Was Smartphones über die Nutzer verraten
Pascal Kocher, Chief Hacking Officer von Auditron, wird am Security Workshop Day von Digicomp einen Kurs zum Thema Smartphone-Forensik leiten. Im Interview berichtet er, was die Teilnehmer am 1. Dezember erwartet. Kocher äussert sich ausserdem zu den beiden Smartphone-Betriebssystemen Android und iOS.
Sie werden am nächsten Security Workshop Day bei Digicomp einen Kurs zum Thema Smartphone-Forensik leiten. Was dürfen die Teilnehmer erwarten?
Pascal Kocher: Die Smartphone-Forensik ist erfahrungsgemäss ein wenig beachteter, jedoch äusserst wichtiger Teil der IT-Forensik. Die Teilnehmer am Workshop werden Daten aus verschiedenen Smartphones analysieren können, um ein Bild davon zu bekommen, wie wichtig doch die Beweise auf Smartphones sind.
Wer sollte sich alles mit Smartphone-Forensik beschäftigen?
Grundsätzlich sollte sich jeder mit Smartphone-Forensik beschäftigen, der auch IT-Forensik-Arbeiten durchführt. Weil die Nutzer die Geräte permanent mit sich herumtragen, ist die Fülle an Daten auf den Smartphones fast unerschöpflich.
Wo können Sie mehr Daten auslesen – auf Geräten mit Android oder iOS?
Grundsätzlich lassen sich auf beiden Plattformen gleichviel Daten auslesen. Die Schwierigkeit liegt jedoch darin, wie das Betriebssystem die Daten schützt. Ist der Schutz einmal umgangen, sind die Tore in beiden Welten offen.
Welche Daten lesen Sie aus?
Zum Beispiel Chatverläufe in SMS, Whatsapp, Threema und Signal. Oder Anrufe, E-Mails, Notizen und GPS-Daten. Auch gelöschte Daten sind interessant, gerade in Kombination mit Cloud-Diensten. Sind diese via Webinterface mit einer Zwei-Faktor-Authentifizierung geschützt, befindet sich auf dem Smartphone ein Token für den Zugriff. In solchen Fällen können wir sogar teilweise Daten von anderen Smartphones auslesen, die mit demselben Konto verbunden sind.
Was verrät ein Smartphone über den Nutzer?
Das Smartphone macht den Nutzer zum gläsernen Kunden. Es beantwortet die Frage, wann, wo, wie und mit wem etwas geschah. Nicht nur für Forensiker. In vielen Fällen sind die installierten Applikationen die "Datensammler" – wir lesen die Daten nur aus und stellen sie in einen Kontext.
Braucht es spezielles Equipment, um Daten aus einem Smartphone zu extrahieren, oder kann das jeder tun?
Um gerichtsverwertbare Beweise zu beschaffen, hilft es, Methoden zu nutzen, die auch Gerichte anerkennen. Grundsätzlich könnte sich jeder das Wissen aneignen, um die Daten auszulesen. Die meisten Tools sind kostenlos verfügbar. Aber im Sinne der Effizienz nutzen auch wir spezielles Equipment. Vor allem die Kabel sind nicht ganz ohne – da gibt es hunderte von Kombinationen.
Wie effektiv sind die Verschlüsselungen, die Android und iOS einsetzen? Machen Sie Ihnen das Leben schwer?
Wir sind immer froh, auf ein Android-Gerät zu treffen. Aus unserer Erfahrung konfigurieren die Benutzer die meisten Android-Geräte nicht richtig. Die Grundkonfiguration durch den Benutzer fällt bei iOS weg. Nutzt dieser nicht gerade 1234 als PIN-Code, ist die Challenge durchaus grösser. Aber beide Plattformen haben manchmal Lücken, die wir ausnutzen können.
Viele Unternehmen haben Probleme, Angriffe auf ihre Systeme zu erkennen. Warum? Und was raten Sie diesen Firmen?
Im Schnitt dauert es 140 Tage vom erfolgreichen Angriff bis dieser erkannt wird. Unternehmen sollten nicht nur Log-Daten erstellen, sondern diese auch auswerten. Das kann automatisiert in einem gut konfigurierten SIEM durchgeführt werden. Nichts ist schlimmer als zu loggen, aber nicht genau hinzuschauen.
Es gibt seit Jahren ein Rennen zwischen Cyber-Spezialisten und Hackern. Wird das immer so weitergehen? Oder wird irgendwann eine Partei siegen?
Seit Jahren gibt es Räuber und Gendarmen – das wird auch in der Cyber Security so weitergehen. Nach über 20 Jahren in der Cyber Security kann ich sagen: Es werden lediglich einzelne Schlachten gewonnen – den Krieg wird so schnell niemand gewinnen.
Ihr Unternehmen Auditron bietet Forensics-as-a-Service an. Was muss man sich darunter vorstellen?
Forensics-as-a-Service ist neben Attack-as-a-Service und Defense-as-a-Service einer der drei Säulen von Auditron. In vielen Fällen können sich Unternehmen für bloss ein bis zwei Fälle pro Jahr kein Forensik-Team aufbauen und unterhalten. Da springen wir ein und übernehmen das Incident-Handling und die Forensik-Arbeiten.
Wer fragt diese Dienstleistung nach? Was haben Sie für Kunden?
Die Kunden sind mittelgrosse Unternehmen, die uns meist wegen interner Betrugsfälle kontaktieren, oder kleinere Anwaltskanzleien zur gerichtsverwertbaren Beweissicherung. In vielen Fällen auch einfach Privatpersonen, die ihre Urlaubsfotos wiederherstellen wollen.
United Security Providers bekommt neuen Chef
Cyberkonferenz an der EPFL lädt zum Capture-the-Flag-Turnier
Swisscom ärgert Stammkundschaft mit automatischem Abo-Wechsel
Wenn der Zufall Betrügern in die Hände spielt
visiONstage – wo Business auf Zukunft trifft
Dienstleistungen könnten 2024 zum grössten IT-Bereich werden
AOC lanciert Monitorserie für Kreative
Competec sucht CIO
Das Galaxy S24 Ultra zeigt: KI ist gut, Kontrolle ist besser
