Computer-Forensik und mobile Geräte

Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.

Mobile Geräte wie PDAs, Mobiltelefone und Smartphones sind als Arbeitsinstrumente aus der heutigen Unternehmenswelt nicht mehr wegzudenken und gehören mittlerweile zum Standard einer modernen ICT-Infrastruktur. Dem gegenüber aber steht die Tatsache, dass bei Sicherheitsvorfällen und Computermissbrauch immer häufiger auch solche mobilen Geräte betroffen sind. In diesen Fällen geben forensische Untersuchungen darüber Auskunft, was genau auf dem Gerät vorgefallen ist und inwiefern sich die Geschehnisse nachweisen lassen. Im Zentrum steht also die Sicherstellung und Analyse digitaler Spuren.

Bei der Beweissicherung und Analyse mobiler Geräte empfiehlt es sich, nach einem vorgängig definierten Prozess vorzugehen, dabei sind die folgenden Punkte zu beachten: Zuerst erfolgt durch ein Abbild (Image) die Dokumentation des ursprünglichen Zustands des Geräts. Hierzu gibt es eine Reihe professioneller Forensik-Software. Analysen werden niemals auf dem Original-Gerät durchgeführt, sondern immer auf einem Image, da ansonsten Speicherbereiche überschrieben oder Passwortsperren aktiviert werden. Die Geräte sind mit externer Stromquelle zu versorgen, da ein leerer Akku zu Datenverlust führen kann. Falls auf dem Display ersichtlich, ist es hilfreich, die genaue Uhrzeit und Datum des Geräts zu notieren, dies vereinfacht im Anschluss die Analyse und Nachvollziehbarkeit der Aktionen auf dem Gerät. Die Geräte sind von drahtlosen Verbindungen wie GSM, WLAN, Bluetooth abzuschirmen. Dadurch wird eine unbemerkte Manipulation der Geräte und Daten von «aussen» verhindert.

Gelöschte Daten

Werden Daten auf mobilen Geräten gelöscht, bedeutet das keineswegs, dass diese nicht wieder hergestellt werden können. Oftmals wird nur die Zuordnung zwischen einer Datei und dem entsprechenden Speicherort gelöscht, nicht aber die eigentliche «physische» Datei. Dies gilt nicht nur für den Speicher des mobilen Geräts selbst, sondern auch für Speicherkarten (z.B. SD-, oder Compact Flash) und SIM-Karten von Mobiltelefonen. Mit Hilfe spezieller Forensik-Werkzeuge lassen sich beispielsweise gelöschte SMS-Nachrichten oder Adressbuch-Einträge wieder sichtbar machen. Eine Garantie dafür gibt es allerdings nicht. Dies ist in der Praxis davon abhängig, ob und wie häufig die SIM-Karte zwischenzeitlich seit der Löschung der SMS oder des Eintrags verwendet wurde, und ob dabei die entsprechenden Speicherbereiche durch andere Daten überschrieben wurden.

Passwortschutz

Es existieren verschiedene Möglichkeiten, den Passwortschutz mobiler Geräte zu umgehen oder auszuhebeln. So besitzen ältere Palm-OS-Geräte einen «Debugging Modus», mit welchem sozusagen durch die «Hintertür» auf das Gerät zugegriffen werden kann. Ausserdem ist das Passwort lediglich als codierter XOR-String («Hashwert») in der «Unsaved Preferences»-Datenbank auf dem Gerät abgelegt. Das Passwort kann binnen weniger Sekunden entschlüsselt werden. Gewisse auf Windows Mobile basierende Smartphones können von einer SD-Speicherkarte gestartet werden. Mit Hilfe der speziellen «Bootloader»-Software kann so auf die Registry des Geräts zugegriffen und der Passwortschutz deaktiviert werden. Als letzte Methode bietet sich noch die «rohe Gewalt» (Brute-Force-Attacke) an, wobei sämtliche Passwort-Varianten durchprobiert werden. Aufgrund der Tatsache, dass Benutzer auf mobilen Geräten meist sehr kurze Passwörter wählen, ist diese Variante durchaus Erfolg versprechend.

Einerseits sind Passwort-geschützte Geräte aus sicherheitstechnischer Betrachtung zu begrüssen, andererseits erschweren oder verhindern sie auch forensische Untersuchungen.