Aktuelles, Interviews - geschrieben von am Montag, Dezember 14, 2015 16:37 - noch keine Kommentare

Smartphone-Forensik: Interessantes Feld für Cyber-Untersuchungen

Carsten Pinnow im Gespräch mit Heather Mahalik, SANS Institut

[datensicherheit.de, 14.12.2015] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Heather Mahalik, Trainerin für Smartphone-Forensik beim SANS Institut zum Thema „Smartphone-Forensik“ als Methodik bei Cyber-Vorfällen.

CP: Frau Mahalik, Smartphone-Forensik ist ein sehr interessantes Feld für Cyber-Untersuchungen. Können Sie einen Security-Vorfall beschreiben, der untersucht und im Anschluss publik gemacht wurde?

Mahalik: Malware hat die letzten Jahre geprägt und die Sicherheit von Smartphones mehr als je zuvor beeinflusst: Im September 2015 wurde die Infiltrierung von Apples streng überwachtem iTunes App Store durch die iOS Malware „XcodeGhost“ bekannt. Vor kurzem veröffentlichte Apple dann eine Liste mit den Top 25 der Applikationen, die nachweislich mit dem bösartigen Code entwickelt wurden. Darunter befindet sich auch die beliebte Messaging-Applikation WeChat, die in Asien weit verbreitet ist.
Die Malware wurde in gestohlene Versionen von Xcode, der Programmierumgebung von Apple, die auf MAC OS läuft und die für die Entwicklung von Software für iOS und OS X verwendet wird, eingespeist. Auf Webseiten von Drittanbietern wurden die manipulierten Versionen von Xcode dann zum Download angeboten. Wer mit der gehackten Version nun Code entwickelt hat, hat unwissentlich bösartige Software-Versionen zu Apple geschickt, die dann im iTunes Store veröffentlicht wurden – natürlich bevor der Exploit bekannt war.
In den gestohlenen Versionen wurde die CoreService-Entwicklungsumgebung ausgetauscht, die dann erhöhte Berechtigungen für Applikationen sammelte, die mit der Software erstellt wurden. Hierbei zog die infizierte Applikation Informationen wie Name, Versionsnummer, Systemversion, Sprache, Land, Entwickler, Installationszeit, Gerätename und Gerätetyp ab. Anschließend wurden die gesammelten Daten an einen Command und Control-Server übermittelt, wo sie in vielerlei Hinsicht verwendet wurden.

CP:  Gibt es eine wachsende Bedrohungslandschaft für Smartphones? Welche sind die häufigsten Malware-Typen?

Mahalik:  Am meisten gefährdet ist zwar noch immer Android, erst vor wenigen Wochen wurde aber auch iOS gehackt. Die Ansicht, dass iOS-Geräte sicher sind, ist weit verbreitet, weshalb viele denken, dass sie sich keine Sorgen machen müssen. Allerdings existieren die meisten Schwachstellen, die genutzt werden, um Zugang zu Computern zu erhalten, ebenfalls auf Smartphones.

Trojaner sind am häufigsten auf Smartphones zu finden. Doch auch andere Malware-Typen wie Ransomeware sollten nicht außer Acht gelassen werden. Malware auf einem Smartphone ausfindig zu machen, ist wesentlich leichter, als zu ermitteln, auf welche Daten die Malware zugreift und wo diese abgefiltert werden. In FOR585 lernen die Teilnehmer, wie sie Mal- oder Spyware erkennen und manuell dekompilieren können.

CP: Welche sind die wichtigsten Schritte, um forensische Untersuchungen auf Smartphones durchzuführen? Können Sie eine Vorgehensweise kurz beschreiben?

Mahalik: Smartphones zu untersuchen, verlangt ein spezielles Paket an Fertigkeiten und jeder Prüfer ist für die Entwicklung seiner eigenen Herangehensweise verantwortlich. Nur die bloße Bedienung des Smartphones kann schon dazu führen, dass die Daten nicht wiederhergestellt werden können, wenn per Remote auf das Gerät zugegriffen oder es gesperrt wird. In FOR585 besprechen wir geeignete Schritte, die sicherstellen, dass Daten nicht verloren gehen, wenn das Gerät in Ihrem Besitz ist. Neben dem Umgang mit Verschlüsselungen lernen die Teilnehmer zudem, wie sie ein Gerät rooten und „knacken“ können.

Ist einem erst einmal der Zugriff auf die Daten gelungen, sind die nächsten Schritte kritisch und werden oft nicht korrekt ausgeführt: Der Prüfer vertraut darauf, dass ein Forensik-Tool die Daten korrekt interpretiert. Dass Tools versagen, ist keinesfalls Fehler des Verkäufers, sondern ein Problem in Bezug darauf, wie das Smartphone für uns denkt und wo die Daten gespeichert werden. Für ein Tool ist es schwer zu wissen, ob der User etwas getan hat oder ob es das Smartphone war. Für den Prüfer gilt es daher herauszufinden, wie die Daten auf das Gerät gelangt sind. Die hierfür notwendigen Skills vermitteln wir in unseren Kursen. Das Erlernen von Techniken, um durch Applikationen geschützte Daten zu entschlüsseln, ist ebenfalls Bestandteil der Schulungen. Die Teilnehmer werden in manuellen Analyse-, Dekodierungs- und Entschlüsselungsmethoden trainiert, um auch schwierigere Analysetechniken später leichter anwenden zu können. Diese Techniken ermöglichen beispielsweise den Zugang zu Daten, auf die Tools ansonsten keinen Zugriff gewähren.

CP: Gibt es Unterschiede zwischen den mobilen OS, zum Beispiel Android, iOS oder WindowsPhone?

Mahalik: Smartphone-Betriebssysteme verwenden SQLite zur Datenspeicherung, wohingegen die Einstellungen in unterschiedlichen Dateien gespeichert sind und die Datenbanken an besonderen Orten sein können. Es ist sehr wichtig, nicht nur zu verstehen, wie Daten gespeichert werden, sondern auch, wie die Daten auf das Gerät gekommen sind.

Es gibt zwei Möglichkeiten, einen Nachweis zu erstellen: durch das Smartphone und durch den User. Eine Fehlinterpretation der Daten kann jedoch die ganze Untersuchung zu Nichte machen. Aufgabe des Prüfers ist zu lernen, wie der Dateipfad validiert werden kann, wie das Smartphone Daten speichert und wie die zur Verfügung stehenden Tools wirksam zur korrekten Dekodierung und zum Reporten korrekter Befunde eingesetzt werden können.

CP: Welche sind die wichtigsten Werkzeuge (Tools) für Smartphones und warum?

Ein Tool kann nicht alles machen, weshalb wir in unseren Kursen die besten Tools für unseren Job vorstellen. Außerdem ist das Budget ein Problem. Wo möglich, können Open Source und kostenlose Tools/Skripte helfen. Die wichtigsten Tools sind aber diejenigen, die im Labor getestet und validiert wurden und die dadurch sicher auf den am häufigsten verwendeten Geräten funktionieren. In FOR585 fokussieren wir uns auf verschiedene Tools wie Cellebrite Physical Analyzer, Autopsy, Andriller oder XRY, um Daten zu extrahieren, zu dekodieren und zu melden.

Heather Mahalik, Sans Institut

© SANS Institute

Heather Mahalik, Trainerin für Smartphone-Forensik beim SANS Institut



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung