Het gereedschap van de cyberspeurders

Vertegenwoordigers van deze partijen en hun IT-leveranciers togen naar Heerlen om over forensisch IT-onderzoek te praten. Ook belangrijke zijwegen, zoals steganografie, sloegen ze in. Steganografie is het verstoppen van geheime bestanden in beelden, vaak onschuldig ogend. Steganografie werkt technisch zo: de bits die de kleuren bepalen in een foto worden vervangen door andere bits maar precies zo dat voor het blote oog geen verschil is te zien. De bestandsgrootte blijft hetzelfde, alleen de inhoud bevat een verborgen bestand dat je met het juiste programma en wachtwoord uit de foto kunt trekken.

 

Deze techniek wordt al meer dan 15 jaar toegepast en lijkt dus niet zo nieuw. Maar Chet Hosmer van het bedrijf WetStone Technologies kwam zijn gehoor uit die droom helpen. Volgens Hosmer zien rechercheurs het gebruik hiervan vaak over het hoofd: Onschuldige vakantiefoto's wekken geen argwaan. Dat is de kracht van steganografie ten opzichte van bijvoorbeeld encryptie. Als je een versleuteld bestand ziet, wekt dat meteen een verdenking.

 

 

Onder de radar groeit en bloeit een gemeenschap die zelf steganografie-programma's maakt. Hosmer houdt de aantallen verschillende programma's bij. In 2001 waren dat er nog maar zo'n zeventig, nu zijn dat er volgens Hosmers' onderzoek al 505. Maar hoe vaak worden die techniek gebruikt? Desgevraagd zegt Hosmer: We krijgen van vier downloadsites statistieken door. Bij hen worden zes verschillende steganografieprogramma's 45.000keer per maand gedownload. Maar dit zijn slechts vier sites en slechts zes van de 505 programma's. Dus in werkelijkheid komen we gemakkelijk op meer dan een miljoen downloads van steganografie-programma's per jaar. Bovendien kun je steganografie online gebruiken, als webdienst.

 

Werknemers lekken er hun bedrijfsgeheimen mee, beweert Hosmer, ook al vanwege hun onopvallend karakter. Toen ik medio jaren negentig over steganografie vertelde tijdens de hackerscongressen als Black Hat zaten er voornamelijk mensen van opsporingsdiensten in de zaal. Tegenwoordig zijn vooral mensen van grote bedrijven in de meerderheid.

 

In Amerika kent hij ook een voorbeeld van een farmaceutisch bedrijf waarbij een medewerker belastend materiaal naar de buitenwereld lekte via steganografie. Een van onze belangrijkste klanten is gameproducent Electronic Arts. Hun grootste bedrijfsrisico is het wglekken van een broncode van een spel.

 

Hosmer en zijn bedrijven handelen, uiteraard in spullen om steganografie te herkennen en bestrijden. Ze berekenen de kans dat er met een foto is gerommeld en welk steganografie-programma daarvoor mogelijk is gebruikt. Programma's dragen namen als Gargoyle, StegoBreak en Stegowatch. Het lastige is dat het voor elk programma weer anders is. De 505 verschillende steganografie-tools hebben allemaal hun eigen algoritmes.

Weet een speurder welke 'steg-tool' er is gebruikt, dan is de gebruiker binnen een bedrijfsnet snel getraceerd. Maar het grootste probleem blijft: het kraken van het wachtwoord. Dit moet via een zogeheten brute force-aanval (de computer gokt razendsnel miljoenen combinaties) worden gekraakt. Complexe wachtwoorden vind je niet snel genoeg.

 

 

Steganografie wordt interessanter nu het uitwisselen van grote bestanden zo makkelijk is geworden, zegt Hosmer. Hem zijn gevallen bekend waarbij vele honderden geheime documenten zijn verstopt in mp3-bestanden of zelfs gebrande dvd's. Want steganografie werkt niet alleen met foto's, maar ook met video en audio. Aan de bestanden is niet te horen dat ermee is gerommeld. Hosmer: In een mp3tje van zes minuten kan je het volledige werk van Shakespeare verstoppen. Of 550 plaatjes van kinderen. Bij een dvd van 4,7 gb of zelfs een Blue-ray schrijf van 250 gigabyte zijn de mogelijkheden natuurlijk nog groter.

