< Return to Video

Einführung in Smartphone Malware Forensik

  • 0:00 - 0:13
    37C3 Vorspannmusik
  • 0:13 - 0:20
    Herald: Unser nächster Vortrag Einführung
    in die Small Smartphone Malware Forensics
  • 0:20 - 0:25
    sorry für den Versprecher wird gehalten
    von Viktor Schlüter und Janik Besendorf.
  • 0:25 - 0:31
    Die beiden sind beim Digital Security Lab
    von Reporter ohne Grenzen. Bitte begrüßt
  • 0:31 - 0:43
    die beiden zu ihrem Vortrag.
    Applaus
  • 0:43 - 0:47
    Viktor: Ja vielen Dank! Hallo hört man
    mich?
  • 0:47 - 0:51
    Janik: Ja jetzt vielen Dank für die schöne
    Vorstellung es freut uns dass so viele
  • 0:51 - 0:55
    gekommen sind und der Raum voll geworden
    ist. Er ist Viktor ich bin Janik in
  • 0:55 - 1:00
    unserem Talk geht's um Smartphone Malware
    Forensic also wie man Malware das ist
  • 1:00 - 1:06
    jegliche Schadsoftware seines
    Staatstrojaner, Stalker-ware, Adware auf
  • 1:06 - 1:15
    Smartphones finden kann. Und genau ist ein
    Einführungsvortrag ja und dazu erzählen
  • 1:15 - 1:19
    wir euch jetzt was. Wir arbeiten beim
    Digital Security Lab bei Reporter ohne
  • 1:19 - 1:25
    Grenzen. Wir wurden vor eineinhalb Jahren
    gegründet. Wir beschäftigen uns mit der IT
  • 1:25 - 1:28
    Sicherheit von JournalistInnen weltweit,
    wir bieten z.B auch IT
  • 1:28 - 1:32
    Sicherheitstrainings an und was wir
    hauptsächlich machen ist wir analysieren
  • 1:32 - 1:38
    digitale Angriffe auf JournalistInnen, das
    sind z.B Accountübernahmen aber der
  • 1:38 - 1:43
    Hauptfokus sind Angriffe mit
    Staatstrojanern auch bekannt als Spyware
  • 1:43 - 1:48
    und da machen wir Forschung dazu und man
    kann sich an uns wenden, wenn man der
  • 1:48 - 1:52
    Meinung ist, man ist vielleicht zu einem
    Angriff ausgesetzt worden und dann führen
  • 1:52 - 1:57
    wir eine forensische Analyse durch und
    Schreiben gegebenfalls ein Bericht dazu
  • 1:57 - 2:02
    und warum das wichtig ist, ist eben weil
    digital Angriffe meistens im Verborgenen
  • 2:02 - 2:06
    bleiben. Also wenn jemand einen
    Staatstrojaner auf eurem Smartphone
  • 2:06 - 2:09
    installiert dann merkt ihr das
    normalerweise nicht, das ist ja auch das
  • 2:09 - 2:12
    Ziel davon, ähnlich wie bei einer
    Telefonüberwachung das merkt ihr auch
  • 2:12 - 2:17
    nicht und deswegen ist es umso wichtiger
    dass forensische Analysen stattfinden dass
  • 2:17 - 2:22
    man sowas nachweist um es zu
    dokumentieren, zu veröffentlichen und die
  • 2:22 - 2:27
    Angreifer dann zur Verantwortung zu
    ziehen. Das waren z.B erst kürzlich
  • 2:27 - 2:37
    möglich bei einem Fall in Aserbaidschan,
    wo wir einen Pegasus Angriff bei einer
  • 2:37 - 2:42
    Journalistin nachweisen konnten. Das ist
    natürlich nicht der einzige solche
  • 2:42 - 2:46
    Angriffe davon gibt's jede Menge, hier
    sind aus den letzten drei Jahren einige
  • 2:46 - 2:50
    Pressemitteilungen von
    Staatstrojanerangriffen über Pegasus
  • 2:50 - 2:57
    Predator, wer das herstellt, wie das heißt
    ist am Ende zweitrangig. Ein Bericht ist
  • 2:57 - 3:02
    von gestern in Indien, wo JournalistInnen
    und OppositionspolitikerInnen angegriffen
  • 3:02 - 3:07
    wurden mit Pegasus, das war eine Recherche
    von Amnesty Tech wo wir auch mithelfen
  • 3:07 - 3:13
    konnten. Genau und als nächstes erzählt
    euch Viktor etwas zu den Besonderheiten
  • 3:13 - 3:19
    von Smartphone Forensic.
    V: Test test cool hallo ja wie Ihr
  • 3:19 - 3:22
    vielleicht gesehen habt wir haben die
    Folien auf Englisch gemacht damit es für
  • 3:22 - 3:26
    die Leute die die Übersetzung gucken
    leichter ist, aber erzählen es auf
  • 3:26 - 3:30
    Deutsch. Ich hoffe auch ich für meinen
    Teil werd nicht zu viel in so
  • 3:30 - 3:35
    englischdeutsch cauder Welsch rutschen, ja.
    Es gibt ein paar Grundlagen die wir
  • 3:35 - 3:38
    dachten, die vielleicht sinnvoll sind,
    wenn wir sie erzählen und hier
  • 3:38 - 3:44
    zusammenfassen. Zum einen Computer
    forensics so das klassische Spiel wie man
  • 3:44 - 3:49
    es kennt und Smartphone Malware forensic
    funktionieren relativ unterschiedlich oder
  • 3:49 - 3:52
    es gibt so ein paar einfach größere
    Unterschiede, wie die Spiele
  • 3:52 - 3:57
    funktionieren. Viele von euch haben
    vielleicht schon von dem klassischen Modus
  • 3:57 - 4:01
    gehört, das ist so, man hat einen Server
    und da ist was passiert und da ist eine
  • 4:01 - 4:06
    Festplatte drin und davon zieht man sich
    ein Image und also von physisch von allen
  • 4:06 - 4:10
    Blocks auf Blog ebene und das lädt man dann in
    forensic Software rein und dann guckt man
  • 4:10 - 4:17
    sich das Dateisystem an und schaut was da
    passiert ist. Was man generell mit
  • 4:17 - 4:20
    Smartphones macht und vor allem auch was
    wir mit Smartphones machen ist anders,
  • 4:20 - 4:26
    erstens weil moderne Smartphone
    Betriebssysteme alle eigentlich filebased
  • 4:26 - 4:30
    encryption haben, das heißt auf physischer
    Ebene ist das gar nicht mehr interessant,
  • 4:30 - 4:34
    weil jede Datei mit einem anderen
    Schlüssel verschlüsselt ist und wenn der
  • 4:34 - 4:37
    Schlüssel weg ist kann man auch die Datei
    nicht mehr rankommen, das heißt gelöschte
  • 4:37 - 4:42
    Dateien ist sowieso nicht. Dann ist die
    nächste Sache, dass Smartphones gar keine
  • 4:42 - 4:47
    Funktion haben zu sagen hier ist übrigens
    das gesamte Dateisystem, also hier sind
  • 4:47 - 4:51
    alle Dateien, die in meinem Speicher
    gerade liegen. Es gibt Menschen die tun
  • 4:51 - 4:54
    das die Arbeiten für Strafverfolgungs-
    Behörden und die benutzen
  • 4:54 - 4:58
    dafür Exploits, das ist aber richtig
    Kacke, weil das macht die Welt unsicherer
  • 4:58 - 5:04
    weil das ist auch Teil von diesem Exploits
    verkaufen sowas Spiel. Zwei große Firmen
  • 5:04 - 5:10
    eine heißt der Celebrite die das anbieten,
    das machen wir auf gar keinen Fall, wir
  • 5:10 - 5:15
    nennen das zivile Forensic also in ein ein
    vernehmen mit den Menschen denen die
  • 5:15 - 5:19
    Geräte gehören und wenn man das aus so
    einer zivilgesellschaftlichen Richtung
  • 5:19 - 5:23
    machen möchte muss man sich mit dem
    zufrieden geben, was aus dem Handy
  • 5:23 - 5:27
    rauskommt. Und das sind dann so
    Diagnoseinformationen und da kommt die
  • 5:27 - 5:33
    Besonderheit dass man natürlich überhaupt
    nicht überprüfen kann ob das jetzt stimmt,
  • 5:33 - 5:38
    weil man muss einfach den Informationen
    vertrauen die aus dem Handy rauspzeln und
  • 5:38 - 5:41
    technisch gesehen wäre es natürlich
    möglich dass Schadsoftware auf dem Handy
  • 5:41 - 5:46
    aktiv ist die diese Informationen
    verändert. Das heißt auch das muss man
  • 5:46 - 5:51
    einfach auf dem Schirm haben, das wäre
    möglich. Dann ist eine wichtige Sache, oft
  • 5:51 - 5:55
    wird so getan als wäre Malware and Spyware
    verschiedene Sachen oder es wäre so
  • 5:55 - 6:00
    Malware Spyware das kleine Geschwisterkind
    von der Malware und weniger schlimm,
  • 6:00 - 6:04
    bisschen so wie Quellen TKÜ und online
    Durchsuchung und das eine ist ja nur auf
  • 6:04 - 6:09
    die Messenger Nachrichten zugreifen, das
    ist natürlich Quatsch, sobald man als
  • 6:09 - 6:14
    Schadsoftware in der Lage sein möchte auf
    irgendetwas zuzugreifen was das
  • 6:14 - 6:18
    Betriebssystem nicht erlaubt hat, musst du
    Systemprivilegien haben, musst du auf
  • 6:18 - 6:23
    alles Zugriff haben können und das ist
    auch der Fall. Das heißt Spyware ist auch
  • 6:23 - 6:27
    immer Malware und Spyware, lasst euch
    niemand von niemand irgendwas anderes
  • 6:27 - 6:31
    erzählen, Spyware ist auch immer in der
    Lage beliebige zu verändern, beliebige
  • 6:31 - 6:36
    Dateien zu löschen, beliebige Dateien neu
    hinzuzufügen, das hat riesig große
  • 6:36 - 6:38
    Konsequenzen eigentlich für die
    Strafverfolgung, weil man gar nicht
  • 6:38 - 6:42
    richtig zeigen kann dass ein Handy was mit
    Spyware gehackt wurde nicht auch noch
  • 6:42 - 6:46
    irgendwelche anderen Spuren, irgendwelche
    anderen Dateien hinterlegt wurden das
  • 6:46 - 6:49
    würde man vermutlich auch gar nicht finden
    sobald man ein Handy kompromittiert hat,
  • 6:49 - 6:53
    hat man das vollständig kompromittiert und
    man kann eigentlich nichts mehr vertrauen,
  • 6:53 - 6:58
    was an Dateien darum liegt. Das Einzige
    weshalb man überhaupt dann Spyware finden
  • 6:58 - 7:02
    kann, ist dass es natürlich auch sehr viel
    fleißig und sehr viel Arbeit erfordert
  • 7:02 - 7:07
    alle Spuren zu vernichten, die man als
    Spyware hinterlässt und das ist
  • 7:07 - 7:17
    glücklicherweise nicht der Fall. Man kann
    unterscheiden in zwei Arten von Malware
  • 7:17 - 7:22
    und hier ist leider irgendwas
    interessantes passiert, weil da ist da
  • 7:22 - 7:26
    muss eigentlich eine Kröte sein,
    vielleicht da da ist die Kröte genau. Ich
  • 7:26 - 7:29
    weiß nicht was mit der Folie aber
    jedenfalls es gibt zwei Arten von Malware,
  • 7:30 - 7:34
    solche mit Exploits und solche ohne
    Exploits. Und das Interessante daran ist
  • 7:34 - 7:39
    nur Malware mit Exploits kann aus der
    Sandbox raushüpfen. Das kann man sich
  • 7:39 - 7:46
    vorstellen, ok wow, das kann man sich
    vorstellen wie Tierchen die in
  • 7:46 - 7:51
    Plastikeimern sind und zwar das eine Tier
    kann aus dem Plastikeimer raushüpfen
  • 7:51 - 7:55
    nämlich die Kröte, das andere kann es
    nicht die Schildkröte. Und zwar dieser
  • 7:55 - 7:59
    Plastikeimer ist die Sandbox und nur wenn
    man aus der Sandbox raushüpfen kann, ist
  • 7:59 - 8:05
    man in in der Lage auf Information Daten
    Systemressourcen zuzugreifen, was dir das
  • 8:05 - 8:10
    Smartphone Betriebssystem eigentlich nicht
    erlaubt. Und die Dinge, die raushüpfen
  • 8:10 - 8:15
    können das ist eben die die Spyware, die
    zu Spionage Zwecken von staatlichen
  • 8:15 - 8:19
    Akteuren benutzt wird und das Interessante
    ist hier diese Eploits sind sehr sehr
  • 8:19 - 8:26
    teuer. Also wenn man so eine Exploit chain
    für Smartphone Betriebssystem ist in der
  • 8:26 - 8:31
    Größenordnung von mehreren Millionen Euro
    teuer, das heißt das ist eine Sache das
  • 8:31 - 8:35
    passiert in diesem Kontext von staatliche
    Überwachung, staatliche Akteure, das ist
  • 8:35 - 8:40
    aber eigentlich nichts was man jetzt
    erwarten würde im Kontext von Stalker-ware.
