Tjark Tjin-A-Tsoi heeft leiding aan het Nederlands Forensisch Instituut (NFI) en voert deze week op het WCIT (World Congress on Information Technology) het security-onderdeel van de internationale ict-conferentie aan. Security wordt samen met safety behandeld; twee gerelateerde maar wel verschillende zaken.

Gedurende de drie dagen van het congres wordt er gekeken naar de problemen, de oplossingen, en het bestuur. Naast beveiligingsexperts als Bruce Schneier, terrorismebestrijders, overheidsfunctionarissen en ict-leveranciers komen ook onderzoekers aan het woord. Zoals het NFI.

De directeur van het forensisch onderzoekslab geeft Webwereld een kijkje in de keuken. Security valt uiteen in drie niveaus, legt hij uit: de infrastructuur van landen, de systemen van bedrijven, en de informatie van personen. "Denk bij dat laatste ook aan identiteitsdiefstal." Daarbij is de aandacht verdeeld over twee punten: "ex-ante, het voorkomen van beveiligingsincidenten en -problemen, en ex-post, wat doe je achteraf?" Bij dat laatste komt het NFI om de hoek kijken.

Cyberwar

Je moet security vanuit de infrastructuur benaderen, stelt Tjin-A-Tsoi. "Wat is nu precies het probleem? De infrastructuur. Internet bijvoorbeeld is ooit voor wetenschappelijke doelen geschapen, niet voor bedrijfskritische toepassingen." Toch gebruiken we het daar nu voor. "We zijn er steeds afhankelijker van. Dus is de impact van gaten daarin steeds groter. Het is mogelijk de processen, voor landen, bedrijven en personen plat te leggen."

Hij stelt dat niet alleen cybercrime maar ook echt cyberwar aan de orde is. Algemeen bekend is wel het voorbeeld van de Russische cyberaanval op Georgië, toen dat land ook met fysieke legers werd aangevallen. Cybercrime is veel breder, en komt veel vaker voor. De Russische aanvallen op Georgië zijn ook teruggevoerd op criminele organisaties, hoewel politieke aansturing of motivatie wel een achtergrond kan zijn. Hetzelfde geldt voor de breed bekend geworden digitale inbraak bij Google, vanuit China.

Gsm-chips uitlezen

Maar naast de online-wereld en misdaden daarin, is er ook nog de 'gewone' misdaad waarbij ook cybermiddelen dienst doen. "Dat hoeft niet eens direct. Het gaat ook om gewone zaken als een telefoon, een verzonden sms, de locatie van waar een bericht is verstuurd." Die gegevens zijn te achterhalen, door politie en Justitie, en te gebruiken als bewijs. "De boeven weten dat ook, en maken dus bijvoorbeeld hun telefoon kapot. Wij kunnen dat toestel dan op chip-level openmaken, op de printplaat, om de informatie toch te achterhalen."

"Dat is dus forensisch onderzoek op hardwareniveau, maar we doen ook veel op softwareniveau." De directeur vertelt dat de 'digitale divisie' van het NFI de afgelopen tien jaar een enorme groei heeft doorgemaakt en nu de op één na grootste afdeling is. "De grootste is DNA-onderzoek." Het gaat bij het software-onderzoek niet alleen om het kraken van encryptie en het blootleggen van onbekende systemen (reverse engineering). "We doen ook intelligente data-analyse. Denk aan in beslag genomen harde schijven, en informatie in verschillende systemen."

Het NFI gebruikt daarvoor zowel bestaande middelen als eigen software. "We ontwikkelen ook eigen tools", bevestigt Tjin-A-Tsoi. "Vaak voor een specifieke zaak." Hij benadrukt wel dat nieuwe tools daarna meestal bruikbaar zijn voor andere onderzoeken. "We beginnen niet elke zaak vanaf nul."

Het Nederlandse onderzoeksinstituut is wel betrokken bij de internationale security-gemeenschap en wisselt daar ook veel kennis en middelen mee uit. Sommige informatie en zelfgemaakte tools houdt het voor zichzelf. "Veel is er geheim, ja. Zodat wij net iets meer kunnen dan de boeven."

Kinderporno

Een concreet voorbeeld van het nut daarvan is de Rotterdamse zaak van eind vorig jaar tegen kinderpornoverzamelaar Dirk P. Die computerprogrammeur had zijn bestanden beveiligd met zware encryptie. "Die hebben wij snel weten te kraken, veel sneller dan verwacht", vertelt de NFI-directeur. Experts hadden bij een zitting in juni nog gesteld dat het jaren zou duren om de versleutelde bestanden te openen.

Op de pc van de verdachte zijn toen maar liefst 7,5 miljoen strafbare bestanden aangetroffen, meldde de Telegraaf nadat de encryptie was gekraakt. De verzameling data van Dirk P. was groter dan de landelijke database van de politie, berichtte het Parool.

