Tech Schatgraven In de criminele databerg

Met deze eigen zoekmachine spit de politie schatten aan digitaal bewijs door

De politie heeft niet genoeg aan Google om de enorme hoeveelheden data van criminelen door te ploegen. Daarom heeft het Nederlands Forensisch Instituut (NFI) een eigen zoekmachine ontwikkeld. Vangt het sleepnet niet veel te veel?

Beeld ANP

Het zit ze duidelijk dwars bij het Nederlands Forensisch Instituut (NFI). Ze zijn trots op hun zelf ontwikkelde zoekmachine Hansken, maar deze wordt door critici neergezet als onbetrouwbaar. Een zwarte doos. Of erger nog: een grofmazig sleepnet waarmee de politie complete databestanden kan leegtrekken.

Hansken kwam in de schijnwerpers bij de zogenoemde Mocro War. In 2017 werd bekend dat justitie miljoenen versleutelde berichten in bezit had. Een goudmijn: criminelen communiceerden onderling via speciaal geprepareerde Blackberry-telefoons. Over liquidaties bijvoorbeeld. Door gebruik te maken van zogenoemde PGP-encryptie waanden ze zich veilig, maar justitie wist de encryptiesleutels in handen te krijgen, waarmee in één klap 3,6 miljoen berichten van 40 duizend telefoons konden worden gelezen.

Spil in deze doorbraak was de Nijmeegse aanbieder Ennetcom, die de onder criminelen populaire telefoons prepareerde. Afgeplakte camera’s en encryptie ten spijt: door een rondslingerende digitale sleutel was alle moeite voor niets. De databerg van Ennetcom geldt nu als een schatkamer aan bewijs. En Hansken helpt de berg te doorzoeken.

Beeld ANP

Hoe Hansken werkt

Marjolijn Brouwer (adviseur digitaal en biometrisch forensisch onderzoek bij het NFI) en Harm van Beek (forensisch wetenschapper en een van de grondleggers van Hansken) willen graag vertellen hoe Hansken werkt. Want de kritiek raakt ze, zegt Brouwer. ‘Als onafhankelijk instituut willen we juist dat alles uitlegbaar en transparant is, dat zit in ons dna.’

De locatie: het hoofdkwartier van het NFI in Den Haag. Lange gangen waar achter de vele gesloten deuren ongetwijfeld spannende dingen gebeuren. Digitale dingen, steeds meer. Dáár vinden de grote veranderingen plaats, zal Brouwer later vertellen. Terwijl buiten de regen ongenadig tegen de ramen dreunt, geeft Van Beek in zijn kamer een demonstratie van Hansken.

Het is een op het eerste gezicht verrassend gebruiksvriendelijke zoekmachine waarin ook digibeten makkelijk kunnen rondstruinen in grote databases. Zij kunnen op verschillende manieren zoeken en via filters steeds specifiekere informatie naar boven halen, uit alle door één persoon gebruikte apparaten tegelijk.

Een olifant vergeet nooit iets

Zoekmachine Hansken is vernoemd naar een olifant die in de 17de eeuw door de VOC naar Nederland werd gehaald en vervolgens op tournee ging door Europa. Mensen konden tegen betaling komen kijken naar Hansken, die allerlei kunstjes had geleerd. Beroemd is de schets die Rembrandt maakte van de olifant. Het NFI vernoemde zijn zoekmachine naar het beest omdat olifanten bekendstaan om hun goede geheugen.

Bijvoorbeeld: alle afbeeldingen uit september 2012 die gemaakt zijn met een Canon EOS 4000D. Hansken presenteert ieder bestandje, ieder plaatje, ieder mailtje waar een zoekterm in voorkomt, vergezeld van alle meta-informatie. De machine kan desgewenst de informatie presenteren in tijdlijnen, datawolken of taartdiagrammen.

Je reinste dataporno dus. Die gebruiksvriendelijkheid is precies het uitgangspunt, legt Brouwer uit. Want de politie heeft een probleem:
er zijn simpelweg te weinig digitale rechercheurs die speciaal zijn opgeleid voor digitaal recherchewerk. Hansken moet de ‘gewone’ tactische rechercheur helpen. ‘Hij moet achter de knoppen kunnen zitten en zelf zijn weg vinden in een bak data’, zegt Brouwer. ‘Er zijn veel te veel zaken voor de pakweg zevenhonderd digitale experts die moeten assisteren bij het zoeken naar net dat ene mailtje.’