  • 8:40 - 8:44
    Auf der anderen Seite genau gibt es
    Malware die keine Exploits hat und damit
  • 8:44 - 8:49
    auch fein ist und keine haben möchte und
    die mehr darüber lebt dass sie über andere
  • 8:49 - 8:53
    Zwecke über andere Wege auf dem Handy
    installiert wird und sich einfach damit
  • 8:53 - 9:00
    zufrieden gibt was das Betriebssystem
    anbietet an Möglichkeiten. Kröte wieder
  • 9:00 - 9:08
    weg. Da ist sie rausgehüpft. Es geben vier
    Arten von Malware gehen dann auch mit
  • 9:08 - 9:11
    dieser Unterscheidung, also das eine sind
    die mit Exploits das andere sind die ohne
  • 9:11 - 9:15
    Exploits und dann haben wir Sachen für iOS
    und für Android und dadurch, dass das IOS
  • 9:15 - 9:20
    und das Android Betriebssystem ziemlich
    unterschiedlich ist, gibt es da auch keine
  • 9:20 - 9:25
    Kompabilität, sondern das ist wirklich
    also die Spiele Malware zu entwickeln für
  • 9:25 - 9:27
    die eine Plattform und die andere
    Plattform funktionieren relativ
  • 9:27 - 9:31
    unterschiedlich, weil die Plattformen
    einfach ein bisschen verschieden sind und
  • 9:31 - 9:39
    deshalb gehen so ein bisschen vier Arten
    von Malware auf. Genau, die obere Linie
  • 9:39 - 9:42
    das sind die Schildkröten, die können
    nicht aus Sandboxes raushüpfen, die sind
  • 9:42 - 9:47
    da darauf angewiesen als aus der Sicht der
    Malware, was das Betriebssystem Ihnen
  • 9:47 - 9:52
    erlaubt. Und das sieht so aus, dass bei
    iPhones gibt es kein Zeit loading
  • 9:52 - 9:58
    zumindest aktuell zeitloading bedeutet,
    dass man selber Apps installieren kann
  • 9:58 - 10:01
    ohne dass die aus dem AppStore kommen,
    also dass man selber eine Programmdatei in
  • 10:01 - 10:04
    der Hand haben kann und sagen kann liebes
    Handy installiere die bitte. Das geht bei
  • 10:04 - 10:10
    iPhones nicht. Alle Apps müssen durch den
    AppStore durch. Und da gibt es auch
  • 10:10 - 10:15
    Anforderungen und so und die was eine App
    maximal können darf das ist auch
  • 10:15 - 10:22
    einigermaßen eingeschränkt und es ist
    aktuell zumindest auch nicht möglich ein
  • 10:22 - 10:29
    iPhone zu routen also genau, also die
    Systemprivilegien, die sich jetzt
  • 10:29 - 10:33
    Mechanismen auser Kraft zu setzen und
    Vollzugriff auf das ganze Handy zu
  • 10:33 - 10:38
    erhalten, was natürlich aus der Sicht von
    so Stalker-ware auch sehr interessant ist.
  • 10:38 - 10:41
    Bei Android hingegen ist das so das
    Siteloading also das Installieren von
  • 10:41 - 10:47
    eigenen Apps, das geht. Es gibt ein paar
    mehr Permissions könnte man jetzt auch
  • 10:47 - 10:52
    drüber streiten, was man so als App können
    darf. Die ganzen interessanten Sachen muss
  • 10:52 - 10:57
    man natürlich als App aber auch Anfragen
    von hey darf ich das bitte tun und es ist
  • 10:57 - 11:02
    in vielen Fällen auch möglich das Handy zu
    Routen allerdings aber erst meistens
  • 11:02 - 11:06
    nachdem man die Inhalte von dem Handy
    gelöscht hat. Also es ist jetzt nicht so
  • 11:06 - 11:09
    interessant ein Handy zu routen um
    irgendwie auf das ganze Dateisystem
  • 11:09 - 11:14
    zuzugreifen, was da drauf ist, sondern es
    ist im Fall von Stalker-ware es ist eine
  • 11:14 - 11:20
    Möglichkeit dass TäterInnen das Handy erst
    Routen und dann das Stalker-ware drauf
  • 11:20 - 11:26
    installieren und die dann Rootzugriff hat.
    In der Version mit Exploit sieht das ein
  • 11:26 - 11:32
    bisschen anders aus da ist es auf iOS
    Geräten, es es passiert es immer wieder
  • 11:32 - 11:39
    mal dass Spyware detektiert wird, erkannt
    wird, bewiesen werden kann dass ein
  • 11:39 - 11:45
    Angriff mit Spyware erfolgt ist. Es
    ist relativ komplex an die binary
  • 11:45 - 11:51
    ranzukommen, an die an die eigentliche
    Programmdatei von der Malware. Ich weiß
  • 11:51 - 11:55
    nicht wer von euch in dem Operation
    Triangulation Vortrag war, das waren so
  • 11:55 - 12:01
    gefühlte 20 Schritte von stages und
    Sicherheitsmechanismen und irgendwelchen
  • 12:01 - 12:07
    anderen Sachen bis dann final die
    eigentliche Datei auf dem Handy gelandet
  • 12:07 - 12:12
    ist. Vermutlich weil die verhindern
    wollten dass Leute die eigentliche Spyware
  • 12:12 - 12:15
    haben und analysieren können rauskriegen
    können, ja was tut sie denn jetzt
  • 12:15 - 12:22
    eigentlich. Und dadurch dass das alles so
    ein bisschen im Verborgenen passiert,
  • 12:22 - 12:29
    diese Exploits werden gehandelt auf einem
    Grau- bis Schwarz-markt und vor allem
  • 12:29 - 12:35
    dadurch dass Leute, die mit Exploits
    Geräte angegriffen haben und
  • 12:35 - 12:39
    kompromittiert haben, technisch gesehen in
    der Lage sind alles mögliche an diesem
  • 12:39 - 12:44
    Gerät zu manipulieren und zu verändern. Es
    es ein relativ komplexes und
  • 12:44 - 12:50
    undurchsichtiges Feld indem man auch jetzt
    keinen Anspruch hat als analysierende
  • 12:50 - 12:56
    Stelle alles finden zu können, das ist was
    anderes bei bei Systemen, wo man bestimmte
  • 12:56 - 13:01
    Annahmen bestimmte Integritätsmaßnahmen
    vertrauen kann sagen kann, ok wenn da was
  • 13:01 - 13:05
    wäre würde man es sicher da und daran
    sehen. Das gilt hier nicht mehr wenn man
  • 13:05 - 13:09
    davon ausgehen muss dass Leute vollständig
    das System kompromittiert haben und
  • 13:09 - 13:14
    theoretisch alles verändern können. Das
    heißt letztlich ist es eine Art von Katz
  • 13:14 - 13:19
    und Mausspiel von Leute schreiben
    Stalker-ware schreiben also staatlich
  • 13:19 - 13:24
    finanzierte Unternehmen schreiben
    komplexes Spyware, kaufen Exploits ein,
  • 13:24 - 13:28
    melden die nicht, sondern benutzen sie um
    Menschen aus der Zivilgesellschaft zu
  • 13:28 - 13:36
    hacken und dann gibt es NGOs, die finden
    das und dann passiert es aber manchmal
  • 13:36 - 13:39
    dass die Unternehmen dann wieder
    rauskriegen: oh ja woran haben die das
  • 13:39 - 13:43
    erkannt? und dann verändern Sie das oder
    sind besser darin werden besser darin
  • 13:43 - 13:47
    Spuren zu verwischen, und dann es geht
    immer weiter und es zieht immer weiter
  • 13:47 - 13:53
    diese Kreise und natürlich ist auch das,
    was wir hier heute erzählen, nicht alles
  • 13:53 - 13:58
    das was wir wissen und es ist auf gar
    keinen Fall alles das was überhaupt an
  • 13:58 - 14:04
    Spuren existiert da draußen, das muss man
    schon so zueinander abgrenzen. Eine
  • 14:04 - 14:10
    weitere Sache die wichtig ist zu erwähnen,
    wir sind wir haben nicht wahnsinnig viel
  • 14:10 - 14:15
    Expertise was Stalking und Antistalking
    angeht also Stalker-ware und Antistalking
  • 14:15 - 14:19
    und hier sind zwei sehr gute Websites, die
    wir euch empfehlen können, falls ihr davon
  • 14:19 - 14:22
    selber betroffen seid, falls ihr mal
    Menschen helfen wollt, die davon betroffen
  • 14:22 - 14:28
    sind. Das ist der Ort an dem wir das
    weiterleiten würden. Wir fanden es
  • 14:28 - 14:33
    trotzdem vielleicht eine gute Idee, dass
    hier diese ganze Stockerware Komponente
  • 14:33 - 14:37
    technisch mit reinzunehmen, weil natürlich
    technisch gesehen das schon
  • 14:37 - 14:40
    Gemeinsamkeiten hat, wie diese Apps
    funktionieren, was sie so tun, wie sie
  • 14:40 - 14:44
    versuchen zu funktionieren und deshalb
    versuchen wir hier einfach einen
  • 14:44 - 14:49
    technischen Überblick zu geben, wie man
    diese Sachen erkennen würde und wie die
  • 14:49 - 14:55
    funktionieren. Und jetzt erklärt euch
    Janiik ein bisschen was zu Methodik.
