Onderzoek naar detectie van verborgen criminele berichten

Nu criminelen weten dat beveiligde berichtendiensten door de politie gekraakt kunnen worden, gaan zij op zoek naar andere methoden om veilig met elkaar te kunnen communiceren. Een daarvan is steganografie, waarbij boodschappen in digitale bestanden worden verstopt. Het NFI onderzoekt hoe dergelijke berichten gedetecteerd kunnen worden.

Verborgen berichten in ogenschijnlijk onschuldige video’s, foto’s, audio of tekst. Zo kan een crimineel laten weten in welke container drugs verstopt zit. Of kinderporno tonen op een openbaar platform. De verborgen berichten zijn met het blote oog moeilijk te herkennen. Het Nederlands Forensisch Instituut (NFI) neemt deel aan het Europese project UNCOVER waarin opsporingsdiensten met universiteiten en bedrijven tools ontwikkelen om verborgen berichten in video’s en afbeeldingen te ontdekken en uit te lezen.

Steganografie
“De kunst én wetenschap van verborgen berichten noem je steganografie”, vertelt Meike Kombrink, die zich bij het NFI bezig houdt met het herkennen van de berichten. “Het is kunst omdat het creatief is, maar het is wetenschap omdat je moet weten hoe je het kan verstoppen in digitale afbeeldingen of video’s. Je moet snappen hoe het werkt. Criminelen en terroristen kunnen steganografie gebruiken om informatie te verbergen en met elkaar communiceren. Crypto en stego liggen dicht bij elkaar. Met crypto verstop je de inhoud van de boodschap en met stego verstop je het bestaan van de boodschap.”

Aanslagen 9/11
Al-Qaida zou steganografie hebben gebruikt om de aanslag van 9/11 te plannen, blijkt uit een wetenschappelijke publicatie (Dalal en Juneja, 2021). In de paper is ook te lezen dat Russische spionnen in 2010 steganografie gebruikten om geheime boodschappen naar Moskou te communiceren. De methode werd ontdekt door de FBI. In de zaak Shadowz Brotherhood werd kinderporno verstopt in onschuldig ogende afbeeldingen. Internationale wetenschappers waarschuwen dat steganografie steeds populairder wordt sinds opsporingsinstanties met Encrochat hebben laten zien dat ze crypto kunnen doorbreken (O’Rourke, 2020).

Nederlandse voorbeelden
In Nederland zijn er enkele voorbeelden van strafzaken waarin verdachten gebruik maakten van steganografie. Het NFI heeft toen de verborgen boodschappen uit kunnen lezen. ‘Stego’ werd bijvoorbeeld al in 2003 gebruikt in een afpersingszaak. De verdachte wilde via een afbeelding op een bepaalde website verstopte bankgegevens ontvangen, anders zou de afperser daadwerkelijk tot actie overgaan. “We vermoeden dat er gebruik van gemaakt wordt”, vertelt Kombrink: “Je herkent het niet met het blote oog. Het is waarschijnlijk dat het vaker voorkomt dan dat wij het zien. We vertellen er daarom regelmatig over en vragen aandacht van opsporingsinstanties.”

Kleurintensiteit afbeeldingen aanpassen
Een object waarin steno verborgen zit, wordt een cover genoemd. Er zijn drie veel gebruikte manieren om berichten in afbeeldingen te verstoppen en iedere manier kent weer verschillende variaties. De eerste manier is om de binaire waardes van de kleuren in afbeeldingen aan te passen. Je past dan de kleurintensiteit van bijvoorbeeld een pixel aan. “Je voegt als het ware een klein druppeltje rood toe aan de code van de kleur. Dat zie je niet wanneer je naar de foto kijkt. Je kan het soms herkennen wanneer je naar de binaire waardes kijkt. De aangepaste waarden kunnen weer een verborgen tekst weergeven.”

