Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Regulering | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Deel dit artikel

  1. Ik vind het kwalijk dat de betrouwbaarheid van de keylogger in een strafproces niet toetsbaar is. En zelfs als nog blijkt dat de keylogger onbetrouwbaar is, zoals hier het geval is, ziet de rechter nog geen reden om hier iets aan te doen.

    De discrepantie tussen sommige schermafbeeldingen en de bijbehorende toetsaanslagen vormt volgens de rechter geen aanleiding om te veronderstellen dat de doorgestuurde informatie niet authentiek is.

    Dan vraag ik me af wat voor de rechter dan wél twijfels over de authenticiteit zou leveren. Alleen als er geen enkele overeenkomst bestaat tussen de toetsaanslagen en de screenshots?

    Zo maken we het voor oneerlijke agenten wel heel gemakkelijk. Vermoed je dat een verdachte schuldig is, hoef je alleen maar de vermoedelijke activiteiten van de verdachten na te bootsen op je eigen PC. Druk een paar schermafdrukken af en typ in Word een dokument dat lijkt om een keyloggerprotokol en klaar is kees. De screenshots en het toetsenbordprotokol hoeven niet eens met elkaar overeen te komen!

    Is het overigens niet hoogst merkwaardig dat de verdachte na zijn eerste aanhouding kennelijk rustig door is gegaan met zijn criminele activiteiten?

    • Het “afrondingsfout”-argument is bij technische gebreken niet van toepassing, simpelweg omdat een technisch hulpmiddel uberhaupt niet “betrouwbaar” genoemd kan worden als deze geen correcte resultaten levert; technische hulpmiddelen hebben niet de te-verwachten foutmarge die mensen hebben. Als er bij een in principe betrouwbaar mechanisme een afwijking ontstaat, is het dus niet betrouwbaar; inherent zijn deze mechanismes namelijk “deterministisch”.

      Helaas strookt dit verhaal ook met mijn ervaringen; bezwaren betreffende de rechtmatigheid van het verkrijgen van bewijs worden erg makkelijk weggewuifd, en dan voornamelijk wanneer die bezwaren zijn gebaseerd op technische onregelmatigheden. Vaak wordt het daadwerkelijke technische argument niet eens overwogen, en wordt het weggewuifd met een oppervlakkige opmerking waaruit een duidelijk gebrek aan technische kennis blijft, bijvoorbeeld door de te verwachten foutmarge bij een technisch hulpmiddel gelijk te stellen aan die van een mens.

      Dat lijkt ook hier het geval.

      • Ja, maar ik denk dat de rechter hier waarschijnlijk terecht rekening houdt met bepaalde zaken die door een dergelijke logger gewoon niet kunnen worden opgepikt. Zoals bijvoorbeeld een stukje tekst copy/pasten met de muis. Dan staat het wél op de screenshot, maar niet in de toetsaanslagen. Een rechter zal niet om zo iets banaals de bewijsvoering weigeren.

        Maar holy moly. Ik wist niet dat de politie in Nederland dit soort dingen dus gewoon deed :/. Even je huisje binnen wandelen en allerlei spionage software installeren. Hoe kwamen ze het huis binnen zonder sporen achter te laten? De sleutels van de in de cel zittende verdachte gebruikt? En hadden ze nou gewoon geluk dat hij z’n pc en laptop niet wachtwoord beschermde? Of hebben ze ‘daar omheen’ gewerkt? Ik sta te kijken hiervan.

        • Ja, maar ik denk dat de rechter hier waarschijnlijk terecht rekening houdt met bepaalde zaken die door een dergelijke logger gewoon niet kunnen worden opgepikt. Zoals bijvoorbeeld een stukje tekst copy/pasten met de muis. Dan staat het wél op de screenshot, maar niet in de toetsaanslagen. Een rechter zal niet om zo iets banaals de bewijsvoering weigeren.

          Prima, maar dat moet dan 1) als zodanig verdedigd worden, en 2) alsnog zichtbaar zijn als bijvoorbeeld een ctrl+C-ctrl+V of de zichtbaarheid van een menu of kopieren/plakken knop op het scherm. Dat zie ik hier niet in terugkomen.

          Mijn probleem ligt bij het feit dat technische bezwaren doorgaans op voorbaat weggewuifd worden met een vage oppervlakkige opmerking, zonder te proberen te verdedigen waarom het bezwaar ongeldig is (op basis van een daadwerkelijke technische redenering).

