Politie bijt zich vast in bluetooth

Artikel

digitaal forensisch onderzoek

Foto Depositphotos

Een gsm wordt onderschept. Iedere seconde telt. Alle netwerkverbindingen zijn verdacht, de onderzoekers schakelen het toestel daarom meteen uit. Via een ‘remote wipe’ kunnen criminelen het bewijsmateriaal immers ook vanop afstand wissen. Hierop plaatsen ze de telefoon in een kooi van Faraday, waarna ze de volledige inhoud van de gsm integraal kopiëren en veilig opslaan om te analyseren.


Toetsaanslagen op een draadloos toetsenbord, je smartphone met je wagen synchroniseren, een foto versturen naar je laptop: als er data draadloos overgedragen wordt tussen twee toestellen over een korte afstand, is de kans groot dat dit via bluetooth gebeurt. We gebruiken deze verbindingen vaker dan we denken, en tijdens een gerechtelijk onderzoek kan je bluetoothgeschiedenis potentieel interessante informatie opleveren voor de recherche. Toch worden deze connecties momenteel niet opgespoord.

Cyber crime

Dat kan beter, dacht Nick Casier. Hij studeerde af als ‘Computer and Cyber Crime Professional’ aan de HoWest en onderzocht hoe je bluetoothverbindingen wél kan opsporen op een verdachte telefoon. Maar er is een probleem: wat op het ene toestel functioneert, werkt niet noodzakelijk op een ander toestel. 

“Mobiel forensisch onderzoek is een aparte tak binnen het digitaal forensisch onderzoek, net omdat het zo’n uitdaging is. Het is een echt kat-en-muisspelletje: mobiele technologie evolueert razendsnel en de diversiteit tussen de verschillende fabrikanten maakt het er ook niet makkelijker op om de onderzoeksmethodes up-to-date te houden. Voor mijn onderzoek heb ik mij gefocust op het Androidbesturingssysteem. Iedere fabrikant ontwikkelt zijn eigen versie van Android, en mijn methode moest dus voor al die versies werken, zonder noemenswaardige wijzigingen aan de toestellen aan te brengen.”

Kinderpornografie

Nick Casier ging daarom op zoek naar de digitale sporen of artefacts die een bluetooth koppelingsverzoek achterlaat: “Wanneer we digitale technologieën gebruiken, blijven er sporen achter zonder dat dit expliciet de bedoeling is. Ook een koppelingsverzoek creëert zulke artefacts. Daaruit kunnen we heel wat informatie afleiden, zoals het tijdsstip van de connectie en het unieke adres van het tweede toestel. ”

“Het versturen van een bestand, zoals een foto, heeft zijn eigen typerend gedrag en ook dat kunnen we uit het artefact afleiden. Binnen de seconde zien we een koppeling en het onmiddellijk verbreken van die koppeling. Zulke informatie is zeer waardevol bij bijvoorbeeld onderzoek naar kinderpornografie.”

Levensduur

“Via de bestaande tools lukt het helaas nog niet om deze artefacts op te sporen. We moesten dus een nieuwe methode uitwerken. We vonden de artefacts via een standaard ingebouwde tool van Android: de Android Debug Bridge – normaal gezien wordt deze tool gebruikt bij de ontwikkeling van nieuwe apps of functionaliteiten voor Android.”

Maar de levensduur van een artefact is niet oneindig, niet alle artefacts blijven even lang bestaan. “Wanneer je bijvoorbeeld een foto verstuurt via bluetooth, dan creëer je automatisch een artefact met potentieel waardevolle informatie voor een gerechtelijk onderzoek. In tegenstelling tot andere artefacts, heeft dit type maar een korte levensduur: het verdwijnt wanneer je de bluetooth-verbinding verbreekt. Dit kan je doen door het toestel uit te schakelen, vliegtuigstand in te schakelen of door gewoon door de bluetooth af te zetten.”

Via digitale onderzoeksmethodes kunnen we bijvoorbeeld netwerken in kinderpornografie opsporen 

“Momenteel wordt daar geen rekening mee gehouden in de procedure bij inbeslagname. De netwerkverbindingen zo snel mogelijk uitschakelen is dan nog altijd de grootste prioriteit. Nochtans is het zo dat er tijdens het mobiel digitaal onderzoek geen wijzigingen in het systeem aangebracht mogen worden. Daarom zouden deze artefacts best eerst gekopieerd worden. Via de methode die ik ontwikkelde, kan dit snel en zonder technische kennis van de persoon die de inbeslagname uitvoert.”

Promotoren: dr. ir. Daan Pareit en Kris Carlier

Lees de scriptie
 


Dit artikel verscheen in de herfsteditie van de Vlaamse Scriptiekrant.

Share this on: