Laat bluetoothgebruik voor de politie bruikbare sporen na op mijn smartphone?

Nick
Casier

Bluetooth, een draadloze technologie die u waarschijnlijk vaker gebruikt dan u denkt. Denk eens aan alle apparaten die u gekoppeld heeft met uw smartphone. Mediaspelers, uw wagen, stappenteller en nog zoveel meer. Bij het gebruik van dergelijke technologieën wordt (controle) data gegenereerd. Deze data moet de goede werking van de technologieën garanderen. Dit is bij bluetooth niet anders. Deze data kan zeer veel informatie bevatten, informatie die bijvoorbeeld tijdens een forensisch onderzoek relevante informatie kan blootleggen. Maar wat is dit nu? Wat is die “controle data”? Wat is een forensisch onderzoek?

Wat is Bluetooth?

Bluetooth is een vaak gebruikte draadloze technologie voor het versturen van gegevens tussen apparaten. Dit kan gaan van toetsaanslagen van een draadloos toetsenbord naar een computer tot het synchroniseren van uw smartphone met uw wagen, het afspelen van muziek op een bluetoothluidspreker tot het versturen van een foto vanop uw mobiel toestel naar uw laptop. Kortom, als er data draadloos overgedragen wordt tussen twee toestellen over een korte afstand, is de kans groot dat dit via bluetooth gebeurt.

Figuur 1 - Visualisatie van bluetooth communicatie tussen twee smartphones

Figuur 1 - Visualisatie van bluetooth communicatie tussen twee smartphones

Zoals u kan afleiden van deze voorbeelden is bluetooth een technologie die toegankelijk is voor iedereen en flexibel is in zijn toepassingen. De technologie is niet beperkt tussen platformen, systemen of apparaten. Elk apparaat dat over bluetooth beschikt kan met een ander bluetoothapparaat communiceren.

Wat is een Digital (Mobile) Forensics Onderzoek?

Mobile digital forensics wordt als een aparte tak binnen digital forensics gezien doordat er enkele extra uitdagingen zijn op mobiele toestellen. Mobile digital forensics steunt op de vier zelfde basisfundamenten als de “klassieke” digital forensics. Digital forensics kan gedefinieerd worden als het proces van identificatie, captatie, extractie en documentatie. Deze vier fundamenten zijn allemaal even belangrijk tijdens het uitvoeren van een forensisch onderzoek. Het is de bedoeling dat de forensisch onderzoeker het onderzoek kan uitvoeren zonder hierbij veranderingen aan het systeem aan te brengen.

Figuur 2 - Vier basis fundamenten van een digitaal forensisch onderzoek

 Figuur 2 - Vier basis fundamenten van een digitaal forensisch onderzoek

Tijdens ons onderzoek spitsten we ons specifiek toe op Android toestellen, gezien dit het grootste marktaandeel van de smartphones betreft. De snelle evolutie van het besturingssysteem is hierbij een van de grootste uitdagingen.  Het feit dat elke fabrikant van smartphones zijn eigen toets aan Android geeft, is een bijkomende uitdaging. Deze snelle evolutie van Android en de aanpassingen die de fabrikanten aan het besturingssysteem aanbrengen, zorgen er voor dat een tool om een forensisch onderzoek uit te voeren, en op een bepaald toestel werkt, niet noodzakelijk op een ander toestel zal werken.

Testcase

Aangezien we zochten naar informatie op het toestel dat gecreëerd werd door een bluetooth koppelingsverzoek, en de reeds bestaande tools hier geen antwoord op kunnen bieden, moesten we een nieuwe methode uitwerken om de informatie te vinden. Deze informatie wordt in een digitaal forensisch kader een artefact genoemd. Een artefact wordt gecreëerd bij het gebruiken van technologieën zonder dat dit expliciet de bedoeling is.

