Handy - Forensik · Seminar ITS – SS 2007 25.07.2007 - Folie 1/14 Handy - Forensik Lars...
Transcript of Handy - Forensik · Seminar ITS – SS 2007 25.07.2007 - Folie 1/14 Handy - Forensik Lars...
25.07.2007 - Folie 1/14Seminar ITS – SS 2007
Handy - ForensikHandy - Forensik
Lars WolleschenskySeminar ITS
Ruhr-Universität BochumSS 2007
25.07.2007 - Folie 2/14Seminar ITS – SS 2007
GliederungGliederung
1.1. Einleitung Einleitung
2.2. Prozess Prozess
3.3. EntwicklungEntwicklung
25.07.2007 - Folie 3/14Seminar ITS – SS 2007
Einleitung (1)Einleitung (1)
- hoher Verbreitungsgrad - mindestens ein Handy in mehr als 80% aller Haushalte- 84% der 13- bis 22-Jährigen - 32,6 Millionen umgesetzte Mobiltelefone pro Jahr
- mehr als “simples” telefonieren - 34 SMS pro Nutzer und Monat
- Digitalkamera- Terminplaner
Relevanz
kriminelle Handlungen werden systematisch identifiziert,analysiert oder rekonstruiert (wikipedia)
Forensik
25.07.2007 - Folie 4/14Seminar ITS – SS 2007
Einleitung (2)Einleitung (2)
- Adressbuch- ein- und abgehende Anrufe- SMS (gesendet / empfangen)- Kalender- Photos/Video- GSM Location Register... und andere
Beweisstücke
25.07.2007 - Folie 5/14Seminar ITS – SS 2007
ProzessProzess
- Daten müssen zugänglich gemacht werden- Screenshots- Software- Bit exakte Speicherkopie
- Telefon vs. SIM Karte
Erfassung
- andere Spuren auf dem Handy sichern- Dokumentation!!!
Konservierung und Dokumentation
25.07.2007 - Folie 6/14Seminar ITS – SS 2007
ProzessProzess
- was, wie, wann, wo gemacht- warum- zum Teil Jahre zwischen Untersuchung und Strafprozess- nachvollziehbar für die Gegenseite (Wiederholbarkeit)
Dokumentation
- Suche nach relevanten Informationen- zum Teil automatisiert
Analyse
25.07.2007 - Folie 8/14Seminar ITS – SS 2007
ProblemeProbleme
- Handy identifizieren- Webseiten, die helfen (gsmarena.com, phonescoop.com)
- Kabel finden oder kaufen (Strom, Daten)- vertraut machen- kompatible Software einsetzten- auf dem neusten Stand bleiben
Vielfalt
- Personal Identifikation Nummer- Personal Unblocking Key
- mit dem Verdächtigen sprechen- Netzbetreiber
PIN/PUK
25.07.2007 - Folie 9/14Seminar ITS – SS 2007
ProblemeProbleme
On- keine PIN- Datenverlust auf SIM Karte
Off- kein Datenverlust im Datenbereich- Remotewipe- SMS überschreiben- kein Faradaykäfig- mehr Zeit, um Stromversorgung zu garantieren- ist Tradition ...
On vs. Off
25.07.2007 - Folie 10/14Seminar ITS – SS 2007
ProblemeProbleme
- Produktvielfalt- Kompatibilität- Zuverlässigkeit- Features- SIM Karte- Preis- Zertifikate
Software
25.07.2007 - Folie 11/14Seminar ITS – SS 2007
EntwicklungEntwicklung
Joint Test Action Group
- direkte Kommunikation mit dem Schaltkreis- kein Betriebssystem
Aber
- fragmentierte, HEX Daten- kein Dateisystem- individuelle Befehle für jeden Chipsatz- keine Unterstützung durch die Hersteller
JTAG
25.07.2007 - Folie 12/14Seminar ITS – SS 2007
EntwicklungEntwicklung
- herstellerspezifisch- zum Teil offiziell unterstützt- lesen Speicher direkt aus
Aber:
- illegale Zielsetzung (Unlock)- Black Box- Datenintegrität?- vor Gericht nicht zugelassen
Flasher Boxen
25.07.2007 - Folie 13/14Seminar ITS – SS 2007
Last but not leastLast but not least
Fragen, Fragen, Kommentare?Kommentare?
25.07.2007 - Folie 14/14Seminar ITS – SS 2007
QuellenQuellen
Paolo Gubian Antonio Savoldi. Sim and Usim Lesesystem: a forensicsperspective. Proceedings of the 2007 ACM symposium on Applied com-puting, 2007.
Michael Harrington. Hex Dumping Primer. 2004.
Coert klaver Ronal van der KnijMarcel Breeuwsma, martien de Jonghand Mark Roelos. Forensic data recovery from Fash memory. SmallScale Digital Device Forensics Journal, 1, 2007.
Rick Ayers Wayne Jansen. Guidelines on Cell Phone Forensics. 2007.
Bitte lesen!
25.07.2007 - Folie 15/14Seminar ITS – SS 2007
Probleme in der PraxisProbleme in der Praxis
- Hersteller (Nokia, Siemens, Motorola …)- Modelle- Betriebssysteme- Anschlüsse- Stromversorgung- Software- Features (Kamera, Office ...)- Netzbetreiber (Features sperren)
Viele neue Produkte!
Vielfalt (1)