![[Aufmachergrafik: heller, corporate design]](images/07-4-024-0.jpg)
Forensik bei mobilen Endgeräten Forensik bei mobilen EndgerätenMit dem zunehmenden Einsatz mobiler Endgeräte (Handys/Smartphones, PDAs usw.) landen auch immer mehr Unternehmensdaten auf den handlichen Helfern. Zu wissen, was sich von diesen Systemen auf "unüblichen Wegen" und ohne die Mitarbeit ihres Besitzers auslesen lässt, ist sowohl für die Einschätzung des Gefahrenpotenzials im Verlustfall als auch für Datenrettung und mögliche interne Ermittlungen bedeutsam. Der Autor hat in den letzten Monaten viel Zeit auf die forensische Analyse solcher mobilen Geräte verwandt.
Im Fokus dieses Artikels liegen vor allem die unterschiedlichen Speicherorte für Daten (Gerätespeicher, Speicher- und SIM-Karten) und die gefundenen Möglichkeiten zur Rekonstruktion. Der Beitrag beschränkt sich dabei hauptsächlich auf die Untersuchung der am Markt am weitesten verbreiteten Geräte, also einerseits den klassischen "Wegwerfhandys" mit vergleichweise kurzer Lebensdauer (z. B. Sony Ericsson W800i) und zum anderen Symbian- (z. B. Sony Ericsson P900) und Windows-Mobile-Geräten (z. B. Vodafone VDA III compact, baugl. Hermes HTC).
Neben dem internen Speicher von Mobiltelefonen (s. u.) landen sensitive Daten auch in der SIM-Karte (Subscriber Identity Module), die bekanntlich durch eine – vom Nutzer zu ändernde – PIN (Personal Identification Number) geschützt wird, sofern der Anwender dieses Feature nicht deaktiviert. Fehleingabezähler verhindern ein Durchprobieren der Sicherheitskennungen: Nach dreimaliger Fehleingabe der PIN in Folge wird die SIM-Karte gesperrt und kann nur durch Eingabe des Personal Unblocking Key (PUK) wieder reaktiviert werden.
Der PUK wird vom Service-Provider vergeben, ist aber im Gegensatz zur PIN unveränderlich. Mithilfe des PUK kann man eine neue PIN setzen oder die alte deaktivieren. Sollte jedoch der PUK zehnmal falsch eingegeben werden, ist die SIM-Karte unwiderruflich gesperrt und reif für den Elektronikschrott. Der PUK ist beim Service-Provider hinterlegt und kann bei Verlust erfragt werden; auch bei polizeilichen Untersuchungen ist eine Auskunft möglich. Der PUK dient somit auch als Ersatzschlüssel, um die zugehörige SIM-Karte ohne Kenntnis der PIN zu "öffnen". PIN2 und zugehöriger PUK2 sind analog zum Schutz und Ändern spezieller – oft kostenpflichtiger – Dienste oder von Einträgen im so genannten "geschützten Telefonbuch" vonnöten, auf das der Benutzer eventuell keinen ändernden Zugriff haben soll.
SIM-Karten verfügen üblicherweise nur über einen recht geringen Speicherplatz und enthalten vor allem ein Telefonbuch, den Speicher für SMS-Nachrichten und eine Liste der zuletzt geführten Gespräche. Beim Auslesen über ein Chipkartenterminal müssen die extrahierten SIM-Kartendaten nicht zwangsläufig mit denen übereinstimmen, die ein Handy dem Benutzer anzeigen würde.
Das Telefonbuch auf der SIM-Karte "wandert" beim Handy-Wechsel mit, enthält aber in der Regel nur die Telefonnummer und den anzuzeigenden Anrufernamen. Im Telefonbuch aktueller Handys können darüber hinaus zusätzliche Informationen wie Adressen, Geburtsdaten, Notizen, Bildverknüpfungen, Sprachbefehle und Anderes hinterlegt sein.
