Im Test: Oxygen Forensic Detective 11.0.1.12

Benutzer komplett durchleuchtet

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Der Oxygen Forensic Detective ist eine extrem vielseitige und leistungsfähige Software zur Sicherhung von Ermittlungsdaten auf mobilen Endgeräten.
Der Oxygen Forensic Detective ist eine extrem vielseitige und leistungsfähige Software zur Sicherhung von Ermittlungsdaten auf mobilen Endgeräten. (© Gerhard Seybert - stock.adobe.com)

Mit dem Oxygen Forensic Detective liefert Oxygen Forensics eine Software, die sich nutzen lässt, um Daten aus mobilen Geräten, SIM-Karten, Speicherkarten, Drohnen und IoT-Geräten zu extrahieren und auszuwerten. Mit der Lösung wendet sich der Hersteller vor allem an Ermittler, Geheimdienste und Unternehmen. Im Testlabor konnte das Forensik-Werkzeug zeigen, was in ihm steckt.

Zum Leistungsumfang des Oxygen Forensic Detective gehören unter anderem das Übergehen der Bildschirmsperre bei diversen Android-Geräten sowie die Fähigkeit, verschlüsselte Backups, Images und Daten zu entschlüsseln. Außerdem erhalten die Nutzer der Software einen unverzüglichen Zugang zu mehr als 60 Cloud-Diensten und können auf die Daten vieler häufig verwendeter Apps zugreifen.

In der Praxis kommt die Software für IT-Forensik zum Einsatz, um Images der kompletten mobilen Geräte zu ziehen. Die Datenanalyse findet dann auf Basis dieser Images statt. Alternativ ist es auch möglich, zu diesem Zweck bereits vorhandene Sicherheitskopien der Devices zu nutzen. Zu den weiteren Funktionen gehören ein SQLite Viewer zur Analyse von Datenbanken, Werkzeuge zum Analysieren von Zeitlinien, eine Datenwiederherstellung und leistungsfähige Suchfunktionen, um die gesuchten Informationen in den Datenquellen schnell zu finden. Zusätzlich steht auch ein File-Browser zur Verfügung.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinkten PDF-Dokument.

Der Test

Im Test installierten wir die zum Testzeitpunkt aktuelle Version 11 des Oxygen Forensic Detective auf einem Windows Rechner, der unter der 64-Bit-Version von Windows 10 (1803) lief. Anschließend nahmen wir die bereitgestellten Forensikwerkzeuge der Software auf verschiedene Arten unter die Lupe. Um uns mit der Funktionalität der Lösung vertraut zu machen, stellte uns der Hersteller zwei Backup-Images von Geräten unter Android und iOS zur Verfügung. Wir nutzten die Software, um diese Images im Detail zu untersuchen, herauszufinden, was sie enthielten und um die wichtigsten Funktionen kennen zu lernen. Anschließend legten wir ein Image eines bei uns im Testlabor vorhandenen iOS-Devices an, und überprüften, ob die Software wirklich alles anzeigte, was über die Installation herauszufinden war.

Der Import des iOS-Backups

Nachdem wir die Lösung auf unserem Rechner eingespielt hatten, importierten wir im ersten Schritt das iOS-Image, um uns anschließend mit dem Leistungsumfang der Software vertraut zu machen. Dazu wählten wir den Befehl "Sicherungsdatei importieren" und selektierten unser iOS-Image. Anschließend öffnete sich das "Datei Extractor"-Fenster, dabei war der Dateityp "Oxygen Sicherungskopie" als Quelle bereits vorausgewählt. Als wir nun auf "Weiter" klickten, las die Software das Backup ein.

Nach dem Einspielen des Images des iOS-Phones riefen wir erst einmal die Seite mit den Supported Applications auf, um uns einen Überblick über die Apps zu verschaffen, deren Daten der Forensic Detective verarbeiten kann. Dabei stießen wir auf eine durchaus eindrucksvolle Liste mit zum Testzeitpunkt 4734 Android-, 3786 iOS-, 16 Blackberry- und 60 Windows Phone-Apps.

Forensische Analyse von Datenträgern

Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

15.05.18 - Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse. lesen

WhatsApp

Im nächsten Schritt nahmen wir uns die Daten des "WhatsApp"-Messengers vor und schauten uns an, was die Demo-Benutzerin "Amy Rivers", der das Demo-Phone angeblich gehören sollte, für Nachrichten ausgetauscht hatte. Damit die Forensic Software die Daten dieser App unter iOS extrahieren kann, muss das iPhone entsperrt sein. Ist das der Fall, so sind die verantwortlichen Mitarbeiter anschließend dazu in der Lage, WhatsApp-Daten aus mehreren verschiedenen Bereichen einzusehen. Die "Application Files" umfassen die zur Anwendung gehörenden Dateien, wie die SQLite-Files, die Bilder und Thumbnails und ähnliches.

