Windows Systeme speichern Netzwerkverbindungen mittels derer Geodaten bestimmt werden können. Dies kann hilfreich sein, wenn sich beispielsweise ein PC nachweislich in der Nähe eines Tatortes befunden hat. Wir verraten wie dies funktioniert. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.
Geolokalisierung mithilfe von Netzwerken
Wie im letzten Artikel dieser Serie beschrieben, können aus der Netzwerkliste einzigartige forensische Informationen erlangt werden. In dem Artikel wurde unter anderem erläutert, wie und wo die MAC-Adresse sowie die SSID eines verbundenen Netzwerks ausgelesen werden können. Eine sehr interessante Untersuchungsstrategie ist es, mithilfe der ermittelten MAC-Adresse und der SSID die Geodaten des für die Verbindung verwendeten Access Points zu bestimmen.
Windows speichert die Netzwerkdomänen mit denen sich ein System verbunden hat. Im SOFTWARE Registry-Hive unter SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList
sind diese Informationen zu finden.
Der Wert „Description“ beinhaltet die SSID eines Netzwerks und das „Default GatewayMac“-Feld die MAC-Adresse.
Unter wigle.net lassen sich unter Angabe des Netzwerknamens (SSID) und der MAC-Adresse (BSSID) eines Access Points die Geodaten ermitteln. Um wigle.net nutzen zu können, ist eine Registrierung unter Angabe eines Benutzernamens und eines Passwortes erforderlich. Anschließend können die Daten in eine Suchmaske eingegeben werden. Allerdings ist nur eine bestimmte Anzahl an Anfragen pro Tag zulässig.
Nicht alle weltweit verfügbaren Access Points sind über diese Webseite ermittelbar. Allerdings ist ein Großteil bekannt und somit verfügbar.
Das SANS Institut stellt außerdem ein Perl Skript zur Verfügung, mit dem der Ort einer Netzwerkverbindung eines Systems schnell und einfach identifizierbar ist.
Zieht man die Verbindungszeiten des entsprechenden Netzwerks hinzu, kann verifiziert werden, wann und wo ein Gerät an einem bestimmten Ort physisch vorhanden gewesen sein muss.
Sollten die beschriebenen Vorgehensweisen nicht zum Erfolg führen, verbleibt noch immer die Möglichkeit, die vermutete Örtlichkeit aufzusuchen, um dort mit geeigneten Mitteln die MAC-Adresse des Access Points zu ermitteln.
In der Nähe eines Tatortes
Die Möglichkeit, den genauen Standort und die genaue Uhrzeit zu ermitteln und zu lokalisieren, wo und wann ein bestimmter Computer war; könnte für Ihren Fall von großer Bedeutung sein. Kann beispielsweise nachgewiesen werden, dass sich ein Laptop in der Nähe eines Tatortes befunden hat, und, kann dieser wiederum einer Person zugeordnet werden; so können Angaben über ein vorhandenes Alibi ins Wanken geraten. Im Handumdrehen gibt es neue Ermittlungsansätze und Hinweise auf zumindest eine Tatbeteiligung.