Tekst Ruben Murk

Forensisch hardware-onderzoekers uit tien landen kwamen begin april bij het Nederlands Forensisch Instituut (NFI) bijeen om samen nieuwe technieken te ontwikkelen om toegang te krijgen tot geheugenopslag van bijvoorbeeld mobiele telefoons of een auto. “Het is goed voor je netwerk. In al die landen staan we voor dezelfde uitdagingen.”

Het NFI onderzoekt jaarlijks honderden chips; de experts halen informatie uit de chips, maken een forensisch verantwoorde kopie en sturen deze terug zodat rechercheurs dat kunnen gebruiken voor hun onderzoek.

Marcel Breeuwsma is forensisch onderzoeker bij de divisie Digitale en Biometrische Sporen (DBS) van het NFI. Hij ontwikkelde onder meer de NFI Memory Toolkit, apparatuur om gegevens van chips uit bijvoorbeeld telefoons uit te lezen en te kopiëren. Ook zet hij zijn expertise regelmatig in om informatie uit moeilijk te lezen chips alsnog te ontsluiten.
Het NFI onderzoekt jaarlijks honderden chips; de experts halen informatie uit de chips, maken een forensisch verantwoorde kopie en sturen deze terug naar de politie, zodat rechercheurs dat kunnen gebruiken voor hun onderzoek, of de NFI experts doen zelf verder een specifiek onderzoek.

Trends

Breeuwsma organiseerde samen met Winston Siauw en Mark Roeloffs de Forensic Hardware Investigation Meeting. Hierbij waren ruim tien NFI collega’s aanwezig. “Het was de 21 editie”, vertelt Breeuwsma, die bij bijna alle voorgaande meetings aanwezig was. “Het NFI heeft ooit het initiatief hiervoor genomen. Het idee is dat hoe meer je samenwerkt, hoe meer oplossingen voor problemen je kunt vinden. Er zijn bepaalde trends die je in alle landen ziet terugkomen.”

Een nieuw soort techniek stelt forensisch onderzoekers altijd weer voor nieuwe uitdagingen.

Nieuwe Samsungs en een Audi

Een week lang zaten de hardware-experts uit de tien Westerse landen samen om elkaar lezingen te geven en onderzochten ze in groepen hoe je informatie uit digitale gegevensdragers op forensisch verantwoorde wijze kunt veiligstellen. “Zo keek één groep hoe ze het geheugen van nieuwe Samsung-telefoons kunnen uitlezen. Deze telefoons maken gebruik van een nieuw soort geheugen, namelijk UFS”, vertelt Breeuwsma.

Zo’n nieuw soort techniek stelt forensisch onderzoekers altijd weer voor nieuwe uitdagingen. “Je wilt de informatie zo volledig mogelijk veiligstellen en een exacte kopie maken van het originele geheugen.” Breeuwsma refereert aan het digitaal forensisch onderzoek van twintig jaar geleden. “Je was toen enorm hip als je een PDA had. Dat was een soort digitale agenda. Als de batterij leeg was, dan was je alles op het geheugen ook kwijt. Je moest zo’n PDA dan ook onder spanning laten, om de informatie op de PDA veilig te stellen. Dat probleem heb je tegenwoordig niet meer.”

Auto’s zijn rijdende computers geworden. We verwachten dat we in de toekomst daar steeds meer onderzoek aan gaan doen. Eén van de groepen boog zich daarom over een Audi. “Auto’s slaan alles op. Hoe hard heeft de auto gereden? Stond de auto op cruise control? Die gegevens kunnen belangrijk zijn bij een onderzoek naar een ongeval.”

Autofabrikanten en technologiegiganten willen vaak niet delen hoe die informatie is opgeslagen. Dat is in veel gevallen bedrijfsgevoelige informatie. “Daarom zijn deze meetings zo belangrijk. Je onderzoekt samen met andere experts de mogelijkheden die informatie toch te ontsluiten. Dat kan cruciaal zijn in een strafzaak.”