 

Ook internetbellen (voip) biedt steganografie nieuwe mogelijkheden voor het verstoppen van data. Een gewone aftap van zo'n gesprek of van het internetverkeer voldoet dan vaak niet meer. Het gesprek klinkt gewoon zoals het hoort te zijn maar intussen wordt er een bestand uitgewisseld tussen de bellers. Kortom: weer een waarschuwing voor de opsporingsdiensten.

 

Het bekendste voorbeeld van het gebruik van steganografie in Nederland was de roemruchte zaak van de Campina-afperser of toetjesterrorist. Hij gebruikte steganografie voor het verstoppen van de digitale gegevens benodigd voor het maken van een bankpas. Met die pas pinde hij geld van de rekening van het afgeperste zuivelbedrijf. De gegevens zaten verstopt in een foto van een auto die Campina moest uploaden op een afgesproken tijdstip naar de site van de Autotelegraaf. Daar downloadde hij het plaatje via een internetadres dat anoniem zou zijn gemaakt door een zogeheten anonymizer. Het bedrijf achter deze anonieme surfdienst kon een eis voor bekendmaking van de klantgegeven niet weerstaan.

Uit een onderzoek uit 2001 door onder andere een Nederlander waarbij één miljoen plaatjes van internet werden geanalyseerd bleek dat steganografie online vrijwel niet voorkomt. Vorige week dook een nieuw rapport over steganografie op, van de Amerikaanse Purdue University. Het aantal steganografietools wordt door de universiteit op 800 geschat, driehonderd meer dan Hosmers schatting.

Gebruikt worden ze ook. We zien een sterk verband tussen criminele activiteiten en de installatie van steganografie-programma's op in beslag genomen computers, aldus professor James Goldman tegen Darkreading.com. De data komen van afgesloten zaken van de Amerikaanse politie.

Goldman, die ook toegang kreeg tot computers van reeds veroordeelde criminelen: Steganografie is een ondergeschoven kindje. Er is vooral anekdotische bewijs, maar ik vermoed dat de inlichtingendiensten wel beter weten. Hij gebruikte speciale 'steganalysis-tools' die werden gedoneerd door het National White Collar Crime Center. Die richten de pijklen vooral op kinderpornohandelaren en identiteitsdieven. Goldman belooftdefinitieve resulaten in 2008 en vraagt nu al vervolgonderzoek.

 

Beveiligingsgoeroe Bruce Schneier vindt steganografie geen voor de hand liggende methode voor insiders om informatie te lekken. Ze kunnen gewoon met een usb-stick informatie meenemen. Alleen werknemers die volledig gefouilleerd worden als ze het gebouw verlaten hebben een noodzaak om dit te gebruiken. Ook betwijfelt hij of het effectief is. Een verzonden plaatje mag dan onschuldig ogen, maar de afzender zelf kan toch verraden dat het om iets anders gaat. Waarom zou je bijvoorbeeld vanuit Birma een plaatje van een giraf naar een mensenrechtenorganisatie mailen? Op termijn moet het mogelijk worden om bestanden met verborgen inhoud automatisch door firewalls te laten herkennen, maar dat is volgens Hosmer nu nog niet zo.

 

 

Op die usb-sticks ging in Heerlen Thijs Bosschert van Fox-IT in. Jij onderzocht het hacken met gebruik van geïnfecteerde usb-sticks. De nieuwe generaties geheugenstaafjes, zoals de U3-stick van het populaire Sandisk, maken het nog gemakkelijker om er een virus op te installeren, aldus Bosschert.

 

Deze sticks maken automatisch een virtuele cd-drive aan als ze in de computer worden gestopt. Het automatisch starten leidt tot ongemerkt installeren van malicieuze bestanden. Ze zijn moeilijk te herkennen voor de argeloze gebruikers omdat bijvoorbeeld de U3 standaard een eigen programmaatje heeft plus een aantal verborgen mappen. Daarnaast maakt de stick via de eigen software ook verbinding met de server van Sandisk. Dat alles maakt het handiger om ongemerkt aanpassingen aan bestanden en instellingen te doen en een backdoor te maken.