Am interessantesten ist wohl der Bereich "User Data". Dieser gibt nicht nur Aufschluss über die Kontakte, die der Betroffene Anwender hat, sondern ermöglicht es den zuständigen Mitarbeitern auch, die einzelnen Kommunikationen selbst durchzulesen. In diesem Zusammenhang stellten wir fest, dass unsere Testnutzerin Amy offensichtlich ein Drogenproblem hat und kokainsüchtig ist.

Abgesehen davon geben die Benutzerdaten auch noch Aufschluss über die via WhatsApp durchgeführten Anrufe und die geteilten Informationen, wie den Aufenthaltsort zu bestimmten Zeiten, Fotos und so weiter.

Um Daten einzusehen, die bereits vom Smartphone gelöscht wurden, ergibt es Sinn, Cloud-Daten zu nutzen. Wechseln die Benutzer nach "Cloud Accounts", so haben sie dort Zugriff auf die eingerichteten Cloud-Dienste wie WhatsApp-Backups, Dropbox oder auch Facebook. Wir schauten uns im Test ein WhatsApp-Backup genauer an. Dazu selektierten wir in der Übersicht den entsprechenden Eintrag und starteten den Oxygen Forensic Cloud Extractor. Hier konnten wir uns zunächst die ausgelesenen Credentials ansehen und dann den Dienst wählen, den wir einsehen wollten. Dann überprüfte das System, ob die Zugangsdaten für die einzelnen Dienste gültig waren, was einige Zeit dauerte und gab uns dann die Möglichkeit, neue Zugangsdaten einzugeben oder mit der Untersuchung fortzufahren. Da das WhatsApp-Backup bereits über gültige Zugangsdaten verfügte, gingen wir an dieser Stelle zum nächsten Schritt über. Danach kontaktierte das Tool den Cloud-Dienst und extrahierte die Daten auf das lokale System, wo wir dann auf die oben beschriebene Methode darauf zugreifen konnten.

Soziale Netze

Im nächsten Schritt des Tests nahmen wir die Apps für Facebook, Twitter und Instagram genauer unter die Lupe. Hier ist es so, dass sich nur verhältnismäßig wenige Benutzerdaten von den Apps auslesen lassen, beispielsweise die Instagram-Konten, denen Amy folgte, die Facebook-Cookies oder auch der Twitter-Suchverlauf. Diese Informationen sind bei weitem nicht so interessant, wie die Daten aus der WhatsApp-Anwendung, da das Phone aber mit den entsprechenden Diensten verbunden war und das Image deswegen auch die Zugriffsdaten für den Cloud-Service umfasste, konnten wir im Test über die oben angesprochene Methode mit dem WhatsApp-Backup die Cloud-Daten der Social Media-Dienste nutzen und weitere Erkenntnisse über die Demo-Benutzerin gewinnen. Oxygen Forensic Detective lässt sich also auch einsetzen, um mehrere Datenquellen zu verbinden.

Android

Als nächstes schauten wir uns das Android-Image an, das uns der Hersteller ebenfalls zur Verfügung gestellt hatte. Der Import lief genauso ab, wie bei dem Backup des iPhone und die Daten fanden sich wie erwartet danach in der Baumstruktur des Forensik-Werkzeugs wieder. Es handelte sich diesmal um das Highscreen-Smartphone von Jay Jazzy, der ebenfalls unter Drogenverdacht steht.

Dort nahmen wir auch erst einmal die Apps unter die Lupe. Dabei lief die Arbeit mit den Daten des Android-Phones vergleichbar mit der iPhone-Analyse ab.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im am Ende des Artikels verlinkten PDF-Dokument.

Google Location

Im Rahmen der Untersuchung des Android-Images analysierten wir zusätzlich noch die Google Location History. Die dazugehörigen Daten liegen nicht auf den Smartphones, sondern in der Google Cloud. Da das Google Token nach dem Einlesen des Phones zur Verfügung steht, können die zuständigen Mitarbeiter aber nicht nur die Location History, sondern alle Google Services auslesen. Uns gelang es im Test, ein detailliertes Bewegungsprofil des Test-Benutzers Jay Jazzy zu besorgen und einzusehen. Des Weiteren stellte sich bei unserer Untersuchung heraus, dass Jay derjenige ist, der Amy ihre Drogen besorgt.

Auslesen eines neuen Geräts

Nachdem wir uns mit den Werkzeugen des Forensic Detective vertraut gemacht hatten, ging es nun daran, ein eigenes Smartphone auszulesen. Wir verwendeten zu diesem Zweck ein iPhone 6 unter iOS 12.1.1. Dazu installierten wir zunächst iTunes auf unserem Testrechner, um die für den Zugriff auf das Gerät erforderlichen Treiber bereit zu stellen. Möchte man Android- oder andere Devices auslesen, so muss stattdessen das "Drivers Pack" von Oxygen Forensics auf dem jeweiligen Rechner installiert sein.

