Wie de gegevens op zijn smartphone wil beveiligen kan het beste een BlackBerry kiezen. Dat zegt Ivo Pooters, forensisch onderzoeker bij het Delftse beveiligingsbedrijf Fox-IT, in een interview met Security.nl. Tijdens Hack in the Box Amsterdam gaf Pooters een lezing over de werking van Android en het YAFFS2-bestandssysteem.

Maken smartphones het leven van een forensisch onderzoeker moeilijker of makkelijker?
Pooters: Eigenlijk wordt het wel gemakkelijker zou ik zeggen. Een tijd had je de eenvoudige mobiele telefoons, zoals de oudere Nokia's en dergelijke. Daar had je toch specialistische apparatuur voor nodig om images van te maken. De zegen die je met nieuwe toestellen hebt, is dat ze steeds meer standaard interfaces krijgen en steeds meer als normale laptops en computers reageren. Wat het in die zin een bekend terrein maakt.

Een voorbeeld is een bestandssysteem op die toestellen. Android heeft tegenwoordig ext4 als bestandssysteem, dat ook door Linuxsystemen gebruikt wordt, en dat is bekend terrein voor forensisch onderzoekers.

Zijn daardoor ook bekende tools voor Android te gebruiken?
Pooters: Als je eenmaal de kopie van het geheugen hebt gemaakt, want daar zit meestal de grootste uitdaging in, kunnen we ze vaak met de standaard tools onderzoeken.

Wat maakt het maken van een geheugenkopie zo'n grote uitdaging?
Pooters: Google en Apple vinden het niet zo leuk als er wordt gerommeld op het niveau om een bit voor bit kopie van het geheugen te maken. Daarom moeten eerst beveiligingsmechanismen op het toestel omzeild worden voordat toegang kan worden verkregen tot het geheugen. Dat geldt niet voor de SD-kaart die je eruit kan halen. Daar zit wel een onderscheid in. Die kaartjes zijn bovendien vaak in een standaard bestandssysteem geformatteerd, zodat je die ook makkelijk in een computer kan gebruiken om bijvoorbeeld foto's vanaf te halen.

Bij oude Android-toestellen werd nog het YAFFS2-bestandssysteem gebruikt. Die formatteerden het interne geheugen als YAFFS2 en dat is een specifiek bestandssysteem, wat eigenlijk niet bekend is buiten de wereld van de Android-toestellen. Dan zie je dat bestaande tools daar vrij veel moeite mee hebben. Nieuwere tools hebben die ondersteuning inmiddels wel geïntegreerd. Aangezien dit bestandssysteem eruit gaat, zijn veel aanbieders er niet happig op om het te integreren. Dat geeft dan wel een extra uitdaging.

Bij iPhone en Android is het belangrijk dat het toestel geroot of gejailbreakt kan worden. Daarmee doorbreek je de beveiliging van de telefoon en kan je op een laag niveau bij het geheugen. Een BlackBerry staat dat bijvoorbeeld niet toe om op die manier bij het interne geheugen te komen.

Het maakt dus als forensisch onderzoeker uit wat voor telefoon je moet onderzoeken?
Pooters: De eerste vraag die we stellen als we een smartphone moeten onderzoeken is wat voor telefoon en welke versie van het besturingssysteem het is.

Waar word je dan blij van als forensisch onderzoeker?
Pooters: Oudere versies van Android en iPhone.

En van BlackBerry word je niet zo blij?
Pooters: Van BlackBerries word ik absoluut niet blij, zeker als iemand zegt dat het een BlackBerry is waarvan ze het wachtwoord niet hebben. Dat betekent dat je het toestel kapot moet maken, de geheugenchip eruit moet halen en die gaan uitlezen. En dan heb je nog steeds kans dat de data waar je in geïnteresseerd bent versleuteld is.

Moet je dan het wachtwoord of passphrase brute-forcen?
Pooters: Ja, als je daar bij wil komen. Voor zover ik weet zijn er geen technieken om daar op een andere manier bij te komen. We hebben software om pincodes en wachtwoorden te brute-forcen. Maar als je een goede sleutel gebruikt kan dat wel heel lang duren. BlackBerry gebruikt best goede encryptie. Daar staat BlackBerry ook bekend om en het wordt daarom nog steeds gebruikt door bedrijven die veel belang aan beveiliging hechten en het niet vervelend vinden dat hun data via de RIM-servers wordt gerouteerd.

Ook als je je eigen BlackBerry-server opzet?
Pooters: Maar dan nog gaat het uiteindelijk ook via de servers van RIM. Maar het toestel zelf is uitstekend beveiligd. Bij een BlackBerry heeft een unlocked toestel dan ook de voorkeur.

Maar als het toestel vergrendeld is moet je hopen op een zwak wachtwoord?
Pooters: Ja, daar kom het wel op neer.

En hoe zit dat met een Android of iPhone?
Pooters: De iPhone is wel een leuk voorbeeld. Die heeft sinds versie 4 encryptie op alle interessante data ingeschakeld staan. En de sleutel die daarvoor gebruikt wordt, is afgeleid van het wachtwoord dat de gebruiker invoert. Nu heeft denk ik 90% van de gebruikers een pincode van vier cijfers als wachtwoord. Dat geeft tienduizend mogelijkheden.

