Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 6

(Letzter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

 

Trojaner, Spyware und mehr: Malware identifizieren und analysieren

Trojaner oder Malware für Mobiltelefone gibt es schon viele Jahre – beispielsweise gab es bereits in den 90er Jahren viele Schädlinge für das Betriebssystem Symbian, das von Nokia entwickelt wurde. Diese dienten meist dazu, kostspielige Kurzmitteilungen an Mehrwertdienste zu versenden oder auch das Mikrofon als Wanze zu nutzen. Nun erscheinen allerdings zunehmend Meldungen von Trojanern für iPhones oder Android-Smartphones in den einschlägigen Medien, die gezielt Daten ausspionieren oder die zum Zwecke der Wirtschaftsspionage verbreitet werden.

Das Entdecken solcher Schädlinge ist immer noch den großen Anti-Viren-Herstellern vorbehalten. Herkömmliche Spyware wird dabei von den meisten Anti-Viren-Herstellern erkannt und kann relativ leicht entfernt werden. Voraussetzung hierfür ist allerdings, dass der Anwender eine Anti-Viren-Schutz-Software auf seinem Smartphone installiert hat und diese aktuell ist. Obwohl für alle bekannten Systeme von mobilen Endgeräten bereits Malware bekannt wurde, hat etwa der Hersteller Apple (Stand Mai 2015) Anti-Viren-Produkte aus seinem Store entfernen lassen. Man war der Meinung, dass es für das Apple-System, z.B. für iPhones keinen Sinn macht, die Programme anzubieten, da diese in einer Sandbox laufen und nicht nach Viren scannen können. Dass Schädlinge für iOS jedoch durchaus existieren, wurde zu Beginn 2015 aus China vermeldet, wo tausende Geräte infiziert wurden.

Malware gefunden
Malware gefunden

Es ist im übrigen gerade im Bereich der Forensik nicht ausreichend, sich bei der Entdeckung und dem Schutz vor Malware auf einen Anti-Viren-Hersteller zu verlassen. Dies wird beispielsweise relevant, wenn eine fremde Person unter Verwendung eines Trojaners über das eigene Smartphone eine Straftat begangen hat und die eigene Unschuld bewiesen werden soll. Oftmals werden Trojaner oder Spyware auch benutzt, um z.B. den Ehe-Partner auszuspionieren, was natürlich eine strafbare Handlung darstellt. Um derartige Spionageversuche nachzuweisen, helfen Methoden der mobilen Forensik.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 2

(Zweiter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

Technische Extraktionsmöglichkeiten

Wie also gelangt ein Forensiker an wertvolle Daten? Wichtig ist, dass Ermittler vor Ort im besten Fall gemeinsam mit IT-Forensikern darüber entscheiden sollten, wie relevante Geräte sichergestellt werden können und sollen. Eingeschaltete mobile Endgeräte müssen dabei unbedingt über ausreichend Strom verfügen. Zudem sollten keine Aktivitäten mehr am Gerät direkt durchgeführt werden, es sei denn, der Flugmodus wurde eingeschaltet. Dies ist immer dann notwendig, wenn Ermittler nicht wissen, ob es außerhalb der Durchsuchungsmaßnahme mögliche Mitbeschuldigte oder Personen gibt, die ein mobiles Endgerät fernlöschen lassen könnten. Ausnahmen der Nutzung eines mobilen Gerätes vom Beschuldigten sind sicherlich möglich, wenn dies unter der Aufsicht eines Ermittlungsbeamten erfolgt. Zudem sollten direkt SIM-PIN (Personal Identification Number) und mögliche Sperrcodes aller Geräte bei der beschuldigten Person erfragt und notiert werden. Speziell dafür geeignete Taschen, so genannte Faraday-Bags sorgen zusätzlich dafür, mobile Endgeräte abgeschirmt vom mobilen Netzwerk zu transportieren und dann mit einer zusätzlichen Stromquelle zu verbinden. Somit kann sichergestellt werden, dass alle Kommunikationswege abgeschnitten wurden und weder Daten gelöscht noch manipuliert werden können.

Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,  die wiederhergestellt wurden.
Umfassende Extraktion eines Smartphone – rote Klammern stellen gelöschte Daten dar,
die wiederhergestellt wurden.

Dass sich die Extraktionsmöglichkeiten je nach System eines Telefonherstellers unterscheiden, wird im Verlauf weitergehend erläutert.

Weiterlesen

Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 1

Nachdem der Beitrag „Digitale Ermittlungen“ von Marko Rogge am 23. Februar diesen Jahres so gut bei unseren Lesern angekommen ist, hat sich Herr Rogge bereit erklärt, seinen Einblick in das Feld der digitalen Forensik mit einer Serie von Beiträgen für unseren Blog zu erweitern. Diese werden ab heute wöchentlich erscheinen:

Die mobile Forensik ist eine junge und herausfordernde Form der IT-Forensik. Je weitreichender und detaillierter ein Beschluss z.B. zur Beschlagnahme von EDV-Geräten und mobilen Geräten gefasst ist, umso erfolgreicher ist in der Regel das Ergebnis einer mobilen Forensik-Maßnahme. Meine Serie von Beiträgen befasst sich in diesem Kontext zum größten Teil mit den grundlegenden forensischen Arbeitsmöglichkeiten für Strafverfolgungs- und Ermittlungsbehörden. Auf rein technischer Ebene sind zwar noch deutlich mehr Möglichkeiten gegeben, um Daten aus mobilen Endgeräten zu erlangen – jene Methoden sind bislang aber noch nicht von den Gerichten anerkannt.

Mobile Endgeräte wie Smartphones, Tablets aber auch Navigationsgeräte sind heutzutage aus dem alltäglichen Leben nicht mehr wegzudenken. In der Strafverfolgung spielen aber auch herkömmliche Mobiltelefone (z.B. Pre-Paid-Handys) weiterhin eine wesentliche Rolle bei der Aufklärung von Straftaten.

Mobile Forensik

Planung und Verabredungen zu Straftaten werden dabei häufig noch über herkömmliche Kommunikationswege getätigt, wie z.B. über Kurzmitteilungen (SMS). Sehr wichtig sind daher bei den diversen Deliktsbereichen immer noch Anruflisten, da diese deutlich zeigen, wer mit wem in Kontakt stand. In den europäischen Breitengraden werden nach wie vor SIM-Karten in mobilen Geräten eingesetzt, was allerdings nicht mehr überall auf der Welt der Fall ist. Auch diese enthalten eine Fülle an Daten, die für Ermittler von enormer Bedeutung sein können. Für eine Auswertung ist es dabei natürlich wichtig, dass Rufnummern zuverlässig einem Beschuldigten zugeordnet werden können.

Weiterlesen