 

Fox-IT kan met eigen software, 'D-Pack' overzichten maken van kwaadaardig gebruikte usb-sticks. Ze worden vaak ingezet het aftappen van internetverkeer, het stelen van wachtwoorden, het kapen van veiligheidscertificaten, het bouwen van een botnet of het verwijderen van bestanden. D-Pack verwijdert alle sporen op de computers weer zodra de usb-stick uit de computer wordt getrokken. Daarmee worden flexibele botnets zonder sporen mogelijk.

 

Beangstigend is een scenario wat Bosschert schetst waarbij hackers in organisaties usb-sticks verspreiden door ze achter te laten of op te sturen. Wie een usb-stick vindt, zal hem uit nieuwsgierigheid willen uitproberen. Dat is die computer meteen geïnfecteerd. Een ander voordeel is dat een usb-stick snel werkt. Wie ergens een laptop ziet staan, bijvoorbeeld op een conferentie, kan even snel die usb-stick erin pluggen en klaar.

 

 

Een andere vorm van USB-hacking is het plaatsen van een chipje in apparaten die je met usb aansluit. Bosschert toonde op het congres een muis waarin hij zelf een extra chipje had gemonteerd. Dit maakt opgang. Bosschert: Ze passen ongetwijfeld ook in nieuwe telefoons met een usb-uitgang.

 

Bosschert gaf toe dat hij niet de enige is die met usb-hacking bezig is. Ook de hackersgroep Hak5 weet van wanten met 'U3 hacking', terwijl ook McGrewsecurity zich erop stortte.

 

Voor de opsporing hebben de usb-hacks ook gevolgen denkt Bosschert. Rechercheurs moeten voortaan altijd alle apparaten waar een usb-ingang in zit in beslag nemen. Ook rechercheurs moeten oppassen voordat ze in hun laboratorium een usb-stick in een computer stoppen. Een script kan worden geactiveerd waardoor het bewijsmateriaal niet meer authentiek kan zijn.

 

Dit soort kwetsbaarheden van usb werpen hun schaduw vooruit naar nieuwe toepassingen als de elektronisch identiteitskaart, eNik. In de opzet ervan is voorzien in een apparaatje met kaart, te koppelen aan de computer. De kans is groot dat dat via usb gebeurt.. Met een usb-hack zou een belangrijke reden voor de invoering van de eNik - juist bedoeld als extra veiligheidslaag voor de inlogprocedure van Digid - weer onderuit kunnen worden gehaald.

 

Zover is het nog niet. Ook zegt Bosschert in de praktijk nog geen gevallen te zijn tegengekomen waarbij criminelen usb-hacks gebruikten. Maar dat is slechts een kwestie van tijd. We hebben dit gemaakt als proof of concept. Om te laten zien dat het kan. En we zijn er dus klaar voor als ze criminelen dit gaan gebruiken.

 

Fox-IT besloot deze week een ander onderzoek over usb-sticks te openbaren. In het rapport waarin wordt beschreven hoe bepaalde types 'veilige usb-sticks' die vooral aan bedrijven en overheden worden verkocht, te kraken zijn. Dat zorgde eind vorig jaar al voor wat ophef onder fabrikanten van de gekraakte sticks. Fox-It besloot het rapport geheim te houden zodat organisaties en fabrikanten de tijd kregen voor aanpassingen.

Volgens Thijs Bosschert worden onder meer sticks van BioSlimDisk nog steeds als 'met encryptie' verkocht terwijl dat helemaal niet zo is. De sticks met wachtwoorden of versleuteling zijn ook kwetsbaar. Maar omdat de gebruikers zouden denken dat ze veilig zijn gaan ze er wellicht slordiger mee om, denkt Bosschert. Met de BioSlimdisk 2.0 and BioSlimdisk iCool was het mogelijk om gegevens van de stick te krijgen door het geheugen direct uit te lezen met omzeiling van de beveiliging. De iCool-editie gebruikt vingerafdrukcontrole, maar de opgeslagen vingerafdrukken kan een hacker vervangen door zijn eigen vingerafdruk.

