image

NFI ontwikkelt tools om verborgen berichten van verdachten te detecteren

dinsdag 26 juli 2022, 09:59 door Redactie, 29 reacties

Het Nederlands Forensisch Instituut (NFI) ontwikkelt in een Europees project samen met opsporingsdiensten, bedrijven en universiteiten tools om verborgen berichten van verdachten te detecteren. Via steganografie is het mogelijk om berichten in video’s en afbeeldingen te verbergen en zo met iemand te communiceren. In Nederland zijn er enkele voorbeelden van strafzaken waarin verdachten gebruik maakten van steganografie.

"Je herkent het niet met het blote oog. Het is waarschijnlijk dat het vaker voorkomt dan dat wij het zien. We vertellen er daarom regelmatig over en vragen aandacht van opsporingsinstanties", zegt Meike Kombrink van het NFI. Volgens Kombrink liggen cryptografie en steganografie dicht bij elkaar. "Met crypto verstop je de inhoud van de boodschap en met stego verstop je het bestaan van de boodschap."

Het NFI stelt dat er drie veel gebruikte manieren zijn om berichten in afbeeldingen te verstoppen en iedere manier kent weer verschillende variaties. De eerste manier is om de binaire waardes van de kleuren in afbeeldingen aan te passen. De kleurintensiteit van bijvoorbeeld een pixel wordt dan aangepast. "Je voegt als het ware een klein druppeltje rood toe aan de code van de kleur. Dat zie je niet wanneer je naar de foto kijkt. Je kan het soms herkennen wanneer je naar de binaire waardes kijkt. De aangepaste waarden kunnen weer een verborgen tekst weergeven", legt Kombrink uit.

Transformatie is een andere methode om boodschappen te verstoppen. Een voorbeeld is het comprimeren van een bestand. "Dan maak je als het ware een soort samenvatting van het beeld", merkt Kombrink op. Er zijn verschillende manieren om beelden samen te vatten. De belangrijkste nummers van een afbeelding komen in de samenvatting. Wanneer die bekend zijn kan daar een boodschap worden verstopt. "In het grote beeld zie je de boodschap niet, dat zie je pas wanneer je een samenvatting van het beeld hebt gemaakt en weet waar in de samenvatting de boodschap verstopt zit", aldus Kombrink.

De derde methode is het gebruik van kunstmatige intelligentie om audio en tekst met een verborgen boodschap te maken. Het NFI investeert nu met Europese partners in geautomatiseerde systemen om steganografie te herkennen. Zo onderzoekt het instituut of neurale netwerken effectief zijn voor het detecteren van verborgen berichten. Volgens Kombrink zijn alleen tools voor het detecteren niet voldoende. "Stego an sich is nu niet strafbaar. Je kan ook een onschuldig bericht verbergen. Je moet dus de inhoud weten om een minder onschuldig bericht te herkennen. Ik wil dus ook neurale netwerken trainen om de boodschap automatisch uit te lezen."

Zodra de tool is ontwikkeld zou Kombrink die willen toevoegen aan de digitale zoekmachine Hansken, waarmee grote hoeveelheden digitale data in strafzaken kunnen worden onderzocht. "Ik ben benieuwd. Pas wanneer de tool er is weten we op welke schaal het wordt toegepast in Nederland. Tot die tijd moeten we er met het handmatig zoeken alert op zijn."

Image

Reacties (29)
26-07-2022, 10:07 door johanw
Stego an sich is nu niet strafbaar

Dat "nu" maakt me wat ongerust. Ik zie nieuwe repressieve wetgeving aankomen.
26-07-2022, 10:15 door Anoniem
Door johanw:
Stego an sich is nu niet strafbaar

Dat "nu" maakt me wat ongerust. Ik zie nieuwe repressieve wetgeving aankomen.
Sowieso wil de EU, uiteraard voor ons bestwil, achterdeuren in encryptie afdwingen. Met een achterdeur in de encryptie heb je in feite geen encryptie meer dus gaan we terug naar de begin jaren van het internet. Alles in plaintext over het lijntje, voor overheden dan. Waar kan dat nu fout gaan?
26-07-2022, 10:16 door Anoniem
De compleet transparante burger daagt. En niemand, die protesteert tegen deze ontwikkelingen.
Waarom zijn de criminelen die overal al binnengekropen zitten, al niet buitengezet? Of men heeft hen nodig.
Men vermoedt een oorzaak, maar die is niet benoembaar. Linke soep dus.
26-07-2022, 10:31 door Anoniem
Een coup van politie, bedrijfsleven en de denkpolitie van de universiteiten ten nadele van militaire slagkracht? Ernstige zaak, straks is de amsterdamisering verworden tot EU-instantie. Weg vrijheid van denken en doen.
26-07-2022, 10:44 door Anoniem
Door johanw:
Stego an sich is nu niet strafbaar

Dat "nu" maakt me wat ongerust. Ik zie nieuwe repressieve wetgeving aankomen.

