Prüfungsansätze Mobiler Forensik

Außer dem Zugriff auf die Basisinformation von Mobiltelefonen, erhalten wir erweiterte Zugriffsmöglichkeiten auf Information wie:

Kontaktlisten einschließlich Mobil- und Haustelefonlisten, Faxnummern, Postadressen, Kontaktfotos , Anrufe in Abwesenheit, Ausgangs- und Eingangsanrufe, SIM-Karten-Daten, Information über Anrufer SIM-Karten-Daten, Organizer Besprechungen, Vereinbarungen, Notizen, Anrufbenachrichtigungen, Jahres- und Geburtstage, Aufgaben des Kalenders, Textnotizen, SMS-Mitteilungen, Protokolle, Ordner und - mit Einschränkungen - gelöschte Mitteilungen, Webbrowser Cache und Weblesezeichen, Aktivität des Life-Blogs: aller Telefonereignisse mit den dazugehörigen geografischen Koordinaten, Datenintegritätsschutz mit Hilfe von folgenden Hash-Algorithmen: MD5, SHA-1, SHA-2, CRC, HAVAL, GOST 34.11-94 , Multimedia-Mitteilungen mit Anhang, E-Mail-Mitteilungen mit Anhang GPRS-, EDGE-, CSD-, HSCSD- und Wi-Fi.

Weiterhin sind Verkehrsprotokolle und Zessionen, Fotos und Galeriebilder, Videoclips und Filme, Sprachaufnahmen und Audioclips, alle Dateien des Telefonspeichers, Flash-Karten einschließlich installierter Anwendungen und dazugehöriger Dateien. FM-Sender-Datenbank (als Teil des Dateibrowsers) auffindbar.

Datentransfer zwischen Mobiltelefonen, Übertragung von Kontakten, Mitteilungen, Fotos, Videos und Audiodateien von einem Gerät auf ein anderes, unabhängig von Herstellern, Modellen und Netzwerkanbietern. Sicherung und Wiederherstellung von Telefoninhalten. Externe Sicherung der Telefoninhalte auf USB-Stick, SD-Karte, remote-Server. Datenübertragung ohne Umwege. Direkte Übertragung von Medieninhalten und Installieren von Applikationen auf die Geräte der Kunden.

Nicht selten benötigen Staatsanwälte oder auch Ermittler Informationen dazu, ob eine Extraktion erfolgreich war oder nicht. 

Leider reicht eine zugesicherte Aussage eines Forensikers da nicht immer aus. Direkte Logfiles während einer Extraktion sind derzeit noch nicht möglich. Aber es gibt durchaus Abhilfe, die in UFED Touch und UFED 4PC leicht zu finden ist. Sie können dazu  jeweils in beiden Anwendungen unter Extras die Option Aktivitätsprotokoll einsehen.
Dabei wird Ihnen schnell auffallen, dass es dort eine Export-Funktion gibt, mit der Sie dann ein Protokoll mit den wichtigen Informationen exportieren können:

• Startdatum
• Enddatum
• Transaktionstyp (Extraktionsart)
• Dauer
• Status (Erfolgreich, Abgebrochen etc.)
• Anbieter (Provider SIM-Karten)
• Modell, Name, Geräteseriennummer (Hersteller und Geräteinformationen)

Damit haben wir deutlich mehr Informationen, die wir als Ermittler oder Forensiker in die Handakte aufnehmen können. Bei den Objekten, die entsprechende Extraktion untermauern können, muss man auch erwähnen, dass die Standardisierungen anerkannter Institute bisher Cellebrite lobend anerkennen.

So zeigt sich häufig in der Praxis, dass Straftäter alte Handymodelle nutzen, weil die SMS und Anruflisten direkt auf dem SIM-Kartenspeicher abgelegt werden. Will man nun an diese Daten gelangen, ist es normalerweise schwierig ohne die PIN. Verfügt man im Rahmen der Analyse über den so genannten PUK der betroffenen SIM-Karte, kann dieses Problem einfach umgangen werden. Denn beim jeweiligen Provider ist die SIM-Karte hinterlegt, die dazu dient, die gesperrte SIM-Karte zu entsperren. Notwendigerweise muss man über die eindeutige Nummer der jeweiligen SIM-Karte Kenntnis haben. Somit ist der Provider in der Lage den PUK zuzuordnen und zu übermitteln. Allerdings ist mitunter die eindeutige Nummer nicht mehr auf der SIM-Karte vermerkt. In solchen Fällen hilft ein Tool: das UFED TUCH ULTIMATE. Mit dem UFED kann jede SIM-Karte ohne vorhandene PIN oder PUK ausgelesen werden indem gesperrte Speicherbereiche einfach übersprungen werden. Da die ID nicht auf einem geschützten Speicherbereich hinterlegt wird und somit sofort ausgelesen werden kann, ist es wiederum möglich über den jeweiligen Provider die PUK anzufordern. Hat man diese erhalten, kann die betreffende SIM-Karte vollständig lückenlos ausgelesen und inklusive eventuell gelöschte Daten extrahiert werden.

Mit Oxygen haben wir ein erweitertes Softwaretool zum Extrahieren von Daten aus mehreren Quellen.

• Enthält die gesamte Funktionalität Analyst
• Findet Passwörter zu verschlüsselten Backups und Bilder
• Deaktiviert die Bildschirmsperre bei gängigen Android OS-Geräten
• Extrahiert Daten aus Clouds: iCloud, Google, Microsoft, etc.
• Bietet Import und Analyse von Anrufdatensätzen
• Visualisiert Routen und gemeinsame Standorte von mehreren Benutzern

Analysieren von Kontakten aus mehreren Quellen wie dem Telefonbuch, Nachrichten, Ereignisprotokoll, Skype, Chat und Messaging-Anwendungen in aAggregated Contacts und zeigt automatisch die gleichen Personen in verschiedenen Quellen und gruppiert sie zusammen in einem Meta-Kontakt.

Rooting auf Android OS basierend Geräten und zeigt den vollständigen Satz von Benutzerdaten an. Im Allgemeinen benötigt dieses Verfahren bestimmte Kenntnisse und Entwicklervorgänge.

Analyst Tool ruft alle wichtigen Anwendungsdaten von mobilen Geräten mit iOS, Android OS, BlackBerry 10, Windows Phone 8 ab und ist in der Lage, App-Datenbanken zu entschlüsseln, auch wenn diese sicher verschlüsselt sind. Derzeit werden 320 einzigartige Anwendungen und 1780+ App-Versionen unterstützt.

Analyst ermöglicht das Importieren und Analysieren von Daten aus verschiedenen Gerätesicherungen und Bildern, die mit Sync-Software oder anderen forensischen Produkten erstellt wurden.

BBB und IPD sind die BlackBerry-Gerätesicherungsdateien, die mit Blackberry Desktop Manager erstellt wurden. Diese Dateien können auf einem verdächtigen Computer oder externen Medien wie CD, DVD, Speicherplatten und Karten etc. gefunden werden. Mit diesem Tool ist man in der Lage, forensisch wichtige Informationen aus Backup-Dateien und Chip-off-Bildern zu extrahieren und zu präsentieren.

Organizer-Bereich zeigt Notizen, Aufgaben und Kalendereinträge an, die vom Gerätebenutzer erstellt oder synchronisiert werden.

Call Data Expert is a forensic program that allows importing and analyzing CDR files (Call Data Records) received from mobile service providers regardless of the difference in their column formats and file layouts.

Chinese Phones Support ermöglicht es forensischen Experten, Daten aus beliebten Handy-Repliken und Low-Cost-Geräte zu extrahieren. Weiterhin ist man in der Lage, von chinesischen Geräten wichtige Benutzerdaten wie Ereignisprotokoll, Nachrichten, Kontakte und Dateien zu erwerben.

Erwerben von Daten aus mehr als 20 Cloud-Speichern: iCloud Kontakte und Kalender, Google Drive, Google Location History, Live-Kontakte und Kalender, OneDrive, Dropbox und Box sowie aus einer breiten Palette von Social Media einschließlich Twitter und Instagram.

Data Scout ruft Teilnehmerdaten von jeder extrahierten Telefonnummer ab. Es interagiert mit Online-Suchdiensten, um Informationen von gesammelten Telefonnummern aus Mobilgeräte-Extraktionen zu sammeln.

