zurück zum Artikel

Kommentar zum Bezos-Hack: Forensik-Gutachten lässt zu viele Fragen offen

Kommentar: Forensik-Gutachten Bezos

(Bild: JARIRIYAWAT/Shutterstock.com)

Im Bericht über den mutmaßlichen Hack des Smartphones von Jeff Bezos ist noch vieles unklar und manches fragwürdig, findet der IT-Forensiker Martin Wundram.

Losgelöst von der rechtlichen, politischen und ethischen Komponente rund um den mutmaßlichen Hack des Smartphones von Jeff Bezos [1] wirft ein kritischer Blick auf den öffentlich gewordenen IT-forensischen Untersuchungsbericht weitere Fragen auf. Vice hat am 22. Januar 2020 einen 17-seitigen als vertraulich markierten Bericht mit dem Titel “Project Cato” des Unternehmens “FTI Consulting” online gestellt [2]. Darin kommt FTI mit “mittlerer bis hoher Überzeugung” zu dem Schluss, Bezos iPhone X sei mittels Malware durch einen WhatsApp-Account kompromittiert worden, den der Saudische Kronprinz genutzt habe.

Sicher, mittels per WhatsApp versendeter Videos waren Mobilgeräte wohl tatsächlich angreifbar [3] und der im forensischen Gutachten beschriebene technische Ablauf erscheint nicht unplausibel, aber sind auf Basis der IT-forensischen Untersuchung wirklich Opfer sowie Täter mit “mittlerer bis hoher Überzeugung” zu bestimmen? Oder wurden hier die Ergebnisse technischer Untersuchungen mit Informationen aus einer Hintergrundrecherche vermischt?

Kommentar von Martin Wundram

Martin Wundram ist seit 15 Jahren als Sachverständiger und Trainer für IT-Sicherheit und IT-Forensik tätig und Co-Geschäftsführer der DigiTrace GmbH.

Die erste Schwierigkeit liegt darin, dass FTI laut Bericht nur eine logische Kopie von Anwendungsdaten über reguläre Backup-Techniken und eben nicht eine vollständige Kopie des gesamten Geräte-Speichers erzeugt hat. Das wäre jedoch notwendig, um das Gerät wirklich gründlich inklusive gelöschter und geschützter Datenbereiche zu untersuchen. So spricht der Bericht in der “Executive Summary” (Zusammenfassung) auf Seite 6 von einer “full forensic examination of the logical file system” ('vollständigen forensischen Untersuchung des logischen Dateisystems').

Ganz am Ende findet sich dann der wichtige Hinweis, eine vollständige Untersuchung des gesamten Speichers mittels Jailbreak sei noch bevorstehend. Diese Einschränkung findet sich auch in Anhang 1 des Berichtes der beiden UN-Experten Callamard und Kaye: “Logical mobile acquisition” ('logische Sicherung des Mobiltelefons'). Zuvor schreiben auch sie jedoch umfassend: “An in-depth, forensic level examination of Mr. Bezos’ phone including full forensic imaging and analysis – was undertaken by a team of digital forensic experts.” ('Eine gründliche Untersuchung von Mr. Bezos Telefon auf forensischer Ebene einschließlich vollständiger forensischer Sicherung und Analyse wurde von einem Expertenteam für digitale Forensik vorgenommen.')

Fragwürdig ist, warum der Bericht ausführlich über technische Details der Analyseplattform berichtet (so sei unter anderem Ubuntu in Version 18.04 LTS in Oracle VirtualBox auf zwei Surface-Laptops mit Intel Core i7-Prozessor und 512GB Festspeicher verwendet worden), für die Aufklärung wesentliche Angaben aber unerwähnt lässt: Welche Seriennummer hat das iPhone von Jeff Bezos, welche iOS-Version war installiert? Lief die Systemuhr des Mobiltelefons zum Zeitpunkt der Untersuchung korrekt und gibt es Anhaltspunkte, ob dies auch im mutmaßlichen Tatzeitraum so war? War das Gerät (zumindest zum Zeitpunkt der Untersuchung) z.B. mit einer PIN geschützt oder ungeschützt verwendbar? Wurde Herr Bezos befragt, ob er zum Tatzeitraum einen solchen Geräteschutz eingestellt hatte oder nicht?

Wie viele Nutzdaten waren auf dem iPhone gespeichert? Laut Bericht sollen 7,6 GB Daten abgeflossen sein. Waren so viele Fotos, Videos und sonstige Nutzdaten auf dem Gerät vorhanden, oder müsste der Traffic eher Folge einer abgeschnorchelten Kamera sein? Auch hierzu liefert der IT-forensische Bericht keine Aussage.

Es ist zwar interessant zu erfahren, dass die FTI-Forensiker mittels Metalldetektoren an der Labortür überprüft wurden (Seite 8 des Berichts), aber offen bleibt nun die Frage, wie genau die ausführlichen forensischen Untersuchungen abliefen (“FTI conducted in-depth analysis of forensic artifacts from the redacted Cellebrite reports and captured network logs”, Seite 9 des Berichts – 'FTI nahm eine gründliche Analyse der forensischen Beweismittel aus den redigierten Cellebrite-Berichten und den aufgezeichneten Netzwerkprotokollen vor').

An keiner Stelle nennt der Bericht die Mobilnummer, die für den WhatsApp-Namen “MBS” in dem iPhone gespeichert war. Das ist auffällig, weil mehrere Bereiche in dem Bericht mit der Zeichenfolge “REDACTED” ('redigiert') geschwärzt sind. Die Mobilnummer hätte problemlos ebenfalls geschwärzt werden können. Damit stellt sich auch die Frage, warum der Bericht überhaupt geschwärzte Bereiche enthält. Wurde nachträglich geschwärzt oder direkt durch FTI?

Lesen Sie auch


Dies führt zu der abschließenden Frage, für wen der Bericht bestimmt war. Denn je nach Auftrag und insbesondere Auftraggeber können natürlich z.B. für den Auftraggeber irrelevante Punkte ausgelassen werden. Jeff Bezos wird wohl selbst wissen, ob und unter welcher Mobilnummer er MBS gespeichert hatte, und er wird sich wahrscheinlich sicher sein, dass exakt sein Mobiltelefon bei FTI gelandet ist und dass es dann auch untersucht wurde. Aber dann wäre es vielleicht auch nicht nötig gewesen, in der Executive Summary (Seite 5) zu erklären, mit wem Bezos wann eine persönliche Beziehung führte oder Scheidungspläne eruierte.

Für Außenstehende bleiben damit relevante Fragen offen, besonders wie die FTI-Forensiker zu dem Schluss kamen, dass es sich bei dem Absender tatsächlich um das Konto des Saudischen Prinzen handeln soll. Da dieser interessante Bericht aber die wesentliche Einschränkung bezüglich der noch nicht erfolgten vollständigen Sicherung benennt und es wohl unklar ist, ob es von FTI einen weiteren Bericht gibt oder nicht, sollte man vor einer abschließenden Kritik an diesem Bericht noch warten. (des [5])


URL dieses Artikels:
https://www.heise.de/-4645300

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Jeff-Bezos-angeblich-ueber-WhatsApp-Nachricht-von-saudischem-Kronprinz-gehackt-4643230.html
[2] https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-phone-technical-report
[3] https://www.securityweek.com/whatsapp-vulnerability-allows-code-execution-malicious-mp4-file
[4] https://www.heise.de/meldung/Jeff-Bezos-gehackt-Forensische-Analyse-weniger-ausfuehrlich-als-moeglich-4644238.html
[5] mailto:des@heise.de