0:00:00.000,0:00:13.347
<i>37C3 Vorspannmusik</i>

0:00:13.347,0:00:19.840
Herald: Unser nächster Vortrag Einführung[br]in die Small Smartphone Malware Forensics

0:00:19.840,0:00:25.000
sorry für den Versprecher wird gehalten[br]von Viktor Schlüter und Janik Besendorf.

0:00:25.000,0:00:30.720
Die beiden sind beim Digital Security Lab[br]von Reporter ohne Grenzen. Bitte begrüßt

0:00:30.720,0:00:42.792
die beiden zu ihrem Vortrag.[br]<i>Applaus</i>

0:00:42.792,0:00:46.920
Viktor: Ja vielen Dank! Hallo hört man[br]mich?

0:00:46.920,0:00:51.080
Janik: Ja jetzt vielen Dank für die schöne[br]Vorstellung es freut uns dass so viele

0:00:51.080,0:00:55.080
gekommen sind und der Raum voll geworden[br]ist. Er ist Viktor ich bin Janik in

0:00:55.080,0:00:59.570
unserem Talk geht's um Smartphone Malware[br]Forensic also wie man Malware das ist

0:00:59.570,0:01:05.760
jegliche Schadsoftware seines[br]Staatstrojaner, Stalker-ware, Adware auf

0:01:05.760,0:01:15.440
Smartphones finden kann. Und genau ist ein[br]Einführungsvortrag ja und dazu erzählen

0:01:15.440,0:01:18.640
wir euch jetzt was. Wir arbeiten beim[br]Digital Security Lab bei Reporter ohne

0:01:18.640,0:01:24.620
Grenzen. Wir wurden vor eineinhalb Jahren[br]gegründet. Wir beschäftigen uns mit der IT

0:01:24.620,0:01:28.320
Sicherheit von JournalistInnen weltweit,[br]wir bieten z.B auch IT

0:01:28.320,0:01:32.320
Sicherheitstrainings an und was wir[br]hauptsächlich machen ist wir analysieren

0:01:32.320,0:01:38.200
digitale Angriffe auf JournalistInnen, das[br]sind z.B Accountübernahmen aber der

0:01:38.200,0:01:42.920
Hauptfokus sind Angriffe mit[br]Staatstrojanern auch bekannt als Spyware

0:01:42.920,0:01:48.120
und da machen wir Forschung dazu und man[br]kann sich an uns wenden, wenn man der

0:01:48.120,0:01:52.240
Meinung ist, man ist vielleicht zu einem[br]Angriff ausgesetzt worden und dann führen

0:01:52.240,0:01:56.840
wir eine forensische Analyse durch und[br]Schreiben gegebenfalls ein Bericht dazu

0:01:56.840,0:02:02.440
und warum das wichtig ist, ist eben weil[br]digital Angriffe meistens im Verborgenen

0:02:02.440,0:02:06.240
bleiben. Also wenn jemand einen[br]Staatstrojaner auf eurem Smartphone

0:02:06.240,0:02:09.040
installiert dann merkt ihr das[br]normalerweise nicht, das ist ja auch das

0:02:09.040,0:02:12.360
Ziel davon, ähnlich wie bei einer[br]Telefonüberwachung das merkt ihr auch

0:02:12.360,0:02:17.400
nicht und deswegen ist es umso wichtiger[br]dass forensische Analysen stattfinden dass

0:02:17.400,0:02:21.720
man sowas nachweist um es zu[br]dokumentieren, zu veröffentlichen und die

0:02:21.720,0:02:26.680
Angreifer dann zur Verantwortung zu[br]ziehen. Das waren z.B erst kürzlich

0:02:26.680,0:02:36.640
möglich bei einem Fall in Aserbaidschan,[br]wo wir einen Pegasus Angriff bei einer

0:02:36.640,0:02:41.760
Journalistin nachweisen konnten. Das ist[br]natürlich nicht der einzige solche

0:02:41.760,0:02:45.800
Angriffe davon gibt's jede Menge, hier[br]sind aus den letzten drei Jahren einige

0:02:45.800,0:02:49.920
Pressemitteilungen von[br]Staatstrojanerangriffen über Pegasus

0:02:49.920,0:02:56.520
Predator, wer das herstellt, wie das heißt[br]ist am Ende zweitrangig. Ein Bericht ist

0:02:56.520,0:03:01.840
von gestern in Indien, wo JournalistInnen[br]und OppositionspolitikerInnen angegriffen

0:03:01.840,0:03:07.400
wurden mit Pegasus, das war eine Recherche[br]von Amnesty Tech wo wir auch mithelfen

0:03:07.400,0:03:12.920
konnten. Genau und als nächstes erzählt[br]euch Viktor etwas zu den Besonderheiten

0:03:12.920,0:03:19.320
von Smartphone Forensic.[br]V: Test test cool hallo ja wie Ihr

0:03:19.320,0:03:22.160
vielleicht gesehen habt wir haben die[br]Folien auf Englisch gemacht damit es für

0:03:22.160,0:03:25.600
die Leute die die Übersetzung gucken[br]leichter ist, aber erzählen es auf

0:03:25.600,0:03:29.720
Deutsch. Ich hoffe auch ich für meinen[br]Teil werd nicht zu viel in so

0:03:29.720,0:03:35.320
englischdeutsch cauder Welsch rutschen, ja.[br]Es gibt ein paar Grundlagen die wir

0:03:35.320,0:03:38.240
dachten, die vielleicht sinnvoll sind,[br]wenn wir sie erzählen und hier

0:03:38.240,0:03:44.000
zusammenfassen. Zum einen Computer[br]forensics so das klassische Spiel wie man

0:03:44.000,0:03:48.720
es kennt und Smartphone Malware forensic[br]funktionieren relativ unterschiedlich oder

0:03:48.720,0:03:51.960
es gibt so ein paar einfach größere[br]Unterschiede, wie die Spiele

0:03:51.960,0:03:56.720
funktionieren. Viele von euch haben[br]vielleicht schon von dem klassischen Modus

0:03:56.720,0:04:01.120
gehört, das ist so, man hat einen Server[br]und da ist was passiert und da ist eine

0:04:01.120,0:04:05.560
Festplatte drin und davon zieht man sich[br]ein Image und also von physisch von allen

0:04:05.560,0:04:10.120
Blocks auf Blog ebene und das lädt man dann in[br]forensic Software rein und dann guckt man

0:04:10.120,0:04:16.600
sich das Dateisystem an und schaut was da[br]passiert ist. Was man generell mit

0:04:16.600,0:04:20.120
Smartphones macht und vor allem auch was[br]wir mit Smartphones machen ist anders,

0:04:20.120,0:04:25.640
erstens weil moderne Smartphone[br]Betriebssysteme alle eigentlich filebased

0:04:25.640,0:04:30.200
encryption haben, das heißt auf physischer[br]Ebene ist das gar nicht mehr interessant,

0:04:30.200,0:04:33.520
weil jede Datei mit einem anderen[br]Schlüssel verschlüsselt ist und wenn der

0:04:33.520,0:04:37.160
Schlüssel weg ist kann man auch die Datei[br]nicht mehr rankommen, das heißt gelöschte

0:04:37.160,0:04:42.080
Dateien ist sowieso nicht. Dann ist die[br]nächste Sache, dass Smartphones gar keine

0:04:42.080,0:04:46.880
Funktion haben zu sagen hier ist übrigens[br]das gesamte Dateisystem, also hier sind

0:04:46.880,0:04:51.480
alle Dateien, die in meinem Speicher[br]gerade liegen. Es gibt Menschen die tun

0:04:51.480,0:04:54.120
das die Arbeiten für Strafverfolgungs-[br]Behörden und die benutzen

0:04:54.120,0:04:57.880
dafür Exploits, das ist aber richtig[br]Kacke, weil das macht die Welt unsicherer

0:04:57.880,0:05:04.280
weil das ist auch Teil von diesem Exploits[br]verkaufen sowas Spiel. Zwei große Firmen

0:05:04.280,0:05:10.480
eine heißt der Celebrite die das anbieten,[br]das machen wir auf gar keinen Fall, wir

0:05:10.480,0:05:15.000
nennen das zivile Forensic also in ein ein[br]vernehmen mit den Menschen denen die

0:05:15.000,0:05:19.040
Geräte gehören und wenn man das aus so[br]einer zivilgesellschaftlichen Richtung

0:05:19.040,0:05:22.720
machen möchte muss man sich mit dem[br]zufrieden geben, was aus dem Handy

0:05:22.720,0:05:27.360
rauskommt. Und das sind dann so[br]Diagnoseinformationen und da kommt die

0:05:27.360,0:05:33.480
Besonderheit dass man natürlich überhaupt[br]nicht überprüfen kann ob das jetzt stimmt,

0:05:33.480,0:05:38.320
weil man muss einfach den Informationen[br]vertrauen die aus dem Handy rauspzeln und

0:05:38.320,0:05:41.400
technisch gesehen wäre es natürlich[br]möglich dass Schadsoftware auf dem Handy

0:05:41.400,0:05:45.520
aktiv ist die diese Informationen[br]verändert. Das heißt auch das muss man

0:05:45.520,0:05:51.480
einfach auf dem Schirm haben, das wäre[br]möglich. Dann ist eine wichtige Sache, oft

0:05:51.480,0:05:55.160
wird so getan als wäre Malware and Spyware[br]verschiedene Sachen oder es wäre so

0:05:55.160,0:05:59.520
Malware Spyware das kleine Geschwisterkind[br]von der Malware und weniger schlimm,

0:05:59.520,0:06:03.920
bisschen so wie Quellen TKÜ und online[br]Durchsuchung und das eine ist ja nur auf

0:06:03.920,0:06:09.280
die Messenger Nachrichten zugreifen, das[br]ist natürlich Quatsch, sobald man als

0:06:09.280,0:06:13.520
Schadsoftware in der Lage sein möchte auf[br]irgendetwas zuzugreifen was das

0:06:13.520,0:06:17.960
Betriebssystem nicht erlaubt hat, musst du[br]Systemprivilegien haben, musst du auf

0:06:17.960,0:06:23.080
alles Zugriff haben können und das ist[br]auch der Fall. Das heißt Spyware ist auch

0:06:23.080,0:06:26.520
immer Malware und Spyware, lasst euch[br]niemand von niemand irgendwas anderes

0:06:26.520,0:06:30.520
erzählen, Spyware ist auch immer in der[br]Lage beliebige zu verändern, beliebige

0:06:30.520,0:06:36.040
Dateien zu löschen, beliebige Dateien neu[br]hinzuzufügen, das hat riesig große

0:06:36.040,0:06:38.160
Konsequenzen eigentlich für die[br]Strafverfolgung, weil man gar nicht

0:06:38.160,0:06:42.040
richtig zeigen kann dass ein Handy was mit[br]Spyware gehackt wurde nicht auch noch

0:06:42.040,0:06:45.640
irgendwelche anderen Spuren, irgendwelche[br]anderen Dateien hinterlegt wurden das

0:06:45.640,0:06:49.040
würde man vermutlich auch gar nicht finden[br]sobald man ein Handy kompromittiert hat,

0:06:49.040,0:06:53.360
hat man das vollständig kompromittiert und[br]man kann eigentlich nichts mehr vertrauen,

0:06:53.360,0:06:58.400
was an Dateien darum liegt. Das Einzige[br]weshalb man überhaupt dann Spyware finden

0:06:58.400,0:07:02.320
kann, ist dass es natürlich auch sehr viel[br]fleißig und sehr viel Arbeit erfordert

0:07:02.320,0:07:06.720
alle Spuren zu vernichten, die man als[br]Spyware hinterlässt und das ist

0:07:06.720,0:07:17.120
glücklicherweise nicht der Fall. Man kann[br]unterscheiden in zwei Arten von Malware

0:07:17.120,0:07:21.800
und hier ist leider irgendwas[br]interessantes passiert, weil da ist da

0:07:21.800,0:07:25.840
muss eigentlich eine Kröte sein,[br]vielleicht da da ist die Kröte genau. Ich

0:07:25.840,0:07:29.320
weiß nicht was mit der Folie aber[br]jedenfalls es gibt zwei Arten von Malware,

0:07:29.840,0:07:34.000
solche mit Exploits und solche ohne[br]Exploits. Und das Interessante daran ist

0:07:34.000,0:07:38.520
nur Malware mit Exploits kann aus der[br]Sandbox raushüpfen. Das kann man sich

0:07:38.520,0:07:45.600
vorstellen, ok wow, das kann man sich[br]vorstellen wie Tierchen die in

0:07:45.600,0:07:50.600
Plastikeimern sind und zwar das eine Tier[br]kann aus dem Plastikeimer raushüpfen

0:07:50.600,0:07:55.000
nämlich die Kröte, das andere kann es[br]nicht die Schildkröte. Und zwar dieser

0:07:55.000,0:07:58.880
Plastikeimer ist die Sandbox und nur wenn[br]man aus der Sandbox raushüpfen kann, ist

0:07:58.880,0:08:04.880
man in in der Lage auf Information Daten[br]Systemressourcen zuzugreifen, was dir das

0:08:04.880,0:08:09.760
Smartphone Betriebssystem eigentlich nicht[br]erlaubt. Und die Dinge, die raushüpfen

0:08:09.760,0:08:15.040
können das ist eben die die Spyware, die[br]zu Spionage Zwecken von staatlichen

0:08:15.040,0:08:19.480
Akteuren benutzt wird und das Interessante[br]ist hier diese Eploits sind sehr sehr

0:08:19.480,0:08:26.160
teuer. Also wenn man so eine Exploit chain[br]für Smartphone Betriebssystem ist in der

0:08:26.160,0:08:31.040
Größenordnung von mehreren Millionen Euro[br]teuer, das heißt das ist eine Sache das

0:08:31.040,0:08:35.200
passiert in diesem Kontext von staatliche[br]Überwachung, staatliche Akteure, das ist

0:08:35.200,0:08:40.160
aber eigentlich nichts was man jetzt[br]erwarten würde im Kontext von Stalker-ware.

