szmmctag
Suche blog.de

  • Forensik: Link Analysis zeigt grafisch Verbindungen

    Insbesondere um Verbindungen von Personen in Bezug auf Ermittlungen besser zu verstehen und auch interpretieren zu können, ist ein Verbindungsanalyse sehr vorteilhaft. Cellebrite hat hierfür eigens Link Analysis entwickelt, welches derzeit in der Version 2.0.0.25 vorliegt. Als kleines Beispiel sieht man hier, dass eine Person mittels Zeitstrahl mehrfache Kommunikation mit einer anderen Person hatte. Link Analysis (LA) stellt diese Kommunikation übersichtlich da und ermöglicht es dem Ermittler, dass eine grafische Übersicht über alle Kommunikationskanäle ausgewertet werden kann. Beispiel hier, dass zwei Kommunikationspartner einiges an Kommunikation via SMS und Anrufe hatten. Auch die "Contacts" sind von Interesse, wer mit beiden zusammen in Kontakt gestanden hat. Weiterhin besteht die Möglichkeit, welche auch automatisiert durchgeführt werden kann, dass gleiche Telefonnummern in Form einer Person zusammengeführt werden können. Das erleichtert natürlich die Datenhaltung, die verringert werden kann. Für eine Analyse derart, müssen vorab natürlich die Handys/Smartphones erst einmal im Physical Analyzer ausgewertet und je nach Bedarf dann für LA aufbereitet werden.

    analysismerge-link-analysislogo

    Hauptfunktionen:

    - Personenanalyse: Statistische Daten zeigen die Häufigkeit der Kommunikation und bevorzugte Kommunikationsmethoden
    - Zeitleiste: Zeigt eine Ereignisliste in chronologischer Reihenfolge
    - Standortanalyse: Analysiert mehrere verdächtige Standorte auf einer einzigen Karte
    - Grafik aller wechselseitigen und aller anderen Verbindungen: Verdächtige und Personen anzeigen
    - Erweiterte Filter: Daten anhand von Zeit und Datum, Kommunikationsmethoden, Standorttypen und Entfernung filtern
    - Anreicherung von Ermittlungsdaten: Personen in Extraktionen weitere Daten oder Bilder hinzuzufügen
    - Erweiterte Suche: Informationen anhand von freiem Text oder mehreren Parametern suchen
    - Suche innerhalb von Projekten und Tabellen: Textsuche zu allen im Projekt oder in der Tabelle verfügbaren Daten
    - Berichterstellung: Berichte individualisieren, die detaillierte Informationen und Grafiken enthalten
    - Bildschirmfotos von Grafen: Ein Abbild der aktuellen Bildschirmansicht speichern
    - Projektmanagement: Die Projektinformationen speichern
    - Daten von Verdächtigen verwalten: Daten und Bilder, die während der Ermittlung gesammelt wurden, hinzufügen
    Source: http://www.cellebrite.com/de/mobile-forensics/products/applications/ufed-link-analysis

    Hinweis:
    Bei Software derart handelt es sich nicht um Software um Personen auszuspionieren, sondern viel mehr geht es darum, dass Strafdelikte gleich welcher Art effektiver aufgeklärt und ermittelt werden können.
    Webinar zu Link Analysis:
    https://plus.google.com/+MarkoR/posts/jkRn3Qm9onW

  • Blog Community

    Community Einladungen ohne einen Text, nehme ich grundsätzlich nicht an!

  • Postings aus der Forensic

    Derzeit poste ich hier nichts mehr aus dem Bereich der Forensic und habe mich dazu entschlossen, dies vorerst ausschliesslich über G+ zu tun.

    Meine Einträge dazu sind hier zu finden: Marko R. bei G+

    Gute Zeit, M.

  • Smartphone Forensik: Link Analysis, weitere Informationen

    Ein weiterer, kleiner Einblick in Link Analysis (LA), der durchaus interessant sein dürfte. Cellebrite hat Openstreetmap in den LA integriert, so dass man auch die Möglichkeit der geografischen Darstellung hat. In diesem Beispiel sind es 3 Geräte, von denen aber lediglich 2 über Geodaten verfügen. Diese werden dann in der Map dargestellt und farblich differenziert. Im vorliegenden Fall kann man deutlich erkennen, dass beide Geräte sich an 2 Orten überwiegend aufgehalten haben. Welches das im Detail sind, kann sehr nah gezoomt werden und weitere Details befinden sich in der Liste unterhalb der Map. Je näher man in die Map hinein zoomt, um so klarer und detaillierter werden dann auch die Orte differenziert dargestellt.
    Im Fenster unten links werden die Koordinaten dann noch angezeigt.

    analysisanalysis1

  • Smartphone Forensik: Link Analysis

    Cellebrite hat gestern (17.4.) offiziell das Release der Software Link Analysis bekannt geben und in Version 1.7 bereit gestellt. Anwender von UFED und UFED Touch können diese Software zusätzlich lizensieren lassen.
    Ein weiteres Tool wird damit den Anwendern von UFED/Touch zur Verfügung gestellt, mit dem es deutlich vereinfacht wird, analysierte Daten aus dem Physical Analyzer (PA) grafisch aufzubereiten, zu analysieren und insbesondere Verknüpfungen transparent zu machen.
    Dazu erstellt man aus dem PA heraus einen UFED Bericht, der dann in Link Analysis importiert wird. Darin enthalten alle Daten, die aus einer Extraktion gewonnen wurden. Man kann nun die Daten von unterschiedlichen Telefonen zu Untersuchung einlesen um Daten miteinander vergleichen. Dabei werden Ereignisse farblich unterschiedlich dargestellt, um eine bessere Darstellung zu erzielen. Im Screen deutlich erkennbar, dass 2 Telefone hier analysiert wurden, die dann Gemeinsamkeiten aufweisen. Der PA ermöglicht ja, dass man Daten von vielen Smartphones (z.B.) einlesen kann, um diese auszuwerten. Eine so übersichtliche Darstellung an sich ist dennoch bisher nicht möglich gewesen. Die Verbindungen von Daten aus den extrahierten Smartphones können nun deutlicher dargestellt werden. Ermittler und Analysten haben nun die Möglichkeit, Beziehungen zwischen Handys, Smartphones und deren Daten daraus herzustellen.

    analysis

  • Forensik: Facebook Messages dekodieren

    Der Facebook Messenger und/oder die internen Mails des Facebook System sind ja nicht in Facebook an sich vorhanden, sondern auch auf einem Smartphone, sofern damit Facebook benutzt wurde.
    Der Physical Analyzer decodiert diese Informationen in den Bereich der analysierten Daten - Chats direkt. Dort befinden sich u.a. auch Messages dann von Twitter, wenn man darüber geschrieben hat.
    Im Details sind 4 Offset vorhanden, die den Party.Identifier, den Party.Name, Chat.InstantMessage.Body und Chat.InstantMessage.TimeStamp zum Inhalt haben. Daraus geht hervor, dass wir zunächst einmal die ID des Facebook Benutzers identifizieren, dazu den Namen der verwendet wird (der vom Realnamen ja abweichen kann), den Textinhalt der Message und die Zeit der Nachricht. Die Konversation die geführt wurde, ist im sichtbaren Feld dann chronologisch aufgeführt. Ohne die Rohdaten ist das natürlich übersichtlicher dargestellt. Meine Ausführungen hier sollen dienlich sein, wenn man keine Dekodierung bekommen hat und so nach den Rohdaten suchen kann.

    facebook

  • Forensik Schnipsel: dekodierte Geodaten sichtbar machen

    Nach einer physikalischen Extraktion eines Smartphones, stehen dem Ermittler oder Forensiker eine Menge Daten zur Verfügung, die nach entsprechenden Ermittlungskriterien zu durchsuchen sind. Augenmerkt heute liegt auf den Geodaten, so genannten Locations. Diese können auf ganz unterschiedliche Art und Weise in ein Gerät kommen. Zum einen das ein User Daten über die Location eines WLAN speichert, Locations über Facebook einträgt, das Smartphone als Navigationsgerät verwendet oder auch so genannte Geo-Tag in Bildern. Alle diese Informationen können in fast allen Fällen mittels dem Physical Analyzer (PA) dekodiert werden und man kann diese dann betrachten.

