2016 wurde in Freiburg eine Studentin ermordet. Bei der Aufklärung des Falles spielten verschlüsselte Daten auf einem iPhone eine Rolle.

English version (translated with DeepL)

Wenn ein Verbrecher ein Verschlüsselungsprogramm wie PGP, TrueCrypt oder VeraCrypt verwendet, steht die Polizei meist auf verlorenem Posten. Heutige Krypto-Software ist so sicher, dass selbst die besten IT-Forensiker oft keine Chance haben, eine Verschlüsselung zu lösen. Ähnlich verhält es sich mit Daten, die auf einem Passwort-Geschützten Smartphone gespeichert sind, denn auch diese sind üblicherweise mit moderner Kryptografie geschützt.

Es gibt allerdings Ausnahmen. Wenn der Nutzer beispielsweise ein Passwort verwendet, das man erraten kann, können die Ermittler eine Verschlüsselung oftmals knacken. Manchmal sind es auch Fehler in der Hard- oder Software, die dafür sorgen, dass die Polizei an den Schlüssel herankommt. Das Verschlüsselungsverfahren an sich – oft handelt es sich um den AES – ist dagegen selbst für die besten Experten nicht lösbar.

Fälle, in denen Kriminelle oder Verdächtige moderne Verschlüsselung eingesetzt haben, gibt es massenweise. Ich habe schon vor Jahren eine entsprechende Liste zusammengestellt. Dort sind inzwischen 55 Fälle zusammengekommen. Ich habe mir zahlreiche weitere notiert, die ich bei Gelegenheit aufnehmen werde. Es wäre sicherlich möglich, die Liste auf 100 oder mehr Fälle zu erweitern.

Dabei ist klar: Auf meiner Liste stehen nur Fälle, die öffentlich bekannt sind. Dies ist jedoch nur die Spitze des Eisbergs, denn die Polizei redet nicht gerne darüber, wenn Kriminelle Verschlüsselungstechnik einsetzen.

 

Der Fall Maria Ladenburger

Vor ein paar Tagen ist mir aufgefallen, dass ein Kriminalfall, den ich bereits aus den Medien kannte, auf meine Liste passt – ohne dass mir das bewusst war. Inzwischen habe ich ihn aufgenommen. Es geht um den Mord an der 19-jährigen Medizinstudentin Maria Ladenburger in Freiburg (Breisgau) im Jahr 2016. Ladenburger wurde am 15. Oktober 2016 tot im Wasser der Dreisam aufgefunden. Der Täter hatte sein Opfer vor dem Mord vergewaltigt.

Die Polizei ermittelte nach intensiver Fahndungsarbeit den Afghanen Hussein Khavari als Tatverdächtigen. Khavari gestand den Mord zwar, behauptete jedoch, Ladenburger im Affekt getötet zu haben, was sich strafmildernd hätte auswirken können.

Zu den Beweisstücken, die die Polizei auswertete, gehörte auch das iPhone 6 S des mutmaßlichen Täters. Ein Polizist wird zitiert: „Er [Khavari] wollte uns den PIN-Code nicht geben, und ohne PIN-Code können Sie bei iPhones ab dem Modell 4 S nichts erreichen“. Dies liegt daran, dass Smartphones dieser Art die darauf gespeicherten Daten verschlüsseln, sofern der Nutzer den Passwortschutz aktiviert hat.

Die Polizei trat nun an eine Firma aus München heran, die die Verschlüsselung knacken sollte. Nach einigen Monaten – kurz vor Prozessbeginn – gelang dies. Auf dem nun zugänglichen Handy interessierten sich die Forensiker zunächst für die Geodaten des Geräts. Die Ermittler konnten mit diesen nachvollziehen, wo sich Khavari in der Mordnacht aufgehalten hatte – alles passte zum Tatverlauf.