0:08:40.160,0:08:44.480
Auf der anderen Seite genau gibt es[br]Malware die keine Exploits hat und damit

0:08:44.480,0:08:48.680
auch fein ist und keine haben möchte und[br]die mehr darüber lebt dass sie über andere

0:08:48.680,0:08:53.480
Zwecke über andere Wege auf dem Handy[br]installiert wird und sich einfach damit

0:08:53.480,0:08:59.680
zufrieden gibt was das Betriebssystem[br]anbietet an Möglichkeiten. Kröte wieder

0:08:59.680,0:09:07.600
weg. Da ist sie rausgehüpft. Es geben vier[br]Arten von Malware gehen dann auch mit

0:09:07.600,0:09:10.680
dieser Unterscheidung, also das eine sind[br]die mit Exploits das andere sind die ohne

0:09:10.680,0:09:15.160
Exploits und dann haben wir Sachen für iOS[br]und für Android und dadurch, dass das IOS

0:09:15.160,0:09:19.960
und das Android Betriebssystem ziemlich[br]unterschiedlich ist, gibt es da auch keine

0:09:19.960,0:09:24.880
Kompabilität, sondern das ist wirklich[br]also die Spiele Malware zu entwickeln für

0:09:24.880,0:09:27.080
die eine Plattform und die andere[br]Plattform funktionieren relativ

0:09:27.080,0:09:31.120
unterschiedlich, weil die Plattformen[br]einfach ein bisschen verschieden sind und

0:09:31.120,0:09:38.840
deshalb gehen so ein bisschen vier Arten[br]von Malware auf. Genau, die obere Linie

0:09:38.840,0:09:42.240
das sind die Schildkröten, die können[br]nicht aus Sandboxes raushüpfen, die sind

0:09:42.240,0:09:46.840
da darauf angewiesen als aus der Sicht der[br]Malware, was das Betriebssystem Ihnen

0:09:46.840,0:09:51.840
erlaubt. Und das sieht so aus, dass bei[br]iPhones gibt es kein Zeit loading

0:09:51.840,0:09:57.680
zumindest aktuell zeitloading bedeutet,[br]dass man selber Apps installieren kann

0:09:57.680,0:10:01.120
ohne dass die aus dem AppStore kommen,[br]also dass man selber eine Programmdatei in

0:10:01.120,0:10:04.440
der Hand haben kann und sagen kann liebes[br]Handy installiere die bitte. Das geht bei

0:10:04.440,0:10:10.080
iPhones nicht. Alle Apps müssen durch den[br]AppStore durch. Und da gibt es auch

0:10:10.080,0:10:15.360
Anforderungen und so und die was eine App[br]maximal können darf das ist auch

0:10:15.360,0:10:21.680
einigermaßen eingeschränkt und es ist[br]aktuell zumindest auch nicht möglich ein

0:10:21.680,0:10:29.080
iPhone zu routen also genau, also die[br]Systemprivilegien, die sich jetzt

0:10:29.080,0:10:32.720
Mechanismen auser Kraft zu setzen und[br]Vollzugriff auf das ganze Handy zu

0:10:32.720,0:10:37.640
erhalten, was natürlich aus der Sicht von[br]so Stalker-ware auch sehr interessant ist.

0:10:37.640,0:10:41.120
Bei Android hingegen ist das so das[br]Siteloading also das Installieren von

0:10:41.120,0:10:46.920
eigenen Apps, das geht. Es gibt ein paar[br]mehr Permissions könnte man jetzt auch

0:10:46.920,0:10:51.720
drüber streiten, was man so als App können[br]darf. Die ganzen interessanten Sachen muss

0:10:51.720,0:10:57.000
man natürlich als App aber auch Anfragen[br]von hey darf ich das bitte tun und es ist

0:10:57.000,0:11:02.080
in vielen Fällen auch möglich das Handy zu[br]Routen allerdings aber erst meistens

0:11:02.080,0:11:05.640
nachdem man die Inhalte von dem Handy[br]gelöscht hat. Also es ist jetzt nicht so

0:11:05.640,0:11:09.120
interessant ein Handy zu routen um[br]irgendwie auf das ganze Dateisystem

0:11:09.120,0:11:14.320
zuzugreifen, was da drauf ist, sondern es[br]ist im Fall von Stalker-ware es ist eine

0:11:14.320,0:11:20.400
Möglichkeit dass TäterInnen das Handy erst[br]Routen und dann das Stalker-ware drauf

0:11:20.400,0:11:26.120
installieren und die dann Rootzugriff hat.[br]In der Version mit Exploit sieht das ein

0:11:26.120,0:11:32.400
bisschen anders aus da ist es auf iOS[br]Geräten, es es passiert es immer wieder

0:11:32.400,0:11:39.000
mal dass Spyware detektiert wird, erkannt[br]wird, bewiesen werden kann dass ein

0:11:39.000,0:11:45.400
Angriff mit Spyware erfolgt ist. Es[br]ist relativ komplex an die binary

0:11:45.400,0:11:51.120
ranzukommen, an die an die eigentliche[br]Programmdatei von der Malware. Ich weiß

0:11:51.120,0:11:55.240
nicht wer von euch in dem Operation[br]Triangulation Vortrag war, das waren so

0:11:55.240,0:12:01.360
gefühlte 20 Schritte von stages und[br]Sicherheitsmechanismen und irgendwelchen

0:12:01.360,0:12:07.200
anderen Sachen bis dann final die[br]eigentliche Datei auf dem Handy gelandet

0:12:07.200,0:12:12.160
ist. Vermutlich weil die verhindern[br]wollten dass Leute die eigentliche Spyware

0:12:12.160,0:12:14.920
haben und analysieren können rauskriegen[br]können, ja was tut sie denn jetzt

0:12:14.920,0:12:22.200
eigentlich. Und dadurch dass das alles so[br]ein bisschen im Verborgenen passiert,

0:12:22.200,0:12:28.610
diese Exploits werden gehandelt auf einem[br]Grau- bis Schwarz-markt und vor allem

0:12:28.610,0:12:35.080
dadurch dass Leute, die mit Exploits[br]Geräte angegriffen haben und

0:12:35.080,0:12:39.000
kompromittiert haben, technisch gesehen in[br]der Lage sind alles mögliche an diesem

0:12:39.000,0:12:44.320
Gerät zu manipulieren und zu verändern. Es[br]es ein relativ komplexes und

0:12:44.320,0:12:50.080
undurchsichtiges Feld indem man auch jetzt[br]keinen Anspruch hat als analysierende

0:12:50.080,0:12:56.120
Stelle alles finden zu können, das ist was[br]anderes bei bei Systemen, wo man bestimmte

0:12:56.120,0:13:00.880
Annahmen bestimmte Integritätsmaßnahmen[br]vertrauen kann sagen kann, ok wenn da was

0:13:00.880,0:13:04.800
wäre würde man es sicher da und daran[br]sehen. Das gilt hier nicht mehr wenn man

0:13:04.800,0:13:09.080
davon ausgehen muss dass Leute vollständig[br]das System kompromittiert haben und

0:13:09.080,0:13:13.520
theoretisch alles verändern können. Das[br]heißt letztlich ist es eine Art von Katz

0:13:13.520,0:13:19.040
und Mausspiel von Leute schreiben[br]Stalker-ware schreiben also staatlich

0:13:19.040,0:13:24.280
finanzierte Unternehmen schreiben[br]komplexes Spyware, kaufen Exploits ein,

0:13:24.280,0:13:28.320
melden die nicht, sondern benutzen sie um[br]Menschen aus der Zivilgesellschaft zu

0:13:28.320,0:13:35.840
hacken und dann gibt es NGOs, die finden[br]das und dann passiert es aber manchmal

0:13:35.840,0:13:38.640
dass die Unternehmen dann wieder[br]rauskriegen: oh ja woran haben die das

0:13:38.640,0:13:43.480
erkannt? und dann verändern Sie das oder[br]sind besser darin werden besser darin

0:13:43.480,0:13:47.440
Spuren zu verwischen, und dann es geht[br]immer weiter und es zieht immer weiter

0:13:47.440,0:13:53.400
diese Kreise und natürlich ist auch das,[br]was wir hier heute erzählen, nicht alles

0:13:53.400,0:13:58.120
das was wir wissen und es ist auf gar[br]keinen Fall alles das was überhaupt an

0:13:58.120,0:14:04.240
Spuren existiert da draußen, das muss man[br]schon so zueinander abgrenzen. Eine

0:14:04.240,0:14:10.160
weitere Sache die wichtig ist zu erwähnen,[br]wir sind wir haben nicht wahnsinnig viel

0:14:10.160,0:14:15.480
Expertise was Stalking und Antistalking[br]angeht also Stalker-ware und Antistalking

0:14:15.480,0:14:19.400
und hier sind zwei sehr gute Websites, die[br]wir euch empfehlen können, falls ihr davon

0:14:19.400,0:14:22.240
selber betroffen seid, falls ihr mal[br]Menschen helfen wollt, die davon betroffen

0:14:22.240,0:14:27.640
sind. Das ist der Ort an dem wir das[br]weiterleiten würden. Wir fanden es

0:14:27.640,0:14:33.240
trotzdem vielleicht eine gute Idee, dass[br]hier diese ganze Stockerware Komponente

0:14:33.240,0:14:37.360
technisch mit reinzunehmen, weil natürlich[br]technisch gesehen das schon

0:14:37.360,0:14:40.320
Gemeinsamkeiten hat, wie diese Apps[br]funktionieren, was sie so tun, wie sie

0:14:40.320,0:14:43.960
versuchen zu funktionieren und deshalb[br]versuchen wir hier einfach einen

0:14:43.960,0:14:48.560
technischen Überblick zu geben, wie man[br]diese Sachen erkennen würde und wie die

0:14:48.560,0:14:54.520
funktionieren. Und jetzt erklärt euch[br]Janiik ein bisschen was zu Methodik.

