De strijd tegen steganografie – de kunst van het verbergen van berichten in onschuldige foto’s en video’s – heeft een cruciale wending gekregen. Het Nederlands Forensisch Instituut (NFI) heeft samen met de Universiteit van Amsterdam een AI-tool ontwikkeld die automatisch verborgen boodschappen in digitale bestanden kan opsporen. Een doorbraak die de digitale kat-en-muisspel tussen misdadigers en opsporingsdiensten in het voordeel van de laatste doet kantelen.
Sinds het ontmantelen van het versleutelde communicatienetwerk EncroChat zoeken criminelen naar nieuwe manieren om hun berichten te verstoppen. Steganografie biedt daarvoor de perfecte camouflage. Door boodschappen te verbergen in ogenschijnlijk onschuldige vakantiefoto’s of video’s kunnen drugsdealers, mensenhandelaren en andere criminelen onopgemerkt communiceren over bijvoorbeeld de locatie van containers met drugs of de verspreiding van misbruikbeelden.
“Cryptografie verbergt de inhoud van het bericht en steganografie verbergt het bericht in zijn geheel,” verklaarde forensisch deskundige in opleiding Meike Kombrink eerder tegenover ComputerWeekly. Het verschil met cryptografie is dat je bij steganografie niet eens weet dat er een boodschap is – je ziet simpelweg een onschuldig plaatje.
Handtekeningen ontmaskeren criminele tools
De doorbraak van Kombrink ligt in een opvallende ontdekking: veel van de tools die criminelen gebruiken om berichten te verstoppen, laten herkenbare ‘handtekeningen’ achter in de data. Tijdens haar promotieonderzoek identificeerde zij twee specifieke patronen die deze steganografie-tools verraden.
Het eerste type handtekening ontstaat doordat tools steeds op exact dezelfde plekken bits aan en uit zetten in afbeeldingen. Het tweede type toont ook een herkenbaar patroon, maar dit kan op verschillende plekken in de afbeelding voorkomen. Beide patronen zijn voor het menselijk oog onzichtbaar, maar door AI-algoritmes perfect te herkennen.
Bijzonder interessant is Kombrinks bevinding dat verschillende softwaretools, die ogenschijnlijk onafhankelijk van elkaar zijn ontwikkeld, vaak identieke handtekeningen achterlaten. “Het gaat om tientallen softwaretools waarvoor je steeds andere software moet downloaden. Dat ze soms toch dezelfde handtekening opleveren, doet vermoeden dat ze mogelijk allemaal gebruikmaken van dezelfde onderliggende mechanismes, verpakt in een ander jasje”, aldus Kombrink op de website van NFI.
Van theorie naar praktijk
Waar Kombrinks onderzoek eerder nog in de experimentele fase verkeerde, zet het NFI nu een concrete stap naar de praktijk. De ontwikkelde AI-tool wordt geïntegreerd in Hansken, het digitale forensische platform dat Nederlandse opsporingsdiensten al gebruiken voor het doorzoeken van grote hoeveelheden digitale data.
“De tool kan niet alleen herkennen of er verborgen boodschappen zijn, maar geeft ook inzicht hoe deze eruit gehaald kunnen worden,” aldus Kombrink tijdens de presentatie op het European Academy of Forensic Science-congres in Dublin in mei. Een essentieel onderscheid, want steganografie an sich is niet illegaal – het gaat om de inhoud van de verborgen boodschap.
De detectietool heeft inmiddels bewezen effectief te zijn: van bijna driekwart van de geteste steganografie-tools kunnen de onderzoekers nu de karakteristieke handtekening herkennen. Het systeem zoekt in grote datasets naar afbeeldingen met verborgen informatie en geeft meteen een aanwijzing welke tool is gebruikt om de boodschap te verstoppen.
Open source toegankelijkheid
Het NFI heeft besloten de tool open source beschikbaar te stellen, waardoor ook buitenlandse opsporingsdiensten ervan kunnen profiteren. Deze aanpak past bij de Europese samenwerking in het Uncover-project, waarvan Kombrinks onderzoek onderdeel uitmaakt.
“Dit is precies wat we doen met Uncover,” zegt Kombrink. “We ontwikkelen een toolkit om opsporingsdiensten in Europese landen te helpen verborgen berichten in digitale content niet alleen te detecteren, maar ook te ontcijferen.”
Ondanks de doorbraak is Kombrink nog niet tevreden. “Er zijn ook nog enkele tools die niet een van deze twee handtekeningen achterlaten in hun afbeeldingen. Ik onderzoek of we aanwijzingen kunnen vinden die bruikbaar zijn voor deze gevallen — denk bijvoorbeeld aan afwijkende metadata. Ik ben pas tevreden als we straks alle stego kunnen herkennen en eruit halen.”
Deze realistische blik past bij de eerder door haar geschetste dynamiek: “Het is als een kat-en-muisspel. Telkens wanneer we een manier ontdekken om criminelen te ontmaskeren, bedenken zij nieuwe manieren om hun zaakjes te doen.”
De implementatie van de detectietool markeert daarom niet het einde van de strijd, maar een belangrijke verschuiving in het machtsevenwicht. Voor het eerst hebben opsporingsdiensten een automatisch wapen tegen de digitale verstoppertjes van criminelen. Reden voor criminelen om opnieuw naar alternatieven te zoeken, en voor onderzoekers als Kombrink om de achtervolging voort te zetten in dit eeuwige kat-en-muisspel.