    Nun kann man die Positionsdaten aus dem PA heraus kopieren und in die Suchleiste seines Browser einfügen und siehe da, man hat die Position, an der dieses Bild beispielsweise entstanden ist:

    geo1geo2

    Es wäre allerdings umständlich, wenn man tausende Positionsdaten in einem Fall hat und diese dann einzeln kopieren müsste. Cellbrite hat dafür im PA die Exportfunktion integriert, so dass man sich lediglich die Positionsdaten exportieren kann. Dafür wird eigens ein neuer Ordner angelegt, in dem sich dann der HTML Bericht befinden. Dies kann man vorab wählen, in welchem Format exportiert werden soll.

    geo3

    Wie im nachstehenden Bild sehr schön erkennbar, ist der HTML Bericht deutlich übersichtlicher und bietet mit den kleinen Icons die Möglichkeit, direkt auf die Position die man wünscht zu klicken, denn dahinter befindet sich bereits ein Link zum Google Maps Dienst, den man anklicken kann und auch hier sieht man dann das gleiche Ergenis. Als weiteres Bild dann sichtbar, der klick auf den Link aus dem Bericht heraus.

    geo4geo5

    So dann, viel Spaß beim auswerten :-)

    Ps.: Ich habe hier mit dem PA 3.7 Beta gearbeitet. Diese Funktionen sind in der 3.6.x Version ebenfalls vorhanden.

  • Forensik Tutorial: Physical Analyzer & APK Dateien analysieren

    Der Physical Analyzer von Cellebrite bietet einen sehr mächtigen Hex-Editor an, mit dem man in Roh-Daten suchen kann. Die Suche ist grundsätzlich natürlich sehr spezialisiert.
    Was macht man aber, wenn man eine App (z.B. APK Android) zur Untersuchung bekommt um zu schauen was die alles macht, aus welchen Bestandteilen sie besteht usw.?

    Ist sehr einfach: Zunächst einmal nimmt man die blanke *.apk Datei und benennt diese entsprechend um, so dass diese nun eine *.zip darstellt. In einer *.apk sind in der Regel enthalten:

    Ordner: assets, lib, META-INF, res und entsprechende Unterordner zur jeweiligen App. Dazu kommen dann noch die AndroidManifest.xml, classes.dex sowie die resources.arsc Dateien, die immer vorhanden sind.

    Nach dem umbenennen der *.apk Datei in eine *.zip Datei, kann man diese dann wie nachfolgend einfach in den PA einlesen:

    1. Menü File - Öffnen (Erweitert)
    2. Ohne eine UFED Datei beginnen - Leeres Projekt

    physical1

    3. Nun kann man eine zip-Datei wählen, die man einlesen möchte
    4. Mit einem Klick auf Finish wird die gewählte Datei eingelesen

    physical2physical3

    5. Am Ende dann sieht man eine Übersicht der extrahierten Daten sowie die vollständige Struktur, die man nun im Hex-Editor untersuchen kann.

    physical4

    Viel Spaß mit dem Physical Analyzer.
    Dieses Tutorial soll dienlich dafür sein, wenn man nicht dutzende Software auf seinem Auswertungs Computer installieren möchte.
    APK Dateien insbesondere lassen sich selbstverständlich mit einer Vielzahl an Tools untersuchen.

    Auch als Download im PDF Format verfügbar: http://www.omega-defense.com/apk.pdf

    Analysing of *.apk files directly with UFED Physical Analyser PDF English
    http://www.omega-defense.com/apk_en.pdf

  • Forensikschnipsel: Zusammenfassung kurzer Beiträge

    Heute gibt es hier eine kleine Zusammenfassung von Artikeln und Schnipsel aus Twitter, Google Plus & Kollegen.