0:14:54.520,0:15:01.000
J: Genau zur Methodik also wir haben ja[br]schon gelernt, wir können jetzt leider

0:15:01.000,0:15:06.480
nicht einfach den flashpeicher aus unserem[br]Smartphone auslöten, den wieder woanders

0:15:06.480,0:15:13.560
dran löten und alles auslesen. Natürlich[br]meistens kann ich ein Smartphone per USB

0:15:13.560,0:15:18.200
oder Lightning oder über WiFi an den[br]Laptop anschließen und ein Backup machen

0:15:18.200,0:15:25.080
oder ähnliche Sachen und das ist auch was[br]wir hauptsächlich tun, aber bevor wir zu

0:15:25.080,0:15:29.360
solchen Sachen kommen würde ich euch[br]erstmal sagen, nimmt einfach das Gerät mal

0:15:29.360,0:15:34.520
in die Hand entsperrt ist und es geht ja[br]meistens bei Überwachung um Messenger,

0:15:34.520,0:15:39.400
weil man ist ja von der klassischen[br]Telekommunikationsüberwachung, wo man

0:15:39.400,0:15:43.240
einfach bei der Telekom z.B sagt hör mal[br]bitte den Anruf mit und leite den hier

0:15:43.240,0:15:48.000
weiter an die Polizei und dann hören wir[br]mit. Zu dieser sogenannten

0:15:48.000,0:15:53.320
Quellentelekommunikationsüberwachung also[br]eigentlich dem komprimentieren von Geräten

0:15:53.320,0:15:57.440
übergegangen, weil man dann vor[br]Verschlüsselung die ja jetzt eigentlich in

0:15:57.440,0:16:01.680
fast jedem Messenger implementiert ist wie[br]in WhatsApp in Signal teilweise in

0:16:01.680,0:16:09.080
Telegram und Anderen. Genau weil we das da[br]gibt kann man eben nicht mehr einfach die

0:16:09.080,0:16:14.400
Nachrichten ausleiten, genau und deswegen[br]würde ich erstmal alle diese Messenger

0:16:14.400,0:16:19.240
Apps aufmachen denn diese Messenger Apps[br]die haben alle eine Funktion dass man die

0:16:19.240,0:16:24.160
Nachrichten nicht nur am Smartphone lesen[br]kann, sondern auch an seinem Laptop, an

0:16:24.160,0:16:29.720
seinem Desktopcomputer und dass man die da[br]verbinden kann, und das ist tatsächlich

0:16:29.720,0:16:34.160
der einfachste Weg um diese Nachrichten[br]ausleiten zu können, weil das ist ja eine

0:16:34.160,0:16:37.600
Funktion die zum Nachrichten ausleiten[br]gebaut ist. Natürlich ist sie dafür

0:16:37.600,0:16:40.320
gedacht, dass man das nur selber macht[br]aber wenn man z.B eine Zeit lang keinen

0:16:40.320,0:16:44.520
Zugriff auf sein Gerät hatte, weil man bei[br]einer Grenzkontrolle sein Passwort

0:16:44.520,0:16:49.600
rausgeben musste oder weil vielleicht[br]Sicherheitsbehörden in die eigene Wohnung

0:16:49.600,0:16:52.960
eingedrungen sind, wo man seine Geräte da[br]hatte und dies geschafft haben das

0:16:52.960,0:16:58.440
Passwort zu umgehen, oder eben in dem[br]Stalking Fall eben ja Menschen, die einem

0:16:58.440,0:17:02.840
irgendwie nahe Zugriff auf das Gerät[br]haben, können diese Funktion natürlich

0:17:02.840,0:17:07.720
benutzen, sie mit Ihrem Laptop verbinden[br]und die Nachrichten mitlesen. Das kann man

0:17:07.720,0:17:10.880
aber zum Glück einfach nachschauen in[br]diesen Apps. Ich habe hier ein paar

0:17:10.880,0:17:19.880
Screenshots mitgebracht von iOS WhatsApp,[br]iOS Signal und Signal auf Android. Da geht

0:17:19.880,0:17:22.920
ja die Einstellung von euren Apps geht auf[br]Link Devices und dann seht ihr da welche

0:17:22.920,0:17:27.760
Geräte verbunden sind genau. Da sollten[br]dann eure drin stehen und wenn nicht dann

0:17:27.760,0:17:32.720
könnt ihr da auch Geräte die verbunden[br]sind entfernen. Das ist tatsächlich auch

0:17:32.720,0:17:38.080
eine Methode, die die deutsche Polizei[br]nachweislich nutzt. Der Link hier unten

0:17:38.080,0:17:42.520
ist ein Artikel von netzpolitik.org, wo[br]ein internes Dokument der deutschen

0:17:42.520,0:17:46.160
Polizei veröffentlicht wurde, die eben[br]genau beschreiben, dass Sie diese Funktion

0:17:46.160,0:17:51.960
benutzen um Messenger wie WhatsApp und[br]Signal abzuhören. Genau wenn wir jetzt

0:17:51.960,0:17:57.800
aber übergehen zu wir schließen so ein[br]Smartphone an unsere Computer an, dann

0:17:57.800,0:18:02.200
gibt es ein Tool was wir sehr viel[br]benutzen, was wir euch auch sehr nah legen

0:18:02.200,0:18:07.840
können, das ist MVT das mobile[br]verification Toolkit, das wurde entwickelt

0:18:07.840,0:18:13.720
von Amnesty Tech 2021 im Rahmen des[br]Pegasus Projekts. Das Pegasus Projekt sagt

0:18:13.720,0:18:20.520
vielleicht vielen was, da wurde 2021 eine[br]Liste an tausenden Handynummern geleakt,

0:18:20.520,0:18:27.800
die Alle angegriffen wurden mit der[br]SpyPegasus und Amnesty Tech und andere

0:18:27.800,0:18:31.560
haben da eben forensische Analysen[br]durchgeführt von Leuten die sie

0:18:31.560,0:18:36.440
identifiziert haben, die auf dieser Liste[br]standen und dazu auch tooling entwickelt

0:18:36.440,0:18:41.360
und dieses tooling am Ende auch[br]veröffentlicht. Und das ist eben MVT, MVT

0:18:41.360,0:18:47.720
hat verschiedene Möglichkeiten z.B kann es[br]iPhone Backups analysieren, die man mit

0:18:47.720,0:18:54.240
iTunes oder auch mit Software auf Linux[br]vorher erstellt hat. Analysieren das past

0:18:54.240,0:19:04.880
da vor allem SQLite Datenbank oder plist[br]Dateien solche Sachen und bereitet die auf

0:19:04.880,0:19:10.600
zu strukturierten JSON Format, die man[br]viel schöner lesen kann als wenn man das

0:19:10.600,0:19:14.280
handisch macht, und bei Android[br]funktioniert das über die ADB

0:19:14.280,0:19:19.160
Schnittstelle Android Debugging Bridge, wo[br]man auch eben auf gewisse Daten von

0:19:19.160,0:19:22.880
Android Smartphones zugreifen kann, z.B[br]welche Apps sind da installiert. Das

0:19:22.880,0:19:27.040
erzählen wir euch aber alles später im[br]Detail, wie man das händisch macht und wie

0:19:27.040,0:19:34.480
MVT das erleichtert. Genau wie sieht das[br]aus auf iOS? Das ist jetzt sind die

0:19:34.480,0:19:43.080
Schritte für Linux es gibt eine super[br]Toolchain auf Linux für Apple Geräte und

0:19:43.080,0:19:47.960
wie man über USB Lightning auf die[br]zugreift und das ist libImobiledevice wo

0:19:47.960,0:19:51.880
das alles nachgebaut wird was sonst in[br]iTunes passiert und das stellt eben z.B

0:19:51.880,0:19:58.920
dieses Tool iDevice Backup 2 zur[br]Verfügung. Ja wie bereits schon bisschen

0:19:58.920,0:20:03.440
angesprochen, theoretisch kann man die[br]Geräte jailbreaken und dann eben auf mehr

0:20:03.440,0:20:09.520
Dateien zugreifen, weil so ein Backup von[br]dem iPhone inkludiert nicht alles z.B sind

0:20:09.520,0:20:16.200
Signal Nachrichten nicht enthalten und[br]auch gewisse Systemdateien z.B

0:20:16.200,0:20:19.520
irgendwelche System Binaries sind da nicht[br]enthalten, weil die braucht man nicht um

0:20:19.520,0:20:22.120
das wiederherzustellen, weil die sind auf[br]einem iPhone wo man Backup

0:20:22.120,0:20:27.280
wiederherstellen will natürlich schon[br]drauf, das würden wir euch aber nicht

0:20:27.280,0:20:31.240
empfehlen, wenn ihr nicht wirklich genau[br]wisst was ihr tut, weil ihr macht dadurch

0:20:31.240,0:20:35.960
auch euer Gerät unsicherer ja und[br]manipuliert vielleicht auch vorher das

0:20:35.960,0:20:40.200
Gerät bezüglich Spuren die ihr nachher[br]vielleicht entdecken wollt. Was ihr auf

0:20:40.200,0:20:43.840
jeden Fall aber machen solltet ist als[br]erstes mit dem Tool Idevice Backup die

0:20:43.840,0:20:48.280
Verschlüsselung eures Backups[br]einzuschalten, denn Apple speichert mehr

0:20:48.280,0:20:52.530
Dateien, wenn ihr ein verschlüsseltes[br]Backup anlegt, als wenn ihr nicht

0:20:52.530,0:20:57.240
verschlüsseltes Backup anliegt also das[br]reasoning dahinter ist einfach dass Apple

0:20:57.240,0:21:02.240
sich nicht sicher ist wie die Nutzer in[br]ihre Backups speichern und da könnten

0:21:02.240,0:21:05.000
natürlich dann vielleicht andere Leute[br]drauf Zugriff haben und deswegen sind sie

0:21:05.000,0:21:07.560
da vorsichtiger was sie alles in die[br]Backups packen wenn man sein Backup nicht

0:21:07.560,0:21:10.160
verschlüsselt. Deswegen wenn wir ein[br]Backup machen, machen wir immer die

0:21:10.160,0:21:13.160
Verschlüsselung an das Passwort was man[br]dann dafür wählt ist natürlich egal muss

0:21:13.160,0:21:17.040
man sich merken und sollte man danach,[br]wenn man das dem Nutzer der Nutzerin

0:21:17.040,0:21:22.480
zurückgibt wieder auf was Gutes setzen. Ja[br]genau dann macht man einfach sein Backup,

0:21:22.480,0:21:28.120
das Backup ist ja jetzt verschlüsselt, MVT[br]bietet zum Glück auch ein Tool an um diese

0:21:28.120,0:21:31.680
Backups wieder zu entschlüsseln, hier ist[br]der Befehl, könnt ihr nachher auf den

0:21:31.680,0:21:35.360
Folien einfach nachlesen und dann kann man[br]MVT noch mal sagen, ja jetzt nimm dies

0:21:35.360,0:21:40.360
verschlüsselte Backup und analysier das[br]einmal parse alle SQL Datenbanken und

0:21:40.360,0:21:48.160
schreibt mir das schön sauber auf und[br]genau. Ähnlich auf Android hier gilt das

0:21:48.160,0:21:53.280
Gleiche man könnte die Geräte Rooten, es[br]ist bei Android aber so dass meistens wenn

0:21:53.280,0:21:57.680
man die Geräte rootet muss man die ganzen[br]Daten die darauf sind löschen und erst

0:21:57.680,0:22:02.440
dann erlaubt der Bootloaders ein gewisse[br]Änderung vorzunehmen mit denen man

0:22:02.440,0:22:06.360
üblicherweise Geräte auf Android rootet,[br]manchmal gibt's auf Android auch exploits

0:22:06.360,0:22:09.760
mit denen es möglich ist Rootprivilegien[br]zu erlangen und dann könnte man natürlich

0:22:09.760,0:22:15.040
auch auf weitere Dateien wie System[br]Binaries zugreifen, das ist aber wieder

0:22:15.040,0:22:19.680
was das macht man nur wenn man weiß was[br]man tut und das geht auch wirklich nur

0:22:19.680,0:22:25.480
sehr selten auf sehr wenig Geräten.[br]Deswegen extrahiert man meistens Dateien

0:22:25.480,0:22:31.080
mit MVT über diese ADB Schnittstelle, wie[br]erwähnt, hier ist das Command das zu tun.

