[Script Info] Title: [Events] Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text Dialogue: 0,0:00:00.00,0:00:13.35,Default,,0000,0000,0000,,{\i1}37C3 Vorspannmusik{\i0} Dialogue: 0,0:00:13.35,0:00:19.84,Default,,0000,0000,0000,,Herald: Unser nächster Vortrag Einführung\Nin die Small Smartphone Malware Forensics Dialogue: 0,0:00:19.84,0:00:25.00,Default,,0000,0000,0000,,sorry für den Versprecher wird gehalten\Nvon Viktor Schlüter und Janik Besendorf. Dialogue: 0,0:00:25.00,0:00:30.72,Default,,0000,0000,0000,,Die beiden sind beim Digital Security Lab\Nvon Reporter ohne Grenzen. Bitte begrüßt Dialogue: 0,0:00:30.72,0:00:42.79,Default,,0000,0000,0000,,die beiden zu ihrem Vortrag.\N{\i1}Applaus{\i0} Dialogue: 0,0:00:42.79,0:00:46.92,Default,,0000,0000,0000,,Viktor: Ja vielen Dank! Hallo hört man\Nmich? Dialogue: 0,0:00:46.92,0:00:51.08,Default,,0000,0000,0000,,Janik: Ja jetzt vielen Dank für die schöne\NVorstellung es freut uns dass so viele Dialogue: 0,0:00:51.08,0:00:55.08,Default,,0000,0000,0000,,gekommen sind und der Raum voll geworden\Nist. Er ist Viktor ich bin Janik in Dialogue: 0,0:00:55.08,0:00:59.57,Default,,0000,0000,0000,,unserem Talk geht's um Smartphone Malware\NForensic also wie man Malware das ist Dialogue: 0,0:00:59.57,0:01:05.76,Default,,0000,0000,0000,,jegliche Schadsoftware seines\NStaatstrojaner, Stalker-ware, Adware auf Dialogue: 0,0:01:05.76,0:01:15.44,Default,,0000,0000,0000,,Smartphones finden kann. Und genau ist ein\NEinführungsvortrag ja und dazu erzählen Dialogue: 0,0:01:15.44,0:01:18.64,Default,,0000,0000,0000,,wir euch jetzt was. Wir arbeiten beim\NDigital Security Lab bei Reporter ohne Dialogue: 0,0:01:18.64,0:01:24.62,Default,,0000,0000,0000,,Grenzen. Wir wurden vor eineinhalb Jahren\Ngegründet. Wir beschäftigen uns mit der IT Dialogue: 0,0:01:24.62,0:01:28.32,Default,,0000,0000,0000,,Sicherheit von JournalistInnen weltweit,\Nwir bieten z.B auch IT Dialogue: 0,0:01:28.32,0:01:32.32,Default,,0000,0000,0000,,Sicherheitstrainings an und was wir\Nhauptsächlich machen ist wir analysieren Dialogue: 0,0:01:32.32,0:01:38.20,Default,,0000,0000,0000,,digitale Angriffe auf JournalistInnen, das\Nsind z.B Accountübernahmen aber der Dialogue: 0,0:01:38.20,0:01:42.92,Default,,0000,0000,0000,,Hauptfokus sind Angriffe mit\NStaatstrojanern auch bekannt als Spyware Dialogue: 0,0:01:42.92,0:01:48.12,Default,,0000,0000,0000,,und da machen wir Forschung dazu und man\Nkann sich an uns wenden, wenn man der Dialogue: 0,0:01:48.12,0:01:52.24,Default,,0000,0000,0000,,Meinung ist, man ist vielleicht zu einem\NAngriff ausgesetzt worden und dann führen Dialogue: 0,0:01:52.24,0:01:56.84,Default,,0000,0000,0000,,wir eine forensische Analyse durch und\NSchreiben gegebenfalls ein Bericht dazu Dialogue: 0,0:01:56.84,0:02:02.44,Default,,0000,0000,0000,,und warum das wichtig ist, ist eben weil\Ndigital Angriffe meistens im Verborgenen Dialogue: 0,0:02:02.44,0:02:06.24,Default,,0000,0000,0000,,bleiben. Also wenn jemand einen\NStaatstrojaner auf eurem Smartphone Dialogue: 0,0:02:06.24,0:02:09.04,Default,,0000,0000,0000,,installiert dann merkt ihr das\Nnormalerweise nicht, das ist ja auch das Dialogue: 0,0:02:09.04,0:02:12.36,Default,,0000,0000,0000,,Ziel davon, ähnlich wie bei einer\NTelefonüberwachung das merkt ihr auch Dialogue: 0,0:02:12.36,0:02:17.40,Default,,0000,0000,0000,,nicht und deswegen ist es umso wichtiger\Ndass forensische Analysen stattfinden dass Dialogue: 0,0:02:17.40,0:02:21.72,Default,,0000,0000,0000,,man sowas nachweist um es zu\Ndokumentieren, zu veröffentlichen und die Dialogue: 0,0:02:21.72,0:02:26.68,Default,,0000,0000,0000,,Angreifer dann zur Verantwortung zu\Nziehen. Das waren z.B erst kürzlich Dialogue: 0,0:02:26.68,0:02:36.64,Default,,0000,0000,0000,,möglich bei einem Fall in Aserbaidschan,\Nwo wir einen Pegasus Angriff bei einer Dialogue: 0,0:02:36.64,0:02:41.76,Default,,0000,0000,0000,,Journalistin nachweisen konnten. Das ist\Nnatürlich nicht der einzige solche Dialogue: 0,0:02:41.76,0:02:45.80,Default,,0000,0000,0000,,Angriffe davon gibt's jede Menge, hier\Nsind aus den letzten drei Jahren einige Dialogue: 0,0:02:45.80,0:02:49.92,Default,,0000,0000,0000,,Pressemitteilungen von\NStaatstrojanerangriffen über Pegasus Dialogue: 0,0:02:49.92,0:02:56.52,Default,,0000,0000,0000,,Predator, wer das herstellt, wie das heißt\Nist am Ende zweitrangig. Ein Bericht ist Dialogue: 0,0:02:56.52,0:03:01.84,Default,,0000,0000,0000,,von gestern in Indien, wo JournalistInnen\Nund OppositionspolitikerInnen angegriffen Dialogue: 0,0:03:01.84,0:03:07.40,Default,,0000,0000,0000,,wurden mit Pegasus, das war eine Recherche\Nvon Amnesty Tech wo wir auch mithelfen Dialogue: 0,0:03:07.40,0:03:12.92,Default,,0000,0000,0000,,konnten. Genau und als nächstes erzählt\Neuch Viktor etwas zu den Besonderheiten Dialogue: 0,0:03:12.92,0:03:19.32,Default,,0000,0000,0000,,von Smartphone Forensic.\NV: Test test cool hallo ja wie Ihr Dialogue: 0,0:03:19.32,0:03:22.16,Default,,0000,0000,0000,,vielleicht gesehen habt wir haben die\NFolien auf Englisch gemacht damit es für Dialogue: 0,0:03:22.16,0:03:25.60,Default,,0000,0000,0000,,die Leute die die Übersetzung gucken\Nleichter ist, aber erzählen es auf Dialogue: 0,0:03:25.60,0:03:29.72,Default,,0000,0000,0000,,Deutsch. Ich hoffe auch ich für meinen\NTeil werd nicht zu viel in so Dialogue: 0,0:03:29.72,0:03:35.32,Default,,0000,0000,0000,,englischdeutsch cauder Welsch rutschen, ja.\NEs gibt ein paar Grundlagen die wir Dialogue: 0,0:03:35.32,0:03:38.24,Default,,0000,0000,0000,,dachten, die vielleicht sinnvoll sind,\Nwenn wir sie erzählen und hier Dialogue: 0,0:03:38.24,0:03:44.00,Default,,0000,0000,0000,,zusammenfassen. Zum einen Computer\Nforensics so das klassische Spiel wie man Dialogue: 0,0:03:44.00,0:03:48.72,Default,,0000,0000,0000,,es kennt und Smartphone Malware forensic\Nfunktionieren relativ unterschiedlich oder Dialogue: 0,0:03:48.72,0:03:51.96,Default,,0000,0000,0000,,es gibt so ein paar einfach größere\NUnterschiede, wie die Spiele Dialogue: 0,0:03:51.96,0:03:56.72,Default,,0000,0000,0000,,funktionieren. Viele von euch haben\Nvielleicht schon von dem klassischen Modus Dialogue: 0,0:03:56.72,0:04:01.12,Default,,0000,0000,0000,,gehört, das ist so, man hat einen Server\Nund da ist was passiert und da ist eine Dialogue: 0,0:04:01.12,0:04:05.56,Default,,0000,0000,0000,,Festplatte drin und davon zieht man sich\Nein Image und also von physisch von allen Dialogue: 0,0:04:05.56,0:04:10.12,Default,,0000,0000,0000,,Blocks auf Blog ebene und das lädt man dann in\Nforensic Software rein und dann guckt man Dialogue: 0,0:04:10.12,0:04:16.60,Default,,0000,0000,0000,,sich das Dateisystem an und schaut was da\Npassiert ist. Was man generell mit Dialogue: 0,0:04:16.60,0:04:20.12,Default,,0000,0000,0000,,Smartphones macht und vor allem auch was\Nwir mit Smartphones machen ist anders, Dialogue: 0,0:04:20.12,0:04:25.64,Default,,0000,0000,0000,,erstens weil moderne Smartphone\NBetriebssysteme alle eigentlich filebased Dialogue: 0,0:04:25.64,0:04:30.20,Default,,0000,0000,0000,,encryption haben, das heißt auf physischer\NEbene ist das gar nicht mehr interessant, Dialogue: 0,0:04:30.20,0:04:33.52,Default,,0000,0000,0000,,weil jede Datei mit einem anderen\NSchlüssel verschlüsselt ist und wenn der Dialogue: 0,0:04:33.52,0:04:37.16,Default,,0000,0000,0000,,Schlüssel weg ist kann man auch die Datei\Nnicht mehr rankommen, das heißt gelöschte Dialogue: 0,0:04:37.16,0:04:42.08,Default,,0000,0000,0000,,Dateien ist sowieso nicht. Dann ist die\Nnächste Sache, dass Smartphones gar keine Dialogue: 0,0:04:42.08,0:04:46.88,Default,,0000,0000,0000,,Funktion haben zu sagen hier ist übrigens\Ndas gesamte Dateisystem, also hier sind Dialogue: 0,0:04:46.88,0:04:51.48,Default,,0000,0000,0000,,alle Dateien, die in meinem Speicher\Ngerade liegen. Es gibt Menschen die tun Dialogue: 0,0:04:51.48,0:04:54.12,Default,,0000,0000,0000,,das die Arbeiten für Strafverfolgungs-\NBehörden und die benutzen Dialogue: 0,0:04:54.12,0:04:57.88,Default,,0000,0000,0000,,dafür Exploits, das ist aber richtig\NKacke, weil das macht die Welt unsicherer Dialogue: 0,0:04:57.88,0:05:04.28,Default,,0000,0000,0000,,weil das ist auch Teil von diesem Exploits\Nverkaufen sowas Spiel. Zwei große Firmen Dialogue: 0,0:05:04.28,0:05:10.48,Default,,0000,0000,0000,,eine heißt der Celebrite die das anbieten,\Ndas machen wir auf gar keinen Fall, wir Dialogue: 0,0:05:10.48,0:05:15.00,Default,,0000,0000,0000,,nennen das zivile Forensic also in ein ein\Nvernehmen mit den Menschen denen die Dialogue: 0,0:05:15.00,0:05:19.04,Default,,0000,0000,0000,,Geräte gehören und wenn man das aus so\Neiner zivilgesellschaftlichen Richtung Dialogue: 0,0:05:19.04,0:05:22.72,Default,,0000,0000,0000,,machen möchte muss man sich mit dem\Nzufrieden geben, was aus dem Handy Dialogue: 0,0:05:22.72,0:05:27.36,Default,,0000,0000,0000,,rauskommt. Und das sind dann so\NDiagnoseinformationen und da kommt die Dialogue: 0,0:05:27.36,0:05:33.48,Default,,0000,0000,0000,,Besonderheit dass man natürlich überhaupt\Nnicht überprüfen kann ob das jetzt stimmt, Dialogue: 0,0:05:33.48,0:05:38.32,Default,,0000,0000,0000,,weil man muss einfach den Informationen\Nvertrauen die aus dem Handy rauspzeln und Dialogue: 0,0:05:38.32,0:05:41.40,Default,,0000,0000,0000,,technisch gesehen wäre es natürlich\Nmöglich dass Schadsoftware auf dem Handy Dialogue: 0,0:05:41.40,0:05:45.52,Default,,0000,0000,0000,,aktiv ist die diese Informationen\Nverändert. Das heißt auch das muss man Dialogue: 0,0:05:45.52,0:05:51.48,Default,,0000,0000,0000,,einfach auf dem Schirm haben, das wäre\Nmöglich. Dann ist eine wichtige Sache, oft Dialogue: 0,0:05:51.48,0:05:55.16,Default,,0000,0000,0000,,wird so getan als wäre Malware and Spyware\Nverschiedene Sachen oder es wäre so Dialogue: 0,0:05:55.16,0:05:59.52,Default,,0000,0000,0000,,Malware Spyware das kleine Geschwisterkind\Nvon der Malware und weniger schlimm, Dialogue: 0,0:05:59.52,0:06:03.92,Default,,0000,0000,0000,,bisschen so wie Quellen TKÜ und online\NDurchsuchung und das eine ist ja nur auf Dialogue: 0,0:06:03.92,0:06:09.28,Default,,0000,0000,0000,,die Messenger Nachrichten zugreifen, das\Nist natürlich Quatsch, sobald man als Dialogue: 0,0:06:09.28,0:06:13.52,Default,,0000,0000,0000,,Schadsoftware in der Lage sein möchte auf\Nirgendetwas zuzugreifen was das Dialogue: 0,0:06:13.52,0:06:17.96,Default,,0000,0000,0000,,Betriebssystem nicht erlaubt hat, musst du\NSystemprivilegien haben, musst du auf Dialogue: 0,0:06:17.96,0:06:23.08,Default,,0000,0000,0000,,alles Zugriff haben können und das ist\Nauch der Fall. Das heißt Spyware ist auch Dialogue: 0,0:06:23.08,0:06:26.52,Default,,0000,0000,0000,,immer Malware und Spyware, lasst euch\Nniemand von niemand irgendwas anderes Dialogue: 0,0:06:26.52,0:06:30.52,Default,,0000,0000,0000,,erzählen, Spyware ist auch immer in der\NLage beliebige zu verändern, beliebige Dialogue: 0,0:06:30.52,0:06:36.04,Default,,0000,0000,0000,,Dateien zu löschen, beliebige Dateien neu\Nhinzuzufügen, das hat riesig große Dialogue: 0,0:06:36.04,0:06:38.16,Default,,0000,0000,0000,,Konsequenzen eigentlich für die\NStrafverfolgung, weil man gar nicht Dialogue: 0,0:06:38.16,0:06:42.04,Default,,0000,0000,0000,,richtig zeigen kann dass ein Handy was mit\NSpyware gehackt wurde nicht auch noch Dialogue: 0,0:06:42.04,0:06:45.64,Default,,0000,0000,0000,,irgendwelche anderen Spuren, irgendwelche\Nanderen Dateien hinterlegt wurden das Dialogue: 0,0:06:45.64,0:06:49.04,Default,,0000,0000,0000,,würde man vermutlich auch gar nicht finden\Nsobald man ein Handy kompromittiert hat, Dialogue: 0,0:06:49.04,0:06:53.36,Default,,0000,0000,0000,,hat man das vollständig kompromittiert und\Nman kann eigentlich nichts mehr vertrauen, Dialogue: 0,0:06:53.36,0:06:58.40,Default,,0000,0000,0000,,was an Dateien darum liegt. Das Einzige\Nweshalb man überhaupt dann Spyware finden Dialogue: 0,0:06:58.40,0:07:02.32,Default,,0000,0000,0000,,kann, ist dass es natürlich auch sehr viel\Nfleißig und sehr viel Arbeit erfordert Dialogue: 0,0:07:02.32,0:07:06.72,Default,,0000,0000,0000,,alle Spuren zu vernichten, die man als\NSpyware hinterlässt und das ist Dialogue: 0,0:07:06.72,0:07:17.12,Default,,0000,0000,0000,,glücklicherweise nicht der Fall. Man kann\Nunterscheiden in zwei Arten von Malware Dialogue: 0,0:07:17.12,0:07:21.80,Default,,0000,0000,0000,,und hier ist leider irgendwas\Ninteressantes passiert, weil da ist da Dialogue: 0,0:07:21.80,0:07:25.84,Default,,0000,0000,0000,,muss eigentlich eine Kröte sein,\Nvielleicht da da ist die Kröte genau. Ich Dialogue: 0,0:07:25.84,0:07:29.32,Default,,0000,0000,0000,,weiß nicht was mit der Folie aber\Njedenfalls es gibt zwei Arten von Malware, Dialogue: 0,0:07:29.84,0:07:34.00,Default,,0000,0000,0000,,solche mit Exploits und solche ohne\NExploits. Und das Interessante daran ist Dialogue: 0,0:07:34.00,0:07:38.52,Default,,0000,0000,0000,,nur Malware mit Exploits kann aus der\NSandbox raushüpfen. Das kann man sich Dialogue: 0,0:07:38.52,0:07:45.60,Default,,0000,0000,0000,,vorstellen, ok