Aus nicht mehr rekonstruierbarem Anlass habe ich mir neulich ein Programm namens Browser History Examiner heruntergeladen. Das verspricht einerseits Aufschluss über die Aktivitäten im Netz, andererseits gezielte Suchmöglichkeiten nach bestimmten Informationen: Man kann sich den Suchverlauf ansehen, Mailadressen extrahieren, die URLs nach Kategorien filtern und sich die Bilder ansehen, die im Cache stecken.
Mit anderen Worten: Wenn dieses Werkzeug seine Versprechen einhält, steht der examinierte Webnutzer ziemlich exponiert da. Der Name des Unternehmens, Foxton Forensics, gibt dem ganzen einen ernsthaften Anstrich und eine kriminalistische Note.
Die Hersteller-Beschreibung unterstreicht das: «BHE kann bei digitalen Ermittlungen behilflich sein, zum Beispiel bei zivil- und strafrechtlichen Forensik-Fällen, Sicherheitsvorfällen, Personaluntersuchungen und allgemeinen Berichten über Mitarbeiteraktivitäten.»
Interessant jedenfalls, dass nicht nur Ermittler zum anvisierten Nutzerkreis gehören, sondern auch neugierige Chefs und übergriffige Arbeitgeber. Das scheint mir ein etwas weniger hehres Ziel als das Aufklären von Verbrechen zu sein. Aber gut.
Mal sehen, wonach ich gegoogelt habe
Das Programm analysiert auf Wunsch die gespeicherten Daten mehrerer Browser. Ich lasse es probehalber auf die Caches von Firefox los – selbstverständlich bei meinem eigenen Computer. (Schliesslich wäre es mehr als scheinheilig, mich erst über schnüffelnde Brotherren zu beklagen und dann selbst herumzuspionieren.)
Nach dem Start muss man angeben, welche Daten man untersuchen will. Man kann Daten von anderen Computern ansehen, die man mittels Browser History Capturer gesammelt hat. Oder man analysiert die History auf dem Rechner, an dem man gerade sitzt. Das tue ich, und gebe mein Windows-Nutzerkonto an. Dann sucht und analysiert die Software für eine gefühlte Ewigkeit, um dann ihre Ermittlungsergebnisse zu präsentieren:
Die Daten werden in 15 Kategorien präsentiert: Bookmarks, Browsereinstellungen, gecachte Dateien, gecachte Bilder, gecachte Webseiten, Cookies, Downloads, E-Mail-Adressen, Favicons, Suchformularverlauf, Logins, Suchen, Session-Reiter, Thumbnails und Website Visits.
Es gibt jeweils eine Angabe mit der Zahl der Datensätze. Beachtlich finde ich, dass Firefox bei mir fast 50’000 Favicons gespeichert hat. Es gibt gut 30’000 Webseitenbesuche und über 5000 Cookies.
Nun ist die Frage, wie diese Informationsflut aufgedröselt wird. In der Standardansicht sieht man bei den einzelnen Kategorien jeweils eine Liste, die meist chronologisch sortiert ist, aber auch nach anderen Kriterien gliedern lässt. Da die kostenlose Testversion nur jeweils 25 Einträge anzeigt, ist die Aussagekraft sehr beschränkt. Man kann die Liste über die Leiste am rechten Rand nach Daten, Zeiten, Webbrowser und je nach Ressourcen ähnlichen Kriterien filtern, aber das macht die Resultate auch nicht viel aussagekräftiger.
Filtern nach interessanten Kategorien
Eine zusätzliche Filtermöglichkeit findet sich im Menü: Via Filter > URL Category schränkt man die Daten auf Adult (sprich: Pornografie) oder Malware ein. Das will ich natürlich ausprobieren – doch die Anwendung informiert mich, dass genau diese entscheidende Funktion in der Testversion nicht verfügbar sei.
Fazit: Ein Ermittler, der sich mit diesem Programm irgend etwas erreichen möchte, der muss sich akribisch durch alle Listen hindurcharbeiten – und das ist ein Knochenjob. Natürlich hilft es, wenn man eine klare Vorstellung hat, wonach man sucht.
Teuer und wenig nutzerfreundlich
Aber die Software tut nichts, einem einen schnellen Überblick zu verschaffen – und dafür ist ihr Preis 149 US-Dollar für die Home Version, 499 Dollar für die Pro-Variante und 1299 Dollar für die Team-Lizenz viel zu teuer. Übrigens: Für wen ist die «Home»-Variante gedacht? Für Hobby-Ermittler und Westentaschen-Marlowes?
Jedenfalls stellt man sich das Schnüffeln gemeinhin viel zu einfach vor. Da sind auch Fernsehserien wie «CSI» schuld, bei denen die Foreniker nur ein paar Knöpfe drücken und eine Datenbank abfragen müssen, um sämtliche Antworten zu bekommen.
Bevor ich mich mit diesem Tool abplagen würde, wäre mein erster Versuch ein anderer: Ich würde nachsehen, ob der Verdächtige noch bei seinem Google-Konto eingeloggt ist und zufällig die Suchhistorie eingeschaltet hat.
Trotzdem: Es scheint mir sinnvoll zu sein, die Browser-Daten zum Schutz der Privatsphäre zu verschlüsseln. Das tut man am einfachsten mittels Geräteverschlüsselung: Die Tipps dazu finden sich im Beitrag Laptops und ihr besonderes Schutzbedürfnis.
Beitragsbild: Das könnte ein Windows-Gerät sein – falls nicht, wird die forensische Untersuchung sowieso schwierig werden (Charles Deluvio, Unsplash-Lizenz).
Brauche STG Cache Audit seit über 20 Jahren… Ist gratis und kann das alles auch.
Adult = Pornographie? Erotik eher.