Bei den vom Autor untersuchten Geräten war zu beobachten, dass Einträge im SIM-Telefonbuch forensisch sicher gelöscht wurden. Hier wird also nicht nur ein bestimmtes Bit (Flag) gesetzt, um zu signalisieren, dass es sich um einen "gelöschten" Eintrag handelt. Stattdessen wurden die Einträge bei allen getesteten Geräten mit dem hexadezimalen Wert FF überschrieben. Eine Wiederherstellung gelöschter SIM-Telefonbucheinträge ist damit nicht möglich.
![[Screenshot]](images/07-4-024-1.jpg)
Abbildung 1: Gelöschte Einträge im SIM-Telefonbuch erwiesen sich in Untersuchungen des Autors als nicht-rekonstruierbar, da sie mit "FF" überschrieben werden.
Anders verhält es sich bei Kurznachrichten: Werden diese vom Anwender "gelöscht", ändert sich lediglich das erste Bit, das den Status der Nachricht beschreibt (vgl. Abb. 2). Der Inhalt der SMS befindet sich aber weiterhin auf der SIM-Karte und wird erst überschrieben, wenn kein weiterer freier Speicherplatz mehr zu Verfügung steht. SMS sind zwar auf einer SIM-Karte nicht "einfach so" lesbar, da sie 7-Bit-kodiert abgelegt werden, um Platz zu sparen – verschlüsselt sind sie aber nicht.
An dieser Stelle sei ausdrücklich darauf hingewiesen, dass das Auslesen von SIM-Daten nur mithilfe spezieller Hardware zu empfehlen ist, da die Nutzung im Mobiltelefon teilweise den Status von Daten schon beim Auslesen ändert: Wird beispielsweise eine SMS direkt auf einem Handy angezeigt, so wechselt ihr Status gegebenenfalls von "ungelesen" auf "gelesen". Zeitstempel, die solche Änderungen protokollieren, sind nicht vorgesehen. Im Nachhinein ist somit nicht zweifelsfrei feststellbar, wann und durch wen eine Statusänderung veranlasst wurde. Für forensische Analysen sind daher möglichst die gespeicherten Verbindungsdaten des Service-Providers hinzuzuziehen
![[Screenshot]](images/07-4-024-2.jpg)
Abbildung 2: Inhalte "gelöschter" Kurznachrichten (SMS) bleiben weiterhin auf einer SIM-Karte erhalten, bis sie aufgrund von Platzmangel überschrieben werden.
Auch Mobiltelefone selbst lassen sich vor fremden Zugriff durch eine Code-Nummer schützen, die der Benutzer einrichten kann. Viele Hersteller gewähren zwar einem Anwender erst dann (vollständigen) Zugriff auf das Gerät, wenn er eine gültige oder (zum Umgehen von Phone-Locks) geklonte SIM-Karte eingelegt und aktiviert hat – ohne Phone-Lock genügt hierfür aber eine beliebige Karte. Ein Angreifer oder Ermittler muss daher oft nur eine "ihm bekannte" oder PIN-deaktivierte SIM-Karte einlegen und könnte dann auf alle im Handy gespeicherten Daten zugreifen.
![[Screenshot]](images/07-4-024-3.jpg)
Abbildung 3: Bei einigen Mobiltelefonen kann man den Geräte-Code auch einfach auslesen (im Bild: Dump eines Sony Ericsson W800i).