wow, das kann man sich\Nvorstellen wie Tierchen die in Dialogue: 0,0:07:45.60,0:07:50.60,Default,,0000,0000,0000,,Plastikeimern sind und zwar das eine Tier\Nkann aus dem Plastikeimer raushüpfen Dialogue: 0,0:07:50.60,0:07:55.00,Default,,0000,0000,0000,,nämlich die Kröte, das andere kann es\Nnicht die Schildkröte. Und zwar dieser Dialogue: 0,0:07:55.00,0:07:58.88,Default,,0000,0000,0000,,Plastikeimer ist die Sandbox und nur wenn\Nman aus der Sandbox raushüpfen kann, ist Dialogue: 0,0:07:58.88,0:08:04.88,Default,,0000,0000,0000,,man in in der Lage auf Information Daten\NSystemressourcen zuzugreifen, was dir das Dialogue: 0,0:08:04.88,0:08:09.76,Default,,0000,0000,0000,,Smartphone Betriebssystem eigentlich nicht\Nerlaubt. Und die Dinge, die raushüpfen Dialogue: 0,0:08:09.76,0:08:15.04,Default,,0000,0000,0000,,können das ist eben die die Spyware, die\Nzu Spionage Zwecken von staatlichen Dialogue: 0,0:08:15.04,0:08:19.48,Default,,0000,0000,0000,,Akteuren benutzt wird und das Interessante\Nist hier diese Eploits sind sehr sehr Dialogue: 0,0:08:19.48,0:08:26.16,Default,,0000,0000,0000,,teuer. Also wenn man so eine Exploit chain\Nfür Smartphone Betriebssystem ist in der Dialogue: 0,0:08:26.16,0:08:31.04,Default,,0000,0000,0000,,Größenordnung von mehreren Millionen Euro\Nteuer, das heißt das ist eine Sache das Dialogue: 0,0:08:31.04,0:08:35.20,Default,,0000,0000,0000,,passiert in diesem Kontext von staatliche\NÜberwachung, staatliche Akteure, das ist Dialogue: 0,0:08:35.20,0:08:40.16,Default,,0000,0000,0000,,aber eigentlich nichts was man jetzt\Nerwarten würde im Kontext von Stalker-ware. Dialogue: 0,0:08:40.16,0:08:44.48,Default,,0000,0000,0000,,Auf der anderen Seite genau gibt es\NMalware die keine Exploits hat und damit Dialogue: 0,0:08:44.48,0:08:48.68,Default,,0000,0000,0000,,auch fein ist und keine haben möchte und\Ndie mehr darüber lebt dass sie über andere Dialogue: 0,0:08:48.68,0:08:53.48,Default,,0000,0000,0000,,Zwecke über andere Wege auf dem Handy\Ninstalliert wird und sich einfach damit Dialogue: 0,0:08:53.48,0:08:59.68,Default,,0000,0000,0000,,zufrieden gibt was das Betriebssystem\Nanbietet an Möglichkeiten. Kröte wieder Dialogue: 0,0:08:59.68,0:09:07.60,Default,,0000,0000,0000,,weg. Da ist sie rausgehüpft. Es geben vier\NArten von Malware gehen dann auch mit Dialogue: 0,0:09:07.60,0:09:10.68,Default,,0000,0000,0000,,dieser Unterscheidung, also das eine sind\Ndie mit Exploits das andere sind die ohne Dialogue: 0,0:09:10.68,0:09:15.16,Default,,0000,0000,0000,,Exploits und dann haben wir Sachen für iOS\Nund für Android und dadurch, dass das IOS Dialogue: 0,0:09:15.16,0:09:19.96,Default,,0000,0000,0000,,und das Android Betriebssystem ziemlich\Nunterschiedlich ist, gibt es da auch keine Dialogue: 0,0:09:19.96,0:09:24.88,Default,,0000,0000,0000,,Kompabilität, sondern das ist wirklich\Nalso die Spiele Malware zu entwickeln für Dialogue: 0,0:09:24.88,0:09:27.08,Default,,0000,0000,0000,,die eine Plattform und die andere\NPlattform funktionieren relativ Dialogue: 0,0:09:27.08,0:09:31.12,Default,,0000,0000,0000,,unterschiedlich, weil die Plattformen\Neinfach ein bisschen verschieden sind und Dialogue: 0,0:09:31.12,0:09:38.84,Default,,0000,0000,0000,,deshalb gehen so ein bisschen vier Arten\Nvon Malware auf. Genau, die obere Linie Dialogue: 0,0:09:38.84,0:09:42.24,Default,,0000,0000,0000,,das sind die Schildkröten, die können\Nnicht aus Sandboxes raushüpfen, die sind Dialogue: 0,0:09:42.24,0:09:46.84,Default,,0000,0000,0000,,da darauf angewiesen als aus der Sicht der\NMalware, was das Betriebssystem Ihnen Dialogue: 0,0:09:46.84,0:09:51.84,Default,,0000,0000,0000,,erlaubt. Und das sieht so aus, dass bei\NiPhones gibt es kein Zeit loading Dialogue: 0,0:09:51.84,0:09:57.68,Default,,0000,0000,0000,,zumindest aktuell zeitloading bedeutet,\Ndass man selber Apps installieren kann Dialogue: 0,0:09:57.68,0:10:01.12,Default,,0000,0000,0000,,ohne dass die aus dem AppStore kommen,\Nalso dass man selber eine Programmdatei in Dialogue: 0,0:10:01.12,0:10:04.44,Default,,0000,0000,0000,,der Hand haben kann und sagen kann liebes\NHandy installiere die bitte. Das geht bei Dialogue: 0,0:10:04.44,0:10:10.08,Default,,0000,0000,0000,,iPhones nicht. Alle Apps müssen durch den\NAppStore durch. Und da gibt es auch Dialogue: 0,0:10:10.08,0:10:15.36,Default,,0000,0000,0000,,Anforderungen und so und die was eine App\Nmaximal können darf das ist auch Dialogue: 0,0:10:15.36,0:10:21.68,Default,,0000,0000,0000,,einigermaßen eingeschränkt und es ist\Naktuell zumindest auch nicht möglich ein Dialogue: 0,0:10:21.68,0:10:29.08,Default,,0000,0000,0000,,iPhone zu routen also genau, also die\NSystemprivilegien, die sich jetzt Dialogue: 0,0:10:29.08,0:10:32.72,Default,,0000,0000,0000,,Mechanismen auser Kraft zu setzen und\NVollzugriff auf das ganze Handy zu Dialogue: 0,0:10:32.72,0:10:37.64,Default,,0000,0000,0000,,erhalten, was natürlich aus der Sicht von\Nso Stalker-ware auch sehr interessant ist. Dialogue: 0,0:10:37.64,0:10:41.12,Default,,0000,0000,0000,,Bei Android hingegen ist das so das\NSiteloading also das Installieren von Dialogue: 0,0:10:41.12,0:10:46.92,Default,,0000,0000,0000,,eigenen Apps, das geht. Es gibt ein paar\Nmehr Permissions könnte man jetzt auch Dialogue: 0,0:10:46.92,0:10:51.72,Default,,0000,0000,0000,,drüber streiten, was man so als App können\Ndarf. Die ganzen interessanten Sachen muss Dialogue: 0,0:10:51.72,0:10:57.00,Default,,0000,0000,0000,,man natürlich als App aber auch Anfragen\Nvon hey darf ich das bitte tun und es ist Dialogue: 0,0:10:57.00,0:11:02.08,Default,,0000,0000,0000,,in vielen Fällen auch möglich das Handy zu\NRouten allerdings aber erst meistens Dialogue: 0,0:11:02.08,0:11:05.64,Default,,0000,0000,0000,,nachdem man die Inhalte von dem Handy\Ngelöscht hat. Also es ist jetzt nicht so Dialogue: 0,0:11:05.64,0:11:09.12,Default,,0000,0000,0000,,interessant ein Handy zu routen um\Nirgendwie auf das ganze Dateisystem Dialogue: 0,0:11:09.12,0:11:14.32,Default,,0000,0000,0000,,zuzugreifen, was da drauf ist, sondern es\Nist im Fall von Stalker-ware es ist eine Dialogue: 0,0:11:14.32,0:11:20.40,Default,,0000,0000,0000,,Möglichkeit dass TäterInnen das Handy erst\NRouten und dann das Stalker-ware drauf Dialogue: 0,0:11:20.40,0:11:26.12,Default,,0000,0000,0000,,installieren und die dann Rootzugriff hat.\NIn der Version mit Exploit sieht das ein Dialogue: 0,0:11:26.12,0:11:32.40,Default,,0000,0000,0000,,bisschen anders aus da ist es auf iOS\NGeräten, es es passiert es immer wieder Dialogue: 0,0:11:32.40,0:11:39.00,Default,,0000,0000,0000,,mal dass Spyware detektiert wird, erkannt\Nwird, bewiesen werden kann dass ein Dialogue: 0,0:11:39.00,0:11:45.40,Default,,0000,0000,0000,,Angriff mit Spyware erfolgt ist. Es\Nist relativ komplex an die binary Dialogue: 0,0:11:45.40,0:11:51.12,Default,,0000,0000,0000,,ranzukommen, an die an die eigentliche\NProgrammdatei von der Malware. Ich weiß Dialogue: 0,0:11:51.12,0:11:55.24,Default,,0000,0000,0000,,nicht wer von euch in dem Operation\NTriangulation Vortrag war, das waren so Dialogue: 0,0:11:55.24,0:12:01.36,Default,,0000,0000,0000,,gefühlte 20 Schritte von stages und\NSicherheitsmechanismen und irgendwelchen Dialogue: 0,0:12:01.36,0:12:07.20,Default,,0000,0000,0000,,anderen Sachen bis dann final die\Neigentliche Datei auf dem Handy gelandet Dialogue: 0,0:12:07.20,0:12:12.16,Default,,0000,0000,0000,,ist. Vermutlich weil die verhindern\Nwollten dass Leute die eigentliche Spyware Dialogue: 0,0:12:12.16,0:12:14.92,Default,,0000,0000,0000,,haben und analysieren können rauskriegen\Nkönnen, ja was tut sie denn jetzt Dialogue: 0,0:12:14.92,0:12:22.20,Default,,0000,0000,0000,,eigentlich. Und dadurch dass das alles so\Nein bisschen im Verborgenen passiert, Dialogue: 0,0:12:22.20,0:12:28.61,Default,,0000,0000,0000,,diese Exploits werden gehandelt auf einem\NGrau- bis Schwarz-markt und vor allem Dialogue: 0,0:12:28.61,0:12:35.08,Default,,0000,0000,0000,,dadurch dass Leute, die mit Exploits\NGeräte angegriffen haben und Dialogue: 0,0:12:35.08,0:12:39.00,Default,,0000,0000,0000,,kompromittiert haben, technisch gesehen in\Nder Lage sind alles mögliche an diesem Dialogue: 0,0:12:39.00,0:12:44.32,Default,,0000,0000,0000,,Gerät zu manipulieren und zu verändern. Es\Nes ein relativ komplexes und Dialogue: 0,0:12:44.32,0:12:50.08,Default,,0000,0000,0000,,undurchsichtiges Feld indem man auch jetzt\Nkeinen Anspruch hat als analysierende Dialogue: 0,0:12:50.08,0:12:56.12,Default,,0000,0000,0000,,Stelle alles finden zu können, das ist was\Nanderes bei bei Systemen, wo man bestimmte Dialogue: 0,0:12:56.12,0:13:00.88,Default,,0000,0000,0000,,Annahmen bestimmte Integritätsmaßnahmen\Nvertrauen kann sagen kann, ok wenn da was Dialogue: 0,0:13:00.88,0:13:04.80,Default,,0000,0000,0000,,wäre würde man es sicher da und daran\Nsehen. Das gilt hier nicht mehr wenn man Dialogue: 0,0:13:04.80,0:13:09.08,Default,,0000,0000,0000,,davon ausgehen muss dass Leute vollständig\Ndas System kompromittiert haben und Dialogue: 0,0:13:09.08,0:13:13.52,Default,,0000,0000,0000,,theoretisch alles verändern können. Das\Nheißt letztlich ist es eine Art von Katz Dialogue: 0,0:13:13.52,0:13:19.04,Default,,0000,0000,0000,,und Mausspiel von Leute schreiben\NStalker-ware schreiben also staatlich Dialogue: 0,0:13:19.04,0:13:24.28,Default,,0000,0000,0000,,finanzierte Unternehmen schreiben\Nkomplexes Spyware, kaufen Exploits ein, Dialogue: 0,0:13:24.28,0:13:28.32,Default,,0000,0000,0000,,melden die nicht, sondern benutzen sie um\NMenschen aus der Zivilgesellschaft zu Dialogue: 0,0:13:28.32,0:13:35.84,Default,,0000,0000,0000,,hacken und dann gibt es NGOs, die finden\Ndas und dann passiert es aber manchmal Dialogue: 0,0:13:35.84,0:13:38.64,Default,,0000,0000,0000,,dass die Unternehmen dann wieder\Nrauskriegen: oh ja woran haben die das Dialogue: 0,0:13:38.64,0:13:43.48,Default,,0000,0000,0000,,erkannt? und dann verändern Sie das oder\Nsind besser darin werden besser darin Dialogue: 0,0:13:43.48,0:13:47.44,Default,,0000,0000,0000,,Spuren zu verwischen, und dann es geht\Nimmer weiter und es zieht immer weiter Dialogue: 0,0:13:47.44,0:13:53.40,Default,,0000,0000,0000,,diese Kreise und natürlich ist auch das,\Nwas wir hier heute erzählen, nicht alles Dialogue: 0,0:13:53.40,0:13:58.12,Default,,0000,0000,0000,,das was wir wissen und es ist auf gar\Nkeinen Fall alles das was überhaupt an Dialogue: 0,0:13:58.12,0:14:04.24,Default,,0000,0000,0000,,Spuren existiert da draußen, das muss man\Nschon so zueinander abgrenzen. Eine Dialogue: 0,0:14:04.24,0:14:10.16,Default,,0000,0000,0000,,weitere Sache die wichtig ist zu erwähnen,\Nwir sind wir haben nicht wahnsinnig viel Dialogue: 0,0:14:10.16,0:14:15.48,Default,,0000,0000,0000,,Expertise was Stalking und Antistalking\Nangeht also Stalker-ware und Antistalking Dialogue: 0,0:14:15.48,0:14:19.40,Default,,0000,0000,0000,,und hier sind zwei sehr gute Websites, die\Nwir euch empfehlen können, falls ihr davon Dialogue: 0,0:14:19.40,0:14:22.24,Default,,0000,0000,0000,,selber betroffen seid, falls ihr mal\NMenschen helfen wollt, die davon betroffen Dialogue: 0,0:14:22.24,0:14:27.64,Default,,0000,0000,0000,,sind. Das ist der Ort an dem wir das\Nweiterleiten würden. Wir fanden es Dialogue: 0,0:14:27.64,0:14:33.24,Default,,0000,0000,0000,,trotzdem vielleicht eine gute Idee, dass\Nhier diese ganze Stockerware Komponente Dialogue: 0,0:14:33.24,0:14:37.36,Default,,0000,0000,0000,,technisch mit reinzunehmen, weil natürlich\Ntechnisch gesehen das schon Dialogue: 0,0:14:37.36,0:14:40.32,Default,,0000,0000,0000,,Gemeinsamkeiten hat, wie diese Apps\Nfunktionieren, was sie so tun, wie sie Dialogue: 0,0:14:40.32,0:14:43.96,Default,,0000,0000,0000,,versuchen zu funktionieren und deshalb\Nversuchen wir hier einfach einen Dialogue: 0,0:14:43.96,0:14:48.56,Default,,0000,0000,0000,,technischen Überblick zu geben, wie man\Ndiese Sachen erkennen würde und wie die Dialogue: 0,0:14:48.56,0:14:54.52,Default,,0000,0000,0000,,funktionieren. Und jetzt erklärt euch\NJaniik ein bisschen was zu Methodik. Dialogue: 0,0:14:54.52,0:15:01.00,Default,,0000,0000,0000,,J: Genau zur Methodik also wir haben ja\Nschon gelernt, wir können jetzt leider Dialogue: 0,0:15:01.00,0:15:06.48,Default,,0000,0000,0000,,nicht einfach den flashpeicher aus unserem\NSmartphone auslöten, den wieder woanders Dialogue: 0,0:15:06.48,0:15:13.56,Default,,0000,0000,0000,,dran löten und alles auslesen. Natürlich\Nmeistens kann ich ein Smartphone per USB Dialogue: 0,0:15:13.56,0:15:18.20,Default,,0000,0000,0000,,oder Lightning oder über WiFi an den\NLaptop anschließen und ein Backup machen Dialogue: 0,0:15:18.20,0:15:25.08,Default,,0000,0000,0000,,oder ähnliche Sachen und das ist auch was\Nwir hauptsächlich tun, aber bevor wir zu Dialogue: 0,0:15:25.08,0:15:29.36,Default,,0000,0000,0000,,solchen Sachen kommen würde ich euch\Nerstmal sagen, nimmt einfach das Gerät mal Dialogue: 0,0:15:29.36,0:15:34.52,Default,,0000,0000,0000,,in die Hand entsperrt ist und es geht ja\Nmeistens bei Überwachung um Messenger, Dialogue: 