Als noch interessanter erwies sich die „Health App“ auf Khavaris Smartphone. Dieses vorinstallierte Tool zeichnet auf, wie viele Schritte der Nutzer in einer bestimmten Zeit zurücklegt und welche Höhendistanz er überwindet. Es zeigte sich: In der Zeit zwischen etwa 2:30 Uhr und kurz nach 4 Uhr bewegte sich Khavari nur wenige Schritte. Allerdings zeigte sein Handy im fraglichen Zeitraum zwei Mal „Treppensteigen“ an. Das mussten die beiden Momente sein, in denen Khavari sein Opfer die Uferböschung hinuntergezerrt hatte und anschließend wieder hinaufgestiegen war.

Diese Daten zeigten: Khavari hatte nicht im Affekt gehandelt, sondern Maria Ladenburger über eine längere Zeit sexuell missbraucht. Die vom Täter erhoffte Strafminderung war damit vom Tisch. Das Gericht verurteilte Khavari am Ende zu einer lebenslänglichen Haftstrafe und stellte dabei die besondere Schwere der Schuld fest.

 

Die Verschlüsselung

Der Fall Ladenburger zeigt, dass digitale Daten in der Verbrechensaufklärung immer wichtiger werden – selbst dann, wenn es sich nicht um Online-Verbrechen handelt.

Wie in praktisch allen anderen Fällen auf meiner Liste, hat die Polizei auch in diesem längst nicht alle Informationen zur verwendeten Verschlüsselungstechnik veröffentlicht. Immerhin wissen wir, dass der Täter ein iPhone 6 S nutzte.

Und wer war die “Münchner Firma”, die das iPhone knackte. Wie wir in der folgenden Doku erfahren (ab 37:11), dürfte es das israelische Unternehmen Cellebrite gewesen sein, dessen deutsche Niederlassung in München beheimatet ist:

Nicht bekannt ist allerdings die Vorgehensweise der Firma beim Aushebeln der Verschlüsselung. Die Verschlüsselung an sich (der AES wird verwendet) dürften die Experten nicht geknackt haben. Da ein iPhone den Schlüssel nach der Eingabe von zehn falschen PINs löscht, kann man auch nicht einfach alle PINs durchprobieren.

Die Spezialisten müssen also irgendwie an den Schlüssel herangekommen sein, der von der PIN (mit einer Hashfunktion) abgeleitet wurde. Eine Möglichkeit für den Angreifer besteht darin, einen PIN-Kandidaten nach dem anderen zu hashen und das Ergebnis mit dem Hashwert zu vergleichen (Wörterbuch-Angriff). Dazu muss man jedoch das Hash-Verfahren und den Speicherort des Hashwerts kennen – beides wird von Apple geheimgehalten.

Im Falle des Amokläufers von San Bernardino gelang es den Spezialisten, einen Teil des iPhone-Betriebssystems zu umgehen und so die PIN direkt an das Verschlüsselungsmodul weiterzugeben – ohne dass falsch eingegebene PINs gezählt wurden. Dadurch konnten die Ermittler alle vierstelligen PINs durchprobieren und so die richtige ermitteln.

Es kann durchaus sein, dass Cellebrite ähnlich vorging, als sie das iPhone von Khavari knackte. Details sind jedoch nicht bekannt.

Falls ein Leser mehr zu diesem Fall weiß oder andere Fälle dieser Art kennt, würde es mich interessieren.


Further reading: Ungelöste Kriminalfälle mit ungelösten Verschlüsselungen

–Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/

Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Kommentare (12)

  1. #1 Richard SantaColoma
    https://proto57.wordpress.com/
    26. Januar 2022

    I have to say I highly suspect that in this case, and the San Bernadino case, that Apple may have helped somehow, but “under the table”, in total secrecy.

    They could not help publicly, because there would be a huge outcry, and fans of their products would tend to trust their security less. But in both official stories about how these were hacked, the methods used to do so would not significantly undermine a customers trust in their phone’s security.

    On the other hand, if Apple secretly shared the methods, or even the key, in high profile cases like these, even though they would not get “credit” for doing so (as it was a secret), still, the heat, the pressure, would be off of them as seeming callous, or even accessory after the fact.

    A secret sharing of the methods used, and keys, would solve the cases and make them go away, and at the same time, not implicate Apple in undermining their own security.

    Just a guess at this, of course I don’t know.

