Ein weiterer, kleiner Einblick in Link Analysis (LA), der durchaus interessant sein dürfte. Cellebrite hat Openstreetmap in den LA integriert, so dass man auch die Möglichkeit der geografischen Darstellung hat. In diesem Beispiel sind es 3 Geräte, von denen aber lediglich 2 über Geodaten verfügen. Diese werden dann in der Map dargestellt und farblich differenziert. Im vorliegenden Fall kann man deutlich erkennen, dass beide Geräte sich an 2 Orten überwiegend aufgehalten haben. Welches das im Detail sind, kann sehr nah gezoomt werden und weitere Details befinden sich in der Liste unterhalb der Map. Je näher man in die Map hinein zoomt, um so klarer und detaillierter werden dann auch die Orte differenziert dargestellt.
Im Fenster unten links werden die Koordinaten dann noch angezeigt.

Cellebrite hat gestern (17.4.) offiziell das Release der Software Link Analysis bekannt geben und in Version 1.7 bereit gestellt. Anwender von UFED und UFED Touch können diese Software zusätzlich lizensieren lassen.
Ein weiteres Tool wird damit den Anwendern von UFED/Touch zur Verfügung gestellt, mit dem es deutlich vereinfacht wird, analysierte Daten aus dem Physical Analyzer (PA) grafisch aufzubereiten, zu analysieren und insbesondere Verknüpfungen transparent zu machen.
Dazu erstellt man aus dem PA heraus einen UFED Bericht, der dann in Link Analysis importiert wird. Darin enthalten alle Daten, die aus einer Extraktion gewonnen wurden. Man kann nun die Daten von unterschiedlichen Telefonen zu Untersuchung einlesen um Daten miteinander vergleichen. Dabei werden Ereignisse farblich unterschiedlich dargestellt, um eine bessere Darstellung zu erzielen. Im Screen deutlich erkennbar, dass 2 Telefone hier analysiert wurden, die dann Gemeinsamkeiten aufweisen. Der PA ermöglicht ja, dass man Daten von vielen Smartphones (z.B.) einlesen kann, um diese auszuwerten. Eine so übersichtliche Darstellung an sich ist dennoch bisher nicht möglich gewesen. Die Verbindungen von Daten aus den extrahierten Smartphones können nun deutlicher dargestellt werden. Ermittler und Analysten haben nun die Möglichkeit, Beziehungen zwischen Handys, Smartphones und deren Daten daraus herzustellen.

Der Facebook Messenger und/oder die internen Mails des Facebook System sind ja nicht in Facebook an sich vorhanden, sondern auch auf einem Smartphone, sofern damit Facebook benutzt wurde.
Der Physical Analyzer decodiert diese Informationen in den Bereich der analysierten Daten - Chats direkt. Dort befinden sich u.a. auch Messages dann von Twitter, wenn man darüber geschrieben hat.
Im Details sind 4 Offset vorhanden, die den Party.Identifier, den Party.Name, Chat.InstantMessage.Body und Chat.InstantMessage.TimeStamp zum Inhalt haben. Daraus geht hervor, dass wir zunächst einmal die ID des Facebook Benutzers identifizieren, dazu den Namen der verwendet wird (der vom Realnamen ja abweichen kann), den Textinhalt der Message und die Zeit der Nachricht. Die Konversation die geführt wurde, ist im sichtbaren Feld dann chronologisch aufgeführt. Ohne die Rohdaten ist das natürlich übersichtlicher dargestellt. Meine Ausführungen hier sollen dienlich sein, wenn man keine Dekodierung bekommen hat und so nach den Rohdaten suchen kann.

Nach einer physikalischen Extraktion eines Smartphones, stehen dem Ermittler oder Forensiker eine Menge Daten zur Verfügung, die nach entsprechenden Ermittlungskriterien zu durchsuchen sind. Augenmerkt heute liegt auf den Geodaten, so genannten Locations. Diese können auf ganz unterschiedliche Art und Weise in ein Gerät kommen. Zum einen das ein User Daten über die Location eines WLAN speichert, Locations über Facebook einträgt, das Smartphone als Navigationsgerät verwendet oder auch so genannte Geo-Tag in Bildern. Alle diese Informationen können in fast allen Fällen mittels dem Physical Analyzer (PA) dekodiert werden und man kann diese dann betrachten.

Nun kann man die Positionsdaten aus dem PA heraus kopieren und in die Suchleiste seines Browser einfügen und siehe da, man hat die Position, an der dieses Bild beispielsweise entstanden ist:

Es wäre allerdings umständlich, wenn man tausende Positionsdaten in einem Fall hat und diese dann einzeln kopieren müsste. Cellbrite hat dafür im PA die Exportfunktion integriert, so dass man sich lediglich die Positionsdaten exportieren kann. Dafür wird eigens ein neuer Ordner angelegt, in dem sich dann der HTML Bericht befinden. Dies kann man vorab wählen, in welchem Format exportiert werden soll.

