Digitale Spurensuche auf Smartphones

Tools für die mobile Forensik

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Mobile Endgeräte werden zum Hauptziel von IT-Attacken. Bei der Suche nach digitalen Spuren helfen Speziallösungen für die mobile Forensik.

Studien wie von KPMG und der "2013 Global Security Report" von Trustwave sollten gleich doppelt aufhorchen lassen: Die Attacken auf mobile Endgeräte werden aggressiver und intelligenter. Zudem haben die betroffenen Unternehmen große Schwierigkeiten damit, die Angriffe schnell zu entdecken. 210 Tage vergehen im Durchschnitt, bis eine Attacke auf IT-Systeme erkannt wird. Das sind 35 Tage mehr als bei der entsprechenden Trustwave-Umfrage aus dem Jahr 2011.

Mobile Spurensuche braucht Unterstützung

Gerade bei Angriffen auf oder mit Hilfe von Smartphones und Tablets stehen Anwender vor neuen Herausforderungen, wenn es um die IT-Forensik geht. Eine Expertenbefragung von Cellebrite Expertenbefragung von Cellebrite zu den IT-Trends, die im Jahr 2013 die mobile Forensik am meisten beeinflussen werden, ergab, dass insbesondere die Consumerization, die Speicherung kritischer Daten in Apps und die Geräteverschlüsselung die Sammlung und Auswertung digitaler Beweise erschweren werden.

So führt zum Beispiel die betriebliche Nutzung privater Endgeräte zu einer Geräte- und Systemvielfalt, die bei einer forensischen Spurensuche abgedeckt werden muss. Die Vermischung privater und betrieblicher Daten auf Tablets und Smartphones erhöht zudem die Datenschutzanforderungen bei der mobilen Forensik.

Die für eine forensische Untersuchung interessanten Daten auf mobilen Geräten sind zahlreich - darunter befinden sich Systemprotokolle, installierte und genutzte Apps, verwendete Netzwerke oder HotSpots, gespeicherte Bilder, Passwort- und Notizdateien, E-Mails und SMS, Browser-Cookies, gespeicherte Suchbegriffe, Anruflisten, Adressbücher und gespeicherte Positionsdaten.

Um diese Auswertungen leisten und gerichtsfeste Beweise sichern zu können, gehört die mobile Forensik in die Hände von Experten. Dennoch stehen auch dem "einfachen Anwender" verschiedene Spezialwerkzeuge zur Verfügung, die bei der Aufdeckung von mobilen Angriffen helfen können. Einige stellen wir Ihnen hier vor.

1. Option: Umfassende Sicherheitsanalyse

Unternehmen, die eine Lösung zur Analyse sämtlicher Sicherheitsvorfälle suchen oder bereits einsetzen, können die mobilen Endgeräte zusammen mit ihrer restlichen IT-Intrastruktur überwachen und mögliche Angriffsversuche auswerten. Möglich ist dies zum Beispiel mit der Funktion "Big Visibility" bei Zscaler Cloud Security Big Visibility bei Zscaler Cloud Security oder mit IBM Security Analytics for Big Data. IBM Security Analytics for Big Data.

Solche Analysefunktionen prüfen auch die Datenströme von entsprechend eingebundenen Smartphones und Tablets und helfen so bei der Suche nach möglichen mobilen Angriffen.

IBM Security Analytics for Big Data nutzt die Plattform IBM QRadar Security Intelligence zusammen mit der IBM Big Data-Plattform. Anomalien, beispielsweise im Datenverkehr, werden erkannt und zur Auswertung an die Big Data-Analyseeinheit übergeben. Bei der Vielzahl der mobilen Endgeräte und Apps und dem steigenden mobilen Datenverkehr scheinen Big-Data-Lösungen für Sicherheitsanalysen geradezu prädestiniert.

Mit der Nanolog-Technologie führt Zscaler Cloud Security die Protokolldaten der verschiedenen Endgeräte und Systeme in einem Dashboard zusammen, so dass Anwenderunternehmen mögliche Sicherheitsvorfälle über Gerätegrenzen hinweg verfolgen können.

