Juridische vraag: is een kopie van een schijf geldig bewijs?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Bij forensisch onderzoek wordt altijd eerst een forensische kopie van het digitale bewijsmateriaal gemaakt. Maar wat nu als de originele datadrager fysiek verloren is gegaan? Hoewel er vaak nog wel dingen terug te halen zijn, kan het goed zijn dat niet meer onomstotelijk te is bewijzen dat origineel en kopie 100% identiek zijn.
Antwoord: De term "bewijs" kennen we uit de wetenschap. Als iets bewezen is, dan is het zo. Daar kan geen twijfel over zijn; wie het wil verifiëren kan zijn gang gaan want een wetenschappelijke stelling moet falsifieerbaar zijn. Ik werd vroeger aan de TU doodgegooid met discussies over dat je van software kunt bewijzen dat deze foutloos is. Of dat kan, weet ik nog steeds niet, maar ik heb er wel een onbedwingbare neiging aan overgehouden om bij elke IT-gerelateerde kwestie te gaan zoeken naar foutjes, afwijkende situaties, uitzonderingen en bijzondere gevallen.
Het recht is echter geen wetenschap (maar een kunst) en hanteert dan ook niet die wetenschappelijke definitie. Iets bewijzen in het recht komt neer op de rechter mee laten gaan in jouw standpunt, meer niet. Hij moet er redelijkerwijs van overtuigd zijn dat je gelijk hebt.
Of nou ja, in het civiele recht – wat wij hier meestal bespreken. Dus wanneer is er sprake van een contract, wanneer is er schade aangericht, wie is aansprakelijk voor welke handeling, etcetera. In het strafrecht (foei je gaat de cel in als je dat doet) geldt een strengere regel: wettig en overtuigend bewijs. De rechter moet ervan overtuigd zijn dat de verdachte schuldig is, er mag geen redelijke twijfel meer zijn.
De wet eist nergens dat bewijs volgens de hoogste normen van forensisch onderzoek wordt geleverd. Bewijs wordt niet op voorhand uitgesloten omdat het elektronisch is of dat NFI normen niet gevolgd zijn. (Overigens is er geen NFI norm over onderzoek aan harde schijven.) De rechter bekijkt en beoordeelt wat hem wordt voorgelegd, en of het nu op een bierviltje staat of op een cd-rom zal hem in principe worst wezen.
Bij ICT-zaken zal het vrijwel altijd aankomen op verklaringen of rapporten van deskundigen. Die deskundige kan bijvoorbeeld een PC onderzoeken en op basis daarvan zijn conclusies trekken op basis waarvan de rechter zich kan laten overtuigen. Een naar forensische normen correct uitgevoerd onderzoek is niet eenvoudig van tafel te krijgen, en dat is natuurlijk een belangrijk stuk meerwaarde.
Maar het gaat bij bewijs niet alleen om de technische sporen. Minstens zo belangrijk is de vraag wat deze in context betekenen. Rechters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er vanaf de pc of het netwerk in kwestie gepleegd, had de verdachte daar iets bij te winnen en past het bij wat we nog meer van de verdachte weten?
Zo riep een verdachte in een oplichtingszaak dat een hacker (ja sorry, zo noemen ze dat in de rechtspraak) vanaf zijn pc de betreffende spullen op Marktplaats.nl had aangeboden. Terecht gelooft de rechter daar geen bal van: waarom zou die hacker dat doen, laat staan onder vermelding van het bankrekeningnummer van de verdachte? En waarom stortte de verdachte het geld niet terug als hij niet zou weten waar dat vandaan kwam?
In een andere, m.i. bijzonder kwalijke zaak werden op een pc versleutelde kinderporno-bestanden aangetroffen. Het leek de rechtbank duidelijk dat hier geen derde bezig was geweest. Waarom zou die a) kinderporno uploaden naar die pc b) dat encrypten met een wachtwoord dat bestond uit sigarettenmerk en geboortejaar van de verdachte en dan c) het icoon van het encryptieprogramma (Privacy Master) op de desktop zetten waar de verdachte het meteen zou zien? Los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.
Afijn. Sorry, dit was even een stokpaardje waar ik wat over kwijt moest. Maar het is wel relevant voor het antwoord: in een geval waarin de bron verloren is, zal de rechter dus niet automatisch zeggen "sorry, het bewijs is onverifieerbaar en doet dus niet meer mee". Hij zal kijken naar de omstandigheden, de redenen voor vernietiging, de zorgvuldigheid van het onderzoek, de reputatie van de onderzoeker en hoe het bewijs past in het overige bewijs dat is overlegd.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Overigens is computerwetenschap maar matig wetenschappelijk. Bijvoorbeeld programmeren is veeleer een creatief proces van problemen oplossen, al dan niet op rigoreuze stoeling. Dat met die correctheidsbewijzen kan (vooralsnog) alleen maar binnen aannames die niet meer opgaan zodra je programma de hardware raakt, en is dus (vooralsnog) vooral academisch.
Een goede programmeur, overigens, gaat net zo goed automatisch op zoek naar mogelijke fouten, corner cases, en andere mogelijkheden om het model dat het programma aanhoudt kapot te krijgen. Er zijn een heleboel niet-zo-goede programmeurs die ook programmas schrijven. Komende uit die hoek valt het me op dat een heleboel wetgevers, ambtenaren en politici, geen enkel benul hebben hoe je met situaties anders dan de aangenomen situaties moet omgaan. Maar al te vaak worden die gewoon genegeerd, aangenomen niet te bestaan, en zo verder.* Wat zich dan uit in probleem-genererende wetten en regels. Wat mij betreft de schuld van de onbenullige wetgever en de slechtdoordachte wet, niet van de "overtreder".
