Spezialist für digitale Forensik
Grauschicht
Matthew Fullerton ist Spezialist für digitale Forensik bei Grayshift und Experte für die Forensik von Mobilgeräten. Bevor er zu Grayshift kam, war Matthew 13,5 Jahre lang als Polizeibeamter und Polizeidetektiv in der Strafverfolgung tätig. Zuletzt war Matthew bei einer Vorstadtpolizei im Großraum Denver tätig, wo er als Polizeidetektiv und Prüfer für digitale Forensik arbeitete. Matthew verfügt über mehrere Zertifizierungen und ist ein gerichtlich zugelassener Sachverständiger für digitale Forensik.
In diesem Beitrag spricht Fullerton über sein früheres Leben als Polizeidetektiv, den Unterschied, den Datenextraktionstools bei der Bearbeitung von Fällen machen, und den Sinn für Humor, den er überallhin mitbringt.
Es ist offensichtlich, dass du ein #nerdcop bist. Was ist Ihre Lieblingstechnologie, die Sie jeden Tag gerne benutzen?
Durch die ständige Weiterentwicklung des Internets der Dinge (IoT) finde ich immer wieder Möglichkeiten, mein Leben einfacher und effizienter zu gestalten. Ich habe viele intelligente Haushaltsgeräte im Haus – intelligente Glühbirnen, Kameras usw. – die mit meinem kleinen Ökosystem verbunden sind. Ich finde es toll, dass ich uneingeschränkte Konnektivität habe und die Dinge sofort überprüfen kann, wenn sie passieren. Ich finde auch gerne Wege, um alltägliche Aufgaben hirnlos zu machen.
Ich habe zum Beispiel immer vergessen, die Außenbeleuchtung morgens auszuschalten, so dass sie zwangsläufig den ganzen Tag über an war. Jetzt habe ich ein intelligentes Glühbirnen-Ökosystem, das ich programmieren kann, von Ein- und Ausschaltzeiten bis hin zu unterschiedlichen Farben für verschiedene Feiertage und Funktionen. Ich habe auch ein intelligentes Bewässerungssystem für meine Rasensprenger, das anhand von Wetterdaten den Zeitpunkt und die Häufigkeit der Bewässerung plant und an die jeweiligen Bedingungen anpasst. Diese kleinen Dinge sorgen dafür, dass diese alltäglichen Aufgaben erledigt werden und effizienter ablaufen, was dazu beiträgt, ein paar Euro bei den Stromrechnungen zu sparen. Das Coolste für mich ist natürlich, dass ich all das mit meinem Smartphone von überall auf der Welt überprüfen und steuern kann.
Mit welchen Arten von Fällen hatten Sie in Ihrer Zeit als Ermittler für digitale Forensik zu tun?
Von Eigentumsdelikten bis hin zu Tötungsdelikten. Im Laufe meiner Karriere habe ich für zwei (2) verschiedene Polizeidienststellen gearbeitet, die an unterschiedlichen Orten angesiedelt waren und unterschiedliche Bevölkerungsgruppen betreuten. Dadurch lernte ich alle Arten von Verbrechen und verschiedene Ermittlungsmethoden kennen. Mit zunehmender Erfahrung lernte ich, dass fast jedes Verbrechen digitale Beweise enthalten kann, so dass ich versuchte, sie auf jede erdenkliche Weise zu verwenden. Für jeden Erfolg gibt es mindestens einen Misserfolg. Es gab also einige Fälle, in denen ich versucht habe, elektronische Beweise zu nutzen, und es hat nicht geklappt, aber als guter Ermittler habe ich gelernt, wie und warum es nicht geklappt hat, und habe mir vorgenommen, es beim nächsten Mal besser zu machen.
Gibt es ein Beispiel für einen Fall, den Sie mit GrayKey untersucht haben? Können Sie uns sagen, wie GrayKey hätte helfen können?
