Wat is forensische ICT?

Bij een afdeling forensische informatica voert men onderzoek uit om digitaal juridisch bewijs te vinden, vaak ten behoeve van een strafrechtelijk onderzoek. Digitale sporen worden in Nederland beschouwd als indirect bewijs waardoor ze bij kunnen dragen aan een veroordeling, maar alleen niet snel tot een veroordeling zullen leiden.

In het verleden werd dergelijk onderzoek vooral toegepast op in beslag genomen apparatuur dat bijvoorbeeld bij een huiszoeking werd aangetroffen. Tegenwoordig gaat het werk van de forensische medewerker veel verder. Hij zoekt ook actief naar sporen op het internet door websites af te zoeken, e-mailverkeer te volgen en bijvoorbeeld surfgedrag te volgen. Natuurlijk kunnen de peilgegevens van een mobiele telefoon of de logbestanden van servers net zo goed door hem gebruikt worden om onderzoek te doen, mits het onderzoek daar aanleiding en toestemming voor geeft. Het is immers niet zo maar toegestaan om mensen te volgen of om alle gegevens zo maar tot je beschikking te krijgen. Maar alles wat iemand op het internet en met zijn GSM doet wordt ergens geregistreerd. De kunst van de forensische afdeling is om dat ‘ergens’ te vinden en de daar opgeslagen gegevens juist te interpreteren.

Criminelen hebben wel geprobeerd om harde schijven onklaar te maken door bestanden te wissen, ze kapot te slaan, onder water te zetten en te verbranden. Maar zelfs bij fysiek kapot gemaakte gegevensdragers is gebleken dat de data die daar op stond door forensische specialisten soms weer toegankelijk konden worden gemaakt. Omdat meer en meer plaatsvindt in ‘the cloud’, wordt het onderzoek daar ook steeds meer naar toe verlegd. De tijd dat men het alleen moest hebben van de harddisk van een PC is daarom al lang voorbij.

Bij het Nederlands Forensisch Instituut (NFI), waar nagenoeg al het forensisch werk van grote strafrechtelijke zaken wordt uitgevoerd, heeft men een speciale afdeling voor het digitale sporenonderzoek ingericht. Zij zijn echter zeker niet de enige die dergelijk werk verrichten. Panthera heeft bijvoorbeeld wel eens opdrachten gekregen om digitale gegevens op te zoeken en aan te leveren, maar hier zijn ook gespecialiseerde bedrijven voor die in opdracht van bijvoorbeeld de overheid sites op het Dark Web volgen en niets anders dan dat doen. Banken, verzekeraars en defensie beschikken allemaal over forensische afdelingen. Dit werk is dus zeker niet voorbehouden aan de politie alleen.

Hoewel het forensische werk soms heel ingewikkeld kan worden, zijn er ook zaken die relatief eenvoudig boven water te halen zijn, als je maar weet hoe je dat moet doen. Als gebruiker kun je op die manier snel zelf een aantal zaken achterhalen.

In de internetheaders van emailberichten kan bijvoorbeeld gezien worden waar het bericht echt vandaan werd gestuurd, ondanks dat het een ander emailadres heeft meegekregen. Outlook biedt de optie al dit te zien, maar omdat de gemiddelde gebruiker van ICT geen idee van deze mogelijkheid heeft, kan hij eenvoudig voor de gek worden gehouden.

Om dit te kunnen doen open je een mailbericht in zijn eigen venster en kies je het menu ‘Bestand’. Druk daarna op de knop ‘Eigenschappen’. In het tekstvak Internetheader kan nu een groot aantal technische gegevens worden teruggevonden.

Dat je niet overal forensische experts voor nodig hebt, bleek ook toen in 2015 Noorse journalisten een manier vonden om de beschikking over een logbestand te krijgen van een server dat maar liefst een kleine 40 miljoen downloads van kinderporno beschreef. Die server was niet goed beveiligd. Dat logbestand vermeldde niet alleen welke bestanden gedownload waren, maar ook waar vandaan dat gebeurde en in een groot aantal gevallen zelfs door wie omdat er een emailadres aan de gebruiker gekoppeld was. De journalisten speelden een deel van deze lijst door naar medewerkers van het televisieprogramma Brandpunt. Dat deel bevatte de gegevens van een kleine vijfhonderd Nederlandse downloaders. Door zelf gegevens op het internet te combineren kon men bij Brandpunt meer dan tachtig downloaders traceren. Zij confronteerden een aantal daarvan met de gegevens die zij gevonden hadden en maakten daar een programma over.

De gebruikers van deze server meenden blijkbaar dat ze anoniem gebruik maakten van die dienst, maar echt anoniem bestaat niet op het internet. Neemt men voldoende tijd voor onderzoek dan is het haast onmogelijk om onder de radar te blijven. De vraag is wel of het in een aantal gevallen het onderzoek waard is. Met die vraag kampen veel forensische afdelingen omdat ze altijd onderbemand zijn en onderzoek veel tijd vergt.

Criminelen leren natuurlijk ook en daar waar het gaat om zichzelf te verbergen op het internet is er dan ook een wedloop op gang gebracht. Zij worden geraffineerder omdat mensen worden gepakt, en duidelijk wordt hoe dat gebeurde. Er wordt dan logischerwijs een nieuwe manier bedacht om dat in de toekomst te voorkomen. De forensische rechercheur heeft als een van zijn taken om die nieuwe methoden te herkennen en er snel actie tegen te ondernemen.

Met de beperkte capaciteit is het niet mogelijk om achter iedere zaak aan te gaan. Frustrerend, want forensisch onderzoek zou mogelijk kunnen leiden tot het vinden van de persoon die een bepaalde foto heeft gepost, een bepaalde bedreiging heeft geuit, of zich schuldig heeft gemaakt aan smaad. Zaken die voor slachtoffers heel belangrijk kunnen zijn, maar soms helaas in het niet vallen tegen de grotere zaken die ook opgelost moeten worden. Zelfs in bepaalde cases waarbij het slachtoffer zelf digitale sporen heeft laten uitzoeken en dit overdraagt tijdens een aangifte, wordt niet altijd actie ondernomen. De politie is immers ook onderbemand en moet daarom prioriteiten stellen.