Wie im nachstehenden Bild sehr schön erkennbar, ist der HTML Bericht deutlich übersichtlicher und bietet mit den kleinen Icons die Möglichkeit, direkt auf die Position die man wünscht zu klicken, denn dahinter befindet sich bereits ein Link zum Google Maps Dienst, den man anklicken kann und auch hier sieht man dann das gleiche Ergenis. Als weiteres Bild dann sichtbar, der klick auf den Link aus dem Bericht heraus.

So dann, viel Spaß beim auswerten :-)

Ps.: Ich habe hier mit dem PA 3.7 Beta gearbeitet. Diese Funktionen sind in der 3.6.x Version ebenfalls vorhanden.

Der Physical Analyzer von Cellebrite bietet einen sehr mächtigen Hex-Editor an, mit dem man in Roh-Daten suchen kann. Die Suche ist grundsätzlich natürlich sehr spezialisiert.
Was macht man aber, wenn man eine App (z.B. APK Android) zur Untersuchung bekommt um zu schauen was die alles macht, aus welchen Bestandteilen sie besteht usw.?

Ist sehr einfach: Zunächst einmal nimmt man die blanke *.apk Datei und benennt diese entsprechend um, so dass diese nun eine *.zip darstellt. In einer *.apk sind in der Regel enthalten:

Ordner: assets, lib, META-INF, res und entsprechende Unterordner zur jeweiligen App. Dazu kommen dann noch die AndroidManifest.xml, classes.dex sowie die resources.arsc Dateien, die immer vorhanden sind.

Nach dem umbenennen der *.apk Datei in eine *.zip Datei, kann man diese dann wie nachfolgend einfach in den PA einlesen:

1. Menü File - Öffnen (Erweitert)
2. Ohne eine UFED Datei beginnen - Leeres Projekt

3. Nun kann man eine zip-Datei wählen, die man einlesen möchte
4. Mit einem Klick auf Finish wird die gewählte Datei eingelesen

5. Am Ende dann sieht man eine Übersicht der extrahierten Daten sowie die vollständige Struktur, die man nun im Hex-Editor untersuchen kann.

Viel Spaß mit dem Physical Analyzer.
Dieses Tutorial soll dienlich dafür sein, wenn man nicht dutzende Software auf seinem Auswertungs Computer installieren möchte.
APK Dateien insbesondere lassen sich selbstverständlich mit einer Vielzahl an Tools untersuchen.

Auch als Download im PDF Format verfügbar: http://www.omega-defense.com/apk.pdf

Analysing of *.apk files directly with UFED Physical Analyser PDF English
http://www.omega-defense.com/apk_en.pdf

Heute gibt es hier eine kleine Zusammenfassung von Artikeln und Schnipsel aus Twitter, Google Plus & Kollegen.

"Cellebrite verfügt mit dem Physical Analyzer bereits über eine starke Lösung, Daten in Echtzeit zu dekodieren und so sichtbar zu machen, dass Ermittler und Auswerter damit komfortabel arbeiten können. Das was also beispielsweise eindeutig in Datenbanken als Bild abgelegt ist, findet sich dann auch in dem dekodierten Sektor "Datendateien - Bilder" wieder. Je nach Anforderung einer forensischen Auswertung ist es wichtig, versteckte Bilder zu finden."
https://plus.google.com/u/0/103916345984512341806/posts/PyhSHvh6LW8

Kollege Pascal schreibt über Faraday Bags für die Forensik:
"Denn ein im Netz eingebuchtes Smartphone kann ja bekannterweise auch gelöscht werden. Siehe hierzu bspw. find my iPhone für iOS Devices. Ebenso besteht die Möglichkeit das beim ausschalten eines Smartphone Daten und Informationen überschrieben oder gelöscht werden."
http://zehndaumen.de/2013/04/07/faraday-bag-fur-die-it-forensik/

WiebeTech DITTO
http://zehndaumen.de/2013/04/02/cru-wiebetech-ditto/

Staunen bei Netzpolitik.org:
"Handy-”Durchsuchungen” sind in den USA ein übliches Instrument der Strafverfolgung, bisher war jedoch wenig darüber bekannt, welche Menge an sensiblen Informationen dadurch gewonnen wird."
https://plus.google.com/u/0/103916345984512341806/posts/CunxqsgDuZx

Dekoding Fehler, der Zeit voraus sein:
https://plus.google.com/u/0/103916345984512341806/posts/3uRaiiK2wiZ

Viel Spaß beim stöbern.

Über die Bildforensik habe ich bereits mehrfach etwas geschrieben. Heute ein kleiner Beitrag eher theoretischer Natur zu Überlegungen, wie sollte ein Forensiker mit den ausgewerteten Daten umgehen. In der Forensik kommt es nicht selten vor, dass man Bilder, insbesondere von Smartphones auswerten kann, die mit Positionsdaten versehen sind. Ein Forensiker sollte dann, je nach Lage der Ermittlung und Ziel einer Ermittlung sorgfältig mit den Positionsdaten umgehen. Anhand von Positionsdaten und dem Timestamp der Bilddatei kann z.B. ermittelt werden, ob sich ein Tatverdächtiger zum Tatzeitpunkt an einem Tatort oder in der Nähe aufgehalten hat. Im vorliegenden Fall kommen die Positionsdaten aus dem asiatischen Raum und könnten einen Tatverdächtigen in Europa entlasten. Wenn da nicht ein kleines Detail wäre, welches man nicht übersehen sollte: das Aservat ist im vorliegenden Beispiel ein Samsung Telefon, welches augenscheinlich vom Tatverdächtigen stammt. Bei genauer Betrachtung der EXIF Meta Daten, die im Physical Analyzer sehr schön aufbereitet sind erkennen wir deutlich, dass diese Positionsdaten von einem iPhone stammen und somit keine entlastende Information vorliegt. Weitere Meta Daten sind natürlich ebenfalls nützlich und können dementsprechend entlastend oder belastende Informationen liefern.

Mehr auch dazu:
http://shakal.blog.de/2012/04/23/anti-forensik-taeter-spuren-verwischen-manipulieren-13562310/

Facetagging http://shakal.blog.de/2012/11/05/tagging-zeigt-her-gesichter-taggt-15167958/

http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/

Es ist an sich nichts weltbewegendes in der Forensik, in Roh-Daten zu arbeiten und diese forensisch zu verwerten. Ich habe mal 3 Screens gemacht, die das Thema etwas verdeutlichen können. Zum einen sieht man sehr schön, dass mittels des Physical Analyzer die Daten nach der Extraktion sehr schön decodiert und aufbereitet werden.

Man kann sich entsprechend in die Bereiche, hier E-Mail direkt reinklicken und kann für spätere Analysen sich die Bereiche im Image direkt anzeigen lassen. Das kann für Ermittlungen sehr von Vorteil sein, wenn man bestimmte Muster wiederkehrend benötigt. Dies kann man dann, wie auf dem Screen sichtbar, dann auch einfacher im Roh-Image finden und verarbeiten.

Im Projektbalken deutlich erkennbar, handelt es sich in einem Fall um eine physikalische Extraktion und im anderen Fall eine Filesystem Extraktion, durch die dann das Decoding erfolgen kann und somit die Arbeit eines jeden Ermittlers vereinfacht und beschleunigt.
Ein durchaus wichtiger Aspekt und man muss deutlich sagen, dass hier von Cellebrite ein sehr mächtiges Werkzeug entwickelt wurde.

Ich finde es ja in der Tat schön zu sehen, wie aus einer kleinen Frage, unter dem Motto "was hältst Du von dieser App, die ist doch merkwürdig oder" so etwas resultieren kann. So haben Marcel Hilzinger, Jörg Voss uns an die Arbeit gemacht und eine entsprechende Auswertung vorgenommen. Resultierend daraus wurden sehr viele dieser Apps dann aus dem Google Play Store entfernt, um User zu schützen und keine weiteren Schäden zu produzieren. Einen ausführlichen Bericht gibt es im Magazin Android User 04/2013 , über das ich berichtet habe. Darin beschreiben wir unter anderem, wie eben diese Leute vorgehen.

Fuchs wie der Jörg Voss ist, hat er sich nun im nachhinein gedacht, man könne eine App bereit stellen, die User vor entsprechenden Werbenetzwerken auf den Smartphones mit Android warnt. Ich finde, dass die Idee ausgezeichnet ist und ich unterstütze ausdrücklich diese App, habe sie selbst vor Veröffentlichung getestet und stelle diese nun auch bereit.

Good Luck und, ruhig weiter verteilen ;-)

Mehr dazu auch:
App: https://play.google.com/store/apps/details?id=com.voss.appdangercheck
http://shakal.blog.de/2013/03/01/appzocker-fiesen-tricks-anzeigen-mafia-15580058/
Jörg schreibt auch hier: https://android-security.peggy-forum.com/2013/03/von-appzockern-und-guter-zusammenarbeit/

Nachtrag: im Screenshot ist GMail ersichtlich. Googlemail ist davon selbstverständlich nicht betroffen. Die Liste der derzeitigen Apps ist hier einsehbar: https://android-security.peggy-forum.com/download/badpackages.txt

Wir laden Sie ein zur Cellebrite UFED PA Anwender-Schulung

- Praktische Übungen mit UFED Touch – Logical und Ultimate
- Physikalische Methodik – Aufbau von Telefonspeichern und Extraktion von Daten
- Physikalische Extraktionen von iOS, Android und BlackBerry Telefonen
- Phyton plug-ins und Ketten – Editierung und Verwaltung
- UFED Physical Analyzer im praktischen Einsatz Version V3.6.5 – Extraktion, Analyse und Erstellen von Berichten
- Wiederherstellen von vorhandenen versteckten und gelöschten Daten von mobilen Navigationsgeräten

22 – 24 April, 2013 -Frankfurt / Main

Register, klicken Sie hier:

Mehr dazu auch:
http://www.omega-defense.com/training.html