Verschiedene Betrachtertools helfen beim analysieren extrahierter Daten auf eine bequeme Weise. Dieses Tool verfügt über einen eingebauten HEX-Viewer, Bildbetrachter, Musik- und Video-Player, Textbetrachter mit Codepage-Konverter, HTML, SQLite und Plist Viewer.

Der Bereich "Geräteinformationen" enthält vollständige technische Informationen zum Gerät. Dazu gehören Hersteller, Retail-Modell-Name, Plattform und seine Revision, IMEI, MAC-Adressen, IMSI, Seriennummer, Telefonnummer und alle anderen modellspezifischen Daten.

Wörterbücher-Abschnitt zeigt alle Wörter, die jemals im Gerät; Nachrichten, Notizen und Kalender, eingegeben worden sind. Dabei handelt es sich nicht um Wörter aus dem Geräte-Wörterbuch, sondern aus einem eindeutigen Benutzerwörterbuch, das von den Gerätebesitzern selbst erstellt wird.

Das Ereignisprotokoll enthält die Sprachkommunikation der Benutzer: gewählte, empfangene und verpasste Anrufe. Hier findet man die Zeit, Dauer und Remote-Party des Anrufes.
Die Wiederherstellung gelöschter Anrufe ist für folgende Gerätetypen verfügbar: iOS- und Android-Betriebssystem-Smartphones.

Dateibrowser ist ein leistungsfähiges Werkzeug, um auf Benutzerfotos, Videos, Dokumente und Gerätedatenbanken zuzugreifen und diese zu analysieren. Eingebaute Text-, Hex-, Multimedia-, SQLite-, Plist-Viewer, Geo-Location und EXIF-Extraktoren helfen dabei, Dateien und deren Eigenschaften anzuzeigen.

Mit Web Connections & Location werden die besuchten Orte und Routen aufgezeigt. Auswerten und Analysieren von mehreren Quellen, Geo-Daten: Wifi-Verbindungen, IP-Verbindungen und Locations-Datenbanken.

Globale Suche ermöglicht Benutzerdaten in jedem Abschnitt des Geräts zu entdecken. Dieses Tool bietet die Suche nach Text, Telefonnummern, E-Mails, Geo-Koordinaten, IP-Adressen, MAC-Adressen, Kreditkartennummern. Reguläre Ausdrücke Bibliothek steht für weitere benutzerdefinierte Suche zur Verfügung.

ITunes Backup auf einem verdächtigen Computer zu finden ist eine regelmäßige Routineüberprüfung aufgrund der Popularität von Apple-Geräten. Somit bietet dieses Tool eine einfache Möglichkeit, verdächtige private Daten aus den iTunes Backup-Dateien zu extrahieren.

Dieser Beweisschlüssel bietet eine saubere, übersichtliche Ansicht der Beweise als wesentlich von Ermittlern markiert. Somit können bestimmte Elemente, die zu verschiedenen Abschnitten gehören, als wesentliche Beweise markiert und dann alle auf einmal überprüft werden, unabhängig von ihrem ursprünglichen Standort.

Schnellanzeigen, soziale Verbindungen zwischen den Nutzern der mobilen Geräte und Untersuchung ihrer Kontakte. Links und Stats bietet ein bequemes Tool, um soziale Verbindungen zwischen Gerätebenutzern zu untersuchen, indem Anrufe, Texte, Multimedia- und E-Mail-Nachrichten und Skype-Aktivitäten analysiert werden.

Das Tool Detective bietet eine neue physikalische Methode für Samsung Android-Geräte mit einer forensischen benutzerdefinierten Recovery-Funktion. Dieser Ansatz umfasst die neuesten Samsung-Geräte auf Android OS, wie Galaxy S5, Galaxy S6, etc. basiert.

Der Nachrichtenbereich enthält die Korrespondenz der Benutzer einschließlich SMS, MMS, E-Mails, iMessages und andere je nach Gerätetyp. Wiederherstellung gelöschter Nachrichten ist für bestimmte Arten von Geräten verfügbar: iOS, Android OS und Symbian OS Smartphones.

Zugriff auf gängige Navigationsanwendungen und Aufzeigen POIs, Routen und Suchanfragen, die der Benutzer erstellt hat.