    "Cellebrite verfügt mit dem Physical Analyzer bereits über eine starke Lösung, Daten in Echtzeit zu dekodieren und so sichtbar zu machen, dass Ermittler und Auswerter damit komfortabel arbeiten können. Das was also beispielsweise eindeutig in Datenbanken als Bild abgelegt ist, findet sich dann auch in dem dekodierten Sektor "Datendateien - Bilder" wieder. Je nach Anforderung einer forensischen Auswertung ist es wichtig, versteckte Bilder zu finden."
    https://plus.google.com/u/0/103916345984512341806/posts/PyhSHvh6LW8

    Kollege Pascal schreibt über Faraday Bags für die Forensik:
    "Denn ein im Netz eingebuchtes Smartphone kann ja bekannterweise auch gelöscht werden. Siehe hierzu bspw. find my iPhone für iOS Devices. Ebenso besteht die Möglichkeit das beim ausschalten eines Smartphone Daten und Informationen überschrieben oder gelöscht werden."
    http://zehndaumen.de/2013/04/07/faraday-bag-fur-die-it-forensik/

    WiebeTech DITTO
    http://zehndaumen.de/2013/04/02/cru-wiebetech-ditto/

    Staunen bei Netzpolitik.org:
    "Handy-”Durchsuchungen” sind in den USA ein übliches Instrument der Strafverfolgung, bisher war jedoch wenig darüber bekannt, welche Menge an sensiblen Informationen dadurch gewonnen wird."
    https://plus.google.com/u/0/103916345984512341806/posts/CunxqsgDuZx

    Dekoding Fehler, der Zeit voraus sein:
    https://plus.google.com/u/0/103916345984512341806/posts/3uRaiiK2wiZ

    Viel Spaß beim stöbern.

  • Forensik Schnipsel: forensische Bildbetrachtung und Auswertung

    Über die Bildforensik habe ich bereits mehrfach etwas geschrieben. Heute ein kleiner Beitrag eher theoretischer Natur zu Überlegungen, wie sollte ein Forensiker mit den ausgewerteten Daten umgehen. In der Forensik kommt es nicht selten vor, dass man Bilder, insbesondere von Smartphones auswerten kann, die mit Positionsdaten versehen sind. Ein Forensiker sollte dann, je nach Lage der Ermittlung und Ziel einer Ermittlung sorgfältig mit den Positionsdaten umgehen. Anhand von Positionsdaten und dem Timestamp der Bilddatei kann z.B. ermittelt werden, ob sich ein Tatverdächtiger zum Tatzeitpunkt an einem Tatort oder in der Nähe aufgehalten hat. Im vorliegenden Fall kommen die Positionsdaten aus dem asiatischen Raum und könnten einen Tatverdächtigen in Europa entlasten. Wenn da nicht ein kleines Detail wäre, welches man nicht übersehen sollte: das Aservat ist im vorliegenden Beispiel ein Samsung Telefon, welches augenscheinlich vom Tatverdächtigen stammt. Bei genauer Betrachtung der EXIF Meta Daten, die im Physical Analyzer sehr schön aufbereitet sind erkennen wir deutlich, dass diese Positionsdaten von einem iPhone stammen und somit keine entlastende Information vorliegt. Weitere Meta Daten sind natürlich ebenfalls nützlich und können dementsprechend entlastend oder belastende Informationen liefern.

    bilder

    Mehr auch dazu:
    http://shakal.blog.de/2012/04/23/anti-forensik-taeter-spuren-verwischen-manipulieren-13562310/

    Facetagging http://shakal.blog.de/2012/11/05/tagging-zeigt-her-gesichter-taggt-15167958/

    http://shakal.blog.de/2013/02/06/digitale-forensik-image-carving-15506188/

Über mich
E-Mail-Abonnement

Hier kannst Du für neue Einträge dieses Blogs eine E-Mail erhalten.

Footer:

Die auf diesen Webseiten sichtbaren Daten und Inhalte stammen vom Blog-Inhaber, blog.de ist für die Inhalte dieser Webseiten nicht verantwortlich.