02 Erhebungen im Detail
1 Erheben Sie die Daten eines Zielprofils
Suchen Sie in Ihrem gewohnten Browser nach einem Profil, dessen Daten (Freunde, Timeline, etc.) Sie gerne mit Maltego Evidence sichern möchten. Sobald Sie ein Profil gefunden haben, gibt es in Maltego Evidence zwei Möglichkeiten der Sicherung.
- Die Verwendung von Maltego Evidence ohne Browser – nur mit der URL des Zielprofils.
- Die Verwendung der Maltego Evidence Browser Extension
Für die Variante b) muss zuvor die Maltego Evidence Browser Extension für Ihren Browser installiert sein. Sie finden diese Extension unter den folgenden Links:
| Chrome | https://chrome.google.com/webstore/detail/snh-titan-browser-extensi/bhajampliglbihiecgcppjajijeechbl |
| Firefox | Folgt bald |
| Edge | Folgt bald |
1.1 Verwendung von Maltego Evidence ohne Browser
Nach der Erstellung eines neuen Projektes landen sie auf der Dashboard-Seite des Projekts. Sollten sie in einem bereits bestehenden Projekt weitere Daten erheben wollen, dann klicken sie auf das Maltego Evidence Logo (oben links) um zu Ihren Projekten zu gelangen und wählen Sie das gewünschte Projekt aus. Alternativ können Sie auf den Projektnamen klicken und mittels des Dropdown-Menüs direkt zum entsprechenden Projekt wechseln.
Klicken Sie in der linken Spalte auf „Collect“ und Sie gelangen zur Erhebungs-Seite. Hier arbeiten Sie sich von links nach rechts durch die Auswahlfelder.
1.1.1 Zielprofil eingeben
Zuerst geben sie in das Eingabefeld Ihr Zielprofil ein. Dabei spielt es keine Rolle um welches Soziale Netzwerk es sich handelt. Sie können dazu einfach die Adresszeile aus Ihrem Browser kopieren und in das Eingabefeld einfügen.
Nach der Eingabe des Zielprofils überprüft das Programm ihre Eingabe und wählt automatisch das zugehörige Netzwerk:
1.1.2 Erhebungsprofil auswählen
Damit Maltego Evidence die Daten korrekt vollständig sichern kann, muss er sich in ein sog. Erhebungsprofil einloggen. Dies sind zumeist eigens für diesen Zweck angelegte Profile auf den entsprechenden sozialen Netzwerken. Bitte beachten Sie, dass diese Profile gelegentlich auch gesperrt werden können. Verwenden Sie daher niemals Ihr privates Profil für die Erhebung von Daten, um den Verlust und die Sperrung Ihres Hauptprofils zu verhindern.
Um einem Sicherungsauftrag ein Erhebungsprofil zuzuweisen können Sie entweder einen bereits eingetragenen Account mit einem Klick auswählen oder einen neuen Account hinterlegen.
1.1.2.1 Ein neues Erhebungsprofil eintragen
Klicken Sie auf den Button „Add Crawling Profile“ oder "Crawling Profil erstellen".
Es öffnet sich eine Sidebar. Füllen Sie bitte dort die folgenden Daten aus:
| Netzwerk | Wählen Sie zuerst aus, für welches Netzwerk das Erhebungsprofil gültig ist. Sollten Sie Telegram wählen, verändert sich die Eingabemaske, sodass eine Eingabe einer Telefonnummer erforderlich wird, anstatt eines Nutzernamen und Passwortes. |
| Name | Diesen Namen legen Sie selbst fest, um das Profil später in der Software identifizieren zu können. Zum Beispiel "Max Mustermann". |
| Username / Vanity Name / E-Mail | Dies ist der Benutzername oder die E-Mail Adresse oder gelegentlich auch die Telefonnummer, mit der Sie sich im Netzwerk anmelden würden, wenn Sie sich auch im Browser anmelden. Bei den meisten Netzwerken ist es der Wert, den Sie in das erste Feld der Login-Maske eingeben würden. |
| Passwort | Dies ist das Passwort, das Sie verwenden, um sich einzuloggen. In besonderen Fällen (z.B. Telegram oder TikTok) kann das Passwort leer gelassen werden, da andere Login-Methoden verwendet werden. |
| Login Status überprüfen | Hier können Sie auswählen, ob Maltego Evidence direkt den Login-Status des Profils im Hintergrund überprüfen und updaten soll. Dies ist optional und bietet Ihnen die Möglichkeit im Vorhinein herauszufinden, ob das von Ihnen ausgewählte Profil womöglich bereits gesperrt wurde und ob die angegebenen Daten gültig sind. |
Klicken Sie auf Speichern. Sie können das Profil nun in der Übersicht der Erhebungsprofile auswählen.
Sollten Sie eine Überprüfung des Login-Status ausgeführt haben, so geschieht dies im Hintergrund und kann ein paar Sekunden bis Minuten dauern, je nach Internetverbindung und Netzwerk.
Es kann in Einzelfällen dazu kommen, dass Maltego Evidence Ihre Hilfe bei der Authentifizierung des Login-Profils benötigt. Z.B. bei TikTok das Scannen eines QR-Codes, oder bei anderen Netzwerken die Eingabe eines per SMS oder E-Mail zugesendeten Bestätigungscodes. Dies würde Ihnen mittels eines Nicht-Schließbaren Popups mitgeteilt werden.
1.1.3 Erhebungsoptionen auswählen
Unter der Rubrik „What to crawl?“ muss nun ausgewählt werden, was genau gesichert werden soll.
Sie können hier im Detail anpassen, welche Daten für das Profil gesichert werden sollen. Dies ist insbesondere relevant, um den Datenschutz zu gewährleisten. Sichern Sie bitte ausschließlich Daten, die für Ihren Fall oder Ihre Untersuchung von Relevanz sind. Stellen Sie insbesondere bei der Sicherung von Freunden oder Freundesfreunden sicher, dass die Erhebung dieser Daten von Relevanz ist. Einzelne Optionen können Sie durch die Aktivierung oder Deaktivierung der Checkboxen hinzufügen oder entfernen.
Je nach Netzwerk können verschiedene Unterpunkte mit einem Klick auf die vorstehende Box aktiviert werden. Wird der Mauszeiger auf ein Informationszeichen bewegt, gibt es weitere Informationen zu diesem Punkt.
Sie können die oben angegebenen Schritte beliebig oft wiederholen, um in einem Zuge mehrere Zielprofile zu sichern. Klicken Sie auf "URL hinzufügen", um weitere Ziele zu definieren. Für jedes dieser Ziele können Sie Ihre Sicherungsoptionen und verwendeten Erhebungsprofile einzeln anpassen. Sie können auch Ziele aus unterschiedlichen Netzwerken in einer Anfrage hinzufügen.
1.1.4 Erhebungsoptionen in Detail
Im Folgenden werden die Erhebungsoptionen im Detail vorgestellt.
| Save Profile | Sichert die Profilinformationen. Wenn Sie diese Option deselektieren, werden alle weiteren selektierten Sicherungsoptionen ebenfalls deselektiert. Grund dafür ist, dass jedes der nachfolgenden Sicherungsoptionen, das Profil zwangsläufig mitsichert. |
| Take Full Page Screenshot | Mit der Aktivierung dieser Option, wird ein Erhebungsauftrag gesendet, in dem über das Zielprofil gescrollt wird. Dabei werden mehrere Screenshots erstellt und am Ende zusammengefügt, um ein Gesamtscreenshot der Timeline zu erhalten. Sie finden dieses nach Fertigstellung in der Detail-Leiste des Zielprofils und können das daraufhin als PNG oder PDF exportieren. |
| Save Friends | Diese Sicherungsoption erstellt einen Erhebungsauftrag, bei dem die Freunde des Zielprofils gesichert werden. Je nach Save Friends / Save Followers werden entweder Freunde und Follower, oder nur eines der beiden gesichert. Bitte stellen Sie sicher, dass für Ihre Zwecke eine Erhebung der Freunde notwendig ist, bevor Sie diese Option auswählen, um den Datenschutz zu gewährleisten. |
| Save Friends | Bei Auswahl dieser Option werden alle sichtbaren Freunde des Zielprofils gesichert. |
| Save Followers | Bei Auswahl dieser Option werden die Follower des Zielprofils gesichert. |
| Save Timeline | Die Sicherung einer Timeline hat zur Folge, dass alle vom Nutzer veröffentlichten Inhalte auf der Timeline gesichert werden. Dies inkludiert alle damit verbundenen Nutzer (z.B. Autoren von geteilten Inhalten und je nach Optionen auch reagierende und kommentierende Nutzer) |
| Date Range | Sie können die Erhebung von Daten auf einen bestimmten Zeitraum eingrenzen. Insbesondere bei der Sicherung von sehr großen und aktiven Profilen, Seiten oder Gruppen ist dies notwendig, um Sperrungen der Erhebungsprofile zu vermeiden. Wir empfehlen jeweils einen Tag vor dem gewünschten ersten Posting zu wählen und einen Tag nach dem gewünschten letzten Posting. Abhängig Uhrzeit und Zeitzonen im Netzwerk kann es hier in seltenen Fällen zu nicht gesicherten Postings führen, da Zeit-Informationen je nach Netzwerk unterschiedlich übermittelt werden. |
