Het was in het nieuws: ‘Porno pas later op pc Tonino’ (telegraaf.nl), ‘Kinderporno achteraf op pc Tonino gezet’ (webwereld.nl). Er zou porno materiaal op de PC van Tonino zijn gezet nadat deze het apparaat al had weggedaan. Dat zou betekenen dat Tonino niet schuldig hoefde te zijn. Misschien was hij er wel ingeluisd zoals sommige media kopten. Dit soort berichten vind ik interessant om te lezen. Zeker ook omdat het mijn vakgebied raakt, computers en internet.
Voorzitter van het college van procureurs-generaal Harm Brouwer had beweerd dat een deel van de kinderporno pas later op de PC waren gezet. De Vries was het niet eens met deze uitlatingen. De Volkskrant zegt het volgende over de uitleg van Peter R. de Vries:
“Toen hij de door Tonino geselecteerde nieuwsgroepen aanklikte, kwam opnieuw kinderporno tevoorschijn. Een deel daarvan bleef zichtbaar achter op de computer. Volgens De Vries, die zijn handelingen met de Tonino-computer op film liet vastleggen, heeft hij Justitie op de hoogte gebracht van zijn vondst.” (Beusekamp 2006)
Ik heb dit met verbazing gelezen en ben weer geschokt nu ik het opnieuw lees. Hoe haal je het in je hoofd, was mijn eerste gedachte. Het kat en muis spel tussen de politie en misdaad verslaggevers als Peter R. de Vries heeft mij altijd kunnen amuseren. Ik had zowaar het idee dat Peter R. verstand van zaken had. Op het gebied van onderzoek naar computer criminaliteit is dit zeker niet het geval. Het is maar goed dat Peter R. de Vries op film heeft laten vastleggen hoe hij bewijsmateriaal onbruikbaar maakt.
Bewijsmateriaal
Het is vrijwel onmogelijk om op basis van de summiere berichten van de afgelopen dagen een goed beeld te krijgen. Toch geeft de reactie van de Vries een, voor mij, schokkend beeld.
De eerste grove fout die lijkt te zijn gemaakt is direct aan de slag te gaan met de gevonden PC. Waarom is er niet een kopie gemaakt de harddisk en verder gewerkt op een ander systeem? Dan had een vrijwel onaangetaste PC bij de politie afgeleverd kunnen worden en had de Vries gewoon zijn verhaal gehad. Ook hadden kopieën verzonden kunnen worden aan echte forensische experts op het gebied van computers. Hun mening zou een waardevolle toevoeging zijn geweest. Een dergelijke expert had natuurlijk ook al betrokken moeten zijn bij het eerste onderzoek van Peter R. de Vries.
Vervolgens wordt de PC gewoon opgestart. Ik ga er van uit dat er een versie van Microsoft Windows op de PC stond. Bij het opstarten worden log bestanden aangevuld and configuratie bestanden uitgelezen. Ook wordt er gezocht naar nieuwe hardware zoals USB sticks. Al deze acties hebben een effect op het systeem en maken het moeilijker om met zekerheid een tijdslijn op te stellen. Voor de bewijsvoering is het belangrijk om te weten wie, wanneer heeft ingelogd. Welke apparaten aangesloten waren en wat al niet meer.
Daarnaast is er een nieuwsgroep programma gestart dat blijkbaar al op de PC stond. Door dit programma op te starten is de kans groot dat er weer bepaalde log bestanden zijn gebruikt. Met een beetje pech zijn ze zelfs helemaal overschreven. “Toen hij de door Tonino geselecteerde nieuwsgroepen aanklikte” … stop, kunnen we nu ooit nog vaststellen dat Tonino dit inderdaad al eerder had geselecteerd? verder … “kwam opnieuw kinderporno tevoorschijn.” Niet alleen was de PC opgestart de PC moet ook aangesloten zijn geweest op het internet. Wat gebeurt er als je een PC aansluit op een ander netwerk? Het is heel goed mogelijk dat de PC op het netwerk om een nieuw IP adres gevraagd heeft. Wat was nu het IP adres waaronder Tonino mogelijk criminele activiteiten heeft uitgevoerd? Veel wordt gelogd, maar zijn die log bestanden nog te gebruiken als bewijs na zoveel activiteit? Het IP adres is ook belangrijk als later in samenwerking met providers en netwerk beheerders nieuwsgroep activiteiten opgespoord moeten worden. Als niet bekend is welk IP adres is gebruikt wordt het heel moeilijk om aanvullend bewijsmateriaal te vinden in de vele log bestanden die zich bevinden op de sites en nieuwsgroepen die Tonino bezocht zou hebben.
Bestanden kunnen worden verwijderd. Als een PC onderzocht wordt is het goed om te weten dat verwijderde bestanden alleen maar uit de ‘inhoudsopgave’ zijn verdwenen. De bijbehorende data staat dan nog gewoon op de harddisk totdat deze ruimte nodig is voor nieuwe bestanden, dan pas wordt het opnieuw gebruikt en overschreven. Voor het echt verwijderen van bestanden is een speciaal programma nodig dat de vrijgekomen ruimte gaat beschrijven, vaak meerdere malen, met willekeurige data. De kans is groot dat dit niet gebeurd is. Door het aanklikken van een nieuwsgroep kwam nieuwe kinderporno tevoorschijn. Deze kinderporno is weggeschreven op schijf, de politie heeft dit immers ook gevonden. Met het opslaan van deze nieuwe porno bestanden bestaat de mogelijkheid dat andere, door Tonino verwijderde, gegevens zijn overschreven. Mogelijk is hierdoor ook bewijs verdwenen.
Wat Peter R. de Vries heeft gedaan met dit stuk bewijsmateriaal is onvergeeflijk en echt ontzettend dom. Wat ik hierboven beschreven heb zijn slechts mogelijke voorbeelden. Misschien zijn een aantal niet van toepassing maar daar tegenover staan vele die ik niet genoemd heb. Het bekijken van webpagina’s in een browser of bekijken van document in Word, enzovoort, hebben allemaal een direct en negatief effect op het mogelijke bewijs. Is er wel gezocht naar virussen of wormen? Kunnen deze er op zijn gekomen terwijl Peter R. de Vries de PC, aangesloten op internet, aan het bekijken was?
Het feit dat Tonino niet vervolgd wordt heeft hij misschien wel te danken aan Peter R. de Vries. Als deze PC het enige bewijs is in een eventuele zaak dan is het starten van vervolging inderdaad niet meer nodig. Een forensisch computer expert zal te veel vraagtekens moeten zetten bij de waarde van het bewijsmateriaal.
Referentie:Beusekamp, W. (2006) OM-baas trekt uitlating over kinderporno op pc in. De Volkskrant. donderdag 3 augustus 2006. http://www.volkskrant.nl/binnenland/article335287.ece/Kinderporno_later_op_computer_officier_Tonino_gezet (bekeken op 03-08-2006)
vrijdag 4 augustus 2006
Abonneren op:
Posts (Atom)
