Auch Hacking-Tools werden von Experten überprüft

Technologie

Eine von der Regierung geleitete Anstrengung ebnet den Weg dafür, dass aus elektronischen Geräten extrahierte Daten als Beweismittel vor Gericht akzeptiert werden.

Im Silicon Valley Regional Computer Forensics Lab befindet sich eine mitgenommene Festplatte als Beweismittel.

Im Silicon Valley Regional Computer Forensics Lab befindet sich eine mitgenommene Festplatte als Beweismittel.(Kim Kulish / Corbis / Getty)

Im September 2002, weniger als ein Jahr nachdem Zacarias Moussaoui von einer Grand Jury wegen seiner Rolle bei den Anschlägen vom 11. September 2001 angeklagt wurde, reichten Moussaouis Anwälte eine offizielle Beschwerde über den Umgang der Regierung mit digitalen Beweismitteln ein. Sie stellten die Qualität der Tools in Frage, die die Regierung verwendet hatte, um Daten von einigen der mehr als 200 Festplatten zu extrahieren, die in dem Fall als Beweismittel vorgelegt wurden – darunter eine von Moussaouis eigenem Laptop.



Als die Regierung zurückschoss, stützte sie sich auf zwei offizielle Dokumente zur Sicherung: zwei Berichte des National Institute of Standards and Technology (NIST), die die Funktionsweise der Softwaretools detailliert beschrieben. Die Dokumente zeigten, dass die Tools die richtigen waren, um Informationen aus diesen Geräten zu extrahieren, argumentierten die Regierungsanwälte, und dass sie dies akkurat nachweisen konnten.

Es war das erste Mal, dass ein NIST-Bericht über ein digitales Forensik-Tool vor Gericht zitiert wurde. Dass sein erster Auftritt in einem so hochkarätigen Fall war, war ein vielversprechender Start für das Computer Forensics Tool Testing (CFTT)-Projekt des NIST, das etwa drei Jahre zuvor begonnen hatte. Seine Mission besteht seit fast zwei Jahrzehnten darin, eine standardisierte, wissenschaftliche Grundlage für die Evaluierung der bei digitalen Ermittlungen regelmäßig eingesetzten Hard- und Software zu schaffen.

Einige der Tools, die die Ermittler verwenden, sind im Handel erhältlich und können relativ günstig oder sogar kostenlos online heruntergeladen werden. andere sind für einen normalen Menschen etwas schwerer zu bekommen. Sie sind im Wesentlichen Hacker-Tools: Computerprogramme und Gadgets, die sich mit einem Zielgerät verbinden und ihren Inhalt für die Suche und Analyse extrahieren.

Die Digital-Evidence-Community wollte sicherstellen, dass sie die Forensik richtig macht, sagte Barbara Guttman, die die Software Quality Group am NIST beaufsichtigt. Diese Gemeinschaft besteht aus Regierungsbehörden – wie dem Department of Homeland Security oder dem National Institute of Justice, der Forschungsabteilung des Justizministeriums – sowie staatlichen und lokalen Strafverfolgungsbehörden, Staatsanwälten und Verteidigern sowie privaten Cybersicherheitsunternehmen.

Die Berichte setzen nicht nur Standards für die digitale Beweiserhebung, sondern helfen den Benutzern auch bei der Entscheidung, welches Tool sie verwenden sollten, basierend auf dem elektronischen Gerät, das sie betrachten, und den Daten, die sie extrahieren möchten. Sie helfen auch Softwareanbietern, Fehler in ihren Produkten zu beheben.

Heute sind die CFTTs entschieden Retro-Webseite – geschmückt mit einem Zitat aus einer Episode von Star Trek: The Next Generation – enthält Dutzende von detaillierten Berichten über verschiedene Forensik-Tools. Einige Berichte konzentrieren sich auf Tools, die gelöschte Dateien wiederherstellen, während andere das File Carving behandeln, eine Technik, mit der Dateien neu zusammengesetzt werden können, denen wichtige Metadaten fehlen.

Der größte Gruppe von Berichten konzentriert sich auf die Erfassung von Daten von mobilen Geräten. Smartphones sind für Strafverfolgungsbehörden und Staatsanwälte zu einer immer wertvoller werdenden Quelle von Beweisen geworden, da sie heute riesige Speicher für private Kommunikation und Informationen sind – aber die sensible Natur dieser Daten hat die Versuche der Regierung, darauf zuzugreifen, immer umstrittener gemacht.

Es ist ein sehr schnelllebiger Raum, und er ist wirklich wichtig, sagte Guttman. In jedem Fall könnte es sich möglicherweise um ein Mobiltelefon handeln.

Es ist ein seltsames Gefühl, diese öffentlichen, nicht redigierten Regierungsberichte durchzublättern, die die schrecklichen Fähigkeiten kommerziell erhältlicher mobiler Extraktionssoftware offenlegen. Ein Bericht Das erst vor zwei Wochen veröffentlichte Tool beschreibt beispielsweise ein Tool namens MOBILedit Forensic Express, das von Compelson Labs aus San Francisco entwickelt wird. Das Tool funktioniert auf Apple iPhones 6, 6S und 6S Plus, zwei Versionen von Apples iPads sowie mehreren Samsung Galaxy Smartphones und Tablets. Es kann die folgenden Arten von Informationen von einem mobilen Gerät extrahieren:

… gelöschte Daten, Anrufliste, Kontakte, Textnachrichten, Multimedia-Nachrichten, Dateien, Ereignisse, Notizen, Passwörter für WLAN-Netzwerke, Erinnerungen und Anwendungsdaten von Apps wie Skype, Dropbox, Evernote, Facebook, WhatsApp, Viber usw.

Die Produktseite für MOBILedit Forensic Express behauptet, die Software sei in der Lage, Passwörter und PINs zu knacken, um in gesperrte Telefone zu gelangen, aber es ist nicht klar, wie effektiv diese Funktion ist. Es ist schwierig, in ein gesperrtes, verschlüsseltes Smartphone – insbesondere ein iPhone – zu gelangen, und es ist unwahrscheinlich, dass MOBILedit das Sicherheitssystem jedes modernen Smartphones umgehen kann.

Als das FBI versuchte, in ein iPhone 5C einzubrechen, das es am Tatort der Schießerei in San Bernardino 2015 gefunden hatte, konnte es zunächst nicht auf die Daten des Telefons zugreifen und bat Apple um Hilfe. (Vermutlich hätte das FBI Zugang zu MOBILedit und anderen kommerziellen Tools gehabt.) Apple weigerte sich, und das FBI reichte eine Klage gegen das Unternehmen ein – zog sie jedoch zurück, als Agenten endlich einen Weg fanden.

Guttman sagt, dass NIST die Telefonverschlüsselung in seinen Tests nicht berücksichtigt. Verschlüsselung ist sicherlich ein Thema für den Zugriff von Strafverfolgungsbehörden auf Telefone und andere digitale Medien, aber dieses Thema liegt außerhalb unserer Expertise und unserer Arbeit, die sich auf Softwarequalität und Softwareverständnis konzentriert, sagte sie.

Der NIST-Bericht zu MOBILedit beschreibt, wie das Tool gegen verschiedene Kombinationen von Smartphones und mobilen Betriebssystemen abgeschnitten hat. Dabei stellte sich beispielsweise heraus, dass das Tool bei besonders langen iOS-Notizen nur die ersten 69 Zeichen erhielt. Abgesehen von diesem und fünf anderen Problemen verhielt sich das Tool jedoch auf iOS-Geräten weitgehend wie versprochen, heißt es in dem Bericht.

Keines der Werkzeuge ist perfekt, sagte Guttman. Sie müssen die Stärken und Grenzen der von Ihnen verwendeten Tools wirklich verstehen.

Im Gegensatz zu einigen komplexeren Tools erfordert MOBILedit keinen Ermittler, der ein Smartphone öffnet und dessen Inneres direkt manipuliert – die Software wird mit einem Kabel mit dem Zieltelefon verbunden, genau wie ein Benutzer sein Gerät aktualisieren könnte. Die Strafverfolgungsbehörden müssen jedoch nicht unbedingt in ein Telefon eindringen, das sie durchsuchen möchten, indem sie entweder den Fall aufbrechen oder den Passcode brutal erzwingen.

In bestimmten Fällen können die Beamten den Besitzer des Telefons einfach bitten oder unter Druck setzen, es zu öffnen. So geschah es, als Sidd Bikkannavar, ein NASA-Ingenieur, auf dem Rückweg aus dem Urlaub in seine Heimat USA von einem Zollagenten angehalten wurde: Der Beamte forderte Bikkannavar nur auf, seine PIN herauszugeben, schrieb sie auf und nahm sein Smartphone mit nach einen anderen Raum für etwa eine halbe Stunde. Als der Agent das Telefon zurückgab, sagte er, er habe Algorithmen ausgeführt, um nach Bedrohungen zu suchen. Es ist möglich, dass das Telefon von Bikkannavar mit einem der von DHS getesteten mobilen Erfassungstools durchsucht wurde.

Die wachsende Bibliothek von Forensik-Tool-Berichten der Regierung wird durch andere Tester ergänzt. Absolventen des Forensic Science Center der Marshall University in West Virginia zum Beispiel führen einige der gleichen Tests durch wie das NIST. Sie arbeiten oft mit der West Virginia State Police zusammen, die ein eigenes Labor für digitale Forensik auf dem Campus betreibt, um Extraktionstools zu testen, bevor sie bereitgestellt werden. Sie posten ihre Ergebnisse online , genau wie NIST, um das gemeinsame Wissen über diese Tools zu erweitern.

Wenn wir unsere Software- und Hardwaresysteme nicht validieren würden, würde das vor Gericht kommen, sagte Terry Fenger, der Direktor des Marshalls Forensic Science Center. Ein Teil des Validierungsprozesses besteht darin, den Gerichten zu zeigen, dass die i's gepunktet und t's gekreuzt wurden.

Ein neues NIST-Projekt namens föderierte Tests wird es anderen erleichtern, mit eigenen Testberichten mitzumachen. Es handelt sich um ein kostenloses, herunterladbares Disk-Image, das alle Tools enthält, die zum Testen bestimmter Arten von forensischer Software und zum automatischen Erstellen eines Berichts erforderlich sind. Der erste Bericht über das Projekt kam vor kurzem – von einem Büro eines Pflichtverteidigers in Missouri, ein Hinweis darauf, dass die digitale Forensik nicht nur der Bereich der Strafverfolgung ist.

Ich fragte Fenger, ob die in diesen Validierungsberichten veröffentlichten technischen Informationen Hackern oder Kriminellen helfen könnten, sie zu umgehen, aber er sagte, die Validierungsdaten wären für einen böswilligen Hacker wahrscheinlich nicht von großem Wert. Es ist mehr oder weniger nur das A und O, wie die Dinge funktionieren, sagte Fenger. Die meisten Hacker da draußen sind weit über diese Validierungen hinaus.