Iedere vorm van criminaliteit heeft tegenwoordig een digitale component. Ennetcom, Encrochat, Sky ECC en Exclu zijn voorbeelden van versleutelde communicatiediensten gebruikt door criminelen. Hoe ontsleutel je die? En hoe vind je juridisch bewijs in computers en digitale media? Dat is het vakgebied van forensisch ict. In september start de eerste masteropleiding op Hogeschool Leiden. Wat kunnen geïnteresseerden verwachten? Tim van Kins, tweedejaars student Digital Forensics, heeft al aan het vak gesnuffeld (en is zijn eerste criminele opponenten al te slim af).
‘Waar was John McAfee?’ Die vraag mocht Tim van Kins (student Digital Forensics aan Hogeschool Leiden) beantwoorden in het kader van een studieopdracht. De opdracht was min of meer toevallig ontstaan. Een docent had een tweet ontdekt: een foto van McAfee omringd door vijf bodyguards. (Voor zover bekend reisde de illustere tech-pionier nooit zonder beveiliging.) De tweet was geplaatst op 28 januari 2020, anderhalf jaar voor diens zelfgekozen dood in 2021. Op de achtergrond zien we een tankstation. Is het Duits? Deens? Frans? Waar precies was John McAfee toen de foto werd genomen? ‘A free beer to anyone who can guess where we were’, had McAfee er zelf bij geschreven.
Interessante opdracht voor Van Kins en zijn medestudenten. Ze mochten alle ethisch en juridisch toegestane (digitale) middelen gebruiken die ze maar wilden om de exacte locatie te achterhalen. En dat is nou precies het domein van forensisch ict, een jong en snel groeiend vakgebied dat inspeelt op de actualiteit van vandaag.
Door de snelle veranderingen in de reguliere ict-technologie, en de steeds sneller vernieuwende gebruikstoepassingen, verandert de behoefte aan onderwijs voor forensisch ict voortdurend. Nieuwe digitale componenten leveren steeds vaker aanwijzingen (bewijsmateriaal?) bij misdrijven. Tegelijkertijd zijn er met de komst van nieuwe technologie ook nieuwe vormen van criminaliteit ontstaan. Daarmee groeit de behoefte aan goed opgeleide digitaal onderzoekers. Daarom gaat op Hogeschool Leiden in september de master Digital Forensics van start, waarvan zes vakken ook als losse cursus worden aangeboden.
Browning M2 .50
Van Kins (23) woont met zeventien huisgenoten in een studentenhuis in Leiden. In zijn vrijetijd doet hij aan rugby. Daarnaast traint hij voor de halve marathon. Van Kins is een van de oudere tweedejaars studenten Digital Forensics in een groep van veertig – hij had een korte carrière voorafgaand aan de opleiding. Voordat hij begon, werkte hij vier jaar bij de Pantsergenie, een gevechtsondersteunende afdeling van het ministerie van Defensie. Daar werd de kiem gelegd voor een baan als digitaal onderzoeker.
Van Kins: ‘Ik was boordschutter op een Boxer, een zwaar pantserwielvoertuig. Mijn wapensysteem was een Browning M2 .50, een machinegeweer van 38 kilo. De opleiding bij de Pantsergenie was een feestje. Maar na vier jaar moest ik beslissen. Doorgroeien of iets anders gaan doen? Ik wilde niet oud worden bij Defensie. Na een gesprek met de officier besloot ik te gaan studeren. Ik hoefde niet lang te zoeken. Bij Defensie hadden we huizen onderzocht op datadragers, laptops en usb’s. We waren ook mee geweest met de FIOD en dat sprak me aan. Toen heb ik gekeken wat voor studie daarbij zou kunnen passen. Digital Forensics stond goed aangeschreven. En Leiden was voor mij gunstig qua ligging, ik kom hier vandaan.’
