NFI ontwikkelt tools om data uit namaaktelefoons te halen
Criminelen gebruiken mobiele telefoons om illegale activiteiten te communiceren, te coördineren, te organiseren en uit te voeren. Telefoons zijn wereldwijd een enorme uitdaging voor opsporingsinstanties vanwege de grote aantallen en verschillende types die in omloop zijn. De data moeten er steeds op een net iets andere manier uit gehaald worden. Voor het Europees onderzoeksproject Formobile hielp het NFI gereedschap ontwikkelen dat opsporingsdiensten kunnen gebruiken om duizenden verschillende telefoons open te maken. Voor het onderzoek werden op markten in de regio van Kirgizië honderden namaaktelefoons gekocht.
Het is noodzakelijk voor de waarheidsvinding in strafzaken dat opsporingsdiensten bij relevante informatie in telefoons kunnen komen. Digitale sporen in telefoons kunnen helpen bij het reconstrueren van misdrijven en kunnen als belastend of ontlastend bewijs dienen. “Iedereen kent de grote merken van telefoons, maar er zijn ook duizenden ‘namaaktelefoons’ op de markt. Net zoals merkkleding wordt nagemaakt, worden ook iPhones nagemaakt,” vertelt forensisch onderzoeker Coert Klaver. Hij had voor het NFI de leiding over dit deelproject van Formobile. “We hebben honderden namaaktelefoons geanalyseerd. Deze telefoons werken allemaal net wat anders en de data moeten er ook steeds op net een iets andere manier uit gehaald worden.” De namaaktelefoons komen vooral veel voor in Oost-Europese landen, maar ook hier treft de politie ze aan. “We hebben nu met het Zweeds bedrijf voor forensische mobiele technologie MSAB software ontwikkeld die de politie kan gebruiken om data uit de verschillende soorten namaaktelefoons te kopiëren. Dat maakt het werk voor opsporingsdiensten internationaal een stuk makkelijker.”
Decoderen en analyseren
In het Formobile project heeft het NFI ook geholpen om een analyse tool te ontwikkelen, die data uit verschillende bronnen vastlegt en doorzoekbaar maakt. Dat is de ‘Joint Semantic Analyser (JSA)’. De JSA kan informatie uit verschillende Apps (zoals Signal, mail en Telegram) maar ook in verschillende verschijningsvormen (foto’s, video’s) vastleggen in tekst en doorzoekbaar maken. Wat zichtbaar is op foto’s en video’s en hoorbaar in audio legt de JSA vast met tekst. Zoals bijvoorbeeld ‘een persoon heeft wapen in handen’. Alle data komt op een tijdlijn gezet en zo doorzoekbaar.
Het NFI heeft daarnaast met de TU Delft in Formobile ook een tool ontwikkeld om het werkgeheugen (RAM-geheugen) van telefoons te kunnen uitlezen. Het werkgeheugen is een soort tijdelijke opslag. “Niet alles wat op het werkgeheugen staat wordt opgeslagen in gewone geheugen. In werkgeheugen staan soms gegevens die forensisch interessant kunnen zijn. Bijvoorbeeld concepten van emails of zoekvragen waar je mee bezig bent.”
Tools voor verzamelen, visualiseren en analyseren
Het onderzoek in Formobile richtte zich op verschillende deelgebieden: het eerste doel van het project Formobile was de ontwikkeling van innovatieve technieken (hardware en software) voor het verzamelen, analyseren en visualiseren van gegevens uit mobiele telefoons. De data van de telefoon moet na de inbeslagname van een telefoon als eerste onveranderd uit de telefoon gekopieerd worden. Daarna moet de informatie uit telefoons gedecrypt en gedecodeerd worden. De derde stap is het analyseren en interpreteren van de data. Dan wil je weten bij wie hoorde deze data, hoe komt het daar en wat betekent het in de context van déze zaak?
Een nieuwe standaard en een trainingsprogramma
Daarnaast zijn juridische en ethische kwesties onderzocht. “De inhoud van iemand zijn telefoon zegt tegenwoordig meer over iemand, dan de inrichting van iemands huis. Hoe groter de inbreuk op iemands privacy, hoe meer toestemmingen nodig zijn. Soms is het voldoende om toestemming van een officier van justitie te hebben, maar als de inbreuk groter wordt is er ook toestemming van een rechter nodig,” legt Klaver uit. Daarom is een gestandaardiseerd forensisch proces ontwikkeld om gegevens uit telefoons te halen op een technisch maar ook juridisch/ethisch verantwoorde manier. Ook is er gewerkt aan een Europese standaard voor digitaal forensisch onderzoek, CWA 17865:2022. Diverse forensische laboratoria werken met ISO standaard 17025. “Deze standaard is echter niet zo geschikt voor digitaal forensisch onderzoek. Voor forensisch digitaal onderzoek aan telefoons bestaat nog geen standaard. Digitaal onderzoek is heel dynamisch, de ISO-17025 past daar niet zo goed op.” Afgelopen maart is een voorloper van de ISO voor digitaal onderzoek aan mobiele telefoons door het Austrian Standarization Institution gepubliceerd. “ Zeg maar een ISO 17025 voor digitaal onderzoek. Daar kan men nu mee verder.” Tot slot levert Formobile een trainingsprogramma om opsporingsinstanties de nieuwe tools effectief te leren gebruiken en de vastgestelde procedures te volgen.
‘Internationale samenwerking noodzakelijk’
In het drie jaar durende project ‘Formobile’, werkten negentien Europese organisaties samen om onderzoek aan (crypto)telefoons -die gelinkt kunnen worden aan misdaden- te vergemakkelijken. Van plaats delict tot in de zittingszaal. “Het vakgebied digitale technologie beweegt ontzettend snel,” vertelt Klaver. “Je kan dit vakgebied je niet vergelijken met bijvoorbeeld forensische pathologie. Daar vinden natuurlijk ook ontwikkelingen plaats, maar het onderzoeksobject zelf -het menselijk lichaam- verandert niet zo snel door de jaren heen. Bij ons gebeurt dat wel. Wij onderzoeken vandaag telefoons die morgen alweer verouderd zijn.” Internationale samenwerking en kennisdeling is daarom noodzakelijk, signaleerde ook de Duitse universiteit die in 2018 het initiatief nam voor Formobile.
Trots
“Als ik zie wat het project allemaal heeft opgeleverd, dan ben ik er enorm trots op,” vertelt Klaver als hij terug kijkt op het project. “Zelfs bedrijven die tools ontwikkelen om telefoons uit te lezen en die normaal gesproken elkaars concurrent zijn, hebben in dit project samengewerkt om hun vakgebied vooruit te helpen. Samen dachten ze na over hoe je een de nieuwe digitale standaard kan ontwikkelen, ongeacht welke tool straks gebruikt wordt om de telefoon uit te lezen. Dat was prachtig om te zien.”