Belastende nullen en enen

Rechtszaken zonder digitaal bewijsmateriaal zijn er bijna niet meer. Onkunde leidt tot onhoudbare vonnissen. Carola Houtekamer

unieke camera Het Nederlands Forensisch Instituut krijgt soms de vraag van justitie om uit te zoeken of een foto met een bepaalde camera is gemaakt. Dat kan helpen bij het opsporen van de fotograaf. Als een foto uit een kinderpornocollectie met dezelfde camera is gemaakt als een foto met mensen die de verdachte kent, heeft de officier van justitie een extra aanwijzing. Ruifrok: “Dit kunnen we uitzoeken met camera fingerprints. Pixels op de beeldchip in een digitale camera reageren niet allemaal even sterk op licht. Dat patroon is op de foto niet zichtbaar voor het oog. Maar met filters kun je dat wel achterhalen.” Door naar dode pixels te kijken die helemaal niet op licht reageren heeft het NFI een keer vast kunnen stellen dat een foto van een bepaalde camera afkomstig was. Canon PowerShot SD800 IS Digital ELPH

Tijdens de les verschenen er opeens pornoplaatjes op het computerscherm van Julie Amero, schooljuf in de Amerikaanse staat Connecticut. Het begon toen ze een website probeerde te sluiten. Amero klikte de foto’s weg, maar er bleven maar nieuwe blootplaatjes verschijnen. Het ging de hele dag door. Heel expliciete beelden. Amero, onhandig met computers, schakelde het apparaat niet uit. Kinderen die langs het scherm liepen, zagen zo bijvoorbeeld een foto van een stel dat orale seks had.

Amero werd gearresteerd. Ze hield vol dat ze geen idee had hoe de plaatjes op haar scherm waren gekomen. Het was ook niet haar computer, ze was invalkracht. Desondanks werd ze vorig jaar schuldig bevonden aan het tonen van pornografisch materiaal aan kinderen en aan het afbreken van hun moraal. Er hing haar veertig jaar celstraf boven het hoofd.

Op internet brak na de veroordeling een storm van protest los. In de rechtszaak zou van alles mis zijn gegaan. Uit het rechtbankverslag bleek dat niet was onderzocht of er een virus of malware op de computer stond. Malware is software die zelfstandig informatie kan binnenhalen om advertenties te tonen, of om clandestien in de computer rond te neuzen.

De verklaringen van een computerexpert over hoe plaatjes zonder medeweten van de eigenaar op een computer kunnen belanden, bleven buiten de zaak vanwege een procedurefout. De virusscanner op de computer bleek verlopen. Ook dat liet de rechter buiten beschouwing.

chaos

Er is de laatste decennia een stortvloed aan nieuw digitaal bewijsmateriaal én ontlastend materiaal ontstaan. Maar ze leveren chaos op in de rechtspraak, omdat advocaten, rechters en rechercheurs ze vaak niet begrijpen en omdat ze geen idee hebben van de nieuwste technieken. Daardoor is het hun vaak niet duidelijk waarnaar ze onderzoek moeten doen, of welke getuige-deskundigen ze moeten horen.

In de zaak-Amero hielpen de protesten van ‘leken’. Vorig jaar werd besloten de zaak te herzien. Wanneer dat gaat gebeuren is niet duidelijk.

Amero is – als ze onschuldig is – de dupe van twee fouten. De politie en de openbaar aanklager verrichtten geen fatsoenlijk technisch onderzoek naar de computer waarmee ze werkte. En de rechter had geen idee welke intelligente vragen hij moest stellen over porno pop-ups.

vervalsen

Het ging om technisch onderzoek en de bewijskracht van digitaal materiaal. Dat waren precies de onderwerpen van de conferentie Digital Evidence, deze zomer in Londen. Daar kwamen juristen, rechters, en forensisch experts uit de hele wereld bij elkaar om vast te stellen wanneer digitaal bewijs overtuigend genoeg is om een verdachte te veroordelen. En om te praten over hoe rechercheurs en forensisch experts het best digitaal bewijs kunnen verzamelen.

Er zijn niet veel rechtszaken meer zonder digitaal bewijsmateriaal. Al is het maar omdat de politie bij een arrestatie bijna altijd een mobieltje in beslag neemt. Het bewijsmateriaal kan uit een e-mailconversatie bestaan, een sms, de agenda op een palmtop, een digitale foto, een weblogartikel, beelden van beveiligingscamera’s. Of het is complexer bewijsmateriaal dat is achterhaald door forensisch experts, zoals malafide software, virussen, gemanipuleerde bestanden, of bestanden waarvan de computereigenaar dacht dat hij ze gewist had.

De rechter moet op grond van ‘wettig en overtuigend bewijs’ vonnissen. In de zaak-Amero oordeelde de rechter dat Amero bewust naar pornosites had gesurfd. Zíj zat immers achter de computer. 28 computerexperts betoogden daarna in een paginagrote advertentie in een lokale krant dat Amero géén controle zou hebben gehad over de pornoplaatjes. De bewijsvoering was verre van sluitend, vonden zij.

hoofdletters

“Rechters kennen nauwelijks de caps-lock functie”, sneerde op de Londense conferentie de IJslandse advocaat Gunnar Thor Thorarinsson. De toets om blijvend hoofdletters te typen weten ze niet te zitten. Vanouds is dat een toets voor computerkenners, want programmataal, die typte je in hoofdletters. Thor Thorarinsson verdedigde in een fraudezaak een voormalig medewerker van investeerder Baugur. Een groot deel van de e-mails die van belang waren, werd alleen op de computer van de eiser gevonden, niet op die van de gedaagde. Nu koesterde de eiser wrok tegen de gedaagde, dus rees de vraag of de e-mails wel echt waren. „De rechter”, zegt Thor Thorarinsson, „had geen idee dat het heel makkelijk is om een e-mail te vervalsen. Een expert moest dat komen demonstreren.”

De mailtjes uit de zaak zagen er volgens de advocaat op het eerste gezicht authentiek uit. Maar zonder de gegevens over de tijdstippen waarop de computer was gebruikt en wat er toen verstuurd was, de logfiles, kon niemand uitsluitsel geven. De politie had die files niet gekopieerd. De e-mails mochten uiteindelijk niet worden ingebracht als bewijs.

Niet alleen de IJslandse rechter was onkundig, ook de IJslandse politie beging hier blunders. Dat komen de deelnemers wel vaker tegen. Zij boden op de conferentie tegen elkaar op met sterke verhalen: “De politie nam alleen het beeldscherm mee, niet de computer.” Of: “Wat heb je aan een computer als alles op een server staat?” En: “Ze lieten de computers zes maanden wegrotten tussen de verloren tassen. Zonder stroom.”

“Een computer uitzetten die anders altijd aan staat”, benadrukken de aanwezige forensische experts, is een doodzonde. Daarmee wis je tijdelijke bestanden die veel nuttige informatie kunnen bevatten.

bewaarkopie

Tonja Fritz-Johnson van de Londense politie probeert dergelijke blunders te voorkomen. Ze heeft onlangs voor de Britse politie regels opgesteld voor digitale foto’s. Regels als: gooi geen fotobestanden weg, maak zo snel mogelijk een werkkopie en een bewaarkopie, stal de kopieën op een veilige plek. Voor de hand liggend, “maar het gaat vaak mis.”

“Als er twijfels bestaan over de authenticiteit van een foto, wordt die meestal niet gebruikt in een rechtszaak”, zegt Fritz-Johnson. Het is Groot-Brittannië nog nooit voorgekomen dat een zaak hing op de vraag of een foto authentiek was of bewerkt. Dat vindt ze jammer, want zo kan ze niet controleren of haar regels afdoende zijn.

De in Londen aanwezige rechters gaven wel toe dat ze vaak niet op de hoogte zijn van de laatste ontwikkelingen. Maar dat is ook het geval bij ingewikkeld sporenonderzoek of DNA-bewijs. De rechtbank is in digitale gevallen net zo goed aangewezen op forensische experts, die toelichting kunnen geven op het bewijsmateriaal.

