„Ein mysteriöser Mordanschlag, ein verdächtiger Laptop und ein abgehalfterter Ermittler – darum dreht sich ’00:01′, der neue Roman des Kölner Autors Constantin Gillies. Er spielt in einer Welt, die kaum jemand kennt in der Computerforensik.“
Der Kölner Kreis hat am 19.11.2019 eine Lesung zu diesem Roman ausgerichtet. Der Raum im Cöln Comic Haus war mit 60 Teilnehmern ausgebucht. Constantin Gillies und Martin Wundram haben gelesen, diskutiert und mit dem Publikum gelacht.
Constantin Gillies ist Journalist und Autor des Romans „00:01“. Martin Wundram ist Computerforensiker und Geschäftsführer von DigiTrace, Köln.
Zusammen stellten sie Constantins Roman „00:01“ vor und beantworteten Fragen wie: „Wie viel Crime‘ bietet die Computerforensik wirklich?“ und „Welche IT-Kniffe aus dem Roman sind realistisch?“
Dieser Mitschnitt zeigt die erste Stunde, bis zum Beginn der Frage- und Diskussionsrunde mit den Teilnehmern.
Losgelöst von der rechtlichen, politischen und ethischen Komponente rund um den mutmaßlichen Hack des Smartphones von Jeff Bezos wirft ein kritischer Blick auf den öffentlich gewordenen IT-forensischen Untersuchungsbericht weitere Fragen auf. Vice hat am 22. Januar 2020 einen 17-seitigen als vertraulich markierten Bericht mit dem Titel “Project Cato” des Unternehmens “FTI Consulting” online gestellt. Darin kommt FTI mit “mittlerer bis hoher Überzeugung” zu dem Schluss, Bezos iPhone X sei mittels Malware durch einen WhatsApp-Account kompromittiert worden, den der Saudische Kronprinz genutzt habe.
Sicher, mittels per WhatsApp versendeter Videos waren Mobilgeräte wohl tatsächlich angreifbar
und der im forensischen Gutachten beschriebene technische Ablauf
erscheint nicht unplausibel, aber sind auf Basis der IT-forensischen
Untersuchung wirklich Opfer sowie Täter mit “mittlerer bis hoher
Überzeugung” zu bestimmen? Oder wurden hier die Ergebnisse technischer
Untersuchungen mit Informationen aus einer Hintergrundrecherche
vermischt?
Vollständige Untersuchung steht wohl noch bevor
Die erste Schwierigkeit liegt darin, dass FTI laut Bericht nur eine logische Kopie von Anwendungsdaten über reguläre Backup-Techniken und eben nicht eine vollständige Kopie des gesamten Geräte-Speichers erzeugt hat. Das wäre jedoch notwendig, um das Gerät wirklich gründlich inklusive gelöschter und geschützter Datenbereiche zu untersuchen. So spricht das Dokument in der “Executive Summary” (Zusammenfassung) auf Seite 6 von einer “full forensic examination of the logical file system” (‚vollständigen forensischen Untersuchung des logischen Dateisystems‘).
Ganz am Ende findet sich dann der wichtige Hinweis, eine vollständige Untersuchung des gesamten Speichers mittels Jailbreak sei noch bevorstehend. Diese Einschränkung findet sich auch in Anhang 1 des Berichtes der beiden UN-Experten Callamard und Kaye: “Logical mobile acquisition” (‚logische Sicherung des Mobiltelefons‘). Zuvor schreiben auch sie jedoch umfassend: “An in-depth, forensic level examination of Mr. Bezos’ phone including full forensic imaging and analysis – was undertaken by a team of digital forensic experts.” (‚Eine gründliche Untersuchung von Mr. Bezos Telefon auf forensischer Ebene einschließlich vollständiger forensischer Sicherung und Analyse wurde von einem Expertenteam für digitale Forensik vorgenommen.‘)
Fragwürdig ist, warum der forensische Bericht ausführlich über technische Details der Analyseplattform berichtet (so sei unter anderem Ubuntu in Version 18.04 LTS in Oracle VirtualBox auf zwei Surface-Laptops mit Intel Core i7-Prozessor und 512 GB Festspeicher verwendet worden), für die Aufklärung wesentliche Angaben aber unerwähnt lässt: Welche Seriennummer hat das iPhone von Jeff Bezos, welche iOS-Version war installiert? Lief die Systemuhr des Mobiltelefons zum Zeitpunkt der Untersuchung korrekt und gibt es Anhaltspunkte, ob dies auch im mutmaßlichen Tatzeitraum so war? War das Gerät (zumindest zum Zeitpunkt der Untersuchung) z.B. mit einer PIN geschützt oder ungeschützt verwendbar? Wurde Herr Bezos befragt, ob er zum Tatzeitraum einen solchen Geräteschutz eingestellt hatte oder nicht? Welche Änderungen haben die IT-Forensiker an dem iPhone vorgenommen? Schließlich haben sie wohl live an dem System gearbeitet und damit potentiell Spuren verändert oder (ungewollt) gelöscht.
Wie viele Nutzdaten waren auf dem iPhone gespeichert? Laut FTI sollen 7,6 GB Daten abgeflossen sein. Waren so viele Fotos, Videos und sonstige Nutzdaten auf dem Gerät vorhanden, oder müsste der Traffic eher Folge einer abgeschnorchelten Kamera sein? Auch hierzu liefert der IT-forensische Bericht keine Aussage.
Geschwärzte Stellen im Bericht
Es ist zwar interessant zu erfahren, dass die FTI-Forensiker mittels
Metalldetektoren an der Labortür überprüft wurden (Seite 8 des
Berichts), aber offen bleibt nun die Frage, wie genau die ausführlichen
forensischen Untersuchungen abliefen (“FTI conducted in-depth analysis
of forensic artifacts from the redacted Cellebrite reports and captured
network logs”, Seite 9 des Berichts – ‚FTI nahm eine gründliche Analyse
der forensischen Beweismittel aus den redigierten Cellebrite-Berichten
und den aufgezeichneten Netzwerkprotokollen vor‘).
An keiner Stelle nennt der Bericht die Mobilnummer, die für den WhatsApp-Namen “MBS” in dem iPhone gespeichert war. Das ist auffällig, weil mehrere Bereiche in dem Bericht mit der Zeichenfolge “REDACTED” (‚redigiert‘) geschwärzt sind. Die Mobilnummer hätte problemlos ebenfalls geschwärzt werden können. Damit stellt sich auch die Frage, warum der Bericht überhaupt geschwärzte Bereiche enthält. Wurde nachträglich geschwärzt oder direkt durch FTI? Auffällig ist auch die Ähnlichkeit oder sogar Gleichheit des Schwärzungstextes mit dem Originaltext. Die folgende Grafik zeigt einen 1:1 aus dem Fließtext kopierten Buchstaben ‚C‘, der zur Verdeutlichung neben das ‚C‘ aus ‚Redacted‘ gelegt ist: Font und Schriftgröße scheinen identisch.
Relevante Fragen bleiben offen
Dies führt zu der abschließenden Frage, für wen der forensische Bericht bestimmt war. Denn je nach Auftrag und insbesondere Auftraggeber können natürlich z.B. für den Auftraggeber irrelevante Punkte ausgelassen werden. Jeff Bezos wird wohl selbst wissen, ob und unter welcher Mobilnummer er MBS gespeichert hatte, und er wird sich wahrscheinlich sicher sein, dass exakt sein Mobiltelefon bei FTI gelandet ist und dass es dann auch untersucht wurde. Aber dann wäre es vielleicht auch nicht nötig gewesen, in der Executive Summary (Seite 5) zu erklären, mit wem Bezos wann eine persönliche Beziehung führte oder Scheidungspläne eruierte.
Für Außenstehende bleiben damit relevante Fragen offen, besonders wie die FTI-Forensiker zu dem Schluss kamen, dass es sich bei dem Absender tatsächlich um das Konto des Saudischen Prinzen handeln soll. Da dieser interessante Bericht aber die wesentliche Einschränkung bezüglich der noch nicht erfolgten vollständigen Sicherung benennt und es wohl unklar ist, ob es von FTI einen weiteren Bericht gibt oder nicht, sollte man vor einer abschließenden Kritik an diesem Bericht noch warten.