0:22:32.720,0:22:37.400
Das schreibt euch dann die Ergebnisse in[br]den Ordner eurer Wahl. Was man bei Android

0:22:37.400,0:22:44.120
zum Glück auch machen kann ist die Dateien[br]der Apps die APK Dateien, die kann man

0:22:44.120,0:22:48.920
auch herunterladen und MVT erleichtert[br]einem das hier ist auch wieder das Command

0:22:48.920,0:22:53.600
dafür und man kann die sogar auf[br]Virustotal hochladen, das ist ein Dienst

0:22:53.600,0:22:58.320
im Internet der ganz viele verschiedene[br]Virenscanner benutzt und euch dann anzeigt

0:22:58.320,0:23:08.080
bei wie vielen das als Virus erkannt[br]wurde. Genau jetzt ist es so, es gibt zwei

0:23:08.080,0:23:11.480
unterschiedliche Arten wie man Malware[br]finden kann, wir nennen das primäre und

0:23:11.480,0:23:15.440
sekundäre Funde, das was jetzt z.B bei[br]Operation Triangulation gesehen habt ist

0:23:15.440,0:23:19.200
ein primärer Fund, weil man hat wirklich[br]die gesamte Exploit chain nachvollziehen

0:23:19.200,0:23:25.240
können und man hat am Ende oder auch in[br]anderen cases hat man dann auch wirklich

0:23:25.240,0:23:28.720
die Binaries gefunden und konnte genau[br]sehen welche Funktionalität war eingebaut

0:23:28.720,0:23:34.440
in diesem Staatstrojaner, das ist leider[br]nicht immer möglich was es dann oft gibt

0:23:34.440,0:23:38.920
sind sekundäre Funde und hier sieht man[br]dann z.B wenn es jemand anders mal

0:23:38.920,0:23:44.520
geschafft hat so ein Pegasus irgendwo zu[br]entdecken, hat er dann den Prozessnamen

0:23:44.520,0:23:48.880
meistens in den Bericht geschrieben und[br]dann kann man eben später sich darauf

0:23:48.880,0:23:52.640
berufen, wenn jetzt irgendwas einen sehr[br]dubiosen Prozessnamen hat, den es

0:23:52.640,0:23:55.400
eigentlich von der legitimen App nicht[br]gibt den wer anders nachgewiesen hat, dass

0:23:55.400,0:23:58.960
das Malware ist und man findet das dann[br]weiß man auch, ah das ist jetzt mit hoher

0:23:58.960,0:24:05.240
Wahrscheinlichkeit das Gleiche. Dieses[br]Prinzip basiert auf diesen indicators of

0:24:05.240,0:24:10.760
compromise oder kurz IOCs, hier ist noch[br]mal kurz eine Definition indicators of

0:24:10.760,0:24:14.440
compromise in der Computer forensic sind[br]eben Artefakte im Netzwerk oder ein

0:24:14.440,0:24:18.360
Betriebssystem, die eben sagen wenn man[br]die findet dann hat man mit hoher

0:24:18.360,0:24:23.640
Wahrscheinlichkeit hier solche Malware[br]gefunden. Hier sind drei Listen von

0:24:23.640,0:24:27.080
solchen IOCs, die wir euch empfehlen[br]würden, die sind auch in MVT alle

0:24:27.080,0:24:30.800
automatisch includiert aber wenn ihr da[br]mal selber z.B nachgucken wollt sind

0:24:30.800,0:24:35.800
welche zu Stalker-ware oder eben auch zu[br]spyware. Was man sonst noch machen kann

0:24:35.800,0:24:41.040
ist eine Trafficanalyse und zwar muss ja[br]eine Spyware immer irgendwie Traffic

0:24:41.040,0:24:45.040
transmitten über WLAN über Mobilfunk und[br]das kann man sich auch angucken. Da gibt's

0:24:45.040,0:24:48.560
ein cooles Tool das heißt tinycheck, das[br]wurde mal von Kaspersky entwickelt für

0:24:48.560,0:24:54.680
Frauenhäuser um da eben speziell Spyware[br]zu finden. Das läuft optional auf dem

0:24:54.680,0:24:58.960
Raspberry Pi, muss man aber nicht machen[br]macht dann dediziertes WiFi auf, da kann

0:24:58.960,0:25:02.760
man sich mit verbinden, dann wird der[br]Traffic mitgeschnitten und es wird z.B

0:25:02.760,0:25:06.960
geguckt ob bekannte command and control[br]Server im Traffic auftauchen oder ob man

0:25:06.960,0:25:12.840
auf irgendwelchen Webseiten von diesen[br]spyware Herstellern war. Genau und jetzt

0:25:12.840,0:25:21.880
erzählt euch Viktor was zu iOS Forensik.[br]V: Ja also ihr erinnert euch an die vier

0:25:21.880,0:25:26.240
Felder und wir gehen jetzt im Prinzip[br]diese vier Felder zusammen ab. Wir starten

0:25:26.240,0:25:33.680
im ersten Feld und zwar ohne Exploits also[br]Stalker-ware auf iPhone iOS Geräten, dieses

0:25:33.680,0:25:40.240
Feld ist relativ hellgrau weil da gibt's[br]gar nicht so viel, weil aktuell gibt es

0:25:40.240,0:25:46.360
wie ich schon gesagt habe kein Exploit[br]kein jailbreak der funktioniert für iOS

0:25:46.360,0:25:50.600
Geräte und deshalb ist es gar nicht so[br]attraktiv als Stalker-ware sich da

0:25:50.600,0:25:55.040
einzunisten weil man diese ganzen Sachen[br]von ich habe Zugriff auf Messenger, ich

0:25:55.040,0:25:59.480
habe Zugriff auf die Daten von anderen[br]Apps, das geht gar nicht so ohne Weiteres.

0:25:59.480,0:26:05.880
Was natürlich möglich ist, ist dass Geräte[br]gejailbreaked sind die älter als 15.7 sind

0:26:05.880,0:26:09.800
und das kann ich schon mal dazu sagen, ich[br]glaube es gibt Anzeichen dass es einen

0:26:09.800,0:26:14.640
neuen jailbreak geben wird aus der Exploit[br]chain, die in dieser Operation

0:26:14.640,0:26:18.280
Triangulation Sache gefunden wurde, das[br]heißt vielleicht ist das in Zukunft wieder

0:26:18.280,0:26:21.760
möglich aber meistens dann auch nur eher[br]die veralteten Geräte und nicht die

0:26:21.760,0:26:28.760
aktuellen Geräte zu jailbreaken. Und wenn[br]man kein Jailbreak hat, dann ist genau es

0:26:28.760,0:26:33.280
ein bisschen schwierig als Stalker-ware App[br]weil man muss durch die Checks von dem

0:26:33.280,0:26:37.520
AppStore gehen, man kann nur durch den[br]AppStore installiert werden und z.B bei

0:26:37.520,0:26:41.920
einem iPhone muss man gibt so notification[br]so ein orangenen Punkt und so ein grünen

0:26:41.920,0:26:44.920
Punkt die anzeigen ob gerade das Mikro[br]oder die Kamera an ist oder ich glaub auch

0:26:44.920,0:26:53.160
die Location Services und das ist dann[br]natürlich nicht mehr so stealthy. Und das

0:26:53.160,0:26:56.800
genau das kann man auch irgendwie in so[br]privacy Report Sachen dann nachgucken und

0:26:56.800,0:27:01.160
natürlich hat man auch überhaupt keinen[br]Zugriff auf die Daten von anderen Apps.

0:27:01.160,0:27:03.800
Was es aber gibt, das haben wir schon[br]gesehen, wir haben irgendwann noch selber

0:27:03.800,0:27:07.920
mal ein bisschen geguckt wie das so[br]funktioniert, es gibt Stalker-ware

0:27:07.920,0:27:11.640
Anbieter die z.B so iCloud Paser[br]geschrieben haben. Also da können dann

0:27:11.640,0:27:19.040
TäterInnen können irgendwie das das iCloud[br]Passwort von Menschen besorgen und dann

0:27:19.040,0:27:24.160
gibt es so Stalker-ware Services, die sich[br]dann damit in diesem iCloud Konto einladen

0:27:24.160,0:27:28.360
und alles runterladen was in dem iCloud[br]Konto gespeichert ist. Das sind z.B so

0:27:28.360,0:27:34.520
Sachen wie Notizen, Kontakte, ich weiß[br]nicht mehr nicht also das ist so es ist so

0:27:34.520,0:27:39.080
halb viel, aber genau das das geht auf das[br]geht auf jeden Fall und das kann sein das

0:27:39.080,0:27:44.000
heißt es ist immer auch keine schlechte[br]Idee, wenn man mit so eine Situation in

0:27:44.000,0:27:47.800
Kontakt kommt das iCloud password zu[br]ändern oder zu gucken dass das sicher ist,

0:27:47.800,0:27:53.360
weil darüber können auch Informationen[br]verloren gehen. Jetzt kann es aber

0:27:53.360,0:27:56.600
natürlich trotzdem sein dass Leute es[br]schaffen an den Checks vom App Store

0:27:56.600,0:28:01.080
vorbei eine App zu schmuggeln und dann[br]wären die folgenden Sachen die Dinge die

0:28:01.080,0:28:04.760
man sich angucken würde sinnvollerweise.[br]Wir gehen davon aus ihr habt ein Backup

0:28:04.760,0:28:08.680
gemacht und das liegt irgendwo und in[br]diesem Backup schaut ihr jetzt

0:28:08.680,0:28:13.680
verschiedene Dateien an. Eine der Dateien[br]bei der sich lohnt sie sich anzuschauen

0:28:13.680,0:28:20.400
sind die transparency consent and control[br]locks, die legen am folgenden Pfad und da

0:28:20.400,0:28:24.800
ist die Tabelle namens Access interessant,[br]weil in dieser Tabelle steht drin wann

0:28:24.800,0:28:28.160
welche App welche Berechtigungen[br]angefordert hat. Also wann Welche gesagt

0:28:28.160,0:28:30.880
hat hallo darf ich bitte das Mikro[br]benutzen? Darf ich bitte die Kamera

0:28:30.880,0:28:37.080
benutzen? steht da drin inklusive einem[br]Timestamp. Diesen Timestamp kriegt ihr

0:28:37.080,0:28:41.400
dann auch relativ schnell in ein[br]menschenlesbares Format, wenn ihr es

0:28:41.400,0:28:47.000
händisch machen wollt, aber das macht doch[br]alles MVT für euch. Also ich habe jetzt

0:28:47.000,0:28:52.040
bei diesen ganzen Folien, ich habe euch[br]einmal gezeigt wie man das RAW mit einem

0:28:52.040,0:28:56.440
SQLight Paser machen würde, wenn man[br]richtig wild drauf ist, aber da gibt's

0:28:56.440,0:29:02.360
eigentlich also MVT macht das gleiche und[br]MVT macht das gut. Jedenfalls das ist die

0:29:02.360,0:29:06.640
Datenbank die sich MVT anguckt, so sieht[br]das in MVT aus, da steht dann Signal hat

0:29:06.640,0:29:11.680
gefragt kann ich das Mikro benutzen an[br]diesem Zeitpunkt. Die nächste Sache die

0:29:11.680,0:29:16.240
man sich angucken kann sind die data usage[br]Logs. Ich weiß auch wieder nicht wer von

0:29:16.240,0:29:19.640
euch in dem Operation Triangulation Talk[br]drin war, auch da hat das eine Rolle

0:29:19.640,0:29:23.960
gespielt, da haben sie nähmlich vergessen[br]diese Logs zu löschen. Die interessanten

0:29:23.960,0:29:29.080
Tabellen hier heißen ZLIVEUSAGE und[br]Zprocess und in diesen zwei Tabellen steht

0:29:29.080,0:29:34.120
drin wann welche App über Mobilfunk Daten[br]runtergeladen hat, genau genommen sogar

0:29:34.120,0:29:36.760
ich glaube welcher Prozess und das ist[br]halt spannend weil auch Dinge die kein

0:29:36.760,0:29:41.120
Prozess waren sondern irgendeine Exploit[br]stage oder sowas tauchen da potenziell

0:29:41.120,0:29:47.920
auf. Diese tolle Query die man sich[br]natürlich merkt und so kurz mal

0:29:47.920,0:29:55.320
runterspult die macht euch glücklich weil[br]sie aus dieser Datenbank die die Sachen

0:29:55.320,0:29:59.240
rausholt, diese zwei verschiedenen[br]Tabellen miteinander joint und dann kommen

0:29:59.240,0:30:03.440
da schönere Daten raus, aber natürlich[br]habe ich mir die auch nicht ausgedacht

0:30:03.440,0:30:07.640
sondern die ist einfach aus der MVT[br]Codebase kopiert und deshalb ich empfehle

0:30:07.640,0:30:12.200
auch euch nicht zu versuchen das händisch[br]zu passen sondern genau das aus der MVT

0:30:12.200,0:30:19.760
codebase zu kopieren oder MVT zu benutzen.[br]Und wenn man das dann mit MVT ausführt,

0:30:19.760,0:30:23.680
dann sieht das so aus, dann sagt euch MVT[br]wann es das erste Mal benutzt wurde, ich

0:30:23.680,0:30:29.600
glaube wann es das letzte Mal benutzt[br]wurde und was die Bundle ID ist von der

0:30:29.600,0:30:35.360
Sache, die das also was was der Process[br]Name ist und was die Bundle ID ist und

