Tekst Thea van der Geest
Foto Loes van der Meer

Hoe ga je om met dit verweer

Sommige verdachten beweren dat ze zelf geen kinderporno op hun computer hebben gezet. Dat een ander dat moet hebben gedaan. Dat hun computer is gehackt. Anouk Paulus (OM) en Ranieri Argentini (NFI) vertellen over onderzoek bij hackverweren.  

Anouk Paulus: "Ervaring leert dat hackverweren soms pas later in het strafrechtelijk onderzoek worden gevoerd"

Anouk Paulus, landelijk advocaat-generaal cybercrime:

In strafzaken met een digitale component, bijvoorbeeld kinderpornozaken, zijn drie soorten verdachten. Ten eerste: de personen die echt geen flauw idee hebben hoe zij in een kinderpornozaak betrokken zijn geraakt. Ten tweede, de personen die wel vermoedden of redelijkerwijs rekening hadden moeten houden met de aanmerkelijke kans dat zij zich schuldig maakten aan kinderporno. En als laatste de personen die willens en wetens kinderporno bezitten en verspreiden. De ervaring leert dat hackverweren soms pas later in het strafrechtelijk onderzoek worden gevoerd.

Hackverweer als smoes of theorie

Sommige verdachten hebben bedacht - eventueel na lezing van het dossier en tips van lotgenoten - hoe ze alsnog onder een straf uit kunnen komen. Het hackverweer is dan een doordachte smoes. Het kan echter ook zo zijn dat een onschuldige verdachte, die misschien helemaal geen verstand heeft van computers, allerlei scenario’s bedenkt hoe het toch kan dat er op zijn gegevensdrager kinderporno is aangetroffen. Dit is een menselijke reactie en leidt tot de meest uiteenlopende theorieën. De meest voorkomende: een ander heeft toegang tot mijn computer gehad en heeft het gedaan. Dit kan zijn omdat een ander fysiek gebruik heeft gemaakt van de computer van de verdachte, of omdat dit op afstand (via een inbraak in de computer van verdachte) is gebeurd.

Nader onderzoek door het NFI aan de gegevensdrager heeft slechts beperkt nut in dit soort gevallen, omdat er slechts twee soorten uitkomsten zijn:

Er worden inderdaad  sporen aangetroffen die duiden op een hack (malware bijvoorbeeld). Het is belangrijk te beseffen dat ook een gehackte computer niet meteen betekent dat de rechtmatige gebruiker van die computer (on)schuldig is.

Of er worden geen sporen aangetroffen die duiden op een hack. Maar de afwezigheid van sporen of de onmogelijkheid die sporen te vinden, betekent niet dat die er niet zijn of waren en heeft dus voor de waarheidsvinding geen meerwaarde.

Waarheidsvinding

Om bij hackverweren te komen tot ‘waarheidsvinding’ is het van belang dat de digitale en tactische rechercheurs vanaf het begin samenwerken. Daarbij zouden de digitale rechercheurs bijvoorbeeld vaker deel kunnen nemen aan het verhoor van de verdachte. Belangrijke onderzoeksvragen zijn:

  • Is het logisch dat een hacker die bestandspaden zou gebruiken om kinderporno op te slaan? Waarom? Is het logisch dat een hacker de computer van verdachte zou gebruiken om strafbare feiten mee te plegen? Hoe dan?
  • Heeft verdachte ruzie met iemand? Waarom zou iemand hem willen hacken?
  • Zijn er aanwijzingen dat verdachte zelf ten tijde van het downloaden/verspreiden achter de computer zat? Die aanwijzingen kunnen in de computer zelf staan.
  • Zeggen de metadata iets over het al dan niet openen/wijzigen van de bestanden en de tijdstippen daarvan?