In Nederland werken digitale forensische experts bij het Nederlands Forensisch Instituut (NFI), de politie en enkele commerciële bedrijven als Fox-IT. Het NFI behandeld zo’n tweehonderd tot driehonderd digitale zaken per jaar. Dat is het topje van de ijsberg, zegt het NFI, want de politie doet nog veel meer.

Arnout Ruifrok van de afdeling digitale technologie en biometrie van het NFI wordt soms opgeroepen om een verklaring af te leggen in de rechtszaal. Bijvoorbeeld: is onze verdachte wel degene die we op de beveiligingscamera zien? Ruifrok, in het bedrijfsrestaurant van het NFI: “Vaak geef ik vooral aan waar de beperkingen liggen. Dat de resolutie laag is, en de belichting slecht.”

Ruifrok kromt regelmatig zijn tenen bij het programma Opsporing Verzocht. “Dan hoor je ze vragen, terwijl je de rug van een schimmig figuur ziet: er móet toch iemand zijn die deze persoon herkent? Dat kan vrijwel nooit.” Ruifrok kan wel de lengte bepalen van de figuur, of schatten wat zijn of haar snelheid is. Dat geeft wat extra informatie bij opsporing.

Ruifrok: “We krijgen soms slecht materiaal, zoals een fax van een printje van beveiligingscamerabeelden. Dat is dan vaak afkomstig uit een oude zaak, uit 2002 bijvoorbeeld. Daar kun je niet veel meer mee.”

Over onkunde in de rechtspraak willen Ruifrok en zijn collega Erwin van Eijk niet oordelen. De vragen die het hof meestuurt met het bewijs zijn soms onhandig geformuleerd, zegt Van Eijk. “Maar het hof weet wel vaak wat het wil weten. En als wij de vragen niet snappen, nemen we contact op met de griffier of de rechter-commissaris.”

Soms krijgt Ruifrok beeldmateriaal binnen waarvan hij moet beoordelen of er mee is gerommeld. Dan controleert hij of het licht dat op de objecten in de foto valt altijd uit dezelfde hoek komt, of de lichtjes in de ogen van de gefotografeerde mensen wel dezelfde vorm hebben, waar de schaduwen vandaan komen, of er herhalingen in het beeld zitten van delen die gekopieerd zijn.

De vraag of een bepaalde foto bewust gemanipuleerd is, krijgt Ruifrok niet zo vaak. Veel vaker wordt hem gevraagd of hij aan de hand van beelden kan reconstrueren wat er precies is gebeurd. Ruifrok: “Wordt hier werkelijk geslagen op deze homevideo? Zien we hier een wapen? Uit welke hoek wordt er geschoten? Wordt er gericht geschoten? Dat soort vragen.”

Cruciaal is dan om te weten of hij het complete filmpje in handen heeft. “We kregen ooit een filmpje waar misdragingen van de politie op stonden. Dan vragen we ons af: missen we beelden waarin iemand misschien zelf uithaalt naar de politie?”

Goed kijken naar onnatuurlijke overgangen is één manier om daar achter te komen. Als een filmpje binnen is opgenomen, heeft Ruifrok nog een andere methode tot zijn beschikking. “Het lichtnet geeft een frequentie van 50 hertz af, een redelijke microfoon pikt die toon op. De frequentie fluctueert een beetje en die fluctuatie wordt in Europa bijgehouden in netstatistieken.” Als Ruifrok reden heeft om te twijfelen aan het verloop van het filmpje, kan hij de toon uit het filmpje naast de netstatistieken leggen. “Dan kunnen we zien of er rare overgangen in zitten. En is de clip werkelijk van tien voor vier tot tien over vier opgenomen, zoals de maker beweert?”

unieke plek

Op dit moment, zegt Ruifrok, wordt onderzocht hoe lang het fragment moet zijn om het op één unieke plek te kunnen matchen met de netstatistieken. “Dan weet je wanneer het filmpje is gemaakt.”

De afdeling digitale technologie en biometrie van het NFI is in tien jaar tijd verdubbeld en telt nu circa dertig onderzoekers die alleen met digitale zaken bezig zijn. De behoefte aan digitale forensische experts groeit, omdat niet alleen het bewijs digitaliseert, ook de misdaad zelf.

