Untersuchungen mit Oxygen Forensic® Suite 2014 Analyst

 

Das Programm wird in über 50 Ländern unter anderem von gerichtlichen Institutionen und der Polizei eingesetzt. Es analysiert Daten, beachtet hierbei zeitliche Abläufe der Handyfunktionen und verknüpft gefundene Details mit Inhalten weiterer Geräte. Auf diese Weise stellt es Wege von Telefonaten über Gerätegrenzen hinweg dar!

 Hauptbildschirm

 

 

 

 

 

Bild: Hauptbildschirm

 

Kurzübersicht

Herangezogen werden im Gerät gelöschte Werte, Passworte, GPS-Koordinaten zur Standortbestimmung, Aktivitäten in chronologischer Reihenfolge, Kontaktdaten und Statistiken. Eine Auswahl zeigt die Tabelle 1 an.

 

 

  • Passworte
  • Gelöschte Daten
  • Verbindungsdaten Ortsbestimmungen
  • Geräteinformationen
  • Auswertung von Kommunikationsbeziehungen
  • Daten verschiedenster Dienste wie Facebook, Paypal,...
    Tabelle 1: Auswahl ermittelbarer Daten

 

 

Analysten benötigen neben dem rund 2000 Euro teuren Programm (mit Dongle 2300 Euro) einen der mitgelieferten Geräte-Treiber. Dieser installiert bei Bedarf die Client-APP OxyAgent im zu untersuchenden Gerät, was genau genommen der forensischen Grundeinstellung entgegen steht, kriminaltechnische Untersuchungen sichergestellter Geräte ohne Änderung der Daten vorzunehmen. Ein auf forensische Verfahren spezialisierter Anwalt wird somit genau hinschauen, ob die erhobenen Daten noch gerichtsverwertbar sind.

Unterstützte Geräte

Das Driverpackage "Oxygen Connectivity Driver Installer" enthält alle notwendigen Treiber für Handy, Smartphone oder Tablet-PC. Eine Feinauswahl zu unterstützender Geräte ist bei der Installation möglich, genannt seien Android, Apple iTunes, Samsung und Nokia.

 

Im Folgenden wird ein auf dem Betriebssystem Android basiertes Gerät untersucht.

 

Vorbereitung einer Untersuchung

Um Vollzugriff auf alle Daten im Handy zu erhalten, ist der Modus "USB-Debugging" zu aktivieren. Diese als "Debug Bridge" bezeichnete Schnittstelle ermöglicht die Kommunikation und Kontrolle des Androidgerätes. Andere zu analysierenden Hardware bedarf je nach Hersteller und Version zusätzliche von Oxygen bereitgestellte Anzeigeprogramme. Die Analyse von Daten, Sicherungen und der Export erfolgen über das Modul Oxygen Extractor. Dieser bietet eine automatische Erkennung des per USB, Infrarot oder Bluetooth angeschlossenen Zielgerätes an. Bei der Installation muss im Handy der Zugriff auf eigene Daten gestattet werden.

Dies umfasst:

  • das Lesen von Nachrichten,
  • Zugriff auf persönliche Informationen

- wie Browserverlauf oder

- benutzerdefiniertes Wörterbuch,

  • Gerätestatus,
  • Zugriff auf den SD-speicher inklusive Änderung und Löschung sowie
  • Abrufen laufender Anwendungen!

 

Der Lauf mit Oxygen Extractor

Während der Datenübertragung dürfen keine Änderungen am Handy vorgenommen werden. Je nachdem, ob der Modus Rooting am Zielgerät auswählbar ist, erzeugt Oxygen einen Dump oder ermittelt die Daten über die Backupfunktion.

Zusatzinfo:

Ein Dump ist der Auszug eines Speicherinhaltes und enthält für weitere Analysen hilfreiche Informationen, die im Backup nicht enthalten sein können. Genannt seien gelöschte Daten oder interne Zusatzinformationen beispielsweise zum Gerätezustand.

Nachdem das Modul "Extrator" Daten vom Handy eingelesen hat, können diese analysiert, exportiert und gedruckt oder in ein Archiv gesichert werden.


Oxygen Forensic® in Aktion mit dem Daten Extractor

 

Daten Extractor

 

 

 

 

 

 

 

 

 

 

Die Bildserie:

Bild: Daten_Extractor
Die Grafik Daten_Extractor zeigt die interne Arbeitsweise an. 

Bild: Daten_Extractor_Dump
Während des Auslesevorgangs darf das Handy nicht benutzt werden.

Bild: Data_Extractor_Verbindung
Erste Daten werden nach erfolgreichem Verbindungsaufbau bereits angezeigt

Bild: Daten_Extractor_Hilfestellung
Oxygen unterstützt automatisch mit Hinweisen

 

Daten Extractor Verbindung

 

 

 

 

 

 

 

 

Daten Extractor Hilfestellung

 

 

 

 

 

 

 

 

 

 

Die Tabelle 2 zeigt die unterstützten Formate für die Archivierung. Die Exportfunktion erzeugt die in der Tabelle 3 dargestellten Formate mit Informationen zum Gerät. Ein Test ergab hier einen Bericht mit 3069 Seiten (!), der Geräteinformationen und EXIF-Daten zu Bildern mit Speicherorten, eingehende und ausgehende Anrufe mit Zeitangaben, SMS-Daten inklusive der Texte und alle installierten Apps aufführte!

Hintergrundinformation zu Formaten
Angezeigt ist die Auswahl eines anderen Speicherformates wie beispielsweise Apples Disk-Image-Datei (DMG), sobald ermittelte Daten mit anderen forensischen Programmen wie "Mount Image Pro" weiterbearbeitet werden sollen.

Unterstützte Archiv-Formate:

  • ofb Oxygen Forensic® Backup, Verschlüsselung im Algorithmus SHA2
  • dmg Disk-Format von Macintosh OS X' by Apple Inc img Image Datensatz für Bitmapbilder
  • dd Ausschneiden und kopieren von Inhalten aus Datenströmen
  • ipd Internet Protocol Datagram für IP-basierte Datenübertragung
  • bbb Blackberry Backup Format
  • *.ab Android Backup
  • tar im Unixumfald gängiges Packprogramm
  • gtar im Unixumfald gängiges komprimiertes Packprogramm

Tabelle 2: Formate zum Archivieren der ermittelten Daten

Exportformate

  • CSV - Austauschformat für Tabellenkalkulationen
  • RTF - Austauschformat für Textverarbeitungen
  • HTML - im Internetbrowser darstellbare Informationen
  • EXIF - Meta-Information zu Bildern mit Daten zur Kamera, Brennweite, GPS-Koordinaten

Tabelle 3: Formate für den Export


Seine Analysestärke spielt Oxygen Forensic® über den Menüpunkt "Gerät öffnen und analysieren" aus.


Oxygen Forensic® in Action!

Das Programmfenster ist in vier Bereiche unterteilt. Die linke Seite zeigt die Fallnummer an, die beim Einlesen eines Handys anzugeben ist. Diese dient der Eindeutigkeit einer forensischen Untersuchung und ist gemäß der jeweils im Hause geltenden Richtlinie zur Vergabe von Fallnummern zu vergeben. Der Einfachkeit halber lautet diese bei der Demo "Brooklyn Maniac". Das Fenster darunter listet weitere Geräte auf, die diesem Fall zugewiesen sind.

Der rechte Anzeigebereich zeigt Angaben zum Gerät, zum Gerätenamen, der weltweit eindeutigen Gerätenummer (IMEI-Nummer) und Detailangaben an. Dies sind die Fallnummer und Beweisnummer aber auch der Name des jeweiligen Analysten und das Extrahierungsdatum der Daten. Ausgelesene Daten sind nicht änderbar, sodass zwar weiterhin der hier frei gewählte Name "Device Alias" modifizierbar ist, jedoch beispielsweise nicht die IMEI-Nummer des Handys. Angaben zum Hersteller, des Handybetriebssystems oder Netzinformationen, die während des Geräteauslesevorgangs verfügbar waren, müssen bei forensischen Untersuchungen erhalten bleiben.
Der untere Bereich des Oxygen Forensic® Hauptfensters zeigt über entsprechende Buttons unter anderem die Bereiche Sozialgraph, Timeline, aggregierte Kontakte, Links und Statistik und "Wichtige Beweise" an. Eine Suchfunktion rundet die Möglichkeiten ab. Bereits diese, im späteren erklärten Funktionen, ermöglichen vielfältige Analysen, doch Oxygen Forensic® bietet mehr.

Internetsitzung

Bild: Internetsitzung
Unter Details wird neben dem Usernamen gleich das Passwort angezeigt.

Hinter der angezeigten Fallnummer sind Detailinformationen zum Fall zu erhalten. Möglich ist, ein Bild des Handys aus dem Internet abzurufen oder manuell einzufügen. Der Hersteller bietet mit OxyForensic®_Images_Setup eine staatliche Auswahl an Images von Handys an. Dateilinformationen zeigen Falleigenschaften, Besitzerinformationen und Besitzeraccounts an. Vor allem die letzte Wahl ist interessant, denn hier werden per Doppelklick auf einen Eintrag sofort über das Gerät genutzte Dienste gezeigt! Das Bild Besitzeraccounts zeigt einen Ausschnitt.

 

Besitzeraccounts

Bild: Besitzeraccounts.png
Drei Klicks bis zum Kennwort.

Aktivitäten wie Surfen im Internet lassen sich problemlos nachvollziehen! Verwendete Passworte werden im Programmfenster angezeigt. Die Seiten sind verlinkt, sodass ein Doppelklick die besuchten Inhalte im Internetbrowser öffnet. Über die Registerkarte App-Daten ist das Umschalten auf die Anzeige von Cachedaten oder auch internen Datenbanken des Browsers möglich. Ein Mausklick öffnet jeweils ein passendes Anzeigeprogramm wie beispielsweise den eingebauten SQLite-Datenbankviewer. SQLite ist eine kleine in Programmen integrierbare Datenbank, die wichtigste Befehle der Standardsprache SQL unterstützt. Sinn und Zweck dieses Anzeigeprogramms liegt darin, gelöschte Daten in Android oder Apple iOS Geräten darzustellen. Anzeigen gelöschter Daten bei Betriebssystemen von Symbian, Nokia und Windows werden über den integrierten HEX-Viewer oder über ein Zusatzprogramm wie Nokia PM Viewer unterstützt. Die Firma Oxygen Forensic® stellt hierzu in der PDF-Datei "Oxygen_Forensic®_Suite_2014_-_Deleted_Data_Traces_DE" die Vorgehensweise dar.

auswert_sozialgraph

 Bild: auswert_sozialgraph
Anzeige der Häufigkeit der Kontakte

Sozialgraph zeigt grafisch alle sozialen Verbindungen des Handynutzers. Auf einen Blick ist der häufigste Telefonpartner ermittelbar. Die Anzahl der Verbindungen zeigt Oxygen Forensic® an, sobald der Mauszeiger auf den Handybesitzer in der Mitte der Grafik positioniert wird. Gleichzeitig werden auf der linken Seite die 10 aktivsten Kontakte dargestellt. Sofern im Handy vorhanden, öffnet Oxygen Forensic® das zugehörige Bild des Teilnehmers im Programmfenster, wenn der Eintrag Kontakt ausgewählt wird. Im Detailfenster stehen Angaben zu SMS, Telefonaten und Dauer der Gespräche. Filterfunktionen schränken den zu analysierenden Zeitraum ein.

Timeline stellt alle aus Handys ermittelbaren Daten in chronologischer Reihenfolge dar, sodass eine Nachrichtenweitergabe zwischen Teilnehmern oder Gruppen leicht nachvollziehbar ist. Inhalte der SMS werden angezeigt. Das Besondere ist, mehrere Datenquellen miteinander verwoben darzustellen, um Anruffolgen unmittelbar weiterzuverfolgen. Über den Gesprächspartnerfilter erfolgt die direkte Einsicht in eine Datenquelle. Daten können in einer GoogleEart-Datei im Format KMZ gespeichert und Zeitzonen können ausgewählt werden, um Zeitzonen zu berücksichtigen.

Der Eintrag analytische Aufgaben aus der Menüleiste ermöglicht Auswertungen zur Nutzungshäufigkeit und - soweit verfügbar - zu gespeicherten Geodaten in Bildern. Über die ausgelesenen Breiten und Längengrade lassen sich leicht Positionen bestimmen. Alternativ zum eingebauten Link nach Googlemaps und OpenStreetmap sind die Daten auch über Dienste wie beispielsweise http://www.zwanziger.de/gc_tools_showmap.html auswertbar. Wer statt des eingebauten Links direkt maps.Google.com nutzen mag, muss vor den Positionsangaben die Richtung also N (Nord) oder E (Osten) hinzufügen.

Analytische Ausgaben


Bild: Analytische_Aufgaben
Hier werden die Geo-Daten als Position angezeigt, ein Klick öffnet eine Karte.

Aggregierte Kontakte zeigt alle Informationen des Handy-Telefonbuches, um durchgeführte Aktionen nachzuvollziehen. Eine Chartansicht zeigt den Gesamtumfang der Kommunikationen jeden Kontakts.

Links und Statistik zeigt grafisch den Anteil an SMS und Telefonaten an und wann der Erstkontakt und letzte Verbindungsaufbau stattfand. Über die Statistik ist schnell ersichtlich, welcher Kontakt am häufigsten gesucht wurde.