In september 2021 ging hij van start en mocht hij gaan snuffelen aan het digitale onderzoekswerk. De vakken en opdrachten in de vierjarige opleiding zijn praktijkgericht. De studenten krijgen casussen mee en moeten plannen van aanpak opstellen (alleen of in een team) voor vakken als Computer Forensics, Network Forensics, Mobile Forensics, Machine Learning en Malware. Ook is er een keuzevak Ethisch Hacken. Alles in de studie draait om waarheidsvinding, legt Van Kins uit in een van de vele vergaderruimtes van Hogeschool Leiden, waar zo’n 13.500 studenten werken aan hun toekomst.
Methamfetamine
Waarheidsvinding was ook het uitgangspunt bij het startproject van dit studiejaar, de casus Narcos. De studenten werd gevraagd in de huid te kruipen van forensisch onderzoekers van de douane van Nieuw-Zeeland. Die had zogenaamd twee verdachten aangehouden op de luchthaven van Wellington en vond naast kleren en twee laptops ook een kilo crystal meth in hun bagage. De twee zouden de drugs af moeten leveren op een aangegeven adres in het plaatsje Petone. Daar werd niemand aangetroffen maar de douane vond wel drugs, wapens en een computer. De studenten moesten de harde schijven van de laptops en computer onderzoeken om achter de motieven en doelen van de verdachten te komen. Om de opdracht moeilijker te maken, draaiden de drie devices op drie verschillende versies van Windows 10.
Van Kins en zijn teamgenoten gebruikten VMware voor de virtuele machine en verschillende tools om de images te onderzoeken. Van Kins licht toe: ‘Je kunt een telefoon koppelen aan je computer en een complete kopie maken van alles wat erop staat. Dat noemen ze een image. Ik heb er laatst eentje gemaakt van een telefoon met 128 gigabyte in gebruik en dat duurde ongeveer twee uur. De tijd dat het kost hangt af van hoe vol de telefoon staat.’
Meestal komen de studenten niet met echte criminelen in aanraking. Soms ook wel. Van Kins: ‘We hebben net een project gedaan rond openbronnenonderzoek, dus alles wat je op internet kunt vinden. We kregen ‘illegale sigaretten’ als onderwerp. We zijn gaan kijken naar webshops, voornamelijk uit Oost-Europa, die sigaretten naar Nederland verzenden met een te hoog teer- en nicotinegehalte. Op Cheapcigarettes.com worden sigaretten aangeboden met een teervolume boven de wettelijk toegestane 10 mg en een nicotinevolume boven 1 mg. Die mogen in Nederland niet worden verkocht. Er staan 539 merken op Cheapcigarettes.com. Die gaan we natuurlijk niet allemaal handmatig controleren. Daar hebben we een script voor geschreven met Python. Kijk, in dit bestand zie je in één oogopslag welke merken illegaal zijn, een stuk of twintig.’
Samen met NFI
Hogeschool Leiden wil met de studie Digital Forensics haar maatschappelijke impact vergroten. Eerder dit jaar tekenden de hogeschool en het NFI (Nederlands Forensisch Instituut) een overeenkomst om de samenwerking rond forensische opleidingen te intensiveren en de forensische onderzoekspraktijk te versterken.
‘Deze samenwerking is een uitgelezen kans’, zei NFI-directeur Wetenschap & Technologie Annemieke de Vries tijdens de ondertekening van het contract. ‘In een innovatieve omgeving zoals de onze heb je kruisbestuiving nodig tussen praktijk en wetenschap. Bij het doen van onderzoek in strafzaken stuit je soms op problemen en de wetenschap kan die helpen oplossen. Aan de andere kant worden in de wetenschap ontwikkelingen gedaan die je ook op ideeën kunnen brengen voor tools of methoden voor forensisch onderzoek. En als NFI zijn we altijd op zoek naar nieuwe, talentvolle onderzoekers die ons kunnen helpen.’