Skimming en phishing bijvoorbeeld, zijn snel groeiende vormen van digitale misdaad. In Londen was er aandacht voor de omvang en de techniek. Skimmen is, in zijn meest geavanceerde vorm, het aflezen van de informatie op de magnetische strip van pinpassen of creditcards, door ín een pinapparaat illegale afleesapparatuur te bouwen die zowel de informatie van de pinpas als van de ingetoetste pincode registreert.

Bij phishing achterhalen internetcriminelen creditcardgegevens en wachtwoorden, door zich online voor te doen als een betrouwbare instantie zoals een bank. Wie het slachtoffer zover krijgt dat deze zijn creditcardnummer invoert op een nepwebsite, heeft gegevens waarmee hij financiële transacties kan doen.

Het verlies door skimming en phishing zou wereldwijd per jaar in de miljarden lopen. Alleen in Groot-Brittannië al kostte creditcardfraude in 2006 428 miljoen Britse ponden (bijna 540 miljoen euro). Het cijfer komt van de organisatie Apacs, die het Britse betalingsverkeer overziet,

Phishers werken internationaal, wat vervolging bemoeilijkt. Bovendien worden phishingwebsites vaak door meerdere onafhankelijke groepen beheerd, zegt Van Eijk van het NFI. “Dat verkleint de pakkans.”

kinderporno

Het aantal phishingzaken dat Van Eijk onder ogen krijgt is niet zo groot. Het online verhandelen van kinderporno, een andere populaire, lucratieve misdaad, komt hij vaker tegen. De vraag die Van Eijk daar regelmatig van het hof bij krijgt is: hoe komen deze plaatjes op deze computer?

Van Eijk: “We bekijken eerst wat er in de omgeving van de plaatjes is gebeurd. Soms zegt een verdachte: de kinderporno is er door een ander opgezet. Als wij dan in een chatgesprek zien dat hij heeft gezegd: ‘part 253 is binnen’ en op dat moment is er een kinderpornobestand met nummer 253 binnengehaald, dan is dat natuurlijk een aanwijzing.”

Het NFI doorzoekt ook altijd de ‘vrije ruimte’ op de schijf, op zoek naar verwijzingen naar illegale sites of ‘kassabonnetjes’ met creditcardnummers. Van Eijk. “Les één: data zijn nooit weg, totdat ze overschreven zijn. Wie zeker wil weten dat data kwijt zijn, moet de gasbrander pakken.” De zoekmethoden bieden geen garantie op succes. Vaak zijn er simpelweg te veel data om te doorzoeken. Van Eijk: “We moeten altijd schiften. Als je een harde schijf van 160 gigabyte uitprint, heb je een paar trucks met opleggers nodig voor het papier.”

Ook als er niks verdachts gevonden wordt, gaat Van Eijk op zoek naar een andere verklaring voor de pornoplaatjes. Misschien staan er virussen op de computer, of stukken software die eigenhandig bestanden van het net plukken. Daar kan de eigenaar van de computer niet altijd wat aan doen.

Net zoals in de zaak van schooljuf Amero. Die zaak is een onwaarschijnlijke blunder, stellen de aanwezigen in Londen. “Er is niet nagedacht”, zei de Amerikaanse advocaat Daniel Perry: „In VS telt: seks x kinderen = schuldig. Hoe dan ook.” Maar hoe voorkom je zulke blunders?

Rechtenstudenten moeten verplicht les krijgen in hoe computers werken en het internet in elkaar steekt, vinden juristen. Rechters en advocaten moeten de gigantische achterstand in kennis wegwerken en moeilijke zaken niet vermijden, zodat er jurisprudentie wordt opgebouwd. De politie moet haar personeel trainen in fatsoenlijk omgaan met digitaal bewijsmateriaal. Forensisch experts zelf moeten op de hoogte blijven van de nieuwste modellen afleesapparatuur, software en fraudemethodes.

“Het allermoeilijkste is het kraken van goede encryptie, de versleuteling waarmee criminelen hun internetactiviteiten beveiligen”, zegt van Eijk van het NFI. “Maar van wie moeten wij daar les in krijgen? We zitten al op de beste plek.”