Wenn jemand, der dies liest, meinen Kurs über die Nutzung des Schlüsselbundes und der Passwortliste besucht hat, kennt er diese Geschichte. Bevor es GrayKey gab, habe ich an einem Fall gearbeitet, bei dem es um einen Stalking-Vorwurf ging. Das Opfer arbeitete in einer Bank und hatte den Verdacht, dass das Verhalten von einem bestimmten Kunden begangen wurde, konnte es aber nicht beweisen. Dennoch war das Verhalten besorgniserregend und begann anscheinend zu eskalieren. Der Verdächtige hat sich auf verschiedene Weise am Auto des Opfers zu schaffen gemacht, so dass ich dachte, dass die Identifizierung des Täters ein guter Ansatzpunkt wäre. Eine Fernüberwachung bestätigte, dass die Person, die das Opfer verdächtigte, wahrscheinlich der Täter war. Ich dachte, das wäre genau der Beweis, den ich brauchte, um zu beweisen, dass diese Person das ganze Stalking-Verhalten begangen hatte, und ich hätte einen soliden Fall, den ich dem Gericht vorlegen könnte. Ich habe einen Durchsuchungsbefehl für das Telefon verfasst und nach der Genehmigung die verfügbaren Tools zur Datenextraktion verwendet. Zu diesem Zeitpunkt war die einzige verfügbare Option eine „erweiterte logische“ Extraktion – im Wesentlichen eine iTunes-Sicherung. Die Datenextraktion war erfolgreich, und ich habe sofort nach Beendigung der Extraktion damit begonnen, sie mit einem Extraktionstool zu analysieren. Nachdem ich den Vorgang gestartet hatte, wurde ich aufgefordert, das „Passwort für die Backup-Verschlüsselung“ einzugeben. Ich kannte das Passwort nicht, so dass die Datenextraktion praktisch nutzlos war.
Der Oberste Gerichtshof des Bundesstaates hatte bereits entschieden, dass die Strafverfolgungsbehörden eine Person nicht zur Herausgabe eines solchen Passworts zwingen können, auch nicht mit einem gerichtlichen Verfahren, also recherchierte ich verschiedene Möglichkeiten, es zu erhalten. Ich habe gelernt, dass ich das Kennwort auf einem Computer über eine PLIST finden kann – eine spezielle Textdatei, die Daten im Property List-Format enthält. Als fleißiger Detektiv erwirkte ich also einen Durchsuchungsbefehl für den Computer des Verdächtigen. Nach der Analyse des Computers stellte sich heraus, dass die PLIST, nach der ich gesucht hatte, nicht mehr vorhanden und nicht wiederherstellbar war. Ohne diese digitalen Beweise konnte ich keine ausreichende Grundlage für eine Anklage des Verdächtigen schaffen.
Mit dem Wissen, das ich jetzt habe, wünschte ich mir verzweifelt, ich hätte GrayKey und dieser Fall wäre nicht in Vergessenheit geraten, wenn ich GrayKey hätte benutzen können. Leider ist die Verjährungsfrist längst abgelaufen, so dass mir dieses Wissen nichts nützt. Außerdem bin ich kein Polizist mehr!
Hinweis des Herausgebers: Die Videokurse von Fullerton sind in der Investigators Corner verfügbar (für den Zugriff auf diese Videos sind Anmeldedaten erforderlich).
Was ist eine Sache, von der Sie sich wünschen, dass die Leute sie verstehen?
Das ist mühsam und braucht Zeit. Der CSI-Effekt war real, vor allem zu Beginn der Digitalen Forensik. Die Leute hätten unrealistische Erwartungen, welche Art von Daten wir finden könnten und wie schnell wir sie finden könnten. Dies gilt für alle Aspekte der elektronischen Beweisführung. Ich habe zum Beispiel einmal an einem Einbruch in ein teures Juweliergeschäft gearbeitet, bei dem wir mehrere Arten von Überwachungsvideos erhielten. Einige waren von guter Qualität, andere wären als VHS-Kassette besser gewesen.
Trotzdem konnte ich ein verdächtiges Fahrzeug ausfindig machen, aber wir konnten keine Erkennungsmerkmale, geschweige denn ein Nummernschild erkennen. Einer meiner Vorgesetzten sagte etwas in der Art: „Na, dann machen Sie doch diesen Nerd-Kram! Verbessern Sie es! Wir brauchen eine Platte.“ Daraufhin gab ich ihnen eine weniger als zufriedenstellende Antwort, die nicht das war, was sie hören wollten. Dann wurde mir klar, dass ich die Erwartungen festlegen musste: Ich musste herausfinden und aufklären, welche Möglichkeiten zur Verfügung standen und welche nicht. Dies erleichterte das Vorankommen, da die Erwartungen und das Verständnis der Menschen klarer waren.
Was war das schwierigste Verbrechen, das Sie mit GrayKey gelöst haben?
