/ IOt-Geräte und Forensik

Hilft Alexa einen Mord aufzuklären?

Die sogenannten Internet of Things (IoT)-Geräte, wie unter anderem auch die Heimassistenten „Alexa“ oder „Google Home“, werden künftig für die Computerforensik zunehmend interessanter. Die Sprachaufnahmen der IoT-Nutzer werden in der Amazon- oder Google-Cloud ausgewertet und gespeichert. Doch welche hilfreichen Informationen kann die Forensik aus dem Arbeitsspeicher des IoT-Gerätes ziehen?

IoT-Geräte werden künftig für die Computerforensik zunehmend interessanter.
Andreas Klopsch untersuchte in seiner Bachelorarbeit welche Daten der Alexa Voice Service im flüchtigen Speicher hinterlässt und welche Artefakte davon für die forensische Verwendung interessant sind.
Andreas Klopsch untersuchte in seiner Bachelorarbeit welche Daten der Alexa Voice Service im flüchtigen Speicher hinterlässt und welche Artefakte davon für die forensische Verwendung interessant sind.

Getestet: Arbeitsspeicher eines Alexa Voice Service

Der Student Andreas Klopsch hat in seiner Bachelorarbeit unter Prof. Dietrich überprüft, welche Daten der Alexa Voice Service im flüchtigen Speicher hinterlässt und welche Artefakte davon für die forensische Verwendung interessant sind. Dabei hat er unter anderem den Sprachassistenten Alexa auf einem Raspberry Pi installiert und einen Abzug des Arbeitsspeichers untersucht.

Andreas Klopsch hat sein Informatikstudium erfolgreich abgeschlossen und forscht aktuell als wissenschaftlicher Mitarbeiter im Institut für Internet-Sicherheit.

Ergebnisse der Bachelorarbeit

Zunächst wurde der Alexa Voice Service auf einem Raspberry Pi installiert. Dies soll dem Aufbau eines Amazon Echo ähneln, ermöglicht jedoch flexiblere Zugriffe auf den Arbeitsspeicher. Anschließend wurden einige Testszenarien durchgeführt, in denen der Sprachdienst mit Sprachkommandos angesteuert wurde. Zeitgleich wurde mehrmals der Arbeitsspeicher extrahiert. Diese Speicherabzüge wurden anschließend mithilfe einer angepassten Spezialsoftware forensisch analysiert.

Aus dem Speicherabzug konnten unter anderem folgende Daten extrahiert werden:

  • Antworten: Die Antworten aus der Amazon-Cloud wurden in zwei Formen gefunden. Einerseits lagen sie teilweise in textueller Form im Speicher vor, andererseits mitunter auch als Audiodateien.
  • Zeitstempel:

    Mit Hilfe eines Zeitstempels lässt sich der Zeitpunkt rekonstruieren, wann eine Antwort aus der Amazon-Cloud empfangen wurde. Darüber hinaus lässt sich feststellen, wann der Alexa Voice Service zuletzt genutzt wurde.

Während zwar Antworten und Zeitstempel aus dem flüchtigen Speicher ausgelesen werden konnten, so ließen sich im regulären Betrieb bisher keine Audiodaten des Sprachbefehls rekonstruieren, den der Benutzer eingesprochen hatte.

Im Rahmen der forensischen Untersuchung eines Vorfalls könnte also vermutlich nicht der letzte Sprachbefehl, dafür aber die Antwort sowie der Zeitpunkt der Antwort ermittelt werden. Der Zeitstempel der letzten Benutzung könnte jedoch Hinweise darauf geben, wann zuletzt mit dem Dienst interagiert wurde und etwa im Rahmen einer Morduntersuchung möglicherweise Hinweise auf ein letztes Lebenszeichen geben.

Zusammenfassend sagt Andreas Klopsch: „Da es sich bei IoT Geräten meist um geschlossene Systeme ohne Zugang für den Verbraucher handelt, ist es schwer an den Speicher des Gerätes heranzukommen. Es existieren jedoch manchmal Schnittstellen um Zugang zum System zu erhalten. Ansonsten besteht noch die Möglichkeit über Schwachstellen in der Hardware oder Software ans Ziel zu gelangen” Laut Andreas Klopsch fehlt es den meisten IoT Geräten an den gängigen Sicherheitsstandards, die auf normalen Rechnern zu finden sind, wie unter anderem eine Firewall. Dafür haben jedoch die Geräte meist zu wenig Prozessorleistung. Für die Forensik könnte die Arbeitsspeicheranalyse von IoT Geräten durchaus zu Informationen führen, die im Gerichtsverfahren von Nutzen sein könnten.

