Hoe gaat de rechter om met bewijs waarvan het origineel kwijt is?

| AE 6229 | Security | 16 reacties

harde-schijf-harddisk-image-bits-bytes.pngEen lezer vroeg me:

Bij forensisch onderzoek wordt altijd eerst een forensische kopie van het digitale bewijsmateriaal gemaakt. Maar wat nu als de originele datadrager fysiek verloren is gegaan? Hoewel er vaak nog wel dingen terug te halen zijn, kan het goed zijn dat niet meer onomstotelijk te is bewijzen dat origineel en kopie 100% identiek zijn.

De term “bewijs” kennen we uit de wetenschap. Als iets bewezen is, dan is het zo. Daar kan geen twijfel over zijn; wie het wil verifiëren kan zijn gang gaan want een wetenschappelijke stelling moet falsifieerbaar zijn. Ik werd vroeger aan de TU doodgegooid met discussies over dat je van software kunt bewijzen dat deze foutloos is. Of dat kan, weet ik nog steeds niet, maar ik heb er wel een onbedwingbare neiging aan overgehouden om bij elke IT-gerelateerde kwestie te gaan zoeken naar foutjes, afwijkende situaties, uitzonderingen en bijzondere gevallen.

Het recht is echter geen wetenschap en hanteert dan ook niet die wetenschappelijke definitie. Iets bewijzen in het recht komt neer op de rechter mee laten gaan in jouw standpunt, meer niet. Hij moet er redelijkerwijs van overtuigd zijn dat je gelijk hebt.

Of nou ja, in het civiele recht – wat wij hier meestal bespreken. Dus wanneer is er sprake van een contract, wanneer is er schade aangericht, wie is aansprakelijk voor welke handeling, etcetera. In het strafrecht (foei je gaat de cel in als je dat doet) geldt een strengere regel: wettig en overtuigend bewijs. De rechter moet ervan overtuigd zijn dat de verdachte schuldig is, er mag geen redelijke twijfel meer zijn.

De wet eist nergens dat bewijs volgens de hoogste normen van forensisch onderzoek wordt geleverd. Bewijs wordt niet op voorhand uitgesloten omdat het elektronisch is of dat NFI normen niet gevolgd zijn. (Overigens is er geen NFI norm over onderzoek aan harde schijven.) De rechter bekijkt en beoordeelt wat hem wordt voorgelegd, en of het nu op een bierviltje staat of op een CD-ROM zal hem in principe worst wezen.

Bij ICT-zaken zal het vrijwel altijd aankomen op verklaringen of rapporten van deskundigen. Die deskundige kan bijvoorbeeld een PC onderzoeken en op basis daarvan zijn conclusies trekken op basis waarvan de rechter zich kan laten overtuigen. Een naar forensische normen correct uitgevoerd onderzoek is niet eenvoudig van tafel te krijgen, en dat is natuurlijk een belangrijk stuk meerwaarde.

Maar het gaat bij bewijs niet alleen om de technische sporen. Minstens zo belangrijk is de vraag wat deze in context betekenen. Rechters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar iets bij te winnen en past het bij wat we nog meer van de verdachte weten?

Zo riep een verdachte in een oplichtingszaak dat een hacker (ja sorry, zo noemen ze dat in de rechtspraak) vanaf zijn PC de betreffende spullen op Marktplaats.nl had aangeboden. Terecht gelooft de rechter daar geen bal van: waarom zou die hacker dat doen, laat staan onder vermelding van het bankrekeningnummer van de verdachte? En waarom stortte de verdachte het geld niet terug als hij niet zou weten waar dat vandaan kwam?

In een andere, m.i. bijzonder kwalijke zaak werden op een PC versleutelde kinderporno-bestanden aangetroffen. Het leek de rechtbank duidelijk dat hier geen derde bezig was geweest. Waarom zou die a) kinderporno uploaden naar die PC b) dat encrypten met een wachtwoord dat bestond uit sigarettenmerk en geboortejaar van de verdachte en dan c) het icoon van het encryptieprogramma (Privacy Master) op de desktop zetten waar de verdachte het meteen zou zien? Los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.

Afijn. Sorry, dit was even een stokpaardje waar ik wat over kwijt moest. Maar het is wel relevant voor het antwoord: in een geval waarin de bron verloren is, zal de rechter dus niet automatisch zeggen “sorry, het bewijs is onverifieerbaar en doet dus niet meer mee”. Hij zal kijken naar de omstandigheden, de redenen voor vernietiging, de zorgvuldigheid van het onderzoek, de reputatie van de onderzoeker en hoe het bewijs past in het overige bewijs dat is overlegd.

Arnoud

Deel dit artikel

  1. Wat betekent het dan in de praktijk dat je “onschuldig bent tenzij je schuld is bewezen”? Betekent dit dat het “schuldig”-scenario een stuk overtuigender moet zijn dan het “onschuldig”-scenario? In dat geval: hoeveel overtuigender moet het zijn? Als beide scenario’s ongeveer even overtuigend zijn, heb je dan ongeveer 50% kans om veroordeeld te worden?

    • De onschuldpresumptie is een rechtsbeginsel, een principe zeg maar. We bouwen het systeem zo dat jij als onschuldige (maar verdachte) wordt behandeld en pas na de uitspraak als de dader. Bij elke stap die wordt ingebouwd, moet dus worden getoetst of je niet toch al soort van schuldig wordt neergezet. Denk aan een perp walk of het vrijgeven van herkenbare foto’s.

      In het strafrecht moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (art. 338 Strafvordering). Bij redelijke twijfel moet vrijspraak volgen. In het civiel recht (bv. contractsdisputen of auteursrechtinbreuk) gaat het grofweg om wie de rechter het meest geloofwaardig voorkomt. Je kunt dus civielrechtelijk in het ongelijk worden gesteld maar strafrechtelijk vrijgesproken. Zie bijvoorbeeld deze zaak waarin een man vrijgesproken werd van oplichting maar tóch een oplichter genoemd mocht worden op internetfora. Strafrechtelijk was er dus gerede twijfel over of hij mensen opgelicht had, maar civielrechtelijk vond de rechter deze kwalificatie door de beugel kunnen.

      • In het strafrecht moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (art. 338 Strafvordering). Bij redelijke twijfel moet vrijspraak volgen.

        Maar wat voor norm geldt daar dan voor?

        In de wetenschap geldt “het scheermes van Occam” als criterium: de eenvoudigste verklaring wordt geacht de juiste te zijn (en dus ook wetenschappelijk de “meest overtuigende”). Ik begrijp dat je dit in de rechtsspraak niet kunt gebruiken: een kwaadwillende zou het rechtssysteem kunnen misbruiken om iemand onschuldig veroordeeld te krijgen, door opzettelijk een situatie te creëren waarin de schuld van zijn slachtoffer de meest eenvoudige verklaring is. Natuurwetten worden geacht niet zulke opzettelijkheid te hebben, en daardoor werkt het scheermes van Occam wel in de (natuur)wetenschap.

        Maar wat voor criterium dan wel? Het lijkt me dat het “strenger” moet zijn dan het scheermes van Occam: het “onschuldig”-scenario moet werkelijk aan het onmogelijke grenzen. Maar is het nou werkelijk zo onmogelijk dat iemand encrypted pedo-foto’s op de computer van iemand anders plaatst op de manier zoals jij hebt beschreven? Het zou toch kunnen dat dit juist is gedaan om die ander veroordeeld te krijgen?

  2. Hoewel er vaak nog wel dingen terug te halen zijn, kan het goed zijn dat niet meer onomstotelijk te is bewijzen dat origineel en kopie 100% identiek zijn.

    Bij mijn weten maakt een forensisch medewerker als eerste een aantal hash checksums van digitaal bewijs. Zo kan later onomstotelijk worden bewezen dat de bestanden of disk image 1 op 1 zijn overgenomen. Misschien waren hier vroeger wel problemen mee, en probeerden advocaten de integriteit van het bewijs in kwestie te stellen, maar nu houdt men hier in ieder geval rekening mee.

    Ook kan men de hashes van bestanden op schijf vergelijken met een database met hashes van illegale bestanden.

    • Het probleem is dat de hash niet meer controleerbaar is als de originele harddisk verloren is gegaan. Je kunt dan nog zo zorgvuldig zijn geweest maar onomstotelijk bewijzen dat de kopie identiek is aan het origineel is onmogelijk. Er is geen origineel meer. Dus hoe weten we dat die hashes niet achteraf nog een keer berekend zijn? Of van een andere harddisk komen?

      • Dat is juist het probleem dat men probeert op te lossen.

        >Dus hoe weten we dat die hashes niet achteraf nog een keer berekend zijn?

        > Of van een andere harddisk komen?

        Die hele bewijs ontwikkelstraat is ingericht om dit onmogelijk/onwaarschijnlijk te maken. De machine zegt achteraf: Ik heb deze image gehashed, op dit tijdstip naar deze hash, en deze kopie getrokken met deze hash. Ik denk zelfs dat de forensisch medewerker hier niets aan kan veranderen. Ook al gaat de originele image verloren, dan kun je de output van de ontwikkelstraat geven. Die ontwikkelstraat is door IT’ers ingericht om gesjoemel te voorkomen.

        Verder worden er natuurlijk back-ups gemaakt die afzonderlijk worden opgeslagen. Dat een originele image verloren gaat (nadat deze door de ontwikkelstraat is gehaald) lijkt mij vrijwel uitgesloten. Een image of HD zou het moeten begeven voordat forensisch bewijs kan worden vergaart. En volgens mij doen ze daarom hun best om zo snel mogelijk (liefst met de computer nog aan) een disk image / memory snapshot te maken.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS