dinsdag 4 januari 2011

Blunder van Politie bij arrestatie Robert M.

In Nederland bestaat bij de Nationale Recherche een aparte divisie voor cyber crime, namelijk het Team High Tech Crime. Zoals de naam al zegt zijn dit rechercheurs op het gebied van cyber crime. Een nieuwe divisie die zich hard aan het ontwikkelen is.

Rond 7 November wordt de Amerikaan Robert Diduce gearresteerd. Bij hem worden ongeveer 10.000 plaatjes gevonden met jonge kinderen hierop. Één daarvan is een 2 jarig jongetje, doordat op de foto een nijntje figuur te zien is weten de rechercheurs het plaatje aan Nederland te linken.
Om die reden wordt op 7 december 2010 tijdens een uitzending van opsporingverzocht het plaatje van dit slachtoffer getoond. Tijdens de uitzending wordt het jongetje geïdentificeerd en een link met Robert Mikelsons gelegd. Hij word dan ook nog dezelfde avond gearresteerd.

Een simpele google search op Robert Mikelsons email adres: roberts83@navigators.lv levert tientallen hits op. Een beetje verder speuren levert binnen enkele minuten het volgende bericht op uit 2003:

Bij het lezen van bovenstaande bericht moeten bij mensen met enige kennis van encryptie de bellen gaan rinkelen. Deze man heeft verstand van zaken. Wanneer men over gaat tot arrestatie van een dergelijk persoon, sowieso bij verdachten van kinderporno, zal er zeker rekening gehouden moeten worden met de mogelijkheid dat een verdachte zijn data encrypt en zo beveiligd.

Om toegang tot deze beveiligde geëncrypte data te krijgen heb je een wachtwoord nodig, door het gebruikte beveiligings programma word vervolgens met dit wachtwoord een zogenaamde sleutel gecreëerd. Deze sleutel wordt vervolgens in het RAM geheugen geplaatst, en met gebruik van deze sleutel kan de geëncrypte data worden ontsleuteld.
Met het wachtwoord, of met de sleutel kan men dus toegang krijgen tot de data. Aangezien Robert Mikelsons in bovenstaande tekst al zegt: "Passphrase was kept only in my mind, it was not written down" kan je er van uit gaan dat zijn wachtwoord niet al te makkelijk te vinden is. Waar vervolgens op in gezet kan worden is de sleutel, welke zich in het RAM geheugen van de computer bevindt. (Dit uiteraard nadat Robert Mikelsons zélf heeft ingelogd op zijn computer en het wachtwoord heeft ingevoerd.) Wil je een dergelijke situatie bewerkstelligen zal de inval plaats moeten vinden op een moment waarvan je zeker weet dat Robert Mikelsons zich achter zijn PC bevind, en deze aanstaat.
Er zijn vervolgens meerdere mogelijkheden om het RAM geheugen uit te lezen. (bron), (bron 2). Zodat de sleutel direct bemachtigd kan worden.


Wat is nu het geval
Tijdens de arrestatie van Robert Mikelsons stond zijn PC aan. De meest ideale situatie die je kan bedenken! En wat heeft de politie vervolgens gedaan? Juist! zij hebben de PC uitgeschakeld...
Hoe is zoiets mogelijk vraag je je af? Juist in dit soort gevallen dient men uiterst zorgvuldig te werk gaan en moet men alle mogelijke opties open laten. Zoals hierboven al te lezen valt had de politie de beschikking over meerdere aanvals factoren om vrijwel direct over de toegangssleutel van de computer van Robert Mikelsons te beschikken. Maar wat doet zij? Ach, laat ook maar...

Gelukkig heeft na drie weken verhoor Mikelsons uiteindelijk zelf de wachtwoorden geven. De politie had anders flink in zijn eigen vingertjes gesneden.

Je zou dit verder kunnen afdoen als een beginners fout, maar dit is geenszins waar, het Team High Tech Crime heeft in zijn bestaan al meerdere malen met geëncrypte harde schijven te maken gehad, dus had men allang al genoeg tijd gehad om dit soort situatie te kunnen voorkomen.
Hieronder is een vergelijkbare situatie (uit 2008) beschreven in een document van het Team High Tech Crime:

Een zeer grote blunder dus...

