Superscience: digital forensics om scenario’s te testen

Digitale spelden in data-hooiberg

Complicerende factor is de grote hoeveelheid digitaal materiaal. Schat maar eens in hoeveel digitale apparaten en hoeveel data er wordt ingenomen als de politie invallen doet bij tien appartementen op tien locaties. Een gemiddeld persoon kan al een smartphone, een smartwatch, een laptop, een tablet en online-opslag hebben, een louche ondernemer kan verschillende smartphones en computers hebben, voor verschillende doeleinden.

Om de beschikbare - en groeiende - bergen data door te spitten, heeft het Nederlands Forensisch Instituut (NFI) een zoekplatform ontwikkeld: Hansken. Vernoemd naar een circusolifant die in de 17e eeuw is geschilderd door Rembrandt. “Hansken kon in het publiek [van een circusvoorstelling - red.] een crimineel aanwijzen”, licht Henseler toe. Het gelijknamige zoekplatform van de 21e eeuw doet inmiddels al dienst bij veel opsporingsdiensten.

Een eerdere forensische zoekmachine, Xiraf, is volgens Henseler slachtoffer geworden van het eigen succes. Die voorganger van Hansken was namelijk niet goed schaalbaar. Het nieuwe NFI-systeem is gebaseerd op Hadoop (dat toevallig als beeldmerk een knuffelolifantje heeft) en valt daardoor juist zeer goed op te schalen. “Gewoon een server bijzetten.”

Cryptofoons en combinaties

Een voorbeeld uit de praktijk wat digitale data allemaal kan betekenen voor opsporing en veroordeling van criminelen is het succes dat is geboekt met cryptofoons en versleutelde chat-apps. Sky ECC en Encrochat zijn twee gevallen uit de criminele wereld waarbij niet alleen de afgetapte conversaties van belang zijn geweest. Ook de combinatie met gewone, herleidbare smartphones; om zo communicatie te kunnen koppelen aan personen. “Kun je bewijzen of twee smartphones in dezelfde broekzak zaten? Hoe waarschijnlijk is het?” Data kan het antwoord verschaffen.

Henseler benadrukt dat het hierbij niet alleen gaan om kunnen bewijzen, maar ook om kunnen ontkrachten. Scenario’s falsificeren dus. “Stel: je vindt een lichaam, maar hebt geen verdachte. Of: je hebt wel een verdachte, maar geen lichaam.” Ook dan kan data veel betekenen om diverse mogelijke scenario’s te voorzien van verschillende waarschijnlijkheden.

Over de enorme hoeveelheden door te spitten data geeft Henseler nog een opmerkelijk praktijkgevolg aan van het criminele communicatienetwerk Encrochat: “We moeten de zaken erbij zoeken.” Er is veel, heel veel data beschikbaar, maar dat moet nog gekoppeld worden aan opsporingszaken en misdaden (waaronder ook onvermoede of onbekende misdaden).

Naast data-overvloed is er nog een ander probleem dat speelt voor digital forensics: versleuteling. “Het wordt steeds moeilijker om telefoons uit te lezen.” Dat hoeft vooralsnog geen enorm probleem te zijn, want gelukkig zijn er nog veel andere databronnen. Bijvoorbeeld IoT-apparaten (Internet of Things), daar is encryptie nogal zeldzaam. Dit mede vanwege relatief weinig rekenkracht en kleine batterijen, wat weer vanwege lage prijsniveaus is.

Zélf nadenken

Henseler relativeert nog: over vijf jaar zullen veel van de huidige middelen en methoden verouderd zijn. Door bijvoorbeeld ‘iOS 19’ tegen die tijd. “We leren studenten om zelf na te denken en om zelf tools te maken.” Simpelweg vertrouwen op middelen die nú werken, is niet houdbaar en dus niet slim.

Belangrijk hierbij is om ook verder te kijken dan alleen bestaande of geijkte middelen. De huidige grote commerciële tools komen uit Zwitserland, Canada, de Verenigde Staten en Israël, vertelt Henseler. Maar van de FlitsMeister-app hebben veel onderzoekers en opsporingsmensen niet gehoord. “Die app houdt wel elke drie seconden je locatie bij.”

Dan nog is het zaak om gezond verstand te gebruiken, om niet te verdrinken in data. Door te denken in waarschijnlijkheden valt er beter te bepalen welke onderzoeksrichtingen wat kunnen opleveren. “Als je in een onderzoek honderd telefoons hebt, ga je niet honderd keer FlitsMeister-apps uitlezen.” Dat moet dan alleen voor toestellen worden gedaan waarbij twijfel bestaat over de locatie van de toestelgebruiker, of het waarheidsgehalte van diens verklaring over locatie.

Hansken voor wetenschappers

Naast zelf nadenken wordt er ook verder gebouwd aan digitale tools. Enerzijds dankzij vooruitgang op het gebied van bijvoorbeeld deep learning, waar Henseler dertig jaar terug is gepromoveerd op neurale netwerken. Anderzijds met vooruitgang op het gebied van ‘simpelweg’ de gebruikersinterface. “Voor rechercheurs moet de interface echt beter worden, want zij gebruiken digitale forensische tools zeker niet dagelijks." De werking moet dan intuïtief en simpel zijn - zonder dat dat de effectiviteit of accuraatheid raakt.

Het doorontwikkelen van digitale opsporingsmiddelen gebeurt niet alleen binnen het NFI of de politie, geeft Henseler nog aan. Zo wordt er van de forensische zoekmachine Hansken een academische versie gemaakt, waar hij bezig mee is bij de Hogeschool Leiden en de UvA (Universiteit van Amsterdam). “We proberen subsidie te krijgen om de academische versie als experimenteerplatform aan te bieden.” Dat is dan niet slechts voor gebruik ‘buiten de politie’, maar ook voor verbouwen en verbeteren van Hansken.

De toevoeging van externe plugins, bijvoorbeeld voor data-extractie, kan leiden tot een ware appstore voor ontwikkelaars. Dit kan dan interessant zijn voor wetenschappers, terwijl Hansken voor forensisch onderzoekers en voor de politie ‘puur’ kan blijven. “Ik probeer een brug te slaan tussen wetenschap en recherche.” Digital forensics heeft namelijk een grootse toekomst: anno nu heeft naar schatting zo’n 90% van alle opsporingszaken een digitaal component.