Tekst Marieke van der Molen

Zijn eerste opdracht voor het Nederlands Forensisch Instituut (NFI) was software ontwerpen om een robot digitale zakagenda’s te laten kraken. Inmiddels werkt hij al ruim twintig jaar op de afdeling Forensische Digitale Technologie (team Crypto) van het instituut. Frank van der Neut was toen hij begon de eerste software engineer van het NFI. Nu zijn er twee teams voor Forensische Software Engineering (FSA).

De robot waar Frank de software voor ontwikkelde, heeft inmiddels in circa zeven onderzoeken dienst gedaan. “In vijf zaken heeft de robot een zakagenda ‘gekraakt’, waarvan één helaas letterlijk”. Normaal gesproken betekent ‘kraken’ het achterhalen van een code of wachtwoord. Door een programmeerfoutje begon de robot één keer op het scherm in plaats van op de toetsen van de zakagenda te hameren, vertelt Frank: “Dat vond de zakagenda niet leuk en die stopte meteen met werken.”

“Wat we vinden is voor de opsporing. Het kan ontlastend of belastend bewijs zijn. Het maakt mij niet uit, ik draag met mijn werk bij aan waarheidsvinding"

Hij leerde programmeren op één van de eerste computers voor consumenten, de Commodore 64. “We hadden er zelf geen, maar onze buren wel. Dus ik was altijd daar.” Hij schreef een spelletje en ontwierp een database met informatie voor de voetbalvereniging in Alkmaar waar zijn vader de pupillen trainde. Frank ging min of meer toevallig Informatica aan de Universiteit in Leiden studeren. “Ik wilde eerst Econometrie gaan studeren, maar dat zou dan Amsterdam worden en die stad trok mij niet. Mijn beste vriend ging Sterrenkunde studeren in Leiden, dus ik wilde daar ook wel heen. Daar hadden ze geen econometrie maar wel informatica. Dus was mijn keuze snel gemaakt.” 

Codes kraken

Met het ontwerpen van de software voor de robot voor het toenmalige Gerechtelijk Laboratorium, de voorloper van het NFI, rolde Frank in het vak van kraken van codes en crypto. Het blijkt de start van een langdurige carrière. Van der Neut krijgt een kick van het openmaken: “Wat we vinden is voor de opsporing. Het kan ontlastend of belastend bewijs zijn. Het maakt mij niet uit, we dragen met ons werk bij aan waarheidsvinding. Waar het mij om gaat, is dat het mij lukt om binnen te komen. Ik moét de code vinden.” 

Project CERBERUS

Het ontcijferen van vercijferde gegevens door het achterhalen van codes en wachtwoorden staat ook centraal in het Europese project CERBERUS, waarbij Frank als coördinator namens het NFI betrokken was. Mede dankzij dit project wist de Franse IRCGN, de Cyberunit van de Franse gendarmerie, mee te lezen met berichten op de server van Encrochat. Op deze communicatiedienst waanden criminelen zich veilig voor politie en justitie. Toch wisten de opsporingsdiensten uiteindelijk de berichten van criminelen mee te lezen. Het bleek een goudmijn. Ook de Nederlandse opsporingsdiensten profiteerden ervan. De politie vond de martelcontainers bij Wouw. En er zijn diverse strafzaken uit voortgekomen, zoals onder andere de zaak tegen Roger ‘Piet Costa’ R. 

Mede dankzij het project CERBERUS kon de cyberunit van de gendarmerie meelezen met de berichten op de server van Encrochat.

CERBERUS werd geleid door IRCGN, onderdeel van de Gendarmerie in Frankrijk. Naast de UCLD, de Universiteit van Dublin, deed dus ook het NFI mee. CERBERUS is ooit gestart om in Europees verband de krachten te bundelen tegen kindermisbruik en de verspreiding van kinderporno. De landen deelden onder meer relevante kennis en expertise met elkaar voor het ontcijferen van versleutelde informatie. De naam zegt dat ook al, want CERBERUS is de afkorting van Child Exploitation Response by Beating Encryption and Research to Unprotect Systems. Bij het verspreiden en opslaan van kinderporno wordt vaak gebruik gemaakt van cryptografie, een geavanceerd geheimschrift, waarbij de gegevens niet zomaar leesbaar zijn voor andere partijen. Het project duurde twee jaar en richtte zich op het ontwikkelen van geavanceerde methoden en technieken om bij te dragen aan het kraken van versleutelde informatie. CERBERUS bestond uit meerdere deelprojecten. 

In het eerste deelproject - waarbij de Fransen de leiding hadden -  werd een platform gebouwd waar Europese opsporings- en vervolgingsinstanties ( EU Law enforcement) zaken naar zouden kunnen insturen om automatisch wachtwoorden terug te krijgen om zo versleutelde informatie te ontcijferen. “Het gaat om sterke computers. Zeg maar het ijzer om te kraken”, aldus Frank. Hij vervolgt: “Het achterliggende platform gebruikt specifieke kennis van diverse wereldwijde forensische partners van de IRCGN en het NFI, om specifieke versleutelde technieken aan te pakken. En - hopelijk - op te lossen.” 

Hard rekenen

Een ander deelproject waar het NFI de leiding over had, was het bedenken en ontwikkelen van een manier om door beveiligingsmaatregelen heen te breken, die worden gebruikt door bepaalde apparaten. “Steeds meer moderne smartphones maken tegenwoordig gebruik van algoritmes om het kraken te vertragen. Bij het zoeken naar wachtwoorden maak je gebruik van een methode om snel te ‘rekenen’ met beperkt geheugen. Helaas is de opzet van de beveiligingsalgoritmes zodanig dat er niet snel gerekend kan worden. Dit soort algoritmes gebruiken namelijk relatief veel geheugen. Daardoor kunnen we maar heel weinig wachtwoorden proberen in een beperkte tijd, waardoor de kans op succesvol ‘kraken van het wachtwoord’ een stuk kleiner wordt.” Het NFI heeft tijdens het project een andere hardware-oplossing bedacht die precies dit probleem moet tackelen. Momenteel is er een prototype door het NFI ontwikkeld dat veelbelovend is. Verder onderzoek, ook na CERBERUS, is nodig om nog meer verbeteringen (versnellingen) door te voeren.

Wachtwoordenboeken

Daarnaast heeft het NFI in een ander deelproject ingezet op het ontwikkelen en verbeteren van (wacht)woordenboeken. Een wachtwoordenboek is een lijst met woorden die, al dan niet met variaties, worden uitgeprobeerd als wachtwoord om bij informatie te komen. Bij dit project had Van der Neut ook een inhoudelijke rol. “Criminelen werken over het algemeen met steeds sterkere wachtwoorden om hun informatie te beschermen. Daarom moeten wij ook slimmer worden om die te ontcijferen.” 
 

Het NFI verbeterde wachtwoordenboeken in onder andere het Nederlands, Engels en Russisch.

Van der Neut: “Stel je weet dat een wachtwoord bestaat uit 8 tekens. Dan kan je alle 95 mogelijke standaardkarakters (dat zijn hoofd- en kleine letters, cijfers, leestekens en spatie) van een toetsenbord gebruiken. Dan heb je in totaal ‘95 tot de macht 8’ is ongeveer 6.634.204.312.890.625 (meer dan 66 duizend miljard!) mogelijkheden. Omdat de kans dat een wachtwoord deels gebaseerd is op een woord, beperk je je met zoeken op basis van (wacht)woordenboeken met variaties snel de zoekmogelijkheden, en dus de doorlooptijd van je zoektocht. Let wel: er is GEEN garantie dat je dan een werkend wachtwoord achterhaalt. Een voorbeeld van een te proberen wachtwoord uit een woordenboek met variaties is bijvoorbeeld Welkom88. Het woord ‘welkom’ komt uit het woordenboek. De variatie hierop is: begin met een hoofdletter en plak twee cijfers erachter. In totaal heb je zo 100 mogelijkheden (Welkom00 t/m Welkom99).
 

Slimmer door publiek beschikbare wachtwoordbronnen

Het NFI heeft meerdere woordenboeken gegenereerd, waaronder een woordenboek dat bestaat uit honderden miljoenen van de meest gebruikte wachtwoorden. Maar ook woordenboeken gebaseerd op specifieke talen, zoals Nederlands (inclusief Fries), Engels (met wereldwijde varianten), Frans, Arabisch, en Russisch. Er zijn veel woordenboeken gebouwd op kennis over wachtwoorden die publiekelijk beschikbaar zijn (geweest). Het NFI is niet geïnteresseerd in de persoonsinformatie achter de wachtwoorden, maar alleen in de wachtwoorden zelf. Waar bestaan die uit? Zien we trends? Hoe zijn ze opgebouwd? Wat is de gemiddelde lengte? Wat voor soort getallen worden vaak gebruikt?
 

“Technici willen gewoon graag informatie met elkaar delen. Wat we kunnen delen is afhankelijk van de relatie die landen met elkaar hebben. Samen kunnen we meer.”

Naast het maken van woordenboeken, heeft het NFI geavanceerde algoritmes ontwikkeld voor het genereren van nieuwe wachtwoorden. Hiernaast is een stevige basis gelegd voor het uniform blijven omgaan met opschonen, genereren, opslaan en delen van woordenboeken met op het NFI ontwikkelde programma’s. “Wanneer tijdens een onderzoek een bestand met wachtwoorden gevonden wordt, zitten er vaak veel gegevens in die zeker geen wachtwoord zijn. Dit programma haalt deze nep-wachtwoorden eruit, zodat alleen de echte wachtwoorden overblijven en daar trekken we weer lessen uit voor het genereren van nieuwe wachtwoorden”. Het NFI zal ook na het project doorgaan met het verbeteren van wachtwoordenboeken.  
 

Frank is nu bezig met de afronding van het project. De boekhouding moet nog op orde. “Dat is het minst leuke deel, maar het hoort erbij”. Frank kijkt tevreden terug op CERBERUS: “We hebben er als NFI meer tijd ingestoken dan we vooraf hadden voorzien, maar het project heeft veel waardevolle dingen opgeleverd. Zoals de bruikbare wachtwoordenboeken en een prototype om vertragende algoritmes te omzeilen.” Dit project is afgerond, maar er wordt alweer gedacht aan een nieuw project. “Technici willen gewoon graag met elkaar delen. Met wie we kunnen delen, is afhankelijk van de relatie die de landen met elkaar hebben. Samen kunnen we meer.”
 

Niet ontevreden

Lukt het Frank altijd om wachtwoorden te kraken? “We kunnen veel, maar het lukt niet altijd. Soms zit iets achter vier lagen vercijfering. Ik heb een keer gehad dat het mij lukte om drie lagen te kraken. De vierde lukte niet meteen. Dus geen informatie voor de opsporing. Toch was ik niet ontevreden, want het is toch drie keer gelukt de techniek te ontcijferen. Het is alleen lastig dat je geen informatie kan leveren aan bijvoorbeeld de politie. Dat is frustrerend soms, maar ik heb geleerd ermee te leven dat het soms zo is.”