Het gereedschap van de cyberspeurders (deel 3)
Vervolg van deel 2
NFI met open source
Niet alleen bedrijven presenteerden hun gereedschappen, ook overheidsinstanties. Zo spraken programmeurs Rikkert Zoun en Robert Moro van het Nederlands Forensisch Instituut, dat belangrijke bijdragen aan rechtszaken levert, over een aantal eigen opensource-programma's voor digitale bewijsvoering. Ze zijn beschikbaar op Sourceforge.
Het gaat om de programma's Defraser, om delen van videobestanden te kunnen bekijken, TULP2G, om informatie over telefoongesprekken uit de toestellen te halen en Timeline, dat alles op een chronologische volgorde zet.
Defraser kan bijvoorbeeld nuttig zijn bij het onderzoeken van het geheugen van mobiele telefoons of geheugenkaartjes. Zelfs van verwijderde filmpjes valt er nog wat filmmateriaal te redden al zijn de kleuren soms wel vervormd. Dat kan doordat de bestanden toch in het geheugen blijven als ze niet genoeg keren zijn overschreven. Hoewel de bestanden dan beschadigd zijn, biedt Defraser een makkelijke oplossing om de filmpjes, van een breed scala aan formaten, te kunnen bekijken. Zo komt verwijderd beeldmateriaal toch weer boven water.
De NFI-onderzoekers waren zwijgzaam over praktische voorbeelden van gebruik. Maar ze toonden zich na de demonstratie van Defraser wel kritisch over de manier waarop veel bedrijven omgaan met cameratoezicht. De kwaliteit van de beelden van cameratoezicht is vaak belabberd, vonden ze, met bijval uit de zaal. De wazige beelden van Opsporing Verzocht kent iedereen wel. Rikkert Zoun van NFI: "Cameratoezicht heeft vaak hele slechte kwaliteit beelden. Daar kan zelfs Defraser niks meer mee. Bedrijven hebben de camera's vaak alleen maar hangen vanwege de verzekering. Het lijkt erop dat ze niet zo geïnteresseerd zijn in of er op de tapes ook bruikbare opnames staan".
Reconstructie netwerkverkeer
Rechercheurs willen sneller inzicht krijgen in alle afgetapte internetgegevens, zonder dat ze bergen aan data over pakketjes en ip-adressen moeten doorspitten. Dat is nu vaak de reden om af te zien van een internettap: het is erg arbeidsintensief.
Ook hierbij komt Fox IT om de hoek kijken met de tool FoxReplay Analyst voor snellere verkeersanalyse. Het verkeer wordt omgezet tot een visuele weergave en geeft een reconstructie van wat de gebruiker tijdens de internettap heeft gedaan. Voordeel is volgens Gertjan Schoenmaker van Fox IT dat meer onderzoekers dan alleen gevorderde netwerkspecialisten het getapte verkeer kunnen bekijken. De agenten in de zaal zagen het wel zitten.
Nederland heeft een eigen aftapprotocol, het zogeheten TIIT, dat wordt gebruikt voor het transport van afgetapt netwerkverkeer naar de interceptie-eenheden van opsporingsdiensten. Fox Replay neemt TIIT-gegevens als input en zet die weer om naar internetsessies die lijken op 'zoals de persoon het zelf zag'. Het bedrijf zegt 'niet bang te zijn voor het Web 2.0-tijdperk' en ondersteunt in de software ook voip (SIP) en chat, zoals Jabber en MSN. Schoenmaker toonde voorbeelden van Gmail en YouTube, waarbij de Replay Analyst toont wat de getapte internetter zag.
Voor de automatische opslag wordt nog aandacht besteed aan het niet missen van sessies of ip-pakketjes en het maken van non-stop operaties, zelfs tijdens rebooten en vervangen van schijven en backups, vertelde hij. Voip vormt al tijden een nieuwe uitdaging voor de aftappers evenals maildiensten als Gmail, Windows Live, Yahoo Mail.
Wel zijn er snellere updates nodig om de inhoud van gesprekken die via Ajax-applicaties op sites worden gedaan te ontcijferen, aldus Schoenmaker. "Web 2.0- en Ajax-sites zijn lastiger te ontcijferen omdat ze niet langer als volledige pagina's laden, maar alleen nog maar de losse elementen. Javascript en xml-codes rollen over het scherm. Als er niks mee wordt gedaan is het bijna even ondoorgrondelijk als geëncrypteerde code." Ook het aftappen van p2p-gebruikers met Bittorent - downloaden en uploaden tegelijk - vergt wat moeite om zichtbaar te maken.
Tot nu toe wordt ip-verkeer volgens Schoenmaker nog maar weinig gebruikt in de rechtbank. "Toch is er een sterke wens om de internetdata onderdeel te laten zijn van het bewijsmateriaal."
Ook telecomgigant AT&T biedt trouwens opensource tools aan die voor opsporingsdoeleinden door de FBI worden gebruikt, zo werd vorige week bekend. AT&T maakte eind jaren negentig de taal Hancock om gigabytes aan dataverkeer te doorzoeken en om connecties tussen personen in kaart te brengen. Oorspronkelijk was Hancock vooral bedoeld voor het visualiseren en doorgronden van grote hoeveelheden belgegevens teneinde fraudeurs te traceren.
Maar de FBI heeft de telecomaanbieders die Hancock gebruikten ook gevraagd informatie eruit over te dragen. Volgens de berichten zou Hancock veel sneller zijn in het koppelen van gegevens en het verwerken dan de meeste datamining software. Het gaat om telefoongesprekken, ip-adressen, internetverkeer en de locatiegegevens van mobiele telefoons. Dat alles kan Hancok direct, 'in real time', monitoren. De broncode voor Hancock is gratis te downloaden voor 'niet-commercieel gebruik'.
Bankbeveiliger als Big Brother
Ook banken monitoren grote hoeveelheden gebruiksdata die voor opsporing interessant zijn. Dat vertelde de Zweed Robert Ståhlbrand van het beveiligingsbedrijf Secode, dat voor enkele grote Zweedse banken de beveiliging van internetbankiersites regelt vanuit een zwaar beveiligd militair complex.
Secode heeft net als concurrenten uitgebreide automatische detectiesystemen. Die zijn volgens
Ståhlbrand nog niet goed genoeg. "Ook ons eigen systeem kan nog beter, dan geef ik toe." Maar sinds kort werkt Secode ook met het detecteren van verdachte transacties door alle log-gegevens van de internetbankiersites te checken op allerlei criteria.
Mag Secode dat 'als derde partij' zomaar zien? Is het dan een Big Brother geworden? Een relevante vraag na de ophef die ontstond over het Swift-instituut in Brussel dat Amerika inzicht gaf in het Europese betalingsverkeer.
Ståhlbrand: "Absoluut, wij zijn dan 'Big Brother'. Maar dit doen we in opdracht van de banken. En zij zijn juist verplicht die logbestanden bij te houden om achteraf fraude te kunnen constateren. Dat we een derde partij zijn maakt niet uit. Wij zijn veilig. Bovendien: als er door ons toe doen informatie zou lekken, kunnen we direct sluiten."
Kortom, het gereedschap mag er zijn, uiteindelijk komt het toch neer op de mensen die hetgebruiken. En wie hen controleert, en hoe, daarover werd echter in de semi-openbaarheid van dit congres niet gerept.
[Tonie van Ringelestijn, 31 oktober 2007]
|