0:30:35.360,0:30:43.560
genau. Das Bundle IDs sind sowas wie der[br]eindeutige Name von Apps. Das heißt damit

0:30:43.560,0:30:48.120
kann man rauskriegen okay wer hat die[br]eigentlich Daten benutzt. Eine weitere

0:30:48.120,0:30:51.280
Sache die man sich angucken kann und die[br]ist sehr interessant vor allem wenn man

0:30:51.280,0:30:55.560
davon ausgeht dass alle Apps die auf dem[br]Handy sind, Apps sind die installiert

0:30:55.560,0:31:02.720
sind, weil man davon ausgeht, dass niemand[br]irgendein Exploit hatte ist die Liste der

0:31:02.720,0:31:08.240
installierten Applikationen, applications[br]Apps, die ist in der info.plist Datei drin

0:31:08.240,0:31:15.440
die liegt auch topl Level in eurem Backup[br]drin und diese Datei kann man mit plist

0:31:15.440,0:31:21.240
util parsen, das ist auch ein Tool was[br]glaube ich auch in den Packs App Store

0:31:21.240,0:31:25.440
package Stores von den meisten Linux[br]Distributionen drin ist. plist ist so ein

0:31:25.440,0:31:30.960
ganz komisches Format was sich das Apple[br]Universum ausgedacht hat und ich glaube da

0:31:30.960,0:31:37.560
kommen XML Dateien raus, wenn man das in[br]normale Formate überführt hat. Da steht

0:31:37.560,0:31:46.680
dann auch drin die Bundle IDs von den Apps[br]die installiert sind und teilweise auch

0:31:46.680,0:31:50.720
der Name und wenn ihr euch jetzt fragt na[br]was ist denn jetzt das genau für ein Ding

0:31:50.720,0:31:57.160
im App Store, dann kann ich euch als Tipp[br]verraten dass zumindest aktuell auf der

0:31:57.160,0:32:02.280
website also wenn man im Browser im App[br]Store sich eine App anguckt bei Apple,

0:32:02.280,0:32:06.560
dann kommt im und da auf view source[br]klickt oder sich irgendwie den Sourcecode

0:32:06.560,0:32:11.160
anguckt dann kommt da der Bandel ID Name[br]vor. Das heißt das ist der der Mechanismus

0:32:11.160,0:32:15.320
mit dem ihr, ihr habt eine Bandel ID[br]irgendwo gelesen und wollt wissen was ist

0:32:15.320,0:32:21.120
den das genau für ein Ding, mit dem ihr[br]das zueinander connecten könnt und dann

0:32:21.120,0:32:23.840
kann man auch möglicherweise die Person[br]Fragen, hey pass mal auf, hast du das

0:32:23.840,0:32:28.920
schon mal gesehen, kommt das von Dir hast[br]du das runtergeladen? und damit kann man

0:32:28.920,0:32:34.840
klären wenn da interessante merkwürdige[br]weirde Dinge auftauchen wo die jetzt

0:32:34.840,0:32:42.680
hergekommen sind und ob die da sein[br]sollen. Ja genau die weitere Sache ist

0:32:42.680,0:32:49.120
dass in MVT bereits wie Janik schon[br]gesagt hat eigentlich eine Liste von sehr

0:32:49.120,0:32:57.000
sehr vielen IOCs und anderen Merkmalen von[br]Stalker-ware bereits drin steckt von frei

0:32:57.000,0:33:01.560
tollen freiwilligen Menschen, die das[br]Pflegen und ich glaube so automatisierte

0:33:01.560,0:33:06.320
Skripte haben die das immer neu generieren[br]und auch die Malware Samples hochladen

0:33:06.320,0:33:11.360
davon, das heißt mein Bauchgefühl wäre[br]ohne jetzt allzu viel empirische Daten zu

0:33:11.360,0:33:18.320
haben, man hat relativ gute Chancen mit[br]mit MVT Stalker-ware zu finden zu

0:33:18.320,0:33:25.080
detektieren einfach, weil es da sehr lange[br]IOC Listen gibt ja. Und sehr viel davon

0:33:25.080,0:33:27.720
schon verzeichnet ist und das auch[br]glücklicherweise alles automatisch

0:33:27.720,0:33:31.960
passiert, also ihr müsst nicht das dann[br]selber runterladen und sagen ja hier bitte

0:33:31.960,0:33:37.960
diese Stalker-ware Liste, sondern wenn ihr[br]aus dem gitrepo von MVT MVT installiert

0:33:37.960,0:33:44.600
oder aus den Python packages und MVT[br]ausführt, dann macht das das alles

0:33:44.600,0:33:51.520
automatisch und benutzt Check gegen dieses[br]Stalker-ware Indikatoren. Ja wir kommen zum

0:33:51.520,0:33:58.120
State-Sponsored Spyware Teil zu den Sachen[br]mit Exploits da gibt es natürlich die

0:33:58.120,0:34:02.400
Sachen die wir schon gesagt haben und noch[br]ein paar mehr z.B ist es lohnenswert sich

0:34:02.400,0:34:09.360
anzugucken welche Einträge die Safari[br]History hat, weil man kann da eigentlich

0:34:09.360,0:34:17.840
zwei Sachen finden. Das eine ist man kann[br]Exploit URLs finden von One Click Exploits

0:34:17.840,0:34:24.160
vielleicht wart ihr in dem Predator [br]Files Vortrag von donncha gestern

0:34:24.160,0:34:29.720
glaube ich. Da hat er z.B erzählt dass in[br]den meisten Fällen die Intelexa Software

0:34:29.720,0:34:33.800
nur mit One Click Exploits installiert[br]werden kann, weil die Browser Exploits

0:34:33.800,0:34:39.120
haben und. Da hat man z.B dann eine Chance[br]wenn sie das nicht gelöscht haben die URL

0:34:39.120,0:34:45.600
zu finden von dem Server der die Website[br]ausgeliefert hat, die den JavaScript

0:34:45.600,0:34:50.520
Exploit vermutlich hatte , die andere[br]Sache die man da finden kann sind Spuren

0:34:50.520,0:34:56.240
von Redirects und Redirects würden[br]passieren wenn man eine Network injection

0:34:56.240,0:35:00.920
Attacke hatte. Das sieht ungefähr so auch[br]aus auch das hat donncha gestern in dem

0:35:00.920,0:35:06.720
Vortrag angerissen, ist auch ein Foto von[br]denen. Das würde nämlich so passieren dass

0:35:06.720,0:35:14.040
ein Handy eine HTTP Verbindung zu[br]irgendeinem Server aufbaut und irgendwo

0:35:14.040,0:35:18.560
auf der Route auf der Strecke entweder ein[br]insy Catcher oder eine Kiste bei dem

0:35:18.560,0:35:23.680
Internet Provider bei dem Telco Provider[br]dann sehr schnell als Antwort auf diesen

0:35:23.680,0:35:30.160
HTTP Request ein Redirect zurückschickt[br]der sagt nee pass mal auf was du suchst

0:35:30.160,0:35:34.360
ist nicht mehr bei dieser legitimen Seite[br]sondern bei unserer schönen shady URL wo

0:35:34.360,0:35:39.160
du gleich ein Exploit runterladen wirst[br]und das Handy ist dann so ah ja okay gut

0:35:39.160,0:35:43.000
ist ja nicht mehr da ist jetzt hier und[br]quasi lädt sich dann die andere Sache

0:35:43.000,0:35:49.160
runter, und was man dafür braucht ist dass[br]man als Mittelstation muss man relativ

0:35:49.160,0:35:56.160
schnell diesen Redirect schicken können,[br]das heißt es ist einfach spannend hier auf

0:35:56.160,0:36:02.120
der Folie ist das zu gucken z.B kam[br]einfach insanely schnell nach dem Aufruf

0:36:02.120,0:36:07.480
von irgendeiner URL ein Redirect, also[br]irgendwie Millisekunde später oder weniger

0:36:07.480,0:36:12.280
oder also einfach sehr sehr schnell wo man[br]so überlegt ist das jetzt plausibel, dass

0:36:12.280,0:36:16.320
der andere Server schon geantwortet hat?[br]Das wären z.B Dinge die man da finden

0:36:16.320,0:36:24.680
könnte. Was man auch finden kann ist dass[br]Leute sich nicht gescheit anstellen beim

0:36:24.680,0:36:30.040
Löschen von Daten aus Datenbanken. Was z.B[br]passieren kann und davon hat in diesem

0:36:30.040,0:36:36.600
citizen Lab Report wird davon erzählt, ist[br]das zu einem Zeitpunkt Pegasus in der data

0:36:36.600,0:36:42.880
usage SQLite Datenbank die ich euch schon[br]gezeigt habe Prozesseinträge nur in der

0:36:42.880,0:36:46.320
einen Tabelle aber nicht in der anderen[br]Tabelle gelöscht haben und das ist eine

0:36:46.320,0:36:49.320
Sache das würde das Handy nie tun, weil[br]das immer entweder in beiden Tabellen oder

0:36:49.320,0:36:54.160
gar nicht auftaucht, das heißt man kann da[br]einfach gucken Mensch finden wir

0:36:54.160,0:36:58.920
eigentlich Prozesseinträge mit[br]Datentransferspuren in der einen aber

0:36:58.920,0:37:02.040
nicht in der anderen Tabelle und wenn ja[br]dann ist das ein sehr eindeutiges Zeichen,

0:37:02.040,0:37:06.800
weil das halt in der freien Wildbahn sehr[br]selten passiert und mit dieser Version von

0:37:06.800,0:37:13.440
Pegasus dann eben doch. Und das ist z.B[br]auch eine Sache mit der man ja eine Chance

0:37:13.440,0:37:22.480
hat zu feststellen zu können, ok hier ist[br]was komisches passiert. Genau die data

0:37:22.480,0:37:28.520
usage ist natürlich auch hier relevant das[br]habe ich gerade schon erzählt ja. Das ist

0:37:28.520,0:37:33.440
jetzt z.B der mdns responder das sind[br]aufgelöste DNS queries, da würde man auch

0:37:33.440,0:37:38.280
andere Prozesse das also es ist auch es[br]erfordert würde ich auch sagen so ein bisschen

0:37:38.280,0:37:41.800
Übung sich da reinzulesen und so ein[br]bisschen auch ein Gefühl davon zu kriegen

0:37:41.800,0:37:48.200
was ist normal und was ist komisch. Es ist[br]total empfehlenswert auch einfach mal von

0:37:48.200,0:37:52.480
Friends oder einfach mal selber ab und zu[br]sowas zu machen, bei sich selber drauf zu

0:37:52.480,0:37:56.720
gucken um so ein Gefühl dafür zu kriegen[br]und einfach da mal so durchzuscrollen, was

0:37:56.720,0:38:02.960
sind denn gutartige Sachen die so einfach[br]die ganze Zeit auf iPhones passieren dann

0:38:02.960,0:38:06.000
kriegt man ein bisschen auch ein Gefühl[br]dafür für welche Dinge vielleicht erstmal

0:38:06.000,0:38:09.600
weird aussehen aber einfach die ganze Zeit[br]passieren und einfach gutartig sind, weil

0:38:09.600,0:38:16.640
sie von vom iPhone selber kommen. Was man[br]auch tun kann ist sich die timestamps von

0:38:16.640,0:38:23.200
den Dateien im im Backup anzugucken, das[br]würde man machen indem man erstmal das

0:38:23.200,0:38:28.040
Backup entschlüsselt der Schritt taucht[br]auch auf in Janiks Liste dann sieht das

0:38:28.040,0:38:34.600
erstmal so aus ohne doch genau wenn es ja[br]dann sieht es erstmal so aus das Backup.

