Im März 2013 gab Facebook erstmals bekannt, dass die Anwenderzahl von 1 Mrd. Nutzer weltweit überschritten wurde. Hinsichtlich der Tatsache dass Facebook im Februar 2004 offiziell gegründet wurde, kann man Facebook durchaus als einen der Großväter der Sozialen Netzwerke bezeichnen. Knapp zehn Jahre später und mit hunderten weiterer sozialer Netzwerke als direkte Konkurrenten, zählt Facebook immer noch zu den populärsten Sozialen Medien.

Mit der Zunahme der allgemeinen Popularität steigen auch die Möglichkeiten, das Facebook als Medium von kriminellen oder sonstigen Tatverdächtigen missbraucht wird und somit als Quelle für IT-Forensische Auswertungen infrage kommt. Als Soziales Netzwerk ist es relativ wahrscheinlich, dass ein Tatverdächtiger Facebook als Kommunikationsmedium verwendet, um bspw. mit seinen Taten zu prahlen. Die nachfolgenden Absätze beschäftigen sich von daher mit den gängigsten Dateifragmenten die Facebook bei der Nutzung auf PCs und Notebooks hinterläßt und die innerhalb der IT-Forensik zu den Standards bei der Überprüfung gehören.

Für IT-Ermittler eignet sich Facebook als klassische online Ressource und kann häufig wertvolle Informationen liefern. Facebook gestattet einen Einblick in das Leben einer Person, bietet Mechanismen um an Fotos von Personen, Freunde und um an die Chronik zu gelangen. Kommentare innerhalb der Chronik / Timeline können aufschlußreiche Informationen enthalten, wo sich eine Person zu einem bestimmten Daten und einer bestimmten Uhrzeit aufgehalten hat, zudem bietet die Kommentarfunktion einen Einblick in die Interaktionshistorie mit bestimmten u.U. wiederkehrenden Personen, wie Freunde, etc. Durch die Facebook Applikationen auf mobilen Geräte wie Smartphones lassen sich zudem noch weitere wertvolle GPS Informationen gewinnen.

Als Beispiel legen wir einfach mal einen Diebstahl zugrunde. Täterseitig wird zunächst einmal Facebook eingesetzt um die komplette Familienhistorie einzusehen und um einen Einblick in das Familienleben des potentiellen Opfers zu erhalten. Öffentlich geteilte Fotos fallen hierbei häufig in das Interessensprofil von Tätern, da diese einen Einblick darüber geben wie das potentielle Opfer finanziell situiert ist. Facebook macht es potentiellen Tätern hierbei denkbar einfach, da es die Familienverbindungen von Verwanten untereinander anzeigt. Ferner bietet Facebook auch die Möglichkeit Telefonnummern in den entsprechenden Profilen anzuzeigen. Wer die Privatspähren-Einstellungen von Facebook nicht beherrscht, der kann schnell zum Opfer von Einbruch oder Diebstahl werden.

Facebook eignet sich auch als Informationsquelle für die forensische Analyse in Fällen bei denen der Tatverdacht nicht in einem direkten Bezug zu IT-Vorfällen steht. So z.B. in Fällen bei denen auf dem Computer des Opfers Facebook Nachrichten nachgewiesen werden, die zur Identifikation eines Tatverdächtigen (Mord, Diebstahl, Entführung, Betrug, etc.) herangezogen werden können und eine erste Kontaktaufnahme zwischen Täter und Opfer über Facebook Nachrichten oder Chat angebahnt wurde.

Grundsätzlich gibt es sechs spezifische Kategorien von Dateirückständen die sich auf auf Computerfestplatten untersuchen lassen:

1. Facebook Chat
Fragmente des Facebook Chats lassen sich üblicherweise im Speicher als "Java Script Object Notation" (JSON) als Text im laufenden Systemen commonly found in memory as JavaScript lokalisieren. Alternativ auch in den Dateien pagefile.sys & hiberfil.sys.




2. Facebook Nachrichten
Heutzutage erzeugen Facebook Chat und Nachrichten die gleichen Dateirückstände, in älteren Revisionen von Facebook gab es jedoch unterschiedliche Signaturen. Die Rückstände lassen sich auch hier im Hauptspeicher oder innerhalb der Dateien pagefile.sys und hiberfil.sys lokalisieren.

3. Facebook Statusmeldungen / Chronik / Updates und Kommentare
Gecarvter HTML-Code lässt sich in temporären Internet-Dateien, Browser-Cache und RAM lokalisieren.


[Grafik-2]

4. Facebook Webseiten Fragmente
Fragmente von FB-Webseiten aus temporären Internet-Dateien, Browser-Cache und RAM.

5. Facebook Bilder und Fotos
Auf Facebook veröffentlichte und gepostete Bilder weisen ein spezifisches Dateinamensmuster auf und lassen sich ebenfalls innerhalb der temporären Internet Dateien sowie des Browser-Caches finden. Der Dateiname besteht aus drei Nummernsätzen bspw:

"46599_149957275032126_2294278_n.jpg"

Der zweite numerische Satz gibt Auskunft zu welcher Facebook-Nutzer ID das Foto gehört, diese kann über die Facebook Graph Nutzer-Api unter https://developers.facebook.com/tools/explorer abgefragt werden.

6. Facebook URLs
Auch Fragmente von URLs, bzw. Webseitenadressen können sich auf eine Facebook-Nutzung zurückverfolgen lassen. Üblicherweise referenzieren Facebook-URLs auf andere Facebook Nutzer, bzw. Nutzeraktivität.

Ein Beispiel:

“https://www.facebook.com/photo.php?fbid=
201526933901245715&set=at.10150672801465915.448027.507140714.552175374.1221785571&type=1& theater”


  • 201526933901245715 ist die Foto ID
  • 10150672801465915 ist die ID des Albums indem sich das Foto befindet
  • 1221785571 ist die Nutzer / Anwender ID

Betrachtete Fotos erscheinen im Cache folgendermaßen:
"1221785571_1221785571_10150672801465915_n.jpg"

URLs für das Betrachten von Facebook Nachrichten stellen sich bspw. folgendermaßen dar:
http://www.facebook.com/messages/Datenrettung.DE

Dies ist nur ein Auszug von einer Vielzahl von Möglichkeiten, wie sich eine Facebook-Nutzung innerhalb von RAM und Cache Dateien nachweisen lässt. Mittels der Verwendung entsprechender forensischer Spezialanwendungen zur Untersuchung von Internetaktivitäten auf Desktop-Clients oder für die Beweismittelführung auf Smartphones lassen sich diese lokalisierten Informationen und Fragmente auch wiederherstellen.

Kreuzprüfung mit Encase

Encase Forensics wird in diesem Kontext lediglich zur Verifikation nach der Beweisführung verwendet, um durch die Eingabe physikalischer Sektoradressen das Ergebnis im Nachgang zu prüfen.