report4/content.tex

   1
   2 \newpage\section{Questions (12 points)}
   3 \subsection{How and when did Mr. Smith and Mr. Mayer communicate? (2 point)}
   4 account lists
   5 * IPHONE info:
   6 .. FB found.
   7
   8 * Android info:
   9 ..
  10
  11
  12 \subsection{What information was exchanged between Mr. Smith and Mr. Mayer? (3 points)}
  13
  14 skype 27-11-2012 12:20:00 to:allegro.mayer from:johannes.m.smith Auth\_Request
  15
  16 tun+vr
  17 ph1
  18
  19 skype 06-12-2012 13:20:33 from:allegro.mayer to:johannes.m.smith Auth\_Granted
  20
  21 call 2012-12-06 14:35:38 Johannes Smith 06603169718 (0:01:15 sec)
  22
  23 skype 06-12-2012 16:33:53 to:allegro.mayer from:johannes.m.smith: "Hallo"
  24
  25 ph2
  26
  27 sms +436603169718 Sent on: 2012-12-06 17:20:46
  28 Ich habe wichtige Informationen über unseren letzten deal für dich. Ruf dich später an, wenn ich ungestört bin.
  29
  30 sms +436603169718 Sent on: 2012-12-06 17:30:43
  31 Sicherer kanal wär besser ....
  32
  33 viber call 2012-12-06 17:31:57 Johannes Smith (71 sec)
  34
  35 sms +436605166042 Received on: 2012-12-06 17:36:26
  36 Hallo, ich empfehle dir den WhatsApp Messenger für Android, iPhone, Nokia, BlackBerry und Windows Phone auf http://whatsapp.com/dl/
  37
  38 sms +436605166042 Sent on: 2012-12-06 17:42:50
  39 Viel zu unsicher, hab mir vor kurzem einen ganz tollen vortrag darüber angehört...
  40
  41 sms +436605166042 Sent on: 2012-12-06 17:45:19
  42 Ich hab von einem kollegen wichtige informationen. Ruf dich an
  43
  44 call 2012-12-06 17:45:36 Johannes Smith +436605166042 (0:00:21 sec; diensthandy? DumpBank We Sell Your Shit)
  45
  46
  47
  48
  49 \subsection{Can you find any evidence or hints that support the suspicion of insider trade? (3 points)}
  50 No hard evidence was found.\\
  51 The fact that both parties looked up stock trading sites could hint at that.\\
  52 Also communication between Mayer and Smith does not give a definite proof that they really did anything.
  53
  54
  55 \subsection{Was the person that the witness identified really Mr. Mayer? (2 points)}
  56 As Mayer was in Paris on Friday, 7th of December 2012, late afternoon it seems unlikely that a witness saw them.\\
  57 Unless of course Mayer and Smith met in Paris which could be hinted at by the FILE in the dropbox-directory and the witness too was in Paris at that time.
  58
  59 \subsection{Mr. Mayer seems to have more secrets than initially expected. What is his big secret? (2 points)}
  60 By using MAYRS EMAIL address, we found out, that he is engaged with NAME.\\
  61 Communication suggests that MAYR + Laura were on a romantic trip in Paris.
  62
  63
  64
  65
  66 \newpage\section{iPhone}
  67 \subsection{Source: iPhone.tar.gz (IPBA)}
  68 iPhone backup image from Allegro Mayer's Phone. The extracted files were analysed with iP Backup Analyzer2.
  69 \begin{quote}
  70 \textbf{size}: 6775181 byte\\
  71 \textbf{''file''-output}: gzip compressed data, last modified: Fri Dec 14 11:42:54 2012, from Unix\\
  72 \textbf{sha512}\\\ttfamily{
  73 ff746e574a0d668e1d82c3ff72501a75eabe642e1dee7f20d3d74b9fe72054f9\\
  74 9b9a91ded1b3f98067a63065423c620c73c42c65e13c3b110424854b3e7f6678}
  75 \end{quote}
  76
  77 \subsection{Contacts}
  78 The contacts-db was extracted from \emph{\textbf{IPBA::Home Domain:Library/AddressBook:AddressBook.sqlitedb}}
  79 \begin{quote}
  80 \textbf{size}: 87040 byte\\
  81 \textbf{''file''-output}: SQLite 3.x database\\
  82 \textbf{sha512}\\\ttfamily{
  83 }
  84 \end{quote}
  85
  86 The following contacts were found inside.
  87 \begin{center}\begin{tabular}{ | l | r | }
  88   \hline Name & Phone \\
  89   \hline <None> & +436603169718 \\
  90   \hline Laura Markovic & 0680 3303660 \\
  91   \hline Sabine Oberhuber & +436604413637 \\
  92   \hline Johannes Smith & +43 660 5166042 \\
  93   \hline Ernst Strasser & 0660 4394199 \\
  94   \hline
  95 \end{tabular}\end{center}
  96
  97 \subsection{Call-Log}
  98 \subsection{SMS-Log}
  99 \subsection{Media}
 100 \subsection{eMail-App}
 101 \subsection{Viber-App}
 102 \subsection{Skype-App}
 103 \subsection{Whatsapp-App}
 104 \subsection{Dropbox-App}
 105 \subsection{Facebook-App}
 106
 107 \newpage\section{Android}
 108 \subsection{Source: Android.tar.gz (ANDROID)}
 109 Android image from Johannes Maskus Smith's phone.
 110 \begin{quote}
 111 \textbf{size}: 270397822 byte\\
 112 \textbf{''file''-output}: gzip compressed data, last modified: Fri Dec 14 12:06:37 2012, from Unix\\
 113 \textbf{sha512}\\\ttfamily{
 114 9614e30affc09d1cbfad5a96e43b2e40dae3c5c123db22dcbd53e980d14418d9\\
 115 ab18c6a2b5b9f8a0e1539474612a4a7ceae627255a2169565f0dddf3409ef67d}
 116 \end{quote}
 117
 118 \subsection{Contacts}
 119 \subsection{Call-Log}
 120 \subsection{SMS-Log}
 121 \subsection{Media}
 122 \subsection{eMail-App}
 123 \subsection{Viber-App}
 124 \subsection{Skype-App}
 125 \subsection{Whatsapp-App}
 126 \subsection{Dropbox-App}
 127 \subsection{Facebook-App}
 128
 129
 130 \newpage\section{Details}
 131 \subsection{Used tools on GuestVM}
 132 Tools that were used for analysis (-{}-version):
 133 \begin{itemize}
 134 \item IP Backup Aanalyzer 2.0 build 20130319 (mar 2013)
 135 \end{itemize}
 136
 137 \subsection{Used tools on Host}
 138 Tools that were used for analysis (-{}-version):
 139 \begin{itemize}
 140 \item sqlite3 3.8.5 2014-06-04 14:06:34 b1ed4f2a34ba66c29b130f8d13e9092758019212
 141 \item sha512sum (GNU coreutils) 8.22
 142 \item ls (GNU coreutils) 8.22
 143 \item file 5.18
 144 \item tar tar (GNU tar) 1.27.1
 145 \end{itemize}
 146
 147 \subsection{Machines}
 148 \begin{itemize}
 149 \item \textbf{Virtual machine}\\
 150 Windows XP Version5.1 (Build2600.xpsp\_sp3\_qfe.130704-0421 : Service Pack3)
 151 \item \textbf{Oracle VirtualBox} 4.3.10
 152 \item \textbf{Host machine}\\
 153 Linux rebx 3.14.0-gentoo-somenet.org \#1 SMP Sun Apr 6 01:00:17 CEST 2014 x86\_64 Intel(R) Core(TM)2 Duo CPU T9300 \@ 2.50GHz GenuineIntel GNU/Linux
 154 \end{itemize}
 155