Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 1

Nachdem der Beitrag „Digitale Ermittlungen“ von Marko Rogge am 23. Februar diesen Jahres so gut bei unseren Lesern angekommen ist, hat sich Herr Rogge bereit erklärt, seinen Einblick in das Feld der digitalen Forensik mit einer Serie von Beiträgen für unseren Blog zu erweitern. Diese werden ab heute wöchentlich erscheinen:

Die mobile Forensik ist eine junge und herausfordernde Form der IT-Forensik. Je weitreichender und detaillierter ein Beschluss z.B. zur Beschlagnahme von EDV-Geräten und mobilen Geräten gefasst ist, umso erfolgreicher ist in der Regel das Ergebnis einer mobilen Forensik-Maßnahme. Meine Serie von Beiträgen befasst sich in diesem Kontext zum größten Teil mit den grundlegenden forensischen Arbeitsmöglichkeiten für Strafverfolgungs- und Ermittlungsbehörden. Auf rein technischer Ebene sind zwar noch deutlich mehr Möglichkeiten gegeben, um Daten aus mobilen Endgeräten zu erlangen – jene Methoden sind bislang aber noch nicht von den Gerichten anerkannt.

Mobile Endgeräte wie Smartphones, Tablets aber auch Navigationsgeräte sind heutzutage aus dem alltäglichen Leben nicht mehr wegzudenken. In der Strafverfolgung spielen aber auch herkömmliche Mobiltelefone (z.B. Pre-Paid-Handys) weiterhin eine wesentliche Rolle bei der Aufklärung von Straftaten.

Mobile Forensik

Planung und Verabredungen zu Straftaten werden dabei häufig noch über herkömmliche Kommunikationswege getätigt, wie z.B. über Kurzmitteilungen (SMS). Sehr wichtig sind daher bei den diversen Deliktsbereichen immer noch Anruflisten, da diese deutlich zeigen, wer mit wem in Kontakt stand. In den europäischen Breitengraden werden nach wie vor SIM-Karten in mobilen Geräten eingesetzt, was allerdings nicht mehr überall auf der Welt der Fall ist. Auch diese enthalten eine Fülle an Daten, die für Ermittler von enormer Bedeutung sein können. Für eine Auswertung ist es dabei natürlich wichtig, dass Rufnummern zuverlässig einem Beschuldigten zugeordnet werden können.

Weiterlesen

Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgeführt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schützen und keine Blaupausen für kriminelle Aktivitäten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren Beiträgen unterstützen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprägt, immer und überall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein größerer Bildschirm zum Surfen benötigt wird, geht man in das nächste Internet Cafe, nutzt öffentliche Rechner der Schule, Universitäten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die Ratschläge der Profis befolgt, der besitzt für alle Zugänge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafür, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgeführt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusätzlich einen begleitenden Facebook-Account eröffnet (was natürlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wäre). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlüsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich überall ordnungsgemäß aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prüfen, ob das tatsächlich der Fall war:

Weiterlesen