Contenu connexe Similaire à Forensik generator für mobile Systeme - ITF workshop 2012 (17) Forensik generator für mobile Systeme - ITF workshop 20121. Forensik Generator für
mobile Systeme
Benedikt Bauer
Lehrgebiet Datennetze
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 1
2. Übersicht
Fragestellung und Zielsetzung
Motivation und (mögl.) Einsatzzweck
Analyse der Gegebenheiten
Umsetzung
Ergebnisse / Zusammenfassung
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 2
3. Motivation
Problem: Forensische Methoden/Tools testen
Beweismittel mehrfach untersuchen,
Ergebnisse vergleichen
Zeitaufwendig
Vollständigkeit der Untersuchung nicht gewährleistet
Woher bekommt man geeignete Beweismittel?
Zerstört man evtl. noch benötigte Beweismittel?
Bei neuen Geräten gibt es u.U. noch gar keine Methodik
Deshalb: Beweismittel selbst generieren
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 3
4. Ziele
Generieren von Daten unter Bedingungen:
Automatisiert
Schnell
Realitätsnah
Nachvollziehbar
mit geringem Aufwand
Hier im Fokus: Android-Smartphones,
insbesondere Kontakte, Anruflisten, Nachrichten
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 4
5. Zielgruppe / Verwendung
Forensiker Schulung, Tests,
Beweisführung
Studenten,
Auszubildende, Ausbildung,
Prüfungsszenarien
angehende Forensiker
Entwickler Basis, Tests,
Funktionsbeweis
forensischer Software
Ergebnisse von
Zertifizierungsstellen
Untersuchungen vergleichen
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 5
6. Voranalyse des Android-Systems
Grundfunktionen des Telefons sind auch Apps
Apps speichern Daten in SQLite Datenbanken
Auslesen innerhalb Android liefert nur Ausschnitt
Schreibzugriff in Android nur eingeschränkt
Vollzugriff über Debugging-Schnittstelle aus SDK
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 6
7. Strukturanalyse
Datenbankstruktur zunächst undurchsichtig
(Felder heißen data1, data2,… werden mehrfach
verwendet)
Bedeutung ergibt sich aus Beschreibung der
Programmierschnittstelle
Bedeutung von Feldern ist abhängig von
Eintragstyp, dazu: Beispiel Kontakte
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 7
8. Beispiel: Kontakte
Mögliche Typen für
enthält Kontakt Data (Auszug):
• Name
• Adresse
• Telefon
besteht aus
Anrufliste
• E-Mail
• …
DB DB DB
RawContact Contact Data
mehrfach
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 8
9. Vorgehensweise
Simulation Entspricht realer Aktion
1. Datenbank auslesen Keine Entsprechung
2. Neue Daten Neuer
generieren und in Telefonbucheintrag /
Datenbank einfügen Anruf tätigen
3. Daten auslesen und Eintrag ändern,
verändern Nachricht ändern
4. Datensatz löschen Eintrag (Telefonbuch
/ Anrufliste) löschen
5. Datenbank Keine Entsprechung
zurückübertragen
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 9
10. Datenerzeugung
Aktionen simulieren: Datenbank erzeugen:
Exakte Abbildung der Schnell (200 Anrufe in
Realität ~10 Sek)
Erfasst auch Einfach (Daten liegen in
Änderungen im SQLite DB)
Hintergrund Leicht dokumentierbar
Kontra: (Änderungen bekannt)
kostenfrei
Zeitaufwändig
tlw. Unmöglich (autom. Kontra:
Anrufen geht, Synchronisationsdaten
annehmen nicht) fehlen unter Umständen
schwer dokumentierbar Echtzeiteingaben
u.U. kostenintensiv werden nicht erfasst
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 10
11. © FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 11
12. Ergebnisse
Anwendung erstellt 100 Datensätze in 5-10 Sek.
Vergleich generierter und echter Daten:
In der Benutzeroberfläche (nach Neustart) nicht
unterscheidbar
Zeitstempel der Datenbankdateien beziehen sich auf
Zeitpunkt der Übertragung
Synchronisationsinformationen werden bei nächstem
Abgleich eingetragen, fehlen bei Übertragung noch
Herstellerspezifische Zusatzfelder werden nicht
ausgefüllt
Basisfelder des Android Systems werden identisch gefüllt
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 12
13. Ausblick
Android-Schnittstellen sind universell einsetzbar
um weitere Daten auszulesen und zu verändern
Meine Arbeit befasst sich nur mit zentralen Android
Komponenten (Kontakte, Anrufe, Nachrichten)
Erweiterungsmöglichkeit: Drittanbieter App-Daten
(bspw.: Soziale Netzwerke, Messenger, Notizen)
Automatisierte Tests durch Kombination aus
Generator und Untersuchungssoftware
Szenarios erstellen
Inhalte vorgeben um realistische Fälle für Schulung zu
konstruieren
Person A kontaktiert Person B über 4 Wochen täglich per
SMS und E-Mail
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 13
14. Vielen Dank für Ihre
Aufmerksamkeit
© FH AACHEN UNIVERSITY OF APPLIED SCIENCES Forensik Generator für mobile Systeme – Benedikt Bauer | 14