Davor soll – zumindest theoretisch – der Geräte-Code schützen. Leider greift dieser Schutz oft nur gegenüber Zufallsfindern und Gelegenheitstätern, denn viele Handys besitzen Generalschlüssel (Master-Codes) oder ermöglichen die Berechnung eines spezifisch gültigen "Nachschlüssels", etwa anhand der Geräte-Seriennummer (International Mobile Equipment Identifier – IMEI), die über den GSM-Code *#06# erfragt werden kann und oft auch im Gerät auf einem Aufkleber vermerkt ist. Der "Schutz" reduziert sich dann auf die Kenntnis des notwendigen Berechnungsverfahrens. Teilweise ist auch ein – mehr oder minder einfaches – Recovery der Codes oder des Geräts über herstellerspezifische Wartungs-Prozeduren möglich (vgl. Tab. 1). Etliche Entsperr-Codes und -Verfahren sind über eine Internetsuche relativ leicht zu finden.
| Hersteller | Default Code | Code-Recovery-Funktionen |
|---|---|---|
| Nokia | 12345 | Code kann gelöscht und berechnet werden |
| Sony Ericsson | 0000 | Code kann ausgelesen werden |
| Motorola | 1234 | Code kann ausgelesen werden |
| Siemens | *#0606# (ohne SIM-Card!) liefert kodierten Datenblock | |
| Samsung | 00000000 | *2767*2878# setzt das Gerät auf Default zurück |
| LG | 0000 | *22899 / *228 + Option 1 ermöglicht Reset (neuer Code sind die letzten vier Stellen der Telefon-Seriennummer IMEI) |
| Panasonic | 1234 | Code kann berechnet werden |
| Benq | Mastercodes existieren |
Die meisten Handy-Hersteller ermöglichen ein Auslesen, Berechnen oder Zurücksetzen von Geräte-Codes, sodass hierdurch kaum ein Schutz für die Mobiltelefone verbleibt.
Der Vollständigkeit halber sei erwähnt, dass auch Handys heute oft auswechselbare Speichermedien in Größenordnungen von mehreren Gigabytes unterstützen. Diese Karten lassen sich jedoch problemlos mit allgemeinen forensischen Werkzeugen untersuchen, die Ermittler auch für den Umgang mit Festplatten nutzen. Alle untersuchten Speicherkarten wiesen auch im Smartphone-Einsatz das bekannte FAT-Dateisystem auf. Wie dabei üblich, ist es ohne größeren Aufwand möglich, gelöschte Daten darauf wiederherzustellen, solange sie nicht überschrieben wurden. Gleiches gilt naturgemäß auch für den Einsatz solcher Speichermedien in anderen mobilen Systemen.
Der wohl schwierigste Part bei der Untersuchung eines mobilen Endgerätes liegt in der Analyse der Daten, die sich im Flash-Speicher des Systems befinden – hierfür gibt es naturgemäß keine pauschale Herangehensweise. Im Folgenden finden Sie Ergebnisse in drei untersuchten Kategorien: zunächst für Handys mit proprietären Betriebssystem (fast alle Hersteller führen derartige Geräte, z. B. Sony Ericsson W800i), anschließend für Smartphones mit Symbian-Betriebssystem (z. B. Sony Ericsson P900i) und Geräte mit Windows Mobile Version 5 (z. B. Vodafone VDA Compact III).
Zu den Daten, die direkt im Handy gespeichert sind, zählen das Betriebssystem (Firmware) und die Benutzerdaten, um die es im Folgenden gehen soll. Die meisten Mobiltelefone besitzen spezielle Betriebsmodi für Update und Wartung. Um in diese zu gelangen, benötigt man entweder ein spezielles Kabel (z. B. bei Nokia F-Bus/M-Bus-Kabel) oder man muss beim Einschalten eine bestimmte Tastenkombination drücken (z. B. bei Sony Ericsson: "C"-Taste gedrückt halten).
In einer solchen Betriebsart kann man auf etliche Daten im Gerätespeicher ohne die Notwendigkeit einer SIM-Karte oder der Eingabe eines Geräte-Codes lesend und schreibend zugreifen – im Beispiel des W800i etwa:
Grundsätzlich kann man festhalten, dass sich über diesen Weg weit mehr Daten extrahieren lassen, als bisher weithin bekannt war. Es sei auch darauf hingewiesen, dass nicht über jede mögliche Schnittstelle (IrDA, Bluetooth oder Datenkabel) immer exakt dieselben Daten verfügbar sind. Bei den Untersuchungen wurden die besten (weitreichendsten) Ergebnisse mithilfe von Datenkabeln erzielt.
