Geen gewrik met breekijzers meer, maar vingers die over het toetsenbord zweven. Om de geavanceerde misdaad te kunnen bestrijden, neemt de behoefte aan forensisch onderzoek van computers, mobiele telefoons, organizers, Internetverkeer toe. “Hoe slimmer de crimineel, des te slimmer je zelf moet zijn.”Interview met Gerben Wierda, hoofd van de afdeling Computeronderzoek van het Gerechtelijk Laboratorium.
Toen in 1994 het wetsvoorstel dat encryptie moest verbieden sneuvelde, was de overheid bang dat Justitie overspoeld zou worden met versleutelde communicatie waar men niet bij zou kunnen. Om daarop voorbereid te zijn hebben een aantal ministeries de handen ineen geslagen. Ze hebben gezamenlijk geld in ons werk gestoken, en zo kon de afdeling groeien.”
Gerben Wierda, sinds begin dit jaar hoofd van de afdeling Computeronderzoek van het Gerechtelijk Laboratorium (GL), heeft zijn baan te danken aan een ontwikkeling waar Justitie erg mee in haar maag zit: het toenemend gebruik van digitale techniek door criminelen. De afdeling Computeronderzoek ontwikkelt onder andere op dat gebied kennis om in de toekomst criminelen bij te kunnen benen. De afdeling ‘forensische IT’ is nog jong: pas in 1992 nam het GL het initiatief om een afdeling Computeronderzoek op te zetten. Toen werkten er vier mensen. In de huidige omvang (twintig medewerkers) bestaat de afdeling nog maar drie jaar. Wierda zelf trad begin dit jaar aan, na eerder gewerkt te hebben voor de Adviesraad Wetenschaps en technologiebeleid van de overheid, voor BSO/Origin en voor Akzo. Nog eerder volgde hij een studie Fysica aan de universiteit van Groningen, waar hij korte tijd medewerker was.
Niet betrouwbaar
De start in 1992 van de afdeling lijkt rijkelijk laat te zijn. Waren computers niet al sinds het begin van de jaren tachtig gemeengoed in de maatschappij? Wierda erkent dat de personal computer waarschijnlijk al eerder door criminelen gebruikt werd. “Maar”, nuanceert hij, “vergeet niet dat in de begintijd van de PC’s de computers nog niet zo betrouwbaar waren dat mensen alles in hun PC hadden. Veel werd uitgeprint en bewaard in ordners. De grote doorbraak in het gebruik van digitale middelen als GSM-telefoons, organizers, PC’s en Internet heeft pas in de jaren negentig plaatsgevonden.”
Digitale techniek verandert snel, en daarom besteedt het Gerechtelijk Laboratorium een kwart van haar tijd aan onderzoek en ontwikkeling. Hoe zijn de nieuwste organizers te kraken? Welke techniek ligt ten grondslag aan de nieuwste generatie telefoons en buzzers?
Wierda: “Vaak zijn nieuwe onderzoekszaken niet te onderscheiden van het ontwikkelingstraject. Als er een nieuwe organizer binnenkomt die we nog nooit eerder hebt gezien, dan moeten we hem toch aanpakken en uitvinden hoe zo’n ding werkt. Dan kopen we dus een tweede exemplaar van hetzelfde type, en halen die uit elkaar.” De onderzoekers van het GL kunnen het zich niet veroorloven fouten te maken bij de originele, inbeslaggenomen apparatuur.
Behalve ‘open systemen’ (onder andere computers) houdt de afdeling zich ook bezig met ‘gesloten systemen’ (telefoons, organizers maar ook auto-elektronica). Zo werd onder andere de cruise-control van zanger Marco Bakker op Wierda’s afdeling gefileerd. Binnenkort brengt het Gerechtelijk Laboratorium de tweede generatie uit van een apparaatje dat doeltreffend een groot aantal organizers kan ‘leegzuigen’. Alle politiekorpsen kunnen inmiddels over zo’n systeem beschikken.
Wetsvoorstel
Een belangrijke impuls om de afdeling Computeronderzoek uit te breiden ontstond in de jaren negentig. De politiek zinde op een wetsvoorstel dat een verbod op encryptie van berichtenverkeer beoogde, tenzij er sprake was van een expliciete vergunning. Het wetsvoorstel sneuvelde, en een lichte paniek onder opsporend Nederland volgde. Het tappen van telefoon- en modemlijnen is een populair opsporingsmiddel in Nederland. Nadat de commissie-Van Traa de politie qua opsporingsmiddelen behoorlijk aan banden legde, is het belang ervan alleen maar toegenomen.
