Menu
Terug

Gemiste kansen – identificatie van gegevensbronnen

Gepubliceerd: 05-03-2019, Remon Verkerk

Computers, smartphones, IP-camera, drones, auto’s, slimme verlichting en waterkokers; wat hebben deze objecten gemeen? Ze kunnen in potentie digitale gegevens bevatten die kunnen bijdragen aan een onderzoek naar waarheidsvinding. Dit bewijs kan ondersteunend zijn aan het ‘reguliere’ tactisch onderzoek, maar is dikwijls doorslaggevend en zorgt voor een doorbraak in het onderzoek. We spreken dan in spreekwoordelijke zin van een smoking gun.

Die smoking gun presenteert zich zelden op een dienblaadje en lijkt in de praktijk meer op een speld in een hooiberg. Om de kans op het vinden van het digitaal bewijs zo groot mogelijk te maken, is het zaak zo goed mogelijk potentiele gegevensdragers te identificeren en veilig te stellen. Dit veiligstellen gebeurt bij voorkeur door het maken van een forensische kopie door een hierin gespecialeerde forensische specialist. Deze specialist draagt zorg voor de juiste preservering van het bewijs, waarbij de integriteit van de data voortdurend bewaakt blijft, hetgeen de bruikbaarheid in juridische geschillen of strafzaken ten goede komt.

Het proces van behandeling van digitaal bewijs is in de kern vrij eenvoudig:

  1. Identification databronnen
  2. Preservering/veiligstellen data
  3. Verwerken/analyse data
  4. Productie bewijs
  5. Presentatie bewijs

Dit ogenschijnlijk eenvoudige proces kent echter tal van valkuilen. In de komende weken staan we stil bij de TOP 3: Gemiste kansen!

1. Identificatie databronnen

Zoals genoemd worden we omringd door computers in alle soorten en maten en die meer of mindere mate kan bijdragen aan het onderzoek. Het is ondoenlijk om al deze gegevens te collecteren. Er dient dan ook selectief te werk worden gegaan.

Wanneer de politie tijdens de doorzoeking van de woning van een verdachte een mobiele telefoon op tafel ziet liggen, kunnen we er gevoegelijk van uitgaan dat deze inbeslaggenomen wordt en in het onderzoek betrokken wordt. Mits deze van enige relevantie kan zijn uiteraard.

Anders wordt het als er niet direct zicht is op een telefoon, tablet, laptop op soortgelijk apparaat. Te vaak zien we in dergelijke onderzoeken dat teveel vertrouwd wordt op de eigen waarneming van de onderzoekers of op de ‘blauwe ogen’ van de verdachte die aangeeft niet over dergelijke apparaten te beschikken. Nemen we genoegen met die oude Nokia die de verdachte onderuit een lade trekt?!

Middels een digitale triage kan ter plaatse uit de vele digitale bronnen extracten worden verkregen, die de aanwezigheid van, tot dan toe onbekende digitale bronnen, kan prijsgeven.

Digital triage is the first investigative step of the forensic examination. The digital triage comes in two forms, live triage and post-mortem triage. The primary goal of the live triage is a rapid extraction of an intelligence from the potential sources.

Methods and Tools of Digital Triage in Forensic Context: Survey and Future Directions
Vacius Jusas, Darius Birvinskas and Elvar Gahramanov

Bij twijfel is het zinvol om – waar mogelijk – iets meer digitale gegevens veilig te stellen dan op het eerste moment relevant lijkt. Achteraf is de collectie niet altijd meer mogelijk doordat apparaten worden weggemaakt of gegevens overschreven.

Resumé; vergroot de kans op succes van het onderzoek door zoveel mogelijk gegevensbronnen te identificeren. Een eerste digitale triage geeft inzicht, waarna gericht met de collectie van digitale gegevens kan worden aangevangen. Proportioneel en hopelijk inclusief smoking gun!

Wilt u meer weten?

Schrijf je in voor de PSG Nieuwsbrief