2015 erbeten.

Digitale Ermittlungen: Tipp für die mobile Forensik

Der folgende Blogbeitrag von Herrn Marko Rogge bietet einen kleinen Einblick in das weite Feld der digitalen Forensik. Herr Rogge beschreibt darin eine Möglichkeit, im Rahmen von Ermittlungen auf Daten zugreifen zu können, die sich auf SIM-Karten von Mobiltelefonen befinden – auch wenn die PIN-Nummer nicht bekannt ist:

Eine besondere Stellung in der Kriminalistik nimmt zweifelsfrei der Bereich der digitalen Ermittlungen ein. Insbesondere die stark zunehmende Verkleinerung der Technik macht es immer häufiger notwendig, spezielle Technologien einzusetzen, um digitale Ermittlungen voran zu treiben. Eine besondere Form dieser Problematik spiegelt die mobile Forensik wieder. Smartphones werden immer mehr zu Allroundern im Alltag, haben immer umfassendere technische Möglichkeiten und können immer größere Mengen an Daten speichern. Viele Nutzer wissen die immer vielfältiger werdende Einsatzmöglichkeiten der mobilen Wegbegleiter zu schätzen – aber auch Straftäter sind durchaus in der Lage, dieses Potential zu erkennen.

Die Praxis zeigt, dass Straftäter häufig ältere Handymodelle nutzen, die leicht ausgetauscht werden können. Dabei werden SMS und Anruflisten oft direkt auf die SIM-Karte gespeichert. Deren Speichermenge ist zwar überschaubar, doch benötigen SMS und Anruflisten auch nur wenig Speicherplatz und können mit der SIM-Karte leicht von einem Handy zum nächsten mitgenommen werden. Die SIM-Karte ist allerdings meist mit einer PIN-Nummer gesichert, sodass der Weg zu den relevanten Daten ohne Kenntnis der PIN-Nummer zunächst versperrt ist.

Bildschirm des UFED Touch von Cellebrite – Eingabe der neuen PIN nach erfolgreicher Eingabe des PUK.
Bildschirm des UFED Touch

Weiterlesen