Go to Top

Zit jouw nieuwe usb-stick vol data van een ander? Forensische ICT onthult

forensisch oct

Het valt niet mee te bewijzen dat iemand schuldig of onschuldig is met behulp van de data op een usb-stick. Op een internationale conferentie over forensische informatica van maart dit jaar liet men de problemen zien die met deze vorm van forensisch onderzoek samengaan. Zowel Martin Westman, expert forensische ICT en opslagmedia, als Aya Fukami van de Japanse politie, hebben ontdekt dat de oude gegevens van eerdere gebruikers in sommige gevallen op nieuwe usb-sticks gevonden kunnen worden.

In de herfst van 2016 ontdekte een Zweedse vader iets heel vreemds. Hij wilde de trouwfoto’s van zijn dochter bekijken, maar op de usb-stick die hij van haar had gekregen stond opeens ook een foto van het rijbewijs van een Chileense man. Dit was bizar, omdat zijn dochter deze man nog nooit gezien had en de usb-stick nieuw gekocht was. Westman ging naar aanleiding hiervan op onderzoek uit en ontdekte dat dit met standaard eMMC-geheugenchips vaker gebeurt.

Bewijslast voor forensische ICT wordt ingewikkelder

Deze onthulling brengt serieuze problemen met zich mee voor de forensische informatica. Je kan namelijk niet meteen zeker weten dat de data op een usb-stick van de huidige eigenaar is, die betrokken is bij een strafrechtelijk of juridisch onderzoek. Om te bewijzen dat gevonden data van de laatste gebruiker zijn moeten dus verdere analyses gedaan worden. Tot nu toe was de bewijslast als volgt: als er criminele inhoud op een usb-stick gevonden was, dan was dit genoeg om een onderzoek te starten en te gebruiken voor een veroordeling.

Na de bevindingen van Westman en Fukami is er nog veel meer onderzoek nodig; als je niet weet of de gevonden gegevens wel van de huidige eigenaar en gebruiker van de usb-stick zijn, moet de hele data-geschiedenis onderzocht worden. Hiervoor moeten de metadata van de bestanden gelezen worden. Ook de serienummers van de ingebouwde geheugenchips moeten worden gecontroleerd. Met dit nummer en het bijbehorende toestelnummer kan een eerdere smartphone-eigenaar geïdentificeerd worden. Dan moeten de onderzoekers nakijken of de criminele inhoud van de huidige eigenaar van de usb-stick is of van een vorige smartphone-eigenaar. Dit proces is natuurlijk veel tijdrovender, maar er kunnen zo wel nog steeds sterke bewijzen verzameld worden.

Goedkope usb-stick vermijden en oude telefoon leegmaken

Wat kunnen gewone consumenten hiertegen doen? Het beste is om de goedkoopste usb-sticks links te laten liggen en alleen te kopen van bekende merken en fabrikanten. Een lading goedkope usb-sticks kopen bij een Chinese webwinkel is dan ook geen goed idee, omdat die usb-sticks niet alleen vol kunnen zitten met oude gegevens van onbekenden, ze kunnen ook nog eens virussen bevatten.

Deze kwestie laat ook zien hoe belangrijk het is voorzichtig om te gaan met je oude gegevens en smartphones. Op het internet of in de winkel kunnen grote hoeveelheden oude smartphones gekocht worden, waarvan de ingebouwde geheugenchips gebruikt worden om goedkope ’nieuwe’ usb-sticks te maken. Daarom is het noodzakelijk de oude gegevens van je smartphone permanent te verwijderen voordat je ’m doorverkoopt of weggeeft. Flashgeheugens zijn anders dan magnetische geheugens en daarom kunnen ze niet volledig gewist worden met gewone verwijdersoftware. Er moet speciale software gebruikt worden zoals Blancco Mobile Device Eraser (https://www.blancco.com/products/mobile-device-eraser/), die ook data wist van delen van de chip waar een gebruiker normaal niet bij kan. Worden gegevens niet goed verwijderd kunnen ze alsnog teruggehaald worden, dit hebben de experts van Kroll Ontrack al meerdere keren laten zien.

Picture copyright: www.pixabay.com/CC0 license

, , ,