Tekst Ruben Murk

Het Nederlands Forensisch Instituut (NFI) heeft in een aantal  zaken met succes informatie kunnen ontsluiten uit zogenoemd NAND-flashgeheugen  van USB-sticks, telefoons en een tablet die waren beschadigd of beveiligd. Inmiddels is  de methode ook toegepast in een aantal zaken van internationale samenwerkingspartners.

Van Zandwijk ontwikkelde een methode waarbij hij – figuurlijk gesproken – het stoflaagje van de informatie afveegt, waardoor duidelijk wordt wat de informatie inhoudt.

Veel fabrikanten van digitale gegevensdragers zoals mobiele telefoons, USB-sticks of tablets gebruiken het NAND-flashgeheugen voor dataopslag. Na het opslaan van de gegevens kunnen er na verloop van tijd kleine foutjes ontstaan. Om de opslag betrouwbaarder te maken voegen de fabrikanten extra informatie toe die het mogelijk maakt deze foutjes te corrigeren.

Daarnaast worden de opgeslagen gegevens vanwege de betrouwbaarheid op een bepaalde manier gemaskeerd. “Wij noemen dat laatste een digitaal stoflaagje. De gebruiker merkt daar bij normaal gebruik helemaal niets van omdat het stoflaagje er door het apparaat zelf weer afgehaald wordt”, vertelt digitaal forensisch onderzoeker Jan Peter van Zandwijk

Defecte of beveiligde apparatuur

In bepaalde gevallen kunnen forensisch onderzoekers tegen het probleem aanlopen dat ze de informatie wel uit een NAND-flash geheugenchip kunnen veiligstellen, maar het ‘digitale stoflaagje’ nog aanwezig is, waardoor het onmogelijk is de informatie te lezen. “Dat kan bijvoorbeeld voor komen als apparatuur is beschadigd of omdat het beveiligd is met een code. Het stoflaagje zit dan nog steeds op de informatie. Tot voor kort konden we de informatie wel veiligstellen, maar was het onleesbaar en dus onbruikbaar.”

Van Zandwijk ontwikkelde een methode waarbij hij – figuurlijk gesproken – het stoflaagje van de informatie afveegt, waardoor duidelijk wordt wat de informatie inhoudt. Daarnaast gebruikt hij de door de fabrikant toegevoegde extra informatie om eventuele kleine foutjes in de gegevens zelf te corrigeren.

“We weten dat hoe langer iets in het geheugen staat, hoe meer kleine foutjes er in de informatie optreedt. Als je weet hoe dat proces precies werkt, kun je mogelijk iets zeggen over de tijd dat iets in het geheugen heeft gestaan.”

Twijfel? Vooronderzoek biedt uitkomst

De onderzoekers van het NFI kunnen met de methode alle soorten denkbare informatie uit het NAND-flashgeheugen zichtbaar maken. “Het hangt er maar helemaal van af wat voor informatie in het geheugen opgeslagen is. Niet alleen foto’s, maar bijvoorbeeld ook documenten, sms-berichten of internetgeschiedenis.”

Maar, zo stelt Van Zandwijk, de methode hoeft niet altijd het gewenste effect op te leveren. “Je hebt bij voorkeur een referentieapparaat nodig en het lukt soms ook niet om gegevens leesbaar te maken. Als de politie twijfelt, kunnen ze altijd een vooronderzoek aanvragen. Wij onderzoeken of het zinvol is om de methode in te zetten.”

Wat verraden foutjes nog meer?

Van Zandwijk ziet meer mogelijkheden met zijn methode. Hij ziet “enige potentie” in het dateren van informatie aan de hand van deze foutjes. “We weten dat hoe langer iets in het geheugen staat, hoe meer kleine foutjes er in de informatie optreedt. Als je weet hoe dat proces precies werkt, kun je mogelijk iets zeggen over de tijd dat iets in het geheugen heeft gestaan.”

Maar daar is meer onderzoek voor nodig. “We zouden daarvoor het liefste samenwerken met de academische wereld om te zien welke mogelijkheden daar zijn.”