  • 14:55 - 15:01
    J: Genau zur Methodik also wir haben ja
    schon gelernt, wir können jetzt leider
  • 15:01 - 15:06
    nicht einfach den flashpeicher aus unserem
    Smartphone auslöten, den wieder woanders
  • 15:06 - 15:14
    dran löten und alles auslesen. Natürlich
    meistens kann ich ein Smartphone per USB
  • 15:14 - 15:18
    oder Lightning oder über WiFi an den
    Laptop anschließen und ein Backup machen
  • 15:18 - 15:25
    oder ähnliche Sachen und das ist auch was
    wir hauptsächlich tun, aber bevor wir zu
  • 15:25 - 15:29
    solchen Sachen kommen würde ich euch
    erstmal sagen, nimmt einfach das Gerät mal
  • 15:29 - 15:35
    in die Hand entsperrt ist und es geht ja
    meistens bei Überwachung um Messenger,
  • 15:35 - 15:39
    weil man ist ja von der klassischen
    Telekommunikationsüberwachung, wo man
  • 15:39 - 15:43
    einfach bei der Telekom z.B sagt hör mal
    bitte den Anruf mit und leite den hier
  • 15:43 - 15:48
    weiter an die Polizei und dann hören wir
    mit. Zu dieser sogenannten
  • 15:48 - 15:53
    Quellentelekommunikationsüberwachung also
    eigentlich dem komprimentieren von Geräten
  • 15:53 - 15:57
    übergegangen, weil man dann vor
    Verschlüsselung die ja jetzt eigentlich in
  • 15:57 - 16:02
    fast jedem Messenger implementiert ist wie
    in WhatsApp in Signal teilweise in
  • 16:02 - 16:09
    Telegram und Anderen. Genau weil we das da
    gibt kann man eben nicht mehr einfach die
  • 16:09 - 16:14
    Nachrichten ausleiten, genau und deswegen
    würde ich erstmal alle diese Messenger
  • 16:14 - 16:19
    Apps aufmachen denn diese Messenger Apps
    die haben alle eine Funktion dass man die
  • 16:19 - 16:24
    Nachrichten nicht nur am Smartphone lesen
    kann, sondern auch an seinem Laptop, an
  • 16:24 - 16:30
    seinem Desktopcomputer und dass man die da
    verbinden kann, und das ist tatsächlich
  • 16:30 - 16:34
    der einfachste Weg um diese Nachrichten
    ausleiten zu können, weil das ist ja eine
  • 16:34 - 16:38
    Funktion die zum Nachrichten ausleiten
    gebaut ist. Natürlich ist sie dafür
  • 16:38 - 16:40
    gedacht, dass man das nur selber macht
    aber wenn man z.B eine Zeit lang keinen
  • 16:40 - 16:45
    Zugriff auf sein Gerät hatte, weil man bei
    einer Grenzkontrolle sein Passwort
  • 16:45 - 16:50
    rausgeben musste oder weil vielleicht
    Sicherheitsbehörden in die eigene Wohnung
  • 16:50 - 16:53
    eingedrungen sind, wo man seine Geräte da
    hatte und dies geschafft haben das
  • 16:53 - 16:58
    Passwort zu umgehen, oder eben in dem
    Stalking Fall eben ja Menschen, die einem
  • 16:58 - 17:03
    irgendwie nahe Zugriff auf das Gerät
    haben, können diese Funktion natürlich
  • 17:03 - 17:08
    benutzen, sie mit Ihrem Laptop verbinden
    und die Nachrichten mitlesen. Das kann man
  • 17:08 - 17:11
    aber zum Glück einfach nachschauen in
    diesen Apps. Ich habe hier ein paar
  • 17:11 - 17:20
    Screenshots mitgebracht von iOS WhatsApp,
    iOS Signal und Signal auf Android. Da geht
  • 17:20 - 17:23
    ja die Einstellung von euren Apps geht auf
    Link Devices und dann seht ihr da welche
  • 17:23 - 17:28
    Geräte verbunden sind genau. Da sollten
    dann eure drin stehen und wenn nicht dann
  • 17:28 - 17:33
    könnt ihr da auch Geräte die verbunden
    sind entfernen. Das ist tatsächlich auch
  • 17:33 - 17:38
    eine Methode, die die deutsche Polizei
    nachweislich nutzt. Der Link hier unten
  • 17:38 - 17:43
    ist ein Artikel von netzpolitik.org, wo
    ein internes Dokument der deutschen
  • 17:43 - 17:46
    Polizei veröffentlicht wurde, die eben
    genau beschreiben, dass Sie diese Funktion
  • 17:46 - 17:52
    benutzen um Messenger wie WhatsApp und
    Signal abzuhören. Genau wenn wir jetzt
  • 17:52 - 17:58
    aber übergehen zu wir schließen so ein
    Smartphone an unsere Computer an, dann
  • 17:58 - 18:02
    gibt es ein Tool was wir sehr viel
    benutzen, was wir euch auch sehr nah legen
  • 18:02 - 18:08
    können, das ist MVT das mobile
    verification Toolkit, das wurde entwickelt
  • 18:08 - 18:14
    von Amnesty Tech 2021 im Rahmen des
    Pegasus Projekts. Das Pegasus Projekt sagt
  • 18:14 - 18:21
    vielleicht vielen was, da wurde 2021 eine
    Liste an tausenden Handynummern geleakt,
  • 18:21 - 18:28
    die Alle angegriffen wurden mit der
    SpyPegasus und Amnesty Tech und andere
  • 18:28 - 18:32
    haben da eben forensische Analysen
    durchgeführt von Leuten die sie
  • 18:32 - 18:36
    identifiziert haben, die auf dieser Liste
    standen und dazu auch tooling entwickelt
  • 18:36 - 18:41
    und dieses tooling am Ende auch
    veröffentlicht. Und das ist eben MVT, MVT
  • 18:41 - 18:48
    hat verschiedene Möglichkeiten z.B kann es
    iPhone Backups analysieren, die man mit
  • 18:48 - 18:54
    iTunes oder auch mit Software auf Linux
    vorher erstellt hat. Analysieren das past
  • 18:54 - 19:05
    da vor allem SQLite Datenbank oder plist
    Dateien solche Sachen und bereitet die auf
  • 19:05 - 19:11
    zu strukturierten JSON Format, die man
    viel schöner lesen kann als wenn man das
  • 19:11 - 19:14
    handisch macht, und bei Android
    funktioniert das über die ADB
  • 19:14 - 19:19
    Schnittstelle Android Debugging Bridge, wo
    man auch eben auf gewisse Daten von
  • 19:19 - 19:23
    Android Smartphones zugreifen kann, z.B
    welche Apps sind da installiert. Das
  • 19:23 - 19:27
    erzählen wir euch aber alles später im
    Detail, wie man das händisch macht und wie
  • 19:27 - 19:34
    MVT das erleichtert. Genau wie sieht das
    aus auf iOS? Das ist jetzt sind die
  • 19:34 - 19:43
    Schritte für Linux es gibt eine super
    Toolchain auf Linux für Apple Geräte und
  • 19:43 - 19:48
    wie man über USB Lightning auf die
    zugreift und das ist libImobiledevice wo
  • 19:48 - 19:52
    das alles nachgebaut wird was sonst in
    iTunes passiert und das stellt eben z.B
  • 19:52 - 19:59
    dieses Tool iDevice Backup 2 zur
    Verfügung. Ja wie bereits schon bisschen
  • 19:59 - 20:03
    angesprochen, theoretisch kann man die
    Geräte jailbreaken und dann eben auf mehr
  • 20:03 - 20:10
    Dateien zugreifen, weil so ein Backup von
    dem iPhone inkludiert nicht alles z.B sind
  • 20:10 - 20:16
    Signal Nachrichten nicht enthalten und
    auch gewisse Systemdateien z.B
  • 20:16 - 20:20
    irgendwelche System Binaries sind da nicht
    enthalten, weil die braucht man nicht um
  • 20:20 - 20:22
    das wiederherzustellen, weil die sind auf
    einem iPhone wo man Backup
  • 20:22 - 20:27
    wiederherstellen will natürlich schon
    drauf, das würden wir euch aber nicht
  • 20:27 - 20:31
    empfehlen, wenn ihr nicht wirklich genau
    wisst was ihr tut, weil ihr macht dadurch
  • 20:31 - 20:36
    auch euer Gerät unsicherer ja und
    manipuliert vielleicht auch vorher das
  • 20:36 - 20:40
    Gerät bezüglich Spuren die ihr nachher
    vielleicht entdecken wollt. Was ihr auf
  • 20:40 - 20:44
    jeden Fall aber machen solltet ist als
    erstes mit dem Tool Idevice Backup die
  • 20:44 - 20:48
    Verschlüsselung eures Backups
    einzuschalten, denn Apple speichert mehr
  • 20:48 - 20:53
    Dateien, wenn ihr ein verschlüsseltes
    Backup anlegt, als wenn ihr nicht
  • 20:53 - 20:57
    verschlüsseltes Backup anliegt also das
    reasoning dahinter ist einfach dass Apple
  • 20:57 - 21:02
    sich nicht sicher ist wie die Nutzer in
    ihre Backups speichern und da könnten
  • 21:02 - 21:05
    natürlich dann vielleicht andere Leute
    drauf Zugriff haben und deswegen sind sie
  • 21:05 - 21:08
    da vorsichtiger was sie alles in die
    Backups packen wenn man sein Backup nicht
  • 21:08 - 21:10
    verschlüsselt. Deswegen wenn wir ein
    Backup machen, machen wir immer die
  • 21:10 - 21:13
    Verschlüsselung an das Passwort was man
    dann dafür wählt ist natürlich egal muss
  • 21:13 - 21:17
    man sich merken und sollte man danach,
    wenn man das dem Nutzer der Nutzerin
  • 21:17 - 21:22
    zurückgibt wieder auf was Gutes setzen. Ja
    genau dann macht man einfach sein Backup,
  • 21:22 - 21:28
    das Backup ist ja jetzt verschlüsselt, MVT
    bietet zum Glück auch ein Tool an um diese
  • 21:28 - 21:32
    Backups wieder zu entschlüsseln, hier ist
    der Befehl, könnt ihr nachher auf den
  • 21:32 - 21:35
    Folien einfach nachlesen und dann kann man
    MVT noch mal sagen, ja jetzt nimm dies
  • 21:35 - 21:40
    verschlüsselte Backup und analysier das
    einmal parse alle SQL Datenbanken und
  • 21:40 - 21:48
    schreibt mir das schön sauber auf und
    genau. Ähnlich auf Android hier gilt das
  • 21:48 - 21:53
    Gleiche man könnte die Geräte Rooten, es
    ist bei Android aber so dass meistens wenn
  • 21:53 - 21:58
    man die Geräte rootet muss man die ganzen
    Daten die darauf sind löschen und erst
  • 21:58 - 22:02
    dann erlaubt der Bootloaders ein gewisse
    Änderung vorzunehmen mit denen man
  • 22:02 - 22:06
    üblicherweise Geräte auf Android rootet,
    manchmal gibt's auf Android auch exploits
  • 22:06 - 22:10
    mit denen es möglich ist Rootprivilegien
    zu erlangen und dann könnte man natürlich
  • 22:10 - 22:15
    auch auf weitere Dateien wie System
    Binaries zugreifen, das ist aber wieder
  • 22:15 - 22:20
    was das macht man nur wenn man weiß was
    man tut und das geht auch wirklich nur
  • 22:20 - 22:25
    sehr selten auf sehr wenig Geräten.
    Deswegen extrahiert man meistens Dateien
  • 22:25 - 22:31
    mit MVT über diese ADB Schnittstelle, wie
    erwähnt, hier ist das Command das zu tun.
