Digitaal onderzoek speelt een steeds belangrijkere rol in rechtszaken, maar dan moeten de sporen wel gevonden worden. Kennislink gaat bij het Nederlands Forensisch Instituut op bezoek om te zien hoe ze digitale informatie halen uit kapotte harde schijven, geblokkeerde telefoons en versleutelde data. “Een telefoon die twee jaar in het water heeft gelegen is vaak nog perfect uitleesbaar.”
Onze apparaten bevatten een schat aan informatie over wie we zijn, wat we hebben gedaan en met wie we contact hebben gehad.
Brian Kerrigan, wikimedia commonsTwee jaar na een verdwijning wordt bij graafwerkzaamheden bij een sloot iets gevonden wat lijkt op een telefoon. Het zou wel eens de telefoon kunnen zijn van het slachtoffer. Met misschien cruciale informatie over wat er gebeurd is. Maar is de doordrenkte en verweerde telefoon nog nuttig voor de opsporingsdienst?
In de verhoorkamer is het stil. De verdachte heeft zojuist ten stelligste ontkend dat de kinderporno die bij hem op de computer werd gevonden door hem is gedownload. Hij denkt dat het is ‘meegekomen’ met een andere download. Bevat zijn computer sporen die zijn onschuld kunnen bewijzen?
Dit zijn zomaar twee fictieve zaken die op het bordje van het Nederlands Forensisch Instituut (NFI) zouden kunnen belanden. Het is de taak van de 25 mensen van Forensische Digitale Technologie om op zoek te gaan naar digitale sporen. Sporen die bijvoorbeeld de verklaring van een verdachte ondersteunen of nieuwe aanwijzingen vormen.
Van insulinemeter tot windmolen
Lang niet elk apparaat gaat meteen met de speciale koeriersdienst naar het NFI in Den Haag. Zolang de politie in een onderzoek van een misdrijf zelf data van apparaten kan winnen zullen ze dat doen. Wat bij het NFI binnenkomt zijn de lastige gevallen, waarbij de ‘standaardaanpak’ niet meer werkt.
De bulk van de naar schatting 300 apparaten die jaarlijks binnen komen zijn telefoons, harde schijven en navigatiesystemen, zegt Marjolijn Brouwer, teamleider van de afdeling. Vaak in slechte staat, beschadigd of beveiligd.
Een verbrandde telefoon die bij het NFI voorzichtig wordt gedemonteerd. Ook al is de buitenkant beschadigd, dat hoeft niet zo te zijn voor de binnenkant.
NFIMaar er zijn ook minder voor de hand liggende stukken. Denk bijvoorbeeld aan een apparaat waarmee een diabetespatiënt zichzelf insuline toedient. Stel dat iemand overlijdt aan een overdosis insuline, dan is de vraag, wat is er mis gegaan? “Kan die persoon dat zelf hebben gedaan,” zegt Brouwer, “of zou deze dan voortijdig bewusteloos zijn geraakt? Is er in het apparaat iets misgegaan, of is er wellicht opzet van een tweede persoon in het spel? Aangezien de insulinemeter informatie opslaat over de toegediende hoeveelheden en de tijdstippen kan dat waardevol zijn in een onderzoek.”
Steeds meer computersystemen regelen en controleren de wereld om ons heen. Een potentiële goudmijn voor forensische onderzoekers. Brouwer vertelt over een zaak waarbij twee monteurs kwamen te overlijden door brand in een windmolen. “Was dat kortsluiting door een natuurlijke oorzaak? Dat wil je weten. De controlecomputer die alle systemen in de windmolen controleert kan daar wellicht uitsluitsel over geven”, aldus Brouwer.
Met dit apparaat kunnen de onderzoekers data van chips kopiëren.
NFIKopieermachine voor chips
Om bijvoorbeeld foto’s, documenten, berichten of een lijst met laatst gebelde telefoonnummers uit het interne geheugen van een telefoon te kunnen halen heeft het NFI een rijk gevulde trukendoos. Zoals gezegd, de makkelijke gevallen komen er niet, juist de ernstig beschadigde of beveiligde apparaten belanden hier. Voor elk type beschadiging is er een draaiboek, maar elke klus is eigenlijk maatwerk, zegt Brouwer.
“Wat we in ieder geval nooit doen is zomaar iets proberen op een mogelijk bewijsstuk,” zegt ze, “we proberen altijd eerst een zogenoemd referentieapparaat te kopen. Bijvoorbeeld een telefoon of harde schijf die precies hetzelfde is, hetzelfde type, productiedatum, zelfs het serienummer moet zo dicht mogelijk bij het origineel komen.”
Op het referentieapparaat kan een methode eerst geprobeerd worden, zonder het echte ‘stuk van overtuiging’ op het spel te zetten. Dat gebeurt bijvoorbeeld wanneer de onderzoekers er niet in slagen om met speciale software de opgeslagen data in handen te krijgen. Er is dan grover geschut nodig: de telefoon wordt uit elkaar geschroefd, de chip wordt gelokaliseerd en uit het apparaat geslepen.
Normaal gesproken blijft de informatie dan gewoon in de chip staan en is zelfs te onttrekken met een speciaal apparaat. Daar kunnen vrijwel alle chips makkelijk op aangesloten worden. Het apparaat is vervolgens in staat de reeks van enen en nullen te kopiëren uit het geheugen, zonder dat bijvoorbeeld de beveiliging van de telefoon daar een stokje voor kan steken.