Door gebruik te maken van een standaard ingebouwde tool van Android, genaamd Android Debug Bridge (adb), zijn we erin geslaagd om een artefact te vinden. Deze tool, adb, is bedoeld voor de ontwikkeling van nieuwe apps of functionaliteit voor het Android besturingssysteem. In het gevonden artefact kunnen we duidelijke verschillen waarnemen afhankelijk van de context van het koppelingsverzoek, zoals zichtbaar in Figuur 3 - Gedragingen van het gevonden artefact.

Figuur 3 - Gedragingen van het gevonden artefact

Figuur 3 - Gedragingen van het gevonden artefact

Wat is de waarde van deze vondst?

 

De waarde van een artefact hangt voor een digitaal forensisch onderzoek in hoofdzaak af van twee zaken. Ten eerste, wat is de levensduur van het artefact. Dit wil zeggen, tot hoelang nadat acties werden uitgevoerd kan de data teruggevonden worden. En ten tweede, is de informatie relevant. Dit wil zeggen, bevat het artefact informatie die bruikbaar is in de context van het onderzoek.

Stel, we willen achterhalen of een toestel een foto via bluetooth heeft verstuurd naar een ander apparaat. Zoals we kunnen zien in Figuur 3 - Gedragingen van het gevonden artefact, is er een specifiek gedrag met deze actie verbonden aan het artefact. De informatie is dus zeker relevant. Echter, de levensduur van het gevonden artefact is beperkt. Wanneer bluetooth uitgeschakeld werd, bijvoorbeeld door het toestel uit te schakelen of te herstarten, vliegtuigstand in te schakelen of door bluetooth gewoon uit te zetten, verdwijnt alle informatie uit het gevonden artefact.

Er is meer...

Naast informatie over bluetooth, kunnen we nog veel meer informatie op dezelfde manier achterhalen. Zo kunnen we bijvoorbeeld elk account dat op het toestel gebruikt wordt, terugvinden met de overeenkomstige app. Deze informatie is in een forensisch kader zeer waardevol. Deze informatie blijft op het toestel aanwezig zolang het toestel niet gereset werd. Zo zijn er nog talloze voorbeelden van informatie die we op deze manier kunnen vinden. Sommige artefacten gedragen zich zoals het bluetooth artefact, andere gedragen zich zoals de accounts. Om al deze informatie te kunnen achterhalen, werd er een tool ontwikkeld. Dankzij deze tool gaat deze informatie niet verloren tijdens de standaardprocedure voor inbeslagname. De standaardprocedure is namelijk om het toestel uit te schakelen of op vliegtuigstand te zetten om te voorkomen dat het toestel vanop afstand gewist wordt, om een zogenaamde “remote wipe” tegen te gaan.

Besluit

We hebben een nieuwe manier gevonden om interessante informatie die tot op heden nog onbekend was voor een forensisch onderzoek in beeld te brengen. Dit zonder invloed te ondervinden van de Android versie waarover het toestel beschikt of eventuele aanpassingen van de fabrikant aan het systeem. Via de ontwikkelde tool kan op een eenvoudige manier deze informatie tijdens een inbeslagname gevrijwaard worden, zonder dat de persoon die de inbeslagname uitvoert over enige technische vaardigheden hoeft te beschikken. Na het gebruiken van de tool kunnen de huidige procedures verder gehanteerd worden.

Zoals deze quote aangeeft, we zochten oorspronkelijk een speld in een hooiberg, maar we hebben wel onze speld gevonden.

Figuur 4 - A few words on looking for things

Figuur 4 - A few words on looking for things 
Download scriptie (3.68 MB)
Universiteit of Hogeschool
Hogeschool West-Vlaanderen
Thesis jaar
2020
Promotor(en)
Daan Pareit en Kris Carlier
Kernwoorden
forensische wetenschappen,
Bluetooth,
android,
smartphone,
smartphonegebruik,
Digital Forensics,
Mobile Forensics,
artefact