  • 22:33 - 22:37
    Das schreibt euch dann die Ergebnisse in
    den Ordner eurer Wahl. Was man bei Android
  • 22:37 - 22:44
    zum Glück auch machen kann ist die Dateien
    der Apps die APK Dateien, die kann man
  • 22:44 - 22:49
    auch herunterladen und MVT erleichtert
    einem das hier ist auch wieder das Command
  • 22:49 - 22:54
    dafür und man kann die sogar auf
    Virustotal hochladen, das ist ein Dienst
  • 22:54 - 22:58
    im Internet der ganz viele verschiedene
    Virenscanner benutzt und euch dann anzeigt
  • 22:58 - 23:08
    bei wie vielen das als Virus erkannt
    wurde. Genau jetzt ist es so, es gibt zwei
  • 23:08 - 23:11
    unterschiedliche Arten wie man Malware
    finden kann, wir nennen das primäre und
  • 23:11 - 23:15
    sekundäre Funde, das was jetzt z.B bei
    Operation Triangulation gesehen habt ist
  • 23:15 - 23:19
    ein primärer Fund, weil man hat wirklich
    die gesamte Exploit chain nachvollziehen
  • 23:19 - 23:25
    können und man hat am Ende oder auch in
    anderen cases hat man dann auch wirklich
  • 23:25 - 23:29
    die Binaries gefunden und konnte genau
    sehen welche Funktionalität war eingebaut
  • 23:29 - 23:34
    in diesem Staatstrojaner, das ist leider
    nicht immer möglich was es dann oft gibt
  • 23:34 - 23:39
    sind sekundäre Funde und hier sieht man
    dann z.B wenn es jemand anders mal
  • 23:39 - 23:45
    geschafft hat so ein Pegasus irgendwo zu
    entdecken, hat er dann den Prozessnamen
  • 23:45 - 23:49
    meistens in den Bericht geschrieben und
    dann kann man eben später sich darauf
  • 23:49 - 23:53
    berufen, wenn jetzt irgendwas einen sehr
    dubiosen Prozessnamen hat, den es
  • 23:53 - 23:55
    eigentlich von der legitimen App nicht
    gibt den wer anders nachgewiesen hat, dass
  • 23:55 - 23:59
    das Malware ist und man findet das dann
    weiß man auch, ah das ist jetzt mit hoher
  • 23:59 - 24:05
    Wahrscheinlichkeit das Gleiche. Dieses
    Prinzip basiert auf diesen indicators of
  • 24:05 - 24:11
    compromise oder kurz IOCs, hier ist noch
    mal kurz eine Definition indicators of
  • 24:11 - 24:14
    compromise in der Computer forensic sind
    eben Artefakte im Netzwerk oder ein
  • 24:14 - 24:18
    Betriebssystem, die eben sagen wenn man
    die findet dann hat man mit hoher
  • 24:18 - 24:24
    Wahrscheinlichkeit hier solche Malware
    gefunden. Hier sind drei Listen von
  • 24:24 - 24:27
    solchen IOCs, die wir euch empfehlen
    würden, die sind auch in MVT alle
  • 24:27 - 24:31
    automatisch includiert aber wenn ihr da
    mal selber z.B nachgucken wollt sind
  • 24:31 - 24:36
    welche zu Stalker-ware oder eben auch zu
    spyware. Was man sonst noch machen kann
  • 24:36 - 24:41
    ist eine Trafficanalyse und zwar muss ja
    eine Spyware immer irgendwie Traffic
  • 24:41 - 24:45
    transmitten über WLAN über Mobilfunk und
    das kann man sich auch angucken. Da gibt's
  • 24:45 - 24:49
    ein cooles Tool das heißt tinycheck, das
    wurde mal von Kaspersky entwickelt für
  • 24:49 - 24:55
    Frauenhäuser um da eben speziell Spyware
    zu finden. Das läuft optional auf dem
  • 24:55 - 24:59
    Raspberry Pi, muss man aber nicht machen
    macht dann dediziertes WiFi auf, da kann
  • 24:59 - 25:03
    man sich mit verbinden, dann wird der
    Traffic mitgeschnitten und es wird z.B
  • 25:03 - 25:07
    geguckt ob bekannte command and control
    Server im Traffic auftauchen oder ob man
  • 25:07 - 25:13
    auf irgendwelchen Webseiten von diesen
    spyware Herstellern war. Genau und jetzt
  • 25:13 - 25:22
    erzählt euch Viktor was zu iOS Forensik.
    V: Ja also ihr erinnert euch an die vier
  • 25:22 - 25:26
    Felder und wir gehen jetzt im Prinzip
    diese vier Felder zusammen ab. Wir starten
  • 25:26 - 25:34
    im ersten Feld und zwar ohne Exploits also
    Stalker-ware auf iPhone iOS Geräten, dieses
  • 25:34 - 25:40
    Feld ist relativ hellgrau weil da gibt's
    gar nicht so viel, weil aktuell gibt es
  • 25:40 - 25:46
    wie ich schon gesagt habe kein Exploit
    kein jailbreak der funktioniert für iOS
  • 25:46 - 25:51
    Geräte und deshalb ist es gar nicht so
    attraktiv als Stalker-ware sich da
  • 25:51 - 25:55
    einzunisten weil man diese ganzen Sachen
    von ich habe Zugriff auf Messenger, ich
  • 25:55 - 25:59
    habe Zugriff auf die Daten von anderen
    Apps, das geht gar nicht so ohne Weiteres.
  • 25:59 - 26:06
    Was natürlich möglich ist, ist dass Geräte
    gejailbreaked sind die älter als 15.7 sind
  • 26:06 - 26:10
    und das kann ich schon mal dazu sagen, ich
    glaube es gibt Anzeichen dass es einen
  • 26:10 - 26:15
    neuen jailbreak geben wird aus der Exploit
    chain, die in dieser Operation
  • 26:15 - 26:18
    Triangulation Sache gefunden wurde, das
    heißt vielleicht ist das in Zukunft wieder
  • 26:18 - 26:22
    möglich aber meistens dann auch nur eher
    die veralteten Geräte und nicht die
  • 26:22 - 26:29
    aktuellen Geräte zu jailbreaken. Und wenn
    man kein Jailbreak hat, dann ist genau es
  • 26:29 - 26:33
    ein bisschen schwierig als Stalker-ware App
    weil man muss durch die Checks von dem
  • 26:33 - 26:38
    AppStore gehen, man kann nur durch den
    AppStore installiert werden und z.B bei
  • 26:38 - 26:42
    einem iPhone muss man gibt so notification
    so ein orangenen Punkt und so ein grünen
  • 26:42 - 26:45
    Punkt die anzeigen ob gerade das Mikro
    oder die Kamera an ist oder ich glaub auch
  • 26:45 - 26:53
    die Location Services und das ist dann
    natürlich nicht mehr so stealthy. Und das
  • 26:53 - 26:57
    genau das kann man auch irgendwie in so
    privacy Report Sachen dann nachgucken und
  • 26:57 - 27:01
    natürlich hat man auch überhaupt keinen
    Zugriff auf die Daten von anderen Apps.
  • 27:01 - 27:04
    Was es aber gibt, das haben wir schon
    gesehen, wir haben irgendwann noch selber
  • 27:04 - 27:08
    mal ein bisschen geguckt wie das so
    funktioniert, es gibt Stalker-ware
  • 27:08 - 27:12
    Anbieter die z.B so iCloud Paser
    geschrieben haben. Also da können dann
  • 27:12 - 27:19
    TäterInnen können irgendwie das das iCloud
    Passwort von Menschen besorgen und dann
  • 27:19 - 27:24
    gibt es so Stalker-ware Services, die sich
    dann damit in diesem iCloud Konto einladen
  • 27:24 - 27:28
    und alles runterladen was in dem iCloud
    Konto gespeichert ist. Das sind z.B so
  • 27:28 - 27:35
    Sachen wie Notizen, Kontakte, ich weiß
    nicht mehr nicht also das ist so es ist so
  • 27:35 - 27:39
    halb viel, aber genau das das geht auf das
    geht auf jeden Fall und das kann sein das
  • 27:39 - 27:44
    heißt es ist immer auch keine schlechte
    Idee, wenn man mit so eine Situation in
  • 27:44 - 27:48
    Kontakt kommt das iCloud password zu
    ändern oder zu gucken dass das sicher ist,
  • 27:48 - 27:53
    weil darüber können auch Informationen
    verloren gehen. Jetzt kann es aber
  • 27:53 - 27:57
    natürlich trotzdem sein dass Leute es
    schaffen an den Checks vom App Store
  • 27:57 - 28:01
    vorbei eine App zu schmuggeln und dann
    wären die folgenden Sachen die Dinge die
  • 28:01 - 28:05
    man sich angucken würde sinnvollerweise.
    Wir gehen davon aus ihr habt ein Backup
  • 28:05 - 28:09
    gemacht und das liegt irgendwo und in
    diesem Backup schaut ihr jetzt
  • 28:09 - 28:14
    verschiedene Dateien an. Eine der Dateien
    bei der sich lohnt sie sich anzuschauen
  • 28:14 - 28:20
    sind die transparency consent and control
    locks, die legen am folgenden Pfad und da
  • 28:20 - 28:25
    ist die Tabelle namens Access interessant,
    weil in dieser Tabelle steht drin wann
  • 28:25 - 28:28
    welche App welche Berechtigungen
    angefordert hat. Also wann Welche gesagt
  • 28:28 - 28:31
    hat hallo darf ich bitte das Mikro
    benutzen? Darf ich bitte die Kamera
  • 28:31 - 28:37
    benutzen? steht da drin inklusive einem
    Timestamp. Diesen Timestamp kriegt ihr
  • 28:37 - 28:41
    dann auch relativ schnell in ein
    menschenlesbares Format, wenn ihr es
  • 28:41 - 28:47
    händisch machen wollt, aber das macht doch
    alles MVT für euch. Also ich habe jetzt
  • 28:47 - 28:52
    bei diesen ganzen Folien, ich habe euch
    einmal gezeigt wie man das RAW mit einem
  • 28:52 - 28:56
    SQLight Paser machen würde, wenn man
    richtig wild drauf ist, aber da gibt's
  • 28:56 - 29:02
    eigentlich also MVT macht das gleiche und
    MVT macht das gut. Jedenfalls das ist die
  • 29:02 - 29:07
    Datenbank die sich MVT anguckt, so sieht
    das in MVT aus, da steht dann Signal hat
  • 29:07 - 29:12
    gefragt kann ich das Mikro benutzen an
    diesem Zeitpunkt. Die nächste Sache die
  • 29:12 - 29:16
    man sich angucken kann sind die data usage
    Logs. Ich weiß auch wieder nicht wer von
  • 29:16 - 29:20
    euch in dem Operation Triangulation Talk
    drin war, auch da hat das eine Rolle
  • 29:20 - 29:24
    gespielt, da haben sie nähmlich vergessen
    diese Logs zu löschen. Die interessanten
  • 29:24 - 29:29
    Tabellen hier heißen ZLIVEUSAGE und
    Zprocess und in diesen zwei Tabellen steht
  • 29:29 - 29:34
    drin wann welche App über Mobilfunk Daten
    runtergeladen hat, genau genommen sogar
  • 29:34 - 29:37
    ich glaube welcher Prozess und das ist
    halt spannend weil auch Dinge die kein
  • 29:37 - 29:41
    Prozess waren sondern irgendeine Exploit
    stage oder sowas tauchen da potenziell
  • 29:41 - 29:48
    auf. Diese tolle Query die man sich
    natürlich merkt und so kurz mal
  • 29:48 - 29:55
    runterspult die macht euch glücklich weil
    sie aus dieser Datenbank die die Sachen
  • 29:55 - 29:59
    rausholt, diese zwei verschiedenen
    Tabellen miteinander joint und dann kommen
  • 29:59 - 30:03
    da schönere Daten raus, aber natürlich
    habe ich mir die auch nicht ausgedacht
  • 30:03 - 30:08
    sondern die ist einfach aus der MVT
    Codebase kopiert und deshalb ich empfehle
  • 30:08 - 30:12
    auch euch nicht zu versuchen das händisch
    zu passen sondern genau das aus der MVT
  • 30:12 - 30:20
    codebase zu kopieren oder MVT zu benutzen.
    Und wenn man das dann mit MVT ausführt,
  • 30:20 - 30:24
    dann sieht das so aus, dann sagt euch MVT
    wann es das erste Mal benutzt wurde, ich
  • 30:24 - 30:30
    glaube wann es das letzte Mal benutzt
    wurde und was die Bundle ID ist von der
  • 30:30 - 30:35
    Sache, die das also was was der Process
    Name ist und was die Bundle ID ist und
  • 30:35 - 30:44
    genau. Das Bundle IDs sind sowas wie der
    eindeutige Name von Apps. Das heißt damit
  • 30:44 - 30:48
    kann man rauskriegen okay wer hat die
    eigentlich Daten benutzt. Eine weitere
  • 30:48 - 30:51
    Sache die man sich angucken kann und die
    ist sehr interessant vor allem wenn man
  • 30:51 - 30:56
    davon ausgeht dass alle Apps die auf dem
    Handy sind, Apps sind die installiert
  • 30:56 - 31:03
    sind, weil man davon ausgeht, dass niemand
    irgendein Exploit hatte ist die Liste der
  • 31:03 - 31:08
    installierten Applikationen, applications
    Apps, die ist in der info.plist Datei drin
  • 31:08 - 31:15
    die liegt auch topl Level in eurem Backup
    drin und diese Datei kann man mit plist
  • 31:15 - 31:21
    util parsen, das ist auch ein Tool was
    glaube ich auch in den Packs App Store
  • 31:21 - 31:25
    package Stores von den meisten Linux
    Distributionen drin ist. plist ist so ein
  • 31:25 - 31:31
    ganz komisches Format was sich das Apple
    Universum ausgedacht hat und ich glaube da
  • 31:31 - 31:38
    kommen XML Dateien raus, wenn man das in
    normale Formate überführt hat. Da steht
  • 31:38 - 31:47
    dann auch drin die Bundle IDs von den Apps
    die installiert sind und teilweise auch
  • 31:47 - 31:51
    der Name und wenn ihr euch jetzt fragt na
    was ist denn jetzt das genau für ein Ding
  • 31:51 - 31:57
    im App Store, dann kann ich euch als Tipp
    verraten dass zumindest aktuell auf der
  • 31:57 - 32:02
    website also wenn man im Browser im App
    Store sich eine App anguckt bei Apple,
  • 32:02 - 32:07
    dann kommt im und da auf view source
    klickt oder sich irgendwie den Sourcecode
  • 32:07 - 32:11
    anguckt dann kommt da der Bandel ID Name
    vor. Das heißt das ist der der Mechanismus
  • 32:11 - 32:15
    mit dem ihr, ihr habt eine Bandel ID
    irgendwo gelesen und wollt wissen was ist
  • 32:15 - 32:21
    den das genau für ein Ding, mit dem ihr
    das zueinander connecten könnt und dann
  • 32:21 - 32:24
    kann man auch möglicherweise die Person
    Fragen, hey pass mal auf, hast du das
  • 32:24 - 32:29
    schon mal gesehen, kommt das von Dir hast
    du das runtergeladen? und damit kann man
  • 32:29 - 32:35
    klären wenn da interessante merkwürdige
    weirde Dinge auftauchen wo die jetzt
  • 32:35 - 32:43
    hergekommen sind und ob die da sein
    sollen. Ja genau die weitere Sache ist
  • 32:43 - 32:49
    dass in MVT bereits wie Janik schon
    gesagt hat eigentlich eine Liste von sehr
  • 32:49 - 32:57
    sehr vielen IOCs und anderen Merkmalen von
    Stalker-ware bereits drin steckt von frei
  • 32:57 - 33:02
    tollen freiwilligen Menschen, die das
    Pflegen und ich glaube so automatisierte
  • 33:02 - 33:06
    Skripte haben die das immer neu generieren
    und auch die Malware Samples hochladen
  • 33:06 - 33:11
    davon, das heißt mein Bauchgefühl wäre
    ohne jetzt allzu viel empirische Daten zu
  • 33:11 - 33:18
    haben, man hat relativ gute Chancen mit
    mit MVT Stalker-ware zu finden zu
  • 33:18 - 33:25
    detektieren einfach, weil es da sehr lange
    IOC Listen gibt ja. Und sehr viel davon
  • 33:25 - 33:28
    schon verzeichnet ist und das auch
    glücklicherweise alles automatisch
  • 33:28 - 33:32
    passiert, also ihr müsst nicht das dann
    selber runterladen und sagen ja hier bitte
  • 33:32 - 33:38
    diese Stalker-ware Liste, sondern wenn ihr
    aus dem gitrepo von MVT MVT installiert
  • 33:38 - 33:45
    oder aus den Python packages und MVT
    ausführt, dann macht das das alles
  • 33:45 - 33:52
    automatisch und benutzt Check gegen dieses
    Stalker-ware Indikatoren. Ja wir kommen zum
  • 33:52 - 33:58
    State-Sponsored Spyware Teil zu den Sachen
    mit Exploits da gibt es natürlich die
  • 33:58 - 34:02
    Sachen die wir schon gesagt haben und noch
    ein paar mehr z.B ist es lohnenswert sich
  • 34:02 - 34:09
    anzugucken welche Einträge die Safari
    History hat, weil man kann da eigentlich
  • 34:09 - 34:18
    zwei Sachen finden. Das eine ist man kann
    Exploit URLs finden von One Click Exploits
  • 34:18 - 34:24
    vielleicht wart ihr in dem Predator
    Files Vortrag von donncha gestern
  • 34:24 - 34:30
    glaube ich. Da hat er z.B erzählt dass in
    den meisten Fällen die Intelexa Software
  • 34:30 - 34:34
    nur mit One Click Exploits installiert
    werden kann, weil die Browser Exploits
  • 34:34 - 34:39
    haben und. Da hat man z.B dann eine Chance
    wenn sie das nicht gelöscht haben die URL
  • 34:39 - 34:46
    zu finden von dem Server der die Website
    ausgeliefert hat, die den JavaScript
  • 34:46 - 34:51
    Exploit vermutlich hatte , die andere
    Sache die man da finden kann sind Spuren
  • 34:51 - 34:56
    von Redirects und Redirects würden
    passieren wenn man eine Network injection
  • 34:56 - 35:01
    Attacke hatte. Das sieht ungefähr so auch
    aus auch das hat donncha gestern in dem
  • 35:01 - 35:07
    Vortrag angerissen, ist auch ein Foto von
    denen. Das würde nämlich so passieren dass
  • 35:07 - 35:14
    ein Handy eine HTTP Verbindung zu
    irgendeinem Server aufbaut und irgendwo
  • 35:14 - 35:19
    auf der Route auf der Strecke entweder ein
    insy Catcher oder eine Kiste bei dem
  • 35:19 - 35:24
    Internet Provider bei dem Telco Provider
    dann sehr schnell als Antwort auf diesen
  • 35:24 - 35:30
    HTTP Request ein Redirect zurückschickt
    der sagt nee pass mal auf was du suchst
  • 35:30 - 35:34
    ist nicht mehr bei dieser legitimen Seite
    sondern bei unserer schönen shady URL wo
  • 35:34 - 35:39
    du gleich ein Exploit runterladen wirst
    und das Handy ist dann so ah ja okay gut
  • 35:39 - 35:43
    ist ja nicht mehr da ist jetzt hier und
    quasi lädt sich dann die andere Sache
  • 35:43 - 35:49
    runter, und was man dafür braucht ist dass
    man als Mittelstation muss man relativ
  • 35:49 - 35:56
    schnell diesen Redirect schicken können,
    das heißt es ist einfach spannend hier auf
  • 35:56 - 36:02
    der Folie ist das zu gucken z.B kam
    einfach insanely schnell nach dem Aufruf
  • 36:02 - 36:07
    von irgendeiner URL ein Redirect, also
    irgendwie Millisekunde später oder weniger
  • 36:07 - 36:12
    oder also einfach sehr sehr schnell wo man
    so überlegt ist das jetzt plausibel, dass
  • 36:12 - 36:16
    der andere Server schon geantwortet hat?
    Das wären z.B Dinge die man da finden
  • 36:16 - 36:25
    könnte. Was man auch finden kann ist dass
    Leute sich nicht gescheit anstellen beim
  • 36:25 - 36:30
    Löschen von Daten aus Datenbanken. Was z.B
    passieren kann und davon hat in diesem
  • 36:30 - 36:37
    citizen Lab Report wird davon erzählt, ist
    das zu einem Zeitpunkt Pegasus in der data
  • 36:37 - 36:43
    usage SQLite Datenbank die ich euch schon
    gezeigt habe Prozesseinträge nur in der
  • 36:43 - 36:46
    einen Tabelle aber nicht in der anderen
    Tabelle gelöscht haben und das ist eine
  • 36:46 - 36:49
    Sache das würde das Handy nie tun, weil
    das immer entweder in beiden Tabellen oder
  • 36:49 - 36:54
    gar nicht auftaucht, das heißt man kann da
    einfach gucken Mensch finden wir
  • 36:54 - 36:59
    eigentlich Prozesseinträge mit
    Datentransferspuren in der einen aber
  • 36:59 - 37:02
    nicht in der anderen Tabelle und wenn ja
    dann ist das ein sehr eindeutiges Zeichen,
  • 37:02 - 37:07
    weil das halt in der freien Wildbahn sehr
    selten passiert und mit dieser Version von
  • 37:07 - 37:13
    Pegasus dann eben doch. Und das ist z.B
    auch eine Sache mit der man ja eine Chance
  • 37:13 - 37:22
    hat zu feststellen zu können, ok hier ist
    was komisches passiert. Genau die data
  • 37:22 - 37:29
    usage ist natürlich auch hier relevant das
    habe ich gerade schon erzählt ja. Das ist
  • 37:29 - 37:33
    jetzt z.B der mdns responder das sind
    aufgelöste DNS queries, da würde man auch
  • 37:33 - 37:38
    andere Prozesse das also es ist auch es
    erfordert würde ich auch sagen so ein bisschen
  • 37:38 - 37:42
    Übung sich da reinzulesen und so ein
    bisschen auch ein Gefühl davon zu kriegen
  • 37:42 - 37:48
    was ist normal und was ist komisch. Es ist
    total empfehlenswert auch einfach mal von
  • 37:48 - 37:52
    Friends oder einfach mal selber ab und zu
    sowas zu machen, bei sich selber drauf zu
  • 37:52 - 37:57
    gucken um so ein Gefühl dafür zu kriegen
    und einfach da mal so durchzuscrollen, was
  • 37:57 - 38:03
    sind denn gutartige Sachen die so einfach
    die ganze Zeit auf iPhones passieren dann
  • 38:03 - 38:06
    kriegt man ein bisschen auch ein Gefühl
    dafür für welche Dinge vielleicht erstmal
  • 38:06 - 38:10
    weird aussehen aber einfach die ganze Zeit
    passieren und einfach gutartig sind, weil
  • 38:10 - 38:17
    sie von vom iPhone selber kommen. Was man
    auch tun kann ist sich die timestamps von
  • 38:17 - 38:23
    den Dateien im im Backup anzugucken, das
    würde man machen indem man erstmal das
  • 38:23 - 38:28
    Backup entschlüsselt der Schritt taucht
    auch auf in Janiks Liste dann sieht das
  • 38:28 - 38:35
    erstmal so aus ohne doch genau wenn es ja
    dann sieht es erstmal so aus das Backup.