0,0:15:34.52,0:15:39.40,Default,,0000,0000,0000,,weil man ist ja von der klassischen\NTelekommunikationsüberwachung, wo man Dialogue: 0,0:15:39.40,0:15:43.24,Default,,0000,0000,0000,,einfach bei der Telekom z.B sagt hör mal\Nbitte den Anruf mit und leite den hier Dialogue: 0,0:15:43.24,0:15:48.00,Default,,0000,0000,0000,,weiter an die Polizei und dann hören wir\Nmit. Zu dieser sogenannten Dialogue: 0,0:15:48.00,0:15:53.32,Default,,0000,0000,0000,,Quellentelekommunikationsüberwachung also\Neigentlich dem komprimentieren von Geräten Dialogue: 0,0:15:53.32,0:15:57.44,Default,,0000,0000,0000,,übergegangen, weil man dann vor\NVerschlüsselung die ja jetzt eigentlich in Dialogue: 0,0:15:57.44,0:16:01.68,Default,,0000,0000,0000,,fast jedem Messenger implementiert ist wie\Nin WhatsApp in Signal teilweise in Dialogue: 0,0:16:01.68,0:16:09.08,Default,,0000,0000,0000,,Telegram und Anderen. Genau weil we das da\Ngibt kann man eben nicht mehr einfach die Dialogue: 0,0:16:09.08,0:16:14.40,Default,,0000,0000,0000,,Nachrichten ausleiten, genau und deswegen\Nwürde ich erstmal alle diese Messenger Dialogue: 0,0:16:14.40,0:16:19.24,Default,,0000,0000,0000,,Apps aufmachen denn diese Messenger Apps\Ndie haben alle eine Funktion dass man die Dialogue: 0,0:16:19.24,0:16:24.16,Default,,0000,0000,0000,,Nachrichten nicht nur am Smartphone lesen\Nkann, sondern auch an seinem Laptop, an Dialogue: 0,0:16:24.16,0:16:29.72,Default,,0000,0000,0000,,seinem Desktopcomputer und dass man die da\Nverbinden kann, und das ist tatsächlich Dialogue: 0,0:16:29.72,0:16:34.16,Default,,0000,0000,0000,,der einfachste Weg um diese Nachrichten\Nausleiten zu können, weil das ist ja eine Dialogue: 0,0:16:34.16,0:16:37.60,Default,,0000,0000,0000,,Funktion die zum Nachrichten ausleiten\Ngebaut ist. Natürlich ist sie dafür Dialogue: 0,0:16:37.60,0:16:40.32,Default,,0000,0000,0000,,gedacht, dass man das nur selber macht\Naber wenn man z.B eine Zeit lang keinen Dialogue: 0,0:16:40.32,0:16:44.52,Default,,0000,0000,0000,,Zugriff auf sein Gerät hatte, weil man bei\Neiner Grenzkontrolle sein Passwort Dialogue: 0,0:16:44.52,0:16:49.60,Default,,0000,0000,0000,,rausgeben musste oder weil vielleicht\NSicherheitsbehörden in die eigene Wohnung Dialogue: 0,0:16:49.60,0:16:52.96,Default,,0000,0000,0000,,eingedrungen sind, wo man seine Geräte da\Nhatte und dies geschafft haben das Dialogue: 0,0:16:52.96,0:16:58.44,Default,,0000,0000,0000,,Passwort zu umgehen, oder eben in dem\NStalking Fall eben ja Menschen, die einem Dialogue: 0,0:16:58.44,0:17:02.84,Default,,0000,0000,0000,,irgendwie nahe Zugriff auf das Gerät\Nhaben, können diese Funktion natürlich Dialogue: 0,0:17:02.84,0:17:07.72,Default,,0000,0000,0000,,benutzen, sie mit Ihrem Laptop verbinden\Nund die Nachrichten mitlesen. Das kann man Dialogue: 0,0:17:07.72,0:17:10.88,Default,,0000,0000,0000,,aber zum Glück einfach nachschauen in\Ndiesen Apps. Ich habe hier ein paar Dialogue: 0,0:17:10.88,0:17:19.88,Default,,0000,0000,0000,,Screenshots mitgebracht von iOS WhatsApp,\NiOS Signal und Signal auf Android. Da geht Dialogue: 0,0:17:19.88,0:17:22.92,Default,,0000,0000,0000,,ja die Einstellung von euren Apps geht auf\NLink Devices und dann seht ihr da welche Dialogue: 0,0:17:22.92,0:17:27.76,Default,,0000,0000,0000,,Geräte verbunden sind genau. Da sollten\Ndann eure drin stehen und wenn nicht dann Dialogue: 0,0:17:27.76,0:17:32.72,Default,,0000,0000,0000,,könnt ihr da auch Geräte die verbunden\Nsind entfernen. Das ist tatsächlich auch Dialogue: 0,0:17:32.72,0:17:38.08,Default,,0000,0000,0000,,eine Methode, die die deutsche Polizei\Nnachweislich nutzt. Der Link hier unten Dialogue: 0,0:17:38.08,0:17:42.52,Default,,0000,0000,0000,,ist ein Artikel von netzpolitik.org, wo\Nein internes Dokument der deutschen Dialogue: 0,0:17:42.52,0:17:46.16,Default,,0000,0000,0000,,Polizei veröffentlicht wurde, die eben\Ngenau beschreiben, dass Sie diese Funktion Dialogue: 0,0:17:46.16,0:17:51.96,Default,,0000,0000,0000,,benutzen um Messenger wie WhatsApp und\NSignal abzuhören. Genau wenn wir jetzt Dialogue: 0,0:17:51.96,0:17:57.80,Default,,0000,0000,0000,,aber übergehen zu wir schließen so ein\NSmartphone an unsere Computer an, dann Dialogue: 0,0:17:57.80,0:18:02.20,Default,,0000,0000,0000,,gibt es ein Tool was wir sehr viel\Nbenutzen, was wir euch auch sehr nah legen Dialogue: 0,0:18:02.20,0:18:07.84,Default,,0000,0000,0000,,können, das ist MVT das mobile\Nverification Toolkit, das wurde entwickelt Dialogue: 0,0:18:07.84,0:18:13.72,Default,,0000,0000,0000,,von Amnesty Tech 2021 im Rahmen des\NPegasus Projekts. Das Pegasus Projekt sagt Dialogue: 0,0:18:13.72,0:18:20.52,Default,,0000,0000,0000,,vielleicht vielen was, da wurde 2021 eine\NListe an tausenden Handynummern geleakt, Dialogue: 0,0:18:20.52,0:18:27.80,Default,,0000,0000,0000,,die Alle angegriffen wurden mit der\NSpyPegasus und Amnesty Tech und andere Dialogue: 0,0:18:27.80,0:18:31.56,Default,,0000,0000,0000,,haben da eben forensische Analysen\Ndurchgeführt von Leuten die sie Dialogue: 0,0:18:31.56,0:18:36.44,Default,,0000,0000,0000,,identifiziert haben, die auf dieser Liste\Nstanden und dazu auch tooling entwickelt Dialogue: 0,0:18:36.44,0:18:41.36,Default,,0000,0000,0000,,und dieses tooling am Ende auch\Nveröffentlicht. Und das ist eben MVT, MVT Dialogue: 0,0:18:41.36,0:18:47.72,Default,,0000,0000,0000,,hat verschiedene Möglichkeiten z.B kann es\NiPhone Backups analysieren, die man mit Dialogue: 0,0:18:47.72,0:18:54.24,Default,,0000,0000,0000,,iTunes oder auch mit Software auf Linux\Nvorher erstellt hat. Analysieren das past Dialogue: 0,0:18:54.24,0:19:04.88,Default,,0000,0000,0000,,da vor allem SQLite Datenbank oder plist\NDateien solche Sachen und bereitet die auf Dialogue: 0,0:19:04.88,0:19:10.60,Default,,0000,0000,0000,,zu strukturierten JSON Format, die man\Nviel schöner lesen kann als wenn man das Dialogue: 0,0:19:10.60,0:19:14.28,Default,,0000,0000,0000,,handisch macht, und bei Android\Nfunktioniert das über die ADB Dialogue: 0,0:19:14.28,0:19:19.16,Default,,0000,0000,0000,,Schnittstelle Android Debugging Bridge, wo\Nman auch eben auf gewisse Daten von Dialogue: 0,0:19:19.16,0:19:22.88,Default,,0000,0000,0000,,Android Smartphones zugreifen kann, z.B\Nwelche Apps sind da installiert. Das Dialogue: 0,0:19:22.88,0:19:27.04,Default,,0000,0000,0000,,erzählen wir euch aber alles später im\NDetail, wie man das händisch macht und wie Dialogue: 0,0:19:27.04,0:19:34.48,Default,,0000,0000,0000,,MVT das erleichtert. Genau wie sieht das\Naus auf iOS? Das ist jetzt sind die Dialogue: 0,0:19:34.48,0:19:43.08,Default,,0000,0000,0000,,Schritte für Linux es gibt eine super\NToolchain auf Linux für Apple Geräte und Dialogue: 0,0:19:43.08,0:19:47.96,Default,,0000,0000,0000,,wie man über USB Lightning auf die\Nzugreift und das ist libImobiledevice wo Dialogue: 0,0:19:47.96,0:19:51.88,Default,,0000,0000,0000,,das alles nachgebaut wird was sonst in\NiTunes passiert und das stellt eben z.B Dialogue: 0,0:19:51.88,0:19:58.92,Default,,0000,0000,0000,,dieses Tool iDevice Backup 2 zur\NVerfügung. Ja wie bereits schon bisschen Dialogue: 0,0:19:58.92,0:20:03.44,Default,,0000,0000,0000,,angesprochen, theoretisch kann man die\NGeräte jailbreaken und dann eben auf mehr Dialogue: 0,0:20:03.44,0:20:09.52,Default,,0000,0000,0000,,Dateien zugreifen, weil so ein Backup von\Ndem iPhone inkludiert nicht alles z.B sind Dialogue: 0,0:20:09.52,0:20:16.20,Default,,0000,0000,0000,,Signal Nachrichten nicht enthalten und\Nauch gewisse Systemdateien z.B Dialogue: 0,0:20:16.20,0:20:19.52,Default,,0000,0000,0000,,irgendwelche System Binaries sind da nicht\Nenthalten, weil die braucht man nicht um Dialogue: 0,0:20:19.52,0:20:22.12,Default,,0000,0000,0000,,das wiederherzustellen, weil die sind auf\Neinem iPhone wo man Backup Dialogue: 0,0:20:22.12,0:20:27.28,Default,,0000,0000,0000,,wiederherstellen will natürlich schon\Ndrauf, das würden wir euch aber nicht Dialogue: 0,0:20:27.28,0:20:31.24,Default,,0000,0000,0000,,empfehlen, wenn ihr nicht wirklich genau\Nwisst was ihr tut, weil ihr macht dadurch Dialogue: 0,0:20:31.24,0:20:35.96,Default,,0000,0000,0000,,auch euer Gerät unsicherer ja und\Nmanipuliert vielleicht auch vorher das Dialogue: 0,0:20:35.96,0:20:40.20,Default,,0000,0000,0000,,Gerät bezüglich Spuren die ihr nachher\Nvielleicht entdecken wollt. Was ihr auf Dialogue: 0,0:20:40.20,0:20:43.84,Default,,0000,0000,0000,,jeden Fall aber machen solltet ist als\Nerstes mit dem Tool Idevice Backup die Dialogue: 0,0:20:43.84,0:20:48.28,Default,,0000,0000,0000,,Verschlüsselung eures Backups\Neinzuschalten, denn Apple speichert mehr Dialogue: 0,0:20:48.28,0:20:52.53,Default,,0000,0000,0000,,Dateien, wenn ihr ein verschlüsseltes\NBackup anlegt, als wenn ihr nicht Dialogue: 0,0:20:52.53,0:20:57.24,Default,,0000,0000,0000,,verschlüsseltes Backup anliegt also das\Nreasoning dahinter ist einfach dass Apple Dialogue: 0,0:20:57.24,0:21:02.24,Default,,0000,0000,0000,,sich nicht sicher ist wie die Nutzer in\Nihre Backups speichern und da könnten Dialogue: 0,0:21:02.24,0:21:05.00,Default,,0000,0000,0000,,natürlich dann vielleicht andere Leute\Ndrauf Zugriff haben und deswegen sind sie Dialogue: 0,0:21:05.00,0:21:07.56,Default,,0000,0000,0000,,da vorsichtiger was sie alles in die\NBackups packen wenn man sein Backup nicht Dialogue: 0,0:21:07.56,0:21:10.16,Default,,0000,0000,0000,,verschlüsselt. Deswegen wenn wir ein\NBackup machen, machen wir immer die Dialogue: 0,0:21:10.16,0:21:13.16,Default,,0000,0000,0000,,Verschlüsselung an das Passwort was man\Ndann dafür wählt ist natürlich egal muss Dialogue: 0,0:21:13.16,0:21:17.04,Default,,0000,0000,0000,,man sich merken und sollte man danach,\Nwenn man das dem Nutzer der Nutzerin Dialogue: 0,0:21:17.04,0:21:22.48,Default,,0000,0000,0000,,zurückgibt wieder auf was Gutes setzen. Ja\Ngenau dann macht man einfach sein Backup, Dialogue: 0,0:21:22.48,0:21:28.12,Default,,0000,0000,0000,,das Backup ist ja jetzt verschlüsselt, MVT\Nbietet zum Glück auch ein Tool an um diese Dialogue: 0,0:21:28.12,0:21:31.68,Default,,0000,0000,0000,,Backups wieder zu entschlüsseln, hier ist\Nder Befehl, könnt ihr nachher auf den Dialogue: 0,0:21:31.68,0:21:35.36,Default,,0000,0000,0000,,Folien einfach nachlesen und dann kann man\NMVT noch mal sagen, ja jetzt nimm dies Dialogue: 0,0:21:35.36,0:21:40.36,Default,,0000,0000,0000,,verschlüsselte Backup und analysier das\Neinmal parse alle SQL Datenbanken und Dialogue: 0,0:21:40.36,0:21:48.16,Default,,0000,0000,0000,,schreibt mir das schön sauber auf und\Ngenau. Ähnlich auf Android hier gilt das Dialogue: 0,0:21:48.16,0:21:53.28,Default,,0000,0000,0000,,Gleiche man könnte die Geräte Rooten, es\Nist bei Android aber so dass meistens wenn Dialogue: 0,0:21:53.28,0:21:57.68,Default,,0000,0000,0000,,man die Geräte rootet muss man die ganzen\NDaten die darauf sind löschen und erst Dialogue: 0,0:21:57.68,0:22:02.44,Default,,0000,0000,0000,,dann erlaubt der Bootloaders ein gewisse\NÄnderung vorzunehmen mit denen man Dialogue: 0,0:22:02.44,0:22:06.36,Default,,0000,0000,0000,,üblicherweise Geräte auf Android rootet,\Nmanchmal gibt's auf Android auch exploits Dialogue: 0,0:22:06.36,0:22:09.76,Default,,0000,0000,0000,,mit denen es möglich ist Rootprivilegien\Nzu erlangen und dann könnte man natürlich Dialogue: 0,0:22:09.76,0:22:15.04,Default,,0000,0000,0000,,auch auf weitere Dateien wie System\NBinaries zugreifen, das ist aber wieder Dialogue: 0,0:22:15.04,0:22:19.68,Default,,0000,0000,0000,,was das macht man nur wenn man weiß was\Nman tut und das geht auch wirklich nur Dialogue: 0,0:22:19.68,0:22:25.48,Default,,0000,0000,0000,,sehr selten auf sehr wenig Geräten.