Auf einem "Raspberry-Pi" hat Andreas Klopsch die Alexa heruntergeladen
Auf einem "Raspberry-Pi" hat Andreas Klopsch die Alexa -Software installiert

In ein paar Fällen konnten IoT-Geräte den Täter überführen:

Fitnesstracker hilft bei Mordfall-Aufklärung
Fitnesstracker hilft bei Mordfall-Aufklärung

Mordfall-Aufklärung durch: Fitnesstracker

In San Jose in Kalifornien konnte mithilfe eines Fitbit-Armbandes der Mord an der 67-jährigen Karen Navarras gelöst werden. Durch die Aufzeichnungen der Herzfrequenz auf dem Fitbit-Armband, konnte dem Stiefvater des Opfers ein falsches Alibi nachgewiesen werden. Die Kamera des Hauses widerlegte die Aussage des Stiefvater, bezüglich der angegebenen Uhrzeit. Zusätzlich stimmten die Aktivitätsdaten des Fitnesstrackers mit der Kamera-Aufzeichnung überein. Der Herzschlag von Karen Navarras stoppte kurz nachdem der Stiefvater das Haus des Opfers verlassen hatte.

Mordfall-Aufklärung durch: Iphone

In einem brittischen Mordprozess konnte die Health-App auf dem Iphone des Opfers zur Aufklärung des Falls beitragen. Durch die aufgezeichneten Bewegungen, stellte die Polizei fest, dass der Täter nach dem Mord im Wohnzimmer des Hauses in das Obergeschoß lief. Dort versuchte er Einbruchspuren zu simulieren. Da das Barometer in dem iPhone des Opfers auch Höhenunterschiede misst, konnte die Polizei den Wechsel in ein anderes Stockwerk erschließen.

Nachdem Todeszeitpunkt zeichnete das iPhone des Opfers noch 14 Schritte auf. Der Täter hat nach Vollendung seiner Tat und nach Herrichtung des Hause,das iPhone in den Vorgarten gelegt, wo es schließlich von der Polizei sichergestellt wurde.
 

www.heise.de

Iphone hilft bei Mordfall-Auflärung
Iphone hilft bei Mordfall-Auflärung

In ein paar Fällen steckt der IoT-Hersteller im Zwiespalt:

Amazon Echo Dot hilft bei Mordfall-Aufklärung
Amazon Echo Dot hilft bei Mordfall-Aufklärung

Versuch der Mordfall-Aufklärung durch: Alexa

Bei der Aufklärung eines Mordfalls fordert die Polizei den Konzern Amazon auf, die Sprachdaten von Alexa herauszugeben. Der mutmaßliche Täter ist ein 48-jähriger Mann, der seine 32-jährige Freundin in ihrer Küche getötet haben soll. Kameras zeigen, wie der Mann diese im Verlauf seines Aufenthalts verdeckt. Er habe wohl mit Drogen gehandelt und seine Frau wollte ihn melden. Bevor die Frau bei der Polizei anrufen konnte, soll der Mann sie erstochen haben. Dieser jedoch leugnet die angebliche Tat. Mithilfe der in der Küche stehenden Alexa erhofft sich die Polizei Beweise, die den Mann überführen. 

Um die Mikrofone von Alexa zu aktivieren, benötigt es normalerweise das vom Nutzer eingestellte Aktivierungswort, z.B. „Alexa“. Doch es gab auch schon Vorfälle, da hat der Sprachassistent unbemerkt Privatgespräche in der Amazon-Cloud gespeichert. 

Im Mai 2019 findet der Gerichtsprozess statt. Amazon hat sich zuletzt geweigert, die Speicherdaten auszuhändigen. Erst bei juristischer Forderung, würde der Konzern dem Folge leisten.

www.e-recht24.de

Erwischt!

Nicht immer funktionieren die Geräte wie sie sollten. In den USA hat Alexa ungewollt ein Privatgespräch eines Ehepaares aufgezeichnet und es an einen Mitarbeiter geschickt. Amazon erklärte dann, Schuld sei eine unwahrscheinliche Verkettung von Ereignissen gewesen. Alexa habe Wörter wie „Sende Nachricht!“ in Verbindung mit einem Namen aus der Kontaktliste des Ehepaars gebracht, diese dann noch einmal als Bestätigungsfrage an das Ehepaar gestellt und dann ein „richtig“ aus dem Gespräch heraus gefiltert. 

Solche Zufälle kämen der Forensik bei einem Mordfall natürlich zu Gute. „Alexa? Nächster Kontakt: Die Forensik der EmscherLippe-Region.“

www.heise.de

Hoppla! Alexa zeichnet ungewollt ein Privatgespräch auf
Hoppla! Alexa zeichnet ungewollt ein Privatgespräch auf

Mehr Infos über IoT-Geräte?

Hier gibt es mehr Informationen über die Sicherheit von IoT-Geräten:

www.connect-emscherlippe.de/sicherheit-von-iot-geraeten

Ihre Ansprechpartner

Projektleiter: /scouts: Prof. Dr. Christian Dietrich

Prof. Dr. Christian Dietrich

Projektleiter

Projektmitarbeiter: /scouts: Thorsten Platzek

Thorsten Platzek

Projektmitarbeiter

zurück

Kontakt zu connect.emscherlippe

Projektkoordinator connect.emscherlippe
Martin Spiecker
Westfälische Hochschule
Neidenburger Str. 43
45897 Gelsenkirchen

Logo vom Verbdungsprojekt connect emscherlippe
Logo - We are part of Smart Region Emscher-Lippe

Gefördert vom Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen

Logo Fördermittelgeber: Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen
Logo: Westfälische Hochschule Gelsenkirchen Bocholt Recklinghausen