  • 38:35 - 38:39
    Dieser decrypted Ordner hier der ist da
    nicht den habe ich so genannt, aber das
  • 38:39 - 38:46
    sind erstmal bisschen ungeil, weil iPhone
    Backups funktionieren so dass alle Dateien
  • 38:46 - 38:51
    benannt werden nach ihrem eigenen Hash und
    dann werden sie einfach in Ordner
  • 38:51 - 38:56
    gespeichert die, wo sie gruppiert sind
    nach den ersten zwei Stellen von ihrem
  • 38:56 - 39:00
    eigenen Hash und das das natürlich jetzt
    ziemlich ungeil in diesem Ding irgendwie
  • 39:00 - 39:03
    Dateien zu suchen und sich anzugucken ok,
    was hast du für ein Timestamps noch auf
  • 39:03 - 39:08
    den ersten Blick rauszukriegen, liebe
    Datei bist du interessant für mich. Was
  • 39:08 - 39:13
    man da tun würde wäre das Backup zu
    rekonstruieren, das ist mich nicht
  • 39:13 - 39:19
    besonders schwer die die ursprüngliche
    Pfahdstruktur wiederherzustellen, da gibt
  • 39:19 - 39:23
    es z.B ein Tool, was ich jetzt nicht noch
    mal getestet habe vor dem Vortrag (shame
  • 39:23 - 39:27
    on ME) aber ich glaube es funktioniert,
    ich glaube es gibt auch Andere das kriegt
  • 39:27 - 39:32
    ihr hin das kann man auch in Stunde oder
    sowas selber programmieren. Jedenfalls es
  • 39:32 - 39:36
    gibt die manifest.plist Datei da steht
    drin, das sind die Hashes das sind die
  • 39:36 - 39:39
    eigentlichen Dateinamen und ich glaube
    auch der Timestamp und daraus kann man so
  • 39:39 - 39:44
    ein bisschen den den ursprünglichen
    Dateipfad wieder rekonstruieren. Wenn man
  • 39:44 - 39:47
    das gemacht hat hat man einen Ordner wo
    die Sachen ihre richtigen timestamps haben
  • 39:47 - 39:52
    und genau die eigentlichen Dateien sind,
    wie sie vom iPhone aus dem iPhone
  • 39:52 - 39:59
    gepurzelt sind und dann könnte man z.B mit
    diesem schönen oneliner sie sortieren nach
  • 39:59 - 40:11
    dem ich glaube modified Timestamp und dann
    genau würde man sehen was z.B in einer
  • 40:11 - 40:16
    Zeitzone passiert ist in der interessiert
    was da los war. Also angenommen weiß ne in
  • 40:16 - 40:20
    dieser in dieser Range keine Ahnung wurde
    das Handy der Person abgenommen oder so
  • 40:20 - 40:24
    dann könnte man da gucken, sehen wir da
    spannende Sachen? Eine weitere Sache nach
  • 40:24 - 40:31
    dem man gucken kann sind SMS Anhänge, das
    waren z.B .gif files in dem forced
  • 40:31 - 40:35
    entry Exploit vom Citizen das war auch das
    citizen Lab analysiert und vorgestellt
  • 40:35 - 40:41
    hat, da hat man z.B einfach gesehen dass
    da 20 .gif Anhänge ganz schnell
  • 40:41 - 40:45
    hintereinander angekommen sind, ja und
    dann sieht man natürlich auch okay das ist
  • 40:45 - 40:49
    hier irgendwie merkwürdig. Auch in
    crashlocks kann man interessante Artefakte
  • 40:49 - 40:54
    finden auch z.B wenn jetzt irgendwie eine
    eine Komponente von eurem Handy ganz oft
  • 40:54 - 40:59
    hintereinander crasht, vor allem wenn man
    das nicht erwarten würde, das ist glaube
  • 40:59 - 41:04
    ich auch in diesem Force entry Dings
    passiert, dass ich glaube z.B der iMessage
  • 41:04 - 41:08
    Prozess ganz oft gecrasht ist, weil eben
    ganz oft Sachen ankamen die manchmal
  • 41:08 - 41:13
    funktioniert haben und manchmal nicht. Da
    kann man dann Spuren finden. Eine weitere
  • 41:13 - 41:20
    Sache noch und zwar einfach nur so ein
    Transfer in diesem Vortrag von Operation
  • 41:20 - 41:25
    trangulation haben die auch selber gezeigt
    dass sie in der data usage und Manifest
  • 41:25 - 41:30
    alles Dinge die kennt und versteht,
    verschiedene Sachen hintereinander gesehen
  • 41:30 - 41:34
    haben bei der ersten stage von dem Exploit
    den sie da beobachtet haben und zwar das
  • 41:34 - 41:39
    war erstmal dass der iMessage Prozess der
    einem Transfer Agent Sachen runterlädt,
  • 41:39 - 41:44
    eine Datei wird angelegt und dann wird ein
    Prozess aktiv den den es da eigentlich
  • 41:44 - 41:48
    nicht geben sollte und dieses Bündel an
    Dinge die hintereinander passieren dann
  • 41:48 - 41:52
    irgendwie relativ bemerkenswert ist und
    identifizieren das Verhalten für diesen
  • 41:52 - 41:57
    Angriff und genau an an solchen Sammlungen
    von Dingen die schnell hintereinander
  • 41:57 - 42:03
    passieren kann man auch Malware finden.
    Und damit gebe ich weiter an Janik der
  • 42:03 - 42:08
    euch Sachen zu Android zeigt.
    J: Genau wir müssen mal schauen, wie
  • 42:08 - 42:12
    schnell wir das schaffen und ob wir noch
    Zeit für Fragen haben aber ansonsten haben
  • 42:12 - 42:19
    wir auch noch ein Workshop in zwei Stunden
    genau. Ja aber zu Android es ist ein
  • 42:19 - 42:24
    bisschen das Gleiche aber man muss schon
    sagen dass Android weniger solche
  • 42:24 - 42:28
    Logdateien schreibt auf die man zugreifen
    kann um die forensisch zu analysieren im
  • 42:28 - 42:33
    Vergleich zu iOS, einige Sachen sind aber
    ähnlich z.B kann ich mir hier auf Android
  • 42:33 - 42:36
    auch angucken welche Applikationen sind
    installiert, das kann ich natürlich auch
  • 42:36 - 42:40
    auf dem Gerät machen und bei Stalkerware
    werde ich da vielleicht auch fündig, man
  • 42:40 - 42:46
    kann dann auch manchmal Apps verstecken
    genau. Wie man es macht wenn man es an den
  • 42:46 - 42:52
    PC anschließt ist man benutzt ADB und über
    adb shell kann man eben commands auf dem
  • 42:52 - 42:57
    Telefon direkt ausführen das werdet ihr
    jetzt eigentlich häufiger sehen in den
  • 42:57 - 43:03
    Folien und zwar mit dem Tool PM kann man
    sich die Packages Listen das -U ist dafür
  • 43:03 - 43:07
    dass man auch den uninstallierte
    Applikationen sieht, das i ist dafür dass
  • 43:07 - 43:12
    man sieht wer hat diese App installiert
    das besonders spannend und das F zeigt
  • 43:12 - 43:19
    einen auch an wo die Datei liegt dieser
    App genau, hier habe ich euch ein
  • 43:19 - 43:22
    Screenshot gemacht wie das aussieht und
    hier sieht man jetzt z.B Installer ist com
  • 43:22 - 43:27
    Google Android package Installer, das ist
    der Standard Installer wenn ihr z.B euch
  • 43:27 - 43:31
    eine App runterladet mit Chrome auf eurem
    Android Telefon da drauf klickt und
  • 43:31 - 43:37
    installieren klickt, dann sieht das so
    aus, das ist also unauffällig für
  • 43:37 - 43:41
    Staatstrojaner aber für Stalker-ware
    eventuell interessant. Was man bei
  • 43:41 - 43:46
    Staatstrojaner z.B auch manchmal sieht ist
    dass da einfach nan steht weil wenn man
  • 43:46 - 43:49
    ein Exploit hatte und der hat dann
    irgendwie geschafft die Applikation zu
  • 43:49 - 43:54
    installieren oder der hat die eben einfach
    dahineschoben wo die Apps sind und das
  • 43:54 - 43:59
    nicht eingetragen dann steht da nan, was
    man manchmal noch sieht sind Systemdateien
  • 43:59 - 44:03
    von gewissen Herstellern wie hier ist
    jetzt was bekanntes von Samsung, da kann
  • 44:03 - 44:08
    man dann auch nachgucken. Da gibt's noch
    weitere Informationen zu es ist leider
  • 44:08 - 44:12
    alles nicht so schön über dieses Interface
    aber man kann hier z.B wenn man wissen
  • 44:12 - 44:18
    will was sind Systemdateien, was sind
    third party Apps und was sind disabled
  • 44:18 - 44:24
    Apps dann kann man das Filtern mit den
    parametern -s -3 und -d und das ist z.B
  • 44:24 - 44:31
    spannend wenn ich sehe manche Apps sind
    disabled das wird z.B mit Systemdateien
  • 44:31 - 44:36
    gerne System Apps gerne gemacht statt sie
    zu deinstallieren dann kann ich hier
  • 44:36 - 44:43
    gucken wenn z.B so es gibt so bei Samsung
    z.B so Security Services die in Apps
  • 44:43 - 44:48
    laufen und wenn die disabled sind dann ist
    das schon so eine Alarmglocke für hier ist
  • 44:48 - 44:54
    vielleicht Malbare. Genau dann gibt's noch
    das Tool Dumpsys und mit dem Tool Dumpsys
  • 44:54 - 44:59
    kann ich wenn ich ein konkretes package
    angebe mir noch weitere Dateien mir
  • 44:59 - 45:04
    weitere Informationen dazu anschauen und
    das ist sind z.B die
  • 45:04 - 45:09
    installationszeitpunkte. Oft hat man wenn
    man Fall analysiert zu Zeitpunkte die
  • 45:09 - 45:13
    interessant sind wenn jemand eine Grenze
    übertreten hat oder wenn das Gerät bei der
  • 45:13 - 45:18
    Polizei war, weil weil es beschlagnammt
    wurde und dann kann ich hier sehen, wann
  • 45:18 - 45:21
    wurde es installiert, wann wurde es das
    letzte Mal geupdated und was ich auch sehe
  • 45:21 - 45:27
    ist welche Permissions hat es angefragt.