Zelfs wanneer de hackverweren nog niet zijn gevoerd is het belangrijk dat daarop wordt geanticipeerd en dit soort vragen onderzocht of beantwoord zijn in de processen-verbaal van de politie. Enerzijds kan daarmee worden voorkomen dat onschuldige personen toch vervolgd worden en anderzijds kost beantwoording van die vragen in een later stadium onnodig veel extra tijd. Om als OM of ZM hackverweren en de strekking daarvan te kunnen beoordelen is het van groot belang dat ook zij voldoende kennis hebben om dit te kunnen doen. Daarbij is de officier van justitie als leider van het opsporingsonderzoek degene die ervoor moet zorgen dat het dossier ‘hackverweerbestendig’ is.

Rainieri Argentini: "Computers kunnen gehackt worden zonder dat er sporen van terug zijn te vinden"

Ranieri Argentini, forensisch onderzoeker cybercrime

Bij het Nederlands Forensisch Instituut zien we steeds vaker onderzoeksopdrachten waarbij hacking als verweer wordt opgevoerd door verdachten van digitale en zedendelicten. Maar in de regel kan met digitaal forensisch onderzoek zeer zelden worden uitgesloten dat een computer is gehackt.

Regelmatig wordt gevraagd of het mogelijk is dat de PC van de verdachte is gehackt of dat er sporen zijn te vinden van hacking. Maar deze vragen zijn om meerdere redenen niet zo nuttig.

Hacksporen

Computers kunnen gehackt worden zonder dat er sporen van terug zijn te vinden. Niet alle hacktechnieken laten sporen achter, en er zijn heel gebruikersvriendelijke hacking tools die zichzelf met één druk op de knop volledig kunnen verwijderen. Andersom betekent de aanwezigheid van hacksporen niet noodzakelijkerwijs dat de computer daadwerkelijk is gehackt. Er kunnen sporen van hacking op een computer staan zonder dat de hack succesvol is geweest. Denk bijvoorbeeld aan malware die tegengehouden wordt door een anti-viruspakket, maar terug te vinden is als een verwijderd bestand. Of een browser exploit die niet wordt uitgevoerd omdat de browser op tijd is geüpdatet, maar wel cachebestanden achterlaat.

Bovendien is de vraag: “Is de computer gehackt?” ook vaak helemaal niet wat een rechter écht wil weten. Het aantreffen van malware op een PC is niet uitzonderlijk. Volgens Microsoft Security kwam meer dan 3% van de Nederlandse computers in maart 2017 in aanraking met malware. Het komt regelmatig voor, zeker bij gebruikers met een hoger online risicoprofiel, dat er sporen van malware op de PC staan.

Delict- en gebruikerssporen

Of hacking een verklaring kan zijn voor bepaalde delictssporen hangt daarom niet zozeer af van de sporen van hacking, maar van de delictssporen en van het breder sporenbeeld van het gebruik van de computer. Kunnen de sporen van het delict in verband worden gebracht met de activiteit van de verdachte op de PC? Of kunnen ze juist in verband gebracht worden met de activiteit van een andere gebruiker op afstand? Vragen die hierover gesteld worden, kunnen daarom beter betrekking hebben op hoe de delictssporen zich verhouden tot emailverkeer, chatberichten, documenten, zoekopdrachten of foto’s op de PC. En of de herkomst van deze sporen in verband gebracht kunnen worden met een gebruiker of proces.

Door vragen te stellen over de relatie tussen de delictssporen en de gebruikerssporen van de verdachte levert digitaal forensisch onderzoek veel gedetailleerdere en bruikbaardere informatie op dan wanneer de vraag zich alleen richt op of een computer gehackt is of niet. Bijvoorbeeld dat de hacking tools prominent geïnstalleerd staan op het bureaublad, en dat schermafdrukken ervan terugkomen in de persoonlijke communicatie van de verdachte. Of juist dat er weinig sporen zijn en dat de herkomst van bestanden onduidelijk is. Met antwoorden op deze vragen kan de rechter beoordelen of de verdachte, of een ander, verantwoordelijk is voor deze sporen.