Compressie
Een andere methode om boodschappen te verstoppen is door transformatie, een andere weergave van het beeld. Een voorbeeld is het bestand comprimeren, zeg maar verkleinen om het op te slaan. “Dan maak je als het ware een soort samenvatting van het beeld”, legt Kombrink uit. Er zijn verschillende manieren om beelden samen te vatten. De belangrijkste nummers van een afbeelding komen in de samenvatting. Wanneer je weet waar die zitten, kan je daar een boodschap in verstoppen. “In het grote beeld zie je de boodschap niet, dat zie je pas wanneer je een samenvatting van het beeld hebt gemaakt en weet waar in de samenvatting de boodschap verstopt zit.”

Zelf een cover produceren
De derde manier is dat met hulp van AI-beelden, audio of teksten kunnen worden gecreëerd waarin een boodschap zit verborgen. Normaliter heb je een origineel beeld waarin iets aangepast wordt om een boodschap te verbergen. “Je moet dan goed weten waar je de boodschap kan verstoppen, zonder iets aan het plaatje te veranderen. Bijvoorbeeld aan de randen van de objecten.” Voor de derde methode heb je die kennis niet nodig. “Nu heb je geen origineel, het neurale netwerk kan dan zelf een beeld maken met daarin meteen de verborgen boodschap.”

Stego’s herkennen
Het NFI investeert nu met Europese partners in geautomatiseerde systemen om stego te herkennen. Het NFI onderzoekt of neurale netwerken effectief zijn voor het detecteren van verborgen berichten. Neurale netwerken zijn qua structuur geïnspireerd op het menselijk brein. De modellen leren op een vergelijkbare manier als mensen. Namelijk door heel veel voorbeelden te bekijken.
Recent onderzocht de student Mart Keizer van de Technische Universiteit Eindhoven of neurale netwerken verborgen berichten in video bestanden (video-steganalysis) kunnen ontdekken. Voor het onderzoek maakte de student een grote dataset gemaakt met video’s die wel of geen verborgen berichten bevatten. Door het neurale netwerk heel veel video’s te geven en daarbij ook de informatie te geven of er een verborgen bericht in zit of niet, kon het netwerk zelf een bepaald patroon ontdekken. Daarmee kan het vervolgens zelf detecteren of er een verborgen bericht in een video zit of niet. Zodra het netwerk “getraind” is kan die gebruikt worden om te bepalen of er een verborgen bericht in een video bestand zit of niet. Er is nog verder onderzoek nodig, maar de eerste resultaten waren veelbelovend, de detectie rate voor twee onderzochte types steganografie was 99,96%.

Tool om boodschap uit te lezen
Alleen tools voor detecteren ontwikkelen is niet voldoende, aldus Kombrink. “Stego an sich is nu niet strafbaar. Je kan ook een onschuldig bericht verbergen. Je moet dus de inhoud weten om een minder onschuldig bericht te herkennen. Ik wil dus ook neurale netwerken trainen om de boodschap automatisch uit te lezen.” Kombrink denkt niet dat stego gebruikt wordt voor eenvoudige criminaliteit. “Je moet de methode om de boodschap eruit te halen nog altijd communiceren. Ik vermoed dat dit alleen interessant is voor zwaardere criminelen.” Zodra de tool klaar is lijkt het Kombrink goed om die toe te voegen aan de digitale zoekmachine Hansken, waarmee grote hoeveelheden digitale data in strafzaken kunnen worden onderzocht. “Ik ben benieuwd. Pas wanneer de tool er is weten we op welke schaal het wordt toegepast in Nederland. Tot die tijd moeten we er met het handmatig zoeken alert op zijn.”

AI4forensics
Het promotieproject van Kombrink is onderdeel van ICAI AI4forensics lab in oprichting met de Universiteit van Amsterdam en het NFI onder supervisie van prof. Marcel Worring en prof. Zeno Geradts.

Deel dit artikel via: