Gesamtpaket für Unternehmen und Behörden


Elcomsoft Cloud eXplorer

Forensischer Zugriff auf Google-Konten

Greifen Sie auf Google-Konten mit einem All-in-One-Tool zu und gelangen Sie an alle Informationen! Der Elcomsoft Cloud Explorer durchkämmt alle mit einem Google-Konto verknüpften Informationen, extrahiert diese, zeigt sie an und stellt sie zum Download zusammen. Der Explorer kommt dabei auch an solche Informationen, die selbst vor dem eingeloggten Nutzer verborgen bleiben. Zu ihnen zählen Suchverlauf, Chrome-Browser-History, Android-Kontakte, Hangout-Nachrichten, Fotos aus Google Foto und vieles mehr.

Die Informationen, die mit einem Google-Konto verknüpft werden, stammen für gewöhnlich aus einer Vielzahl an Quellen, da mit einem Google-Account für gewöhnlich auch eine Vielzahl verschiedener Dienste von Google genutzt wird. Einmal mit dem Google-Account-Login eingeloggt trägt der Elcomsoft Cloud Explorer die Informationen, Daten und Dateien aus allen Quellen zusammen und bereitet diese lesbar und übersichtlich auf.

Von Google gespeicherte Daten aus Sicht der Forensik

IT Forensik hat heutzutage zunehmend die Cloud und die in ihr gespeicherten Daten im Blick. Spätestens seit es gang und gäbe ist, Online-Dienste zu nutzen, die personenbezogene Daten in der Cloud speichern, haben auch Ermittler ein Auge auf diese Daten gewonnen. Der Erkenntnisgewinn und die Möglichkeit des Profiling, das diese Daten erlauben, kann nicht hoch genug eingeschätzt werden.

Onlinedienste werden, nicht zuletzt wegen ihrer vermeintlichen Anonymität, gerne auch von Kriminellen genutzt. Gerade Big Player mit zahlreichen Onlineservices wie Google sammeln umfangreiche und sehr präzise Daten zu ihren Nutzern. Nur ist diese Datenflut für Ermittler zunächst ein Problem, da die Gewinnung dieser Daten und die anschließende Filterung erhebliche technische und personelle Anforderungen an die Behörden stellen.

Genau an dieser Stelle setzt der Elcomsoft Cloud Explorer an. Einmal eingeloggt, extrahiert der Explorer automatisch alle Daten aus allen Quellen und bereitet diese gleich auf. Auch ohne spezielle Vorkenntnisse stehen Ermittlern diese Daten umgehend zur Verfügung.

Welche Daten werden gewonnen

Der Elcomsoft Cloud Explorer greift direkt online auf die Cloud-Speicher von Google zu und extrahiert folgende Daten:

  • Generelle Nutzer-Daten und Konteninformationen
  • Nachrichten (u.a. Hangouts)
  • E-Mail-Nachrichten (Gmail) über Gmail API
  • Kontakte (z.B. von Smartphones)
  • Google Notizen
  • Suchverlauf (inkl. der angeklickten Suchergebnisse)
  • Alle Daten von Chrome[1] (Lesezeichen, Formulareingaben, gespeicherte Logins und Passwörter, Browser-History)
  • Mediendateien (z.B. Bilder aus Google Fotos mit deren EXIF-Daten)
  • Kalendereintragungen
  • Google Dashboard
  • Geoinformationen

Zusammengefasst: Extrahiert wird ein vollständiger Überblick über alle Aktivitäten des Nutzers. Selbst wenn die betreffende Person andere Browser als Chrome verwendet, werden die Suchaktivitäten aufgezeichnet und dem Account zugeordnet, solange der Nutzer bei Google eingeloggt ist.

Unterstützung von Zwei-Faktor-Authentifizierungen

Um Zugriff auf die von Google gesammelten Daten zu erhalten, muss sich der Nutzer mit Google-ID und zugehörigem Passwort einloggen. Wurde für den Account eine Zwei-Faktor-Authentifizierung aktiviert, muss auch diese zusätzliche Login-Information eingegeben werden.

Damit unterstützt der Elcomsoft Cloud Explorer Zwei-Faktor-Authentifizierungen in jeder Hinsicht. Auch der sechsstellige Code kann über die Maske übertragen werden.

Einsehen, Filtern und Durchsuchen der gewonnen Daten

Beim Elcomsoft Cloud Explorer geht es nicht primär darum, einfach nur alle gewonnen Daten downzuloaden. Vielmehr wird Ermittlern live eine übersichtliche Darstellung aller online gefundenen Daten angezeigt. Filter- und Suchoptionen helfen, die benötigten Informationen schnell zu finden.

Der in den Explorer integrierte Viewer unterstützt die Anzeige für alle gängigen Datenformate, die in der Cloud von Google gespeichert werden. Schnellfilter und Volltextsuchen funktionieren sehr unkompliziert. Durchsucht werden alle Arten von Daten - von Kontakten bis hin zu Website-Informationen.

Forensischer Zugriff auf Gmail

Elcomsoft Cloud Explorer ermöglicht Ermittlern schnellen Zugriff auf Gmail-Konten. Das Tool kann alle oder auch nur bestimmte E-Mail -Nachrichten vom Gmail-Konto des Benutzers herunterladen, sodass Ermittler genau bestimmen können, auf welche Zeitspanne sie zugreifen möchten. Der Zugriff auf Nachrichten wird über die Google-eigene Gmail API gewährleistet, die es ermöglicht, eine beispiellose Erfassungsgeschwindigkeit von etwa 3000 E-Mails pro Minute zu erreichen (je nach Nachrichtengröße und Verbindungsgeschwindigkeit). Selektiver Zugriff auf Nachrichten in der Phase der Erfassung und eine unschlagbare Erfassungsgeschwindigkeit machen Elcomsoft Cloud Explorer zu einem der schnellsten Gmail Analyse-Toolkits auf dem Markt.