  2. #2 Klaus Schmeh
    27. Januar 2022

    Nils Kopal via Facebook:
    Hi Klaus. To answer your question, how the company you mentioned could have done it: I read a paper some years ago in which forensic experts succeeded in cloning an IPhone’s memory (without leveraging the encryption). This allows to reset the pin counter and to brute-force all possible pins. A quick search for the paper brought me to this one (dont exactly remember if I read this one, but it describes such an attack): https://arxiv.org/abs/1609.04327
    Citation: “This paper is a short summary of a real world mirroring attack on the Apple iPhone 5c passcode retry counter under iOS 9. This was achieved by desoldering the NAND Flash chip of a sample phone in order to physically access its connection to the SoC and partially reverse engineering its proprietary bus protocol. The process does not require any expensive and sophisticated equipment. All needed parts are low cost and were obtained from local electronics distributors. By using the described and successful hardware mirroring process it was possible to bypass the limit on passcode retry attempts. “

  3. #3 Gert Brantner
    Berlin - Neukölln
    27. Januar 2022

    @Rich – I doubt that such an agreement would have any viabilty, for several reasons you already pointed out. but yes, apple refused in the past and a then unnamed israli company had supposedly been asked and succeed. if you cannot get the key, some trick brute force method will also help you through it. “ifxit DOT com” seems to be your friend, I suppose. but that is slightly disappointing somehow. but, even with a fugaku on the hand it would take ages..

  4. #4 Thomas
    27. Januar 2022

    Wenn das Handy dem Verdächtigen nach Beschlagnahme wieder ausgehändigt worden ist und dieser es benutzt hat, könnte GrayKey eingesetzt worden sein: https://www.heise.de/mac-and-i/meldung/GrayKey-Spyware-soll-iPhone-Passwort-abgreifen-4724905.html

  5. #5 Thomas
    27. Januar 2022
  6. #6 Klaus Schmeh
    27. Januar 2022

    @Thomas:
    >GrayKey
    Interesting approach.

  7. #7 Thomas
    28. Januar 2022

    An instructive article that covers the bootloader technique both of GrayKey and Cellebrite’s UFED device, the latter presumably used in the Ladenburger case: https://privacyinternational.org/long-read/3256/technical-look-phone-extraction

  8. #8 Klaus Schmeh
    28. Januar 2022

    David Thornley via Facebook:
    If I remember my 5S correctly, the wipe after ten failed tries was an option, and if it were removed a brute-force attack on a 4-digit PIN might be possible.

  9. #9 Klaus Schmeh
    28. Januar 2022

    Richard SantaColoma via Facebook:
    @David Thornley:
    In the article, Klaus points out that in the San Bernadino case, “… the specialists managed to bypass part of the iPhone operating system and thus pass the PIN directly to the encryption module – without counting incorrectly entered PINs. This allowed investigators to try through all four-digit PINs to determine the correct one.”
    This implies that that phone still had the “ten fail” option (if it is an option) on, or suspected it was on, and that the phone had to be hacked to bypass that feature.
    Or maybe they could not tell whether the feature was turned on or not, and could not take a chance?
    This is interesting, though, David. I didn’t know it was a user setting.

  10. #10 Klaus Schmeh
    28. Januar 2022

    Andy Draw via Facebook:
    @Richard SantaColoma:
    After a number of failed attempts, the iPhone will also make the user wait a period of time, this increases with each subsequent failed attempt. This too will have been bypassed.

  11. #11 Helmut
    6. Februar 2022

    Wie Cellebrite das macht, steht doch in dem Artikel:
    https://www.maclife.de/news/cellebrite-kommt-dank-checkm8-selbst-bei-gesperrten-iphones-aufs-dateisystem-100115583.html

    Ausnützen einer unpatchbaren Hardware Sicherheitslücke “checkm8”

    Gruß Helmut

  12. #12 Gerd
    6. Februar 2022

    >Nach Informationen von Cellebrite ist nun die
    >vollständige Extraktion des Dateisystems möglich.

    Alleine die Möglichkeit, das iPhone komplett kopieren zu können, ist doch schon ein Ansatz, alle PINs zu probieren. Man könnte nämlich immer nach zehn Versuchen eine frische Kopie nehmen.