\NDeswegen extrahiert man meistens Dateien Dialogue: 0,0:22:25.48,0:22:31.08,Default,,0000,0000,0000,,mit MVT über diese ADB Schnittstelle, wie\Nerwähnt, hier ist das Command das zu tun. Dialogue: 0,0:22:32.72,0:22:37.40,Default,,0000,0000,0000,,Das schreibt euch dann die Ergebnisse in\Nden Ordner eurer Wahl. Was man bei Android Dialogue: 0,0:22:37.40,0:22:44.12,Default,,0000,0000,0000,,zum Glück auch machen kann ist die Dateien\Nder Apps die APK Dateien, die kann man Dialogue: 0,0:22:44.12,0:22:48.92,Default,,0000,0000,0000,,auch herunterladen und MVT erleichtert\Neinem das hier ist auch wieder das Command Dialogue: 0,0:22:48.92,0:22:53.60,Default,,0000,0000,0000,,dafür und man kann die sogar auf\NVirustotal hochladen, das ist ein Dienst Dialogue: 0,0:22:53.60,0:22:58.32,Default,,0000,0000,0000,,im Internet der ganz viele verschiedene\NVirenscanner benutzt und euch dann anzeigt Dialogue: 0,0:22:58.32,0:23:08.08,Default,,0000,0000,0000,,bei wie vielen das als Virus erkannt\Nwurde. Genau jetzt ist es so, es gibt zwei Dialogue: 0,0:23:08.08,0:23:11.48,Default,,0000,0000,0000,,unterschiedliche Arten wie man Malware\Nfinden kann, wir nennen das primäre und Dialogue: 0,0:23:11.48,0:23:15.44,Default,,0000,0000,0000,,sekundäre Funde, das was jetzt z.B bei\NOperation Triangulation gesehen habt ist Dialogue: 0,0:23:15.44,0:23:19.20,Default,,0000,0000,0000,,ein primärer Fund, weil man hat wirklich\Ndie gesamte Exploit chain nachvollziehen Dialogue: 0,0:23:19.20,0:23:25.24,Default,,0000,0000,0000,,können und man hat am Ende oder auch in\Nanderen cases hat man dann auch wirklich Dialogue: 0,0:23:25.24,0:23:28.72,Default,,0000,0000,0000,,die Binaries gefunden und konnte genau\Nsehen welche Funktionalität war eingebaut Dialogue: 0,0:23:28.72,0:23:34.44,Default,,0000,0000,0000,,in diesem Staatstrojaner, das ist leider\Nnicht immer möglich was es dann oft gibt Dialogue: 0,0:23:34.44,0:23:38.92,Default,,0000,0000,0000,,sind sekundäre Funde und hier sieht man\Ndann z.B wenn es jemand anders mal Dialogue: 0,0:23:38.92,0:23:44.52,Default,,0000,0000,0000,,geschafft hat so ein Pegasus irgendwo zu\Nentdecken, hat er dann den Prozessnamen Dialogue: 0,0:23:44.52,0:23:48.88,Default,,0000,0000,0000,,meistens in den Bericht geschrieben und\Ndann kann man eben später sich darauf Dialogue: 0,0:23:48.88,0:23:52.64,Default,,0000,0000,0000,,berufen, wenn jetzt irgendwas einen sehr\Ndubiosen Prozessnamen hat, den es Dialogue: 0,0:23:52.64,0:23:55.40,Default,,0000,0000,0000,,eigentlich von der legitimen App nicht\Ngibt den wer anders nachgewiesen hat, dass Dialogue: 0,0:23:55.40,0:23:58.96,Default,,0000,0000,0000,,das Malware ist und man findet das dann\Nweiß man auch, ah das ist jetzt mit hoher Dialogue: 0,0:23:58.96,0:24:05.24,Default,,0000,0000,0000,,Wahrscheinlichkeit das Gleiche. Dieses\NPrinzip basiert auf diesen indicators of Dialogue: 0,0:24:05.24,0:24:10.76,Default,,0000,0000,0000,,compromise oder kurz IOCs, hier ist noch\Nmal kurz eine Definition indicators of Dialogue: 0,0:24:10.76,0:24:14.44,Default,,0000,0000,0000,,compromise in der Computer forensic sind\Neben Artefakte im Netzwerk oder ein Dialogue: 0,0:24:14.44,0:24:18.36,Default,,0000,0000,0000,,Betriebssystem, die eben sagen wenn man\Ndie findet dann hat man mit hoher Dialogue: 0,0:24:18.36,0:24:23.64,Default,,0000,0000,0000,,Wahrscheinlichkeit hier solche Malware\Ngefunden. Hier sind drei Listen von Dialogue: 0,0:24:23.64,0:24:27.08,Default,,0000,0000,0000,,solchen IOCs, die wir euch empfehlen\Nwürden, die sind auch in MVT alle Dialogue: 0,0:24:27.08,0:24:30.80,Default,,0000,0000,0000,,automatisch includiert aber wenn ihr da\Nmal selber z.B nachgucken wollt sind Dialogue: 0,0:24:30.80,0:24:35.80,Default,,0000,0000,0000,,welche zu Stalker-ware oder eben auch zu\Nspyware. Was man sonst noch machen kann Dialogue: 0,0:24:35.80,0:24:41.04,Default,,0000,0000,0000,,ist eine Trafficanalyse und zwar muss ja\Neine Spyware immer irgendwie Traffic Dialogue: 0,0:24:41.04,0:24:45.04,Default,,0000,0000,0000,,transmitten über WLAN über Mobilfunk und\Ndas kann man sich auch angucken. Da gibt's Dialogue: 0,0:24:45.04,0:24:48.56,Default,,0000,0000,0000,,ein cooles Tool das heißt tinycheck, das\Nwurde mal von Kaspersky entwickelt für Dialogue: 0,0:24:48.56,0:24:54.68,Default,,0000,0000,0000,,Frauenhäuser um da eben speziell Spyware\Nzu finden. Das läuft optional auf dem Dialogue: 0,0:24:54.68,0:24:58.96,Default,,0000,0000,0000,,Raspberry Pi, muss man aber nicht machen\Nmacht dann dediziertes WiFi auf, da kann Dialogue: 0,0:24:58.96,0:25:02.76,Default,,0000,0000,0000,,man sich mit verbinden, dann wird der\NTraffic mitgeschnitten und es wird z.B Dialogue: 0,0:25:02.76,0:25:06.96,Default,,0000,0000,0000,,geguckt ob bekannte command and control\NServer im Traffic auftauchen oder ob man Dialogue: 0,0:25:06.96,0:25:12.84,Default,,0000,0000,0000,,auf irgendwelchen Webseiten von diesen\Nspyware Herstellern war. Genau und jetzt Dialogue: 0,0:25:12.84,0:25:21.88,Default,,0000,0000,0000,,erzählt euch Viktor was zu iOS Forensik.\NV: Ja also ihr erinnert euch an die vier Dialogue: 0,0:25:21.88,0:25:26.24,Default,,0000,0000,0000,,Felder und wir gehen jetzt im Prinzip\Ndiese vier Felder zusammen ab. Wir starten Dialogue: 0,0:25:26.24,0:25:33.68,Default,,0000,0000,0000,,im ersten Feld und zwar ohne Exploits also\NStalker-ware auf iPhone iOS Geräten, dieses Dialogue: 0,0:25:33.68,0:25:40.24,Default,,0000,0000,0000,,Feld ist relativ hellgrau weil da gibt's\Ngar nicht so viel, weil aktuell gibt es Dialogue: 0,0:25:40.24,0:25:46.36,Default,,0000,0000,0000,,wie ich schon gesagt habe kein Exploit\Nkein jailbreak der funktioniert für iOS Dialogue: 0,0:25:46.36,0:25:50.60,Default,,0000,0000,0000,,Geräte und deshalb ist es gar nicht so\Nattraktiv als Stalker-ware sich da Dialogue: 0,0:25:50.60,0:25:55.04,Default,,0000,0000,0000,,einzunisten weil man diese ganzen Sachen\Nvon ich habe Zugriff auf Messenger, ich Dialogue: 0,0:25:55.04,0:25:59.48,Default,,0000,0000,0000,,habe Zugriff auf die Daten von anderen\NApps, das geht gar nicht so ohne Weiteres. Dialogue: 0,0:25:59.48,0:26:05.88,Default,,0000,0000,0000,,Was natürlich möglich ist, ist dass Geräte\Ngejailbreaked sind die älter als 15.7 sind Dialogue: 0,0:26:05.88,0:26:09.80,Default,,0000,0000,0000,,und das kann ich schon mal dazu sagen, ich\Nglaube es gibt Anzeichen dass es einen Dialogue: 0,0:26:09.80,0:26:14.64,Default,,0000,0000,0000,,neuen jailbreak geben wird aus der Exploit\Nchain, die in dieser Operation Dialogue: 0,0:26:14.64,0:26:18.28,Default,,0000,0000,0000,,Triangulation Sache gefunden wurde, das\Nheißt vielleicht ist das in Zukunft wieder Dialogue: 0,0:26:18.28,0:26:21.76,Default,,0000,0000,0000,,möglich aber meistens dann auch nur eher\Ndie veralteten Geräte und nicht die Dialogue: 0,0:26:21.76,0:26:28.76,Default,,0000,0000,0000,,aktuellen Geräte zu jailbreaken. Und wenn\Nman kein Jailbreak hat, dann ist genau es Dialogue: 0,0:26:28.76,0:26:33.28,Default,,0000,0000,0000,,ein bisschen schwierig als Stalker-ware App\Nweil man muss durch die Checks von dem Dialogue: 0,0:26:33.28,0:26:37.52,Default,,0000,0000,0000,,AppStore gehen, man kann nur durch den\NAppStore installiert werden und z.B bei Dialogue: 0,0:26:37.52,0:26:41.92,Default,,0000,0000,0000,,einem iPhone muss man gibt so notification\Nso ein orangenen Punkt und so ein grünen Dialogue: 0,0:26:41.92,0:26:44.92,Default,,0000,0000,0000,,Punkt die anzeigen ob gerade das Mikro\Noder die Kamera an ist oder ich glaub auch Dialogue: 0,0:26:44.92,0:26:53.16,Default,,0000,0000,0000,,die Location Services und das ist dann\Nnatürlich nicht mehr so stealthy. Und das Dialogue: 0,0:26:53.16,0:26:56.80,Default,,0000,0000,0000,,genau das kann man auch irgendwie in so\Nprivacy Report Sachen dann nachgucken und Dialogue: 0,0:26:56.80,0:27:01.16,Default,,0000,0000,0000,,natürlich hat man auch überhaupt keinen\NZugriff auf die Daten von anderen Apps. Dialogue: 0,0:27:01.16,0:27:03.80,Default,,0000,0000,0000,,Was es aber gibt, das haben wir schon\Ngesehen, wir haben irgendwann noch selber Dialogue: 0,0:27:03.80,0:27:07.92,Default,,0000,0000,0000,,mal ein bisschen geguckt wie das so\Nfunktioniert, es gibt Stalker-ware Dialogue: 0,0:27:07.92,0:27:11.64,Default,,0000,0000,0000,,Anbieter die z.B so iCloud Paser\Ngeschrieben haben. Also da können dann Dialogue: 0,0:27:11.64,0:27:19.04,Default,,0000,0000,0000,,TäterInnen können irgendwie das das iCloud\NPasswort von Menschen besorgen und dann Dialogue: 0,0:27:19.04,0:27:24.16,Default,,0000,0000,0000,,gibt es so Stalker-ware Services, die sich\Ndann damit in diesem iCloud Konto einladen Dialogue: 0,0:27:24.16,0:27:28.36,Default,,0000,0000,0000,,und alles runterladen was in dem iCloud\NKonto gespeichert ist. Das sind z.B so Dialogue: 0,0:27:28.36,0:27:34.52,Default,,0000,0000,0000,,Sachen wie Notizen, Kontakte, ich weiß\Nnicht mehr nicht also das ist so es ist so Dialogue: 0,0:27:34.52,0:27:39.08,Default,,0000,0000,0000,,halb viel, aber genau das das geht auf das\Ngeht auf jeden Fall und das kann sein das Dialogue: 0,0:27:39.08,0:27:44.00,Default,,0000,0000,0000,,heißt es ist immer auch keine schlechte\NIdee, wenn man mit so eine Situation in Dialogue: 0,0:27:44.00,0:27:47.80,Default,,0000,0000,0000,,Kontakt kommt das iCloud password zu\Nändern oder zu gucken dass das sicher ist, Dialogue: 0,0:27:47.80,0:27:53.36,Default,,0000,0000,0000,,weil darüber können auch Informationen\Nverloren gehen. Jetzt kann es aber Dialogue: 0,0:27:53.36,0:27:56.60,Default,,0000,0000,0000,,natürlich trotzdem sein dass Leute es\Nschaffen an den Checks vom App Store Dialogue: 0,0:27:56.60,0:28:01.08,Default,,0000,0000,0000,,vorbei eine App zu schmuggeln und dann\Nwären die folgenden Sachen die Dinge die Dialogue: 0,0:28:01.08,0:28:04.76,Default,,0000,0000,0000,,man sich angucken würde sinnvollerweise.\NWir gehen davon aus ihr habt ein Backup Dialogue: 0,0:28:04.76,0:28:08.68,Default,,0000,0000,0000,,gemacht und das liegt irgendwo und in\Ndiesem Backup schaut ihr jetzt Dialogue: 0,0:28:08.68,0:28:13.68,Default,,0000,0000,0000,,verschiedene Dateien an. Eine der Dateien\Nbei der sich lohnt sie sich anzuschauen Dialogue: 0,0:28:13.68,0:28:20.40,Default,,0000,0000,0000,,sind die transparency consent and control\Nlocks, die legen am folgenden Pfad und da Dialogue: 0,0:28:20.40,0:28:24.80,Default,,0000,0000,0000,,ist die Tabelle namens Access interessant,\Nweil in dieser Tabelle steht drin wann Dialogue: 0,0:28:24.80,0:28:28.16,Default,,0000,0000,0000,,welche App welche Berechtigungen\Nangefordert hat. Also wann Welche gesagt Dialogue: 0,0:28:28.16,0:28:30.88,Default,,0000,0000,0000,,hat hallo darf ich bitte das Mikro\Nbenutzen? Darf ich bitte die Kamera Dialogue: 0,0:28:30.88,0:28:37.08,Default,,0000,0000,0000,,benutzen? steht da drin inklusive einem\NTimestamp. Diesen Timestamp kriegt ihr Dialogue: 0,0:28:37.08,0:28:41.40,Default,,0000,0000,0000,,dann auch relativ schnell in ein\Nmenschenlesbares Format, wenn ihr es Dialogue: 0,0:28:41.40,0:28:47.00,Default,,0000,0000,0000,,händisch machen wollt, aber das macht doch\Nalles MVT für euch. Also ich habe jetzt Dialogue: 0,0:28:47.00,0:28:52.04,Default,,0000,0000,0000,,bei diesen ganzen Folien, ich habe euch\Neinmal gezeigt wie man das RAW mit einem Dialogue: 0,0:28:52.04,0:28:56.44,Default,,0000,0000,0000,,SQLight Paser machen würde, wenn man\Nrichtig wild drauf ist, aber da gibt's Dialogue: 0,0:28:56.44,0:29:02.36,Default,,0000,0000,0000,,eigentlich also MVT macht das gleiche und\NMVT macht das gut. Jedenfalls das ist die Dialogue: 0,0:29:02.36,0:29:06.64,Default,,0000,0000,0000,,Datenbank die sich MVT anguckt, so sieht\Ndas in MVT aus, da steht dann Signal hat Dialogue: 0,0:29:06.64,0:29:11.68,Default,,0000,0000,0000,,gefragt kann ich das Mikro benutzen an\Ndiesem Zeitpunkt. Die nächste Sache die Dialogue: 0,0:29:11.68,0:29:16.24,Default,,0000,0000,0000,,man sich angucken kann sind die data usage\NLogs. Ich weiß auch wieder nicht wer von Dialogue: 0,0:29:16.24,0:29:19.64,Default,,0000,0000,0000,,euch in dem Operation Triangulation Talk\Ndrin war, auch da hat das eine Rolle Dialogue: 0,0:29:19.64,0:29:23.96,Default,,0000,0000,0000,,gespielt, da haben sie nähmlich vergessen\Ndiese Logs zu löschen. Die interessanten Dialogue: 0,0:29:23.96,0:29:29.08,Default,,0000,0000,0000,,Tabellen hier heißen ZLIVEUSAGE und\NZprocess und in diesen zwei Tabellen steht Dialogue: 0,0:29:29.08,0:29:34.12,Default,,0000,0000,0000,,drin wann welche App über Mobilfunk Daten\Nruntergeladen hat, genau genommen sogar Dialogue: 0,0:29:34.12,0:29:36.76,Default,,0000,0000,0000,,ich glaube welcher Prozess und das ist\Nhalt spannend weil auch Dinge die kein Dialogue: 0,0:29:36.76,0:29:41.12,Default,,0000,0000,0000,,Prozess waren sondern irgendeine Exploit\Nstage oder sowas tauchen da potenziell Dialogue: 0,0:29:41.12,0:29:47.92,Default,,0000,0000,0000,,auf. Diese tolle Query die man sich\Nnatürlich merkt und so kurz mal Dialogue: 0,0:29:47.92,0:29:55.32,Default,,0000,0000,0000,,runterspult die macht euch glücklich weil\Nsie aus dieser Datenbank die die Sachen Dialogue: 0,0:29:55.32,0:29:59.24,Default,,0000,0000,0000,,rausholt, diese zwei verschiedenen\NTabellen miteinander joint und dann kommen Dialogue: 0,0:29:59.24,0:30:03.44,Default,,0000,0000,0000,,da schönere Daten raus, aber natürlich\Nhabe ich mir die auch nicht ausgedacht Dialogue: 0,0:30:03.44,0:30:07.64,Default,,0000,0000,0000,,sondern die ist einfach aus der MVT\NCodebase kopiert und deshalb ich empfehle Dialogue: 0,0:30:07.64,0:30:12.20,Default,,0000,0000,0000,,auch euch nicht zu versuchen das händisch\Nzu passen sondern genau das aus der MVT Dialogue: 0,0:30:12.20,0:30:19.76,Default,,0000,0000,0000,,codebase zu kopieren oder MVT zu benutzen.