Nach der Installation von iTunes schlossen wir das iPhone zunächst einmal an das Testsystem an, um zu prüfen, ob die Verbindung funktionierte. Nachdem das geklärt war, versuchten wir im nächsten Schritt, das gesperrte iPhone auszulesen. Erwartungsgemäß funktionierte das nicht. An dieser Stelle sollte aber erwähnt werden, dass auch für iPhones eine Umgehung der Lockdown-Funktion existiert. Weitere Informationen hierzu gibt der Hersteller in einem Whitepaper.

Nachdem wir das iPhone entsperrt hatten, konnten wir aber über die Funktion „Connect Device / Auto Device Connection“ eine Verbindung zu dem Device herstellen und die darin enthaltenen Daten innerhalb weniger Minuten extrahieren. Dabei erhielten wir eine Datensammlung, die den oben erwähnten Demo-Backups entsprach und sich auch genauso verarbeiten ließ.

Während des Extraktionsprozesses teilt die Software den Anwendern übrigens immer genau mit, was sie gerade macht. So stellte sie beispielsweise fest, dass das iPhone-Backup auf unserem System verschlüsselt war und versuchte, das dazu verwendete Passwort zu knacken. Außerdem erhielten wir bei dieser Gelegenheit die Option, dass Passwort einzugeben, um den Prozess zu beschleunigen.

Auswertung

Zum Auswerten der Daten stellt das Werkzeug nicht nur die bereits erwähnten Tools wie den Image- und den SQLite-Viewer und die Suchfunktion zur Verfügung, sondern hilft den zuständigen Personen auch noch auf andere Weise. So gibt es eine so genannte Timeline, die Informationen aus verschiedenen Quellen, beispielsweise aus der Dropbox- und der Facebook-App chronologisch zusammenführt und so einen Überblick darüber gibt, welche Aktionen der Nutzer in welcher Reihenfolge durchgeführt hat.

Ebenfalls von Interesse: Der eingangs beschriebene "Social Graph". Dieser zeigt eine zoombare grafische Übersicht über die vorhandenen Kontakte und die zwischen ihnen bestehenden Verbindungen. Dazu verwendet das Tool Informationen aus unterschiedlichen Quellen, wie dem Telefonbuch, der Anrufliste sowie Nachrichten und App-Datenbanken.

IT-Forensik mit Kali Linux

Kali Linux Workshop, Teil 4

IT-Forensik mit Kali Linux

11.05.18 - In vierten Teil unserer Workshop-Serie zu Kali Linux geht es um die forensischen Werkzeuge, die Teil der Pentesting-Distribution sind. Mit diesen Tools lassen sich Daten retten, Images erzeugen, Dateien aufspüren oder auch PDFs auf Malware untersuchen. lesen

Fazit

Der Oxygen Forensic Detective überraschte uns mit der extrem großen Zahl an Informationen, die über die Daten der mobilen Geräte zur Verfügung stehen. Im Test konnten wir, um den Umfang des Beitrags nicht zu sprengen, nur auf ein paar Anwendungsbeispiele eingehen, um den Funktionsumfang der Lösung zu demonstrieren. Die Menge der gewonnenen Daten kann aber noch deutlich erweitert werden. In diesem Zusammenhang sei nur darauf hingewiesen, dass Anwendungen wie Tinder sich komplett mit der Software auslesen lassen, dass die Möglichkeit besteht, über Apps wie Booking.com die Reisetätigkeiten der Benutzer herauszufinden und dass die Forensik-Lösung auch dazu in der Lage ist, die Suchhistorie der Browser als Datenquelle heranzuziehen.

Vor allem die Kombination der direkt auf den Geräten gespeicherten Daten mit den Cloud-Daten, die sich importieren lassen, da ja nach dem Zugriff auf die mobilen Devices Zugriffstokens beziehungsweise -credentials bekannt sind, sorgen dafür, dass die Verantwortlichen praktisch alle Informationen über die Anwender erhalten, die auf diesem Weg überhaupt erfasst werden können. Das ist beileibe nicht allen klar, auch wir hatten uns vor diesem Test nur unzureichend mit dieser Problematik befasst. Die Analysewerkzeuge der Forensik-Lösung sorgen dann noch zusätzlich dafür, dass die Software wesentliche Kerninformationen automatisch übersichtlich aufbereitet und den zuständigen Mitarbeitern schnell zur Verfügung stellt.

Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Anmerkung: Das unabhängige Testlabor IAIT (Institut zur Analyse von IT-Komponenten) hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.

Dieser Test wurde für die Veröffentlichung auf Security-Insider.de gekürzt. Den vollständigen Test lesen Sie im unten verlinkten PDF-Dokument.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45761851 / Security-Testing)