Forensische Investigation - iPhone

Outback schrieb:Nein einer im Juni, aber mit dem Boot Failure Count 2. Count 1 = Täter, Count 2 = Forensiker

Immerhin hätten dann die möglichen Arbeiten der Forensiker im DFU-Modus nicht zwangsläufig alle Hinweise auf eine DFU-Nutzung im April zerstört.

Outback schrieb:Um das iPhone überhaupt in den DFU-Mode versetzen zu können, muss es zwingend per Lade- / Datenkabel am Computer angeschlossen sein. Geht man nach Anleitungen im Netz vor oder verhaut das Timing beim Drücken bestimmter Tasten, dann bootet das iPhone automatisch und erzeugt einen "Starting Up"-Log. Erst danach kann man es wieder ausschalten und in den DFU-Mode versetzen.

Das würde schon beängstigend gut auf die bisherigen Funde passen...

Outback schrieb:Nein einer im Juni, aber mit dem Boot Failure Count 2. Count 1 = Täter, Count 2 = Forensiker

Dann wäre es ja eigentlich für das NFI bzw Panama was "einfaches" gewesen nachzusehen. Schade, dass das nicht gemacht wurde.
(Klar müsste man erst rausfinden an welcher Stelle was steht, aber im Zweifelsfall kann sich so ein forensisches Institut ja auch an Apple wenden)

JayneSabbath schrieb:Dann wäre es ja eigentlich für das NFI bzw Panama was "einfaches" gewesen nachzusehen. Schade, dass das nicht gemacht wurde.
(Klar müsste man erst rausfinden an welcher Stelle was steht, aber im Zweifelsfall kann sich so ein forensisches Institut ja auch an Apple wenden)

Wenn nur ein 1:1 Image des NAND-Speichers gezogen wurde, dann gibt es halt keinen Crashreport (das iPhone würde den erst im Jahr 2030 erstellen, falls man es dann bootet) auf den DVDs, sondern nur iwo einen kryptischen Eintrag. Ja Apple / iOS-Experte wäre ne gute Idee gewesen, wurde ja vllt. auch gemacht.

Outback schrieb:Fall du die Cydia-App drauf hast

...nee, ist nicht drauf. :(

Nur der Form halber, habe bestimmt was überlesen:
01.04. 13:38 -94dBm - warum ist der erste Wert der ausgelesenen -94dBm Signalstärken auch ein Freeze-Log und kann kein real gemessener Wert sein?

Outback schrieb:Ich verstehe nur nicht den inaktiven Entsperrcode ab 3.4., was bei aktivierter SIM nicht möglich ist.

Ich überarbeite die Tabelle nochmal - zu dem Zeitpunkt des Erstellens war das durch die damaligen Erkenntnisse bzgl. Umgehen des Entsperrcodes (--> doctective) begründet, Du hast ja kurz danach die Erläuterungen zum Aktivieren vom Kontrollzentrum und die dadurch möglichen begrenzten Zugriffe (Taschenlampe, Kamera, Flugmodus, etc) eingestellt. Ich tausche die Spaltenüberschrift aus (neu: Kontrollzentrum) und füge eine Spalte ein: Entsperrcode Bildschirm. Da ist dann füe die Zeitpunkte mit aktivierter SIM-Pin der Entsperrcode Bildschirm als "richtig eingegeben" gekennzeichnet und bedeutet "Zugriff auf alle restlichen, über die im Kontrollzentrum bereits erreichbaren" Apps.
Für die Zeitpunkte ohne aktivierter SIM-PINbin ich aber nicht aussagefähig.

bergfreund schrieb:Nur der Form halber, habe bestimmt was überlesen:
01.04. 13:38 -94dBm - warum ist der erste Wert der ausgelesenen -94dBm Signalstärken auch ein Freeze-Log und kann kein real gemessener Wert sein?

Im Standby wird ja nur bei Aktivität (Display an) oder aufgrund zB rtc-Events geloggt. Das ist um 13:38 Uhr im Funkloch passiert. Der Log dazu sieht so aus (nachgestellt und Zeitverschiebung ignoriert):

04/1/14 13:38 [Telephony] current_rat=GSM; preferred_rat=GSM; camped_rat=Unknown;[/quote]

"camped_rat=Unknown" bedeutet dasselbe wie "Kein Netz" / Funkloch / IP: Network None. Da kann das iPhone nix gemessen haben, es muss vorher, vor dem Funkloch passiert sein (ohne Aktivität, nur gemessen und im RAM abgelegt).

iOS 7 - Warum? :shot:

Soo, Finalstatus erreicht .. :rock:

Bei evtl. neuen Updates schreibe ich hier nen kurzen Kommi dazu.

Interessantes Update in der Rubrik "iOS 7 Bugs" ..



Jede Nutzung (außer im DFU-Mode) hinterlässt mind. 2 versteckte Dateien in 2 versteckten Ordnern, deren Timestamps exakt auf die Sekunde genau die Ausschaltzeit zeigen.

Outback schrieb:Jede Nutzung (außer im DFU-Mode) hinterlässt mind. 2 versteckte Dateien in 2 versteckten Ordnern, deren Timestamps exakt auf die Sekunde genau die Ausschaltzeit zeigen.

Man würde sich wünschen, die (Behörden oder Angehörige) würden dir die Originalhandys zur Verfügung stellen oder zumindest selber dafür sorgen, dass sie ähnlich gründlich untersucht werden, wie du es bei deinen Tests machst. :)

InspektorLemon schrieb:Man würde sich wünschen, die (Behörden oder Angehörige) würden dir die Originalhandys zur Verfügung stellen oder zumindest selber dafür sorgen, dass sie ähnlich gründlich untersucht werden, wie du es bei deinen Tests machst. :)

Wäre schon spannend, vor allem wenn man die Simplizität der Beweisführung sieht:

- sind o.g. 2 Hidden Files am 11. April vorhanden = kein DFU-Mode benutzt, sondern manuell bedient, von wem auch immer
- sind sie am 11. April nicht vorhanden = FP bewiesen

Outback schrieb:Wäre schon spannend, vor allem wenn man die Simplizität der Beweisführung sieht:

- sind o.g. 2 Hidden Files am 11. April vorhanden = kein DFU-Mode benutzt, sondern manuell bedient, von wem auch immer
- sind sie am 11. April nicht vorhanden = FP bewiesen

Jetzt, wo ich mich selbst so lese, ist klar: (1) trifft zu, da wir ja einen "Starting Up"-Log haben, was ein Ausschalten vor einer etwaigen DFU-Mode-Nutzung erfordert. Der DFU-Mode wäre dann bewiesen, wenn die Timestamps der beiden Hidden Files vom 11. April 1 Minute nach dem Einschalten liegen, anstatt 1 Stunde danach.

Ich würde aber sagen: Wenn Profi mittels DFU-Mode, dann kein "Starting Up"-Log und nicht am 11. April.

Outback schrieb:Ich würde aber sagen: Wenn Profi mittels DFU-Mode, dann kein "Starting Up"-Log und nicht am 11. April.

Das sehe ich auch so. Ich gehe aber auch eher, wenn FP, von einem technikaffinen Laien aus, der sich in der Not vieles in kurzer Zeit angelesen hat. So jemand macht Fehler, wie du schon geschrieben hast. Vielleicht hat er einfach das Starten im DFU-Modus verkackt und hat das Handy einmal wieder herunterfahren müssen, bevor er es nochmal versucht hat.

Wenn ich von einer manuellen Nutzung am 11. April ausgehe, dann gehe ich gleichzeitig mit sehr hoher Wahrscheinlichkeit davon aus, dass nach so langer Zeit weder Kris noch Lisanne es bedient haben, dann frage ich mich aber natürlich, was derjenige in der 1 Stunde mit dem Handy veranstaltet hat... viel wäre ja dann nicht möglich gewesen.

InspektorLemon schrieb:dann frage ich mich aber natürlich, was derjenige in der 1 Stunde mit dem Handy veranstaltet hat... viel wäre ja dann nicht möglich gewesen.

Plausibel wären für mich ein Suchen nach Besitzerinfos (bei Fund), ein bewusstes Entleeren des Akkus (zB falls vom 7.-10. im DFU-Mode am Ladekabel) oder ein versuchtes Ausnutzen diverser iOS7 Kontrollzentrum Bugs:

https://macnotes.de/2013/09/19/bug-ios-7-zugriff-fotos-lock-screen/
https://www.kaspersky.com/blog/apples-ios-7-has-a-major-security-flaw/2775/
https://siliconangle.com/2013/09/23/another-bug-found-in-ios-7-this-time-theres-no-quick-fix/

Outback schrieb:ein versuchtes Ausnutzen diverser iOS7 Kontrollzentrum Bugs:

Zum Beispiel um Zugriff auf die Fotos zu bekommen. Wäre so auch ein Löschen von Fotos möglich gewesen?

InspektorLemon schrieb:Wäre so auch ein Löschen von Fotos möglich gewesen?

Klar wäre dann ein Löschen von Fotos möglich. Beim Löschen verbleiben aber Thumbnails (iTHMB), Metadaten und Dateifragmente. Forensisch können per App gelöschte iPhone-Fotos quasi immer in niedriger oder via File Carving (ganz oder teilweise) sogar in hoher Qualität rekonstruiert werden.

Update: Neues (Unter-)Kapitel hinzugefügt.

IX - Exkurs Stalking & Jailbreak / Spy-App



Es gibt einen Grund, auf den ich nicht näher eingehe. Daher als allgemeine Info zu verstehen, ohne Bewertung der Fallrelevanz.

@köster
@Doctective

Im Blog ist der Anspruch, dass alle Ergebnisse mit beiden Handys reproduzierbar sind.

Im Hauptthread stehen 2 Dinge, wo das nicht so war und die nur im Blog korrekt aufgeführt sind:

- Loggen der ersten richtigen Eingabe des Entsperr-Codes in den Bootlogs
- Loggen der Taschenlampennutzung in den Powerlogs

Richtig ist: Beides wird unter iOS 7.0.6 nicht geloggt.

Habe es noch mal etwas umformuliert, da eine Taschenlampennutzung keine Tatsache ist, aber eine Möglichkeit, weil das eben nicht geloggt wird.

Unter Ausnutzung der Bugs wäre es halt auch länger oder nachts möglich. Jedoch auf keinen Fall bis einschl. 3. April morgens, da hier die Akkuwerte nicht zu einer Taschenlampennutzung passen.

Ich bräuchte eine zitierte oder definitive Aussage der Forensiker, wie sie die Ausschaltzeitpunkte ermittelt haben. Bei u.a. ViP und Romain sieht es nach "Schätzmethode" aus. Die Ausschaltzeit wird auch tatsächlich nicht geloggt, ist aber auf die Sekunde genau aus Hidden File System Events ermittelbar. Hier liegt das Problem: Haben die Forensiker oder besser gesagt deren Tools solche Hidden Files extrahiert oder haben sie wirklich nur anhand aufhörender Logs "geschätzt"?

Also es ist etwas schwierig. Lassen wir den "Taschenrechner"-Bug als sinnfrei weg, dann war eine Taschenlampennutzung nur noch am 5. und 6. April nachmittags sowie am 11. April möglich. Je realistischer man denkt, desto mehr dünnt sich das aus. :-)