Allerdings sind derartige Untersuchungen nicht bei jedem Handy in gleicher Art und Weise möglich: Bei einigen Modellen kann man direkt auf das Dateisystem des Mobiltelefons zugreifen, bei anderen Geräten muss zuerst mittels Spezialhardware ein komplettes Speicher-Abbild (Memory Dump) erzeugt werden, das anschließend extern zu untersuchen ist. Daten können dabei durchaus manuell und mit erheblichem Aufwand rekonstruiert werden müssen. Für derartige Analysen kann unter anderem Spezialhardware zum Einsatz komen, das inklusive spezieller Servicekabel und Software zum Auslesen und Flashen des Speichers schon für unter 200 € erhältlich ist (vgl. Abb. 4).
Handys im Service-Modus buchen sich in der Regel nicht in ein GSM-Netz ein. Dieser Zustand ermöglicht es einem Forensiker daher komfortabel und ohne Risiko einer Manipulation, Daten aus dem Gerät zu extrahieren – Gleiches gilt natürlich auch für Angreifer mit (evtl. temporärem) physischem Zugriff auf ein Gerät, deren Handeln ebenfalls kaum nachvollziehbar sein dürfte. Werden dabei Systemeinstellungen (z. B. Browserkonfigurationen) manipuliert, so wird der Benutzer anschließend aller Vermutung nach nichts bemerken. Dadurch wäre es zum Beispiel möglich, den Datenverkehr mitzuprotokollieren oder auch aktive Angriffe zu starten, ohne dass das Handy den Anwender warnen würde. So gelang es beispielsweise während der Analysen des Autors, SSL-Verbindungen im Klartext mitzulesen.
Manipulierte Firmware kann unter Umständen sogar kabellos auf ein Handy eingespielt werden, sofern eine Funktion für "Over-the-Air"-(OTA)-Updates der Software aktiviert ist. Dass dies schon aktiv praktiziert wurde, zeigt der bekannt gewordene Fall einer FBI-Überwachung (Quelle: "Handy abgeschaltet, FBI hört mit", ![[externer Link]](../../images/link.gif)
www.spiegel.de/netzwelt/mobil/0,1518,455318,00.html), in deren Verlauf mutmaßlich eine manipulierte Firmware per OTA auf die Handys von Verdächtigen übermittelt wurde, die sodann – sogar im vermeintlich ausgeschalteten Zustand – als Wanzen fungierten.
![[Screenshot]](images/07-4-024-4b.jpg)
![[Foto einer Twister-Box]](images/07-4-024-4.jpg)
Abbildung 4: Mit speziellen "Servicewerkzeugen" ist ein umfassender lesender wie schreibender Zugriff auf den internen Speicher der meisten Mobiltelefone möglich – allerdings ist dann die Interpretation der Daten oft "Handarbeit".
Um Daten auf einem Symbian-Gerät sicherzustellen, ohne auf dem Gerät Veränderungen zu bewirken, wurde in den Untersuchungen bei Fink Secure eine präparierte Speicherkarte in ein P900i eingelegt: Mithilfe eines darauf befindlichen, selbst geschriebenen Tools gelingt es dann problemlos, den kompletten Inhalt des Gerätespeichers herunterzuladen.
