Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lässt sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von Ländern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt über ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in über 40 Ländern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen über die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die über ein Smartphone läuft, abfangen, und das Gerät sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Was Hacker alles können … Herzstillstand und Erpressung

Gestern Abend bin ich auf einen sehr interessanten und kurzweiligen Artikel in der WELT gestoßen:

 

Wenn ein Hacker die Kontrolle über dich übernimmt – Die fiktive Geschichte eines arglosen Ingenieurs, eines geschickten Hackers und einer genialen Idee.”

 

Die Autoren Benedikt Fuest, Thomas Jüngling und Thomas Heuzeroth stellen in ihrer Kurzgeschichte dar, was ein Hacker theoretisch – aber auch praktisch – heute machen könnte, wie ein Einzelner Ziel cyber-krimineller Machenschaften werden kann. Dabei ist die Geschichte immer wieder unterbrochen von Einschüben, in denen die Autoren die tatsächlichen Hintergründe ihrer fiktiven Story über Wirtschaftsspionage allgemein verständlich erläutern.

 

Der Protagonist der Geschichte wird von einem Hacker ausspioniert, erpresst und zudem mit seiner Ermordung bedroht, alles über das Internet, alles online aus der Ferne …

 

Klare Leseempfehlung!

SMS Absender – Fälschung kein Problem beim iPhone

Kürzlich wurde eine Sicherheitslücke im SMS-Protokoll von iOS bekannt, wonach die Angabe einer gefälschten Absenderkennung beim iPhone problemlos möglich ist.

Wie ein Hacker herausgefunden hat, ist es möglich, den Header einer SMS derart zu manipulieren, dass dort statt der eigentlichen Absenderadresse (also der Rufnummer) eine beliebige Antwortadresse eingetragen werden kann. Antwortet der Empfänger der SMS-Nachricht auf die SMS, so geht die Antwort an den gefälschten Absender.

Sicherheitstechnisch ist dies bereits deswegen bedenklich, da so beispielsweise Identitätstäuschungen dazu verwendet werden können, arglose Benutzer zur Übersendung vertraulicher Daten an Kriminelle zu veranlassen.

Die Möglichkeit der Manipulation des SMS-Headers besteht bei allen iOS-Versionen, sie ist sogar noch in einer aktuellen Beta-Version von iOS 6 vorhanden. Apple hat diesbezüglich verlauten lassen es handele sich nicht um ein Problem unmittelbar beim iPhone, sondern des SMS-Protokolls insgesamt. Die sichtbare Absenderadresse auszutauschen sei auch bei vielen Smartphones anderer Hersteller möglich. Von daher verweist Apple auf den eigenen iMessage-Dienst, da bei diesem derartige Attacken unmöglich seien. Dies wird damit begründet, dass iMessage über eine integrierte Verifizierungsfunktion verfüge, die den Absender einer Nachricht zweifelsfrei identifiziere.

 

Apple hat insofern Recht, als dass es auch bisher schon problemlos möglich war, über SMS-Dienste im Internet SMS mit einer gefälschten Absenderrufnummer zu erstellen und zu versenden. So kann man auf dem Internetportal www.fakemysms.com entsprechende Nachrichten erstellen. Wie (kinder)leicht das geht, zeigt dieses YouTube-Video:

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.

 

Live-Analyse

Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.

Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.