Tipp: Die Integration der Smartphone-Überwachung und Sicherheitsanalyse in die Gesamtüberwachung aller angeschlossenen Endgeräte und Systeme des Unternehmens erspart separate Monitoring-Lösungen.

Neben der Sicherheitsanalyse möglicher Vorfälle erfordert jedoch eine forensische Untersuchung weitere Schritte, wie die Sicherung der digitalen Beweise. Hierfür gibt es spezielle Forensik-Werkzeuge.

2. Option: Funktion einer Forensik-Plattform

EnCase Enterprise 7 unterstützt die forensische Untersuchung verschiedener Typen von Endgeräten, darunter auch Smartphones und Tablets.
EnCase Enterprise 7 unterstützt die forensische Untersuchung verschiedener Typen von Endgeräten, darunter auch Smartphones und Tablets.
Foto: Screenshot Demo Guidance Software

Forensik-Lösungen wie EnCase Forensic 7 oder EnCase Enterprise 7 ermöglichen eine digitale Spurensicherung auf verschiedenen Endgeräten - darunter auch Smartphones und Tablets unter Android OS, Apple iOS, Symbian OS, Windows Phone OS und BlackBerry OS. In diesem Fall ist also keine mobile Sonderlösung erforderlich, vielmehr lässt sich die forensische Untersuchung nahezu unabhängig vom Gerätetyp und Betriebssystem vornehmen.

Derartige Tools sammeln und werten verdächtige Daten auf den Endgeräten zentral aus. Als Quelle dienen ihnen dabei Festplatten und Arbeitsspeicher. Als Dateitypen lassen sich insbesondere Office-Formate, Bilder, E-Mails, Internet-Datenverkehr, Browserverlauf und Browser-Cache, rekonstruierte Webseiten, Chat-Sitzungen, Backups und verschlüsselte Dateien untersuchen.

Der Zugriff auf die zu prüfenden Geräte erfolgt über das Netzwerk. Die Suche nach möglichen Angriffsspuren kann automatisiert werden. Die forensischen Berichte lassen sich auf die Wünsche des Anwenderunternehmens anpassen.

Wichtig ist auch die Funktion, Arbeitskopien von verdächtigen Dateien erstellen zu können. Zur Beweissicherung wird die Integrität der Dateien geschützt. Mögliche Manipulationen an den digitalen Beweisen würden den MD5-Hashwert verändern.

3. Option: Speziallösung für mobile Forensik

Spezielle forensische Untersuchungen an Smartphones und Tablets sind zum Beispiel möglich mit Fixmo Sentinel, Secure View 3, Paraben Device Seizure, den Cellebrite UFED-Anwendungen, Cellebrite Speziallösungen für BlackBerry, iOS und Android, AccessData MPE+, Mobile Marshal, Elcomsoft iOS Forensic Toolkit, Elcomsoft Blackberry Backup Explorer oder Oxygen Forensic Suite 2013.

Fixmo Sentinel übernimmt die Funktionen eines Mobile Device Managers und prüft mit den Fixmo Sentinel Integrity Services, ob Manipulationen an den Policy-Einstellungen oder am Betriebssystem vorgenommen wurden. Auch die Installation nicht freigegebener Apps lässt sich aufdecken und fließt in den Compliance-Bericht zu den verwalteten mobilen Endgeräten ein.

Secure View 3 ist unter anderem als komplettes Analyse-Kit erhältlich - bestehend aus Software und umfangreichem Kabel-Sortiment, um auf die mobilen Endgeräte über verschiedene Schnittstellen zugreifen zu können. Zusatzmodule können zum Beispiel gelöschte Dateien auf Android-Smartphones wiederherstellen, Berichte zu verschiedenen Geräte konsolidieren oder Passwörter bestimmter Smartphones knacken, um die Geräte danach zu überprüfen. Ein komplettes Set für die mobile Forensik bietet beispielsweise auch das Paraben Mobile Field Kit, Oxygen Forensic Rugged Kit oder Cellebrite UFED Touch Ultimate.