 

De Kobil MIDentity was de veiligste van de acht geteste sticks: zonder de juiste authentificatie-gegevens was het niet mogelijk er data af te krijgen. Maar met ontvreemding kan de software van het apparaat gemakkelijk worden vervangen. Bij de Mxi Mxp Stealth en de Safeboot Phantom is dat moeilijker, maar deze laten weer een brute force-aanval op het wachtwoord toe. Bij de Kingston DataTraveler Elite Privacy is om die reden een moeilijk wachtwoord verplicht.

 

 

Niet alleen bedrijven presenteerden hun gereedschappen, ook overheidsinstanties. Zo spraken programmeurs Rikkert Zoun en Robert Moro van het Nederlands Forensisch Instituut, dat belangrijke bijdragen aan rechtszaken levert, over een aantal eigen opensource-programma's voor digitale bewijsvoering. Ze zijn beschikbaar op Sourceforge. Het gaat om de programma's Defraser, om delen van videobestanden te kunnen bekijken, TULP2G, om informatie over telefoongesprekken uit de toestellen te halen en Timeline, dat alles op een chronologische volgorde zet.

 

Defraser kan bijvoorbeeld nuttig zijn bij het onderzoeken van het geheugen van mobiele telefoons of geheugenkaartjes. Zelfs van verwijderde filmpjes valt er nog wat filmmateriaal te redden al zijn de kleuren soms wel vervormd. Dat kan doordat de bestanden toch in het geheugen blijven als ze niet genoeg keren zijn overschreven. Hoewel de bestanden dan beschadigd zijn, biedt Defraser een makkelijke oplossing om de filmpjes, van een breed scala aan formaten, te kunnen bekijken. Zo komt verwijderd beeldmateriaal toch weer boven water.

 

De NFI-onderzoekers waren zwijgzaam over praktische voorbeelden van gebruik. Maar ze toonden zich na de demonstratie van Defraser wel kritisch over de manier waarop veel bedrijven omgaan met cameratoezicht. De kwaliteit van de beelden van cameratoezicht is vaak belabberd, vonden ze, met bijval uit de zaal. De wazige beelden van Opsporing Verzocht kent iedereen wel. Rikkert Zoun van NFI: Cameratoezicht heeft vaak hele slechte kwaliteit beelden. Daar kan zelfs Defraser niks meer mee. Bedrijven hebben de camera's vaak alleen maar hangen vanwege de verzekering. Het lijkt erop dat ze niet zo geïnteresseerd zijn in of er op de tapes ook bruikbare opnames staan.

 

 

Rechercheurs willen sneller inzicht krijgen in alle afgetapte internetgegevens, zonder dat ze bergen aan data over pakketjes en ip-adressen moeten doorspitten. Dat is nu vaak de reden om af te zien van een internettap: het is erg arbeidsintensief.

 

Ook hierbij komt Fox IT om de hoek kijken met de tool FoxReplay Analyst voor snellere verkeersanalyse. Het verkeer wordt omgezet tot een visuele weergave en geeft een reconstructie van wat de gebruiker tijdens de internettap heeft gedaan. Voordeel is volgens Gertjan Schoenmaker van Fox IT dat meer onderzoekers dan alleen gevorderde netwerkspecialisten het getapte verkeer kunnen bekijken. De agenten in de zaal zagen het wel zitten.

Nederland heeft een eigen aftapprotocol, het zogeheten TIIT, dat wordt gebruikt voor het transport van afgetapt netwerkverkeer naar de interceptie-eenheden van opsporingsdiensten. Fox Replay neemt TIIT-gegevens als input en zet die weer om naar internetsessies die lijken op 'zoals de persoon het zelf zag'. Het bedrijf zegt 'niet bang te zijn voor het Web 2.0-tijdperk' en ondersteunt in de software ook voip (SIP) en chat, zoals Jabber en MSN. Schoenmaker toonde voorbeelden van Gmail en YouTube, waarbij de Replay Analyst toont wat de getapte internetter zag.