0:38:34.600,0:38:39.120
Dieser decrypted Ordner hier der ist da[br]nicht den habe ich so genannt, aber das

0:38:39.120,0:38:46.280
sind erstmal bisschen ungeil, weil iPhone[br]Backups funktionieren so dass alle Dateien

0:38:46.280,0:38:51.160
benannt werden nach ihrem eigenen Hash und[br]dann werden sie einfach in Ordner

0:38:51.160,0:38:55.760
gespeichert die, wo sie gruppiert sind[br]nach den ersten zwei Stellen von ihrem

0:38:55.760,0:38:59.600
eigenen Hash und das das natürlich jetzt[br]ziemlich ungeil in diesem Ding irgendwie

0:38:59.600,0:39:02.960
Dateien zu suchen und sich anzugucken ok,[br]was hast du für ein Timestamps noch auf

0:39:02.960,0:39:08.040
den ersten Blick rauszukriegen, liebe[br]Datei bist du interessant für mich. Was

0:39:08.040,0:39:13.080
man da tun würde wäre das Backup zu[br]rekonstruieren, das ist mich nicht

0:39:13.080,0:39:18.600
besonders schwer die die ursprüngliche[br]Pfahdstruktur wiederherzustellen, da gibt

0:39:18.600,0:39:23.200
es z.B ein Tool, was ich jetzt nicht noch[br]mal getestet habe vor dem Vortrag (shame

0:39:23.200,0:39:26.880
on ME) aber ich glaube es funktioniert,[br]ich glaube es gibt auch Andere das kriegt

0:39:26.880,0:39:31.560
ihr hin das kann man auch in Stunde oder[br]sowas selber programmieren. Jedenfalls es

0:39:31.560,0:39:36.160
gibt die manifest.plist Datei da steht[br]drin, das sind die Hashes das sind die

0:39:36.160,0:39:39.480
eigentlichen Dateinamen und ich glaube[br]auch der Timestamp und daraus kann man so

0:39:39.480,0:39:43.800
ein bisschen den den ursprünglichen[br]Dateipfad wieder rekonstruieren. Wenn man

0:39:43.800,0:39:47.360
das gemacht hat hat man einen Ordner wo[br]die Sachen ihre richtigen timestamps haben

0:39:47.360,0:39:52.200
und genau die eigentlichen Dateien sind,[br]wie sie vom iPhone aus dem iPhone

0:39:52.200,0:39:58.840
gepurzelt sind und dann könnte man z.B mit[br]diesem schönen oneliner sie sortieren nach

0:39:58.840,0:40:10.600
dem ich glaube modified Timestamp und dann[br]genau würde man sehen was z.B in einer

0:40:10.600,0:40:15.760
Zeitzone passiert ist in der interessiert[br]was da los war. Also angenommen weiß ne in

0:40:15.760,0:40:19.520
dieser in dieser Range keine Ahnung wurde[br]das Handy der Person abgenommen oder so

0:40:19.520,0:40:24.360
dann könnte man da gucken, sehen wir da[br]spannende Sachen? Eine weitere Sache nach

0:40:24.360,0:40:30.760
dem man gucken kann sind SMS Anhänge, das[br]waren z.B .gif files in dem forced

0:40:30.760,0:40:35.360
entry Exploit vom Citizen das war auch das[br]citizen Lab analysiert und vorgestellt

0:40:35.360,0:40:40.760
hat, da hat man z.B einfach gesehen dass[br]da 20 .gif Anhänge ganz schnell

0:40:40.760,0:40:45.120
hintereinander angekommen sind, ja und[br]dann sieht man natürlich auch okay das ist

0:40:45.120,0:40:49.480
hier irgendwie merkwürdig. Auch in[br]crashlocks kann man interessante Artefakte

0:40:49.480,0:40:54.480
finden auch z.B wenn jetzt irgendwie eine[br]eine Komponente von eurem Handy ganz oft

0:40:54.480,0:40:58.600
hintereinander crasht, vor allem wenn man[br]das nicht erwarten würde, das ist glaube

0:40:58.600,0:41:03.920
ich auch in diesem Force entry Dings[br]passiert, dass ich glaube z.B der iMessage

0:41:03.920,0:41:08.200
Prozess ganz oft gecrasht ist, weil eben[br]ganz oft Sachen ankamen die manchmal

0:41:08.200,0:41:13.440
funktioniert haben und manchmal nicht. Da[br]kann man dann Spuren finden. Eine weitere

0:41:13.440,0:41:20.000
Sache noch und zwar einfach nur so ein[br]Transfer in diesem Vortrag von Operation

0:41:20.000,0:41:25.480
trangulation haben die auch selber gezeigt[br]dass sie in der data usage und Manifest

0:41:25.480,0:41:29.600
alles Dinge die kennt und versteht,[br]verschiedene Sachen hintereinander gesehen

0:41:29.600,0:41:33.960
haben bei der ersten stage von dem Exploit[br]den sie da beobachtet haben und zwar das

0:41:33.960,0:41:39.200
war erstmal dass der iMessage Prozess der[br]einem Transfer Agent Sachen runterlädt,

0:41:39.200,0:41:44.360
eine Datei wird angelegt und dann wird ein[br]Prozess aktiv den den es da eigentlich

0:41:44.360,0:41:48.240
nicht geben sollte und dieses Bündel an[br]Dinge die hintereinander passieren dann

0:41:48.240,0:41:52.040
irgendwie relativ bemerkenswert ist und[br]identifizieren das Verhalten für diesen

0:41:52.040,0:41:56.960
Angriff und genau an an solchen Sammlungen[br]von Dingen die schnell hintereinander

0:41:56.960,0:42:03.200
passieren kann man auch Malware finden.[br]Und damit gebe ich weiter an Janik der

0:42:03.200,0:42:08.240
euch Sachen zu Android zeigt.[br]J: Genau wir müssen mal schauen, wie

0:42:08.240,0:42:11.680
schnell wir das schaffen und ob wir noch[br]Zeit für Fragen haben aber ansonsten haben

0:42:11.680,0:42:18.880
wir auch noch ein Workshop in zwei Stunden[br]genau. Ja aber zu Android es ist ein

0:42:18.880,0:42:23.720
bisschen das Gleiche aber man muss schon[br]sagen dass Android weniger solche

0:42:23.720,0:42:28.200
Logdateien schreibt auf die man zugreifen[br]kann um die forensisch zu analysieren im

0:42:28.200,0:42:32.720
Vergleich zu iOS, einige Sachen sind aber[br]ähnlich z.B kann ich mir hier auf Android

0:42:32.720,0:42:36.000
auch angucken welche Applikationen sind[br]installiert, das kann ich natürlich auch

0:42:36.000,0:42:39.560
auf dem Gerät machen und bei Stalkerware[br]werde ich da vielleicht auch fündig, man

0:42:39.560,0:42:45.960
kann dann auch manchmal Apps verstecken[br]genau. Wie man es macht wenn man es an den

0:42:45.960,0:42:52.480
PC anschließt ist man benutzt ADB und über[br]adb shell kann man eben commands auf dem

0:42:52.480,0:42:56.720
Telefon direkt ausführen das werdet ihr[br]jetzt eigentlich häufiger sehen in den

0:42:56.720,0:43:02.800
Folien und zwar mit dem Tool PM kann man[br]sich die Packages Listen das -U ist dafür

0:43:02.800,0:43:07.440
dass man auch den uninstallierte[br]Applikationen sieht, das i ist dafür dass

0:43:07.440,0:43:12.320
man sieht wer hat diese App installiert[br]das besonders spannend und das F zeigt

0:43:12.320,0:43:18.640
einen auch an wo die Datei liegt dieser[br]App genau, hier habe ich euch ein

0:43:18.640,0:43:22.400
Screenshot gemacht wie das aussieht und[br]hier sieht man jetzt z.B Installer ist com

0:43:22.400,0:43:26.840
Google Android package Installer, das ist[br]der Standard Installer wenn ihr z.B euch

0:43:26.840,0:43:30.960
eine App runterladet mit Chrome auf eurem[br]Android Telefon da drauf klickt und

0:43:30.960,0:43:37.120
installieren klickt, dann sieht das so[br]aus, das ist also unauffällig für

0:43:37.120,0:43:41.280
Staatstrojaner aber für Stalker-ware[br]eventuell interessant. Was man bei

0:43:41.280,0:43:45.840
Staatstrojaner z.B auch manchmal sieht ist[br]dass da einfach nan steht weil wenn man

0:43:45.840,0:43:48.520
ein Exploit hatte und der hat dann[br]irgendwie geschafft die Applikation zu

0:43:48.520,0:43:54.160
installieren oder der hat die eben einfach[br]dahineschoben wo die Apps sind und das

0:43:54.160,0:43:58.840
nicht eingetragen dann steht da nan, was[br]man manchmal noch sieht sind Systemdateien

0:43:58.840,0:44:02.880
von gewissen Herstellern wie hier ist[br]jetzt was bekanntes von Samsung, da kann

0:44:02.880,0:44:08.040
man dann auch nachgucken. Da gibt's noch[br]weitere Informationen zu es ist leider

0:44:08.040,0:44:12.240
alles nicht so schön über dieses Interface[br]aber man kann hier z.B wenn man wissen

0:44:12.240,0:44:17.840
will was sind Systemdateien, was sind[br]third party Apps und was sind disabled

0:44:17.840,0:44:24.000
Apps dann kann man das Filtern mit den[br]parametern -s -3 und -d und das ist z.B

0:44:24.000,0:44:31.200
spannend wenn ich sehe manche Apps sind[br]disabled das wird z.B mit Systemdateien

0:44:31.200,0:44:36.080
gerne System Apps gerne gemacht statt sie[br]zu deinstallieren dann kann ich hier

0:44:36.080,0:44:42.560
gucken wenn z.B so es gibt so bei Samsung[br]z.B so Security Services die in Apps

0:44:42.560,0:44:47.800
laufen und wenn die disabled sind dann ist[br]das schon so eine Alarmglocke für hier ist

0:44:47.800,0:44:54.240
vielleicht Malbare. Genau dann gibt's noch[br]das Tool Dumpsys und mit dem Tool Dumpsys

0:44:54.240,0:44:58.840
kann ich wenn ich ein konkretes package[br]angebe mir noch weitere Dateien mir

0:44:58.840,0:45:04.280
weitere Informationen dazu anschauen und[br]das ist sind z.B die

0:45:04.280,0:45:08.840
installationszeitpunkte. Oft hat man wenn[br]man Fall analysiert zu Zeitpunkte die

0:45:08.840,0:45:12.760
interessant sind, wenn jemand eine Grenze[br]übertreten hat oder wenn das Gerät bei der

0:45:12.760,0:45:17.720
Polizei war, weil weil es beschlagnammt[br]wurde und dann kann ich hier sehen, wann

0:45:17.720,0:45:21.280
wurde es installiert, wann wurde es das[br]letzte Mal geupdated und was ich auch sehe

0:45:21.280,0:45:27.400
ist welche Permissions hat es angefragt.[br]Genau was auch spannend ist sind die

0:45:27.400,0:45:31.840
sogenannten intens die Intents sind sowas[br]wie Hooks die Apps notifying wenn gewisse

0:45:31.840,0:45:36.960
Dinge im System passieren. Und da gibt's[br]verschiedene Beispiele z.B Wenn es eine

0:45:36.960,0:45:40.920
ausgehende SMS gibt wenn es eine[br]eingehende SMS gibt. Das hat legitime

0:45:40.920,0:45:45.920
Anwendungsfälle z.B eine eingehende SMS[br]ist interessant für so Smsverifizierung

0:45:45.920,0:45:50.960
bei Apps bei Signal bei Whatsapp wird die[br]App dann benachrichtigt und wenn sie die

0:45:50.960,0:45:55.560
Permission hat, kann sie die dann auch[br]abfragen und die Verifikation machen. Was

0:45:55.560,0:45:58.600
ist auch auch gibt es Boot complete, das[br]kann interessant sein wann schaltet jemand

0:45:58.600,0:46:03.680
sein Handy aus wann schaltet das wieder[br]ein z.B wenn Leute von der Demo ihr Handy

0:46:03.680,0:46:09.000
ausmachen und dann wieder anmachen, dann[br]kann ich das hier auch finden. Und das

0:46:09.000,0:46:14.840
sind die anderen die ich hier euch[br]gelistet hab, outgoing SMS, SMS data

0:46:14.840,0:46:20.120
received, new outgoing call, das sind[br]alles welche die Pegasus nachweislich

0:46:20.120,0:46:26.120
benutzt hat um notified zu werden, wenn[br]z.B neuer Anruf startet und dann ein

0:46:26.120,0:46:30.160
Prozess zu starten der diesen Anruf[br]aufzeichnet und dann ausleitet, also das

0:46:30.160,0:46:35.960
ist auch besonders spannend, wenn die App[br]diese Dinge diese Intents anmeldet beim

0:46:35.960,0:46:43.760
Betriebssystem. Genau das alles ist wieder[br]das Gleiche wie bei AOS macht auch MVT für

0:46:43.760,0:46:48.680
euch und dann kriegt ihr so ein aus eine[br]Ausgabe in der Json Datei und da müsst

0:46:48.680,0:46:51.760
ihr nicht diese ganzen commands eingeben[br]und das wird alles schön gruppiert für