Behalve encryptie zorgen ook de toenemende omvang en snelheid van het elektronische berichtenverkeer voor een afnemend nut van de klassieke tap-techniek. Iets waar recherche en Openbaar Ministerie zich grote zorgen om maken. Het Gerechtelijk Laboratorium profiteerde van de ontstane onrust en kon de afgelopen jaren een flinke afdeling Computeronderzoek opzetten. De toenemende stroom inbeslaggenomen organizers, telefoons, PC’s, tapes en disks (bijvoorbeeld in de Zandvoortse kinderpornozaak) droeg ook stevig bij aan de noodzaak tot groei.
Het gebruik van encryptie viel ten tijde van het wetsvoorstel overigens nog mee. ‘Crypto’, zoals Wierda het afkort, werd nog weinig aangetroffen onder criminelen. Dat is volgens de politie nog steeds zo, iets waar Wierda zich over verwondert en waar hij ook z’n vraagtekens bij heeft.
Wierda: “Wij krijgen van de Nederlandse politie nog steeds niet zoveel crypto-zaken aangeleverd. Het opmerkelijke is dat er vanuit het buitenland wel meer crypto-vragen naar ons toekomen. Dan kun je twee dingen bedenken: of het komt in Nederland niet voor, wat erg merkwaardig is, of het wordt in Nederland niet goed gezien. Mijn vermoeden is dat het er wel is. Maar de politie wordt overspoeld door inbeslaggenomen PC’s en elektronische agenda’s. Ze heeft ook te maken met onderbezetting. De rechercheurs hebben gewoon geen tijd om de diepte in te gaan en tijd te besteden aan het bekijken van iets wat er uitziet als rare onleesbare gegevens.”
Achterstand
De politie beschikt over zeven bureaus Digitale Expertise. Wierda: “Maar bij sommige bureaus zitten drie mensen die drie provincies moeten doen. Dat is geen royale bezetting, terwijl er ook nog eens relatief weinig geld beschikbaar is. Je kunt niet met het bedrijfsleven concurreren, dus de echte onderzoekstechneuten haal je niet binnen.”
Hij geeft nog een voorbeeld. “Er zijn situaties waarbij drie man twintig PC’s moeten onderzoeken met elk een harde schijf van 6 Gigabyte. Daar moeten ze dan bijvoorbeeld gezochte bestanden met kinderporno in opzoeken. Ga er maar aan staan!”
Wierda denkt niet dat bij de politie en het Openbaar Ministerie iemand twijfelt aan het nut van dit soort onderzoek. “Maar ik denk wel dat de kennis van de mogelijkheden nog niet zo groot is dat er optimaal gebruik van wordt gemaakt. De hoeveelheid middelen die men heeft is ook niet heel erg groot. De politie moet zich zelf afvragen hoe ‘erg’ zij het vindt dat ze niet zo diep kan graven. Ikzelf denk dat dingen die mensen proberen te verbergen in versleutelde bestanden, voor de opsporing uiteindelijk het interessantst zijn.” De vraag is in hoeverre de huidige situatie de politie op achterstand zet ten opzichte van criminelen. Wierda moet lang nadenken over het antwoord. Hij zegt: “Ik denk wel dat het de politie op achterstand zet. Ik denk niet dat ze voldoende middelen hebben om de stroom informatie te belichten en het fatsoenlijk aan te pakken. Het zou goed zijn als er in politieland meer digitale expertise zou zijn.”
De politie staat zeker niet stil op dit gebied, merkt hij. “Vier jaar geleden kwam elke buzzer of semafoon nog hier naartoe. Wij waren de eersten die dit deden. Inmiddels is de politie zelf beter uitgerust. Het zijn nu meer zaken als een zip-disk die iemand gebroken heeft. Dan wordt ons gevraagd: kun je er nog wat afhalen. Dat soort dingen.”
Ook gelet op de omliggende landen doet Nederland het nog niet zo slecht, vindt Wierda. In Duitsland bijvoorbeeld is de kennis enorm versnipperd over de diverse Länder (deelstaten). “Wereldwijd slaat Nederland geen slecht figuur qua digitale kennis. Zelfs de FBI is bij ons weleens komen kijken hoe het moest.”
Big Brother
Hoewel het zijn werk moeilijker maakt, is Wierda er niet rouwig om dat het wetsvoorstel tot een verbod op encryptie sneuvelde. “Ik ben persoonlijk een voorstander van vrije encryptie. Dat klinkt wat merkwaardig. Maar stel dat je de mogelijkheid van encryptie van berichtenverkeer niet zou kunnen benutten. Dan opent zich de mogelijkheid van een ‘Big Brother’-maatschappij.”
