Het gereedschap van de cyberspeurders
Cyberspeurders van alle politiekorpsen kwam kennis opsnuiven over nieuw gereedschap voor forensisch internetonderzoek tijdens een congres in Heerlen. Over USB-gevaren, de stille opmars van steganografie en het aftappen van 'web 2.0' verkeer.
Gereedschap voor de digitale opsporing, daar draaide het om tijdens de European Network Forensic and Security Conference 2007 van 24 tot 26 oktober 2007 op de Hogeschool Zuyd in het Limburgse Heerlen. De deelnemerslijst toonde een gezelschap van voornamelijk leden van politiekorpsen, opsporingsdiensten en andere overheden. De versnipperde bestrijding van cybercrime kon niet beter zichtbaar zijn: specialisten bij elk regionaal korps, een High Tech Crime Unit in Den Haag, een speciale afdeling bij het KLPD, en nog Justitie-afdelingen als het Platform Interceptie, Decryptie en Signaalanalyse.
Vertegenwoordigers van deze partijen en hun IT-leveranciers togen naar Heerlen om over forensisch IT-onderzoek te praten. Ook belangrijke zijwegen, zoals steganografie, sloegen ze in. Steganografie is het verstoppen van geheime bestanden in beelden, vaak onschuldig ogend. Steganografie werkt technisch zo: de bits die de kleuren bepalen in een foto worden vervangen door andere bits maar precies zo dat voor het blote oog geen verschil is te zien. De bestandsgrootte blijft hetzelfde, alleen de inhoud bevat een verborgen bestand dat je met het juiste programma en wachtwoord uit de foto kunt trekken.
Deze techniek wordt al meer dan 15 jaar toegepast en lijkt dus niet zo nieuw. Maar Chet Hosmer van het bedrijf WetStone Technologies kwam zijn gehoor uit die droom helpen. Volgens Hosmer zien rechercheurs het gebruik hiervan vaak over het hoofd: "Onschuldige vakantiefoto's wekken geen argwaan. Dat is de kracht van steganografie ten opzichte van bijvoorbeeld encryptie. Als je een versleuteld bestand ziet, wekt dat meteen een verdenking."
Steganografie lekker onopvallend
Onder de radar groeit en bloeit een gemeenschap die zelf steganografie-programma's maakt. Hosmer houdt de aantallen verschillende programma's bij. In 2001 waren dat er nog maar zo'n zeventig, nu zijn dat er volgens Hosmers' onderzoek al 505.
Maar hoe vaak worden die techniek gebruikt? Desgevraagd zegt Hosmer: "We krijgen van vier downloadsites statistieken door. Bij hen worden zes verschillende steganografieprogramma's 45.000keer per maand gedownload. Maar dit zijn slechts vier sites en slechts zes van de 505 programma's. Dus in werkelijkheid komen we gemakkelijk op meer dan een miljoen downloads van steganografie-programma's per jaar." Bovendien kun je steganografie online gebruiken, als webdienst.
Werknemers lekken er hun bedrijfsgeheimen mee, beweert Hosmer, ook al vanwege hun onopvallend karakter. "Toen ik medio jaren negentig over steganografie vertelde tijdens de hackerscongressen als Black Hat zaten er voornamelijk mensen van opsporingsdiensten in de zaal. Tegenwoordig zijn vooral mensen van grote bedrijven in de meerderheid."
In Amerika kent hij ook een voorbeeld van een farmaceutisch bedrijf waarbij een medewerker belastend materiaal naar de buitenwereld lekte via steganografie. "Een van onze belangrijkste klanten is gameproducent Electronic Arts. Hun grootste bedrijfsrisico is het wglekken van een broncode van een spel."
Hosmer en zijn bedrijven handelen, uiteraard in spullen om steganografie te herkennen en bestrijden. Ze berekenen de kans dat er met een foto is gerommeld en welk steganografie-programma daarvoor mogelijk is gebruikt. Programma's dragen namen als Gargoyle, StegoBreak en Stegowatch. "Het lastige is dat het voor elk programma weer anders is. De 505 verschillende steganografie-tools hebben allemaal hun eigen algoritmes."
Weet een speurder welke 'steg-tool' er is gebruikt, dan is de gebruiker binnen een bedrijfsnet snel getraceerd. Maar het grootste probleem blijft: het kraken van het wachtwoord. Dit moet via een zogeheten brute force-aanval (de computer gokt razendsnel miljoenen combinaties) worden gekraakt. Complexe wachtwoorden vind je niet snel genoeg.
Ook in mp3'tjes
Steganografie wordt interessanter nu het uitwisselen van grote bestanden zo makkelijk is geworden, zegt Hosmer. Hem zijn gevallen bekend waarbij vele honderden geheime documenten zijn verstopt in mp3-bestanden of zelfs gebrande dvd's. Want steganografie werkt niet alleen met foto's, maar ook met video en audio. Aan de bestanden is niet te horen dat ermee is gerommeld. Hosmer: "In een mp3tje van zes minuten kan je het volledige werk van Shakespeare verstoppen. Of 550 plaatjes van
kinderen." Bij een dvd van 4,7 gb of zelfs een Blue-ray schrijf van 250 gigabyte zijn de mogelijkheden natuurlijk nog groter.
Ook internetbellen (voip) biedt steganografie nieuwe mogelijkheden voor het verstoppen van data. Een gewone aftap van zo'n gesprek of van het internetverkeer voldoet dan vaak niet meer. "Het gesprek klinkt gewoon zoals het hoort te zijn maar intussen wordt er een bestand uitgewisseld tussen de bellers." Kortom: weer een waarschuwing voor de opsporingsdiensten.
Het bekendste voorbeeld van het gebruik van steganografie in Nederland was de roemruchte zaak van de Campina-afperser of toetjesterrorist. Hij gebruikte steganografie voor het verstoppen van de digitale gegevens benodigd voor het maken van een bankpas. Met die pas pinde hij geld van de rekening van het afgeperste zuivelbedrijf. De gegevens zaten verstopt in een foto van een auto die Campina moest uploaden op een afgesproken tijdstip naar de site van de Autotelegraaf. Daar downloadde hij het plaatje via een internetadres dat anoniem zou zijn gemaakt door een zogeheten anonymizer. Het bedrijf achter deze anonieme surfdienst kon een eis voor bekendmaking van de klantgegeven niet weerstaan.
Vervolg in deel 2
|