Aus den Metadaten von Smartphone-Fotos lassen sich häufig Standortdaten entnehmen und die GPS-Positionen der Fotos auf digitalen Karten visualisieren, wie hier mit der Oxygen Forensic Suite.
Aus den Metadaten von Smartphone-Fotos lassen sich häufig Standortdaten entnehmen und die GPS-Positionen der Fotos auf digitalen Karten visualisieren, wie hier mit der Oxygen Forensic Suite.
Foto: Oxygen Software

Paraben Device Seizure kann unter anderem die Integrität von Smartphones prüfen, um unerlaubte Änderungen festzustellen, SIM-Karten, Nachrichten des Nutzers, gelöschte Dateien und Passwörter auslesen und gespeicherte GPS-und Funkzellen-Daten mit Hilfe von Google Earth visualisieren.

AccessData MPE+ stellt gelöschte Apps und App-Daten wieder her, wenn diese bei einer forensischen Untersuchung eine Rolle spielen. Mit dem Timeline Viewer lassen sich die untersuchten Daten in chronologischer Reihenfolge darstellen; der Social Analyser ordnet Nachrichten und Anrufe bestimmten Kontakten automatisch zu.

Mobile Marshal unterstützt die Prüfung von iPhone- und BlackBerry-Backups und untersucht unter anderem Kalendereinträge, SMS, E-Mails, Browserverlauf, Fotos und GPS-Daten.

Verschiedene Elcomsoft-Tools helfen bei der Untersuchung von mobilen Backups und überwinden passwortgeschützte Zugänge auf verdächtigen Endgeräten.
Verschiedene Elcomsoft-Tools helfen bei der Untersuchung von mobilen Backups und überwinden passwortgeschützte Zugänge auf verdächtigen Endgeräten.
Foto: Elcomsoft

Das Elcomsoft iOS Forensic Toolkit zielt auf die Untersuchung von iPads und iPhones ab. Dabei bietet diese Lösung abhängig von der Betriebssystemversion und der Passwortstärke auch den Zugriff auf verschlüsselte Informationen, um diese zu analysieren. Der Elcomsoft Blackberry Backup Explorer hingegen ist spezialisiert auf die Analyse der BlackBerry-Backups. Da die Verschlüsselung auf BlackBerry-Geräten sehr stark ist, nutzt dieses Tool den Umstand, dass viele Nutzer ihre BlackBerry-Backups nicht so gut schützen, so dass in den Backup-Daten eher forensische Analysen möglich sind, um Angriff auf oder den Missbrauch von BlackBerry-Geräten zu untersuchen.

Die Oxygen Forensic Suite 2013 bietet je nach Version (Pro oder Analyst) neben den forensischen Standardfunktionen auch die Analyse der mobilen Nutzung von iCloud, Skype, BlackBerry-Backup, Google-Diensten, Yahoo-Diensten, sozialen Netzwerken und Cloud-Diensten wie Dropbox.

Fazit: Vieles möglich, manches aber nicht erlaubt

Die erwähnten Lösungen für die digitale Spurensuche auf Tablets und Smartphones zeigen, dass es durchaus möglich ist, auch auf den besonders bedrohten mobilen Endgeräten Angriffe aufzudecken.

Gleichzeitig zeigen die mächtigen Forensik-Funktionen aber, wie sorgfältig die Nutzung solcher Werkzeuge kontrolliert werden muss. Lösungen, die Passwörter knacken, Passwortlisten sammeln und Nutzerdaten transparent machen, helfen zwar dabei, mobile Datendiebe aufzuspüren, es besteht aber auch ein hohes Missbrauchspotenzial.

Es muss sichergestellt sein, dass sich forensische Analysen bei Smartphones und anderen Endgeräten nur auf den konkreten Verdachtsfall beziehen und der Datenschutz für alle Unbeteiligten genau beachtet wird. Wenn dies der Fall ist, sollten forensische Werkzeuge für Tablets und Smartphones in keinem Unternehmen fehlen. (sh)

»

Der Autor

Oliver Schonschek ist freier IT-Fachjournalist in Bad Ems.