CSI in de polder
Het Nederlands Forensisch Instituut (NFI) onderzoekt jaarlijks 55.000 zaken, zoals de moord op Marianne Vaatstra en de Amsterdamse zedenzaak met Robert M., en spit daarbij dagelijks 160 terabyte aan data door. Welkom in de wereld van versleutelde bestanden, professionele hackers en de spreekwoordelijke naald in de digitale hooiberg.
Robert M.
“Ik maak software kapot. Dat is het. Ik probeer uit te vinden hoe software werkt en maak vervolgens de beveiliging daarvan kapot. Een bekend voorbeeld is de zaak Robert M. Daarvoor heb ik alle foto’s teruggehaald die de voor kinderporno veroordeelde Robert M. van zijn computer had verwijderd. En die had hij wel goed weggehaald, niet zomaar naar de prullenbak verplaatst”, zo vertelt een van de professionele hackers van het NFI op de site van het instituut. Kinderpornozaken zijn aanleiding geweest voor de sterke opkomst van digitaal sporenonderzoek. Dataonderzoek begon ooit met bijvoorbeeld een computer die in het water was gegooid om de data onleesbaar te maken of een telefoon die opzettelijk was vernield. Inmiddels is het NFI beland in de wereld van de big data.
Bètawereld
Het NFI is het CSI – de populaire televisieserie over een Amerikaans forensisch onderzoeksteam – van de lage landen. Ferdi van Engelen, CIO en Afdelingshoofd Informatisering & Automatisering van het instituut: “Het is een bètawereld met veel lab-werk en gebruik van statistische methoden die moeten leiden naar bewijsmateriaal.” Van Engelen: “Er is geen zaak meer waar geen digitale informatie gevonden wordt. Want ook criminelen surfen over internet via wifi-hotspots, zijn vaak te vinden op sociale media en hebben een mobiele telefoon vol gegevens. Verdachten laten digitale sporen achter die cruciaal kunnen zijn.” Van Engelen verwijst naar een recente moordzaak waarbij de ex-man werd verdacht. “Hij ontkende nog contact te hebben met zijn ex-vrouw. Op zijn telefoon vonden we tientallen weggegooide berichten die hij onlangs aan haar had gestuurd.”
Grenzen bereikt
Al is DNA-onderzoek nog steeds de grootste hap uit het werk van het NFI, jaarlijks gaan 1200 zaken voornamelijk over digitale technologie. Een groot deel betreft fraude en kinderporno. Terabytes aan data en diverse typen gegevensdragers (documenten, hardware en software) worden doorgespit aan de hand van geavanceerde onderzoeksmethoden. Van Engelen: “Eén zo’n zaak bevat al vlug vier terabyte aan data. Dat is een file van 20 kilometer met vrachtwagens vol papier.” Door de enorme groei aan digitale gegevens heeft de database van het NFI haar grenzen van dataopslag bereikt. De huidige digitale sporendatabase XIRAF krijgt een opvolger. Die opvolger heet HANSKEN.
Van Engelen vertelt over het nieuwe systeem: “HANSKEN brengt de doorlooptijd van de zaken flink naar beneden. Waar XIRAF nog 24 uur doet over de analyse van één terabyte aan informatie kan HANSKEN dit straks in 30 minuten.” Van Engelen verwacht dat het aantal digitale zaken nog lang verder gaat groeien. “HANSKEN moet dit aankunnen, want het systeem is schaalbaar”, stelt hij. Nu verwerkt de politie jaarlijks 40 petabyte aan data waarvan een deel naar het NFI gaat.
Opvallende trui
Door de inzet van computers analyseert het NFI heel veel data in één keer om verbanden te leggen binnen massa’s gegevens. Van Engelen: “We zoeken bijvoorbeeld versleutelingen in ongedocumenteerde en weggegooide bestanden.” Zo was er in de zaak Robert M. een foto van een kind met een opvallende trui. Het kind was niet te identificeren op basis van één foto. “Handmatig alle andere foto’s afspeuren zou te veel tijd kosten en is zeer belastend werk. Door dit aan computers over te laten kost dat veel minder manuren en kan het dus wel.” Het NFI werkt nauw samen met de recherche. Soms gaan er ook NFI-adviseurs naar de plaats delict om advies te geven over hoe apparatuur te behandelen. Van Engelen: “We geven bijvoorbeeld aan of bij een inval een draaiende computer afgesloten kan worden zonder data te verliezen.”
Rechtshandhaving
Overigens onderstreept Van Engelen dat het NFI absoluut niet zomaar grasduint in gegevens. Van Engelen: “Alles draait om rechtshandhaving. Belangrijk is dat onze bevindingen staande blijven in een rechtszaak. We onderzoeken alleen informatie die de politie rechtens mag verzamelen op bijvoorbeeld de plaats van een delict.” De CIO legt uit dat het NFI altijd werkt binnen specifieke kaders, zoals de privacywetgeving. Hij besluit: “Net zoals je van een wattenstaafje met bloed moet kunnen aantonen waar het wel en waar het niet is geweest, is het ook voor digitaal bewijs van belang aan te tonen dat er niet mee is gerommeld. We zoeken een naald in de hooiberg, in een omgeving die we ook mogen onderzoeken, en we moeten onze vondst vervolgens met zorg behandelen.”