In cybercrime-zaken, maar ook bij andere misdrijven, neemt de politie soms veel digitale apparatuur van de verdachte in beslag. Aan specialisten van de politie de uitdaging om deze devices te doorzoeken op bewijsmateriaal. Daarbij is zeker niet alles zomaar toegestaan, vertelt cybercrime-specialist Erwin. Toch zijn hij en zijn collega’s criminelen regelmatig te slim af.
Gegevensdragers die in beslag zijn genomen, kunnen het bewijsmateriaal bevatten waar de recherche in een zaak naar op zoek is. Het verzamelen van de data is meestal het werk van het Team Digitale Opsporing. “Maar dat is helemaal afhankelijk van hoe de gegevensdragers eruitzien. Voor elk soort apparatuur zijn er specialisten bij de politie”, zegt senior cybercrime-specialist Erwin, die werkt in het cybercrimeteam van de politie-eenheid Amsterdam. De laatste jaren worden volgens hem steeds minder laptops en pc’s in beslag genomen en is er een enorme toename in mobiele apparatuur zoals smartphones en tablets. “Bij één inval merkten we bijvoorbeeld dat phishing-websites volledig met iPads en iPhones werden beheerd, terwijl we vooraf hadden gedacht vooral laptops aan te treffen. Verder komen we veel iot-apparatuur tegen die nuttige data kan bevatten, en dan is er ook nog de automotive apparatuur. Als we deze gegevensdragers niet uit een voertuig kunnen verwijderen, nemen we het vervoermiddel in zijn geheel in beslag.”
Politie heeft geen carte blanche
Wat er als eerste gebeurt met de apparatuur is in de afgelopen jaren wel veranderd. Voorheen waren de onderzoekers van de politie gefocust op het maken van een forensische kopie. “Alle data veiligstellen door simpelweg de stekker eruit te trekken, gaat tegenwoordig bij veel apparatuur niet meer. Devices kunnen dusdanig zijn beveiligd dat we er geen toegang meer toe hebben zodra ze worden uitgeschakeld. Dat levert een uitdaging op. Een image maken van een harde schijf gaat vaak niet meer, we maken nu in veel gevallen een live image. Afhankelijk van het onderzoek dat vooraf heeft plaatsgevonden weet je meestal wel ongeveer welke apparatuur je tegen gaat komen. Daardoor kunnen we de nodige voorbereidingen treffen.”
Een veel voorkomende misvatting is dat de politie vrijelijk door een in beslag genomen apparaat mag ‘rommelen’, op zoek naar data. “Ik geef lezingen op scholen en hoor daar vaak dat de politie en de overheid zo gemakkelijk aan gegevens van burgers kunnen komen. Maar het werkt anders dan in een aflevering van CSI waarin een telefoon op tafel wordt gelegd en binnen drie seconden alle data op een scherm tevoorschijn worden getoverd.” Aan alles wat de politie doet met de in beslag genomen apparatuur is een behoorlijk strenge toetsing verbonden, zegt Erwin. “Wij mogen alleen op zoek naar data die zijn te relateren aan strafbare feiten. Hoe meer inbreuk wij daarbij maken op het privéleven van een verdachte, hoe zwaarder de toetsing van de officier van justitie of rechter-commissaris.”
Iot en encryptie ''Het zijn uiteindelijk allemaal bits en bytes, en tot op dat niveau kunnen wij onderzoek verrichten.''
Waar zoeken Erwin en zijn collega’s dan naar? “Bij cybercrimezaken gaat het om sporen die duiden op communicatie en verbindingen met externe servers. Maar er zijn ook veel misdrijven die geen cybercrime zijn maar waarbij het onderzoek wel een digitaal element bevat. Stel, er is iemand vermoord en dit slachtoffer heeft een slimme koelkast. Dan willen wij graag weten wanneer die koelkast voor het laatst open is geweest. In veel zaken gaat het ook om camerabeelden, of om welke contacten er met anderen zijn geweest.” De lastigste onderzoeken zijn die waarbij data is encrypt, vindt Erwin. “Als je de juiste encryptie gebruikt met een wachtwoord van meer dan twintig karakters is het voor ons eigenlijk onmogelijk om in te loggen. Als de verdachte het wachtwoord niet wil geven nadat hij of zij contact met zijn of haar advocaat heeft gehad, wordt het voor ons een flinke uitdaging.”
Toch is het ook mogelijk om technieken te bedenken waarmee je op voorhand het wachtwoord al weet te verkrijgen, zegt Erwin. “Dan moet je denken aan de terughack-wet, waarbij een commissie moet toetsen of het middel überhaupt ingezet mag worden. En dan heb je nog het Nederlands Forensisch Instituut (NFI, -red.) waar we mee samenwerken. Soms is er sprake van zwakkere encryptie, encryptie die niet goed is gebruikt, of er is sprake van softwarefouten. Daar kunnen we wel wat mee.” Specifieke tools kan hij niet benoemen, maar eigenlijk wordt alles gebruikt “wat maar voorhanden is” om inzicht te verkrijgen. “Het zijn uiteindelijk allemaal bits en bytes, en tot op dat niveau kunnen wij onderzoek verrichten. Als je bijvoorbeeld een database gaat onderzoeken, heb je het bijbehorende databaseprogramma nodig. Maar misschien wil je wel meer onderzoeken, bijvoorbeeld verwijderde records. Dan ga je met een hex-editor aan de slag om op een laag niveau naar de data te kijken.”
Scripts voor data-analyse
Als het gaat om het inzichtelijk maken van automotive data kan contact worden gelegd met de fabrikant. In veel andere gevallen ontwikkelt de politie zelf ook tools. “We programmeren bijvoorbeeld scripts met Python of andere tools voor data-analyse.” Dit alles is voor Erwin geen onbekend terrein. Hij werkt al achttien jaar bij de politie en heeft een achtergrond in programmeren en reverse engineering. “Ons doel is data inzichtelijk krijgen. Een verschil met andere sectoren is dat wij hier vaak dubbel werk doen. We onderzoeken iets met één tool en bevestigen het vervolgens met andere tools. Je moet immers ook het proces-verbaal opmaken dat wordt gebruikt in de terechtzitting tegen de verdachte. Bewijsmateriaal moet dan absoluut dubbel gecheckt zijn.”
Het verwerken en filteren van informatie gebeurt op allerlei manieren en met allerlei tools. “We indexeren teksten, maken tijdslijnen, je kunt het zo gek niet bedenken of het komt wel voorbij als het gaat om informatie. We krijgen bijvoorbeeld zicht op wanneer bepaalde programma’s zijn gebruikt, of maken een programma om alle apps uit een device te halen.” Voor alles wat de onderzoekers vinden, maken ze een hash om te verzekeren dat data niet meer kunnen worden gemanipuleerd. “Technisch gezien is ook een hash nog altijd niet waterdicht, maar door het combineren van technisch bewijsmateriaal met bevindingen eromheen beschikken we over sterke aanwijzingen in een zaak.”
Vacatures
Benieuwd naar de vacatures bij de politie? Cybercrime specialist, Digitaal specialist, Informatieanalist, Deliverymanager en Big Data specialist zijn vacatures die op dit moment open staan. Klik hier voor meer informatie!
Reverse engineering
Het zou een reclameslogan kunnen worden voor werken bij de politie: ‘Bij ons zie je de nieuwste apparatuur!’ Wat nog niet in de winkel ligt, ligt vaak al wel op het bureau van Erwin. “Uiteindelijk zit er vaak een stekker en een usb-aansluiting aan en bevat het een geheugenchip waar data op worden opgeslagen. Aan de hand daarvan kunnen we starten met reverse engineering. Als het nodig is, keren we zo’n apparaat helemaal binnenstebuiten om het te onderzoeken. Waar nodig vragen we ondersteuning van het NFI of de fabrikant.” De meest exotische apparatuur die de cybercrimespecialist is tegengekomen, stamt nog uit de ’skimming-tijd´. “Door veiligheidsmaatregelen in de financiële sector is skimming bijna helemaal gestopt, maar enkele jaren geleden zagen we dat bendes soms hele pinautomaten hadden nagebouwd, met veel technisch vernuft.”
Veel onderzoek anno nu heeft te maken met servers die gebruikt worden om strafbare feiten te plegen. “We hebben daarbij het voordeel dat we vaak samenwerken met de hostingprovider die ons van data kan voorzien. Die data kunnen we ook vorderen na toestemming van de rechter-commissaris.”
Tot slot nog de vraag of er iets is wat de politie wel kan maar waarvan het grote publiek dit niet weet? ”Nou, we ontwikkelen veel technieken om alsnog toegang te krijgen tot devices. Laat de boef maar denken dat we iets niet kunnen, dan zal de rechtszaak het tegendeel bewijzen. Maar in die transparantie ligt wel ons nadeel. Wij moeten die technieken namelijk beschrijven voor de rechtszaak. En we zien ook wel dat verdachten hun activiteiten daarop aanpassen in volgende zaken. Uiteindelijk moeten we onze geheimen weleens prijsgeven. Dat vind ik eigenlijk niet erg, het is voor ons juist de uitdaging om onze kennis binnen de kaders van de wet toe te passen."
Benieuwd geworden naar werken bij de politie? Lees meer over hoe jij als IT-professional kunt bijdragen aan een veiliger Nederland op it.kombijdepolitie.nl.
Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.
:strip_exif()/u/199591/crop67714e65d41e0_cropped.webp?f=community){kind=small}
:strip_icc():strip_exif()/u/523372/crop5ee3b71a015c5_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/535868/crop602666c56a991_cropped.jpg?f=community){kind=small}
/u/189240/av70.png?f=community){kind=small}
/u/428156/crop5a71b220278ac_cropped.png?f=community){kind=small}
:strip_exif()/u/44466/hihi.gif?f=community){kind=small}
:strip_exif()/u/285020/crop6085b8acc4f0d_cropped.gif?f=community){kind=small}
/u/4739/logo-clean-icon.png?f=community){kind=icon}
:strip_icc():strip_exif()/u/439769/crop5a510243ea2e3_cropped.jpeg?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
/u/233220/crop58c922806f3c4_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/280243/crop5fc7990200093_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/27690/Misc_-_Boy.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/299339/anonpict.jpg?f=community){kind=small}