Tekst Ruben Murk
De politie roept regelmatig de hulp van experts van het NFI in om digitale sporen in bijvoorbeeld computers en mobiele telefoons te vinden en te analyseren. Tycho Bot geeft in februari op de NFI Academy de cursus Forensic Data Analysis, waarin hij ingaat op de mogelijkheden en waarschuwt voor de valkuilen.
Bot is forensisch onderzoeker digitale technologie bij het Nederlands Forensisch Instituut. Samen met zijn collega’s analyseert en interpreteert hij grote hoeveelheden digitale sporen in strafzaken. Zijn kennis brengt hij tijdens de cursus over.
De wereld digitaliseert en dat betekent dat steeds meer voorwerpen steeds meer digitale sporen bevatten. Het NFI onderzoekt onder meer harde schijven van computers, mobiele telefoons en navigatieapparatuur. Maar ook minder voor de hand liggende apparatuur komt voorbij. Zo was een elektronische insulinepomp al eens onderwerp van onderzoek.
Overdosis
Het onderzoek van Bot en zijn collega’s kan allerlei relevante informatie opleveren, want mensen laten onbewust veel digitale sporen na. “We hebben bijvoorbeeld onderzoek gedaan in een zaak bij een vrouw bij wie haar twee dode kindjes waren aangetroffen. De vraag was of er sprake was van moord (voorbedachte rade) of doodslag”, aldus Bot.
“Uit onderzoek bleek dat de vrouw op een pc had gezocht naar een combinatie van de term overdosis en verschillende medicijnen. Daarbij vonden we ook het tijdstempel en wisten dus wanneer op die termen was gezocht.” De experts hebben ook methodes om te achterhalen of met het tijdstempel is geknoeid.
Bits en bytes
Bot laat tijdens de cursus zien hoe je digitale sporen kunt vinden, analyseren en interpreteren. “We gaan deelnemers daarvoor klaarstomen. Wat is informatie? Wat zijn bits en bytes? Hoe zijn die georganiseerd en wat zijn de valkuilen bij het onderzoek?”
De forensisch onderzoeker stelt de vraag en geeft zelf direct het antwoord: “Een valkuil is dat je door de informatiedrager te onderzoeken, je informatie aanpast of sporen kwijtraakt. Daardoor kan onduidelijk worden welke handelingen de verdachte heeft verricht en welke aanpassingen door toedoen van de onderzoeker zijn ontstaan.”
Kopie
De cursisten leren hoe ze dat kunnen voorkomen. “We leren hen hoe je een 1-op-1-kopie kunt maken en hoe je op een veilige manier gegevens kunt uitlezen zonder de integriteit van het bewijsmateriaal aan te tasten.” Maar de cursus gaat verder. “We vertellen de cursisten ook hoe je de informatie uit de kopie kunt halen, zodat je kunt achterhalen welk programma iemand heeft gebruikt, en of er sporen te vinden zijn dat iemand zijn computer aan heeft gehad op een door hem opgegeven tijdstip?”