 

Voor de automatische opslag wordt nog aandacht besteed aan het niet missen van sessies of ip-pakketjes en het maken van non-stop operaties, zelfs tijdens rebooten en vervangen van schijven en backups, vertelde hij. Voip vormt al tijden een nieuwe uitdaging voor de aftappers evenals maildiensten als Gmail, Windows Live, Yahoo Mail.

 

Wel zijn er snellere updates nodig om de inhoud van gesprekken die via Ajax-applicaties op sites worden gedaan te ontcijferen, aldus Schoenmaker. Web 2.0- en Ajax-sites zijn lastiger te ontcijferen omdat ze niet langer als volledige pagina's laden, maar alleen nog maar de losse elementen. Javascript en xml-codes rollen over het scherm. Als er niks mee wordt gedaan is het bijna even ondoorgrondelijk als geëncrypteerde code. Ook het aftappen van p2p-gebruikers met Bittorent - downloaden en uploaden tegelijk - vergt wat moeite om zichtbaar te maken.

 

Tot nu toe wordt ip-verkeer volgens Schoenmaker nog maar weinig gebruikt in de rechtbank. Toch is er een sterke wens om de internetdata onderdeel te laten zijn van het bewijsmateriaal.

 

Ook telecomgigant AT&T biedt trouwens opensource tools aan die voor opsporingsdoeleinden door de FBI worden gebruikt, zo werd vorige week bekend. AT&T maakte eind jaren negentig de taal Hancock om gigabytes aan dataverkeer te doorzoeken en om connecties tussen personen in kaart te brengen. Oorspronkelijk was Hancock vooral bedoeld voor het visualiseren en doorgronden van grote hoeveelheden belgegevens teneinde fraudeurs te traceren.

 

Maar de FBI heeft de telecomaanbieders die Hancock gebruikten ook gevraagd informatie eruit over te dragen. Volgens de berichten zou Hancock veel sneller zijn in het koppelen van gegevens en het verwerken dan de meeste datamining software. Het gaat om telefoongesprekken, ip-adressen, internetverkeer en de locatiegegevens van mobiele telefoons. Dat alles kan Hancok direct, 'in real time', monitoren. De broncode voor Hancock is gratis te downloaden voor 'niet-commercieel gebruik'.

 

 

Ook banken monitoren grote hoeveelheden gebruiksdata die voor opsporing interessant zijn. Dat vertelde de Zweed Robert Ståhlbrand van het beveiligingsbedrijf Secode, dat voor enkele grote Zweedse banken de beveiliging van internetbankiersites regelt vanuit een zwaar beveiligd militair complex.

 

Secode heeft net als concurrenten uitgebreide automatische detectiesystemen. Die zijn volgens Ståhlbrand nog niet goed genoeg. Ook ons eigen systeem kan nog beter, dan geef ik toe. Maar sinds kort werkt Secode ook met het detecteren van verdachte transacties door alle log-gegevens van de internetbankiersites te checken op allerlei criteria.

 

Mag Secode dat 'als derde partij' zomaar zien? Is het dan een Big Brother geworden? Een relevante vraag na de ophef die ontstond over het Swift-instituut in Brussel dat Amerika inzicht gaf in het Europese betalingsverkeer.

 

Ståhlbrand: Absoluut, wij zijn dan 'Big Brother'. Maar dit doen we in opdracht van de banken. En zij zijn juist verplicht die logbestanden bij te houden om achteraf fraude te kunnen constateren. Dat we een derde partij zijn maakt niet uit. Wij zijn veilig. Bovendien: als er door ons toe doen informatie zou lekken, kunnen we direct sluiten.

 

Kortom, het gereedschap mag er zijn, uiteindelijk komt het toch neer op de mensen die hetgebruiken. En wie hen controleert, en hoe, daarover werd echter in de semi-openbaarheid van dit congres niet gerept.