Hierzu wurde die Symbian-Möglichkeit genutzt, eine Applikation direkt von einem wechselbaren Speichermedium aus zu starten, ohne dass dieses Programm auf dem Gerät installiert sein muss. Es sei nochmals betont: Dies hinterlässt keine Spuren und verändert auf dem System keine Daten! Ein weiterer Vorteil besteht darin, dass die internen Daten weder auf die Speicher-Karte geschrieben werden müssen noch hierfür ein spezielles Kabel vonnöten ist. Im vorliegenden Fall genügte neben dem selbst entwickeltem Skript ein Standard-USB-Kabel des Herstellers zur Übertragung auf ein Linux-System. Auf dem untersuchten Gerät standen insgesamt vier Partitionen zum Kopieren zur Verfügung: mit Systemdateien (C:\ und Z:\), eigenen Dateien (A:\ und C:\) sowie den Inhalten der Flash-Karte (D:\).
Zum Zugriff auf Windows-Mobile-Geräte (Pocket PC / Windows CE) verwendet man am besten Active Sync. Hierzu gibt es prinzipiell zwei Möglichkeiten: Entweder man benutzt den Active-Sync-Client, der mit jedem Windows XP mitgeliefert wird, oder man erzeugt mithilfe der itsutils-Tools ( www.xs4all.nl/~itsme/projects/xda/tools.html) ein Speicherabbild und extrahiert daraus die gewünschten Dateien.
Bei keinem Gerät ist es derartig leicht gefallen, an die internen Daten zu gelangen, wie unter Windows Mobile – "im Test" war hierzu ein Vodafone VDA compact III. Die vorgesehene Schnittstelle über Active Sync und frei verfügbare Tools erleichtern hier gleichermaßen die Arbeit von Forensikern wie von Angreifern. An dieser Stelle sei jedoch auch erwähnt, dass bei der Benutzung von Active Sync sehr wohl Daten auf dem Gerät verändert werden können, da hierbei unter Umständen Logfile, Datum und Uhrzeit aktualisiert werden.
![[Screenshot]](images/07-4-024-5.jpg)
Spezielle Tools ermöglichen einen umfassenden Zugriff auf Windows-CE-Geräte via Active Sync (im Bild: itsutils).
Die Untersuchungen des Autors haben klar gezeigt, dass es sehr wohl möglich ist, die Daten auf mobilen Endgeräten sicherzustellen. Eine pauschale Lösung gibt es dabei jedoch nicht. Vorrangig muss für forensische Analysen gewährleistet sein, dass keine Daten auf den Geräten verändert werden.
Der fachliche und monetäre Aufwand zur forensischen Untersuchung eines mobilen Endgerätes hängt stark vom vorliegenden System und den Möglichkeiten des eigenen oder beauftragten Labors ab (bis hin zur 3D-Röntgensuche nach Manipulationen und Serviceschnittstellen oder dem Auslöten und direkten Auslesen von Speicherchhips). Gerade im schnelllebigen Handymarkt muss notwendiges Wissen zudem häufig durch zeitintensives Reverse Engineering gesammelt werden. Verfügbare Tools sind daher oft nur für eine geringe Zahl von Modellen nutzbar und lassen dennoch viele Wünsche offen.
Schwierigkeiten wirklich alle Daten auszulesen zeigten sich vorrangig auf dem Gebiet der "Wegwerfhandys", wo kaum Software und Informationen von den Herstellern zur Verfügung gestellt werden. Dieser Mangel birgt die Gefahr in sich, dass Daten beim Auslesen unbewusst und unwiederbringlich verändert werden, ohne dass dies dem Ermittler bewusst sein muss.
Gleichzeitig hat die Untersuchung auch gezeigt, wie schlecht sensitive Daten in mobilen Endgeräten vor unbefugtem Zugriff geschützt sind. Es empfiehlt sich daher, auch auf solchen Geräten bei entsprechendem Schutzbedarf zusätzliche Sicherheitssysteme einzusetzen. Dazu gehört neben Anti-Viren– und Firewall-Lösungen auch die Möglichkeit gespeicherte Daten und geführte Gespräche zu verschlüsseln.
Dipl.-Inf. Pierre Kroma ist Senior Security Consultant bei der Fink Secure Communication GmbH ( www.fink-secure.com).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 24
tag:kes.info,2007:lp:2007-4-C
| 