Het Team High Tech Crime (THTC) van de landelijke recherche zoekt in een verzameling van een slordige 1,7 miljoen tekstfiles van pgp-verkoper Ennetcom naar informatie over moorden en drugshandel. Die methode gaat grote gevolgen hebben voor tientallen rechtszaken in de komende jaren. Deel 2 van een reconstructie (deel 1).
Door Wim van de Pol
De werkwijze van het THTC is op het eerste gezicht plausibel maar vertoont ook zwaktes. De komende jaren zal in strafprocessen in de eerste plaats de identificatie van personen een heet hangijzer worden. Als de politie zelf al vragen stelt bij identificatie van de 500 gebruikers dan zullen advocaten en rechters nog wel meer vragen stellen. Zoals advocate Inez Weski deed in haar pleitnota over client Naoufal F. die verdacht wordt van de aanslag op Peter R. in Diemen in 2015.
Context
Ook de context van de tekstfiles (berichten en notities) is een probleem. In de eerste plaats heeft het Openbaar Ministerie al een selectie gemaakt, waardoor misschien ontlastende informatie is weggevallen (welke, dat is moeilijk te achterhalen). In de tweede plaats is de context van veel gesprekken weg en kan ook niet meer worden vastgesteld of een bericht paste in enig gesprek. De zoekmachine Hansken kan dat verband niet leggen. Zelfs kan niet worden vastgesteld of de flard een compleet bericht is of slechts een deel daarvan.
Ook zijn door de methode berichten van minder dan drie woorden eruit weggelaten. Een bericht kan in de juiste context een geheel andere betekenis krijgen. En ook door de taalselectie kunnen berichten (welke?) weggevallen zijn. Verder leveren de gebruikte zoekwoorden misschien belastende berichten op, maar niet duidelijk wordt welke berichten een gebruiker nog meer heeft verstuurd of ontvangen.
Onschuldige personen kunnen verdacht worden als ze door de zoektermen door de politie als “crimineel” worden gezien (er zitten ongeveer 20.000 gebruikers in de database die niet van Ennetcom zijn). Een effect waar ook de tegenstanders van de “Sleepwet” van de inlichtingendiensten voor waarschuwden.
Garbage in – garbage out
Ten behoeve van de advocaat van Naoufal F. heeft de bij de Universiteit van Amsterdam gepromoveerde dataspecialist David Graus een rapport over de methode geschreven. Hij promoveerde op zoektermen en digitale sporen in grote hoeveelheden data.
Hij noemt het zoeken met ‘topics’ (zie hier) van de politie ‘naïeve en onbetrouwbare methoden’. Graus:
Elke stap die vervolgens voortbouwt op deze methode, zal nog meer onbetrouwbare resultaten geven (onder het adagium garbage in – garbage out).
Onvoldoende
Bij forensisch onderzoek naar data moet ook te allen tijde duidelijk en transparant zijn waar de sporen in het in beslag genomen materiaal vandaan komen. Dat is niet meer het geval. Een contra-expertise waarmee een advocaat middels een herhalen van de verschillende zoekslagen en selecties zou kunnen controleren of dit goed is gegaan is onmogelijk. Ook al omdat niet meer duidelijk is welke versies van de Hansken-software zijn gebruikt.
Graus was in de gelegenheid om in Hansken (het zoeksysteem enige uren onderzoek naar de data te kunnen doen. Zijn conclusie is dat:
… het kunnen testen en verifiëren van de totstandkoming van de dataset en van het gebruik en functioneren van Hansken in het digitaal onderzoeksproces onvoldoende is.
Een dvd die de verdediging in het onderzoek naar F. kreeg uitgereikt verschilde sterk (ook inhoudelijk) van wat zoekslagen door Graus in Hansken opleverden met dezelfde zoektermen.
Proefballon
Graus wijst de analyse van het THTC als onvoldoende wetenschappelijk af. Zelfs over de mate van gebruik door criminelen van Ennetcom-telefoons geeft de methode van de recherche volgens hem geen uitsluitsel. Graus:
Samenvattend ben ik van mening dat de gebruikte methoden en analyses onvoldoende betrouwbaar zijn om het vermoeden van het OM dat “de pgp-telefoons van Ennetcom voornamelijk werden gebruikt om door criminelen om strafbare feiten mee af te schermen” te ondersteunen.
Dit zijn de problemen waar rechtbank de komende jaren in zeker meer dan 25 (liquidatie)zaken mee worden geconfronteerd. De rechtbank wijst in het proces tegen Noffel F. vonnis op 19 april. Die zaak is een eerste proefballon, waar een eerste wetenschapper een vernietigend oordeel over heeft gegeven, terwijl justitie hier luchtigjes overheen stapt.
Te vrezen valt dat er tot aan de Hoge Raad over de geldigheid van de gebruikte methoden zal moeten worden geredetwist.
Zie ook:
Hoe het pgp-sleepnet wel (en niet) werkt (#1)
Politie hackte internetproviders in pgp-onderzoek (UPDATE)