Robert Mikelsons was reeds bezig met verwijderen
Tevens wordt er veel vermeld dat Robert Mikelsons ten tijde van zijn arrestatie al gegevens aan het verwijderen was en dat dat de reden is waarom de PC direct is uitgeschakeld. Dit kan mogelijk zijn, maar ten eerste is het zéér moeilijk om gegevens direct van de harde schijf te verwijderen, want deze kunnen op allerlei manieren weer terug gehaalt worden. En ten tweede kost het enkele minuten tijd om bepaalde cooling spray op het geheugen van de PC te sproeien, zodat deze geheugen bankjes nog tot mogelijk een uur daarna goed uit te lezen zijn. In deze 5 minuten kunnen inderdaad enkele bestanden verloren gaan doordat de computer door blijft gaan met het verwijderen van gegevens, maar de waarde van de encryptie sleutel lijkt me in dit geval groter. Helemaal als je weet dat deze verloren gegane gegevens vrijwel zeker weer direct terug te halen zijn.

Overigens is het ook frapant te noemen dat exact 1 dag nadat een nieuwsbericht word geplaatst dat het vrijwel onmogelijk is de encryptie van Robert Mikelsons te doorbreken, het nieuwsbericht naar buiten komt dat hij deze wachtwoorden inmiddels zelf verstrekt heeft aan de politie.

*edit 06-01-11 11:25
THTC uit de titel gehaalt - staat niet vast dat deze betrokken zijn geweest bij de arrestatie

14 opmerkingen:

  1. Volgens mij was het regio Amsterdam die de huiszoeking deed en niet THTC (van het KLPD).

    Mogelijk heeft een rechercheur het systeem uitgezet toen hem opviel dat er bestanden verwijderd (maar mogelijke geshred/versnipperd) werden. Soort paniek-actie die in veel gevallen juist wel goed uit kan pakken aangezien het shredden daarmee gestopt wordt en bewijsmateriaal gered kan worden.

    Niet direct een blunder dus maar een keuze die achteraf niet de meest logische zou zijn.

    De spray-techniek is vooral leuk in een lab. Niet zo goed werkbaar daarbuiten. Zeker niet als je niet weet wat voor situatie en systemen je binnen aan gaat treffen.

    Lijkt me dat het brute-forcen van het wachtwoord juist helemaal niet zo complex zou hoeven zijn als je al weet (verondersteld) dat het 28 karakters lang is. Dat gegeven kan heel veel tijdwinst schelen in alle varianten van 1tm27 karakters. Maar ben geen crypto-expert.
    De 28 karakters had ook het doorzoeken van een geheugen-dump gemakkelijker kunnen maken.

    Ik vind het juist zorgelijk dat men denkt dat het verstrekken van wachtwoorden betrouwbaar kan zijn. Truecrypt biedt 'plausible deniability' waarmee er met een ander wachtwoord een ander deel van de data vrijgegeven kan worden.
    Houdt het zoeken nu op?

    Groet, Pepijn Janssen

    BeantwoordenVerwijderen
  2. Ik weet inderdaad niet zeker in hoeverre THTC betrokken is geweest bij deze arrestatie, er word zelfs nergens in de nieuws berichten over gesproken. Ik acht zelfs, hier beter over na denkende, de kans vrij klein, want meestal wanneer deze jongens betrokken zijn bij een arrestatie wordt dit namelijk juist wel in de media verteld, immers, ze moeten ook hun eigen clubje promoten en de subsidiëring rond krijgen.
    Om eerlijk te zijn is dit verder niet helemaal bij me opgekomen, je zou toch wel verwachten dat THTC bij dit soort arrestaties betrokken is? We gaan er tegenwoordig toch wel vanuit dat als er een foto in Amerika word gevonden, welke afkomstig blijkt uit Nederland, deze niet analoog is, maar digitaal?
    Verder weet ik wel dat er heel veel kinderporno-teams zijn, ik hoop maar dat deze teams goede banden hebben met THTC, en dat THTC voortaan sowieso de leiding neemt bij dit soort arrestaties. Ik denk dat kinderporno-boeren reeds getoond hebben bereid zijn het verst te gaan als het gaat om verbergen van dingen, en dus ook zeer deskundig zijn in de uitvoering hiervan. Dat ga je niet oplossen met een rechercheur van de straat.

