NFI ontwikkelt tools om data uit namaaktelefoons te kopiëren
Het Nederlands Forensisch Instituut (NFI) heeft samen met verschillende instanties als onderdeel van het Europese Formobile project meerdere tools ontwikkeld waarmee politie en opsporingsdiensten data en digitale sporen uit namaaktelefoons kunnen kopiëren. Het gaat hierbij om nagemaakte smartphones die vooral in Oost-Europese landen veel voorkomen, maar ook hier door politie worden aangetroffen.
"Iedereen kent de grote merken van telefoons, maar er zijn ook duizenden ‘namaaktelefoons’ op de markt. Net zoals merkkleding wordt nagemaakt, worden ook iPhones nagemaakt", zegt forensisch onderzoeker Coert Klaver van het NFI. Samen met het Zweedse bedrijf MSAB is er software gemaakt die politie kan gebruiken om data uit verschillende soorten namaaktelefoons te kopiëren. Dat moet het werk voor opsporingsdiensten internationaal eenvoudiger maken.
Het gaat onder andere om een analysetool die informatie uit verschillende apps, zoals Signal en Telegram, maar ook in verschillende verschijningsvormen, foto’s en video’s, kan vastleggen in tekst en doorzoekbaar maken. Wat zichtbaar is op foto’s en video’s en hoorbaar in audio legt de tool vast met tekst. Bijvoorbeeld ‘een persoon heeft een wapen in handen’. Alle data wordt vervolgens op een tijdlijn geplaatst en zo doorzoekbaar gemaakt.
Samen met de TU Delft is een tool ontwikkeld om het RAM-geheugen van telefoons uit te lezen. "Niet alles wat op het werkgeheugen staat wordt opgeslagen in gewone geheugen. In werkgeheugen staan soms gegevens die forensisch interessant kunnen zijn. Bijvoorbeeld concepten van e-mails of zoekvragen waar je mee bezig bent", merkt Klaver op. Daarnaast is in het project een trainingsprogramma opgezet om opsporingsinstanties de nieuwe tools effectief te leren gebruiken en de vastgestelde procedures te volgen.
In totaal werkten in het drie jaar durende project negentien Europese organisaties samen om onderzoek van telefoons te vergemakkelijken. "Zelfs bedrijven die tools ontwikkelen om telefoons uit te lezen en die normaal gesproken elkaars concurrent zijn, hebben in dit project samengewerkt om hun vakgebied vooruit te helpen. Samen dachten ze na over hoe je een de nieuwe digitale standaard kan ontwikkelen, ongeacht welke tool straks gebruikt wordt om de telefoon uit te lezen", laat Klaver verder weten.
Dat zijn toch gewoon Android telefoons, die kan iedereen toch maken?
Wat is daar "namaak" aan zolang er geen ander, geregistreerd, merk op staat?
De echte schizocrimi weet wel beter natuurlijk.
Voor echte versleuteling gebruik je iets ala pgp en dan kan je je berichten zelfs nog via rooksignalen sturen is het nog veilig.
Dat zijn toch gewoon Android telefoons, die kan iedereen toch maken?
Wat is daar "namaak" aan zolang er geen ander, geregistreerd, merk op staat?
Dat is het nou juist, er staat dan wel bv. "Samsung" op en het ziet er (van een afstandje) uit als het duurste model. In werkelijkheid zit er natuurlijk een low-end Mediatek chipset en een slechte camera in, maar het is interessant voor mensen die willen showen met dure dingen maar ze niet kunnen betalen. Ik heb ze wel eens gezien, niks voor mij, een midrange telefoon van een goed merk is veel beter dan deze toestellen.
Ze worden soms geimporteerd met een andere naam op een stickertje over de bedoelde merknaam om de douane niet al te wakker te maken en dat stickertje wordt er dan later afgehaald voor hij in de verkoop gaat.
Vreemde zaak, onduidelijk verhaal.
Vreemde zaak, onduidelijk verhaal.
Met een onhandig groot aantal onafhankelijke fabriekjes wordt dat lastiger natuurlijk... hoewel je dan via de basis OS leverancier (google) kunt werken.
Vreemde zaak, onduidelijk verhaal.
Waarschijnlijk moet je de manier van uitlezen (zeker bij dergelijk low-level werk als het direct aanspreken van ram chips) per model hardware uitzoeken.
(of misschien per Android tweak / 'distributie' als je niet direct de hardware aanspreekt maar wel het OS op heel low level )
Voor de merktelefoons zal dat ook (al) gedaan zijn - misschien zelfs door commercieele tools, of gewoon voor de reparatie markt .
Maar voor 'vage klonen met look van een duur merk die van binnen heel anders zijn' - dan moet je het zelf reverse engineeren, en dat is waarschijnlijk waar het NFI een project voor heeft .
Ik zou het wel terecht vinden als de tools die ze met belastinggeld maken ook open source worden.
Vreemde zaak, onduidelijk verhaal.
De business case van Cellebrite en Pegasus - gekocht door diverse politiediensten - zal toch echt bestaan omdat "vendor deelt backdoor met justitie" gewoon alleen maar in de paranoia van technerds bestaat.
Alleen voor een hoop merktelefoons zal het documenteren/analyseren gewoon al gedaan zijn - maar dan krijgen ze ook af en toe zaken van niet-mainstream merken.
Met een onhandig groot aantal onafhankelijke fabriekjes wordt dat lastiger natuurlijk... hoewel je dan via de basis OS leverancier (google) kunt werken.
Best leerzaam om eens te _doen_ , telefoon (software) uitpluizen, debug modes opzoeken, en kijken waar apps data achterlaten op de telefoon.
En dan een "paar scripten en tooltjes" schrijven die dat automatisch doen - dan heb je zeer waarschijnlijk precies een stukje van het soort werk gedaan dat het NFI et.al hier aan het doen was.
Nee het is gewoon een ander type wat nog niet in hun systeem staat.
Ze hebben dus een industry wide backdoor gebouwd als ik het goed interpreteer. Dus de grote criminele organisaties kunnen deze zelfde "tool" bemachtigen of een corrupte medewerker/ambtenaar hem laten gebruiken tijdens het werk en een usb stikky droppen.
Telefoon meteen uitzetten voordat iemand hem in handen krijgt zodat het RAM geleegd wordt dus.
Hoe zit dat eigenlijk, gezien de nieuwste iphones niet meer helemaal uit kunnen en je de accu ingebouwd zit, blijft dan nog recente data in het RAM bewaart?
Ze hebben dus een industry wide backdoor gebouwd als ik het goed interpreteer. Dus de grote criminele organisaties kunnen deze zelfde "tool" bemachtigen of een corrupte medewerker/ambtenaar hem laten gebruiken tijdens het werk en een usb stikky droppen.
Nee, je interpreteert het niet goed.
Het gaat om analyse tools als je de telefoon op je lab-tafel hebt liggen.
De output of opslag van dat soort dingen komt natuurlijk met een hoop meta-data (op welke plaats op de telefoon vonden we dit stukje data) .
En dan is een standaard fijn - denk maar aan open document formaten, ongeacht welke tekstverwerker ze maakt .
Tip : ga nou eens echt wat leren over forensische analyse in plaats van films kijken en je duim gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
