Auf den Schreibtischen von Ermittlern, die Internetstraftaten aufzuklären haben, stapeln sich die konfiszierten Android-Telefone. Wie sie Smartphones hacken, Apps dekompilieren oder gar ein Botnetz aus Androiden aufbauen, das trainieren Strafermittler vorher – zusammen mit einem bestellten Hacker.
Sechs Jahre ist es her, dass in einem Workshop in Freiburg ein als Hacker bekannter IT-Spezialist auftrat, um deutschen Strafverfolgern mal zu zeigen, wie man ein Botnetz baut, wie leicht es schon damals war, einfache Trojaner zu erstellen, und wie die Tools unter dem Namen Ghostnet sogar diplomatische Verwicklungen in Chinas Kampf um Tibet auslösten [1]. Der Hacker Tobi nutzte einen Schulungsraum im Badischen, um innerhalb weniger Stunden mal eben einen Command- und Control-Server aufzusetzen und die Windows-Systeme in willfährige Bots zu verwandeln.
Android ist heute das Ziel
War 2008 das dominante Betriebssystem noch Windows XP, so gilt heute der Fokus von Anwendern, Strafverfolgern und Angreifern ganz klar mobilen Geräten mit dem Linux-Derivat Android. “Der Tatort ist heute weltweit, Schadsoftware bedroht jeden, im Kanzleramt und Smartphone-Besitzer weltweit”, erklärt ein anwesender Strafverfolger.
Auch Ende 2014 hat sich Tobi wieder bereit erklärt, sein Hackerwissen den Behörden zur Verfügung zu stellen. Und wie 2008 zeigt er dafür aussagekräftige Beispiele. War 2008 noch die Programmiersprache C der State of the Art, so erwartet er diesmal von den Teilnehmern, dass sie auch in die Interna von Java eingeweiht und darauf vorbereitet sind, selbst Quelltext in die Hand zu nehmen. Wenig Verständnis zeigt er dafür, dass die meisten der Forensiker diese Voraussetzungen nur rudimentär mitbringen: “Im Alltag brauchen wir das selten”, so der Tenor der Beamten.
“Na, dann code ich halt ein wenig für euch rum, wenn ihr das nicht könnt”, zuckt der Hacker mit den Schultern, schiebt die Kapuze seines Pullis wieder hoch. Derlei “Coden” macht er scheinbar lieber in dunkler Umgebung.
Mit den klassischen forensischen Werkzeugen wie Sleuthkit [2], Log2timeline [3] und dem Bulk_extractor [4] sind die Teilnehmer hingegen vertraut, Googles Android-SDK ist jedoch für viele noch Neuland. Der klassische Pfad zur Datensicherung verlangt aber neue Ansätze [5]: Das gewohnte Ewfacquire ([6], [7]) steht nicht bereit, statisch kompilierte Binaries aus der Forensik für die ARM-Architektur sind nur in geringem Umfang vorhanden. “Back to the Roots” lautet das Motto: Wieder mal sind die Klassiker Dd oder Netcat gefragt.
Mit ihnen lassen sich Images erstellen und über die Android Debug Bridge per TCP-Forwarding aus dem Smartphone ziehen, so wie der Artikel im Linux-Magazin [5] es beschreibt. Doch Tobi hat noch eine bessere Empfehlung im Gepäck (“für die Coder unter euch”). Drozer ([8], Abbildung 1, auch auf der DELUG-DVD) heißt das Tool, das er als Debian-Paket via Torrent (“vom Classroomserver”) für alle zum Download bereitgestellt hat.
Drozer landet auf dem Linux-PC, für das zu testende Android muss der Forensiker nun einen Agenten erstellen und diesen ins Smartphone installieren. Fürs Training reicht ein virtuelles Android, das sich mit dem SDK zusammenstellen lässt. »drozer build agent« legt das passende Apk-File an, das »adb install agent.apk« im Smartphone installiert. “Zuvor müsst ihr aber noch ein Forwarding einrichten”, fügt Tobi an. Das gelingt mit:
adb forward tcp:31415 tcp:31415
Wem das bekannt vorkommt, der erkennt hier bereits die Voraussetzung für das Klonen von Smartphone-Partitionen mit den zuvor erwähnten Dd und Netcat aus dem Artikel [5].
Mit »drozer start agent« startet dann die installierte App aus dem Android-Hauptmenü und verbindet sich mit der Linux-Maschine. Anschließend erhält der Admin die Drozer-Konsole aus Abbildung 1 und kann damit spielerisch Erfahrung sammeln.