»Wichtige Beweise« ist der Sammelordner für den Analysten. Jede angezeigte Information, die eine Spalte mit einem Fähnchensymbol enthält, ermöglicht die Übernahme des Datensatzes in einen Sammelordner. Insbesondere die Funktionen "Aggregierte Daten" und die Suchfunktion stellen diese Funktion zur Verfügung.

Über die Suchfunktion erhalten Sie sofort die Auswahl aller passenden Daten, egal, ob es sich um Telefonate, SMS oder Kalendereinträge handelt. Die ermittelten Daten können als Liste ausgegeben oder nach Dateibrowser, Dumpsys, Kalender, SMS oder Telefonaten gruppiert werden.

Der Dateibrowser zeigt in übersichtlicher Form alle im Gerät gespeicherten Daten an. Dies sind Bilder, Videos, Klingeltöne, aber auch Cachedaten zu bestimmten Zeiten oder Downloads!

Der Button Apps verzweigt auf installierte Applikationen des Handies, so dass der Installationszeitpunkt einer APP und zugehörige Benutzerdaten ermittelbar sind.

Die Gebrauchsstatistik zeigt, an welchem Tag das Handy mit welchen Diensten am häufigsten genutzt wurde.



Geräteprotokolle zeigen Informationen zum Gerät an, beispielsweise zum Batteriestatus. Am einfachsten ist es jedoch, die Suchfunktion zu nutzen. Um beispielsweise den Gesundheitszustand des Akkus zu ermitteln wird im Suchfeld der Eintrag "Battery_Status" eingegeben.

Beispielausgabe

Die folgende Tabelle zeigt Werte für den Ladezustand eines Akkus und für seinen Gesundheitszustand:

BATTERY_STATUS_UNKNOWN (0x00000001)
BATTERY_STATUS_CHARGING (0x00000002)
BATTERY_STATUS_DISCHARGING (0x00000003)
BATTERY_STATUS_NOT_CHARGING (0x00000004)
BATTERY_STATUS_FULL (0x00000005)
Tabelle: Ermittlung des Ladezustandes eines Akku

BATTERY_HEALTH_UNKNOWN (0x00000001)
BATTERY_HEALTH_GOOD (0x00000002)
BATTERY_HEALTH_OVERHEAT (0x00000003)
BATTERY_HEALTH_DEAD (0x00000004)
BATTERY_HEALTH_OVER_VOLTAGE (0x00000005)
BATTERY_HEALTH_UNSPECIFIED_FAILURE(0x000000 06)
BATTERY_HEALTH_COLD (0x00000007)
Tabelle: Gesundheitszustand (health) eines Akku

 

Weiterführende Information

Erkennt Oxygen Forensik das angeschlossene Gerät nicht automatisch, stehen Anleitungen und Hinweise im Internet bereit. Sie erläutern Möglichkeiten das Einlesen der Daten über manuelle Teiberinstallationen einzurichten. Hinweise zur Prüfung der Installation und spezielle Einstellungen für anschließbare Geräte sind der mitgelieferten Dokumentation "Oxygen_Forensic®_Suite_2014_-_Getting_started" zu entnehmen. Die Inlinehilfe zeigt jeweils benötigte Einstellungen zu den über 7500 unterstützten Geräten. Manuelle Installationsanleitungen für Agents im Zielgerät sind in der Datei "Install.de.rtf" verfügbar.


Downloadadressen

Einmalige 6-Monats-Lizenz für die Demoversion:
http://www.oxygen-forensic.com/en/download/freeware
Die im Bericht vorgestellte Analystversion ist nur auf Anfrage erhältlich.


Treiber

http://www.oxygen-forensic.com/download/drivers/OFS2_Drivers_Pack.zip http://developer.android.com/sdk/oem-usb.html

Demodaten zu verschiedenen Handys
http://www.oxygen-forensic.com/en/download/devicebackups
Aktualisierung des Programms
http://www.oxygen-forensic.com/en/download/OxyForensic®_Features_Setup.exe

Dokumentation
www.oxygen-forensic.com/download/fs2/Install.DE.rtf‎

Autor
Die Themen Internetrecht und forensische Untersuchungsmethoden im IT-Umfeld fesseln den Teamleiter und Fachbuchautor, der seine Kenntnisse an der Fachhochschule der Polizei vertiefte.

Wic, am 16.11.2014
0 Kommentare Melde Dich an, um einen Kommentar zu schreiben.


Bildquelle:
Larry Ewing, Wikipedia (Herzlichen Glückwunsch: Linux wird in 2011 stolze 20 Jahre alt)

Laden ...
Fehler!