    Over de spray-techniek kan ik helaas niets zeggen, ben niet bij een dergelijke test aanwezig geweest en heb het ook nooit zelf uitgevoerd. Heb echter wel verhalen gehoord van personen die het wel hebben uitgevoerd en waarbij het succesvol was.

    En op dit moment is het niet mogelijk een truecrypt wachtwoord van 28 karakters te bruteforcen. Uiteindelijk is alles te kraken, maar op het moment van schrijven is dit (voor zover bekend) niet mogelijk. En er vanuit gaan dat omdat Robert Mikelsons in 2003 postte dat hij een passphrase van 28 karakters gebruikte, hij dat nu ook nog doet, lijkt me ook niet heel verstandig ;)

    BeantwoordenVerwijderen
  3. Hoi Rickey,

    De reactie van Pepijn klopt. Je geeft duidelijk aan verstand te hebben van de technologie, maar de rest van context is je niet bekend. Beetje raar om dan zo'n kop boven je verhaal te zetten.

    Wat ik uit de verhalen in de pers heb kunnen opmaken, heeft het 3 uur geduurd tussen het vertonen van de foto op opsporing verzocht en de aanhouding van Robert M. Op dat moment van aanhouding was totaal nog niet duidelijk dat Robert M ook werkelijk de dader was. Ik vind het juist tonen van heel goed politiewerk dat ze zo snel deze link konden maken.

    Misschien zijn er na het vertonen van de foto en het contact met de ouders wel 10 namen van mannen naar boven gekomen en zijn die allemaal bezocht. In deze context vind ik het niet zo gek dat er geen digitaal rechercheur bij aanwezig was.

    Pas eergisteren is de KLPD betrokken in dit onderzoek. Tot die tijd was het een onderzoek van Regio Amsterdam-Amstelland en had het THTC hier niets mee te maken.

    Dat uiteindelijk alles te kraken is, ben ik het trouwens niet met je eens. Dat suggereert dat als de politie meer zijn best zou doen of de goede mensen zou inhuren ze het wel zouden moeten kunnen. Als het algoritme sterk is en de sleutelruimte groot genoeg dan gaat het praktisch gezien nooit lukken. Ongeacht wie er naar kijken en ongeacht hoeveel computers ze inzetten.

    Ik denk dat het terecht is dat THTC de prijs heeft gewonnen. Ze hebben laten zien, dat ze tegen de politiecultuur in hun nek hebben durven uitsteken door innovatieve onderzoekstechnieken in te zetten. Ook hulde voor de korpsleiding dat ze dit gedrag belonen en stimuleren. Kunnen ze eindelijk het juk van de IRT-affaire afschudden.

    BeantwoordenVerwijderen
  4. Beste Ron,

    Het blijft inderdaad toekijken vanaf de zijlijn, en ook ik doe me voor als een van de betere stuurlui aan wal. Wat onterecht is natuurlijk.
    Neemt verder niet weg dat het arresteren van Robert Mikelsons, binnen 3 uur, aantoont dat de Politie weldegelijk goede voorbereidingen had getroffen. Wat ik me alleen afvraag is of het THTC hier überhaupt bij betrokken is geweest?
    Mocht dit niet het geval zijn mag je je ook gaan afvragen op welke manier het bewijs verzamelt is en of hier geen procedure fouten gemaakt zijn bij het veilig stellen van het digitale belastende materiaal.

    En dat alles wel/niet te kraken is blijft speculeren. Ik denk vaak dat we gewoon nog niet uitgevonden hebben hoe het te kraken is, maar dat heeft vooral met fantasie te maken, en of wij zoiets in ons leven nog gaan meemaken wordt de tweede vraag. Op dit moment is het, voor zover bekend, volstrekt onmogelijk deze partitie te ontsleutelen.
    De suggestie dat als politie meer zijn best zou doen of de goede mensen zou inhuren is dan dus ook volstrekt onterecht. Het is dan ook niet mijn bedoeling die suggestie te wekken.

    BeantwoordenVerwijderen
  5. Graag zou ik er ook aan toe willen voegen dat het een misvatting is om te denken dat THTC als enige de expertise in huis heeft om dergelijke onderzoeken te doen. Amsterdam is een enorm groot korps met een grote afdeling experts die prima in staat zijn dergelijke onderzoeken te dragen.
    Het THTC (dus KLPD) heeft specialistische kennis en een grote budget om bij te staan waar nodig. Maar wel zo technisch-specialistisch dat ze 2e-lijns (in dit geval 3e of 4e-lijns support leveren). Daarmee zeker niet de aangewezen partij om bij doorzoekingen aanwezig te zijn. Zeker niet bij zedenzaken.
    De betreffende foto is door het interpol-kanaal doorgestuurd naar zeden-teams in Nederland. Naast het KLPD zijn er nog meer in Nederland verdeeld over de regio's.
    Het was dus een zedenzaak die door het gebruik van encryptie een specialistische karakter heeft gekregen. En door de maatschappelijke onrust en de omvang ervan nu ook gedeeltelijk (technische aspecten) naar THTC gaat.
    Maar het blijft natuurlijk een giga zedenzaak waar Amsterdam nog maanden mee bezig is.

    BeantwoordenVerwijderen
  6. Pepijn,

    Kan je me vertellen waarom je zegt "Zeker niet bij zedenzaken"?
    Het lijkt mij toch dat juist in de kinderporno wereld veel digitaal gebeurt. Ookal word iemand gearresteerd omdat hij zijn buurmeisje heeft misbruikt, blijft deze persoon dagelijks pedofiel en biedt het internet ten alle tijden een veilige manier om aan deze behoefte gehoor te geven. Wat daardoor de computer altijd zeer waardevol maakt. (En mogelijk een nieuw onderzoek opgang brengt)
    Over de technische expertise van andere teams kan ik helaas niets zeggen. Wellicht dat jij hier wat meer over kan vertellen? Is het zo dat THTC zich puur op 'misdaad' richt. En er dus andere teams zijn die even bekwaam zijn en zich puur op zedenzaken focussen? Aangezien zedenzaken vrijwel altijd veel maatschappelijke onrust veroorzaken lijkt me dat deze ook hoog op de agenda staan en sowieso meer dan gebruikelijke aandacht krijgen.

    BeantwoordenVerwijderen
  7. Bij zedenzaken is het prio-1 om slachtoffers te beschermen en uit een gevaarlijke situatie te halen. Daarom wordt er snel gehandeld en een aanhouding+doorzoeking geforceerd.
    De digitale kant van het onderzoek is meer een buro-onderzoek wat erg veel tijd in beslag zal nemen en soms om specialistische kennis vraagt. Dan wordt er een beroep gedaan op 2e of 3e lijns expertise. Het is onmogelijk (en onwenselijk) om een expert in crypto, OS'en, internet enz. bij elke doorzoeking paraat te hebben. Je weet immers nooit wat je achter een gesloten deur aan zal treffen.

    BeantwoordenVerwijderen
  8. Deze reactie is verwijderd door de auteur.

    BeantwoordenVerwijderen
  9. My life was falling apart, I was being cheated and abused, I had to know the truth and needed proof. I contacted a private investigator that linked me with blackhatthacker@gmail.com who took care of the hack job. She hacked his iphone,facebook,instagram, Whatsapp, twitter and email account. I got all I wanted as proof . I'm glad i had a proven truth he was cheating . Contact her for any hack job. Tell her Milagrose referred you to her, she will surely meet your hack need. Contact: blackhatthacker@gmail.com

    BeantwoordenVerwijderen
  10. I was going through a hard-time with my relationship so I had to confirm my husband's cheating suspicions. I met this hacking genius (blackhatservers@gmail.com) online , I can say she's the best out there ..she made spying seem so easy. I was able to listen to his calls and read text messages on his phone, amongst she gave me asses to his Facebook and WhatsApp account as well. if you need to be sure about your partner's sincerity all you need to do is contact her directly via email : blackhatservers@gmail.com . She literally saved me from all the lies and heartbreak, all she asked for was his phone number and all was done

    BeantwoordenVerwijderen
  11. To everyone out there i want to openly thank blackhatservers@gmail.com for her service… She helped me from infidelity and lies of my cheating husband. She was able to hack his phone so i listen to every call he makes or receives, hacked his whatassp, email and Facebook …i know there are lots of people out there looking for proof and evidences about one thing or the other . Be open and confide in her so she can be at the best of her service to you. Do contact her via email blackhatservers@gmail.com

    BeantwoordenVerwijderen