“Fysiek is het onmogelijk alle telefoonlijnen van Nederland af te luisteren, daar heb je gewoon de mensen niet voor. Maar digitale communicatie laat zich behandelen door computers. Dat betekent dat je alle e-mails zou kunnen filteren. Zo ontstaat er een mogelijkheid tot het massaal monitoren van de samenleving. In het tijdperk vóór de digitale techniek was dat niet mogelijk.”
Dat we momenteel een redelijk fatsoenlijke democratie kennen, zegt Wierda niet zoveel. “Het feit dat de huidige overheid zich in dit opzicht nog netjes gedraagt, wil niet zeggen dat het altijd zo blijft. Een wettelijke beperking is toch maar een papieren beperking. Bij een andersoortige regering geef ik geen cent voor die beperking.”
“Als ik moest kiezen tussen een samenleving zonder encryptie of een samenleving waar de encryptie zo sterk is dat we niet meer bij de communicatie kunnen komen op het moment dat die in transport is, dan kies ik toch voor het laatste.”
Daarbij speelt mee dat met de toepassing van encryptie niet alles gezegd, vindt hij. “Goed gebruik maken van cryptotechniek is niet eenvoudig. Vaak is het een ijzeren deur in een plaggenhut. Ongeveer zoals bedrijven die beschikken over dikke firewalls voor de beveiliging terwijl er 86 telefoonlijnen naar buiten lopen met modems eraan. Dat zie je heel vaak.”
Bovendien: “Jij en ik lezen geen versleutelde berichten. Daar zal toch eerst decryptie moeten plaatsvinden. De opsporing zal zich op die momenten kunnen gaan richten.” De mogelijkheden om te kraken zijn nog niet uitgeput, weet hij. “En je kunt alternatieven kiezen voor bruut geweld. Bijvoorbeeld een wachtwoord achterhalen zodat je toegang krijgt tot het gebruikte versleutelingsprogramma.” Overigens is er tussen betrokken partijen in het kader van het zogenaamde ‘Wassenaar Arrangement’ overleg gaande om te komen tot een standaardisatie van encryptie waar men, als de nood aan de man komt, wel doorheen kan. Het niveau van encryptie zou dan sterk genoeg moeten zijn om te voorkomen dat alle berichten gelezen kunnen worden. Wierda: “Maar het is de vraag of zo’n evenwicht haalbaar is.”
Minder effectief
Behalve door encryptie wordt het tapinstrument ook minder effectief door de toename van de hoeveelheid informatie die langs een tappunt gaat. Voor de onderzoekers van het lab is het van het grootste belang de hoeveelheid te onderzoeken informatie terug te brengen tot handelbare proporties.
Een volledige Internet-tap zou aan gegevens al snel 64 MB per seconde opleveren. Wierda: “Dan loopt je tape of je disk al snel vol. Je wilt alleen die dingen zien die de verdachte ziet.” En er is nog iets anders, weet Wierda: het zou maatschappelijk tot onrust leiden als op grote schaal Internetgebruikers getapt zouden worden bij gebrek aan mogelijkheden om de tap te verfijnen. Wierda: “De rechter heeft experts nodig die systemen kunnen ontwikkelen waar vertrouwen in bestaat. Daarvoor schakelen ze ons in.” Bespiegelend: “Je krijgt hier geen leaseauto, en de lonen zijn lager. Maar het is uitdagend werk, en ik heb het gevoel dat ik een goede bijdrage kan leveren aan de maatschappij.”
Auke Schouwstra, freelance medewerker
Digitaal rechercheren: zoektocht naar geld
Het Gerechtelijk Laboratorium ontvangt relatief weinig verzoeken van Nederlandse rechercheurs om versleutelde computerbestanden van criminelen te ontcijferen. Uit het buitenland komen die verzoeken wel. Gerben Wierda, hoofd van de afdeling Computeronderzoek van het Gerechtelijk Laboratorium, constateert dat de Nederlandse politie te weinig tijd en middelen heeft om inbeslaggenomen computers goed te onderzoeken. Want er is geen reden om te veronderstellen dat Nederlandse criminelen geen gebruik zouden maken van encryptie.
De politie zelf zegt, bij monde van het Nederlands Politie-Instituut, niet te weten waar het verschil vandaan komt. Woordvoerder W. van Natijne verwijst naar de nieuwheid van het fenomeen ‘digitaal rechercheren’ als reden voor het ontbreken van een verklaring. Het vakgebied is bij de politie sterk in ontwikkeling.
Nog maar vier maanden geleden bood de politie aan minister B. Peper van Binnenlandse Zaken een Nationaal Actieprogramma ‘Digitaal Rechercheren’ aan. Dat programma constateert enerzijds dat er nog veel werk te doen is op het gebied van opleiding, onderlinge coördinatie en wetgeving. Anderzijds meldt het stuk dat het opsporingsonderzoek de komende jaren onder invloed van de informatietechnologie sterk zal veranderen.
Om die twee zaken met elkaar te laten sporen, is veel geld nodig. Maar op de lopende begroting van de politie is dat geld niet te vinden. Het Nationaal Actieprogramma, dat vorig jaar al aangenomen werd, loopt daarom gevaar. Nu al is vertraging ontstaan in de uitvoering ervan. Reden waarom het Nederlands Politie Instituut Peper vraagt zelf met extra geld over de brug te komen: vijftien miljoen gulden in de komende twee jaar.
Internet-taps: providers blijven dwarsliggen
Internetproviders moeten volgens de nieuwe Telecommunicatiewet uiterlijk in augustus 2000 gereed zijn om te voldoen aan vragen van de rechterlijke macht om taps. Artikel 13 van de wet stelt hoge eisen aan de providers: ze moeten technische aanpassingen verrichten om rechercheurs ‘op elk moment’ in staat te stellen ‘mee te kijken’ met wat bepaalde verdachte klanten doen. De providers hebben al anderhalf jaar uitstel gekregen omdat ze er volgens henzelf technisch niet klaar voor zijn. Bovendien zouden de benodigde investeringen in de miljoenen lopen.
Bij de afdeling Computeronderzoek van het Gerechtelijk Laboratorium gaat men er niet van uit dat de Internetproviders volgend jaar augustus hun zaakjes voor elkaar hebben. G. Wierda: “Ik vermoed dat de zaak nog wel weer een keer ter discussie zal komen.” De providers willen eigenlijk onder de verplichting uit, is zijn taxatie. Dat klopt, zegt voorzitter A. Eisner van de Nederlandse Vereniging van Internetproviders (Nlip). Als er een verzoek komt van een rechter-commissaris om mee te werken aan een politie-onderzoek, doen de providers dat wel. “Wij zijn ‘law-abiding citizens’, we willen niet dat boeven vrijuit gaan. We onderwerpen ons aan de medewerkingsverplichting die de wet kent.”
“Maar de wet gaat verder. Maatschappijbreed is gezegd dat de wet te veel wil wat betreft het tappen van Internet. Internationaal zijn er ook discussies over wat de opsporing mag. We denken dat de wet op dat gebied nog wel aangepast wordt. Bovendien vinden we de eisen te ver gaan wat betreft het realtime-meekijken. Onze systemen zijn sterk beveiligd omdat we de klanten juist veiligheid willen bieden. Als rechercheurs er makkelijk in willen kunnen kijken, vraagt dat een grote investering. De Europese discussie op dit punt zegt dat het krankzinnig is providers voor die kosten op te laten draaien.” “Dus als u vraagt: voldoen de providers volgend jaar aan alle eisen die de wet stelt, dan zeg ik: nee.”
Wierda betitelt de opmerking dat de wet teveel wil op tapgebied, als flauwekul. “De eisen wijken niet af van de eisen die gesteld worden aan het tappen van een gewoon telefoongesprek. Door hun verzet zullen de providers uiteindelijk een slechter resultaat krijgen”, voorspelt hij. De technische bezwaren doet hij af als ‘onwil’.
Voordeel verdachte
Onderzoek naar computers levert soms ook informatie op die in het voordeel is van de verdachte, vertelt hoofd Computeronderzoek van het Gerechtelijk Laboratorium G. Wierda. Enige tijd geleden werd een systeembeheerder gearresteerd. Zijn directeur hield zich bezig met het witwassen van geld via zijn administratiekantoor. Op een kwade dag werd hij gevonden, doodgeschoten op de stoep van zijn kantoor.
De systeembeheerder werd aangetroffen in het bedrijf, terwijl het zeer vroeg in de ochtend was. Tegenover de recherche verklaarde hij dat hij of heel vroeg begon met werken, of later dan gebruikelijk. Zo vermeed hij files. Buurtbewoners verklaarden echter tegenover de politie dat ze hem nooit vroeg hadden zien aankomen.
Het team Computercriminaliteit van het betreffende politiekorps onderzocht zijn computer, en vond bewijzen dat hij wel degelijk af en toe zeer vroeg begon met werken. Op dat tijdstip lagen alle buurtbewoners nog op een oor! Kortom, de man sprak de waarheid en was geen verdachte meer.
