null Methode om JPEG-bestanden te herstellen helpt bij veiligstellen digitale sporen

INF_BISS_14970_head_large.jpg

Methode om JPEG-bestanden te herstellen helpt bij veiligstellen digitale sporen

Om bewijs te vernietigen, proberen criminelen vaak bestanden, zoals foto’s, te verwijderen. Maar: verwijdering van een bestand betekent niet dat de bytes van het bestand ook weg zijn. Forensisch onderzoekers proberen dan ook verwijderde bestanden terug te halen door op zoek te gaan naar alle bytes van een bestand. Als het bestand in stukjes op de harddisk stond, wordt dit veel moeilijker. Vincent van der Meer, promovendus aan de faculteit Bètawetenschappen van de Open Universiteit, ontwikkelde samen met drie andere onderzoekers een methode die met 99,9 procent zekerheid weet welke stukjes foto aan elkaar passen.

'Ons onderzoek is gericht op foto’s in JPEG-formaat', legt Vincent van der Meer uit. 'Meestal staan de bytes van zo’n foto netjes achter elkaar op de harddisk, net als de pagina’s van een hoofdstuk uit een boek. Maar dat hoeft niet. Daarom staat er in de 'inhoudsopgave' van een harddisk ook bij ieder bestand welke paginanummers erbij horen. Het effect van een bestand verwijderen is om dat stuk uit de 'inhoudsopgave' weg te halen - niet om de pagina’s uit het boek te scheuren.'

Inhoudsopgave

Het terughalen van een foto komt dan neer op het bij elkaar verzamelen van de juiste paginanummers voor de inhoudsopgave. Omdat de bytes van de meeste JPEG-bestanden achter elkaar staan, hoef je dan alleen het begin en het eind te vinden. Dat is - relatief - makkelijk. Maar soms staan die bytes niet netjes achter elkaar. 'Dat is net zoiets als wanneer in hoofdstuk 11 achtereenvolgens pagina’s 10-15, 273, 5, 67-74 zouden staan', aldus Van der Meer. 'Dan wordt het weer bij elkaar zoeken van de juiste bytes een stuk moeilijker. Maar vanuit forensisch perspectief is het interessant om ook die laatste 5% te kunnen opsporen. Zo’n foto kan net het bewijsmateriaal zijn dat helpt om een zaak op te lossen of om onbekende slachtoffers te vinden.'

Algoritme

Door de fragmentatiepunten van een foto op bitniveau te identificeren, is het mogelijk om te zien of een potentieel volgend blok bytes (een 'pagina') daarbij aansluit. De onderzoekers ontwikkelden een algoritme dat deze fragmentatiepunten kan vinden, waardoor duidelijk wordt welke stukjes van een gefragmenteerde foto aan elkaar passen. Na uitgebreide testen bleek de methode in 99,9% van de gevallen succesvol. Voor Van der Meer was dat geen reden tot juichen: 'Ik baalde toen ik het percentage zag. Ik dacht dat we fouten hadden gemaakt in ons onderzoek. Maar zelfs nadat we de test hadden aangescherpt, bleek het slagingspercentage in het worst case scenario nog 99,4%. Toen daalde het besef langzaam in dat we het detecteren van JPEG-fragmentatiepunten echt hadden opgelost.'

Filecarvers

'Dit resultaat is fantastisch, maar levert ook een uitdaging', vult mede-onderzoeker en universitair docent informatica aan de Open Universiteit Hugo Jonker aan. 'Het resultaat is zo goed, dat de druk hoog is om het onderzoek ook praktisch toegankelijk te maken.' Van der Meer: 'Wij hebben nu een tool gebouwd die de losse blokken van een foto aan elkaar linkt. In de analogie van een boek: een tool die kijkt of een gegeven pagina zou passen als vervolg op het tot nu toe verzamelde hoofdstuk. Maar om hele foto’s terug te halen, is een extra stuk software noodzakelijk: een zogenaamde filecarver. In de analogie is dat de tool die pagina’s zoekt, aan de tester aanbiedt en het rijtje reeds gevonden paginanummers bijhoudt. We hebben ons paper open access beschikbaar gesteld, zodat bijvoorbeeld forensisch onderzoekers hun filecarvers kunnen verbeteren.'

Vernietiging digitaal bewijs

Dat de nieuwe methode het makkelijker maakt om verwijderde foto’s te herstellen, wil niet zeggen dat het onmogelijk wordt om digitaal bewijs te vernietigen. Jonker legt uit hoe dat zit. 'Stel je hebt je sleutels verloren in een zandbak en je gaat ze zoeken met een steeds fijnere zeef. De zeef die wij nu hebben ontwikkeld, kan niet meer beter. De aansturing ervan wel. Daarom moeten we een robot bouwen die met die zeef de zandbak doorzoekt. De uitdaging is hoe je dat op een verstandige manier doet, en wat die manier dan is. Maar ook al vinden we daar een oplossing voor, dan kan het best zo zijn dat een crimineel de sleutels al uit de zandbak heeft gehaald.'

Best paper award

Voor hun wetenschappelijke publicatie 'Problem solved: a reliable, deterministic method for JPEG fragmentation point detection' wonnen Vincent van der Meer, zijn promotor universitair docent informatica aan de Open Universiteit Hugo Jonker, copromotor Jeroen van den Bos (Infix Technologies) en Zuyd-student Laurent Dassen de best paper award tijdens de DFRWS-EU 2024 conferentie. Dit is de grootste conferentie op het terrein van digitaal forensisch onderzoek, dat zich richt op het veiligstellen van digitale sporen. Vincent van der Meer promoveert op donderdag 5 september 2024 aan de Open Universiteit.

Laatst gewijzigd op: 2 jul 2024 13:30
Meer nieuwsberichten Aanmelden nieuwsbrieven