Mobile Forensik - Kapitel 08 PDF

8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 1 MOBILE DEVICE FORENSICS „Mobile device forensics is a branch of digital forensics that...

8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 1 MOBILE DEVICE FORENSICS „Mobile device forensics is a branch of digital forensics that deals with extracting, recovering, and analyzing digital evi- dence or data from a mobile device under forensically sound conditions.“ Skulkin, Tindall und Tamma (2018) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 2 DATEN AUF EINEM MOBILTELEFON ▶ Die Daten auf einem Mobiltelefon sind wichtig ▶ Anrufe, SMS, Mails, …→ Sowohl gesendet, als auch empfangen ▶ GPS-Informationen ▶ Der Bedarf der Analyse wird verdeutlicht durch: Persönliche Informationen Onlineaktivitäten Nutzung als Tatmittel ▶ Forensisches Vorgehen z.B. abhängig vom Betriebssystem X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 3 VORGEHEN IN DER MOBILEN FORENSIK 1. Vorbereitung 2. Sicherstellung und Isolation 3. Extraktion bzw. Sicherung 4. Untersuchung und Analyse 5. Berichten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 4 VORBEREITUNG ▶ Besitzer identifizieren ▶ Modell, OS, usw. feststellen ▶ Frage: Welche Daten sind von Relevanz? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 5 SICHERSTELLUNG UND ISOLATION ▶ Dieser Schritt ist im Kontext der mobilen Forensik besonders wichtig ▶ Veränderungen am Gerät müssen verhindert bzw. minimiert werden ▶ Im entsperrten Zustand bestimmte Optionen aktivieren (Entwickleroptionen → USB Debugging, Stay Awake und Screen Timeout) ▶ Write-Blocker (klassische Computerforensik) können nicht genutzt werden, da Interaktion mit dem Gerät notwendig ist X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 6 SICHERSTELLUNG UND ISOLATION ▶ Kommunikation mit Mobilfunknetzen und über andere (kabellose) Protokolle muss verhindert werden ▶ Manipulationen von außen unterbinden durch: Flugzeugmodus (Airplane Mode) Faraday Bags X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 7 EXTRAKTION BZW. SICHERUNG ▶ Methode abhängig von: OS Hersteller Modell ▶ Unterscheidung von vier Extraktionsmethoden: Manuelle Sicherung → Das Gerät wird genutzt, um die Daten zu sichten Logische Sicherung → Die API des Herstellers wird genutzt, um (selektierte) Daten zu extrahieren Dateisystem-Sicherung → Sicherung auf Ebene des Dateisystems Physikalische Sicherung → Bitweise Extraktion des Speichers X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 8 UNTERSUCHUNG UND ANALYSE ▶ Verschiedene Tools können/müssen genutzt werden, um die Daten aufzubereiten und anschließend zu analysieren ▶ Evtl. muss auch eine Auswertung auf Byte-Ebene durchgeführt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.1 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG I 9 BERICHTEN ▶ Dokumentation muss während es gesamten Prozesses erfolgen ▶ Wichtige Punkte: Datum und Zeit der Analyse Äußere Zustand des Asservats Status: an- oder ausgeschaltet Hersteller, Modell und OS Fotos des Asservats Genutzte Tools Daten, die während der Extraktion/Analyse entstehen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 10 CELL PHONE FORENSICS „Cell Phone Forensics is the process of recovering cellular- related data through a forensic examination using validated means.“ Bair (2018) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 14 LOGISCHE DATEN ▶ Limitiert ▶ Agent benötigt, um die Daten abzurufen ▶ Logische Daten können oft auch ohne Spezialwissen analysiert werden ▶ Daten können sein: SMS, MMS, Bilder, Kontakte, Anruflisten, Chats, Videos, Browser-Verlauf, Bookmarks, GPS, Applikationen, … X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 15 PHYSIKALISCHE DATEN ▶ Im Normalfall deutliche längere Extraktionszeiten ▶ Wiederherstellung von gelöschten Dateien einfacher ▶ Physikalische Daten können in der Regel nur von Spezialisten extrahiert/analysiert werden ▶ Evtl. händisches Carven auf den Daten notwendig ▶ Auch fortgeschrittene Methoden möglich Nicht-Destruktive Techniken (z.B. Bootloader) Destruktive Techniken (z.B. Chip-Off) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 16 VALIDIERUNG ▶ Validierung ist sehr wichtig im Bereich der Forensik ▶ Ziel: Gefundene Artefakte mit Hilfe einer anderen Methode reproduzieren (evtl. rein visuell) ▶ Beispiel: Eine SMS wird auf der physikalischer Ebene analysiert und auf dem Asservat selbst angezeigt ▶ Allgemein existieren vier Arten der Validierung: Visual Validation (manuelle Sichtung) Cross Tool (andere Toll nutzen) Call Detail Records (Auskunft eines Providers) Hand Carving (Analyse auf unteren Ebenen) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 17 VISUAL VALIDATION / MANUELLE VALIDIERUNG ▶ Es wird vereinfacht gesagt die GUI des Asservats genutzt, um ein Artefakt zu reproduzieren ▶ Beispiel SMS: Ein forensisches Tool zeigt des Inhalt einer Nachricht aufgrund einer erfolgten Sicherung an ▶ Visual Validation → die Nachricht wird auf dem Asservat aufgerufen und der Inhalt und/oder die Metadaten verglichen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 18 VISUAL VALIDATION / MANUELLE VALIDIERUNG ▶ Die manuelle Sichtung kann sehr viel Zeit in Anspruch nehmen ▶ Manuelle Sichtung ist wichtig ▶ Unter manchen Umständen kann keine manuelle Sichtung durchgeführt werden: Destruktive Extraktionsmethoden (z.B. Chip-Off) Von vorne herein defektes Gerät ▶ Beispiel SMS: Sind Inhalt und Metadaten in der Aufbereitungen und auf dem Asservat gleich? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 19 VISUAL VALIDATION Aufbereitung der Sicherung ? = Sichtung auf Asservat X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 20 CROSS TOOL VALIDATION / ABGLEICH VON TOOLS ▶ Im Normalfall sollten Forensiker mehr als eine Software zur Verfügung haben, um Daten aufzubereiten ▶ Die aufbereiteten Ergebnisse können anschließend miteinander verglichen werden ▶ Beispiel SMS: Sind Inhalt und Metadaten in beiden Aufbereitungen gleich? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 21 CROSS TOOL VALIDATION Aufbereitung der Sicherung mit Software A ? = Aufbereitung der Sicherung mit Software B X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 22 CALL DETAIL RECORD VALIDATION / ABGLEICH VON VERBINDUNGSDATEN ▶ Verbindungsdaten können von Mobilfunk-Providern abgefragt werden (juristische, nicht technische Fragestellung!) ▶ Somit können z.B. veränderte Daten (Spoofing) auf dem Asservat identifiziert werden ▶ Beispiel Anruf: Sind die Zeiten und Teilnehmer eines Anrufs in der Sicherung (und/oder auf dem Asservat) und in den Verbindungsdaten gleich? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 23 CALL DETAIL RECORDS VALIDATION ? Verbindungsdaten ? = = Aufbereitung Sichtung auf der Sicherung Asservat X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 24 HAND CARVING VALIDATION / ABGLEICH VON MANUELL IDENTIFIZIERTEN ARTEFAKTEN ▶ Hand Carving bezeichnet eine Methode der Analyse von Inhalten innerhalb des Dateisystems im kodierten Zustand ▶ Kann auf Dateisystem- oder Binärebene (bei physikalischer Sicherung) erfolgen ▶ Beispiel MMS: Ist das dazugehörige Bild einer MMS korrekt durch die Software aufbereitet worden? X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.2 EINFÜHRUNG IN DIE MOBILE FORENSIK — EINFÜHRUNG II 25 HAND CARVING VALIDATION ? Manuelles Carving ? = = Aufbereitung Sichtung auf der Sicherung Asservat X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.3 EINFÜHRUNG IN DIE MOBILE FORENSIK — HERAUSFORDERUNGEN 26 HERAUSFORDERUNGEN ▶ Veränderungen verhindern Das Einschalten eines Geräts kann Daten verändern Bewusst oder unbewusst durch Forensiker Anders als klassischen Computerforensik: Mobile Geräte können nicht durchgehend im ausgeschalteten Zustand untersucht werden ▶ Unterschiedliche Konfigurationen Android (viele Hardwarevarianten) iOS Blackberry Windows … X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.3 EINFÜHRUNG IN DIE MOBILE FORENSIK — HERAUSFORDERUNGEN 27 HERAUSFORDERUNGEN ▶ Sicherheisfeatures Umgehen von Sicherheitsfeatures, z.B. Passcodes Geräteverschlüsselung ▶ Justiz/Strafverfolgung … X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Skulkin, Tindall und Tamma (2018) 8.5 EINFÜHRUNG IN DIE MOBILE FORENSIK — SIM-KARTEN 51 SIM-KARTEN ▶ Subscriber Identity Module (SIM) ▶ SIM-Karten haben ihre Größe im Laufe der letzten Jahre (stark) verändert ▶ Eigentlich wurde immer nur das Material um den Chip weniger... ▶ Universal Integrated Circuit Card (UICC) ▶ Methoden bzgl. der Sicherung der Nutzerdaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.5 EINFÜHRUNG IN DIE MOBILE FORENSIK — SIM-KARTEN 53 SPEICHER ▶ Unterschiedliche Speicher sind vorhanden ▶ ROM für Firmware, OS und Applikationen ▶ RAM für Teile des OS und Applikationen ▶ EEPROM für Nutzer- und Netzwerkdaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.5 EINFÜHRUNG IN DIE MOBILE FORENSIK — SIM-KARTEN 54 DATEISYSTEM ▶ Drei Komponenten des Dateisystems ▶ Master File (MF) → Root Directory ▶ Dedicated File (Df) → Verzeichnis ▶ Elementary File (EF) → Daten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.5 EINFÜHRUNG IN DIE MOBILE FORENSIK — SIM-KARTEN 55 MEHRERE NETZE ▶ Wenn die SIM-Karte mehrere Netze/Frequenzen bedienen soll, existieren mehrere DF-Verzeichnisse unter einem MF-Verzeichnis ▶ Innerhalb der DF-Verzeichnisse befinden sich die EF-Dateien, die jeweils zu einem Netz gehören ▶ Im MF-Verzeichnis sind ebenfalls direkt EF-Dateien hinterlegt, z.B. für den Integrated Circuit Card Identifier (ICCID) ▶ Aber: Zwei Standards → SIM und USIM ▶ USIM wird heute meistens genutzt und besitzt eine größere Kapazität X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018) 8.5 EINFÜHRUNG IN DIE MOBILE FORENSIK — SIM-KARTEN 56 DATEN ▶ Viele Dateien auf einer SIM-Karte beinhalten Daten der genutzten Protokolle ▶ Andere Dateien können als Beweismittel wichtig sein → Verknüpfung zu Nutzer möglich ▶ Seit einiger Zeit werden die ehemals genutzten Bereiche auf das Endgerät ausgelagert (z.B. SMS) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Bair (2018)

Mobile Forensik - Kapitel 08 PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue