Als Vorbereitung für einen aktuellen Fall habe ich mich vor einiger Zeit intensiver mit der Auswertung sogenannter Geokoordinaten befasst.

Meine Fragestellungen hierbei sind:

  • Welche Informationen lassen sich auslesen?
  • Wie genau sind die angegebenen Koordinaten?
  • Wie zuverlässig sind die ausgewerteten Daten?
  • Was muss ich als IT-Forensiker beachten?

Um verlässliche Daten zu erhalten, die ich auch nachvollziehen kann, musste einmal mehr mein eigenes Smartphone herhalten. Was macht man nicht alles im Sinne der Wissenschaft….

Nun gut, ich selber weiß ja am besten, wo ich mich mit meinem Handy überall befunden habe und welches Bewegungsprofil mich daher erwarten würde. Aber dass ich noch eine Überraschung erleben würde, war mir zu Beginn der Analyse noch nicht bewusst…. dazu später mehr.

Auch bei einer Testauswertung, die einem späteren Fall dienlich sein soll, gehe ich gewissenhaft mit den erforderlichen forensischen Prozessen an die Analyse der Daten. Zunächst wird daher ein physikalisches Abbild, ein sogenannter Dump des Flash-Speichers gezogen. Hierzu nutze ich unsere Hardware von Cellebrite, den UFED Touch. Die Akquise der Daten dauert bei einem durchschnittlichen Smartphone durchaus mal einige Stunden. Bei meinem HTC habe ich nach knapp 2 Stunden den 16GB großen Speicherauszug auf meiner Festplatte und kann mit der Analyse der Daten beginnen.

Ansicht der Ortsinformationen im Physical Analyzer

Zunächst wähle ich als Analysesoftware den aktuellen Physical Analyzer, der mir bei der Rohdatenaufbereitung des Flash-Dump behilflich ist. Vorteilhaft bei der Auswertung des HTC ist es, dass mir direkt ein Verzeichnis mit den Ortsangaben in der Auswertungsübersicht angegeben wird.

Sehr schön. Da ich auch noch einem Hobby nachgehe, bei dem Koordinatenangaben eine Bedeutung haben, sind mir die gefundenen Zahlenpaare sehr vertraut.

Tabelle mit Geokoordinaten

 

Was ich also gefunden habe sind die jeweiligen Koordinaten zu den Fotos, die ich mit dem Handy unterwegs aufgenommen habe (Wer mag, darf sich gerne einmal mit den Koordinaten befassen und schauen, wo ich diese Fotos aufgenommen habe. Google Maps kann hier behilflich sein).

Mit der Exportfunktion dieser Tabelle habe ich die Möglichkeit eine Koordinatendatei herauszuschreiben, die von diversen Kartentools direkt verarbeitet werden kann. Nachdem ich diese Datei via Google Earth visualisieren lasse, sehe ich dort allerdings eine kleine Überraschung. Laut den Koordinatenangaben muss ich mich wohl zu irgendeinem Zeitpunkt in Spanien, genauer im Ort La Abufera auf der Insel Mallorca befunden haben. Schön wäre es gewesen, aber diese Ortsangabe kann unmöglich von mir sein.

Ansicht der Koordinaten in Google Earth

Forschen wir hier doch mal weiter. Die Koordinatenangabe stammt nicht von einem meiner Bilder. Schon an der Beschriftung ist zu erkennen, dass es sich eher um eine eingebettete Datei oder einen Anhang in einer der E-Mails handeln könnte. Also suchen wir uns zunächst das entsprechende Bild Namens „token1355986918246“ aus der Galerie heraus und sehen uns den Speicherort der Datei an. Zu finden ist das Bild im Verzeichnis „\Download\.Mail“. Zunächst schaue ich mir kurz die Metadaten des Bildes an. Das Format deutet auf ein JPEG-Bild hin. Die Headerdaten betrachte ich kurz mit dem Hex-Viewer und sehe, dass es augenscheinlich mit einem iPhone 4 aufgenommen wurde.

Mit dem Namen der Bilddatei mache ich nun weiter. Zunächst lässt sich der String auftrennen und in verschiedene Teilinformationen gliedern. Die Bezeichnung „token“ ist zunächst uninteressant. Ich schaue mir die Zahlen genauer an. Die ersten 10 Stellen deuten auf einen Unix-Timestamp hin, die letzten 3 Stellen sind zusätzliche Millisekunden. Also rechne ich schnell die Zahlen in ein lesbares Datumsformat um. Aus 1355986918 wird somit der Zeitstempel 20.12.2012, 07:01:58 Uhr (UTC +0). Hier ist zu beachten, dass die Zeitverschiebung sowie Sommer/Winterzeit mit berücksichtigt werden muss. Zur Information, das ist nicht die Erstellzeit des Bildes sondern lediglich der Zeitstempel zur Speicherung auf meinem Smartphone. Ok, die gleichen Informationen finde ich auch mithilfe der Dateiinfo des Physical Analysers, der mir auch noch weitere Daten zu dem Bild liefert. Somit kann ich mich auf die Suche nach der entsprechenden Mail begeben, die ich am 20.12.2012 erhalten haben muss.

Mit dem Suchfilter des Dateinamens finde ich auch recht schnell die entsprechende Nachricht in der entsprechenden Mail-Datenbank. Hierbei handelt es sich um die Nachricht eines Sozialen Netzwerkes, in dem auf Mails meiner Bekannten hingewiesen wird. Mein Kollege Ralf S. (Name geändert…Anmerkung des Autors) war wirklich erstaunt, als ich ihm ein paar Tage später mein Wissen über seinen letzten Urlaub mitteilte und ihm recht genau den Entstehungsort des Bildes genannt habe.

Fazit aus dieser Spurensuche:

Nicht alle Ortsinformationen beziehen sich auf den Besitzer des Smartphones. Auch einige Soziale Netzwerke vergessen, die Meta-Informationen in ihren Thumbnail-Bildern zu entfernen!!! Somit werden immer noch Geo-Daten unwissentlich verteilt.

Als IT-Forensiker sind uns diese Umstände bekannt. Wir können uns daher nicht auf eine automatisierte Analyse von teuren Software-Tools verlassen, sondern es ist hierbei immer wichtig, eine manuelle Analyse einzubeziehen. Die manuelle Auswertung und Betrachtung der vorgefundenen Daten ist nicht zu automatisieren. Es ist und bleibt teilweise Detektivarbeit, die Zusammenhänge zu erkennen und darzulegen.

Die Genauigkeit der gefundenen Geo-Koordinaten ist immer abhängig von der Qualität der Sattelitensignale zum Zeitpunkt der Speicherung. Es kann durchaus vorkommen, dass hier Abweichungen bis zu 150 oder 200 Metern vorliegen. Im optimalen Fall liegt die Genauigkeit allerdings im 10 Meter Bereich.

Soweit der kleine Ausflug in die Welt der forensischen Geokoordinaten-Auswertung …Viel Spaß beim Fotografieren und posten, wir sagen Ihnen dann, wo sie waren …. 😉

Kommentare geschlossen.