mobile (smartphone) forensics - · pdf filemobile (smartphone) forensics ......

Auditron GmbHHauptstrasse 163186 DüdingenSwitzerland

info@auditron.chwww.auditron.ch Copyright © 2015 – 2017 Auditron GmbH

Mobile (Smartphone) ForensicsDie Goldgrube für Ermittlungen

Meet Swiss Infosec, 26.6.2017Pascal C. Kocher

pascal.kocher@auditron.ch

Copyright © 2009 – 2017 Auditron GmbH

Über mich

Pascal C. Kocher

2

Copyright © 2009 – 2017 Auditron GmbH

Security-Axiome

3

Jede Software hat mindestens eineCodezeile mit einemProgrammier-Fehler.

Es gibt immer einenBenutzer der auf irgendeinen Blödsinn klickt.

2

1

Copyright © 2009 – 2017 Auditron GmbH

Security-Axiome

4

Jede Software hat mindestens eineCodezeile mit einemProgrammier-Fehler.

Es gibt immer einenBenutzer der auf irgendeinen Blödsinn klickt.

2

1

Copyright © 2009 – 2017 Auditron GmbH

Was ist ein Smartphone?

5

Copyright © 2009 – 2017 Auditron GmbH

Der Telefon-Teil

6

Kontakte (Namen, Rufnummern, etc)

SMS

getätigte und empfangene Anrufe (inkl. Dauer)

GSM / CDMA / TDMA

Copyright © 2009 – 2017 Auditron GmbH

Der Computer-Teil

7

Internet-Zugang (IP-Stack)

Messaging (WhatsApp, Skype, WeChat, Threema, Signal, ...)

VOIP (Skype, WhatsApp, FB, Signal, ...)Applikationen (Apps)

Betriebssystem

Wifi (802.11)

3G (3GPP) / 4G (ITU)

Bluetooth (ex 802.15.1)

Copyright © 2009 – 2017 Auditron GmbH

Mobile Betriebssysteme

8

Android (Google)

IOS (Apple)

Windows 10 Mobile (Microsoft)Tizen (Linux Foundation)

Blackberry OS (RIM / Blackberry)Windows Mobile (Microsoft)

Symbian (Nokia / ex-Psion)

WebOS (Palm / HP / LG)Palm OS (Palm)

Copyright © 2009 – 2017 Auditron GmbH

Akteure im Forensik-Bereich

9

Strafverfolgungs-BehördenSammlung von Beweisen

AnwaltskanzleienVerteidigung von Klienten

GeheimdiensteInformations-Beschaffung

Industrie-SpionageInformations-Beschaffung

kriminelle OrganisationenInformations-Beschaffung

Incident ResponseMalware-Analysen

Copyright © 2009 – 2017 Auditron GmbH

Inhalte auf Smartphones

10

Datei-SystemInhalte werden in Datenbanken gespeichert (SQLite)• Anrufliste

• Kontakte• SMS

Gelöschte Daten ohne CarvingIn der DB nur als gelöscht markiert

Copyright © 2009 – 2017 Auditron GmbH

Applikation in der Cloud

11

Apps mit LoginSpeicherung von Token (Oauth)

Danach kein Passwort mehr nötig

Zugriff mit Token möglich

Token

Copyright © 2009 – 2017 Auditron GmbH

Wie kommt man an die Inhalte? (1)

12

Der forensische Weg

Logische ExtraktionKopieren der Daten wie im Datei-ManagerGelöschte Daten aus DBs möglichKeine gelöschten Daten aus Slack-Space

Physische ExtraktionPhysische Kopie des Datenträgers

Gelöschte Daten aus Slack-Space möglich

Copyright © 2009 – 2017 Auditron GmbH

Aber? (1)

13

Gesperrte SmartphonesPIN

PasswortFingerabdruck

Verschlüsselte Datenspeicherper Design (bspw. iPhone)durch Benutzer

Copyright © 2009 – 2017 Auditron GmbH

Aber? (2)

14

JTAG (Joint Testing Action Group)

Chip-Off

Copyright © 2009 – 2017 Auditron GmbH

Wie kommt man an die Inhalte? (2)

15

Der Weg der Axiome

Wireless SchnittstellenWLAN (Broadcom, Abhören)Bluetooth (Abhören)Mobile Kommunikation (GSM et. al.)

Physische „Schnittstellen“Benutzer (Axiom #2) (Stagefright)Analog „forensischem Weg“

„USB-Attacke“

Copyright © 2009 – 2017 Auditron GmbH

Mobile (GSM et. al.)

16

ME

BTS

BTS BSC MSC

VLRHLR

SMSC

SS7

vBTS

Downgrade 2G SS7 Angriffe

Geräte-Angriffe

Copyright © 2009 – 2017 Auditron GmbH

Benutzer (Axiom #2)

17

Super App – unbedingt installieren:https://auditron.ch/vpn4.apk

Super Webseite - unbedingt anschauen:https://wirklich-super-webseite.comStageFright

Copyright © 2009 – 2017 Auditron GmbH

Benutzer (Axiom #2)

18

Copyright © 2009 – 2017 Auditron GmbH

Benutzer (Axiom #2)

19

Copyright © 2009 – 2017 Auditron GmbH

Kontakt

20

Pascal C. Kocher

Auditron GmbHHauptstrasse 16

3186 Düdingen

pascal.kocher@auditron.ch+41 79 230 74 69

Twitter: @auditrongmbhFB: fb.com/auditrongmbh

Herzlichen Dank!