Onderzoekers van het NFI gaan vanaf september lesgeven tijdens de nieuwe tweejarige deeltijd masteropleiding Digital Forensics. Ze leren studenten te werken met artificiële intelligentie, bijvoorbeeld bij het ontwikkelen van nieuwe plug-ins voor de digitale forensische zoekmachine Hansken. Daarmee kunnen opsporingsdiensten grote hoeveelheden digitale data organiseren, analyseren en snel doorzoeken. Ook leren ze de studenten de nieuwste tools en technieken toe te passen om cryptotelefoons uit te lezen. De studenten helpen op hun beurt het NFI met onderzoek. Ze trainen modellen, ontwikkelen nieuwe software en tools voor Hansken of helpen met het uitvoeren van experimenten om smartphones en apps te onderzoeken.
Darkweb
‘Leuk om te doen’, vindt Van Kins. Echt spannend wordt het voor hem op het darkweb. Ook daar is hij zo nu en dan te vinden. Er worden naast illegale sigaretten ook wapens en drugs aangeboden. Van Kins: ‘Silk Road was een paar jaar geleden op darkweb zo’n marktplaats voor drugsdealers. Het is heel makkelijk om zo’n site te hosten, dat hebben we zelf ook gedaan met de Tor Browser. Dan heb je een onion-link nodig met heel veel cijfers en letters. Zoiets is bijna niet te vinden. Er is geen zoekmachine voor het darkweb dus zo’n link kun je niet zoeken, die krijg je via via.’
Van Kins heeft nog twee jaar de tijd om zich te beraden op zijn toekomst in forensisch onderzoek. Bang dat er geen werk is, hoeft hij niet te zijn. De banen liggen voor het oprapen bij organisaties als de Douane, FIOD en NFI en bedrijven als Fox-IT en Hoffmann Bedrijfsrecherche. Van Kins heeft wel al een idee van welk kant het op zou kunnen gaan: ‘Ik vind data interessant, en misschien malware, daar ben ik in de studie net aan begonnen. Maar ik heb nog tijd genoeg.’
Waar was John McAfee?
Terug naar John McAfee. Waar is die foto nou gemaakt? Van Kins vertelt hoe de puzzel werd gekraakt: ‘We waren erachter gekomen dat McAfee een paar dagen daarvoor in Duitsland was door een foto van hem voor een Duits hotel. Daarna had hij gecommuniceerd dat hij onderweg was naar Londen. Via Google Maps hebben we een route geplot vanaf dat hotel. Aan de blauwe pompen en het rode dak herkenden we het Esso-tankstation. De achtergrond is vrij vlak, waarschijnlijk ergens aan een snelweg. We hebben elk Esso-tankstation op de route bekeken. Vervolgens is het een kwestie van van bovenaf vergelijken in Google Maps. Je ziet de grote paal en het huisje op de achtergrond. Zo vonden we de locatie: Baden-Baden, aan de grens met Frankrijk.’
Digitaal rechercheren is een interessant vakgebied waar groeimogelijkheden in zitten door de sporen die we achterlaten maar waarin het gebruik van alle juridisch toegestane (digitale) middelen nog wel een ethische discussie kent. De waarheidsvinding middels een onafhankelijke rechterlijke toetsing kent namelijk nog wat juridische bezwaren als gevolg van rechten die verdachten hebben. Onder verdachte omstandigheden heeft John McAfee een einde aan z’n leven gemaakt, zijn verwijzing naar Epstein in tweets is opmerkelijk. ]
Wat betreft waarheidsvinding hoor ik dan ook graag het hele verhaal want John McAfee kunnen we het niet meer vragen. Achterhalen van de motieven op basis van het handmatig puzzelen aangaande markante herkenningspunten op de achtergrond ben ik dan ook vooral benieuwd wie de man is waarmee John McAfee op de foto staat. Het lijkt me namelijk niet één van zijn bodyguards als ik kijk naar de omringende sportschool types als entourage. Het puzzelen in complottheoriën is leuk maar zoals gezegd kent de waarheidsvinding via een onafhankelijke toetsing nog zoiets als een andere belichting van de feiten.
Zo hoor ik vanuit het domein dat criminelen zich aanpassen want het waar, wanneer en met wie gaat tenslotte om een alibi.