      • Een enkel mechanisme kan best deterministisch zijn. Heel veel mechanismes met onderlinge wisselwerking zijn dat in principe ook, maar hun interactie kan zo complex zijn dat de uiteindelijk gevolgen random kunnen lijken voor de menselijk perceptie. Dat zou ook best kunnen gelden voor de keylogger: als je zo’n stukje software maakt met als uitdrukkelijke spec dat ‘ie zo onzichtbaar mogelijk moet zijn (lijkt me handig in deze toepassing…) dan kan een programmeur ervoor kiezen om flink van de gebaande paden van Windows af te wijken, het proces van de keylogger te verstoppen op plekken waar dat normaal gesproken niet de bedoeling is, en daarmee op de koop toe nemen dat andere processen misschien een keer interfereren met jouw keylogger.

        De keylogger doet het dus prima, maar er kunnen toch kleine afwijkingen optreden die niet direct voorspelbaar zijn, daarmee is de keylogger echter niet meteen volledig onbetrouwbaar. Het is eigenlijk net een snelheidscontrole: die RADARs worden geijkt maar zijn nooit exact op de mm/s. Toch nemen we er genoegen mee dat ‘het wel afdoende’ is bewezen dat je te hard reed en geven de automobilist ook nog een extra foutmarge van een paar km/h mee. Ik zie wel overeenkomsten.

        Bottom-line is dat we kleine afwijkingen, door welke oorzaak dan ook, tolereren om het resultaat toch als ‘afdoende bewijs’ te bestempelen. Uitgangspunt is dat het mechanisme voldoende betrouwbaar is om niet helemaal uit zichzelf abusievelijk met een ‘bewijs’ te komen wat er in werkelijkheid helemaal niet is.

        • Dat vind ik geen geldige redenering; zeker de vergelijking met een snelheidscontrole gaat hier niet op. Bij een snelheidscontrole gaat het om een enkele lineaire schaal, en is het bij een afwijking dus aannemelijk dat het in ieder geval ongeveer klopt.

          Dit is bij bijvoorbeeld een keylogger niet het geval, juist omdat er zoveel complexe interacties zijn. Op basis van een aantal afwijkingen kan niet gezegd worden hoe accuraat het dan wel is – dat kan van “ongeveer juist” tot “totaal nutteloos” lopen, en totdat het bezwaar ook daadwerkelijk behandeld wordt (en er dus sluitend onderzoek gedaan is naar de reden voor de afwijking) is het volkomen onredelijk om dan maar aan te nemen dat het wel ongeveer klopt.

          Het is een beetje hetzelfde verhaal als mensen die geen problemen hebben met het gebrek aan data-integriteits-garanties in MongoDB, en daarvoor als argumentatie aandragen dat “een beetje data kwijt raken niet uitmaakt” – dit gaat volkomen voorbij aan het feit dat omdat die garanties er niet zijn, dat “beetje” ook 100% kan zijn. Er is simpelweg geen grens in hoe fout het kan gaan.

          • De verdediging probeert het middel in twijfel te trekken door te zeggen dat het niet helemaal compleet is. De rechtbank neemt echter onder andere in zijn oordeel mee dat er in voldoende mate wél bepaald gedrag op consequente wijze is vastgelegd.

            Een versimpeld voorbeeld: een datarecoverytool kan niet een volledige harde schijf recoveren, dus is niet 100% betrouwbaar. Maar in deze deelrecovery zijn wel 10 kinderpornoplaatjes gevonden. Het lijkt mij dan terecht dat de rechtbank concludeert dat er in ieder geval vóldoende strafbare feiten zijn waargenomen door de tool, ondanks dat het niet alles heeft kunnen recoveren.

          • Sorry, verkeerde plek. Reactie @Sven

            We verschillen toch van mening. Als de keylogger met de volgende data komt “Ja joh, ik hb het echt gedan! Eerst gewrgd en toen zn kop erf gesnedn!” dan zijn er best wel wat foutjes in geslopen, maar het lijkt me meer dan duidelijk wat hier staat. Voldoende bewijs wat mij betreft.

            Je kan inderdaad niet vooraf bepalen hoe accuraat je keylogger zal zijn gezien de eventuele interfererende interacties, maar achteraf je kan wel inschatten hoe nauwkeurig je opgeleverde data is.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS