NFI één van de grondleggers van universele cybertaal die internationale strijd tegen criminaliteit makkelijker maakt
Om criminaliteit effectief te bestrijden, is internationale samenwerking door opsporingsdiensten en digitaal-forensische onderzoekers essentieel. Denk bijvoorbeeld aan de uitwisseling van forensische instrumenten om cryptotelefoons uit te lezen. Om die samenwerking te vergemakkelijken, is het handig dat de instrumenten alle sporen in dezelfde ‘cybertaal’ vastleggen. Hiervoor is nu een internationale taal ontwikkeld: Cyberinvestigation Analysis Standard Expression (CASE). Het Nederlands Forensisch Instituut (NFI) is één van de grondleggers van deze wereldwijde taal. Sinds deze maand is de doorontwikkeling van de taal een project van de Linux Foundation in de Verenigde Staten (VS). Zo’n beetje alle digitale innovatieve bedrijven zijn lid van deze stichting die innovatieve open source projecten helpt.
Als mensen met iemand uit een ander land willen praten dan doen we dat in een gemeenschappelijke taal, bijvoorbeeld Engels. Dat is handig om elkaar te begrijpen en om Babylonische spraakverwarring te voorkomen. “Ook forensische tools voor onderzoek aan digitaal materiaal moeten een gemeenschappelijke taal spreken om gegevens met elkaar te kunnen uitwisselen,” legt Harm van Beek uit. Hij is senior digitaal-forensisch onderzoeker van het NFI en vanaf het begin betrokken bij de ontwikkeling van de taal: “In verschillende inbeslaggenomen apparaten staan bijvoorbeeld e-mails in verschillende apps, zoals Gmail, Outlook of Apple Mail. Deze e-mails zien er allemaal net anders uit en kunnen met verschillende forensische tools worden uitgelezen.” De tools beschrijven de e-mails ook allemaal net anders, bijvoorbeeld ‘mail’, ‘email’, ‘e-mail’, of ‘mailbericht’. Dit geldt ook voor de details van zo’n e-mail, de ene tool heeft het over de `afzender en ontvanger’, de andere over ‘from en to’. Als je al deze e-mails snel en overzichtelijk wilt doorzoeken, dan moet je ze uit deze tools halen en samenbrengen. “Hiervoor moet je ze dan wel hetzelfde noemen, allemaal ‘e-mail’ bijvoorbeeld, met ‘afzender en ontvanger’. CASE is de taal waarin is vastgelegd hoe we digitale sporen noemen.”
Internationale samenwerking wordt makkelijker
“De ontwikkeling van de gemeenschappelijke taal is een belangrijke stap om de digitaal-forensische wetenschap wereldwijd te standaardiseren,” vervolgt Van Beek. De universele taal voor forensische tools vergemakkelijkt internationale samenwerking op het vlak van onder andere cybercrime, online fraude, seksuele uitbuiting en terrorisme. Forensische instituten, opsporingsdiensten, universiteiten etc. ontwikkelen nu allemaal zelf min of meer vergelijkbare (forensische) instrumenten om gegevens uit verschillende apps en apparaten uit te lezen. Ze doen dit allemaal op hun eigen manier, in hun eigen taal. “Dankzij CASE kunnen we nu gebruik maken van elkaars tools. De instrumenten leggen digitale sporen die ze uit een app of apparaat halen met CASE op dezelfde manier vast. Zo hoeven de resultaten niet steeds vertaald te worden. Dus als wij een instrument ontwikkelen om een nieuwe app uit te lezen, kunnen forensische onderzoekers in andere landen deze tool ook gebruiken,” zegt Van Beek.
NFI één van de initiatiefnemers universele taal
CASE begon in 2014 als een initiatief van een groep individuen van overheidsorganisaties, opsporingsdiensten, wetenschappelijke en commerciële organisaties. Het gaat hierbij om het NFI, maar ook het Amerikaanse Department of Defence Cyber Crime Center (DC3), het Amerikaanse National Institute of Standards and Technology (NIST) en de Universiteit van Lausanne. Van Beek is behalve één van de initiatiefnemers van de universele taal ook één van de ‘founding fathers’ van de digitale zoekmachine Hansken. Die werkt volgens hetzelfde principe: “Hansken brengt ook digitale sporen uit verschillende tools samen en maakt ze doorzoekbaar. Hiermee kan de informatie uit een telefoon gecombineerd worden met informatie uit een internet-tap.” In samenwerking met TNO leert het NFI de zoekmachine Hansken nu ook de taal CASE, zodat Hansken gekoppeld kan worden aan alle tools die ook CASE kennen. “De CASE standaard leeft steeds meer. Zo heeft TNO met Interpol en andere partijen samengewerkt om een zogenoemde Dark Web & Virtual Assets taxonomie te ontwikkelen, die nu door de CASE community op de agenda is gezet om opgenomen te worden in CASE. Het initiatief van het NFI om Hansken ook van een CASE interface te voorzien is een zeer welkome verdere stap om deze belangrijke standaard breder toegepast te krijgen”, aldus Freek Bomhof van TNO.
Bestrijding Cybercrime
CASE sluit aan bij diverse initiatieven in Europa om gezamenlijk cybercriminaliteit te bestrijden, zoals FORMOBILE, EXEC-II en INSPECTr. “Dat er nu een gemeenschappelijk taal is, stroomlijnt de uitwisseling van forensische tools door verschillende landen.” CASE is belangrijk om wetenschap snel toe te passen in de dagelijkse operaties om misdaad te bestrijden. De taal maakt daarnaast datamining en machine learning mogelijk door een gestructureerde weergave en verwerking van digitale sporen.
Stichting
Inmiddels doen ruim vijftig organisaties uit ongeveer twintig landen mee aan de ontwikkeling van CASE. Europol, Interpol, universiteiten en bedrijven hebben het idee omarmd. De Linux Foundation zal de taal verder ontwikkelen als project. “Met deze stap staat CASE op eigen benen en kunnen we dingen zelfstandig regelen. Voorheen waren we altijd afhankelijk van één van de partners, zoals het NFI, om iets te organiseren,” vertelt Van Beek. Hij hoopt dat het aantal deelnemers aan CASE het komend jaar nog verder groeit en dat net als Hansken meer er meer forensische tools CASE gaan ondersteunen. Het project verwelkomt iedereen die geïnteresseerd is in het verbeteren van de mogelijkheden voor cyberonderzoeken.