\NUnd wenn man das dann mit MVT ausführt, Dialogue: 0,0:30:19.76,0:30:23.68,Default,,0000,0000,0000,,dann sieht das so aus, dann sagt euch MVT\Nwann es das erste Mal benutzt wurde, ich Dialogue: 0,0:30:23.68,0:30:29.60,Default,,0000,0000,0000,,glaube wann es das letzte Mal benutzt\Nwurde und was die Bundle ID ist von der Dialogue: 0,0:30:29.60,0:30:35.36,Default,,0000,0000,0000,,Sache, die das also was was der Process\NName ist und was die Bundle ID ist und Dialogue: 0,0:30:35.36,0:30:43.56,Default,,0000,0000,0000,,genau. Das Bundle IDs sind sowas wie der\Neindeutige Name von Apps. Das heißt damit Dialogue: 0,0:30:43.56,0:30:48.12,Default,,0000,0000,0000,,kann man rauskriegen okay wer hat die\Neigentlich Daten benutzt. Eine weitere Dialogue: 0,0:30:48.12,0:30:51.28,Default,,0000,0000,0000,,Sache die man sich angucken kann und die\Nist sehr interessant vor allem wenn man Dialogue: 0,0:30:51.28,0:30:55.56,Default,,0000,0000,0000,,davon ausgeht dass alle Apps die auf dem\NHandy sind, Apps sind die installiert Dialogue: 0,0:30:55.56,0:31:02.72,Default,,0000,0000,0000,,sind, weil man davon ausgeht, dass niemand\Nirgendein Exploit hatte ist die Liste der Dialogue: 0,0:31:02.72,0:31:08.24,Default,,0000,0000,0000,,installierten Applikationen, applications\NApps, die ist in der info.plist Datei drin Dialogue: 0,0:31:08.24,0:31:15.44,Default,,0000,0000,0000,,die liegt auch topl Level in eurem Backup\Ndrin und diese Datei kann man mit plist Dialogue: 0,0:31:15.44,0:31:21.24,Default,,0000,0000,0000,,util parsen, das ist auch ein Tool was\Nglaube ich auch in den Packs App Store Dialogue: 0,0:31:21.24,0:31:25.44,Default,,0000,0000,0000,,package Stores von den meisten Linux\NDistributionen drin ist. plist ist so ein Dialogue: 0,0:31:25.44,0:31:30.96,Default,,0000,0000,0000,,ganz komisches Format was sich das Apple\NUniversum ausgedacht hat und ich glaube da Dialogue: 0,0:31:30.96,0:31:37.56,Default,,0000,0000,0000,,kommen XML Dateien raus, wenn man das in\Nnormale Formate überführt hat. Da steht Dialogue: 0,0:31:37.56,0:31:46.68,Default,,0000,0000,0000,,dann auch drin die Bundle IDs von den Apps\Ndie installiert sind und teilweise auch Dialogue: 0,0:31:46.68,0:31:50.72,Default,,0000,0000,0000,,der Name und wenn ihr euch jetzt fragt na\Nwas ist denn jetzt das genau für ein Ding Dialogue: 0,0:31:50.72,0:31:57.16,Default,,0000,0000,0000,,im App Store, dann kann ich euch als Tipp\Nverraten dass zumindest aktuell auf der Dialogue: 0,0:31:57.16,0:32:02.28,Default,,0000,0000,0000,,website also wenn man im Browser im App\NStore sich eine App anguckt bei Apple, Dialogue: 0,0:32:02.28,0:32:06.56,Default,,0000,0000,0000,,dann kommt im und da auf view source\Nklickt oder sich irgendwie den Sourcecode Dialogue: 0,0:32:06.56,0:32:11.16,Default,,0000,0000,0000,,anguckt dann kommt da der Bandel ID Name\Nvor. Das heißt das ist der der Mechanismus Dialogue: 0,0:32:11.16,0:32:15.32,Default,,0000,0000,0000,,mit dem ihr, ihr habt eine Bandel ID\Nirgendwo gelesen und wollt wissen was ist Dialogue: 0,0:32:15.32,0:32:21.12,Default,,0000,0000,0000,,den das genau für ein Ding, mit dem ihr\Ndas zueinander connecten könnt und dann Dialogue: 0,0:32:21.12,0:32:23.84,Default,,0000,0000,0000,,kann man auch möglicherweise die Person\NFragen, hey pass mal auf, hast du das Dialogue: 0,0:32:23.84,0:32:28.92,Default,,0000,0000,0000,,schon mal gesehen, kommt das von Dir hast\Ndu das runtergeladen? und damit kann man Dialogue: 0,0:32:28.92,0:32:34.84,Default,,0000,0000,0000,,klären wenn da interessante merkwürdige\Nweirde Dinge auftauchen wo die jetzt Dialogue: 0,0:32:34.84,0:32:42.68,Default,,0000,0000,0000,,hergekommen sind und ob die da sein\Nsollen. Ja genau die weitere Sache ist Dialogue: 0,0:32:42.68,0:32:49.12,Default,,0000,0000,0000,,dass in MVT bereits wie Janik schon\Ngesagt hat eigentlich eine Liste von sehr Dialogue: 0,0:32:49.12,0:32:57.00,Default,,0000,0000,0000,,sehr vielen IOCs und anderen Merkmalen von\NStalker-ware bereits drin steckt von frei Dialogue: 0,0:32:57.00,0:33:01.56,Default,,0000,0000,0000,,tollen freiwilligen Menschen, die das\NPflegen und ich glaube so automatisierte Dialogue: 0,0:33:01.56,0:33:06.32,Default,,0000,0000,0000,,Skripte haben die das immer neu generieren\Nund auch die Malware Samples hochladen Dialogue: 0,0:33:06.32,0:33:11.36,Default,,0000,0000,0000,,davon, das heißt mein Bauchgefühl wäre\Nohne jetzt allzu viel empirische Daten zu Dialogue: 0,0:33:11.36,0:33:18.32,Default,,0000,0000,0000,,haben, man hat relativ gute Chancen mit\Nmit MVT Stalker-ware zu finden zu Dialogue: 0,0:33:18.32,0:33:25.08,Default,,0000,0000,0000,,detektieren einfach, weil es da sehr lange\NIOC Listen gibt ja. Und sehr viel davon Dialogue: 0,0:33:25.08,0:33:27.72,Default,,0000,0000,0000,,schon verzeichnet ist und das auch\Nglücklicherweise alles automatisch Dialogue: 0,0:33:27.72,0:33:31.96,Default,,0000,0000,0000,,passiert, also ihr müsst nicht das dann\Nselber runterladen und sagen ja hier bitte Dialogue: 0,0:33:31.96,0:33:37.96,Default,,0000,0000,0000,,diese Stalker-ware Liste, sondern wenn ihr\Naus dem gitrepo von MVT MVT installiert Dialogue: 0,0:33:37.96,0:33:44.60,Default,,0000,0000,0000,,oder aus den Python packages und MVT\Nausführt, dann macht das das alles Dialogue: 0,0:33:44.60,0:33:51.52,Default,,0000,0000,0000,,automatisch und benutzt Check gegen dieses\NStalker-ware Indikatoren. Ja wir kommen zum Dialogue: 0,0:33:51.52,0:33:58.12,Default,,0000,0000,0000,,State-Sponsored Spyware Teil zu den Sachen\Nmit Exploits da gibt es natürlich die Dialogue: 0,0:33:58.12,0:34:02.40,Default,,0000,0000,0000,,Sachen die wir schon gesagt haben und noch\Nein paar mehr z.B ist es lohnenswert sich Dialogue: 0,0:34:02.40,0:34:09.36,Default,,0000,0000,0000,,anzugucken welche Einträge die Safari\NHistory hat, weil man kann da eigentlich Dialogue: 0,0:34:09.36,0:34:17.84,Default,,0000,0000,0000,,zwei Sachen finden. Das eine ist man kann\NExploit URLs finden von One Click Exploits Dialogue: 0,0:34:17.84,0:34:24.16,Default,,0000,0000,0000,,vielleicht wart ihr in dem Predator \NFiles Vortrag von donncha gestern Dialogue: 0,0:34:24.16,0:34:29.72,Default,,0000,0000,0000,,glaube ich. Da hat er z.B erzählt dass in\Nden meisten Fällen die Intelexa Software Dialogue: 0,0:34:29.72,0:34:33.80,Default,,0000,0000,0000,,nur mit One Click Exploits installiert\Nwerden kann, weil die Browser Exploits Dialogue: 0,0:34:33.80,0:34:39.12,Default,,0000,0000,0000,,haben und. Da hat man z.B dann eine Chance\Nwenn sie das nicht gelöscht haben die URL Dialogue: 0,0:34:39.12,0:34:45.60,Default,,0000,0000,0000,,zu finden von dem Server der die Website\Nausgeliefert hat, die den JavaScript Dialogue: 0,0:34:45.60,0:34:50.52,Default,,0000,0000,0000,,Exploit vermutlich hatte , die andere\NSache die man da finden kann sind Spuren Dialogue: 0,0:34:50.52,0:34:56.24,Default,,0000,0000,0000,,von Redirects und Redirects würden\Npassieren wenn man eine Network injection Dialogue: 0,0:34:56.24,0:35:00.92,Default,,0000,0000,0000,,Attacke hatte. Das sieht ungefähr so auch\Naus auch das hat donncha gestern in dem Dialogue: 0,0:35:00.92,0:35:06.72,Default,,0000,0000,0000,,Vortrag angerissen, ist auch ein Foto von\Ndenen. Das würde nämlich so passieren dass Dialogue: 0,0:35:06.72,0:35:14.04,Default,,0000,0000,0000,,ein Handy eine HTTP Verbindung zu\Nirgendeinem Server aufbaut und irgendwo Dialogue: 0,0:35:14.04,0:35:18.56,Default,,0000,0000,0000,,auf der Route auf der Strecke entweder ein\Ninsy Catcher oder eine Kiste bei dem Dialogue: 0,0:35:18.56,0:35:23.68,Default,,0000,0000,0000,,Internet Provider bei dem Telco Provider\Ndann sehr schnell als Antwort auf diesen Dialogue: 0,0:35:23.68,0:35:30.16,Default,,0000,0000,0000,,HTTP Request ein Redirect zurückschickt\Nder sagt nee pass mal auf was du suchst Dialogue: 0,0:35:30.16,0:35:34.36,Default,,0000,0000,0000,,ist nicht mehr bei dieser legitimen Seite\Nsondern bei unserer schönen shady URL wo Dialogue: 0,0:35:34.36,0:35:39.16,Default,,0000,0000,0000,,du gleich ein Exploit runterladen wirst\Nund das Handy ist dann so ah ja okay gut Dialogue: 0,0:35:39.16,0:35:43.00,Default,,0000,0000,0000,,ist ja nicht mehr da ist jetzt hier und\Nquasi lädt sich dann die andere Sache Dialogue: 0,0:35:43.00,0:35:49.16,Default,,0000,0000,0000,,runter, und was man dafür braucht ist dass\Nman als Mittelstation muss man relativ Dialogue: 0,0:35:49.16,0:35:56.16,Default,,0000,0000,0000,,schnell diesen Redirect schicken können,\Ndas heißt es ist einfach spannend hier auf Dialogue: 0,0:35:56.16,0:36:02.12,Default,,0000,0000,0000,,der Folie ist das zu gucken z.B kam\Neinfach insanely schnell nach dem Aufruf Dialogue: 0,0:36:02.12,0:36:07.48,Default,,0000,0000,0000,,von irgendeiner URL ein Redirect, also\Nirgendwie Millisekunde später oder weniger Dialogue: 0,0:36:07.48,0:36:12.28,Default,,0000,0000,0000,,oder also einfach sehr sehr schnell wo man\Nso überlegt ist das jetzt plausibel, dass Dialogue: 0,0:36:12.28,0:36:16.32,Default,,0000,0000,0000,,der andere Server schon geantwortet hat?\NDas wären z.B Dinge die man da finden Dialogue: 0,0:36:16.32,0:36:24.68,Default,,0000,0000,0000,,könnte. Was man auch finden kann ist dass\NLeute sich nicht gescheit anstellen beim Dialogue: 0,0:36:24.68,0:36:30.04,Default,,0000,0000,0000,,Löschen von Daten aus Datenbanken. Was z.B\Npassieren kann und davon hat in diesem Dialogue: 0,0:36:30.04,0:36:36.60,Default,,0000,0000,0000,,citizen Lab Report wird davon erzählt, ist\Ndas zu einem Zeitpunkt Pegasus in der data Dialogue: 0,0:36:36.60,0:36:42.88,Default,,0000,0000,0000,,usage SQLite Datenbank die ich euch schon\Ngezeigt habe Prozesseinträge nur in der Dialogue: 0,0:36:42.88,0:36:46.32,Default,,0000,0000,0000,,einen Tabelle aber nicht in der anderen\NTabelle gelöscht haben und das ist eine Dialogue: 0,0:36:46.32,0:36:49.32,Default,,0000,0000,0000,,Sache das würde das Handy nie tun, weil\Ndas immer entweder in beiden Tabellen oder Dialogue: 0,0:36:49.32,0:36:54.16,Default,,0000,0000,0000,,gar nicht auftaucht, das heißt man kann da\Neinfach gucken Mensch finden wir Dialogue: 0,0:36:54.16,0:36:58.92,Default,,0000,0000,0000,,eigentlich Prozesseinträge mit\NDatentransferspuren in der einen aber Dialogue: 0,0:36:58.92,0:37:02.04,Default,,0000,0000,0000,,nicht in der anderen Tabelle und wenn ja\Ndann ist das ein sehr eindeutiges Zeichen, Dialogue: 0,0:37:02.04,0:37:06.80,Default,,0000,0000,0000,,weil das halt in der freien Wildbahn sehr\Nselten passiert und mit dieser Version von Dialogue: 0,0:37:06.80,0:37:13.44,Default,,0000,0000,0000,,Pegasus dann eben doch. Und das ist z.B\Nauch eine Sache mit der man ja eine Chance Dialogue: 0,0:37:13.44,0:37:22.48,Default,,0000,0000,0000,,hat zu feststellen zu können, ok hier ist\Nwas komisches passiert. Genau die data Dialogue: 0,0:37:22.48,0:37:28.52,Default,,0000,0000,0000,,usage ist natürlich auch hier relevant das\Nhabe ich gerade schon erzählt ja. Das ist Dialogue: 0,0:37:28.52,0:37:33.44,Default,,0000,0000,0000,,jetzt z.B der mdns responder das sind\Naufgelöste DNS queries, da würde man auch Dialogue: 0,0:37:33.44,0:37:38.28,Default,,0000,0000,0000,,andere Prozesse das also es ist auch es\Nerfordert würde ich auch sagen so ein bisschen Dialogue: 0,0:37:38.28,0:37:41.80,Default,,0000,0000,0000,,Übung sich da reinzulesen und so ein\Nbisschen auch ein Gefühl davon zu kriegen Dialogue: 0,0:37:41.80,0:37:48.20,Default,,0000,0000,0000,,was ist normal und was ist komisch. Es ist\Ntotal empfehlenswert auch einfach mal von Dialogue: 0,0:37:48.20,0:37:52.48,Default,,0000,0000,0000,,Friends oder einfach mal selber ab und zu\Nsowas zu machen, bei sich selber drauf zu Dialogue: 0,0:37:52.48,0:37:56.72,Default,,0000,0000,0000,,gucken um so ein Gefühl dafür zu kriegen\Nund einfach da mal so durchzuscrollen, was Dialogue: 0,0:37:56.72,0:38:02.96,Default,,0000,0000,0000,,sind denn gutartige Sachen die so einfach\Ndie ganze Zeit auf iPhones passieren dann Dialogue: 0,0:38:02.96,0:38:06.00,Default,,0000,0000,0000,,kriegt man ein bisschen auch ein Gefühl\Ndafür für welche Dinge vielleicht erstmal Dialogue: 0,0:38:06.00,0:38:09.60,Default,,0000,0000,0000,,weird aussehen aber einfach die ganze Zeit\Npassieren und einfach gutartig sind, weil Dialogue: 0,0:38:09.60,0:38:16.64,Default,,0000,0000,0000,,sie von vom iPhone selber kommen. Was man\Nauch tun kann ist sich die timestamps von Dialogue: 0,0:38:16.64,0:38:23.20,Default,,0000,0000,0000,,den Dateien im im Backup anzugucken, das\Nwürde man machen indem man erstmal das Dialogue: 0,0:38:23.20,0:38:28.04,Default,,0000,0000,0000,,Backup entschlüsselt der Schritt taucht\Nauch auf in Janiks Liste dann sieht das Dialogue: 0,0:38:28.04,0:38:34.60,Default,,0000,0000,0000,,erstmal so aus ohne doch genau wenn es ja\Ndann sieht es erstmal so aus das Backup. Dialogue: 0,0:38:34.60,0:38:39.12,Default,,0000,0000,0000,,Dieser decrypted Ordner hier der ist da\Nnicht den habe ich so genannt, aber das Dialogue: 0,0:38:39.12,0:38:46.28,Default,,0000,0000,0000,,sind erstmal bisschen ungeil, weil iPhone\NBackups funktionieren so dass alle Dateien Dialogue: 0,0:38:46.28,0:38:51.16,Default,,0000,0000,0000,,benannt werden nach ihrem eigenen Hash und\Ndann werden sie einfach in Ordner Dialogue: 0,0:38:51.16,0:38:55.76,Default,,0000,0000,0000,,gespeichert die, wo sie gruppiert sind\Nnach den ersten zwei Stellen von ihrem Dialogue: 0,0:38:55.76,0:38:59.60,Default,,0000,0000,0000,,eigenen Hash und das das natürlich jetzt\Nziemlich ungeil in diesem Ding irgendwie Dialogue: 0,0:38:59.60,0:39:02.96,Default,,0000,0000,0000,,Dateien zu suchen und sich anzugucken ok,\Nwas hast du für ein Timestamps noch auf Dialogue: 0,0:39:02.96,0:39:08.04,Default,,0000,0000,0000,,den ersten Blick rauszukriegen, liebe\NDatei bist du