De behoefte aan een dergelijke zoekmachine is dus evident, maar dat geldt - voor de buitenwereld - niet voor de vraag: waarom moet het NFI die zo nodig zelf ontwikkelen? Kan er niet een bestaand pakket van de plank worden getrokken? Of Google desnoods?

Nee, zeggen Brouwer en Van Beek in koor. Hansken maakt weliswaar gebruik van bestaande onderdelen (zoals Google’s deep learning voor het herkennen van beeld of het Nederlandse Elastic Search), maar het eindproduct is een eigen maaksel, vanwege de eis dat iedere digibeet het moeten kunnen gebruiken. Maar ook omdat het NFI flexibel wil zijn. Brouwer: ‘De wereld verandert razendsnel. Iedere dag komen er wel weer apps bij die moeten kunnen doorzocht. De locatie van iemand via de Pokémon-app bijvoorbeeld. Of via een specifiek Nederlandse app als Buienradar.’ Vandaar dat zo’n twintig man aan Hansken werkt.

Irrelevant

David Graus, aan de Universiteit van Amsterdam gepromoveerd in zoekmachinetechnologie en digitaal forensisch onderzoek, werd door advocaat Inez Weski ingeschakeld om zijn licht te laten schijnen over Hansken. Weski verdedigde een van de verdachten van de Amsterdamse onderwereldoorlog. Graus vindt het een probleem dat de opbrengst van de zoekmethode onderdeel van het digitale bewijsmateriaal wordt.

‘Op welke woorden wordt gezocht? Neem een zoekterm als ‘buik’. In welke context wordt dat woord gebruikt? Het kan zomaar in het bakje met bewijsmateriaal terechtkomen, terwijl het bericht wellicht volkomen irrelevant was.’

Harm van Beek van het NFI zegt weinig met deze kritiek te kunnen. ‘Hansken is er juist op gericht zo veel mogelijk context te bieden. Bij ieder spoor geven we de hele tijdlijn en alle meta-informatie weer, zoals tijdstip en van welke app en apparaat de eigenaar gebruik heeft gemaakt. Dat kan juist beter dan in de fysieke wereld.’

Waanzinnig expliciete data

Strafrechtadvocaat Sander Janssen, ook bij de verdediging van een van de verdachten betrokken, heeft een ander bezwaar. ‘In de zoekmachine heb ik wel vertrouwen, maar hoe zit het met de data? Hoe zijn die veiliggesteld, wie had er toegang?’ Janssen twijfelt niet aan de inhoud van de berichten (‘waanzinnig expliciet’), maar vraagt zich wel af of de afzender ook echt de afzender is.

Janssen: ‘Het gaat uiteindelijk om nullen en enen waar van alles mee gedaan kan zijn. Wie had er toegang toen het systeem nog in de lucht was, vóórdat het bij het NFI terechtkwam? Wie was er bevoegd accounts te wijzigen?’ Ook wijst de advocaat op gaten in de database. ‘Missen we geen belangrijke berichten? Na een zoekopdracht verhuizen de resultaten van de grote bak naar een kleinere bak waar de politie dan verder in kan kijken. Maar mis je dan geen dingen?’

Van Beek: ‘Allereerst: ook in de fysieke wereld kun je onderdelen missen. Dat is geen specifiek probleem van een zoekmachine. Je bent per definitie niet compleet.’ En ook het andere door Janssen aangevoerde bezwaar is wat Van Beek betreft niet een specifiek digitaal probleem: ‘Met ieder bewijsmateriaal kan theoretisch wel gerommeld zijn. Het is aan ons om transparant te zijn over alles wat ermee gebeurt, en over de herkomst van sporen.’

Maar hoe zit het nu met dat sleepnet? Is het niet heel aantrekkelijk om de Ennetcom-database te gebruiken om daar eens lekker ongebreideld in rond te kijken? Dat mag niet, benadrukt Brouwer: de rechter commissaris moet voor iedere zoekactie toestemming geven.

Beeld ANP

Meer over de Ennetcom-database

Vijf vragen over het ‘grootste versleutelde criminele netwerk van Nederland’

Zorgen voor criminelen nu justitie versleutelde PGP-berichten kan lezen

Ontsleutelde telefoons wijzen naar Naoufal F. als spil in de ‘Mocro-war’, maar staat de rechter dit bewijs toe?

Justitie heeft toegang tot 3,6 miljoen versleutelde berichten van criminelen

Achttien jaar cel voor kopstuk ‘Mocro War’: ontsleutelde berichten onderwereld gelden als bewijs

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.