Maargoed, rechtspraak. Beetje jammer dat ze nou zo'n aardige ladingdekkende term hadden bedacht ("computervredebreuk") en dan even later toch weer de sensatiekant op gaan. Groot deel eigen schuld van de computerbeveiligingsindustrie, die zich als destructieve kinderen met termen tooien die we eigenlijk heel hard ergens anders voor nodig hebben en die de mediaaandacht alleen maar prachtig vinden, hoe meer hoe beter. Zo verworden voorheen nuttige termen tot hele vage termen die steeds meer bijvoeglijkheden nodig hebben om nog enigszins bruikbaar te blijven.
Kennelijk weer een van die schitterende momentjes van fred&ivo hun favoriete hobby, voorbeeldjes uit het VK en de VS afkijken, waar ze grossieren in vage wetten vol met sensatietermen ("hacking", "terrorism", "communism", je kent ze wel) zodat de overheid altijd wel een stok tegen je kan vinden, en dat ook met regelmaat doet. Wat het OM hier ook probeert te doen, zoals daar met die 18jarige en "juridische kinderporno" op z'n computer. Wetstaat betekende, dacht ik, veroordeeld te worden voor iets wat je ook werkelijk misdaan hebt. Willen we dat laatste behouden dan kunnen we het ons niet veroorloven om vage dingen vagelijk te veroordelen en dan flink zwaar te straffen pour encourager les autres. En dus zal ook de rechtspraak af moeten van vage termen, de expres vaag gemaakte termen voorop.
Lijkt me extra belangrijk gezien de praktijk vol van vaagheden en moeten beoordelen over zaken waar je als rechter geen kaas van gegeten hebt. Hoe werkt dat overigens, dat werken met "experts"? Hoe wordt je een "expert" en hoe beoordeelt een rechter nou of je niet de grootste onzin staat te vertellen? Andersgezegd, wat moet er gebeuren om zo'n "expert"verhaal van tafel te krijgen, bijvoorbeeld in het geval van een disk image waar het origineel tussen de politie-pdfjes werd opgeborgen?
* Mooi voorbeeldje: In Zwitserland kun je kiezen voor een paspoort met, of zonder chip. We weten dat dit voor sommige mensen een belangrijke keuze is, maar hier scheren we liever over een kam en laten zo een hoop mensen met de gebakken peren zitten.
Dus mocht er iemand wat crimineels hebben gedaan,van de vorige eigenaars en de schijf niet goed geformatteerd hebben,
dan ben jij als nieuwe eigenaar als eerste als verdacht aangemerkt,terwijl je er niets mee te maken hebt.
Zo kan een Harde schijf denk ik niet als 100% forensisch gelden bij een onderzoek.
Dan moeten altijd nog alle voormalige eigenaars worden opgespoord,en ondervraagd.
Zoals zo goed uitgelegd door Arnoud.
Als ze bij jou op de computer een hoop ontoelaatbare spullen aantreffen dan kun je wel gaan claimen dat
je de schijven 4e hands gekocht hebt en niet weet wat er al op stond, maar dat komt niet erg geloofwaardig
over gezien de groottes van schijven waar het meestal over gaat en de prijsontwikkeling daarvan.
Normaal gesproken koop je een schijf goedkoper (per GB) in de winkel dan van iemand anders. Ook zal iemand
die zijn schijf wil verkopen echt wel uitkijken als er iets illegaals op staat. Dan kan hij hem eerst wipen.
En dat kun je zelf ook doen als je het niet vertrouwt. Dus het is gewoon geen aannemelijk verhaal.
"bewijs" is het niet in de zin van "bewijs de stelling van pythagoras". Maar zo werkt het dus niet.
nee, omdat digitale techniek feitelijk niet gemakkelijk toestaat te stellen dat origineel afkomstig is van een persoon. neem bijvoorbeeld een virus wat buiten de reguliere weg (internet) om origineel manipuleert. persoon in kwestie kan daar niet verantwoordelijk voor zijn, erg lastig aan te tonen. wanneer het niet om de persoon gaat, waarom dan het bewijs? wou je de datadrager verantwoordelijk houden?
driedubbel nee, op meerdere manieren zo makkelijk aan te tonen dat nfi (gelukkig niet al te vaak) bewijzen gefalsificeerd heeft, alsmede politie en/of OM, dat in combinatie met digitale techniek hard wetenschappelijk en rechtsgeldig niet veel hard gemaakt kan worden. vandaar ook dat verkeerde implementatie van de techniek, niet slechts in de rechtbank en/of met kopieën, in toenemende mate problemen zal geven.
kijk, dat zijn dus de kosten van wel de patser uithangen maar in werkelijkheid zelf af en dan net zo crimineel zijn en een rechterlijke macht die dat toegelaten heeft. KEI EN KEIHARDE KOSTEN. dat is waarom wat etterzakken in die hoek rap wakker moeten worden. dat is waarom agenten NOOIT moeten liegen in hun werk, dat is ook nergens voor nodig. als ze moeite hebben hun werk te (kunnen) doen, moeten ze dat zeggen. als ze niet kunnen, moeten ze dat zeggen. als ze niet zeker weten, moeten ze dat zeggen. als ze zich er agressief door voelen worden, MOETEN ze dat zeggen. krijg je bewuste burgers van, hadden we pliesies gehad nu ipv a2 boetevangnet kassaknapen. dat is waarom je altijd je verdachte moet horen alvorens een beschuldiging te formuleren, en niet procedureel maar dan met oren dicht, nee HOREN. is met open oren. is niet procedureel. procedures dragen geen verantwoordelijkheid, zijn domme dooie stukken papier. horen zonder overwegen heeft geen zin, kan niet onderzoeken, dus niet uitvinden/oplossen. hadden we allemaal al bedacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