    Genau was auch spannend ist sind die
  • 45:27 - 45:32
    sogenannten intens die Intens sind sowas
    wie Hooks die Apps notifying wenn gewisse
  • 45:32 - 45:37
    Dinge im System passieren und da gibt's
    verschiedene Beispiele z.B Wenn es eine
  • 45:37 - 45:41
    ausgehende SMS gibt wenn es eine
    eingehende SMS gibt das hat legitime
  • 45:41 - 45:46
    Anwendungsfälle z.B eine eingehende SMS
    ist interessant für so Smsverifizierung
  • 45:46 - 45:51
    bei Apps bei Signal bei Whatsapp wird die
    App dann benachrichtigt und wenn sie die
  • 45:51 - 45:56
    Permission hat, kann sie die dann auch
    abfragen und die Verifikation machen. Was
  • 45:56 - 45:59
    ist auch auch gibt es Boot complete, das
    kann interessant sein wann schaltet jemand
  • 45:59 - 46:04
    sein Handy aus wann schaltet das wieder
    ein z.B wenn Leute von der Demo ihr Handy
  • 46:04 - 46:09
    ausmachen und dann wieder anmachen, dann
    kann ich das hier auch finden. Und das
  • 46:09 - 46:15
    sind die anderen die ich hier euch
    gelistet hab, outgoing SMS, SMS data
  • 46:15 - 46:20
    received, new outgoing call, das sind
    alles welche die Pegasus nachweislich
  • 46:20 - 46:26
    benutzt hat um notified zu werden, wenn
    z.B neuer Anruf startet und dann ein
  • 46:26 - 46:30
    Prozess zu starten der diesen Anruf
    aufzeichnet und dann ausleitet, also das
  • 46:30 - 46:36
    ist auch besonders spannend, wenn die App
    diese Dinge diese Intens anmeldet beim
  • 46:36 - 46:44
    Betriebssystem. Genau das alles ist wieder
    das Gleiche wie bei AOS macht auch MVT für
  • 46:44 - 46:49
    euch und dann kriegt ihr so ein aus eine
    Ausgabe in der Jason Datei und da müsst
  • 46:49 - 46:52
    ihr nicht diese ganzen commands eingeben
    und das wird alles schön gruppiert für
  • 46:52 - 46:56
    euch. Ihr seht dann welche App ist das was
    der package Name von wem wurde es
  • 46:56 - 46:59
    installiert, ist sie disabled oder nicht,
    ist es eine System app, ist es eine third
  • 46:59 - 47:05
    party App, welche Permissions hat sie, wo
    liegen die Dateien dazu, das also super
  • 47:05 - 47:10
    hilfreich. Und was man eben auch machen
    kann bei Android ist APKs runterladen hier
  • 47:10 - 47:14
    ist noch mal der manuelle weg ich würde
    mir erst wie eben alle packages anzeigen
  • 47:14 - 47:20
    lassen dann würde ich mir den Pfad
    anzeigen lassen zu der zu der App und dann
  • 47:20 - 47:25
    kann ich mit ADP pull kann man beliebige
    Dateien herunterladen von Android Telefon
  • 47:25 - 47:30
    und die krieg ich dann so eben auch ist
    ein komischer Pfad aber kann man einfach
  • 47:30 - 47:35
    copypasten und dann habt ihr die APK und
    dann könnt ihr die natürlich reversen,
  • 47:35 - 47:40
    APKs sind einfach nur zipdateien die sind
    dann auch noch signiert aber im Prinzip
  • 47:40 - 47:46
    kann man die auspacken und dann liegt da
    kompiliertes Java oder kotlin drin. Was
  • 47:46 - 47:51
    man aber auch machen kann ist die bei
    Virustotal hochzuladen, da hat MVT tooling
  • 47:51 - 47:56
    für euch, da müsst ihr euch einmal ein API
    key besorgen zu Virustotal und dann könnt
  • 47:56 - 48:00
    ihr die hochladen und dann kriegt ihr hier
    eine schöne Tabelle welche Apps welches
  • 48:00 - 48:05
    Ergebnis bei Virustotal hatten und hier
    seht ihr jetzt in dem Beispiel den
  • 48:05 - 48:08
    packagen den ich zensiert habe weil wir
    später ein Workshop da könnt ihr diese
  • 48:08 - 48:14
    Stalker-ware auf dem Android Telefon finden
    die wurde jetzt bei 39 von 76 wir
  • 48:14 - 48:19
    Virusscannern bei Virustotal eben als
    malicious erkannt und da kann man dann
  • 48:19 - 48:26
    schon aus davon ausgehen das das ist.
    Genau dann gibt bei Virustotal noch die
  • 48:26 - 48:30
    accessibility Services. Die accessibility
    Service sind ja Apps die man sich
  • 48:30 - 48:34
    installieren kann für Barrierefreiheit,
    was eigentlich ein richtig cooles Feature
  • 48:34 - 48:40
    ist und auch dass das so modular ist, weil
    man je nachdem welche Hilfen man braucht
  • 48:40 - 48:46
    um sein Telefon barrierefrei oder arm
    nutzen zu können da gewisse Apps
  • 48:46 - 48:50
    runterladen kann und die dann aktivieren
    und deaktivieren kann, aber damit sowas
  • 48:50 - 48:54
    funktioniert haben diese accessibility
    Services so Berechtigungen dass die alles
  • 48:54 - 48:59
    auf eurem Bildschirm lesen en können und
    auch z.B Buttons klicken können. Und dann
  • 48:59 - 49:02
    können diese Apps z.B auch verhindern wenn
    ihr in die Einstellung geht und
  • 49:02 - 49:05
    deinstallieren drückt, dann kann das das
    Lesen kriegt das mit und klickt dann für
  • 49:05 - 49:09
    euch direkt auf abbrechen und dann könnt
    ihr nicht auf ja ok ich bin mir sicher
  • 49:09 - 49:14
    bitte die installieren klicken das
    natürlich blöd genau und das wurde in der
  • 49:14 - 49:20
    Vergangenheit eben auch für Spyware und
    Stalkereare verwendet. Google weiß das
  • 49:20 - 49:24
    aber natürlich auch und ist ja immer
    restriktiver was was das angeht und ab
  • 49:24 - 49:29
    Android 13 geht das z.B. nur noch wenn die
    Apps aus dem PlayStore kommen. Das könnt
  • 49:29 - 49:36
    ihr euch auch händisch angucken, hier ist
    ein Beispiel aber gibt's auch mit MVT, ist
  • 49:36 - 49:41
    viel einfacher, könnt euch angucken ich
    beeile mich jetzt ein bisschen. Prozesse
  • 49:41 - 49:45
    könnt euch auch angucken, das ist vor
    allem interessant wenn es state-Sponsored-
  • 49:45 - 49:50
    Spyware ist und keine einfache
    Stalkerware. Ihr könnt tatsächlich einfach
  • 49:50 - 49:53
    PS ausführen wie ihr das auf einem Linux
    System auch macht und dann kriegt ihr die
  • 49:53 - 50:02
    Prozessnamen. Genau gibt's auch wieder ein
    Package bei MVT ja genau und jetzt kurz
  • 50:02 - 50:07
    noch zu den Arten von Exploits die es
    gibt. Man unterscheidet Zero click
  • 50:07 - 50:12
    Exploits das sind Exploit die
    funktionieren ohne Zutun des Opfers also
  • 50:12 - 50:17
    man muss nicht irgendwie in der SMS auf
    den Link klicken damit der Exploit
  • 50:17 - 50:23
    getriggert wird und da kann man sich dann
    überlegen, wo findet man sowas haben wir
  • 50:23 - 50:25
    auch schon anderen vortragen gehört
    Basebands sind interessant, also die
  • 50:25 - 50:29
    mobilfunk Schnittstelle eures Telefons
    gewisse Messenger, also es könnte
  • 50:29 - 50:35
    natürlich Exploits geben in WhatsApp,
    iMessage, Signal hat man auch alles schon
  • 50:35 - 50:41
    gesehen im Browser alles was irgendwie
    Daten ja beliebige Daten irgendwo aus dem
  • 50:41 - 50:45
    Internet zieht und dann verarbeitet.
    Bluetooth und WiFi wären auch interessant
  • 50:45 - 50:53
    ist mir jetzt nichts bekannt aber auch
    möglich. Das Andere sind eben One Click
  • 50:53 - 50:58
    Exploits wo ich also irgendwas anklicken
    muss, das ist meistens ein Link und den
  • 50:58 - 51:04
    kann ich dann aber auch finden z.B in der
    WhatsApp history z.B z.B MVT auch ein
  • 51:04 - 51:10
    Feature was alle WhatsApp Nachrichten vom
    Telefon zieht und dann nach den Links
  • 51:10 - 51:13
    Filter damit ihr nur die Links angucken
    könnt, weil es sind sonst zu viele
  • 51:13 - 51:16
    Nachrichten und außerdem wollt ihr die ja
    nicht lesen, ihr wollt ja nur
  • 51:16 - 51:22
    Malewarefinden und da ist das dann auch
    sehr hilfreich. Ja, um Schluss nur noch
  • 51:22 - 51:27
    ein kurzer Aufruf bitte meldet eure
    Sicherheitslücken, wenn ihr die irgendwo
  • 51:27 - 51:32
    findet, verkauft die nicht irgendwie bei
    zerodium oder an die nSo-Group oder an die
  • 51:32 - 51:54
    intellex Alliance und macht damit das
    Internet sicherer für uns alle genau.
  • 51:54 - 51:54
    Applaus
  • 51:54 - 51:57
    Herald: Das war doch ein sehr schöner
    Aufruf zum Schluss, ich wäre jetzt dafür
  • 51:57 - 52:01
    zu den Fragen überzugehen wenn es für euch
    ok ist und wir haben auch schon die ersten
  • 52:01 - 52:10
    Leute da stehen da hinten am Mikrofon 2.
    Frage: Hi ihr habt eben die accessibility
  • 52:10 - 52:18
    Services erwähnt beim Android das ja ab
    Version 13 nicht mehr oder nur
  • 52:18 - 52:22
    eingeschränkt verfügbar sind für Apps aus
    dem App Store und da frage ich mich jetzt,
  • 52:22 - 52:27
    dass weil Google ja immer sehr fahrlässig
    ja immer fahrlässiger umgeht mit sehen
  • 52:27 - 52:30
    APS, wie soll das dann mit afdroid
    funktionieren? Mit anderen App Stores und
  • 52:30 - 52:37
    wie soll das a) einmal compliant sein mit
    EU Regulation aber auf der anderen Seite
  • 52:37 - 52:40
    wie stelle ich mir das jetzt vor wenn ich
    jetzt z.B sowas wie Password Manager habe
  • 52:40 - 52:45
    und die aus afdroid BZI wie bitorn dann
    bin ich erstmal aufgeschmissen ab Android
  • 52:45 - 52:51
    13 so wie ich das jetzt verstehe. Antwort:
    Also ich bin mir nicht ganz sicher wie das
  • 52:51 - 52:55
    funktioniert, ich habe auch schon gelesen
    es gibt Workarounds dafür wenn man als
  • 52:55 - 53:00
    User dann explizit noch mal hier und da
    klickt kann man es wieder aktivieren das
  • 53:00 - 53:04
    müsste man wirklich noch mal nachgucken
    und wenn du dir jetzt z.B vielleicht auch
  • 53:04 - 53:08
    eine Custom Firmware installierst kannst
    du natürlich da auch Andere AppStores
  • 53:08 - 53:12
    freischalten als den PlayStore, damit die
    Apps die dadurch installiert werden diese
  • 53:12 - 53:17
    Möglichkeit auch kriegen, bei Password-
    Managern gibt's aber eine Lösung ja also
  • 53:17 - 53:23
    genau ich habe auch Bitwarden und es gibt
    da die Funktion autofill die auch dafür
  • 53:23 - 53:27
    funktioniert und da kannst du Formulare
    aus en also explizit nur um Formulare
  • 53:27 - 53:31
    auszufüllen gibt diese autofilfunktion und
    dann brauchst du nicht die größeren
  • 53:31 - 53:35
    Permissions der accessibility Services.
    Mit EU Regulierungen kenne ich mich leider
  • 53:35 - 53:39
    nicht aus, tut mir leid.
    Entschuldigung ich habe noch eine Sache
  • 53:39 - 53:42
    dazwischen und zwar was wir glaube ich gar
    nicht so explizit erwähnt haben es gibt
  • 53:42 - 53:47
    fast einen zweiten Teil zu dem was wir
    hier gerade machen in einer Stunde in
  • 53:47 - 53:53
    genau 14:15 Uhr stage H, da oben steht ja
    genau nur dass ihr das mal gehört habt und
  • 53:53 - 53:57
    wir haben praktische Aufgaben zum selber
    machen ausprobieren vorbereitet und
  • 53:57 - 54:02
    mitgebracht und eventuell falls wir auch
    hier nicht dazu kommen alle Fragen zu
  • 54:02 - 54:05
    beantworten ist da noch mal Raum und Zeit
    für Weiteres.
  • 54:05 - 54:09
    Herald: Genau aber wir machen jetzt weiter
    mit dem Signal Angel weil die
  • 54:09 - 54:12
    Internetfragen können nicht so einfach
    später gestellt werden, also lieber Signal
  • 54:12 - 54:14
    Angel.
    Frage vom Signal Angel: Ja das Internet
  • 54:14 - 54:19
    möchte einmal wissen ob Telefone mit
    alternativen Betriebssystemen wie Grafin
  • 54:19 - 54:24
    OS z.B sicherer sind und ob es da auch
    nachgewiesene Angriffe gab.
  • 54:24 - 54:29
    Antwort: Ja natürlich kann man alternative
    Betriebssysteme installieren die Wert auf
  • 54:29 - 54:34
    Sicherheit legen griffinos empfehlen wir
    auch häufig JournalistInnen die besonders
  • 54:34 - 54:42
    bedroht sind. Was genau also und da gibt's
    wirklich sehr gute Mechanismen wie z.B mit
  • 54:42 - 54:48
    dem neuen Pixel memory Tagging Support
    wirklich starke Empfehlung das zu benutzen
  • 54:48 - 54:53
    was man bei iPhones machen kann ist den
    Lockdown Mode einschalten wenn ihr bei in
  • 54:53 - 54:57
    den Einstellungen bei eurem iPhone auf
    security geht und ganz nach unten scrollt
  • 54:57 - 55:01
    auf Deutsch ist das Blockierungsmodus
    aktiviert das da steht da noch mal was
  • 55:01 - 55:07
    genau das verändert aber auch eine gute
    Empfehlung. Spyware Angriffe mit Exploits
  • 55:07 - 55:12
    auf grafinoS sind mir nicht bekannt ich
    glaube es gab noch keine das heißt aber
  • 55:12 - 55:15
    natürlich nicht dass es nicht welche gab,
    also es ist natürlich trotzdem möglich
  • 55:15 - 55:18
    eventuell sind die Exploit chains dann
    eben teurer.
  • 55:18 - 55:23
    Herald: okay dann bitte Mikrofon 1.
    Frage: Ja hallo meine Frage schließt genau
  • 55:23 - 55:29
    dort an, bei grafino gibt's ja diese
    Auditor App die auch von denen selbst
  • 55:29 - 55:32
    bereitgestellt wird, habt ihr damit
    irgendwelche Erfahrungen, macht das Sinn,
  • 55:32 - 55:36
    vertraut ihr auch diesem attention Service
    den die selbst betreiben?
  • 55:36 - 55:42
    Antwort: Genau es gibt diese Auditor App
    die eben verifiziert dass dein
  • 55:42 - 55:45
    Betriebssystem noch dein Betriebssystem
    ist und macht das auch über Remote
  • 55:45 - 55:50
    attestation das heißt du hast eine
    kryptographische Challenge die du nur
  • 55:50 - 55:55
    lösen kannst wenn dein Betriebssystem
    nicht manipuliert wurde und du Zugriff auf
  • 55:55 - 55:59
    gewisse Keys hast und das überprüft ein
    externer Service und der schickt dir dann
  • 55:59 - 56:02
    ja eine E-Mail mit so
    Totmannschalterprinzip, wenn das nicht
  • 56:02 - 56:07
    geklappt hat. Das ist auf jeden Fall eine
    coole Lösung, kann ich empfehlen das zu
  • 56:07 - 56:11
    benutzen wenn du dem Server von griffino
    es nicht vertraust kann man ja zum Glück
  • 56:11 - 56:16
    selber einen betreiben. Wir haben uns auch
    z.B mal überlegt so ein zu betreiben und
  • 56:16 - 56:20
    JournalistInnen anzubieten haben das jetzt
    noch nicht umgesetzt aber du kannst ja
  • 56:20 - 56:25
    auch ein betreiben und auch öffentlich
    stellen oder andere Organisationen können
  • 56:25 - 56:28
    das machen, das ist auf jeden Fall auch
    eine gute Methode um mitzukriegen wann man
  • 56:28 - 56:31
    eventuell so ein Angriff ausgesetzt wurde.
    Frage: Cool danke.
  • 56:31 - 56:34
    Herald: Danke die nächste Frage aus dem
    Internet bitte.
  • 56:34 - 56:39
    Frage: Das Internet möchte noch wissen wie
    sich das beim iPhone verhält, wenn die
  • 56:39 - 56:42
    Methoden die ja hauptsächlich auf dem
    Backup und auf Fehlern von Angreifern
  • 56:42 - 56:46
    beruhen in der Forensik, wenn sich die
    Angreifer verbessern und weniger Fehler
  • 56:46 - 56:48
    machen welche Auswirkung das dann haben
    würde?
  • 56:48 - 56:54
    Antwort: Also na ja das ist das deshalb
    gab es eine Folie mit dem Namen Katz und
  • 56:54 - 56:59
    Mauspiel so ist bis jetzt ist der Zustand
    noch nicht eingetreten dass Leute es
  • 56:59 - 57:06
    geschafft haben völlig spurenfreie Spyware
    zu schreiben, aber das Problem ist also
  • 57:06 - 57:10
    wenn man davon ausgeht Leute haben
    beliebig viel Zeit und beliebig viel Geld
  • 57:10 - 57:15
    um beliebig viele Exploits zu kaufen um
    Sicherheitsmechanismen auszubrechen ist es
  • 57:15 - 57:19
    natürlich technisch möglich dass wir es
    irgendwann mit zweibytes zu tun haben die
  • 57:19 - 57:23
    einfach keine Spuren mehr hinterlässt. So
    das würde vielleicht immer noch im
  • 57:24 - 57:29
    Netzwerk Traffic würde man Sachen sehen
    aber auch das kann man ja irgendwie
  • 57:29 - 57:34
    beliebig kompliziert verstecken, deshalb
    ja wir haben kein Anrecht darauf man hat
  • 57:34 - 57:40
    kein Anrecht darauf etwas finden zu können
    und ja bis jetzt geht es aber das ist
  • 57:40 - 57:45
    ungeklärt und eigentlich eine Sache je
    mehr Geld da reingesteckt wird in dieses
  • 57:45 - 57:48
    Spyunternehmen und vor allem auch je
    schlechter die europäischen
  • 57:48 - 57:52
    Exportkontrollen funktionieren und das
    Geld dann da tatsächlich auch reinwandert
  • 57:53 - 57:56
    ja desto schlechter sieht es eigentlich
    aus mit der der Sicherheit von Menschen in
  • 57:56 - 58:01
    der Zivilgesellschaft. Aber was da
    natürlich wünschenswert wäre ist wenn z.B
  • 58:01 - 58:05
    iPhones auch so ein Remote adustation
    Feature hätten, das könnte natürlich eine
  • 58:05 - 58:13
    Möglichkeit sein ja und aber natürlich
    arbeitet Apple auch weiter in Ihrem
  • 58:13 - 58:19
    Betriebssystem und dann kann es auch sein
    dass wieder irgendwo Spuren auftauchen die
  • 58:19 - 58:23
    es vorher noch nicht gab.
    Herald: Mikrofon 3 bitte.
  • 58:23 - 58:28
    Frage: Hallo guten Morgen, kurze Frage ich
    habe letztens glaube ich gelesen dass
  • 58:28 - 58:34
    Microsoft eingeklagt hat einen neuen Store
    auf iOS veröffentlichen zu dürfen, würde
  • 58:34 - 58:38
    das also wie würde die Frage dazu wie
    würde das die Forensik bzw die
  • 58:38 - 58:44
    Exploitmöglichkeiten von iOS verändern?
    Antwort: Ich glaube das hängt vor allem
  • 58:44 - 58:50
    davon ab wie die das genau umsetzen
    würden. Angenommen es gibt dann genau zwei
  • 58:50 - 58:58
    App Stores vielleicht erstmal nicht so
    stark angenommen es gibt Siteloading, dann
  • 58:58 - 59:02
    gehen diese ganzen Sachen auf
    Analysetechniken auf die man auch bei
  • 59:02 - 59:08
    Android die wir gezeigt haben mit, welche
    Apps wurden da jetzt selber installiert.
  • 59:08 - 59:13
    Es vielleicht fallen diese also es gibt ja
    Mechanismen die eigentlich dazu führen
  • 59:13 - 59:17
    sollen dass nur gutartige und nette Apps
    im Apple App Store landen und keine
  • 59:17 - 59:21
    bösartigen, eventuell gibt's dann ganz
    viele, aber das jetzt alles Spekulation,
  • 59:21 - 59:24
    also ich glaub da muss man einfach gucken
    was passiert und wie das genau umgesetzt
  • 59:24 - 59:28
    wird ja.
    Herald: Mikrofon 1 bitte.
  • 59:28 - 59:33
    Frage: Ja Frage eher an Janiik
    wahrscheinlich, was hältst du von dem work
  • 59:33 - 59:39
    Mode in Android wo man so also manche
    verwenden um Apps zu installieren die zu
  • 59:39 - 59:43
    den man irgendwie gezwungen wird und die
    man aber eigentlich nicht mehr angucken
  • 59:43 - 59:48
    möchte. Kann man das machen oder kann man
    sich die Mühe da auch sparen und we was
  • 59:48 - 59:51
    ich ein zweites Handy nehmen oder gar kein
    Handy?
  • 59:51 - 59:58
    Antwort: Da kann ich dir die Dokumentation
    von empfehlen der workmode ist ja nur ein
  • 59:58 - 60:03
    besonderer sekundärer Benutzermodus also
    du hast ja auf Android generell die
  • 60:03 - 60:08
    Möglichkeit keinen sekundäre Benutzer zu
    erstellen und für die z.B auch eigene
  • 60:08 - 60:12
    Passwörter zu wählen und die haben dann
    auch andere Keys für die filebased
  • 60:12 - 60:17
    encryption das heißt wenn man das eine
    Passwort knacken würde, würde man
  • 60:17 - 60:20
    eventuell nicht auf die sekundären Nutzer
    zugreifen was auch ein cooles Feature ist
  • 60:20 - 60:25
    und z.B auch hilfreich sein kann für
    Grenzkontrollen mit so entsperen man dein
  • 60:25 - 60:28
    Hand und dann entsperst du nur einen
    Benutzer nicht den anderen und da könnte
  • 60:28 - 60:32
    man auch coole Sachen bauen wie z.B mit
    einem password was anderes entsperren als
  • 60:32 - 60:36
    beim anderen ähnlich wie be veracrypt und
    der workmode ist ja nur ein Shortcut dass
  • 60:36 - 60:40
    ich nicht erst den Benutzer wechseln muss
    um diese App zu starten sondern ich habe
  • 60:40 - 60:45
    die App dann automatisch in meinem
    primären Benutzerprofil und die startet
  • 60:45 - 60:51
    sich dann automatisch in in diesem
    sekundären Benutzer ja und das ist eine
  • 60:51 - 60:54
    zusätzliche Isolation also das ja
    normalerweise sowieso App Sandbox auf
  • 60:54 - 60:58
    Android und die Apps können nur
    miteinander kommunizieren wenn Sie beide
  • 60:58 - 61:02
    Zugriff auf den gleichen Datei
    Speeicherort haben musst du die Permission
  • 61:02 - 61:05
    geben oder wenn Sie beide anmelden ich
    möchte mit der App kommunizieren die
  • 61:05 - 61:09
    andere meldet auch an ich möchte mit der
    App kommunizieren, dann können Sie so eine
  • 61:09 - 61:14
    Art Interprozesskommunikation machen und
    sowas würdest du unterbinden z.B wenn du
  • 61:14 - 61:19
    den workmode benutzt. Also dann könnte
    nicht die App im workmode auf die anderen
  • 61:19 - 61:23
    Apps zugreifen ja kann man benutzen auf
    jeden Fall für Separierung.
  • 61:23 - 61:26
    Frage: Gut danke.
    Herald: Die Zeit für Fragen ist leider
  • 61:26 - 61:30
    vorbei ich merke es ist noch großes
    Interesse da, ihr seid in einer Stunde im
  • 61:30 - 61:35
    Workshop verfügbar Halle H, bitte einen
    riesen Applaus für Janik Besendorf und
  • 61:35 - 61:55
    Viktor Schlüter.
  • 61:55 - 61:58
    Applaus
  • 61:58 - 62:01
    Abspannmusik
  • 62:01 - 62:03
    Untertitel von vielen vielen Freiwilligen und dem
    C3Subtitles Team erstellt. Mach mit und hilf uns!
Title:
Einführung in Smartphone Malware Forensik
Description:

Wie man Stalkerware und Staatstrojaner auf Smartphones finden kann

more » « less
Video Language:
German
Duration:
01:02:03

German subtitles

Revisions Compare revisions