Logo_corma
Mit einem Experten sprechen
United Kingdom
Logo_corma
Search
Close this search box.
Mit einem Experten sprechen
Search
Close this search box.
United Kingdom

CaseFile – Visualisierung von Informationen – Ermittlungen – Recherchen

  • 6 Minuten Lesezeit
Inhalt
Inhalt

#LookDeeper: CaseFile – Zusammenhänge der Investigation grafisch veranschaulichen

corma- ein laptop mit der aufschrift „maltego casefile“ auf dem gehäuse.

Dies ist der erste Beitrag Teil einer Blogpost-Serie. In den nächsten Wochen und Monaten poste ich die Beiträge unter dem Hashtag #LookDeeper zum Thema „Tools und Ressourcen für Internet Ermittlungen und OSINT Recherchen“.

In diesem Beitrag geht es um eine Software, die ich häufig bei Ermittlungen einsetze – Maltego CaseFile.

 

Eine Visualisierung der wesentlichen Informationen eines Ermittlungsfalles ist in jedem unserer Berichte enthalten. Neben der Übersicht werden z. B. Personenprofile oder das Netzwerk einer Firma grafisch dargestellt.

Lange Reports werden selten vollständig gelesen, darum gehört ein Chart in die Zusammenfassung am Anfang des Berichtes.

Eine Grafik erzählt dann die Geschichte des Falles ohne aufwändige Erklärungen. Mit welchem Tool kann ich solche aussagekräftigen Darstellungen anfertigen? In diesem Post stelle ich als eine mögliche Lösung das kostenlose Tool CaseFile von Paterva vor. Quasi der jüngere Bruder von Maltego :-)

Inhalt

Beschreibung des Tools

CaseFile funktioniert ähnlich wie die Software Maltego, nur eben ohne Transformationen. Siehe diese Übersicht:

corma- eine akte, die die verschiedenen arten von software zeigt.

Die Software ist für drei Betriebssysteme verfügbar. Windows, MAC, Linux.

Die Installation ist einfach und erfordert keine besonderen Kenntnisse. Das Programm benötigt Java.

corma- ein screenshot des falldatei-auswahlbildschirms.

CaseFile ist leider nicht gleichzeitig mit Maltego installierbar, kann aber über eine virtuelle Maschine als Workaround parallel genutzt werden. 

Worum geht es bei CaseFile?

Mit CaseFile lassen sich in einem Graph (Chart) die Zusammenhänge zwischen Entitäten und weiteren Informationen übersichtlich und schnell darstellen.

maltego training

Mit welchen Funktionen kann ich die Charts bearbeiten?

Ich kann beispielsweise Anhänge einfügen, in dem ich diese per „Drag and Drop“ auf den Graphen bzw. die ausgesuchte Entität kopiere. Attachments können zum Beispiel Fotos, Dokumente oder PDF Dateien sein.

Diese eingefügten Anhänge sind dann im Graphen verfügbar.

Verlinkungen von Entitäten sind einfach durchzuführen. So lassen sich gerichtete Beziehungen darstellen oder Icons visuell verbinden. Links können in unterschiedlichen Farben, Stärken und Stilen dargestellt werden. Die Beschriftung lässt sich frei eintragen.

Ein weiteres Feature ist der Import von strukturierten Daten als CSV/XLS Datei.

Der intelligente Importassistent führt den User schrittweise durch den Prozess. Eine umfangreiche Beschreibung ist ebenfalls vorhanden.

Weiterhin ist es möglich Informationen aus dem Browser per „Drag and Drop“ oder „Copy & Paste“ in den Graphen einfügen. Das funktioniert auch mit anderen Quellen, über den Cache bzw. die Zwischenablage.

So wird zum Beispiel ein eingefügter Name sicher erkannt und im Chart als Person dargestellt. Das funktioniert ebenso mit Mailadressen, Domains, URL’s, Telefonnummern und anderen Entitäten.

Auch kann ich fertige Graphen kombinieren. Hierbei werde ich bei identischen Entitäten gefragt, ob ich diese verschmelzen möchte, und bekomme so ein Hinweis auf mögliche unbekannte Verbindungen.

Es lassen sich zwei Abschnitte einer Ermittlung in unterschiedlichen Graphen darstellen und diese dann miteinander kombinieren. Dann habe ich auch sofort die mir bisher nicht bekannt Zusammenhänge visualisiert. (Mergen / Verschmelzen der in beiden Charts vorhandenen Entitäten)

Es gibt eine Reihe von Entitäten, die so nicht in der Standardversion von Paterva’s Maltego vorhanden sind. Die Entitäten insgesamt sind in die nebenstehenden Kategorien unterteilt.

corma- ein falldateimenü, das auf einem computerbildschirm angezeigt wird.

Weitere Features von Casefile

Zusätzlich kann ich Icons aus anderen Quellen herunterladen oder selber erstellen.

https://github.com/deadbits/Analyst-CaseFile

http://cmlh.pbworks.com/w/page/59648366/Entities

Gruppen von Entitäten lassen sich mit farbigen Bookmarks markieren und dann später mit einem einzigen Klick sofort selektieren

casefile – visualisierung von informationen – ermittlungen – recherchen corma gmbh

CaseFile lässt sich sehr gut als kostenloser Viewer für alle kommerziellen Maltego-Dateien verwenden! Der Empfänger eines Maltego-Graphen kann dann interaktiv mit den Daten arbeiten. Das ist deutlicher besser, als eine PDF Datei zu versenden.

Das Tool im Einsatz

Ein Beispiel für die Nutzung: CaseFile ist während der Recherche im Web geöffnet. Ich ziehe relevante Informationen via „Drag and Drop“ auf den Graphen. Dazu erstelle ich passende Links zwischen den Entitäten und füge Dokumente hinzu. So habe ich jederzeit eine Übersicht und den aktuellen Stand meiner Recherche. Diese gut und schnell lesbare visuelle Zusammenfassung kann ich als PDF an den Kunden senden. Sofern auf dem Rechner des Mandanten CaseFile installiert ist, kann natürlich auch die Originaldatei geteilt werden.

Dank der verschiedenen Views und Layouts bietet sich CaseFile auch für eine visuelle Analyse von strukturierten Daten an.

Pro und Contra

Die Software ist kostenlos, auch für die kommerzielle Nutzung. Die Idee dahinter ist die Offline-Analyse von strukturierten Daten. So lassen sich Zusammenhänge schnell und einfach darstellen. Das Tool ist für genau diese Idee die perfekte Lösung.

Es gibt im Bereich der Darstellung noch einige Ideen für die Optimierung. So zum Beispiel die Möglichkeit eine Legende einzufügen, die die verwendeten Entitäten und Links erklärt. In der Informationstafel könnten Hinweise zum Ersteller, Datum und Fallinformationen untergebracht werden.

Mir fehlen ein paar grafische Möglichkeiten, beispielsweise um einen Rahmen um eine Gruppe von Entitäten zu ziehen und zu beschriften. Auch würde ich gerne ausgewählte Icons deutlicher markieren, z. B. mit einem farbigen Kreis wie bei IBM i2 Analyst’s Notebook (ANB).

Unterschiede CaseFile zu IBM i2 Analyst’s Notebook (ANB)

Einer der wesentlichsten Unterschiede zwischen den Softwarelösungen ist der Preis. Kostenlos vs. ab 8.500 EUR ist schon ein Argument. Aber das hat einen Grund. ANB verfügt über einen enormen Funktionsumfang. Ich nutze ANB seit vielen Jahren, wobei wir es aber fast immer in Verbindung mit der IBM i2 iBase Datenbank bei unseren Ermittlungen anwenden. Bei den großen Datenmengen in den corma Intelligence Lösungen spielt das Tool dann seine Stärken aus.

Nutze ich es aber nur zur Erstellung eines Charts, dann sehe ich folgende Vorteile von Analyst’s Notebook im Vergleich zu CaseFile:

Verschiedene Analyseansichten
  • Beispielsweise Zeitstrahl und statistische Darstellung
  • Themenlinien
Erweiterte Analysefunktionen, wie z.B.
  • Social Network Analysis (SNA)
  • Histogramme
  • Aktivitätsansicht
Zahlreiche grafische Erweiterungen, wie
  • Textblöcke
  • Verschiedene Darstellungen der Entitäten, z.B. als Ereignisrahmen oder Icon
  • Abknickungen für Links (hilfreich um übersichtliche Chart zu erstellen)
Veröffentlichungen sind einfach zu erstellen
  • z.B. als PDF in unterschiedlichen Größen
  • Legenden lassen sich schnell einfügen
  • Ein Chartreader steht kostenlos zur Verfügung

Die verschiedenen Layouts von Analyst’s Notebook sind zwar recht nett, aber in der Praxis ziemlich unbrauchbar. So wird der Chart fast immer so groß oder so klein, dass Inhalte kaum zu lesen sind. Hier ist manuelle Nacharbeit angesagt und der zeitliche Aufwand ist nicht zu unterschätzen.

ANB kann mit “Copy & Paste” von Informationen in den Chart nichts anfangen. Aus einer E-Mail in der Zwischenablage erkennt Analyst’s Notebook keine Mail-Entität.

Aus meiner Sicht lohnt sich das Investment in Analyst’s Notebook nicht, wenn ich nur einfache Charts für Recherchen und Fälle erstellen will.

Fazit:

CaseFile gehört in die Toolbox von jedem Ermittler und Analysten.

Wie können wir Ihnen helfen?

Sie wollen Ihren Fall durch professionelle Ermittlungen klären lassen? Kontaktieren Sie uns und wir finden für Sie eine passgenaue Lösung

– unentgeltlicher Kostenvoranschlag natürlich inklusive!

logo corma
E-mail senden
Rufen Sie uns an: 0800-3490080
logo corma
Diese Themen könnten Sie auch interessieren:
Für Sie zusammengestellt: Die populärsten Beiträge aus unserem Blog:
Linkedin-in Twitter Instagram Youtube
+49 2163 349 00 80
mail@corma.de
Hammer Str. 19
40219 Düsseldorf
Copyright © 2023 corma GmbH

Gender-Hinweis:
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Seminare & Videokurse – jetzt zum Maltego-Profi weiterbilden

Sie möchten die vielfältigen Möglichkeiten von Maltego kennen lernen und erfahren, wie Sie effizient und erfolgreich im Internet recherchieren, Daten zusammentragen und visualisieren können? Dann trifft es sich gut, dass Sie bei corma gelandet sind – denn neben unseren Präsenzschulungen und Live-Webinaren bieten wir Ihnen jetzt auch praktische Maltego-Videokurse an.

Hier geht’s zum Online-Workshop
Sprechen Sie mit einem Experten!

Alle Informationen, die Sie uns vorab mitteilen, helfen uns bei der Beantwortung Ihrer Anfrage. Sie können auch gleich ein Online-Meeting einrichten.

Wir stehen Ihnen gerne für ein Online-Meeting zur Verfügung. Bitte buchen Sie dafür einen für Sie passenden Termin in unserem Kalender.
Online-Meeting vereinbaren