0:46:51.760,0:46:55.760
euch. Ihr seht dann welche App ist das was[br]der package Name von wem wurde es

0:46:55.760,0:46:59.400
installiert, ist sie disabled oder nicht,[br]ist es eine System app, ist es eine third

0:46:59.400,0:47:05.160
party App, welche Permissions hat sie, wo[br]liegen die Dateien dazu, das also super

0:47:05.160,0:47:10.320
hilfreich. Und was man eben auch machen[br]kann bei Android ist APKs runterladen hier

0:47:10.320,0:47:14.200
ist noch mal der manuelle weg, ich würde[br]mir erst wie eben alle packages anzeigen

0:47:14.200,0:47:19.920
lassen dann würde ich mir den Pfad[br]anzeigen lassen zu der zu der App und dann

0:47:19.920,0:47:24.720
kann ich mit ADP pull kann man beliebige[br]Dateien herunterladen von Android Telefon

0:47:24.720,0:47:29.840
und die krieg ich dann so eben auch. Ist[br]ein komischer Pfad aber kann man einfach

0:47:29.840,0:47:34.560
copypasten und dann habt ihr die APK und[br]dann könnt ihr die natürlich reversen,

0:47:34.560,0:47:40.040
APKs sind einfach nur zipdateien die sind[br]dann auch noch signiert aber im Prinzip

0:47:40.040,0:47:45.640
kann man die auspacken und dann liegt da[br]kompiliertes Java oder kotlin drin. Was

0:47:45.640,0:47:50.960
man aber auch machen kann ist die bei[br]Virustotal hochzuladen, da hat MVT tooling

0:47:50.960,0:47:56.240
für euch, da müsst ihr euch einmal ein API[br]key besorgen zu Virustotal und dann könnt

0:47:56.240,0:48:00.400
ihr die hochladen und dann kriegt ihr hier[br]eine schöne Tabelle welche Apps welches

0:48:00.400,0:48:04.520
Ergebnis bei Virustortal hatten und hier[br]seht ihr jetzt in dem Beispiel den Package-

0:48:04.520,0:48:08.480
name, den ich zensiert habe weil wir[br]später ein Workshop da könnt ihr diese

0:48:08.480,0:48:14.440
Stalker-ware auf dem Android Telefon [br]finden die wurde jetzt bei 39 von 76

0:48:14.440,0:48:19.160
Virusscannern bei Virustotal eben als[br]malicious erkannt und da kann man dann

0:48:19.160,0:48:25.800
schon aus davon ausgehen dass das ist.[br]Genau dann gibt bei Virustotal noch die

0:48:25.800,0:48:30.480
accessibility Services. Die accessibility[br]Service sind ja Apps die man sich

0:48:30.480,0:48:34.080
installieren kann für Barrierefreiheit,[br]was eigentlich ein richtig cooles Feature

0:48:34.080,0:48:40.480
ist und auch dass das so modular ist, weil[br]man je nachdem welche Hilfen man braucht

0:48:40.480,0:48:45.720
um sein Telefon barrierefrei oder arm[br]nutzen zu können da gewisse Apps

0:48:45.720,0:48:50.200
runterladen kann und die dann aktivieren[br]und deaktivieren kann, aber damit sowas

0:48:50.200,0:48:54.400
funktioniert haben diese accessibility[br]Services so Berechtigungen, dass die alles

0:48:54.400,0:48:59.000
auf eurem Bildschirm lesen en können und[br]auch z.B Buttons klicken können. Und dann

0:48:59.000,0:49:02.040
können diese Apps z.B auch verhindern wenn[br]ihr in die Einstellung geht und

0:49:02.040,0:49:05.160
deinstallieren drückt, dann kann das das[br]Lesen kriegt das mit und klickt dann für

0:49:05.160,0:49:09.040
euch direkt auf abbrechen und dann könnt[br]ihr nicht auf ja ok ich bin mir sicher

0:49:09.040,0:49:13.640
bitte deinstallieren klicken das natürlich [br]blöd <i>lächelt</i> genau und das wurde in der

0:49:13.640,0:49:19.680
Vergangenheit eben auch für Spyware und[br]Stalker-ware verwendet. Google weiß das

0:49:19.680,0:49:24.160
aber natürlich auch und ist ja immer[br]restriktiver, was was das angeht und ab

0:49:24.160,0:49:28.920
Android 13 geht das z.B. nur noch wenn die[br]Apps aus dem PlayStore kommen. Das könnt

0:49:28.920,0:49:36.080
ihr euch auch händisch angucken, hier ist[br]ein Beispiel, aber gibt es auch mit MVT, ist

0:49:36.080,0:49:40.520
viel einfacher, könnt euch angucken. Ich[br]beeile mich jetzt ein bisschen. Prozesse

0:49:40.520,0:49:45.080
könnt euch auch angucken, das ist vor[br]allem interessant wenn es state-Sponsored-

0:49:45.080,0:49:49.560
Spyware ist und keine einfache[br]Stalker-ware. Ihr könnt tatsächlich einfach

0:49:49.560,0:49:52.920
PS ausführen wie ihr das auf einem Linux[br]System auch macht und dann kriegt ihr die

0:49:52.920,0:50:01.760
Prozessnamen. Genau gibt's auch wieder ein[br]Package bei MVT ja genau und jetzt kurz

0:50:01.760,0:50:07.240
noch zu den Arten von Exploits die es[br]gibt. Man unterscheidet Zero click

0:50:07.240,0:50:11.800
Exploits das sind Exploit die[br]funktionieren ohne Zutun des Opfers also

0:50:11.800,0:50:16.760
man muss nicht irgendwie in der SMS auf[br]den Link klicken damit der Exploit

0:50:16.760,0:50:22.600
getriggert wird und da kann man sich dann[br]überlegen, wo findet man sowas? Haben wir

0:50:22.600,0:50:25.480
auch schon Im Anderen vortragen gehört,[br]Basebands sind interessant, also die

0:50:25.480,0:50:29.200
mobilfunk Schnittstelle eures Telefons[br]gewisse Messenger, also es könnte

0:50:29.200,0:50:34.560
natürlich Exploits geben in WhatsApp,[br]iMessage, Signal hat man auch alles schon

0:50:34.560,0:50:41.080
gesehen im Browser alles was irgendwie[br]Daten ja beliebige Daten irgendwo aus dem

0:50:41.080,0:50:45.440
Internet zieht und dann verarbeitet.[br]Bluetooth und WiFi wären auch interessant

0:50:45.440,0:50:52.720
ist mir jetzt nichts bekannt aber auch[br]möglich. Das Andere sind eben One Click

0:50:52.720,0:50:57.760
Exploits wo ich also irgendwas anklicken[br]muss, das ist meistens ein Link und den

0:50:57.760,0:51:03.800
kann ich dann aber auch finden z.B in der[br]WhatsApp history z.B z.B MVT auch ein

0:51:03.800,0:51:09.520
Feature was alle WhatsApp Nachrichten vom[br]Telefon zieht und dann nach den Links

0:51:09.520,0:51:12.840
Filter damit ihr nur die Links angucken[br]könnt, weil es sind sonst zu viele

0:51:12.840,0:51:16.200
Nachrichten und außerdem wollt ihr die ja[br]nicht lesen, ihr wollt ja nur Malware

0:51:16.200,0:51:22.040
finden und da ist das dann auch[br]sehr hilfreich. Ja, zum Schluss nur noch

0:51:22.040,0:51:27.080
ein kurzer Aufruf, bitte meldet eure[br]Sicherheitslücken, wenn ihr die irgendwo

0:51:27.080,0:51:32.160
findet, verkauft die nicht irgendwie bei[br]zerodium oder an die nSo-Group oder an die

0:51:32.160,0:51:41.841
intellex Alliance und macht damit das[br]Internet sicherer für uns alle genau.

0:51:41.841,0:51:54.541
<i>lacht</i><i>Applaus</i>[br]Herald: Das war doch ein sehr

0:51:54.541,0:51:57.200
schöner[br]Aufruf zum Schluss, ich wäre jetzt dafür

0:51:57.200,0:52:01.440
zu den Fragen überzugehen, wenn es für euch[br]ok ist und wir haben auch schon die ersten

0:52:01.440,0:52:10.200
Leute da stehen da hinten am Mik 2.[br]Frage: Hi ihr habt eben die accessibility

0:52:10.200,0:52:17.520
Services erwähnt beim Android das ja ab[br]Version 13 nicht mehr oder nur

0:52:17.520,0:52:22.440
eingeschränkt verfügbar sind für Apps aus[br]dem App Store und da frage ich mich jetzt,

0:52:22.440,0:52:26.520
dass weil Google ja immer sehr fahrlässig[br]ja immer fahrlässiger umgeht mit sehen

0:52:26.520,0:52:30.440
APS, wie soll das dann mit afdroid[br]funktionieren? Mit anderen App Stores und

0:52:30.440,0:52:36.640
wie soll das a) einmal compliant sein mit[br]EU Regulation aber auf der anderen Seite

0:52:36.640,0:52:40.080
wie stelle ich mir das jetzt vor wenn ich[br]jetzt z.B so was wie Password Manager habe

0:52:40.080,0:52:45.240
und die aus afdroid BZI wie bitorn dann[br]bin ich erstmal aufgeschmissen ab Android

0:52:45.240,0:52:50.760
13 so wie ich das jetzt verstehe. Antwort:[br]Also ich bin mir nicht ganz sicher wie das

0:52:50.760,0:52:55.320
funktioniert, ich habe auch schon gelesen[br]es gibt Workarounds dafür, wenn man als

0:52:55.320,0:52:59.800
User dann explizit noch mal hier und da[br]klickt kann man es wieder aktivieren das

0:52:59.800,0:53:03.680
müsste man wirklich noch mal nachgucken[br]und wenn du dir jetzt z.B vielleicht auch

0:53:03.680,0:53:07.520
eine Custom Firmware installierst kannst[br]du natürlich da auch Andere AppStores

0:53:07.520,0:53:12.080
freischalten als den PlayStore, damit die[br]Apps die dadurch installiert werden diese

0:53:12.080,0:53:17.120
Möglichkeit auch kriegen, bei Password-[br]Managern gibt's aber eine Lösung ja also

0:53:17.120,0:53:22.640
genau ich habe auch Bitwarden und es gibt[br]da die Funktion autofill die auch dafür

0:53:22.640,0:53:27.040
funktioniert und da kannst du Formulare[br]aus en also explizit nur um Formulare

0:53:27.040,0:53:30.840
auszufüllen gibt diese autofilfunktion und[br]dann brauchst du nicht die größeren

0:53:30.840,0:53:35.080
Permissions der accessibility Services.[br]Mit EU Regulierungen kenne ich mich leider

0:53:35.080,0:53:39.000
nicht aus, tut mir leid.[br]V: Entschuldigung ich habe noch eine Sache

0:53:39.000,0:53:42.080
dazwischen und zwar was wir glaube ich gar[br]nicht so explizit erwähnt haben es gibt

0:53:42.080,0:53:46.760
fast einen zweiten Teil zu dem was wir[br]hier gerade machen in einer Stunde in

0:53:46.760,0:53:52.840
J: genau 14:15 Uhr stage H, da oben steht ja[br]V: Genau nur dass ihr das mal gehört habt und

0:53:52.840,0:53:57.280
wir haben praktische Aufgaben zum selber[br]machen ausprobieren vorbereitet und

0:53:57.280,0:54:01.800
mitgebracht und eventuell falls wir auch[br]hier nicht dazu kommen alle Fragen zu

0:54:01.800,0:54:05.300
beantworten ist da noch mal Raum und Zeit[br]für Weiteres.

0:54:05.300,0:54:08.720
Herald: Genau aber wir machen jetzt weiter[br]mit dem Signal Angel weil die

0:54:08.720,0:54:12.064
Internetfragen können nicht so einfach[br]später gestellt werden, also lieber Signal

0:54:12.064,0:54:14.480
Angel.[br]Frage vom Signal Angel: Ja das Internet

0:54:14.480,0:54:18.760
möchte einmal wissen ob Telefone mit[br]alternativen Betriebssystemen wie GrapheneOS

0:54:18.760,0:54:23.500
z.B sicherer sind und ob es [br]da auch nachgewiesene Angriffe gab.