Bij het NFI moeten ze op alle telefoonmodellen voorbereid zijn.
Sascha Pohflepp“Dan kan het echte werk beginnen”, zegt Brouwer, “want aan ruwe data heb je niets als je niet weet hoe je het moet interpreteren. Het probleem is echter dat veel chips informatie anders opslaan en dat veel telefoons geen gestructureerde opslag hebben, zoals een computer dat wel heeft. We moeten eigenlijk van elke soort chip weten hoe dat werkt.”
Dat vergt een hoop softwareontwikkeling, die gedeeltelijk bij het NFI wordt gedaan. Bij de veelvoorkomende chips is het vaak wat makkelijker, daar is door ervaring bekend hoe data wordt opgeslagen. Problemen kunnen juist ontstaan bij minder bekende merken, oude of juist nieuwe chips.
Het ontcijferen van gecodeerde bestanden is een van de taken van het NFI.
VictorG, DevianartBewust verborgen
Een andere discipline in het onderzoek is het achterhalen van informatie op datadragers die bewust is verstopt door middel van versleuteling. “Op zichzelf is dat niet verkeerd,” zegt Brouwers, “ieder groot bedrijf heeft bijvoorbeeld bedrijfsgeheimen die ze versleuteld opslaan. En ook particulieren mogen en kunnen dat, op internet zijn steeds betere handleidingen beschikbaar om zoiets te doen. Een probleem kan het echter vormen als er op die manier informatie wordt verborgen die voor een zaak van belang is.”
Brouwer legt uit dat je met computers kunt proberen om een wachtwoord te kraken. Dat kan door domweg alle combinaties van letters, cijfers en tekens te proberen, maar dat kost ontzettend veel computerkracht. Vaker wordt er gebruik gemaakt van een zogenoemd intelligent woordenboek. De computer werkt dan op basis van wachtwoorden die bijvoorbeeld een verdachte op andere plekken heeft gebruikt, of informatie die hij tijdens een verhoor heeft losgelaten.
“Vaak boeken we succes op het moment dat de cryptologie niet goed gebruikt is”, zegt Brouwer. “Dat kan bijvoorbeeld als het wachtwoord zwak is, of als het gebruikte programma een backdoor heeft, oftewel een spreekwoordelijke achteringang waardoor we de beveiliging kunnen omzeilen.”
Van kogelgaten tot magnetronschade
Er komt van alles binnen bij de afdeling van Brouwer. Ze zag apparaten met waterschade, brandschade, kogelgaten, hamerslagen en zelfs ‘magnetronschade’. In veel gevallen kan het NFI de politie van dienst zijn, maar er zijn gevallen die meteen de prullenbak in kunnen. “Ja, een harde schijf in 3000 stukjes, daar kunnen wij ook weinig meer mee beginnen.”
“Maar aan de buitenkant zie je lang niet alles. Een telefoon die twee jaar in het water heeft gelegen? Als de chip nog heel is dan kunnen wij hem waarschijnlijk nog perfect lezen.”
'%20fill='%23000'%3e%3cpath%20d='M1.28%2022.5c-.505%200-.826-.018-.862-.018a.44.44%200%2001-.238-.792l2.425-1.778A8.266%208.266%200%2001.326%2014.22c0-4.559%203.71-8.268%208.268-8.268a8.269%208.269%200%20018.087%206.556c.119.559.176%201.135.176%201.716%200%204.554-3.705%208.263-8.263%208.263-.907%200-1.804-.15-2.667-.44-1.782.392-3.608.458-4.646.458V22.5zM8.595%206.83c-4.075%200-7.388%203.313-7.388%207.388%200%202.055.867%204.03%202.376%205.416.097.088.15.216.14.348a.448.448%200%2001-.18.33L1.774%2021.61c1.06-.022%202.609-.119%204.083-.458a.468.468%200%2001.246.013%207.414%207.414%200%20002.49.432c4.07%200%207.384-3.314%207.384-7.384a7.385%207.385%200%2000-6.41-7.322%207.849%207.849%200%2000-.973-.06z'/%3e%3cpath%20d='M20.944%2013.102c-.775%200-2.139-.049-3.48-.34-.37.124-.758.216-1.154.27a.44.44%200%2001-.492-.344%207.395%207.395%200%2000-6.253-5.795.44.44%200%2001-.383-.462A6.287%206.287%200%200115.462.5c3.334%200%206.296%202.825%206.296%206.296%200%201.571-.594%203.09-1.65%204.242l1.711%201.254a.439.439%200%2001-.238.792c-.03%200-.263.013-.637.013v.005zm-3.507-1.237c.03%200%20.066%200%20.097.009.941.216%201.918.3%202.675.33l-1.034-.761a.448.448%200%2001-.18-.33.431.431%200%2001.14-.348%205.412%205.412%200%20001.743-3.969A5.421%205.421%200%200015.46%201.38a5.407%205.407%200%2000-5.363%204.708%208.275%208.275%200%20016.48%206.002c.243-.053.48-.12.71-.198a.428.428%200%2001.149-.027z'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='prefix__clip0_1886_150885'%3e%3cpath%20fill='%23fff'%20transform='translate(0%20.5)'%20d='M0%200h22v22H0z'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Reageer