| Override Security Limit | Innerhalb mancher Netzwerke haben wir ein maximales Standarderhebungslimit eingefügt, um Sperrungen von Erhebungsprofilen zu vermeiden. Je nach Netzwerk ist dieser Wert unterschiedlich. Sollten Sie sehr weit zurückliegende Postings mittels einer Zeitraumseingrenzung sichern wollen oder generell einfach sehr viele Postings sichern, dann können Sie dieses Sicherheitslimit auf Ihr eigenes Risiko überschreiben. Wir empfehlen dies jedoch nicht. Denken Sie ggf. darüber nach stattdessen Single-Posting Sicherung(en) durchzuführen. |
| Save Comments | Kommentare und deren Autoren werden nur erhoben, wenn Sie diese Option aktivieren. Ansonsten wird nur die Anzahl an Kommentaren erhoben. |
| Save Reactions | Diese Option ist essenziell, um Reaktionen und die damit verbundenen Nutzer zu erheben. Diese Option ist hilfreich, wenn die Freundesliste nicht öffentlich ist, Sie jedoch möglicherweise verbundene / potentiell befreundete Nutzer des Zielprofils ermitteln möchten. |
| Save Stories | In manchen Netzwerken können Nutzer sog. "Stories" veröffentlichen. Diese sind zumeist nur 24h sichtbar und verschwinden danach automatisch. Mit der Option "Save Stories" werden diese Inhalte ebenfalls gesichert. Bereits vergangene Stories können wir jedoch nicht sichern, außer sie sind (auf Instagram bspw.) als Highlights dauerhaft sichtbar. |
| Download Videos | Die Postings zu Videos werden auch ohne die Aktivierung dieser Option gesichert. In Maltego Evidence sehen Sie dann jedoch nur die Vorschau dieser Videos. Möchten Sie die tatsächlichen Video-Inhalte herunterladen und auch später noch ansehen können, müssen Sie diese Option aktivieren. Wichtig ist jedoch zu erwähnen, dass dies je nach Video-Länge und Qualität die Dauer der Erhebung(en) deutlich verlängern wird. |
| Save Media | Teilweise werden nicht alle Medien über die Sicherung der Timeline mit gesichert. Beispielsweise auf Facebook muss nicht jedes Medienelement auch zwangsläufig vorher geteilt worden sein. Mit der Sicherung von Medien sichern Sie auch die nicht geteilten Medienelemente inkl. der Albenstruktur der Zielprofile. |
| Save Reactions | Je nach Netzwerk, können auch Medienelemente Reaktionen haben. Damit diese gesichert werden, ist es notwendig diese Option zu aktivieren. |
| Save Comments | Je nach Netzwerk, können Medienelemente auch Kommentare aufweisen. Damit diese gesichert werden, ist es notwendig diese Option zu aktivieren. |
| Save Friends of Friends | Mit Aktivierung dieser Option erheben Sie die Freunde des Zielprofils, sowie alle sichtbaren Freunde dieser Freunde. Bitte beachten Sie, dass diese Sicherung in den allermeisten Fällen mehrere Stunden dauert und nicht selten mehr als 50.000 oder 100.000 Profile erhebt. Nutzen Sie diese Sicherung nur, wenn es für Ihre Ermittlungen absolut notwendig ist und klären Sie die Notwendigkeit dieser Sicherung ggf. vorher mit Ihrem Vorgesetzten oder Datenschutzbeauftragten ab. |
| Distribute to multiple runners | Diese Option wird in den folgenden Releases erscheinen und erlaubt Ihnen den Workload der vielen Erhebungen auf alle Runner zu verteilen. Sollten Sie mehrere Runner haben, kann dies die Erhebung um einen Faktor 3 beschleunigen. Wichtig ist jedoch zu erwähnen, dass Sie dann jedoch parallel keine Erhebung weiter ausführen können, bis der Sicherungsauftrag abgeschlossen oder abgebrochen wurde. |
| Save Single Posting | Sie können als Ziel-URL auch ein einzelnes Posting angeben. Je nach Netzwerk ist die Abfrage der URL eines einzelnen Postings unterschiedlich. Sollten Sie eine Posting-URL angegebenen haben, müssen Sie alle weiteren Optionen abwählen und stattdessen diese Option selektieren. Der SNH erkennt nicht automatisch, dass es sich um eine Posting-URL handelt! |
| Save Comments | Sichert die Kommentare des Postings, inkl. deren Autoren. |
| Save Reactions | Sichert die Reaktionen des Postings, inkl. der reagierenden Nutzer. |
| Download Videos | Sofern das Posting ein oder mehrere Video(s) enthält, werden diese nur heruntergeladen, wenn diese Option aktiviert ist. |
1.1.5 Absenden des Erhebungsauftrags
Klicken Sie auf den Button „Send tasks to runner“, um die Sicherung zu starten. Die Seite wird sich nun aktualisieren und nach ein paar Sekunden werden Sie oben rechts in der Menüleiste die aktuell ausgeführten Erhebungsaufträge sehen.
Mit einem Klick auf die Tasks können sie den aktuellen Status einsehen.
1.2 Verwendung der Browser Extension
Sofern Sie die Maltego Evidence Browser Extension installiert haben, sollte Ihnen bereits auf dem identifizierten Zielprofil eine Sidebar auf der rechten Seite angezeigt werden.
Im eingeklappten Zustand sehen Sie eine kleine Vorschau des identifizierten Profils. Klicken Sie auf diese Vorschau-Box, um die Sicherungsoptionen anzeigen zu lassen. In der daraufhin expandierten Sidebar sehen Sie die möglichen Sicherungsoptionen. Für einen ersten "Quick-Start" empfehlen wir, die Standardwerte zunächst beizubehalten, sofern Ihr Profil nicht extreme Mengen an Daten beinhaltet. Die Sicherung der Facebook-Seite einer Zeitung könnte beispielsweise als Start ungünstig sein, aufgrund der enorm hohen Anzahl an zu sichernden Postings.
Mit dem Klick auf "Send to Maltego Evidence" senden Sie den Sicherungsauftrag an Maltego Evidence. Wichtig: Erlauben Sie dem Browser den Zugriff auf Maltego Evidence!
Daraufhin öffnet sich die Maltego Evidence Desktop Applikation und bietet Ihnen noch ein paar weitere Sicherungsoptionen an. Sie werden gebeten ein Projekt auszuwählen. Hier sollte ihr soeben erstelltes Projekt standardmäßig ausgewählt sein. Weiterhin werden Sie gebeten ein Erhebungsprofil auszuwählen. Dazu mehr im Schritt 1.1.2.
Details und Screenshots zu diesem Prozess sehen Sie im Unterpunkt Browser Extension.
1.3 Verwendung einer CSV-Datei mit Zielspezifikationen
Sie können Ihre Ziel-URLs ebenfalls in einer CSV-Datei spezifizieren und diese in Maltego Evidence importieren. Erstellen Sie dafür eine CSV-Datei mit dem folgenden Format
| https://facebook.com/url-1 |
| https://instagram.com/url-2 |
| https://twitter.com/url-3 |
| ... |
Klicken Sie in Maltego Evidence auf der Seite zum Anlegen von Erhebungsaufträgen auf den CSV-Button und wählen Sie die .csv-Datei aus.
Die URL-Eingabefelder werden daraufhin mit den Daten aus der CSV befüllt, das Netzwerk wird automatisch erkannt. Die Ziele und Erhebungsprofile müssen Sie auf der rechten Seite für Ihre Ziele noch spezifizieren.
Tipp! Ab einer gewissen Anzahl an Ziel-URLs ist es sehr aufwändig, überall das Erhebungsprofil und die zu erhebenden Daten auszuwählen. Es reicht, wenn Sie dies für ein einzelnes Ziel-Profil spezifizieren und dann oben rechts auf "Auf alle Ziele anwenden" klicken. Dies überträgt die Konfiguration auf alle Ziele des selben Netzwerks. Haben Sie also 150 URLs aus 3 Netzwerken importiert, brauchen Sie nur 3 Mal die Zieldaten und die Erhebungsprofile spezifizieren.