Durch den ständigen steigenden Marktanteil der Macs und der Marktdominanz des iPod, werden nun auch Apple-Geräte immer mehr zu Gegenständen der Cyber-Forensik.
Ars Technica hat sich dieses Themas angenommen und behandelt in einem Artikel drei wesentliche Fragen der Mac-Forensik. Die erste Frage der Ermittler befasst sich mit den auf den Geräten gespeicherten Daten. Die Macs kämen den Forensikern sehr entgegen, da die meisten Mac-Anwendungen Daten standardisiert und gut dokumentiert speichern. Das Unternehmen Blackbag und SubRosaSoft, das sich auf Mac-Forensik spezialisiert hat, bietet Kurse für die Mac-basierte Ermittlung an. Speziell das iPhone sei für die Forensiker ein wichtiges Beweisstück, da auf diesem Kontaktdaten, Standortkoordinaten, Fotos, E-Mails und SMS gespeichert seien. Ein Blackbag-Mitarbeiter stellt fest, dass ironischerweise ausgerechnet die Jailbreak-Szene den Strafverfolgern eine Menge Arbeit abnehme. Der iPhone-Hacker Jonathan Zdziarski hat zu diesem Thema ein Buch mit dem treffenden Titel iPhone Forensics veröffentlicht.
Die zweite wesentliche Frage der Mac-Forensik betrifft den Einsatz von Ermittlungssoftware. In einem Interview von Ars Technica im letzen Jahr, stellte Dr. Rogers, Direktor der Cyber-Forensics an der Purdue University, fest, dass Forensik-Software für den Mac auf einem Stand sei, die der Windows-Software von vor 10 Jahren entspräche. Die Unternehmen Balckbag (Macintosh Forensik Suite) und SubRosaSoft (MacForensicsLab) arbeiten jedoch mit Hochdruck daran, die Situation zu verbessern, so Ars Technica. Rund 90% aller Macs befänden sich im Standard-Zustand was bedeute, dass der Anwender einen Admin-Account ohne Passwortabfrage eingerichtet hätte. Das mache einen USB-Stick mit entsprechender Software zum idealen Forensik-Werkzeug.
Die Letzte Frage des Ars-Technica-Artikels befasst sich mit dem Mac als Ermittlungswerkzeug. Demnach seien Macs immer häufiger das bevorzugte Arbeitsgerät der Strafverfolger. Einer der größten Vorteile sei dabei, dass auf einem Intel-Mac neben Mac OS X auch Windows und Linux betrieben werden könne. Das gäbe den Ermittlern die Möglichkeit, alle wichtigen Systeme mit nur einem Gerät abzudecken, was die Arbeit am Tatort erheblich vereinfache. Zudem ermögliche MacFUSE die einfache Ergänzung des Betriebssystems um weitere Dateisysteme. Die Ermittler könnten dann mit Mac OS X ein Image von nicht-Mac-Systemen erstellen, um dieses anschließend im Labor zu analysieren.
Wer sich für die Forensik mit und am Mac interessiert oder möglicherweise sogar in diesem Bereich berufstätig ist, der sollte sich Apples Webinar zu diesem Thema ansehen.
Diskutiere mit!
Hier kannst du den Artikel "Cyber-Forensik: iPod und Co als Beweismaterial" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Die Kommentare für diesen Artikel sind geschlossen.