R v F (2025): Addressing the Defence of Hacking

Dit artikel presenteert een uniek casestudy van de zaak R v F (2025) waarin de verdediging van 'hacking' (de 'SODDI'-verdediging) wordt weerlegd door empirisch digitaal forensisch onderzoek, waarmee praktische richtlijnen worden geboden voor onderzoekers om onschuldigen vrij te pleiten en schuldigen te veroordelen.

De kern

🕵️‍♂️ Het "Andere Jij"-Verhaal: Hoe een Hack-verhaal werd ontrafeld

Stel je voor dat iemand wordt beschuldigd van het stelen van dure schilderijen uit een museum. De verdachte zegt: "Ik heb ze niet gestolen! Iemand anders heeft mijn sleutels gekopieerd, is mijn huis ingebroken en heeft de schilderijen daar neergezet terwijl ik sliep."

In de wereld van computers noemen ze dit de "Trojan Horse-verdediging" (of in het Engels de "SODDI"-verdediging: Some Other Dude Did It – "Een andere vent heeft het gedaan"). De verdachte probeert de schuld te leggen op een onzichtbare hacker.

Dit paper vertelt het verhaal van een echte zaak uit 2025 (R v F), waarbij een man (F) werd beschuldigd van het bezitten van illegale foto's op zijn telefoon. Hij zei: "Mijn telefoon is gehackt, ik heb niets gedaan!"

Een team van experts, waaronder de auteur van dit paper (Dr. Junade Ali), moest uitzoeken of dit verhaal waar was of een bedrog.

1. De Drie-Stappen-Check (De Detective-werk)

In plaats van alleen naar de telefoon te kijken, gebruikten de experts een slimme, drie-stappen-methode, alsof ze een detective zijn die een spoor volgt:

• Stap 1: De theorie-check (De "Is het mogelijk?"-test)
  De verdediging zei dat de telefoon gehackt was via een ingewikkeld computerprogramma. De experts keken naar de techniek en zeiden: "Wacht even. Om dit te doen, heb je een 'super-hack' nodig die miljoenen dollars waard is. En je hebt twee verschillende telefoons (een iPhone en een Android) die allebei op precies hetzelfde moment gehackt zouden moeten zijn. Dat is net zo onwaarschijnlijk als dat twee verschillende sloten in je huis op hetzelfde moment door dezelfde onzichtbare dief worden geopend zonder een geluidje."

  • Conclusie: Het verhaal van de hack klinkt technisch onmogelijk.

• Stap 2: De spoorzoekers (De "Vingerafdrukken")
  De experts keken diep in de telefoon. Als er echt gehackt was, zouden er "spooksporen" (IOCs) zijn achtergelaten, zoals een onbekende sleutel in het slot of een vreemd programmaatje dat zich verstopt.

  • Ze vonden wel wat sporen, maar het bleek dat de verdachte zelf op het internet had gezocht naar "hoe je een telefoon kunt beschermen". Hij had dus zelf gekeken naar de tools die hackers gebruiken, maar hij was niet gehackt.
  • Er waren geen bewijzen dat er een "achterdeurtje" in de telefoon zat.

• Stap 3: Het echte verhaal (De "Telegram-automatiek")
  Als het niet door een hacker was, hoe kwamen die duizenden illegale foto's dan op de telefoon?
  De experts ontdekten de waarheid: De verdachte was lid geworden van een Telegram-groep.

  • De Analogie: Stel je voor dat je lid wordt van een club waar mensen duizenden foto's uitwisselen. In deze club (Telegram) is er een automatische regel: "Als er een foto wordt gedeeld, slaat de telefoon die direct op, of je nu op 'opslaan' drukt of niet."
  • De verdachte had de groep toegevoegd (een bewuste actie). De telefoon deed de rest automatisch. De foto's kwamen dus niet door een hacker, maar door de app die automatisch werkte.

2. De Rechterlijke Zitting (De Proef)

Tijdens het proces in de rechtbank (een "Crown Court" in Engeland) gebeurde er iets interessants:

• De beschuldiging gebruikte het rapport van de experts om te zeggen: "Hij heeft de groep toegevoegd, dus hij wist wat er gebeurde."
• De verdediging probeerde nog steeds te zeggen dat hij dronken was en dat vrienden zijn telefoon hadden gebruikt. Maar de jury vroeg een belangrijke vraag: "Wanneer de telefoon automatisch foto's opslaat, is dat dan nog steeds 'doen'?"
• De rechter legde uit: "Jullie moeten zeker zijn dat hij bewust de groep heeft toegevoegd en wist wat er zou gebeuren."

Het resultaat? De jury geloofde het verhaal van de experts niet dat het een hack was. Ze oordeelden dat de verdachte bewust de groep had toegevoegd en dat hij verantwoordelijk was voor de foto's die zijn telefoon automatisch opsliep. Hij werd schuldig bevonden.

3. Waarom is dit belangrijk? (De Les voor de Wereld)

Dit paper is heel speciaal omdat het laat zien hoe je een "hack-verhaal" in de echte wereld moet ontmaskeren.

• Niet alleen kijken naar de vingerafdrukken: Veel computer-experts kijken alleen naar wat er op de harde schijf staat. Maar hier keken ze ook naar hoe het systeem werkt (zoals de automatische opslag van Telegram).
• De valkuil van de "SODDI": Vaak zeggen mensen "Iemand anders deed het" als ze in de problemen komen. Dit paper laat zien dat je niet zomaar kunt geloven dat een computer "gehaackt" is zonder hard bewijs.
• Fouten in gereedschap: De auteur vertelt ook over een andere zaak (R v M) waar een computerprogramma een fout maakte en dacht dat iemand een groep had gemaakt, terwijl dat niet zo was. Dit laat zien dat we niet blindelings op computersoftware moeten vertrouwen; er moet altijd een menselijke expert zijn die de "logica" checkt.

🎯 Samenvatting in één zin

Dit paper leert ons dat als iemand zegt "Mijn computer is gehackt", we niet zomaar moeten geloven dat het waar is, maar we moeten kijken of het technisch mogelijk is, of er echte hacker-sporen zijn, en of er een logischer, menselijk verhaal is (zoals een app die automatisch dingen opslaat) dat de waarheid verklaart.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "R v F (2025): Addressing the Defence of Hacking" van Junade Ali, in het Nederlands.

Probleemstelling

Het paper adresseert de uitdaging die de "Hackingsverdediging" (ook wel de "Trojan Horse Defence" of "SODDI Defence" – Some Other Dude Did It) vormt in strafzaken met betrekking tot computercriminaliteit. Hoewel deze verdediging al decennia lang wordt gebruikt, ontbreekt er in de academische literatuur een gebaseerd op empirische data van forensisch onderzoekers dat uitlegt hoe deze claims in de praktijk effectief kunnen worden onderzocht en weerlegd. Bestaande werken zijn vaak verouderd, gebaseerd op historische gevallen zonder moderne mobiele forensiek, of bieden geen bewijs van toepassing in echte strafzaken. Het doel van dit paper is om een case study te presenteren van R v F, waarin een verdachte werd beschuldigd van het maken van kinderpornografische afbeeldingen en de verdediging beweerde dat zijn apparaten gehackt waren.

Methodologie

De auteur, Dr. Junade Ali, hanteerde een gestructureerde, gefaseerde aanpak in samenwerking met een politie-investigator om de geloofwaardigheid van de hackingsclaims te toetsen:

1. Preliminair Onderzoek (Paper Review):

   • Analyse van de bewijsstukken van de verdediging, waaronder een telefoonrekening en meldingen van gecompromitteerde inloggegevens.
   • Conclusie: De telefoonrekening bleek een misverstand te zijn over hoe mobiele data wordt gefactureerd (aggregatie in plaats van per KB). Meldingen van gecompromitteerde inloggegevens waren irrelevant omdat de gevonden illegale materialen in een applicatie zaten die controle vereist over een mobiel telefoonnummer, niet alleen een wachtwoord.
   • Technische haalbaarheid: De analyse concludeerde dat het hacken van twee moderne apparaten (iOS en Android) met de toenmalige firmware zou hebben vereist dat er gebruik werd gemaakt van "zero-day" kwetsbaarheden (waarde miljoenen dollars). Dit werd onwaarschijnlijk geacht gezien de aanwezigheid van twee verschillende besturingssystemen en het ontbreken van jailbreaks of root-toegang.

2. Forensisch Onderzoek (Device Analysis):

   • Data-acquisitie: Gebruik van Cellebrite UFED en Magnet Forensics Graykey om forensische images te maken.
   • IOCs (Indicators of Compromise) Scanning: Handmatige inspectie en gebruik van de Mobile Verification Toolkit (MVT) van Amnesty International.
   • Vindsten: Op de iPhone werden IOCs gevonden, maar deze bleken gerelateerd aan Safari-favicons van zoekopdrachten naar cybersecurity-tools, niet aan command-and-control infrastructuur. Er was geen bewijs van jailbreaks, backdoors, root-toegang op Android, of verdachte debug-features.
   • Oorzaak van de data: Het onderzoek identificeerde dat het grootste deel van het illegale materiaal zich in de cache van de Telegram-app bevond. Telegram downloadt media automatisch naar de cache (voor autoplay of volledige bestanden onder een bepaalde grootte) zodra een gebruiker lid wordt van een groep. Dit verklaarde de enorme hoeveelheid materiaal zonder dat er voor elk bestand een expliciete downloadknop was ingedrukt.

3. Gemeenschappelijke Rapportage:

   • De auteur en de politie-investigator produceerden een gezamenlijk rapport en een "Joint Statement". Beide experts waren het eens over de bevindingen, wat de basis vormde voor de feiten die aan de jury werden voorgelegd.

Belangrijkste Bijdragen

• Eerste Empirische Case Study: Dit is het eerste paper dat een real-world case beschrijft waarin de hackingsverdediging systematisch wordt onderzocht en weerlegd met forensisch bewijs in een strafzaak.
• Praktische Technieken: Het paper biedt concrete methoden voor digitale forensici, waaronder het combineren van theoretische analyse (is hacken technisch mogelijk?) met diepgaande artefacten-analyse (waar komt de data vandaan?).
• Rol van Automatische Tools: Het paper benadrukt dat geautomatiseerde tools alleen niet voldoende zijn. In een vervolgzake (R v M, 2026) bleek dat een fout in een forensische tool (AXIOM) de verdachte ten onrechte als administrator van WhatsApp-groepen aanwees. Een diepere analyse van SQLite-databases en tijdslijnen was nodig om de fout te corrigeren.
• Interpretatie van "Intentie" (Mens Rea): Het paper illustreert hoe forensisch bewijs kan helpen onderscheid te maken tussen het automatisch downloaden van materiaal door een app (geen intentie) en het actief kopiëren of selecteren van materiaal (wel intentie).

Resultaten

• In de rechtszaak: De jury werd overtuigd dat de verdachte niet was gehackt. De verklaring dat het materiaal automatisch was gedownload via Telegram, maar dat de verdachte bewust lid was geworden van de groep en sommige materialen actief had overgebracht, vormde de basis voor de veroordeling.
• Verdict: De verdachte werd schuldig bevonden aan alle aantijgingen. De jury accepteerde dat de verdachte de intentie had om ten minste één afbeelding per categorie te downloaden, wat voldeed aan de eis voor mens rea (schuld) in het Engelse strafrecht.
• Systematische Impact: De politie startte een intern onderzoek naar de gebruikte toolchain na de ontdekking van de parsing-fout in de R v M zaak, wat leidde tot verbetering van de forensische processen.

Betekenis en Conclusie

Het paper benadrukt dat de aanpak van de hackingsverdediging een gestructureerde, hypothese-toetsende benadering vereist in plaats van alleen het extraheren van artefacten.

• Technische Validatie: Het is cruciaal om te bepalen of een hack technisch haalbaar is (bijv. vereisten voor zero-days) voordat het als verdediging wordt overwogen.
• Contextuele Analyse: Forensici moeten begrijpen hoe applicaties werken (zoals de automatische caching van Telegram) om de oorsprong van data correct te interpreteren.
• Kennislacune: Het paper wijst op een ernstig gebrek aan gedocumenteerde case studies in de literatuur, wat leidt tot een gebrek aan kennis over praktische technieken bij experts en rechters.
• Toekomstperspectief: De auteur pleit voor de ontwikkeling van tools die experts helpen bij het identificeren van technische onderzoekslijnen en het testen van hypothesen, zelfs als deze lijnen afwijken van de standpunten van de verdediging of het openbaar ministerie.

Samenvattend levert dit paper een waardevol bewijs voor de rechtbank dat de "Trojan Horse Defence" effectief kan worden weerlegd door een combinatie van theoretische cybersecurity-kennis, diepgaand forensisch onderzoek en een heldere interpretatie van applicatiegedrag.