Darstellen von Geo-Koordinaten aus allen möglichen Quellen, darunter: mobile Geräte, Cloud-Speicher, Medienkarten und importierte Bilder. Die analysierten Daten werden sowohl online als auch offline angezeigt.

Das Mobile Modul ermöglicht eine einfache Datenerfassung und Entschlüsselung unabhängig von der Datenquelle: Smartphone, Tablet, Cloud Service oder Backup-Datei.

Der Passwords-Bereich enthält Logins und Passwörter, die aus dem Standardsicherheits-Speicher wie der Keychain-Datenbank extrahiert wurden. Anwendungsdateien können auch diese wertvollen Daten enthalten.

Der Telefonbuchbereich enthält die Kontakte der Benutzer mit allen Daten: Name, Besetzung, Telefonnummern, Adressen, E-Mails, Notizen. Abhängig von den Geräten erhält man Zugriff auf die privaten Informationen der Kontakte, wie Geburtstage, Namen der Verwandten und Jubiläen.

Plist-Dateien, die als Property List-XML-Dateien bekannt sind, enthalten viele wertvolle forensische Informationen in Apple-Geräten. Browser-Verlauf, WLAN-Zugangspunkte, Kurzwahl, Bluetooth-Einstellungen, globale Anwendungseinstellungen, Apple Store-Einstellungen und noch mehr Daten können aus .plist-Dateien extrahiert werden.

Wenn es um die Lösung eines Verbrechens geht, sind Berichte eines der wichtigsten Dinge für den Ermittler. Beliebte Dateiformate und die Möglichkeit, den gesamten Datensatz oder nur wichtige Teile zu exportieren oder zu drucken, helfen Experten, das Ergebnis ihrer Arbeit am besten zu zeigen.

Mit Bildschirmsperren, die ein individuelles forensisches Problem sind, tun wir unser Bestes, um neue Methoden zu entwickeln, um digitale Beweisführung sogar in den schwierigsten Fällen durchzuführen.

 Unterstützt zur Analyse viele mobile Messenger wie Skype, Facebook, WhatsApp, Viber und andere.

Social Graph visualisiert komplexe Zusammenhänge in Verbrechengruppen. Dies ist ein hoch einstellbarer Arbeitsplatz, der forensischen Experten ermöglicht, Verbindungen zwischen mobilen Gerätebesitzern und ihren Kontakten zu überprüfen, Verbindungen zwischen mehreren Gerätebesitzern zu ermitteln und ihre gemeinsamen Kontakte zu erkennen.

Spyware-Apps-Erkennung, die auf Android- und Apple-Geräten installiert sind, ihre Logs und Konfigurationsdateien entdecken und verarbeiten.

Mit dem SQLite Viewer ist es möglich, die Datenbankdateien mit den folgenden Erweiterungen zu erkunden: .sqlite, .sqlite3, .sqlitedb, .db, .db3. Somit haben wir Zugriff auf die tatsächlichen und gelöschten Daten, die in Datenbanken gespeichert sind, die durch System- und Benutzeranwendungen erstellt werden.

Mit Timeline ist es möglich, alle Fakten der Nutzung mobiler Geräte in einer sortierten Liste anzuzeigen. Dieses Tool organisiert alle Anrufe, Nachrichten, Kalenderereignisse, Geo-Daten und andere Aktivitäten in chronologischer Weise, so dass Sie problemlos dem Konversationsverlauf folgen können, ohne zwischen verschiedenen Abschnitten wechseln zu müssen.

Unterstützung aller gängigen Webbrowser für Android OS, Apple iOS, BlackBerry OS und Symbian OS Plattformen.

Benutzer von Smartphones neigen dazu, eine Sicherungskopie ihrer Daten in der Cloud zu haben, die von ihrem Gerätehersteller oder einem Drittanbieter bereitgestellt wird. Die Windows Phone-Plattform verfügt über einen eigenen Speicher, um Kontakte, Nachrichten, Anwendungsdaten, Einstellungen, Dateien und vieles mehr zu speichern.

Somit sind wir in der Lage mit Oxygen Forensic® Suite,die branchenweit erste forensische Software, die in der Lage ist, Daten aus der My Windows Phone Cloud zu extrahieren.