Bewijsmateriaal van criminele botnets op afstand veiligstellen en analyseren. Het is één van de innovaties waaraan het NFI werkt en die de politie flinke tijdwinst moet opleveren. “Rechercheurs hoeven in de toekomst voor onderzoek niet langer langs bij hostingbedrijven. Dat spaart tijd en geld uit”, zegt projectleider Ruud Schramp.

Het veiligstellen van digitaal bewijsmateriaal van botnets is zeer arbeidsintensief.

Hij is sinds 2007 verantwoordelijk voor de analyse van informatie van computers. Schramp onderzoekt opslag, formaten en cryptografie van digitale bestanden. Het veiligstellen van digitaal bewijsmateriaal van botnets is zeer arbeidsintensief.   “Dat vindt nu plaats in de datacentrums van hostingbedrijven. Behalve een technisch rechercheur moet ook een (hulp-) officier van justitie mee om de data te kopiëren. En daar zit dan ook vaak iemand van het datacentrum bij. Bovendien, als een rechercheur de data kopieert bij de hostingbedrijven, kan hij deze niet gelijktijdig analyseren. Dat betekent dus ook dat hij ook alles moet kopiëren. En dat kan uren duren.”  

Botnets

Maar wie het onderzoeksproject van Schramp en zijn collega’s precies wil begrijpen, moet eerst weten wat een botnet precies is en doet. “Een botnet is een netwerk van gehackte en geïnfecteerde computers. Criminelen gebruiken deze botnets vaak om slachtoffers te chanteren en om hen op die manier geld afhandig te maken”, zegt Schramp.

“Criminelen gebruiken daarvoor websites. Die worden weer gehost door hostingbedrijven.”   De criminelen verschuilen zich achter verschillende identiteiten, bijvoorbeeld door handig gebruik te maken van gehackte websites van bedrijven, die zelf niet doorhebben dat ze worden misbruikt. Of ze huren – met behulp van gestolen creditcards of bitcoins– servers bij deze hostingbedrijven. “Maar iedereen maakt foutjes. Deze criminelen ook. En dus moet je die ene fout zien te vinden. Daarmee kunnen we de ware identiteit van de dader achterhalen. Een manier om die fout te vinden, is van veel computers de meest kansrijke data veiligstellen.”  

Hostingbedrijven

En daarvoor moet deze data van een gehackte server bij hostingbedrijven worden veiliggesteld. Beide partijen zijn daar vaak niet blij mee, omdat dit uren kan duren. “Als sprake is van een verdenking, vindt een triage plaats, bijvoorbeeld om te kijken of er sporen zijn van strafbare feiten. Daarvoor is niet alle data nodig. Mocht er aanleiding voor zijn, kunnen later altijd nog alle gegevens worden gekopieerd.  

En zo komt Schramp bij het idee achter het onderzoeksproject met de titel ‘Aanpak cybercrime via hostingbedrijven’. “Als de politie op afstand aan de slag kan, scheelt dat veel tijd. Zo’n onderzoek kan overigens alleen op vordering van een officier van justitie en met medewerking van een hostingbedrijf worden gestart.” 

“Als de politie op afstand aan de slag kan, scheelt dat veel tijd."

Strengste veiligheidseisen

Het project is nog niet afgerond: Schramp en zijn collega’s sleutelen nog aan de software die het kopiëren van data op afstand mogelijk moet maken. De NFI-experts moeten daarbij niet alleen rekening houden met de strengste veiligheidseisen, het moet ook forensisch verantwoord gebeuren. “Je kunt heel veel verzinnen, maar uiteindelijk moet het wel aan de wetgeving voldoen.”

Schramp ontwikkelt een forensisch besturingssysteem die hostingbedrijven kunnen starten als er een verzoek van een officier van justitie komt. Iedere analyse bevat een unieke code en kan alleen voor één specifieke zaak worden gebruikt. Daarna kan de politie de informatie binnenhalen en onderzoeken.   Vooralsnog is het te vroeg om de methode daadwerkelijk toe te passen in echte onderzoeken. Maar Schramp heeft goede hoop dat dit volgend jaar wel kan. “Als de tool klaar is, willen we deze als open source software wereldwijd beschikbaar stellen.”