Ein paar Punkte, die Mathe aus seinem Arbeitsvorgehen beschrieb, halten wir vielleicht für relevant für andere.
SIM-Kartenträger. Damit sind die kleinen Plastikkarten gemeint, in denen die Karten verkauft werden. In einer Wohnung fand sich keine SIM-Karte sondern nur dieser Träger. Die darauf abgedruckte Nummer war fortlaufend mit einer anderen gefunden SIM („Rufnummernstamm“). Daraufhin wurde davon ausgegangen, dass die Karten miteinander in Verbindung stehen könnten.
Recherche bei Internetanbietern läuft anscheinend so ab: Plattformen wie die Deutsche Bahn oder AirBnB werden Namen, E-Mail Adressen und Handynummern geschickt. Diese werden mit den User*innendaten abgeglichen und an die Cops zurückgemeldet. Ein Beispiel dafür, wie das laufen kann: im DB-Account einer der Beschuldigten war eine Googlemailadresse angegeben. Die Anfrage an Google ergab, dass dort eine Handynummer zur Kontowiederherstellung hinterlegt wurde. Bei dieser Handynummer gab es in den Monaten davor Anrufversuche einer Festnetznummer. Diese gehörte zu einem Immobilienunternehmen, dort war die Handynummer in den Kundendaten einer Mieterin gespeichert. So konnten Mathe und Co. schließlich eine Wohnung, die von zwei der Beschuldigten angemietet worden war, observieren. Dort konnte aber nur ein Untermieter festgestellt werden, der bis heute aber keine Kenntnis darüber hat, dass er längere Zeit observiert wurde.
Majas Festnahme: Telefonüberwachung einer Maja nahestehenden Person. Diese soll am Telefon zu einer dritten Person gesagt haben sie treffe sich bald mit Maja in Berlin. Daraufhin Observation, Verfolgung bis nach Berlin, dort nimmt das MEK Maja in einem Hotel fest.
J. wurde im Regio festgenommen. Dabei hatte er einen Schlüssel und eine Stempelkarte eines Cafés bei sich. Mathe und Co. probierten den Schlüssel systematisch in den Straßen um das Café aus und konnten so Js Wohnung finden.
Alle Smartphones mit Graphene OS Betriebssystem konnten bis zum gegenwärtigen Zeitpunkt technisch nicht ausgelesen werden.
Das kannst du auch ganz einfach im celelbrite Status einsehen. Laut dem ist grapheneOS bis heute nicht entsperrbar es sei denn der Code ist vorhanden dann kann eine Datenextraktion vorgenommen werden. Celelbrite gilt als Goldstandard in dem Bereich. Unsere Behörden sind ebenfalls Kunden dort habe ich gehört
Vor Entsperrung nach Neustart laufen doch auch schon Apps und Dienste, und das Gerät könnte erreichbar sein, nicht per Mobilfunk, wenn die Karte per SIM-Sperre geschützt, aber evtl. per WLAN, Bluetooth, NFC, wenn freigeschaltet, auch per adb.
Mit Shell-Zugriff kann man schauen, ob Credentials passend sind …
Graphene-OS unterstelle ich nicht, daß das möglich ist, aber wozu existiert diese Befehlsoption?
Theoretisch könnte eine (schon(?)) laufende Application mit entsprechenden Rechten nach Boot eine Brute-Force-Abfrage tätigen, im entsperrten Zustand geht das.
Löschen der Zugangssperre bei Kenntnis ging bei Android 14 (da habe ich es zuletzt getestet) direkt nach Boot, ohne Anmeldung, per adb. Gleiches sollte auch für die Profile gelten.
Nein funktioniert nicht bei grapheneOS.. wie gesagt celelbrite ist Goldstandard und auch im Status afu gehen keine Daten raus da abgesichert… Du kannst nicht Mal die USB Schnittstelle ansprechen
Frage zum Zahlencode: Ist es sicherer „hohe“ Zahlen zu nehmen und nicht in richtiger Reihenfolge oder ist das egal?
Ist z.B. 2233 unsicherer als 9768?
In meiner Vorstellung versucht man bzw. der Computer erstmal 0000, 0001, 0002, usw… Oder ist das Quatsch?
Das ist schön. Aber hier geht es im allgemeinen nicht nur um GrapheneOS-Geräte.
Eben mit einem Samsung-Gerät ausprobiert, antwortet mit eingeschaltetem WLAN unmittelbar nach Boot auf Pings, hat sich also ohne Entsperrung schon wieder am WLAN angemeldet.
Wie ist das bei GrapheneOS mit Recovery? Bleibt die USB-Schnittstelle inaktiv?
Das ist weiterhin zu empfehlen.
OT:
Hab aber dieses Jahr auch schon geschafft, bei einem Gerät mit richtigem administrierten Arbeitsprofil aufgrund Aufforderung zum Ändern der PIN und vermeintlicher Erinnerung an die eben geänderte Pin diese so oft einzugeben, daß das Arbeitsprofil dann Geschichte war. Nachteil war, daß „kürzlich“ verwendete PINs nicht genutzt werden können. Mußte mir also eine andere ausdenken.
Nach einem Spaziergang erinnerte ich mich wieder der tatsächlich eingegebenen und konnte das Gerät entsperren.
/OT
Ansich wäre das die Gelegenheit gewesen, obiges mal zu testen. (Geht auch bei Wischzeugs und Alphanumerischen Credentials)
Ansich ist die Wahrscheinlichkeit für alle Kombinationen gleich. Kommt auf den Angreifer an.
(Wobei ein Angreifer in der Regel die Länge nicht kennt, es sei denn, er hat Dich schon bei der Eingabe beobachtet)
Es gibt zwei halbwegs sichere Systeme das ist das Google Pixel optimalererweise mit GrapheneOS und das IPhone. Vergiss den Rest wenn die Ermittlungsbehörden eine Cellebrite touch haben ist eine Datenextraktion sogar bei Samsunggeräten die Knox nutzen möglich
Ich hatte das nicht direkt dem Prozess zugeordnet, sondern der allgemeinen Arbeitsweise des Hauptermittlers, aber dann gab es wohl mehrere Geräte mit GrapheneOS.
Ich hab hier ein Pixel 6 Pro (raven, der Screenshot stammt von dem), allerdings StockRom.
Dann sollte ich mich mal an die wenden, hab hier ein Gerät, welches nicht mehr booten mag, nur in TWRP rein und noch ein älteres Image vom selben Gerät, da sind noch Daten drauf, die ich gern wiederhätte. Leider unterstützt das TWRP nicht das Entsperrpasswort.
OT:
So ein Image nutzt einem auch nur mit dem Original-Gerät etwas. Hatte es mal testweise auf ein anderes Gerät desselben Typs gespielt, da kam es nicht soweit, ein Teil der Verschlüsselung vor Anmeldung ist Geräte-abhängig.
Also ich hab zwar nicht 32 Stellen, aber nicht wesentlich weniger. Immer morgens hack ich das rein.
Wahrscheinlich übertrieben, aber … so will ich es haben
Wenn man nicht gerade GrapheneOS verwendet, ja.
Andernfalls lässt sich für den Entsperrvorgang mit Fingerabdruck noch eine PIN als zweiten Faktor festlegen.
Sorry habe deine Frage nicht gesehen. Ich habe ein 32 stelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen. Das muss ich nach jedem Restart des Gerätes eingeben. In der Regel einmal am Tag.
Bin ich dann einmal „drin“ muss ich per Fingerabdruck entsperren. Dem strittigen Urteil des Bremer Landgericht habe ich nach dem Fingerabdruck einen 2. Faktor welcher 10 Stellig ist. Nach 4 Stunden ohne das ich das Display entaperrt habe resettet das Gerät in den BFU Modus welcher dann die USB Schnittstelle komplett sperrt und das 32 stellige Passwort wieder verlangt. Das ist nach heutigem Stand der Supergau für jeden Ermittler. Zusätzlich schalten sich NFC, Bluetooth und Wlan nach 5 Minuten ohne bekannte Verbindung ab.
Das Pixel ist neben meinem Iphone mein 2. Gerät welches ich als Privates Telefon nutze.
edit: Wichtig dabei: Ich mache das natürlich aus Sicherheitsgründen, aber auch deshalb, weil es mich nicht stört und ich nicht das Gefühl hab, dass es mich irgendwie einschränkt. Genau das ist natürlich sehr subjektiv, daher kann ich absolut nachvollziehen, wenn Leute das NICHT so machen. Für MICH passt das aber so.
Und um es nochmal hervorzuheben. Nein, ich habe nichs illegales auf meinem Endgerät und ich habe auch nichts illegales vor. Aber es ist eben mein freiheitlich demokratisches Recht meine privatsphäre haben zu dürfen. Und kein übereifriger Polizeibeamter wird sich darüber hinwegsetzen.
Meine Kids haben jeden Tag mit der Polizei zu tun und die sind erst 6 bzw 7
Und nein die meisten Polizisten brechen jeden Tag schon bei simplen Fahrzeugkontrollen jegliche Rechte…es wird dir schon sehr früh beigebracht bei einer Untersuchung der Taschen / Personenkontrollen den Beschluss erst im Nachhinein vom Durchsuchten unterschreiben zu lassen (der muss im Vorfeld zustimmen)
Die fallen genau deshalb auch oft genug auf die Nase. Übereifrige Polizisten nehmen ein Smartphone unter Beschlag. Auf diesem befindet sich Beweismaterial. Anstatt nach Vorgehensweise zu arbeiten wird der Verdächtige durchsucht und hat in der Geldbörse einen Zettel mit dem vermeintlichen Entsperrcode des Endgerätes. Gibt diesen in seinem Größenwahn ins Smartphone ein und löscht die encrytion Keys somit ist alles auf dem Gerät vernichtet… Von duress Pin hatte der Kollege natürlich noch nie etwas gehört… Solche sachen passieren jeden Tag aber darüber wird natürlich nicht berichtet…
Die Polizei Niedersachen bekommt neue Endgeräte (Smartphone und POC2) auf Anfrage gibt man aber keine Infos an den Steuerzahler um welche Geräte es sich handelt. Hallo? Ihr seid dem Land Niedersachsen angehörig und müsst Auskunft darüber geben. Dann offiziell Anfrage gestellt. Dann hat es geklappt. Genau wie es sich verhält beim POC2. Können nur Fall abhängige Abfragen gestellt werden oder hat wieder jeder auf alles Zugriff. (Tochter vom Kumpel lernt jemanden kennen und ich mach erst mal eine Abfrage, was natürlich so nicht sein soll)
Ich mach das schon ein paar Jahre und hab echt schon einiges erlebt
Im Großen und Ganzen verstehe ich diese Maßnahmen aber es macht sie nicht besser… Egal ob Palantir oder cellebrite… Es ist eben nicht in Ordnung so zu agieren und damit Grundrechte ausser Kraft zu setzen. Lasst euch da nichts einreden sondern denkt selbst
und die sind erst 6 bzw 7