
Spezialist für digitale Forensik
Grauschicht
Stephen Coates is a Digital Forensic Specialist at Grayshift and a subject matter expert in Mobile Forensics. Before joining Grayshift, Stephen’s background for the last 32 years was in Law Enforcement, serving with the Royal Military Police, Royal Ulster Constabulary GC, and the Police Service of Northern Ireland. Since 2005, he has been a Digital Forensics practitioner starting with Computer Forensics and then specializing in the extraction and analysis of mobile devices, assisting investigations involving serious crime and terrorism. Stephen was also an associate trainer/instructor for Mobile Digital Forensics at the UK College of Policing and was responsible for delivering all Mobile Device training within the Police Service of Northern Ireland since 2009.
Stephen, affectionately known at Grayshift as Stevie, brings invaluable expertise to the DFS team. His passion for mobile digital forensics and the art (and science) of data extractions shine through in this interview, overflowing with essential advice for young digital forensic specialists.
Es ist offensichtlich, dass du ein #nerdcop bist. Was ist Ihre Lieblingstechnologie, die Sie jeden Tag gerne benutzen?
Es ging um die Entfernung des Flash-Speichers und die anschließende Wiederherstellung von Daten aus dem Flash-Speichermodul eines Geräts. Das war etwas, das man jedes Mal beim ersten Mal richtig machen musste, und das war sicherlich eine Herausforderung. Mit der raschen Verbreitung von Geräten zur dateibasierten Verschlüsselung (FBE) gehörte dies der Vergangenheit an, aber jedes Gerät, das mir dabei half, diese Herausforderungen zu überwinden und Daten aus aktiven Geräten herauszuholen, wurde zu meiner nächsten Lieblingsaufgabe. Aktiv entsperrte Geräte waren die besten Geräte, um in diesen Zustand zu gelangen, gefolgt von AFU, da der Erhalt von Daten von diesen Geräten das beste Gefühl überhaupt war. Wenn ich jemals ein ausgeschaltetes Gerät erhielt, hoffte ich einfach auf einen mitgelieferten Passcode (was extrem selten war) oder auf eine andere Lösung.
Mit welchen Arten von Fällen hatten Sie in Ihrer Zeit als Ermittler für digitale Forensik zu tun?
Tierquälerei, Diebstahl, Drogen, Belästigung, Körperverletzung, schwere/tödliche Verkehrsunfälle, Geldwäsche, vermisste Personen, Menschenhandel, moderne Sklaverei, Morde, Terrorismus und natürlich darf ich die Fälle von Kindesmissbrauch nicht vergessen, die einen großen Teil unserer Arbeit ausmachten – wir waren einfach eine zentrale Anlaufstelle für alle.
Gibt es ein Beispiel für einen Fall, den Sie mit GrayKey untersucht haben? Können Sie uns sagen, wie GrayKey hätte helfen können?
Tödliche Zusammenstöße im Straßenverkehr waren eine, die ich mir wünschte, wir hätten sie GrayKey für früher als 2018. Die Fülle der Daten wäre für solche Fälle von unschätzbarem Wert gewesen. Ursprünglich haben wir GrayKey nur als Entsperrungstool gekauft, um den Passcode zu erhalten, und sind dann zu den herkömmlichen Tools zurückgekehrt, um das Gerät zu untersuchen. Aber mit der Zeit wurde uns klar, wie viele Daten durch die Verwendung von GrayKey gewonnen wurden, und wir verwendeten GrayKey für jeden Fall. Es bedeutete auch, dass wir nicht bis zu sechs Extraktionen desselben Geräts mit herkömmlichen Methoden durchführen mussten. Eine einzige GrayKey-Extraktion enthielt mehr als alle sechs traditionellen Extraktionen zusammen. Daher war es sinnvoll, seine Verwendung von einem fortschrittlichen High-End-Entsperrungstool auf unseren grundlegenden Goldstandard für die Datenextraktion auszuweiten. Wir haben es für alles benutzt.
Was ist eine Sache, von der Sie sich wünschen, dass die Leute sie verstehen?
Die Komplexität der Aufgabe und der damit verbundene Druck. Nicht nur die technischen Anforderungen, sondern auch die psychologischen Herausforderungen der Position, wie z. B. die Betrachtung von CSAM und anderem Material wie extremer Pornografie, Bestialität und Videos von Folterungen und Morden/Exekutionen, sind manchmal auf den Geräten zu finden.
Was war das schwierigste Verbrechen, das Sie mit GrayKey gelöst haben?
Es handelte sich um eine Geldwäscheuntersuchung, an der ein Gerät beteiligt war, in das wir aus verschiedenen Gründen 13 Monate lang nicht eindringen konnten. Gleich am ersten Tag, als GrayKey in unserem Büro eintraf, haben wir das Gerät aufgesetzt und innerhalb von 24 Stunden alles bekommen, was wir brauchten. Diese Untersuchung führte zur Aufdeckung einer Geldwäscheoperation in Höhe von 215 Millionen Pfund.
Mit welchen Herausforderungen waren Sie als Prüfer für mobile Forensik regelmäßig konfrontiert?
Die größte Herausforderung bestand darin, in das Gerät hineinzukommen und dann die Daten herauszuholen.
Welchen Rat würden Sie neuen Spezialisten für digitale Forensik geben, damit sie ähnliche Herausforderungen meistern können?
Seien Sie einfach Sie selbst, stellen Sie Fragen, seien Sie neugierig, und werfen Sie Ihre Ideen aus dem Kopf in die Luft. Vielleicht haben Sie ja etwas, an das noch niemand gedacht hat. Scheuen Sie sich nicht, um Hilfe zu bitten.
Was wissen Sie heute, was Sie gerne gewusst hätten, als Sie angefangen haben?
Alles, was ich jetzt weiß. Und dass nur einige Experten da draußen, die sagen, dass die Dinge so gemacht werden, richtig sind. Oder sie hatten drei Jahre zuvor Recht, sind aber mit der Technologie nicht mehr Schritt gehalten und in einen Trott verfallen. Sie mögen also vor drei Jahren Experten gewesen sein, aber nicht heute.
Was ist ein Geheimnis über einen deiner Teamkollegen, das die meisten Leute nicht kennen, aber kennen sollten?
Das ist ein Geheimnis.
Welche Superkraft bringen Sie bei Grayshift ein?
Ich mache einfach weiter mit dem, was ansteht. Der Versuch, kleinere Probleme zu antizipieren oder schnell zu erkennen, um zu verhindern, dass sie sich in der Zukunft zu größeren Problemen auswachsen.
Stephen is always eager to share his knowledge and speak with law enforcement professionals interested in learning more about Grayshift technology. You can reach out to Stephen at scoates@grayshift.com, potentially find him at an upcoming event, or browse some of his other resources below.
Weitere Ressourcen, die Sie interessieren könnten:
- Bewährte Praktiken für die Prüfung von Einverständniserklärungen
- Biometrie verstehen (Bewährte Praktiken für digitale Forensik freischalten)
- Demo zu kategoriebasierten Extraktionen (Anmeldedaten für den Zugriff auf die Investigators Corner erforderlich)
© 2023. Grayshift, LLC. Alle Rechte vorbehalten. Proprietär und vertraulich.