Open, breed en gespecialiseerd

Het NFI heeft dan "state of the art"-middelen, en is qua platformen - van besturingssystemen tot applicaties - open en heel breed. "We gaan met sommige partijen, zoals leveranciers maar ook universiteiten, hechte relaties aan." Die samenwerkingen zijn voor gebruik van bestaande computers en software, maar ook voor de ontwikkeling van geheel nieuwe middelen. Een voorbeeld is een forensische scannerhelm, de 'plaats delictware', waar samen met onder meer Philips, TNO, de TU Delft en CapGemini aan wordt gewerkt. "Dat is nog maar een toekomstblik", relativeert Tjin-A-Tsoi de futuristische mogelijkheden.

De hechte banden met bedrijven betekenen echter niet dat ict-bedrijven het onderzoeksinstituut voorzien van alles ins en outs. "Voor data-extractie uit bijvoorbeeld kapotte chips, zoals uit telefoons, is echt reverse engineering nodig. Hoe zo'n chip werkt, krijg je niet te horen van de leverancier." Dus moet het NFI zelf uitvogelen hoe een chip intern werkt, met elektronenmicroscopen en andere high-tech middelen.

Het toenemende gebruik van standaardcomponenten kan het forensische onderzoekswerk wel wat vergemakkelijken. Dat helpt niet alleen, of zelfs zozeer, het NFI. "De politie doet ook zelf forensisch onderzoek. Wij zijn echt de high end." Zaken komen pas bij het NFI als het 'normale' forensisch onderzoek het niet aankan.

En wat de standaardisatie betreft: op sommige vlakken zoeken ict-leveranciers juist een eigen weg, om daarmee een voorsprong te krijgen. Kijk maar naar de eigen A4-processor die Apple zelf heeft gemaakt voor de iPad. Bovendien staan de belangen van Justitie, politie en dus ook NFI soms haaks op die van het bedrijfsleven, erkent Tjin-A-Tsoi. Het NFI vindt wel eens zelf bugs in software, bevestigt hij. "Wat wij doen, lijkt op hacken, voor het goede doel. Wij puzzelen, met een maatschappelijk belang."

Budget niet onbeperkt

Het NFI klinkt door dit alles - met high-tech middelen en eigen onderzoek, op diep niveau - een beetje als een instituut met onbeperkt of in ieder geval gigantisch budget. Maar dat is het niet, verzekert Tjin-A-Tsoi. Het totale budget van het NFI is zo'n 70 miljoen euro. Hoeveel daarvan besteedt wordt aan ict geeft hij niet vrij, maar hij spreekt wel van "miljoenen euro's". "We zijn weliswaar 'van de overheid', maar we zijn qua ons werk, de uitvoering ervan, meer een bedrijf." Er moet dus wel degelijk gekeken worden waar de middelen aan besteed worden om zo effectief mogelijk te zijn.

Hij erkent dat op sommige gebieden de overheidssector niet altijd 'leading' is. Maar dat wil niet zeggen dat het NFI middelen - hoe geavanceerd ook - uit de commerciële sector toe kan passen. De specialistische aard van het NFI-onderzoek én de juridische eisen voor bewijsmateriaal verhinderen dat.

"Development van middelen is in het bedrijfsleven toch net anders. Wij kijken of en hoe iets valt aan te passen om het geschikt te maken voor ons werk. Dat betreft niet alleen ict, maar bijvoorbeeld ook DNA-onderzoek." Tjin-A-Tsoi legt uit: "Wij hebben toch eigen vereisten, voor de reproduceerbaarheid en het valideren van gevonden informatie." Dus ontwikkelt het NFI veel zelf en past het daarnaast de modernste technologie aan voor forensisch gebruik.

Mobiele telefoons

De inspanningen van het NFI qua hardware- en software-onderzoek zijn volgens Tjin-A-Tsoi ongeveer gelijk. De organisatie kan zich niet op zomaar op specifieke gebieden concentreren, wat is vereist is immers afhankelijk van de zaak die wordt onderzocht. Toch vallen er voorname aandachtspunten en 'groeigebieden' aan te wijzen. Naast encryptie zijn mobiele telefoons een belangrijk gebied. "Daar gaan de ontwikkelingen heel snel. En als je die technologie goed begrijpt, kun je veel andere zaken ook bevatten."

Toch is het een kwestie van constant rennen om bij te blijven. "Alles wat je aan tools ontwikkelt, kan morgen weer achterhaald zijn." En ondanks de specialisatie moet het bijblijven breed zijn. "We moeten alles volgen, dus investeren in kennis die voor een zo breed mogelijk spectrum toepasbaar is." Dat lijkt een onmogelijke opgave, maar het antwoord zit 'm in de diepte; diepgaand begrip van ict. "Daarom zit het NFI diep in de technologie zelf, niet in de toepassingen."