Gmail-Analyse

Die eingebaute Gmail-Analyse bietet eine detaillierte Such- und Filterfunktion für alle heruntergeladenen Nachrichten und liefert so wertvolle Erkenntnisse über sie. Dank der Verwendung der Gmail API von Google anstelle der allgemein verfügbaren POP3- oder IMAP-Protokolle ist das Tool in der Lage, zwischen gelesenen, ungelesen und archivierten Nachrichten zu unterscheiden und Gmail-Kategorien, Labels, Ordner und Konversations-Threads zu erkennen. Benutzer können Nachrichten automatisch filtern, die Medien-Anhänge wie Bilder, Videos oder Dokumente enthalten. Komplette Nachrichten-Threads sind sofort verfügbar, wenn Ermittler heruntergeladene E-Mails durchsuchen.

Die von Google gesammelten Daten

Eine der großen Stärken von Google ist die Vielzahl der angebotenen Dienste. Angefangen mit der reinen Suchmaschine kamen im Laufe der Jahre neben E-Mail-Diensten, Cloud-Storages, einem eigenen Webbrowser bis hin zu Android viele weitere Geschäftsfelder hinzu. Dies gewährt Ermittlern ein sehr umfassendes Bild der betreffenden Person. Vor allem aber gibt es aufgrund der Vielzahl angebotener Dienste kaum eine Person, die sich Google komplett entzieht. Buchstäblich speichert Google Daten zu Milliarden von Kunden.

Zwar bietet Google alle seine Dienste auch ohne Login an. Für eingeloggte Nutzer gibt es jedoch für gewöhnlich erhebliche Mehrwerte, und sei es nur, dass die Dienste personalisiert werden können. Ist der Nutzer aber einmal eingeloggt, startet Google unverzüglich damit, Daten zu sammeln über Online- und Offline-Aktivitäten. Google sammelt aber nicht nur blindlings, sondern analysiert diese Daten. Kommunikation, aufgesuchte Orte, bevorzugte Literatur, Suchanfragen, Lesezeichen und eine komplette Browser-History, gekaufte Tickets, gewählte Bezahlmethoden, Notizen und Kontakte, Bilder und Fotos und viele weitere Daten ergeben ein vollständiges Bild des betreffenden Nutzers.

Aber nicht alle von Google gesammelten Daten befinden sich zentral an einem Ort. Je nachdem über welchen Dienst Google Daten sammelt, werden sie an verschiedenen Orten, zugänglich über unterschiedliche Protokolle und in unterschiedlichen Formaten gespeichert. Sie haben nur eins gemein: Der Nutzer kann sich bei allen Diensten mit den selben Zugangsdaten einloggen. Genau an dieser Stelle setzt der Elcomsoft Cloud Explorer an: Liegen diese Zugangsdaten vor, sucht der Explorer automatisch an allen Stellen nach allen Arten von Daten und bereitet sie auf. Selbst reine Binärdaten oder Datenbankabfragen werden extrahiert und lesbar angezeigt.

User Notification

Zwar bietet Google mit Takeout einen eigenen Dienst an, mit dessen Hilfe die Google-Daten extrahiert werden können, nur hat dieser gerade für Ermittler einen entscheidenden Schönheitsfehler. Über jede Abfrage via Google Takeout wird der Nutzer umgehend informiert. Der Elcomsoft Cloud Explorer arbeitet in den allermeisten Fällen still. Denn Google kann nicht erkennen, welche Software die Daten zu welchem Zweck abfragt, wenn das betreffende Programm dies nicht mitteilt. Dennoch kann es im Einzelfall vorkommen, dass nach einem Update oder bei bestimmten Einstellungen Google einen solchen Alert verschickt, wenn bestimmte Daten angefragt werden.

Reporting

Eine breite Reihe von HTML-Berichten wird angeboten, einschließlich Benutzerdaten, Historie, Chrome, Dashboard, Medien, Standorte, Kalender, Notizen, Chats, Google Notizen und Kontakte. HTML-Berichte können in jedem Web-Browser leicht gedruckt oder angezeigt werden.

Ausblick

Wir arbeiten kontinuierlich an unseren Lösungen und werden auch den Elcomsoft Cloud Explorer nach und nach verbessern. Jetzt bereits geplante Features sind eine bessere grafische Darstellung der gefundenen Geodaten, die Extraktion weiterer Datentypen aus der Google-Cloud und die verstärkte Forensik für Android-spezifische Daten. Konkret wird dies etwa einen verbesserten Support für Google Drive bedeuten.

Für gewonnene Medien soll es dann bald auch die Funktion geben, dass Informationen zu auf den Bildern markierten Personen automatisch extrahiert und angezeigt werden - selbiges soll auch für Videos funktionieren. Auch geplant ist die Extraktion von Authentifizierungs-Token.

Diese und hoffentlich noch weitere Änderungen hoffen wir später in diesem Jahr dann vorstellen zu können.


  1. Einige der gewonnen Daten sind gegebenenfalls zusätzlich mit einem Passwort verschlüsselt. Falls das korrekte Passwort eingegeben wird, kann der Elcomsoft Cloud Explorer auch diese Daten anzeigen. 

 


Vollversion von ECX bestellen

Downloaden Sie kostenlose Test Version von ECX

Current version: 1.10.13023

The product can be uninstalled through Control Panel ‘Programs and features’, or using ‘Unistall’ program in Start menu. Standard Windows Installer service is being used.