0:54:23.500,0:54:29.000
Antwort: Ja natürlich kann man alternative[br]Betriebssysteme installieren die Wert auf

0:54:29.000,0:54:34.480
Sicherheit legen GrapheneOS empfehlen wir[br]auch häufig JournalistInnen die besonders

0:54:34.480,0:54:41.760
bedroht sind. Was genau also und da gibt's[br]wirklich sehr gute Mechanismen wie z.B mit

0:54:41.760,0:54:47.960
dem neuen Pixel memory Tagging Support[br]wirklich starke Empfehlung das zu benutzen

0:54:47.960,0:54:53.120
was man bei iPhones machen kann ist den[br]Lockdown Mode einschalten wenn ihr bei in

0:54:53.120,0:54:57.480
den Einstellungen bei eurem iPhone auf[br]security geht und ganz nach unten scrollt

0:54:57.480,0:55:01.120
auf Deutsch ist das Blockierungsmodus[br]aktiviert das da steht da noch mal was

0:55:01.120,0:55:06.680
genau das verändert, aber auch eine gute[br]Empfehlung. Spy-ware Angriffe mit Exploits

0:55:06.680,0:55:11.600
auf GrapheneOS sind mir nicht bekannt ich[br]glaube es gab noch keine das heißt aber

0:55:11.600,0:55:15.400
natürlich nicht dass es nicht welche gab,[br]also es ist natürlich trotzdem möglich

0:55:15.400,0:55:17.800
eventuell sind die Exploit chains dann[br]eben teurer.

0:55:17.800,0:55:23.080
Herald: okay dann bitte Mik 1.[br]Frage: Ja hallo meine Frage schließt genau

0:55:23.080,0:55:28.640
dort an, bei griffino gibt's ja diese[br]Auditor App die auch von denen selbst

0:55:28.640,0:55:32.320
bereitgestellt wird, habt ihr damit[br]irgendwelche Erfahrungen, macht das Sinn,

0:55:32.320,0:55:36.320
vertraut ihr auch diesem attention Service[br]den die selbst betreiben?

0:55:36.320,0:55:42.000
Antwort: Genau es gibt diese Auditor App[br]die eben verifiziert dass dein

0:55:42.000,0:55:44.920
Betriebssystem noch dein Betriebssystem[br]ist und macht das auch über Remote

0:55:44.920,0:55:49.680
attestation, das heißt du hast eine[br]kryptographische Challenge die du nur

0:55:49.680,0:55:55.000
lösen kannst wenn dein Betriebssystem[br]nicht manipuliert wurde und du Zugriff auf

0:55:55.000,0:55:58.520
gewisse Keys hast und das überprüft ein[br]externer Service und der schickt

0:55:58.520,0:56:01.720
dir dann ja eine E-Mail mit so[br]Totmannschalterprinzip, wenn das nicht

0:56:01.720,0:56:07.160
geklappt hat. Das ist auf jeden Fall eine[br]coole Lösung, kann ich empfehlen das zu

0:56:07.160,0:56:10.800
benutzen wenn du dem Server von griffinOS[br]nicht vertraust kann man ja zum Glück

0:56:10.800,0:56:15.840
selber einen betreiben. Wir haben uns auch[br]z.B mal überlegt so ein zu betreiben und

0:56:15.840,0:56:20.200
JournalistInnen anzubieten haben das jetzt[br]noch nicht umgesetzt aber du kannst ja

0:56:20.200,0:56:24.600
auch ein betreiben und auch öffentlich[br]stellen oder andere Organisationen können

0:56:24.600,0:56:28.120
das machen, das ist auf jeden Fall auch[br]eine gute Methode um mitzukriegen wann man

0:56:28.120,0:56:30.980
eventuell so ein Angriff ausgesetzt wurde.[br]Frage: Cool danke.

0:56:30.980,0:56:33.820
Herald: Danke die nächste Frage aus dem[br]Internet bitte.

0:56:33.820,0:56:38.640
Frage: Das Internet möchte noch wissen wie[br]sich das beim iPhone verhält, wenn die

0:56:38.640,0:56:42.280
Methoden die ja hauptsächlich auf dem[br]Backup und auf Fehlern von Angreifern

0:56:42.280,0:56:46.200
beruhen in der Forensik, wenn sich die[br]Angreifer verbessern und weniger Fehler

0:56:46.200,0:56:48.500
machen welche Auswirkung das dann haben[br]würde?

0:56:48.500,0:56:54.120
Antwort: Also na ja das ist das deshalb[br]gab es eine Folie mit dem Namen Katz und

0:56:54.120,0:56:59.320
Mauspiel so ist bis jetzt ist der Zustand[br]noch nicht eingetreten, dass Leute es

0:56:59.320,0:57:05.840
geschafft haben völlig spurenfreie Spyware[br]zu schreiben, aber das Problem ist also

0:57:05.840,0:57:09.600
wenn man davon ausgeht Leute haben[br]beliebig viel Zeit und beliebig viel Geld

0:57:09.600,0:57:14.640
um beliebig viele Exploits zu kaufen um[br]Sicherheitsmechanismen auszubrechen ist es

0:57:14.640,0:57:19.040
natürlich technisch möglich, dass wir es[br]irgendwann mit zweibytes zu tun haben die

0:57:19.040,0:57:23.440
einfach keine Spuren mehr hinterlässt. So[br]das würde vielleicht immer noch im

0:57:24.160,0:57:28.920
Netzwerk Traffic würde man Sachen sehen[br]aber auch das kann man ja irgendwie

0:57:28.920,0:57:33.760
beliebig kompliziert verstecken, deshalb[br]ja wir haben kein Anrecht darauf man hat

0:57:33.760,0:57:40.440
kein Anrecht darauf etwas finden zu können[br]und ja bis jetzt geht es aber das ist

0:57:40.440,0:57:45.040
ungeklärt und eigentlich eine Sache je[br]mehr Geld da reingesteckt wird in dieses

0:57:45.040,0:57:48.120
Spyunternehmen und vor allem auch je[br]schlechter die europäischen

0:57:48.120,0:57:52.560
Exportkontrollen funktionieren und das[br]Geld dann da tatsächlich auch reinwandert

0:57:52.560,0:57:56.320
ja desto schlechter sieht es eigentlich[br]aus mit der der Sicherheit von Menschen

0:57:56.320,0:58:00.800
in der Zivilgesellschaft. Aber was da[br]natürlich wünschenswert wäre ist wenn z.B

0:58:00.800,0:58:05.200
iPhones auch so ein Remote adjustation[br]Feature hätten, das könnte natürlich eine

0:58:05.200,0:58:12.760
Möglichkeit sein ja und aber natürlich[br]arbeitet Apple auch weiter in Ihrem

0:58:12.760,0:58:19.000
Betriebssystem und dann kann es auch sein[br]dass wieder irgendwo Spuren auftauchen die

0:58:19.000,0:58:22.980
es vorher noch nicht gab.[br]Herald: Mik 3 bitte.

0:58:22.980,0:58:28.200
Frage: Hallo guten Morgen, kurze Frage ich[br]habe letztens glaube ich gelesen dass

0:58:28.200,0:58:34.240
Microsoft eingeklagt hat einen neuen Store[br]auf iOS veröffentlichen zu dürfen, würde

0:58:34.240,0:58:37.960
das also wie würde die Frage dazu wie[br]würde das die Forensik bzw die

0:58:37.960,0:58:44.120
Exploitmöglichkeiten von iOS verändern?[br]Antwort: Ich glaube das hängt vor allem

0:58:44.120,0:58:49.600
davon ab wie die das genau umsetzen[br]würden. Angenommen es gibt dann genau zwei

0:58:49.600,0:58:58.400
App Stores vielleicht erstmal nicht so[br]stark angenommen es gibt Siteloading, dann

0:58:58.400,0:59:01.680
gehen diese ganzen Sachen auf[br]Analysetechniken auf die man auch bei

0:59:01.680,0:59:07.920
Android die wir gezeigt haben mit, welche[br]Apps wurden da jetzt selber installiert.

0:59:07.920,0:59:13.160
Es vielleicht fallen diese also es gibt ja[br]Mechanismen die eigentlich dazu führen

0:59:13.160,0:59:17.200
sollen dass nur gutartige und nette Apps[br]im Apple App Store landen und keine

0:59:17.200,0:59:20.880
bösartigen, eventuell gibt's dann ganz[br]viele, aber das jetzt alles Spekulation,

0:59:20.880,0:59:23.760
also ich glaub da muss man einfach gucken[br]was passiert und wie das genau umgesetzt

0:59:23.760,0:59:28.160
wird ja.[br]Herald: Mikrofon 1 bitte.

0:59:28.160,0:59:33.440
Frage: Ja Frage eher an Janiik[br]wahrscheinlich, was hältst du von dem work

0:59:33.440,0:59:39.360
Mode in Android wo man so also manche[br]verwenden um Apps zu installieren die zu

0:59:39.360,0:59:43.120
den man irgendwie gezwungen wird und die[br]man aber eigentlich nicht mehr angucken

0:59:43.120,0:59:47.840
möchte. Kann man das machen oder kann man[br]sich die Mühe da auch sparen und we was

0:59:47.840,0:59:50.780
ich ein zweites Handy nehmen oder gar kein[br]Handy?

0:59:50.780,0:59:58.080
Antwort: Da kann ich dir die Dokumentation[br]von Griffinos empfehlen der workmode ist ja nur ein

0:59:58.080,1:00:03.280
besonderer sekundärer Benutzermodus also[br]du hast ja auf Android generell die

1:00:03.280,1:00:07.640
Möglichkeit keinen sekundäre Benutzer zu[br]erstellen und für die z.B auch eigene

1:00:07.640,1:00:12.040
Passwörter zu wählen und die haben dann[br]auch andere Keys für die filebased

1:00:12.040,1:00:16.680
encryption das heißt wenn man das eine[br]Passwort knacken würde, würde man

1:00:16.680,1:00:20.440
eventuell nicht auf die sekundären Nutzer[br]zugreifen was auch ein cooles Feature ist

1:00:20.440,1:00:24.600
und z.B auch hilfreich sein kann für[br]Grenzkontrollen mit so entsperen man dein

1:00:24.600,1:00:28.040
Hand und dann entsperst du nur einen[br]Benutzer nicht den anderen und da könnte

1:00:28.040,1:00:31.840
man auch coole Sachen bauen wie z.B mit[br]einem password was anderes entsperren als

1:00:31.840,1:00:36.240
beim anderen ähnlich wie be veracrypt und[br]der workmode ist ja nur ein Shortcut dass

1:00:36.240,1:00:39.800
ich nicht erst den Benutzer wechseln muss[br]um diese App zu starten sondern ich habe

1:00:39.800,1:00:44.560
die App dann automatisch in meinem[br]primären Benutzerprofil und die startet

1:00:44.560,1:00:50.640
sich dann automatisch in in diesem[br]sekundären Benutzer ja und das ist eine

1:00:50.640,1:00:54.480
zusätzliche Isolation also das ja[br]normalerweise sowieso App Sandbox auf

1:00:54.480,1:00:58.080
Android und die Apps können nur[br]miteinander kommunizieren wenn Sie beide

1:00:58.080,1:01:02.280
Zugriff auf den gleichen Datei[br]Speeicherort haben musst du die Permission

1:01:02.280,1:01:05.240
geben oder wenn Sie beide anmelden ich[br]möchte mit der App kommunizieren die

1:01:05.240,1:01:09.080
andere meldet auch an ich möchte mit der[br]App kommunizieren, dann können Sie so eine

1:01:09.080,1:01:13.680
Art Interprozesskommunikation machen und[br]sowas würdest du unterbinden z.B wenn du

1:01:13.680,1:01:18.760
den workmode benutzt. Also dann könnte[br]nicht die App im workmode auf die anderen

1:01:18.760,1:01:23.120
Apps zugreifen ja kann man benutzen auf[br]jeden Fall für Separierung.

1:01:23.120,1:01:26.280
Frage: Gut danke.[br]Herald: Die Zeit für Fragen ist leider

1:01:26.280,1:01:29.960
vorbei ich merke es ist noch großes[br]Interesse da, ihr seid in einer Stunde im

1:01:29.960,1:01:34.800
Workshop verfügbar Halle H, bitte einen[br]riesen Applaus für Janik Besendorf und

1:01:34.800,1:01:36.687
Viktor Schlüter.

1:01:36.687,1:01:44.316
<i>Applaus</i>

1:01:44.316,1:02:00.793
<i>Abspannmusik</i>

1:02:00.793,1:02:02.560
Untertitel von vielen vielen Freiwilligen und dem[br]C3Subtitles Team erstellt. Mach mit und hilf uns!