In 1998 leerde ik rechercheurs hoe PGP berichten met Stego in foto's te verbergen. Een kind kon met een Mac de was doen, zo eenvoudig was het. Dat het NFI nu besluit om hier onderzoek naar te doen, daar komen ze rijkelijk laat mee. Inmiddels is het mogelijk om een Tor bridge in een steganografische modus te gebruiken, om zo onder de radar te blijven.
26-07-2022, 11:50 door Anoniem
Door Anoniem:
Door johanw:
Stego an sich is nu niet strafbaar

Dat "nu" maakt me wat ongerust. Ik zie nieuwe repressieve wetgeving aankomen.

In 1998 leerde ik rechercheurs hoe PGP berichten met Stego in foto's te verbergen. Een kind kon met een Mac de was doen, zo eenvoudig was het. Dat het NFI nu besluit om hier onderzoek naar te doen, daar komen ze rijkelijk laat mee. Inmiddels is het mogelijk om een Tor bridge in een steganografische modus te gebruiken, om zo onder de radar te blijven.

Het probleem met een PGP bericht is, dat het gestandaardiseerde packets en headers heeft die meteen verraden dat het een PGP bericht is. Een beetje als een .zip bestand die altijd met de letters 'PK' begint.

Die headers moet je er dus op een of andere manier af knippen. Maar dan kan PGP er niets meer mee. Dus moet je ze daarna weer toevoegen.

Een voorbeeld van zo'n packet is het packet dat aangeeft naar welk PGP Key ID het bericht versleuteld is. https://datatracker.ietf.org/doc/html/rfc4880#section-5.1

Het plaatje bij dit artikel is voor mij overigens volledig onduidelijk. Een soort least significant bit steganografie? En wat is EOI? Bestaat dat? Een soort https://en.wikipedia.org/wiki/End-of-file#EOF_character. Wordt dat tegenwoordig nog gebruikt op moderne systemen? En daarachter zit dan het verborgen bericht? Niet zo goed verborgen denk ik dan.
26-07-2022, 12:20 door Anoniem
Zo moeilijk is het nou ook weer niet. Als een verdachte ineens geen text meer stuurt maar opvallend veel fotos van bijvoorbeeld balletjes gehakt, dan zou het best eens kunnen dat er een stego in zit. Daarnaast ligt het voor de hand dat er een standaard stegotruukje wordt gebruikt. Het aantal techneuten die zelf een originele kan maken is klein. Daarnaast komen boeven mekaar altijd ergens tegen. Onderdeel van stoer doen is dan tips geven over wat ze zelf gebruiken. Zo zijn die cryptofoons en daarvoor die blackbarries zo populair geworden. Mond op mond reclame. Maar wel allemaal daarna het zelfde gebruiken.

Je kunt zo een stukje software maken waarmee je heel veel fotos snel op de bekende kunstjes kunt testen. Dan haal je snel alweer veel meer werk binnen dan de afdeling opsporing weer aankan.

Als je wat echt goed wilt verstoppen dan moet je het midden op tafel leggen en een beetje groezelig maken. Iedereen denkt gelijk dat dat het nooit kan zijn. Wat tegen inbraken beschermen doe je desnoods onder je bed in een ouwe opgerolde plastic zak. Maar dan met hier en daar wat pindakaas eraan. Daar durft ook niemand aan te komen. Zeg maar getsie of lach maar, maar hier zijn ze al een paar keer binnen geweest en de rolexen liggen er nog steeds.
26-07-2022, 13:23 door Briolet
Door Anoniem: Het plaatje bij dit artikel is voor mij overigens volledig onduidelijk. Een soort least significant bit steganografie? En wat is EOI? Bestaat dat?

Op zich is het plaatje wel duidelijk, maar het slaat nergens op. Vooral het rechter plaatje waar de verborgen inhoud achter de EOI marker geschreven wordt, wordt in het geheel niet als mogelijkheid genoemd in het redactionele stuk. Lekker verwarrend.
26-07-2022, 13:23 door Briolet - Bijgewerkt: 26-07-2022, 13:24
...
26-07-2022, 15:03 door Anoniem
Door Briolet:
Door Anoniem: Het plaatje bij dit artikel is voor mij overigens volledig onduidelijk. Een soort least significant bit steganografie? En wat is EOI? Bestaat dat?

Op zich is het plaatje wel duidelijk, maar het slaat nergens op. Vooral het rechter plaatje waar de verborgen inhoud achter de EOI marker geschreven wordt, wordt in het geheel niet als mogelijkheid genoemd in het redactionele stuk. Lekker verwarrend.

Oh, ik zie het nu. Het zijn vier pixels met 24 bits per pixel. FF0000, 000000, 00FF00 en 0000FF.
In de laatste twee bits van elk kleurkanaal wordt een bericht verstopt.

Ik las het als een reeks van 8 tekens van 12 bits. Misschien door de grote zwarte pijl in het midden die een beweging lijkt aan te duiden. Kon er eerst niets van maken. Iets met vier kleuren dacht ik (RGB).
26-07-2022, 15:19 door Anoniem
Nog even en ze komen met tools om belastend bewijs te genereren.
Hoeveel die IT bij justitie voorstelt zien we dagelijks nog steeds terug aan alle zaken die ze door personeelstekort laten liggen en dat de criminaliteit nog steeds tiert in Nederland.

De politie is net zoals al het andere niet meer dan een melkkoe geworden voor IT bedrijven die overal stromannen hebben om de diensten te verkopen.

Dit beleid en fictieve oplossingen is alleen effectief voor de bühne, met een uitzondering daargelaten.
26-07-2022, 15:25 door Anoniem
Wist je nog wel?

Je eerste internet verbinding,je eerste Pc,hoe blij we allen waren

1995-1998

en nu?

2022
26-07-2022, 16:11 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: Het plaatje bij dit artikel is voor mij overigens volledig onduidelijk. Een soort least significant bit steganografie? En wat is EOI? Bestaat dat?

Op zich is het plaatje wel duidelijk, maar het slaat nergens op. Vooral het rechter plaatje waar de verborgen inhoud achter de EOI marker geschreven wordt, wordt in het geheel niet als mogelijkheid genoemd in het redactionele stuk. Lekker verwarrend.

Oh, ik zie het nu. Het zijn vier pixels met 24 bits per pixel. FF0000, 000000, 00FF00 en 0000FF.
In de laatste twee bits van elk kleurkanaal wordt een bericht verstopt.

Ik las het als een reeks van 8 tekens van 12 bits. Misschien door de grote zwarte pijl in het midden die een beweging lijkt aan te duiden. Kon er eerst niets van maken. Iets met vier kleuren dacht ik (RGB).

Er staat gewoon ouderwetse morse code. Nu ken ik een Duitser die ooit radiograaf was op een duikboot. (Niet eentje van toen ze nog fout waren maar ver daarna.) Als je die morse code liet horen, hoe snel ook, dan kon hij gewoon opzeggen wat er gepiept werd. Echt amazing. Dat ging in zijn hoofd rechtstreeks naar zijn spraakchip. Talent. Daarnaast heb je als crimineel ook niet altijd internet nodig en ook geen telefoon. Als je het over de korte golf uitzendt dan zijn je berichten over heel de wereld te ontvangen (die radiogolven bouncen tegen de stratosfeer, maar gaan sneller dan internet want dat moet via routers). Heb je dan aan twee kanten een ouwe duikbootradiograaf, dan ben echt al een heel eind. danb zitten al die IT experts van alles te bedenken, en zijn natuurlijk veel te belangrijk om heel de dag naar een radio te gaan zitten luisteren, maar dan ligt je pillenboot al lang aan de overkant.

Daarentegen gaan criminelen dan weer bij mekaar bluffen in de Yap Yum of bij de sushi in de Red Sun of bij de La Sala in Marbella, en dat Zwarte Jopie er nog nooit mee is gepakt. Dus dan verzieken ze het toch zelf weer.
26-07-2022, 16:12 door Briolet
Door Anoniem: Oh, ik zie het nu. Het zijn vier pixels met 24 bits per pixel. FF0000, 000000, 00FF00 en 0000FF.
In de laatste twee bits van elk kleurkanaal wordt een bericht verstopt.

In een van de linkjes wordt het mooi uitgelegd. Elk pixel heeft 3 kleurkanalen. De laatste twee bits negeer je als kleurinfo en stopt daar je data in. De kleur van het pixel veranderd dan wel iets, maar deze twee bits hebben het kleinste effect op de kleur.
Software zal dit wel kunnen herkennen omdat de bits nu random worden, terwijl ze bij een gewone foto dicht bij de waarde van een naastgelegen pixel zullen liggen.

Dat werkt handiger dat bits te veranderen t.o.v. een referentie plaatje dat de ontvanger al moet bezitten.
26-07-2022, 16:22 door Anoniem
Door Anoniem: Wist je nog wel?

Je eerste internet verbinding,je eerste Pc,hoe blij we allen waren

1995-1998

en nu?

2022
Ik ben nog steeds blij met mijn internet verbinding. Zelf een stuk blijer als in 1995 omdat ik niet meer hoef in te bellen... en straks nog blijer als ze hier glas hebben aangelegd.
Mijn eerste PC is ondertussen vervangen door laptop(s), maar ook daar ben ik blij mee.
26-07-2022, 16:43 door Anoniem
In vierbits code kun je ook hele teksten sturen. Alleen er zit wat latency in. Met vier bits kun je maar 16 verschillende letters aangeven. Voor het hele alfabet heb je minstens 5 bits nodig. Toch kan het. In vier bits geef je de meest voorkomende letter een eigen nummer. De weinig voorkomende doe je samen in een groepje. Zelfde nummer dus. Hetwoordenboek is groot, maar alle combinaties van letters staan er ook weer niet in. Lees je de code terug dan kun je vrij snel zien welke onbrekende letter er ingevuld moet worden om een bestaand woord te vormen.

Overigens alweer een hele ouwe truuk waarmee ooit de Russen de Amerikaanse ambassade daar hebben afgeluisterd. Kwam het uit, dacht iedereen eerst, via vier bits kun je natuurlijk geen tekst versturen. Slim. En dan uitzenden precies naast de piek van de sterkste TV zender daar. Ook heel slim. En o zo simpel eigenlijk. Als je het wist.
26-07-2022, 17:27 door Anoniem
Het probleem van 'detecteren' van stenografie is dat je in het wild geen idee hebt of het echt is...
Denk aan het achteruit draaien van een plaat.
Ons hoofd denkt dan ineens satan woorden te horen terwijl die er echt nooit ingezet zijn door de artiest.
Met ziljarden plaatjes op internet, hoe groot is de kans dat er een 'tekst' ontcijferd wordt die er nooit ingezet is?
Dat heb ik nu al wanneer ik base64 dingen probeer te decoden..
26-07-2022, 18:27 door Anoniem
Ongeveer 10 jaar geleden las ik in een Duitstalig bericht dat de BND (AIVD van Duitsland) dergelijke communicatie had ontcijferd van een criminele organisatie die zelf een softwaremethode had ontwikkeld om berichten te verstoppen in digitale afbeeldingen.
De ontcijfering zou hebben kunnen plaatsvinden doordat men soms dezelfde afbeeldingen (met verschillende verborgen berichten) opnieuw gebruikte.

Ik ben er van overtuigd dat inlichtingendiensten wereldwijd hier al 20+ jaren mee bezig zijn (en er dus ook zelf van gebruik van maken).
26-07-2022, 20:33 door Anoniem
Door Anoniem: Als je die morse code liet horen, hoe snel ook, dan kon hij gewoon opzeggen wat er gepiept werd. Echt amazing. Dat ging in zijn hoofd rechtstreeks naar zijn spraakchip. Talent.

Dat heeft meer met een beroepsmatige interesse, veel oefening en een muzikaal gehoor te maken, dan met talent.

Heb je dan aan twee kanten een ouwe duikbootradiograaf, dan ben echt al een heel eind. danb zitten al die IT experts van alles te bedenken, en zijn natuurlijk veel te belangrijk om heel de dag naar een radio te gaan zitten luisteren, maar dan ligt je pillenboot al lang aan de overkant.

Een kansloze exercitie. Dan pikt de GCHQ de radiosignalen op en dan worden de zender en ontvanger en hun routes automatisch tot op tientallen meters of nauwkeuriger gelokaliseerd. Lees het fameuze boek Spycatcher (1987) van Peter Wright. In zijn tijd deden de Britten de trigonometrie nog deels handmatig, met een rekenliniaal en nautische kaarten, dus dan kun je nagaan hoe snel en geavanceerd dat proces tegenwoordig met GPS satellieten in zijn werk gaat :-]

https://en.wikipedia.org/wiki/Spycatcher
26-07-2022, 21:47 door Anoniem
gps satelieten sturen allen een signaal uit...
ik ben klok X en de tijd is Nu wwwwddhhmmss.uuuuuu microseconden .... (+ encrypted: stiekum wijkt mijn klok y microseconden af). en dat nonstop.
De ontvanger weet de banen van de satelieten en kan dan een positie uitrekenen.... omdat de locatie van de sateliet op dat tijdstip bekend is. y = 0 sinds 1992.
Dus aan GPS heb je hier niets.
Een ontvanger is niet te lokaliseren een zender wel.
26-07-2022, 22:46 door Anoniem
Interview met Meike Kombrink en Zeno Geradts, de bij Uncover betrokken digitaal forensische onderzoekers bij het NFI. Kombrink: "Nu EcroChat is gekraakt, gaan criminelen op zoek naar andere manieren van veilig communiceren met elkaar, en daarvoor is steganografie een logische kanshebber.. Waarschijnlijk neemt het toe." Item begint 18m:04s.

https://www.npostart.nl/nos-journaal/26-07-2022/POW_05158721

In het project Uncover gaat het NFI samen met Europese partners investeren in geautomatiseerde systemen die stego kunnen herkennen. "In de detectie van steganografie moet echt een stap worden gemaakt", zegt Kombrink. "We moeten voor elkaar krijgen dat we het niveau van de criminelen wel kunnen blijven bijbenen."

https://nos.nl/artikel/2438342-speuren-naar-stego-criminele-informatie-in-verborgen-boodschap

Het versturen van versleutelde berichten met cryptotelefoons is overigens niet hetzelfde als stego.
26-07-2022, 23:06 door Anoniem
Boromeaanse ringen op pixels, vortex mathematica. Een idee?
27-07-2022, 09:48 door Anoniem
Het lijkt wel pruimentijd dat er nu ineens dit soort dingen in het nieuws komen. Probeer nog te bedenken wat er nieuw aan is, want dit bestaat toch al, deden we in de vorige eeuw ook al.
27-07-2022, 10:50 door Anoniem
Door Anoniem: Een ontvanger is niet te lokaliseren een zender wel.

Door een sterk radiosignaal (kortstondig) te richten op een niet-afgeschermde trillingskring, ontstaat in die kring een resonatie, die op op zijn beurt ook weer een (zwak) radiosignaal van een zekere frequentie uitzendt. Het gebruikte ontvangstoestel kan zo de locatie van de gebruiker prijsgeven, of zelfs de gesprekken van de aanwezigen in de ruimte waar "het ding" staat opgesteld. De schotelantenne in een satelliet kan dat zwakke signaal opvangen.

https://en.wikipedia.org/wiki/The_Thing_(listening_device)

Los van dit hoogstandje zullen de zender en ontvanger meestal bij toerbeurt van rol wisselen, en zo tegen de lamp lopen.
27-07-2022, 14:30 door Anoniem
De leap-time/schrikkelseconde inzetten, minieme tijdsverschillen tussen het aflopen van "noem maar wat op" meten en de zaak is gepiept. Alles trilt net als bij een ruit, bij glas (time versus sound). Run-time is al een goede indicatie om treife in script te ontdekken.

Een bestaande fake-image detector zoekt naar zekere herhalingspatronen. Zoek met Runet.3 op people.yandex.ru.
Kriminalyana Rossiya heeft hier vast al wel wat meer ervaring mee (zie of de originele foto zo valt te reproduceren).
Dobry dzien,

#observator
27-07-2022, 14:37 door Anoniem
De zoektocht naar verbotgen meta-data begint hier: https://compress-or-die.com/analyze

luntrus
27-07-2022, 17:01 door Anoniem
Het wordt pas echt leuk als je bedenkt dat je ook boodschappen in een font kunt verstoppen die je ook niet met het blote oog kunt zien.

https://www.cs.columbia.edu/2018/fontcode-hiding-information-in-plain-text-unobtrusively-and-across-file-types/
27-07-2022, 22:31 door Anoniem
Doe deh naa nie.
05-09-2022, 10:02 door Anoniem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.