Wie bereiten Sie Ihr Labor für die Chromebook-Erfassung und -Analyse vor?

Wird es 2021 weiteres Wachstum für Chromebooks geben? Frühe Indikatoren sehen einen derartigen Trend. Und mit dem Aufstieg der Chromebooks können digitale Ermittlungen potentiell viel komplexer werden, weil Chromebooks einen Gerät- und einen cloud-zentrischen Ansatz voraussetzen, was digitale Forensiklabore unter Druck setzen kann.

In diesem Blog liefern wir einige Hintergrund-Informationen, Ressourcen und Tools, die Ihnen bei der Vorbereitung zu Chromebook-Ermittlungen helfen können.

Lernen Sie mehr über Chromebook-Analyse, in Jessica Hydes Magnet Virtual Summit-Webinar, Ein Byte der Chromebook-Analyse.

Chrome OS Marktanteil: Er steigt an

Die globale Pandemie und der signifikante Schub im Online-Lernen scheint die Nachfrage nach Chromebooks katalysiert zu haben. 2020 haben Chromebooks ihre Quartalsverkaufszahlen basierend auf ihrem Marktanteil fast verdreifacht (verkaufte Geräte mit Chrome OS sprangen von 5,3 % Marktanteil im 1. Quartal auf 14.4 % im 4. Quartal). Windows OS bleibt weiterhin Spitzenreiter, doch Computer mit Chrome OS und macOS haben signifikante Marktanteile gewonnen und knabbern an Windows‘ Marktdominanz.¹ Chromebooks haben sich außerdem 2020 erstmals mehr verkauft als Macs und der Trend scheint kurzfristig nicht rückläufig zu werden.²

Basierend auf den frühen Indikatoren für Q1 verdrängen Chromebooks 2021 eventuell auch einige Tablet-Verkäufe. ³ Egal, wie man es betrachtet, Chromebooks verzeichnen großes Wachstum, und wenn mehr Chromebooks zirkulieren, folgt auch bald größere Nachfrage nach Chromebook-Ermittlungen.

Was ist so anders an Chromebooks?

Stellen Chromebooks Ermittler wirklich vor eine einzigartige Herausforderung?

Die kurze Antwort ist ja. Die lange Antwort ist immer noch ja, doch die Herausforderung liegt in der Komplexität jedes Geräts, wie die zusätzlichen Schritte, die in der Vorbereitung einer Chromebook-Erfassung notwendig sind, sowie die multiple Cloud-Konten-Ermittlung, die für Chromebooks vermutlich notwendig ist.⁴ Verglichen mit traditionellen Laptops sind Chromebooks wie das Samsung Chromebook 4 (Intel^® Celeron 4000-Prozessor, 4GB Ram, 32GB SSD) dazu entwickelt, ein leichtes Betriebssystem zu geringeren Kosten auszuführen und die Tragbarkeit zu erhöhen.⁵ Um das erwünschte Ergebnis zu erzielen, speichern Chromebooks die meisten Daten in der Cloud.

Chromebooks können jedoch nicht alle gleich behandelt werden. Google bietet beispielsweise das Pixelbook Go(^8.Gen. Intel^® Core^TM i7-Prozessor, 16GB RAM, 256GB SSD) an, das auf Technik-Rezensions-Blogs oft mit einem Macbook Air verglichen wird.⁶ In beiden Fällen (geringe Kosten und Premium) wäre ein Gerät-plus-Cloudkonten-Ansatz vorteilhaft, doch das Premium-Chromebook speichert vermutlich mehr Daten auf dem Gerät zusätzlich zu den Cloud-Daten. In jedem Fall gibt es ggf. einzigartige Daten auf dem Gerät selbst, wie Erweiterungen und heruntergeladene Daten für Offline-Arbeit.

Die Herausforderung Chrome OS

Einer der vielen Aspekte, die Chromebook-Ermittlungen zur Herausforderung machen, ist, dass Chrome OS auf speziell optimierter Hardware läuft, um Performance und Sicherheit zu verbessern. Chrome OS aktualisiert automatisch auf die neueste Version, um sicherzustellen, dass die Sicherheit beibehalten wird und ausnutzbare Verwundbarkeiten abgewendet werden. Chrome OS und seine automatischen Updates sind nicht zu verwechseln mit Chromium OS, wo Nutzer dafür verantwortlich sind, das OS manuell zu aktualisieren, und daher für Ausnutzungen angreifbarer sind.

Was ist Chromium OS? Dabei handelt es sich um ein Open-Source-Äquivalent zu Chrome OS, das auf jedem Gerät ausgeführt werden kann. Es ist eine attraktive Alternative für viele Nutzer, die sich für Chrome OS interessieren. Um Chrome OS zu bekommen, müssen Sie ein Chromebook (mit der optimierten Hardware) kaufen; Chrome OS kann nicht einzeln gekauft und auf einem andere Gerät installiert werden. Wenn Nutzer sich also eine Chrome OS-Erfahrung wünschen, aber kein Chromebook kaufen wollen, ist Chromium eine Option. Nutzer von Chromium OS sind oft fortgeschrittener und Ermittler sehen bei diesen Nutzern oft virtuelle Chromium-Maschinen oder ein ganz eigenes, benutzerdefiniertes Setup.

Fragmentierte Daten verstehen

Ein Image vom Laufwerk eines Chromebooks zu erstellen ist effektiv nur ein Teil eines viel größeren, fragmentierten, dezentralisierten Puzzles in der Erfassung der Daten eines einzelnen Nutzers. Das Design des Datenmanagements eines Chromebooks kann Labore unter Druck setzen, weil die Verarbeitung der Daten aus einem Chromebook-Image nur der Anfang ist. Zusätzlich zur Erstellung eines Images von einem Chromebook-Laufwerk müssen Ermittler auch einen Durchsuchungsauftrag oder ein Google Takeout (über Einverständnis mit Anmeldedaten) bekommen. Und wenn mehrere Nutzer ein Chromebook benutzen, müssen Ermittler oft die Anmeldedaten und Cloud-Konten jedes Nutzers bekommen.

Noch komplizierter wird es, wenn Chromebooks nicht im Entwicklermodus sind – was ungewöhnlich ist – denn Sie setzen Benutzername und Passwort voraus, bevor die Erfassung beginnen kann. Ein Chromebook kann jederzeit in den Entwicklermodus versetzt werden, doch dann werden die Nutzerdaten gelöscht. ⁷ Chromebooks im Entwicklermodus weisen oft auf einen fortgeschritteneren Nutzer hin. Der Entwicklermodus ermöglicht es dem Nutzer, an ihrem Gerät herumzubasteln, sodass sie beispielsweise Android-Apps oder Bootstrap-Chrome-Erweiterungen laden können.

Die Vorbereitung auf Chromebook-Ermittlungen bedeutet also auch die Vorbereitung auf Erfassung von Images auf verschiedene Arten, darunter, dass Nutzer Benutzernamen und Passwort bereitstellen, Sie eine richterliche Anordnung erwirken müssen, oder Nutzer Ihre Daten zur Analyse herunterladen müssen (z.B. Google Takeout-Feature).

Um mehr über die Erfassung von Google-Nutzerdaten zu lernen, lesen Sieihre FAQ.

‚Hardware plus Cloud‘ als neue Norm?

Es gibt einige Herausforderungen bei Chromebook-Ermittlungen: größerer Schwerpunkt auf cloud-zentrische Ermittlungen, mehr Beweisquellen, die pro Ermittlung zu verwalten sind und mehr Sicherheitsebenen, die umgangen werden müssen, die voraussetzen können, dass der Nutzer entweder seine Anmeldedaten herausgibt oder ein Durchsuchungsauftrag vorliegt, wenn Sie sich in Nordamerika befinden.

Mit mehr Chromebooks auf dem Markt ist dies nur ein weiteres Tool, das für kriminelle Aktivitäten genutzt werden kann, doch es ist ein Tool, das eine zusätzliche Komplexitätsebene bei der Erfassung von Beweisen mit sich bringt. Für eine leichte, recht günstige Hardware haben Chromebooks wirklich viel Potential, Ermittlungszeitleisten zu verlängern.

Vielleicht wird sich dieser Trend auch erweitern zu Chromebooks als Standard-Laptops. Die Tragbarkeit wird in der Nachfrage wohl kaum sinken, sodass ‚Hardware plus Cloud‘-Ermittlungen vermutlich zur neuen Norm werden.

Wenn mehr Nutzer Daten in der Cloud speichern, gibt es auch mehr Druck, Anmeldedaten der Nutzer zu erfassen (Nutzernamen, Passwörter, E-Mails, Telefonnummern etc.), doch es bedeutet auch vermutlich ein wachsende Anzahl von Downloads von Nutzerdaten und/oder Durchsuchungsaufträgen. Es ist wichtig zu bemerken, dass Googles Durchsuchungsaufträge und Takeouts mehrere Geräte in dem Konto beinhalten (Handys, PCs etc.), nicht nur das Chromebook. Mit Magnet AXIOM ist das Analysieren von Durchsuchungsaufträgen und die Verwaltung mehrerer Beweisquellen jedoch leicht.

Lesen Sie in Jessica Hydes Blogreihe mehr darüber, wie AXIOM die Analyse der Durchsuchungsaufträge leicht macht.

Ressourcen für Chromebook-Ermittlungen

Zur Unterstützung bei den Herausforderungen der Chromebook-Erfassung, der Verarbeitung von Images und der Analyse gibt es von Magnet Forensics einige Ressourcen und Tools.

Wir haben kürzlich ein kostenloses Tool veröffentlicht, denMagnet Chromebook Acquisition Assistant, der dabei hilft,die Chromebook-Erfassungsmethoden, die von Daniel Dickerman entwickelt wurden, zu automatisieren. Sobald ein Image erfasst wurde, hat Magnet AXIOM dedizierte Chromebook-Artefakt-Unterstützung, die in AXIOM 4.11 eingeführt wurde.

Chromebook-Ermittlungen setzen außerdem einige einzigartige Workflows voraus, um gelöst zu werden. Jessica Hyde ist hier bei Magnet Forensics unsere Chromebook-Expertin. Sie hat mehrere Schulungs- und Ermittlungs-Ressourcen für Ermittler generiert:

• Ein schnelles Referenzhandbuch für beliebte Chromebook Datenspeicherorte
• „Google Durchsuchungsaufträge in Magnet AXIOM“ — Ein Blogbeitrag, in dem Sie mehr über das Entpacken von Google Durchsuchungsaufträge lernen
• Ein Chromebook Acquisition Assistant Tipps-und-Tricks-Webinar

Chromebook Daten-Extraktion bekommt in der erweiterten Community viel Aufmerksamkeit. Mark Mackinnon hat kürzlich ein Open-Source-Chromebook-Verarbeitungstool in Python 3 entwickelt: ChromeOS Logs Events And Protobuf Parser (CLEAPP). CLEAPP basiert auf dem Android Logs Events And Protobuf Parser-Community-Projekt. Sie können das Tool hier in Alexis Brigonis Blog herunterladen und mehr darüber erfahren: „CLEAPP es! — ChromeOS Logs Events And Protobuf Parser.“

Die Analyse eines Chromebook-Images ist normalerweise nur eine Beweisquelle in der Ermittlung. Mit AXIOM können Ermittler leicht die erweiterten Fallbedürfnisse verwalten, indem sie Chromebook-Images zusammen mit mobilen, Computer- oder Cloud-Images, Downloads von Nutzerdaten und Durchsuchungsaufträgen verarbeiten, mit dedizierter Artefakt-Unterstützung, alles in einem Fall.

Bereiten Sie Ihr Labor auf Chromebook-Ermittlungen vor — mit Magnet AXIOM. Wenn Sie AXIOM oder AXIOM Cyber noch nicht getestet haben, Beantragen Sie hier eine kostenlose Testversion.

1. Windows OS wird als Spitzenreiter nicht allzu bald abgelöst werden, doch von Q1 bis Q4 2020 fielen Geräte mit Windows OS von 87,5 % auf 76,7 % Marktanteil bei den Verkäufen neuer Geräte. Chromebooks wuchsen auf der anderen Seite von 5,3 % neuer Verkäufe in Q1 auf 14,4 % im Q4. Das sind enorme Zahlen. Der Quartals-Marktanteil von Chromebooks für Verkäufe neuer Geräte hat sich 2020 verdreifacht. Was an dem Chromebook-Trend noch beeindruckender ist, ist dass Chromebooks in Q4 die Mac-Verkäufe um das doppelte übertraf, die bei 7,7 % blieben.
2. https://www.geekwire.com/2021/chromebooks-outsold-macs-worldwide-2020-cutting-windows-market-share/
3. https://www.idc.com/getdoc.jsp?containerId=prUS47648021
4. Um ein Chromebook-Image zu erfassen, benötigt man drei 32GB USB-Laufwerke und eine externe Festplatte, die groß genug ist, um eine Kopie der Festplatte des Chromebooks zu speichern. Um mehr darüber zu lesen, was an der Erstellung von Chromebook-Images einzigartig ist, lesen Sie Daniel Dickermans Chromebook-Erfassungs-Methode.
5. 299 US$ für das Basismodell des Samsung Chromebook 4 (Intel^® Celeron 4000 processor, 4GB Ram, 32GB SSD) am 10. Mai 2021.
6. 1399 US$ für das Premium-Modell Pixelbook GO (^8. Gen. Intel^® Core^TM I7 processor, 16GB RAM, 256GB SSD) am 10. Mai 2021.
7. https://support.google.com/chrome/a/answer/1360642?hl=en