interessant für mich. Was Dialogue: 0,0:39:08.04,0:39:13.08,Default,,0000,0000,0000,,man da tun würde wäre das Backup zu\Nrekonstruieren, das ist mich nicht Dialogue: 0,0:39:13.08,0:39:18.60,Default,,0000,0000,0000,,besonders schwer die die ursprüngliche\NPfahdstruktur wiederherzustellen, da gibt Dialogue: 0,0:39:18.60,0:39:23.20,Default,,0000,0000,0000,,es z.B ein Tool, was ich jetzt nicht noch\Nmal getestet habe vor dem Vortrag (shame Dialogue: 0,0:39:23.20,0:39:26.88,Default,,0000,0000,0000,,on ME) aber ich glaube es funktioniert,\Nich glaube es gibt auch Andere das kriegt Dialogue: 0,0:39:26.88,0:39:31.56,Default,,0000,0000,0000,,ihr hin das kann man auch in Stunde oder\Nsowas selber programmieren. Jedenfalls es Dialogue: 0,0:39:31.56,0:39:36.16,Default,,0000,0000,0000,,gibt die manifest.plist Datei da steht\Ndrin, das sind die Hashes das sind die Dialogue: 0,0:39:36.16,0:39:39.48,Default,,0000,0000,0000,,eigentlichen Dateinamen und ich glaube\Nauch der Timestamp und daraus kann man so Dialogue: 0,0:39:39.48,0:39:43.80,Default,,0000,0000,0000,,ein bisschen den den ursprünglichen\NDateipfad wieder rekonstruieren. Wenn man Dialogue: 0,0:39:43.80,0:39:47.36,Default,,0000,0000,0000,,das gemacht hat hat man einen Ordner wo\Ndie Sachen ihre richtigen timestamps haben Dialogue: 0,0:39:47.36,0:39:52.20,Default,,0000,0000,0000,,und genau die eigentlichen Dateien sind,\Nwie sie vom iPhone aus dem iPhone Dialogue: 0,0:39:52.20,0:39:58.84,Default,,0000,0000,0000,,gepurzelt sind und dann könnte man z.B mit\Ndiesem schönen oneliner sie sortieren nach Dialogue: 0,0:39:58.84,0:40:10.60,Default,,0000,0000,0000,,dem ich glaube modified Timestamp und dann\Ngenau würde man sehen was z.B in einer Dialogue: 0,0:40:10.60,0:40:15.76,Default,,0000,0000,0000,,Zeitzone passiert ist in der interessiert\Nwas da los war. Also angenommen weiß ne in Dialogue: 0,0:40:15.76,0:40:19.52,Default,,0000,0000,0000,,dieser in dieser Range keine Ahnung wurde\Ndas Handy der Person abgenommen oder so Dialogue: 0,0:40:19.52,0:40:24.36,Default,,0000,0000,0000,,dann könnte man da gucken, sehen wir da\Nspannende Sachen? Eine weitere Sache nach Dialogue: 0,0:40:24.36,0:40:30.76,Default,,0000,0000,0000,,dem man gucken kann sind SMS Anhänge, das\Nwaren z.B .gif files in dem forced Dialogue: 0,0:40:30.76,0:40:35.36,Default,,0000,0000,0000,,entry Exploit vom Citizen das war auch das\Ncitizen Lab analysiert und vorgestellt Dialogue: 0,0:40:35.36,0:40:40.76,Default,,0000,0000,0000,,hat, da hat man z.B einfach gesehen dass\Nda 20 .gif Anhänge ganz schnell Dialogue: 0,0:40:40.76,0:40:45.12,Default,,0000,0000,0000,,hintereinander angekommen sind, ja und\Ndann sieht man natürlich auch okay das ist Dialogue: 0,0:40:45.12,0:40:49.48,Default,,0000,0000,0000,,hier irgendwie merkwürdig. Auch in\Ncrashlocks kann man interessante Artefakte Dialogue: 0,0:40:49.48,0:40:54.48,Default,,0000,0000,0000,,finden auch z.B wenn jetzt irgendwie eine\Neine Komponente von eurem Handy ganz oft Dialogue: 0,0:40:54.48,0:40:58.60,Default,,0000,0000,0000,,hintereinander crasht, vor allem wenn man\Ndas nicht erwarten würde, das ist glaube Dialogue: 0,0:40:58.60,0:41:03.92,Default,,0000,0000,0000,,ich auch in diesem Force entry Dings\Npassiert, dass ich glaube z.B der iMessage Dialogue: 0,0:41:03.92,0:41:08.20,Default,,0000,0000,0000,,Prozess ganz oft gecrasht ist, weil eben\Nganz oft Sachen ankamen die manchmal Dialogue: 0,0:41:08.20,0:41:13.44,Default,,0000,0000,0000,,funktioniert haben und manchmal nicht. Da\Nkann man dann Spuren finden. Eine weitere Dialogue: 0,0:41:13.44,0:41:20.00,Default,,0000,0000,0000,,Sache noch und zwar einfach nur so ein\NTransfer in diesem Vortrag von Operation Dialogue: 0,0:41:20.00,0:41:25.48,Default,,0000,0000,0000,,trangulation haben die auch selber gezeigt\Ndass sie in der data usage und Manifest Dialogue: 0,0:41:25.48,0:41:29.60,Default,,0000,0000,0000,,alles Dinge die kennt und versteht,\Nverschiedene Sachen hintereinander gesehen Dialogue: 0,0:41:29.60,0:41:33.96,Default,,0000,0000,0000,,haben bei der ersten stage von dem Exploit\Nden sie da beobachtet haben und zwar das Dialogue: 0,0:41:33.96,0:41:39.20,Default,,0000,0000,0000,,war erstmal dass der iMessage Prozess der\Neinem Transfer Agent Sachen runterlädt, Dialogue: 0,0:41:39.20,0:41:44.36,Default,,0000,0000,0000,,eine Datei wird angelegt und dann wird ein\NProzess aktiv den den es da eigentlich Dialogue: 0,0:41:44.36,0:41:48.24,Default,,0000,0000,0000,,nicht geben sollte und dieses Bündel an\NDinge die hintereinander passieren dann Dialogue: 0,0:41:48.24,0:41:52.04,Default,,0000,0000,0000,,irgendwie relativ bemerkenswert ist und\Nidentifizieren das Verhalten für diesen Dialogue: 0,0:41:52.04,0:41:56.96,Default,,0000,0000,0000,,Angriff und genau an an solchen Sammlungen\Nvon Dingen die schnell hintereinander Dialogue: 0,0:41:56.96,0:42:03.20,Default,,0000,0000,0000,,passieren kann man auch Malware finden.\NUnd damit gebe ich weiter an Janik der Dialogue: 0,0:42:03.20,0:42:08.24,Default,,0000,0000,0000,,euch Sachen zu Android zeigt.\NJ: Genau wir müssen mal schauen, wie Dialogue: 0,0:42:08.24,0:42:11.68,Default,,0000,0000,0000,,schnell wir das schaffen und ob wir noch\NZeit für Fragen haben aber ansonsten haben Dialogue: 0,0:42:11.68,0:42:18.88,Default,,0000,0000,0000,,wir auch noch ein Workshop in zwei Stunden\Ngenau. Ja aber zu Android es ist ein Dialogue: 0,0:42:18.88,0:42:23.72,Default,,0000,0000,0000,,bisschen das Gleiche aber man muss schon\Nsagen dass Android weniger solche Dialogue: 0,0:42:23.72,0:42:28.20,Default,,0000,0000,0000,,Logdateien schreibt auf die man zugreifen\Nkann um die forensisch zu analysieren im Dialogue: 0,0:42:28.20,0:42:32.72,Default,,0000,0000,0000,,Vergleich zu iOS, einige Sachen sind aber\Nähnlich z.B kann ich mir hier auf Android Dialogue: 0,0:42:32.72,0:42:36.00,Default,,0000,0000,0000,,auch angucken welche Applikationen sind\Ninstalliert, das kann ich natürlich auch Dialogue: 0,0:42:36.00,0:42:39.56,Default,,0000,0000,0000,,auf dem Gerät machen und bei Stalkerware\Nwerde ich da vielleicht auch fündig, man Dialogue: 0,0:42:39.56,0:42:45.96,Default,,0000,0000,0000,,kann dann auch manchmal Apps verstecken\Ngenau. Wie man es macht wenn man es an den Dialogue: 0,0:42:45.96,0:42:52.48,Default,,0000,0000,0000,,PC anschließt ist man benutzt ADB und über\Nadb shell kann man eben commands auf dem Dialogue: 0,0:42:52.48,0:42:56.72,Default,,0000,0000,0000,,Telefon direkt ausführen das werdet ihr\Njetzt eigentlich häufiger sehen in den Dialogue: 0,0:42:56.72,0:43:02.80,Default,,0000,0000,0000,,Folien und zwar mit dem Tool PM kann man\Nsich die Packages Listen das -U ist dafür Dialogue: 0,0:43:02.80,0:43:07.44,Default,,0000,0000,0000,,dass man auch den uninstallierte\NApplikationen sieht, das i ist dafür dass Dialogue: 0,0:43:07.44,0:43:12.32,Default,,0000,0000,0000,,man sieht wer hat diese App installiert\Ndas besonders spannend und das F zeigt Dialogue: 0,0:43:12.32,0:43:18.64,Default,,0000,0000,0000,,einen auch an wo die Datei liegt dieser\NApp genau, hier habe ich euch ein Dialogue: 0,0:43:18.64,0:43:22.40,Default,,0000,0000,0000,,Screenshot gemacht wie das aussieht und\Nhier sieht man jetzt z.B Installer ist com Dialogue: 0,0:43:22.40,0:43:26.84,Default,,0000,0000,0000,,Google Android package Installer, das ist\Nder Standard Installer wenn ihr z.B euch Dialogue: 0,0:43:26.84,0:43:30.96,Default,,0000,0000,0000,,eine App runterladet mit Chrome auf eurem\NAndroid Telefon da drauf klickt und Dialogue: 0,0:43:30.96,0:43:37.12,Default,,0000,0000,0000,,installieren klickt, dann sieht das so\Naus, das ist also unauffällig für Dialogue: 0,0:43:37.12,0:43:41.28,Default,,0000,0000,0000,,Staatstrojaner aber für Stalker-ware\Neventuell interessant. Was man bei Dialogue: 0,0:43:41.28,0:43:45.84,Default,,0000,0000,0000,,Staatstrojaner z.B auch manchmal sieht ist\Ndass da einfach nan steht weil wenn man Dialogue: 0,0:43:45.84,0:43:48.52,Default,,0000,0000,0000,,ein Exploit hatte und der hat dann\Nirgendwie geschafft die Applikation zu Dialogue: 0,0:43:48.52,0:43:54.16,Default,,0000,0000,0000,,installieren oder der hat die eben einfach\Ndahineschoben wo die Apps sind und das Dialogue: 0,0:43:54.16,0:43:58.84,Default,,0000,0000,0000,,nicht eingetragen dann steht da nan, was\Nman manchmal noch sieht sind Systemdateien Dialogue: 0,0:43:58.84,0:44:02.88,Default,,0000,0000,0000,,von gewissen Herstellern wie hier ist\Njetzt was bekanntes von Samsung, da kann Dialogue: 0,0:44:02.88,0:44:08.04,Default,,0000,0000,0000,,man dann auch nachgucken. Da gibt's noch\Nweitere Informationen zu es ist leider Dialogue: 0,0:44:08.04,0:44:12.24,Default,,0000,0000,0000,,alles nicht so schön über dieses Interface\Naber man kann hier z.B wenn man wissen Dialogue: 0,0:44:12.24,0:44:17.84,Default,,0000,0000,0000,,will was sind Systemdateien, was sind\Nthird party Apps und was sind disabled Dialogue: 0,0:44:17.84,0:44:24.00,Default,,0000,0000,0000,,Apps dann kann man das Filtern mit den\Nparametern -s -3 und -d und das ist z.B Dialogue: 0,0:44:24.00,0:44:31.20,Default,,0000,0000,0000,,spannend wenn ich sehe manche Apps sind\Ndisabled das wird z.B mit Systemdateien Dialogue: 0,0:44:31.20,0:44:36.08,Default,,0000,0000,0000,,gerne System Apps gerne gemacht statt sie\Nzu deinstallieren dann kann ich hier Dialogue: 0,0:44:36.08,0:44:42.56,Default,,0000,0000,0000,,gucken wenn z.B so es gibt so bei Samsung\Nz.B so Security Services die in Apps Dialogue: 0,0:44:42.56,0:44:47.80,Default,,0000,0000,0000,,laufen und wenn die disabled sind dann ist\Ndas schon so eine Alarmglocke für hier ist Dialogue: 0,0:44:47.80,0:44:54.24,Default,,0000,0000,0000,,vielleicht Malbare. Genau dann gibt's noch\Ndas Tool Dumpsys und mit dem Tool Dumpsys Dialogue: 0,0:44:54.24,0:44:58.84,Default,,0000,0000,0000,,kann ich wenn ich ein konkretes package\Nangebe mir noch weitere Dateien mir Dialogue: 0,0:44:58.84,0:45:04.28,Default,,0000,0000,0000,,weitere Informationen dazu anschauen und\Ndas ist sind z.B die Dialogue: 0,0:45:04.28,0:45:08.84,Default,,0000,0000,0000,,installationszeitpunkte. Oft hat man wenn\Nman Fall analysiert zu Zeitpunkte die Dialogue: 0,0:45:08.84,0:45:12.76,Default,,0000,0000,0000,,interessant sind wenn jemand eine Grenze\Nübertreten hat oder wenn das Gerät bei der Dialogue: 0,0:45:12.76,0:45:17.72,Default,,0000,0000,0000,,Polizei war, weil weil es beschlagnammt\Nwurde und dann kann ich hier sehen, wann Dialogue: 0,0:45:17.72,0:45:21.28,Default,,0000,0000,0000,,wurde es installiert, wann wurde es das\Nletzte Mal geupdated und was ich auch sehe Dialogue: 0,0:45:21.28,0:45:27.40,Default,,0000,0000,0000,,ist welche Permissions hat es angefragt.\NGenau was auch spannend ist sind die Dialogue: 0,0:45:27.40,0:45:31.84,Default,,0000,0000,0000,,sogenannten intens die Intens sind sowas\Nwie Hooks die Apps notifying wenn gewisse Dialogue: 0,0:45:31.84,0:45:36.96,Default,,0000,0000,0000,,Dinge im System passieren und da gibt's\Nverschiedene Beispiele z.B Wenn es eine Dialogue: 0,0:45:36.96,0:45:40.92,Default,,0000,0000,0000,,ausgehende SMS gibt wenn es eine\Neingehende SMS gibt das hat legitime Dialogue: 0,0:45:40.92,0:45:45.92,Default,,0000,0000,0000,,Anwendungsfälle z.B eine eingehende SMS\Nist interessant für so Smsverifizierung Dialogue: 0,0:45:45.92,0:45:50.96,Default,,0000,0000,0000,,bei Apps bei Signal bei Whatsapp wird die\NApp dann benachrichtigt und wenn sie die Dialogue: 0,0:45:50.96,0:45:55.56,Default,,0000,0000,0000,,Permission hat, kann sie die dann auch\Nabfragen und die Verifikation machen. Was Dialogue: 0,0:45:55.56,0:45:58.60,Default,,0000,0000,0000,,ist auch auch gibt es Boot complete, das\Nkann interessant sein wann schaltet jemand Dialogue: 0,0:45:58.60,0:46:03.68,Default,,0000,0000,0000,,sein Handy aus wann schaltet das wieder\Nein z.B wenn Leute von der Demo ihr Handy Dialogue: 0,0:46:03.68,0:46:09.00,Default,,0000,0000,0000,,ausmachen und dann wieder anmachen, dann\Nkann ich das hier auch finden. Und das Dialogue: 0,0:46:09.00,0:46:14.84,Default,,0000,0000,0000,,sind die anderen die ich hier euch\Ngelistet hab, outgoing SMS, SMS data Dialogue: 0,0:46:14.84,0:46:20.12,Default,,0000,0000,0000,,received, new outgoing call, das sind\Nalles welche die Pegasus nachweislich Dialogue: 0,0:46:20.12,0:46:26.12,Default,,0000,0000,0000,,benutzt hat um notified zu werden, wenn\Nz.B neuer Anruf startet und dann ein Dialogue: 0,0:46:26.12,0:46:30.16,Default,,0000,0000,0000,,Prozess zu starten der diesen Anruf\Naufzeichnet und dann ausleitet, also das Dialogue: 0,0:46:30.16,0:46:35.96,Default,,0000,0000,0000,,ist auch besonders spannend, wenn die App\Ndiese Dinge diese Intens anmeldet beim Dialogue: 0,0:46:35.96,0:46:43.76,Default,,0000,0000,0000,,Betriebssystem. Genau das alles ist wieder\Ndas Gleiche wie bei AOS macht auch MVT für Dialogue: 0,0:46:43.76,0:46:48.68,Default,,0000,0000,0000,,euch und dann kriegt ihr so ein aus eine\NAusgabe in der Jason Datei und da müsst Dialogue: 0,0:46:48.68,0:46:51.76,Default,,0000,0000,0000,,ihr nicht diese ganzen commands