Dat zou nog best weleens wat tijd kunnen kosten als je dat handmatig zou moeten doen en het toestel bij een bepaald aantal mogelijkheden de informatie gaat wipen. Bij Apple devices is het mogelijk om dat via een API te doen, zonder dat die controleert hoeveel pogingen je hebt gedaan.

Dan zijn 10.000 mogelijkheden zo gedaan. Dus bij Apple-toestellen is het goed mogelijk om de pincode te achterhalen en zo de sleutel te achterhalen en de verkregen data te ontsleutelen.

En de swipes van Android?
Pooters: Android-encryptie is een heel ander verhaal. Android ondersteunt pas encryptie vanaf versie 4. Minder dan 5% van de toestellen draait op deze versie en ook al draaien ze versie 4, dan nog staat het standaard uitgeschakeld. Voordat we Android-toestellen met encryptie gaan aantreffen zijn we wel een heel eind verder.

Dan staat er nog wel een wachtwoord op het toestel. Als je het werkgeheugen kan uitlezen heb je het wachtwoord niet nodig. Vervolgens kan je dan het opslaggeheugen uitlezen. Het toestel moet dan wel aanstaan, wat ook voor de debugging port geldt. Dus daar zijn wel een aantal voorwaarden voor. Debugging staat echter standaard uitgeschakeld.

Dus als je een standaard Android-telefoon krijgt werkt deze methode niet?
Pooters: Er zijn root-methoden die werken zonder dat de debugging mode is ingeschakeld. Je past dan de bootloader aan, waardoor je alsnog in het geheugen van het toestel komt, en dan ben je er eigenlijk al, want dan kun je het opslaggeheugen benaderen en uitlezen over de poort. Dan heb je niets meer aan de passcode. De enige oplossing is in dit geval encryptie, maar dat is pas vanaf versie 4 beschikbaar.

Dus wie zijn gegevens op de telefoon wil beschermen kan het best een BlackBerry nemen?
Pooters: Je kunt Android best veilig maken, maar dat vereist wel bepaalde stappen die je moet nemen. Out of de box is die absoluut niet veilig. Gebruik in ieder geval encryptie. Voor zover bekend werkt de encryptie van Android 4 gewoon goed. Je user data partitie wordt versleuteld. Let wel op dat je geheugenkaart niet versleuteld wordt.
Kies ook een sterk wachtwoord en beperk het installeren van applicaties. Dat is een groot probleem op Android, dat nog steeds veel malware via de officiële kanalen gedistribueerd wordt, maar ook via onofficiële kanalen. Kwaadaardige apps kunnen vervolgens vertrouwelijke gegevens van de telefoon lekken. Dus eigenlijk moet je alleen gewhiteliste applicaties toestaan. Dan ben je al een heel eind.

En als je je Android wilt rooten?
Pooters: Rooten zou voor bedrijfstoestellen verboden moeten worden, althans, dat zou afgedwongen worden dat het niet mag. Want met rooten loop je het risico dat als je malware op je telefoon krijgt, die veel meer op de telefoon mag dan normaal zou kunnen. Implementeer daarnaast ook mobile device management, want dan kun je dit soort zaken op afstand afdwingen, zoals het gebruik van de meest recente versie van het besturingssysteem.

Wat moeten gebruikers dan van een oude Android-telefoon doen, waar upgraden niet mogelijk is?
Pooters: Dat is zeker een probleem, ook als je kijkt naar de opkomst van malware voor Android. Kijk bijvoorbeeld naar Windows, daar kan Microsoft vrij snel met een update komen als er een lek gevonden is. Maar in het geval van Android, voordat daar een update is uitgebracht, langs alle telecomproviders is gegaan en op de telefoon terechtkomt, ben je een heel eind verder. Als die al uitkomt, aangezien oude toestellen vaak niet worden ondersteund. Dat is een slechte zaak en daar moet Google wel iets mee doen.

Maar wat zou jij doen als je een Android 2.2 of 2.3 toestel hebt dat je niet kunt updaten?
Pooters: Dan vraag je het eigenlijk aan de verkeerde persoon, want ik ben bovengemiddeld bewust van de beveiligingsrisico's, dus ik zou hem dan wel rooten. Ik ben me echter bewust als ik bestanden of applicaties download.

En wat zou je tante Truus op de hoek adviseren die een paar jaar geleden een Android bij haar abonnement kreeg of zelf heeft gekocht?
Pooters: Bewust maken, maar als je echt de telefoon wil beveiligen en je kunt niet naar de laatste versie upgraden, dan moet je een nieuw toestel kopen.

Zie je vanuit een forensisch standpunt nog obstakels in de toekomst verschijnen?
Pooters: Het gaat wel veranderen, ik denk dat we meer met encryptie te maken krijgen. Ik ben blij dat Apple z'n implementatie niet goed voor elkaar heeft waardoor we de encryptie die standaard ingeschakeld staat toch kunnen omzeilen. Als ze dat gaan oplossen, wordt het voor ons lastig om een iPhone op dat niveau te onderzoeken. En met Android eigenlijk hetzelfde verhaal, hoewel het daar waarschijnlijk wel wat langer gaat duren. Google zal als het toestellen meer geschikt voor de zakelijke markt wil maken meer aandacht aan security schenken. Het uiterste van het spectrum is nog altijd BlackBerry.

Dat is het fort onder de smartphones?
Pooters: Als je puur naar de data op het toestel kijkt, is dat de best beveiligde telefoon.