Gaat de kast open?

“Bij een huiszoeking wordt niet gekeken naar de inhoud van een kast, omdat de sleutel niet in het slot zit en er geen tijd meer is.” Deze metafoor maakte een deskundige op het gebied van forensische digitale opsporing over de wijze waarop opsporingsinstanties omgaan met digitaal bewijs. PC’ s en smartphones worden wel in beslag genomen, maar het ontbreekt vaak aan de capaciteit en middelen om ze ook te onderzoeken. Wat moet er gedaan worden om de kast open te krijgen?

Groei in opslagcapaciteit

We weten het allemaal, we zien het om ons heen en we doen er zelf aan mee: we maken meer en meer gebruik van digitale media in ons leven. PC, smartphone, tablet, USB-sticks en -schijven, navigatiesysteem; velen van ons gebruiken het allemaal. Om nog maar te zwijgen van online (cloud)diensten en services.

Voor onderzoekers, zowel in publieke als private omgevingen, betekent dit dat er veel sporen van malafide gedrag terug te vinden zijn in diezelfde digitale media. Alleen zitten ze ‘verstopt’ in een enorme berg irrelevante data. En deze berg wordt de komende jaren alleen maar groter: hoe meer opslagcapaciteit we hebben, des te meer we ook bewaren.

Digitaal bewijs grafiek1Uit een onderzoek van de fabrikant van zakelijke opslagsystemen EMC blijkt dat de hoeveelheid data in het digitale universum de komende jaren groeit met 46% per jaar.

Voor de praktijk van (recherche)onderzoeken betekent dit dat daar waar een in beslaggenomen PC nu nog een harde schijf van 500 Gigabyte heeft, dat er over vier jaar waarschijnlijk een van meer dan 2 Terrabyte is.

Een soortgelijke stijging in opslagcapaciteit geldt ook voor smartphones, tablets en USB-sticks.

Aantal apparaten per persoon

Eind 2014 publiceerde GfK weer het jaarlijkse onderzoek ‘Trends in digitale media’, waaruit blijkt dat we in Nederland gemiddeld 2,75 apparaten per persoon gebruiken. Dit is exclusief Smart TV’s, gameconsoles en e-readers (met die erbij komen we op 3,5 apparaat per persoon).

Als we de uitkomsten van eerdere onderzoeken van GfK meenemen is de volgende trend over de afgelopen jaren te zien:

Digitaal bewijs grafiek2

We zijn dus steeds meer apparaten gaan gebruiken. De verwachting is dat – met de komst van “Internet of things” – die stijging de komende jaren nog veel sneller zal gaan.

Daarnaast blijkt uit onderzoek van Google in juli 2014 dat we de apparaten ook graag gebruiken. Vooral mobiele en draagbare apparaten gebruiken we veel en behalve voor zoeken, gebruiken we ze ook voor communicatie en het doen van aankopen. Dit levert dan ook veel informatie op over ons gedrag.

Gebruiksgegevens

Digitaal bewijs NLOp al die apparaten laten we immers sporen achter van ons gedrag. Op de afbeelding hiernaast is bijvoorbeeld te zien waar een mobiele telefoon in juni contact heeft gemaakt met een mobiele zendmast of een WIFI-punt.

Overigens is voor deze afbeelding geen gebruik gemaakt van specialistische software: hij komt van een gratis app die het verbruik bijhoudt.

Wat er alleen al via de metadata van een telefoon ontdekt kan worden, is te lezen in een boeiend artikel van Dimitri Tokmetzis van De Correspondent.

Onderzoeksinformatie

Uit het voorgaande blijkt dat er een heleboel, voor een (recherche)onderzoek relevante, informatie opgeslagen ligt in de digitale geheugens van de apparaten die bij een verdachte aangetroffen worden. 

Immers, wanneer de twee hiervoor beschreven ontwikkelingen gecombineerd worden, ontstaat een beeld van een sterk stijgende hoeveelheid onderzoeksinformatie, zoals in onderstaande afbeelding is weergegeven. Digitaal bewijs grafiek3En die groeiende hoeveelheid informatie wordt een steeds grotere uitdaging.

Onderzoekscapaciteit

Het onderzoeken van in beslaggenomen apparaten is tot nog toe vooral belegd bij specialisten in de vorm van digitale experts van opsporingsinstanties en bij op digitaal onderzoek gespecialiseerde forensische bureaus.

Uit gesprekken met deze onderzoekers blijkt echter dat de aanwas van digitale experts geen gelijke tred houdt met de steeds grotere omvang van de te onderzoeken gegevens.
Zo is er bij de politie op dit moment een enorm tekort aan capaciteit op het gebied van digitaal onderzoek en uit de vooruitzichten blijkt niet dat dit binnen enkele jaren opgelost zal zijn.

Een (deel van de) oplossing zou zijn om ook andere personen het onderzoek van de digitale media uit te laten voeren. Maar hebben ze daar de kennis en capaciteiten voor?

Competenties en instrumenten

Het digitaal onderzoek heeft zich ontwikkeld vanuit de behoefte om aan digitale criminelen het hoofd te bieden. Oftewel: vanuit het bestrijden van de zwaardere, competente ‘tegenstanders’ zoals hackers. De kennis van de digitale experts is dan ook diepgaand en sterk gespecialiseerd. Zij zijn gefocust op het vinden van goed verborgen informatie en een instrumentarium ondersteunt hen daarbij.

Maar met de brede verbreiding van digitale apparaten onder alle bevolkingsgroepen kan aangenomen worden dat een grote groep (criminele) gebruikers niet de competentie heeft om de data op de apparaten te manipuleren. En dat schept mogelijkheden om anderen dan digitaal experts onderzoek te laten uitvoeren op digitale media. Om reguliere rechercheurs in staat te stellen dit onderzoek uit te voeren, is wel instrumentarium nodig dat geen diepgaande technische kennis vereist en gemakkelijk is te bedienen.

Ervaringen met gebruiksvriendelijke instrumenten laten zien dat alle rechercheurs daarmee in voldoende mate onderzoek kunnen doen bij ‘normale’ zaken. Extra competenties zijn alleen nodig voor het uitbouwen van schijven en het maken van de forensische kopieën en dat is voor mensen met twee rechter handen ook geen probleem. Voor de rest zijn de digitale media een extra informatiebron in het onderzoek. De aanwijzingen die daarin gevonden zijn, kunnen bijvoorbeeld gebruikt worden in een verhoor (en daarmee de doorlooptijd van een onderzoek drastisch verminderen), richting geven bij het opsporen van vermiste personen, verdachtmakingen ontkrachten, et cetera.

Project Digital Evidence Dashboard

Dit project richt zich op het ontwikkelen van concepten, die een dergelijk eenvoudig te gebruiken instrumentarium verder binnen het bereik van reguliere onderzoekers brengen. Dit dashboard kan vervolgens toegevoegd worden aan bestaande instrumenten voor digitaal onderzoek als Tracks Inspector, Xiraf/Hansken, FTK, Encase, et cetera.

Met dit project beogen we een ‘boost’ te geven aan de beschikbare capaciteit voor onderzoek van digitale media, waardoor de (politie)slogan “digitaal = normaal” een stap dichterbij komt.

De kast gaat open.

Digitaal bewijs kast

"Met Live View worden overvallers op heterdaad gepakt en daar doen we het voor."

Emil Langendoen
Adviseur