eingeben\Nund das wird alles schön gruppiert für Dialogue: 0,0:46:51.76,0:46:55.76,Default,,0000,0000,0000,,euch. Ihr seht dann welche App ist das was\Nder package Name von wem wurde es Dialogue: 0,0:46:55.76,0:46:59.40,Default,,0000,0000,0000,,installiert, ist sie disabled oder nicht,\Nist es eine System app, ist es eine third Dialogue: 0,0:46:59.40,0:47:05.16,Default,,0000,0000,0000,,party App, welche Permissions hat sie, wo\Nliegen die Dateien dazu, das also super Dialogue: 0,0:47:05.16,0:47:10.32,Default,,0000,0000,0000,,hilfreich. Und was man eben auch machen\Nkann bei Android ist APKs runterladen hier Dialogue: 0,0:47:10.32,0:47:14.20,Default,,0000,0000,0000,,ist noch mal der manuelle weg ich würde\Nmir erst wie eben alle packages anzeigen Dialogue: 0,0:47:14.20,0:47:19.92,Default,,0000,0000,0000,,lassen dann würde ich mir den Pfad\Nanzeigen lassen zu der zu der App und dann Dialogue: 0,0:47:19.92,0:47:24.72,Default,,0000,0000,0000,,kann ich mit ADP pull kann man beliebige\NDateien herunterladen von Android Telefon Dialogue: 0,0:47:24.72,0:47:29.84,Default,,0000,0000,0000,,und die krieg ich dann so eben auch ist\Nein komischer Pfad aber kann man einfach Dialogue: 0,0:47:29.84,0:47:34.56,Default,,0000,0000,0000,,copypasten und dann habt ihr die APK und\Ndann könnt ihr die natürlich reversen, Dialogue: 0,0:47:34.56,0:47:40.04,Default,,0000,0000,0000,,APKs sind einfach nur zipdateien die sind\Ndann auch noch signiert aber im Prinzip Dialogue: 0,0:47:40.04,0:47:45.64,Default,,0000,0000,0000,,kann man die auspacken und dann liegt da\Nkompiliertes Java oder kotlin drin. Was Dialogue: 0,0:47:45.64,0:47:50.96,Default,,0000,0000,0000,,man aber auch machen kann ist die bei\NVirustotal hochzuladen, da hat MVT tooling Dialogue: 0,0:47:50.96,0:47:56.24,Default,,0000,0000,0000,,für euch, da müsst ihr euch einmal ein API\Nkey besorgen zu Virustotal und dann könnt Dialogue: 0,0:47:56.24,0:48:00.40,Default,,0000,0000,0000,,ihr die hochladen und dann kriegt ihr hier\Neine schöne Tabelle welche Apps welches Dialogue: 0,0:48:00.40,0:48:04.52,Default,,0000,0000,0000,,Ergebnis bei Virustotal hatten und hier\Nseht ihr jetzt in dem Beispiel den Dialogue: 0,0:48:04.52,0:48:08.48,Default,,0000,0000,0000,,packagen den ich zensiert habe weil wir\Nspäter ein Workshop da könnt ihr diese Dialogue: 0,0:48:08.48,0:48:14.44,Default,,0000,0000,0000,,Stalker-ware auf dem Android Telefon finden\Ndie wurde jetzt bei 39 von 76 wir Dialogue: 0,0:48:14.44,0:48:19.16,Default,,0000,0000,0000,,Virusscannern bei Virustotal eben als\Nmalicious erkannt und da kann man dann Dialogue: 0,0:48:19.16,0:48:25.80,Default,,0000,0000,0000,,schon aus davon ausgehen das das ist.\NGenau dann gibt bei Virustotal noch die Dialogue: 0,0:48:25.80,0:48:30.48,Default,,0000,0000,0000,,accessibility Services. Die accessibility\NService sind ja Apps die man sich Dialogue: 0,0:48:30.48,0:48:34.08,Default,,0000,0000,0000,,installieren kann für Barrierefreiheit,\Nwas eigentlich ein richtig cooles Feature Dialogue: 0,0:48:34.08,0:48:40.48,Default,,0000,0000,0000,,ist und auch dass das so modular ist, weil\Nman je nachdem welche Hilfen man braucht Dialogue: 0,0:48:40.48,0:48:45.72,Default,,0000,0000,0000,,um sein Telefon barrierefrei oder arm\Nnutzen zu können da gewisse Apps Dialogue: 0,0:48:45.72,0:48:50.20,Default,,0000,0000,0000,,runterladen kann und die dann aktivieren\Nund deaktivieren kann, aber damit sowas Dialogue: 0,0:48:50.20,0:48:54.40,Default,,0000,0000,0000,,funktioniert haben diese accessibility\NServices so Berechtigungen dass die alles Dialogue: 0,0:48:54.40,0:48:59.00,Default,,0000,0000,0000,,auf eurem Bildschirm lesen en können und\Nauch z.B Buttons klicken können. Und dann Dialogue: 0,0:48:59.00,0:49:02.04,Default,,0000,0000,0000,,können diese Apps z.B auch verhindern wenn\Nihr in die Einstellung geht und Dialogue: 0,0:49:02.04,0:49:05.16,Default,,0000,0000,0000,,deinstallieren drückt, dann kann das das\NLesen kriegt das mit und klickt dann für Dialogue: 0,0:49:05.16,0:49:09.04,Default,,0000,0000,0000,,euch direkt auf abbrechen und dann könnt\Nihr nicht auf ja ok ich bin mir sicher Dialogue: 0,0:49:09.04,0:49:13.64,Default,,0000,0000,0000,,bitte die installieren klicken das\Nnatürlich blöd genau und das wurde in der Dialogue: 0,0:49:13.64,0:49:19.68,Default,,0000,0000,0000,,Vergangenheit eben auch für Spyware und\NStalkereare verwendet. Google weiß das Dialogue: 0,0:49:19.68,0:49:24.16,Default,,0000,0000,0000,,aber natürlich auch und ist ja immer\Nrestriktiver was was das angeht und ab Dialogue: 0,0:49:24.16,0:49:28.92,Default,,0000,0000,0000,,Android 13 geht das z.B. nur noch wenn die\NApps aus dem PlayStore kommen. Das könnt Dialogue: 0,0:49:28.92,0:49:36.08,Default,,0000,0000,0000,,ihr euch auch händisch angucken, hier ist\Nein Beispiel aber gibt's auch mit MVT, ist Dialogue: 0,0:49:36.08,0:49:40.52,Default,,0000,0000,0000,,viel einfacher, könnt euch angucken ich\Nbeeile mich jetzt ein bisschen. Prozesse Dialogue: 0,0:49:40.52,0:49:45.08,Default,,0000,0000,0000,,könnt euch auch angucken, das ist vor\Nallem interessant wenn es state-Sponsored- Dialogue: 0,0:49:45.08,0:49:49.56,Default,,0000,0000,0000,,Spyware ist und keine einfache\NStalkerware. Ihr könnt tatsächlich einfach Dialogue: 0,0:49:49.56,0:49:52.92,Default,,0000,0000,0000,,PS ausführen wie ihr das auf einem Linux\NSystem auch macht und dann kriegt ihr die Dialogue: 0,0:49:52.92,0:50:01.76,Default,,0000,0000,0000,,Prozessnamen. Genau gibt's auch wieder ein\NPackage bei MVT ja genau und jetzt kurz Dialogue: 0,0:50:01.76,0:50:07.24,Default,,0000,0000,0000,,noch zu den Arten von Exploits die es\Ngibt. Man unterscheidet Zero click Dialogue: 0,0:50:07.24,0:50:11.80,Default,,0000,0000,0000,,Exploits das sind Exploit die\Nfunktionieren ohne Zutun des Opfers also Dialogue: 0,0:50:11.80,0:50:16.76,Default,,0000,0000,0000,,man muss nicht irgendwie in der SMS auf\Nden Link klicken damit der Exploit Dialogue: 0,0:50:16.76,0:50:22.60,Default,,0000,0000,0000,,getriggert wird und da kann man sich dann\Nüberlegen, wo findet man sowas haben wir Dialogue: 0,0:50:22.60,0:50:25.48,Default,,0000,0000,0000,,auch schon anderen vortragen gehört\NBasebands sind interessant, also die Dialogue: 0,0:50:25.48,0:50:29.20,Default,,0000,0000,0000,,mobilfunk Schnittstelle eures Telefons\Ngewisse Messenger, also es könnte Dialogue: 0,0:50:29.20,0:50:34.56,Default,,0000,0000,0000,,natürlich Exploits geben in WhatsApp,\NiMessage, Signal hat man auch alles schon Dialogue: 0,0:50:34.56,0:50:41.08,Default,,0000,0000,0000,,gesehen im Browser alles was irgendwie\NDaten ja beliebige Daten irgendwo aus dem Dialogue: 0,0:50:41.08,0:50:45.44,Default,,0000,0000,0000,,Internet zieht und dann verarbeitet.\NBluetooth und WiFi wären auch interessant Dialogue: 0,0:50:45.44,0:50:52.72,Default,,0000,0000,0000,,ist mir jetzt nichts bekannt aber auch\Nmöglich. Das Andere sind eben One Click Dialogue: 0,0:50:52.72,0:50:57.76,Default,,0000,0000,0000,,Exploits wo ich also irgendwas anklicken\Nmuss, das ist meistens ein Link und den Dialogue: 0,0:50:57.76,0:51:03.80,Default,,0000,0000,0000,,kann ich dann aber auch finden z.B in der\NWhatsApp history z.B z.B MVT auch ein Dialogue: 0,0:51:03.80,0:51:09.52,Default,,0000,0000,0000,,Feature was alle WhatsApp Nachrichten vom\NTelefon zieht und dann nach den Links Dialogue: 0,0:51:09.52,0:51:12.84,Default,,0000,0000,0000,,Filter damit ihr nur die Links angucken\Nkönnt, weil es sind sonst zu viele Dialogue: 0,0:51:12.84,0:51:16.20,Default,,0000,0000,0000,,Nachrichten und außerdem wollt ihr die ja\Nnicht lesen, ihr wollt ja nur Dialogue: 0,0:51:16.20,0:51:22.04,Default,,0000,0000,0000,,Malewarefinden und da ist das dann auch\Nsehr hilfreich. Ja, um Schluss nur noch Dialogue: 0,0:51:22.04,0:51:27.08,Default,,0000,0000,0000,,ein kurzer Aufruf bitte meldet eure\NSicherheitslücken, wenn ihr die irgendwo Dialogue: 0,0:51:27.08,0:51:32.16,Default,,0000,0000,0000,,findet, verkauft die nicht irgendwie bei\Nzerodium oder an die nSo-Group oder an die Dialogue: 0,0:51:32.16,0:51:53.59,Default,,0000,0000,0000,,intellex Alliance und macht damit das\NInternet sicherer für uns alle genau. Dialogue: 0,0:51:53.59,0:51:53.63,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,0:51:53.63,0:51:57.20,Default,,0000,0000,0000,,Herald: Das war doch ein sehr schöner\NAufruf zum Schluss, ich wäre jetzt dafür Dialogue: 0,0:51:57.20,0:52:01.44,Default,,0000,0000,0000,,zu den Fragen überzugehen wenn es für euch\Nok ist und wir haben auch schon die ersten Dialogue: 0,0:52:01.44,0:52:10.20,Default,,0000,0000,0000,,Leute da stehen da hinten am Mikrofon 2.\NFrage: Hi ihr habt eben die accessibility Dialogue: 0,0:52:10.20,0:52:17.52,Default,,0000,0000,0000,,Services erwähnt beim Android das ja ab\NVersion 13 nicht mehr oder nur Dialogue: 0,0:52:17.52,0:52:22.44,Default,,0000,0000,0000,,eingeschränkt verfügbar sind für Apps aus\Ndem App Store und da frage ich mich jetzt, Dialogue: 0,0:52:22.44,0:52:26.52,Default,,0000,0000,0000,,dass weil Google ja immer sehr fahrlässig\Nja immer fahrlässiger umgeht mit sehen Dialogue: 0,0:52:26.52,0:52:30.44,Default,,0000,0000,0000,,APS, wie soll das dann mit afdroid\Nfunktionieren? Mit anderen App Stores und Dialogue: 0,0:52:30.44,0:52:36.64,Default,,0000,0000,0000,,wie soll das a) einmal compliant sein mit\NEU Regulation aber auf der anderen Seite Dialogue: 0,0:52:36.64,0:52:40.08,Default,,0000,0000,0000,,wie stelle ich mir das jetzt vor wenn ich\Njetzt z.B sowas wie Password Manager habe Dialogue: 0,0:52:40.08,0:52:45.24,Default,,0000,0000,0000,,und die aus afdroid BZI wie bitorn dann\Nbin ich erstmal aufgeschmissen ab Android Dialogue: 0,0:52:45.24,0:52:50.76,Default,,0000,0000,0000,,13 so wie ich das jetzt verstehe. Antwort:\NAlso ich bin mir nicht ganz sicher wie das Dialogue: 0,0:52:50.76,0:52:55.32,Default,,0000,0000,0000,,funktioniert, ich habe auch schon gelesen\Nes gibt Workarounds dafür wenn man als Dialogue: 0,0:52:55.32,0:52:59.80,Default,,0000,0000,0000,,User dann explizit noch mal hier und da\Nklickt kann man es wieder aktivieren das Dialogue: 0,0:52:59.80,0:53:03.68,Default,,0000,0000,0000,,müsste man wirklich noch mal nachgucken\Nund wenn du dir jetzt z.B vielleicht auch Dialogue: 0,0:53:03.68,0:53:07.52,Default,,0000,0000,0000,,eine Custom Firmware installierst kannst\Ndu natürlich da auch Andere AppStores Dialogue: 0,0:53:07.52,0:53:12.08,Default,,0000,0000,0000,,freischalten als den PlayStore, damit die\NApps die dadurch installiert werden diese Dialogue: 0,0:53:12.08,0:53:17.12,Default,,0000,0000,0000,,Möglichkeit auch kriegen, bei Password-\NManagern gibt's aber eine Lösung ja also Dialogue: 0,0:53:17.12,0:53:22.64,Default,,0000,0000,0000,,genau ich habe auch Bitwarden und es gibt\Nda die Funktion autofill die auch dafür Dialogue: 0,0:53:22.64,0:53:27.04,Default,,0000,0000,0000,,funktioniert und da kannst du Formulare\Naus en also explizit nur um Formulare Dialogue: 0,0:53:27.04,0:53:30.84,Default,,0000,0000,0000,,auszufüllen gibt diese autofilfunktion und\Ndann brauchst du nicht die größeren Dialogue: 0,0:53:30.84,0:53:35.08,Default,,0000,0000,0000,,Permissions der accessibility Services.\NMit EU Regulierungen kenne ich mich leider Dialogue: 0,0:53:35.08,0:53:39.00,Default,,0000,0000,0000,,nicht aus, tut mir leid.\NEntschuldigung ich habe noch eine Sache Dialogue: 0,0:53:39.00,0:53:42.08,Default,,0000,0000,0000,,dazwischen und zwar was wir glaube ich gar\Nnicht so explizit erwähnt haben es gibt Dialogue: 0,0:53:42.08,0:53:46.76,Default,,0000,0000,0000,,fast einen zweiten Teil zu dem was wir\Nhier gerade machen in einer Stunde in Dialogue: 0,0:53:46.76,0:53:52.84,Default,,0000,0000,0000,,genau 14:15 Uhr stage H, da oben steht ja\Ngenau nur dass ihr das mal gehört habt und Dialogue: 0,0:53:52.84,0:53:57.28,Default,,0000,0000,0000,,wir haben praktische Aufgaben zum selber\Nmachen ausprobieren vorbereitet und Dialogue: 0,0:53:57.28,0:54:01.80,Default,,0000,0000,0000,,mitgebracht und eventuell falls wir auch\Nhier nicht dazu kommen alle Fragen zu Dialogue: 0,0:54:01.80,0:54:05.30,Default,,0000,0000,0000,,beantworten ist da noch mal Raum und Zeit\Nfür Weiteres. Dialogue: 0,0:54:05.30,0:54:08.72,Default,,0000,0000,0000,,Herald: Genau aber wir machen jetzt weiter\Nmit dem Signal Angel weil die Dialogue: 0,0:54:08.72,0:54:12.06,Default,,0000,0000,0000,,Internetfragen können nicht so einfach\Nspäter gestellt werden, also lieber Signal Dialogue: 0,0:54:12.06,0:54:14.48,Default,,0000,0000,0000,,Angel.\NFrage vom Signal Angel: Ja das Internet Dialogue: 0,0:54:14.48,0:54:18.76,Default,,0000,0000,0000,,möchte einmal wissen ob Telefone mit\Nalternativen Betriebssystemen wie Grafin Dialogue: 0,0:54:18.76,0:54:23.50,Default,,0000,0000,0000,,OS z.B sicherer sind und ob es da auch\Nnachgewiesene Angriffe gab. Dialogue: 0,0:54:23.50,0:54:29.00,Default,,0000,0000,0000,,Antwort: Ja natürlich kann man alternative\NBetriebssysteme installieren die Wert auf Dialogue: 0,0:54:29.00,0:54:34.48,Default,,0000,0000,0000,,Sicherheit legen griffinos empfehlen wir\Nauch häufig JournalistInnen die besonders Dialogue: 0,0:54:34.48,0:54:41.76,Default,,0000,0000,0000,,bedroht sind. Was genau also und da gibt's\Nwirklich sehr gute Mechanismen wie z.B mit Dialogue: 0,0:54:41.76,0:54:47.96,Default,,0000,0000,0000,,dem neuen Pixel memory Tagging Support\Nwirklich starke Empfehlung das zu benutzen Dialogue: 0,0:54:47.96,0:54:53.12,Default,,0000,0000,0000,,was man bei iPhones machen kann ist den\NLockdown Mode einschalten wenn ihr bei in Dialogue: 0,0:54:53.12,0:54:57.48,Default,,0000,0000,0000,,den Einstellungen bei eurem iPhone auf\Nsecurity geht und ganz nach unten scrollt Dialogue: 0,0:54:57.48,0:55:01.12,Default,,0000,0000,0000,,auf Deutsch ist das Blockierungsmodus\Naktiviert das da steht da noch mal was Dialogue: 0,0:55:01.12,0:55:06.68,Default,,0000,0000,0000,,genau das verändert aber auch eine gute\NEmpfehlung. Spyware Angriffe mit Exploits Dialogue: 0,0:55:06.68,0:55:11.60,Default,,0000,0000,0000,,auf grafinoS sind mir nicht bekannt ich\Nglaube es gab noch keine das heißt aber Dialogue: 0,0:55:11.60,0:55:15.40,Default,,0000,0000,0000,,natürlich nicht dass es nicht welche gab,\Nalso es ist natürlich trotzdem möglich Dialogue: 0,0:55:15.40,0:55:17.80,Default,,0000,0000,0000,,eventuell sind die Exploit chains dann\Neben teurer. Dialogue: 0,0:55:17.80,0:55:23.08,Default,,0000,0000,0000,,Herald: okay dann bitte Mikrofon 1.\NFrage: Ja hallo meine Frage schließt genau Dialogue: 0,0:55:23.08,0:55:28.64,Default,,0000,0000,0000,,dort an, bei grafino gibt's ja diese\NAuditor App die auch von denen selbst Dialogue: 0,0:55:28.64,0:55:32.32,Default,,0000,0000,0000,,bereitgestellt wird, habt ihr damit\Nirgendwelche Erfahrungen, macht das Sinn, Dialogue: 0,0:55:32.32,0:55:36.32,Default,,0000,0000,0000,,vertraut ihr auch diesem attention Service\Nden die selbst betreiben? Dialogue: 0,0:55:36.32,0:55:42.00,Default,,0000,0000,0000,,Antwort: Genau es gibt diese Auditor App\Ndie eben verifiziert dass dein Dialogue: 0,0:55:42.00,0:55:44.92,Default,,0000,0000,0000,,Betriebssystem noch dein Betriebssystem\Nist und macht das auch über Remote Dialogue: 0,0:55:44.92,0:55:49.68,Default,,0000,0000,0000,,attestation das heißt du hast eine\Nkryptographische Challenge die du nur Dialogue: 0,0:55:49.68,0:55:55.00,Default,,0000,0000,0000,,lösen kannst wenn dein Betriebssystem\Nnicht manipuliert wurde und du Zugriff auf Dialogue: 0,0:55:55.00,0:55:58.52,Default,,0000,0000,0000,,gewisse Keys hast und das überprüft ein\Nexterner Service und der schickt dir dann Dialogue: 0,0:55:58.52,0:56:01.72,Default,,0000,0000,0000,,ja eine E-Mail mit so\NTotmannschalterprinzip, wenn das nicht Dialogue: 0,0:56:01.72,0:56:07.16,Default,,0000,0000,0000,,geklappt hat. Das ist auf jeden Fall eine\Ncoole Lösung, kann ich empfehlen das zu Dialogue: 0,0:56:07.16,0:56:10.80,Default,,0000,0000,0000,,benutzen wenn du dem Server von griffino\Nes nicht vertraust kann man ja zum Glück Dialogue: 0,0:56:10.80,0:56:15.84,Default,,0000,0000,0000,,selber einen betreiben. Wir haben uns auch\Nz.B mal überlegt so ein zu betreiben und Dialogue: 0,0:56:15.84,0:56:20.20,Default,,0000,0000,0000,,JournalistInnen anzubieten haben das jetzt\Nnoch nicht umgesetzt aber du kannst ja Dialogue: 0,0:56:20.20,0:56:24.60,Default,,0000,0000,0000,,auch ein betreiben und auch öffentlich\Nstellen oder andere Organisationen können Dialogue: 0,0:56:24.60,0:56:28.12,Default,,0000,0000,0000,,das machen, das ist auf jeden Fall auch\Neine gute Methode um mitzukriegen wann man Dialogue: 0,0:56:28.12,0:56:30.98,Default,,0000,0000,0000,,eventuell so ein Angriff ausgesetzt wurde.\NFrage: Cool danke. Dialogue: 0,0:56:30.98,0:56:33.82,Default,,0000,0000,0000,,Herald: Danke die nächste Frage aus dem\NInternet bitte. Dialogue: 0,0:56:33.82,0:56:38.64,Default,,0000,0000,0000,,Frage: Das Internet möchte noch wissen wie\Nsich das beim iPhone verhält, wenn die Dialogue: 0,0:56:38.64,0:56:42.28,Default,,0000,0000,0000,,Methoden die ja hauptsächlich auf dem\NBackup und auf Fehlern von Angreifern Dialogue: 0,0:56:42.28,0:56:46.20,Default,,0000,0000,0000,,beruhen in der Forensik, wenn sich die\NAngreifer verbessern und weniger Fehler Dialogue: 0,0:56:46.20,0:56:48.50,Default,,0000,0000,0000,,machen welche Auswirkung das dann haben\Nwürde? Dialogue: 0,0:56:48.50,0:56:54.12,Default,,0000,0000,0000,,Antwort: Also na ja das ist das deshalb\Ngab es eine Folie mit dem Namen Katz und Dialogue: 0,0:56:54.12,0:56:59.32,Default,,0000,0000,0000,,Mauspiel so ist bis jetzt ist der Zustand\Nnoch nicht eingetreten dass Leute es Dialogue: 0,0:56:59.32,0:57:05.84,Default,,0000,0000,0000,,geschafft haben völlig spurenfreie Spyware\Nzu schreiben, aber das Problem ist also Dialogue: 0,0:57:05.84,0:57:09.60,Default,,0000,0000,0000,,wenn man davon ausgeht Leute haben\Nbeliebig viel Zeit und beliebig viel Geld Dialogue: 0,0:57:09.60,0:57:14.64,Default,,0000,0000,0000,,um beliebig viele Exploits zu kaufen um\NSicherheitsmechanismen auszubrechen ist es Dialogue: 0,0:57:14.64,0:57:19.04,Default,,0000,0000,0000,,natürlich technisch möglich dass wir es\Nirgendwann mit zweibytes zu tun haben die Dialogue: 0,0:57:19.04,0:57:23.44,Default,,0000,0000,0000,,einfach keine Spuren mehr hinterlässt. So\Ndas würde vielleicht immer noch im Dialogue: 0,0:57:24.16,0:57:28.92,Default,,0000,0000,0000,,Netzwerk Traffic würde man Sachen sehen\Naber auch das kann man ja irgendwie Dialogue: 0,0:57:28.92,0:57:33.76,Default,,0000,0000,0000,,beliebig kompliziert verstecken, deshalb\Nja wir haben kein Anrecht darauf man hat Dialogue: 0,0:57:33.76,0:57:40.44,Default,,0000,0000,0000,,kein Anrecht darauf etwas finden zu können\Nund ja bis jetzt geht es aber das ist Dialogue: 0,0:57:40.44,0:57:45.04,Default,,0000,0000,0000,,ungeklärt und eigentlich eine Sache je\Nmehr Geld da reingesteckt wird in dieses Dialogue: 0,0:57:45.04,0:57:48.12,Default,,0000,0000,0000,,Spyunternehmen und vor allem auch je\Nschlechter die europäischen Dialogue: 0,0:57:48.12,0:57:51.56,Default,,0000,0000,0000,,Exportkontrollen funktionieren und das\NGeld dann da tatsächlich auch reinwandert Dialogue: 0,0:57:52.56,0:57:56.32,Default,,0000,0000,0000,,ja desto schlechter sieht es eigentlich\Naus mit der der Sicherheit von Menschen in Dialogue: 0,0:57:56.32,0:58:00.80,Default,,0000,0000,0000,,der Zivilgesellschaft. Aber was da\Nnatürlich wünschenswert wäre ist wenn z.B Dialogue: 0,0:58:00.80,0:58:05.20,Default,,0000,0000,0000,,iPhones auch so ein Remote adustation\NFeature hätten, das könnte natürlich eine Dialogue: 0,0:58:05.20,0:58:12.76,Default,,0000,0000,0000,,Möglichkeit sein ja und aber natürlich\Narbeitet Apple auch weiter in Ihrem Dialogue: 0,0:58:12.76,0:58:19.00,Default,,0000,0000,0000,,Betriebssystem und dann kann es auch sein\Ndass wieder irgendwo Spuren auftauchen die Dialogue: 0,0:58:19.00,0:58:22.98,Default,,0000,0000,0000,,es vorher noch nicht gab.\NHerald: Mikrofon 3 bitte. Dialogue: 0,0:58:22.98,0:58:28.20,Default,,0000,0000,0000,,Frage: Hallo guten Morgen, kurze Frage ich\Nhabe letztens glaube ich gelesen dass Dialogue: 0,0:58:28.20,0:58:34.24,Default,,0000,0000,0000,,Microsoft eingeklagt hat einen neuen Store\Nauf iOS veröffentlichen zu dürfen, würde Dialogue: 0,0:58:34.24,0:58:37.96,Default,,0000,0000,0000,,das also wie würde die Frage dazu wie\Nwürde das die Forensik bzw die Dialogue: 0,0:58:37.96,0:58:44.12,Default,,0000,0000,0000,,Exploitmöglichkeiten von iOS verändern?\NAntwort: Ich glaube das hängt vor allem Dialogue: 0,0:58:44.12,0:58:49.60,Default,,0000,0000,0000,,davon ab wie die das genau umsetzen\Nwürden. Angenommen es gibt dann genau zwei Dialogue: 0,0:58:49.60,0:58:58.40,Default,,0000,0000,0000,,App Stores vielleicht erstmal nicht so\Nstark angenommen es gibt Siteloading, dann Dialogue: 0,0:58:58.40,0:59:01.68,Default,,0000,0000,0000,,gehen diese ganzen Sachen auf\NAnalysetechniken auf die man auch bei Dialogue: 0,0:59:01.68,0:59:07.92,Default,,0000,0000,0000,,Android die wir gezeigt haben mit, welche\NApps wurden da jetzt selber installiert. Dialogue: 0,0:59:07.92,0:59:13.16,Default,,0000,0000,0000,,Es vielleicht fallen diese also es gibt ja\NMechanismen die eigentlich dazu führen Dialogue: 0,0:59:13.16,0:59:17.20,Default,,0000,0000,0000,,sollen dass nur gutartige und nette Apps\Nim Apple App Store landen und keine Dialogue: 0,0:59:17.20,0:59:20.88,Default,,0000,0000,0000,,bösartigen, eventuell gibt's dann ganz\Nviele, aber das jetzt alles Spekulation, Dialogue: 0,0:59:20.88,0:59:23.76,Default,,0000,0000,0000,,also ich glaub da muss man einfach gucken\Nwas passiert und wie das genau umgesetzt Dialogue: 0,0:59:23.76,0:59:28.16,Default,,0000,0000,0000,,wird ja.\NHerald: Mikrofon 1 bitte. Dialogue: 0,0:59:28.16,0:59:33.44,Default,,0000,0000,0000,,Frage: Ja Frage eher an Janiik\Nwahrscheinlich, was hältst du von dem work Dialogue: 0,0:59:33.44,0:59:39.36,Default,,0000,0000,0000,,Mode in Android wo man so also manche\Nverwenden um Apps zu installieren die zu Dialogue: 0,0:59:39.36,0:59:43.12,Default,,0000,0000,0000,,den man irgendwie gezwungen wird und die\Nman aber eigentlich nicht mehr angucken Dialogue: 0,0:59:43.12,0:59:47.84,Default,,0000,0000,0000,,möchte. Kann man das machen oder kann man\Nsich die Mühe da auch sparen und we was Dialogue: 0,0:59:47.84,0:59:50.78,Default,,0000,0000,0000,,ich ein zweites Handy nehmen oder gar kein\NHandy? Dialogue: 0,0:59:50.78,0:59:58.08,Default,,0000,0000,0000,,Antwort: Da kann ich dir die Dokumentation\Nvon empfehlen der workmode ist ja nur ein Dialogue: 0,0:59:58.08,1:00:03.28,Default,,0000,0000,0000,,besonderer sekundärer Benutzermodus also\Ndu hast ja auf Android generell die Dialogue: 0,1:00:03.28,1:00:07.64,Default,,0000,0000,0000,,Möglichkeit keinen sekundäre Benutzer zu\Nerstellen und für die z.B auch eigene Dialogue: 0,1:00:07.64,1:00:12.04,Default,,0000,0000,0000,,Passwörter zu wählen und die haben dann\Nauch andere Keys für die filebased Dialogue: 0,1:00:12.04,1:00:16.68,Default,,0000,0000,0000,,encryption das heißt wenn man das eine\NPasswort knacken würde, würde man Dialogue: 0,1:00:16.68,1:00:20.44,Default,,0000,0000,0000,,eventuell nicht auf die sekundären Nutzer\Nzugreifen was auch ein cooles Feature ist Dialogue: 0,1:00:20.44,1:00:24.60,Default,,0000,0000,0000,,und z.B auch hilfreich sein kann für\NGrenzkontrollen mit so entsperen man dein Dialogue: 0,1:00:24.60,1:00:28.04,Default,,0000,0000,0000,,Hand und dann entsperst du nur einen\NBenutzer nicht den anderen und da könnte Dialogue: 0,1:00:28.04,1:00:31.84,Default,,0000,0000,0000,,man auch coole Sachen bauen wie z.B mit\Neinem password was anderes entsperren als Dialogue: 0,1:00:31.84,1:00:36.24,Default,,0000,0000,0000,,beim anderen ähnlich wie be veracrypt und\Nder workmode ist ja nur ein Shortcut dass Dialogue: 0,1:00:36.24,1:00:39.80,Default,,0000,0000,0000,,ich nicht erst den Benutzer wechseln muss\Num diese App zu starten sondern ich habe Dialogue: 0,1:00:39.80,1:00:44.56,Default,,0000,0000,0000,,die App dann automatisch in meinem\Nprimären Benutzerprofil und die startet Dialogue: 0,1:00:44.56,1:00:50.64,Default,,0000,0000,0000,,sich dann automatisch in in diesem\Nsekundären Benutzer ja und das ist eine Dialogue: 0,1:00:50.64,1:00:54.48,Default,,0000,0000,0000,,zusätzliche Isolation also das ja\Nnormalerweise sowieso App Sandbox auf Dialogue: 0,1:00:54.48,1:00:58.08,Default,,0000,0000,0000,,Android und die Apps können nur\Nmiteinander kommunizieren wenn Sie beide Dialogue: 0,1:00:58.08,1:01:02.28,Default,,0000,0000,0000,,Zugriff auf den gleichen Datei\NSpeeicherort haben musst du die Permission Dialogue: 0,1:01:02.28,1:01:05.24,Default,,0000,0000,0000,,geben oder wenn Sie beide anmelden ich\Nmöchte mit der App kommunizieren die Dialogue: 0,1:01:05.24,1:01:09.08,Default,,0000,0000,0000,,andere meldet auch an ich möchte mit der\NApp kommunizieren, dann können Sie so eine Dialogue: 0,1:01:09.08,1:01:13.68,Default,,0000,0000,0000,,Art Interprozesskommunikation machen und\Nsowas würdest du unterbinden z.B wenn du Dialogue: 0,1:01:13.68,1:01:18.76,Default,,0000,0000,0000,,den workmode benutzt. Also dann könnte\Nnicht die App im workmode auf die anderen Dialogue: 0,1:01:18.76,1:01:23.12,Default,,0000,0000,0000,,Apps zugreifen ja kann man benutzen auf\Njeden Fall für Separierung. Dialogue: 0,1:01:23.12,1:01:26.28,Default,,0000,0000,0000,,Frage: Gut danke.\NHerald: Die Zeit für Fragen ist leider Dialogue: 0,1:01:26.28,1:01:29.96,Default,,0000,0000,0000,,vorbei ich merke es ist noch großes\NInteresse da, ihr seid in einer Stunde im Dialogue: 0,1:01:29.96,1:01:34.80,Default,,0000,0000,0000,,Workshop verfügbar Halle H, bitte einen\Nriesen Applaus für Janik Besendorf und Dialogue: 0,1:01:34.80,1:01:55.43,Default,,0000,0000,0000,,Viktor Schlüter. Dialogue: 0,1:01:55.43,1:01:57.96,Default,,0000,0000,0000,,{\i1}Applaus{\i0} Dialogue: 0,1:01:57.96,1:02:00.79,Default,,0000,0000,0000,,{\i1}Abspannmusik{\i0} Dialogue: 0,1:02:00.79,1:02:02.56,Default,,0000,0000,0000,,Untertitel von vielen vielen Freiwilligen und dem\NC3Subtitles Team erstellt. Mach mit und hilf uns!