Ich hatte keinen GrayKey, als ich als Detektiv im Einsatz war.
Mit welchen Herausforderungen waren Sie als Prüfer für mobile Forensik regelmäßig konfrontiert?
Siehe Antworten auf die Fragen drei und vier.
Welchen Rat würden Sie neuen Spezialisten für digitale Forensik geben, damit sie ähnliche Herausforderungen meistern können?
Haben Sie keine Angst, Mist zu bauen. Die meisten Menschen lernen besser, wenn sie etwas tun. Suchen Sie sich ein altes Gerät – kaufen Sie notfalls ein billiges online – und probieren Sie einige Dinge aus! Probieren Sie verschiedene Methoden aus, um Daten zu extrahieren, nehmen Sie es auseinander und sehen Sie, wie es funktioniert; versuchen Sie, es zu knacken, damit Sie lernen, wie man ein Beweismittel nicht knackt. Als die ersten intelligenten Glühbirnen auf den Markt kamen, hatte ich gehört, dass sie passiv die IMEI von Geräten in Reichweite erfassen könnten, aber um die Daten zu sammeln, musste man die Glühbirne zerlegen, was sie unbrauchbar machte. Ich dachte, das könnte in einem Einbruchsfall oder so hilfreich sein. Also kaufte ich natürlich ein Sechserpack intelligente Glühbirnen und verteilte sie in meinem Haus. Nach einigen Monaten des „Testens“ habe ich versucht, Daten von ihnen zu erhalten. Ich habe vier Glühbirnen verbraucht, bevor ich herausgefunden habe, wie ich sie ausbauen muss, um den kleinen Chip im Inneren zu erhalten. Dann musste ich mir überlegen, wie ich die Daten beschaffen konnte. Am Ende habe ich nur einen Teil der Daten von einem der Chips erhalten, aber es hat funktioniert! Haben Sie also keine Angst vor dem Scheitern, denn es kann immer zum Erfolg führen.
Was wissen Sie heute, was Sie gerne gewusst hätten, als Sie angefangen haben?
So viele Dinge! Auf technischer Ebene wünschte ich, ich wüsste, wie ich einige der Daten so nutzen könnte, wie ich es jetzt tue. Ich habe das Gefühl, dass ich im Laufe der Jahre einige Dinge verpasst habe, die möglicherweise einen Unterschied hätten machen können.
Was ist ein Geheimnis über einen deiner Teamkollegen, das die meisten Leute nicht kennen, aber kennen sollten?
Wenn Sie den Film The Hangover gesehen haben, kennen Sie die Szene mit dem Blutschwur. Ich habe an einer ähnlichen Zeremonie im Grayshift-Hauptquartier teilgenommen, bin also zur Verschwiegenheit verpflichtet. Hinweis: Der Name des Anführers reimt sich auf Schmosh Schmarder.
Welche Superkraft bringen Sie bei Grayshift ein?
Ich nehme das Leben nicht zu ernst, versuche, Spaß zu haben, bescheiden zu sein, und bin immer bereit, etwas Neues zu lernen. Diejenigen von euch, die mich persönlich kennen, wissen auch, dass ich unglaublich groß und unverschämt witzig bin. Ich bin zwar nicht besonders groß, aber eine Zeitung im College nannte mich einmal einen „lokalen Riesen“, das war’s.
Fullertons Wissen über digitale Forensik und seine Persönlichkeit kommen überall zum Tragen. Wenn Sie mehr über die technischen Möglichkeiten von GrayKey erfahren möchten, bietet er in der Investigators Corner (IC) eine Vielzahl von Anleitungsvideos und On-Demand-Webinaren an. Sie können hier klicken, um mit Ihren Anmeldedaten auf den IC zuzugreifen, oder Sie können uns kontaktieren, um Zugang zu erhalten.
Andere Beiträge, die Sie interessieren könnten:
- Aus dem Labor: DFS Josh Carder über GrayKey und die Regeln des Fight Club
- Vollständiger Zugang zu den Spezialisten für digitale Forensik von Grayshift: Josh Carder und Matt Fullerton
- Ein Leitfaden für Ermittler zur Aufbewahrung digitaler Beweise
- Verständnis von GrayKey für Führungspersonal
© 2023. Grayshift, LLC. Alle Rechte vorbehalten. Proprietär und vertraulich.
